從連線的應用程式匯入使用者群組
當您使用 API 連接器連接應用程式時,適用於雲端的 Microsoft Defender Apps 可讓您匯入使用者群組,例如從 Microsoft 365 和 Microsoft Entra ID。 使用者群組有兩種類型:
自動群組:依預設會建立自動群組,適用於雲端的 Microsoft Defender Apps。 例如,有一個稱為外部的自動使用者群組,結合了來自組織外部且可以存取檔案,或已參與租用戶使用者活動之所有應用程式的所有使用者。 適用於雲端的 Defender Apps 中存在下列自動群組:
- 外部
- Dropbox 系統管理員
- Microsoft 365 管理員
- Google 工作區系統管理員
- Box 系統管理員
- 所有的 Salesforce 標準和自訂設定檔,例如 Salesforce 系統管理員。 完整清單請參閱這裡。
匯入的群組: 您可以從連線的應用程式匯入任何群組。 例如,您可以從 Microsoft 365 (Active Directory) 和其他已連線的應用程式匯入使用者群組。 這些群組可讓您查看特定群組來尋找組織中的威脅,不是查看整個組織或特定的使用者。
運用匯入使用者群組的一般案例包括:
- 調查 HR 人員查看哪些檔。
- 檢查執行小組中是否有異常的情況。
- 了解管理群組中是否有人在美國境外執行活動。
匯入使用者群組
在 Microsoft Defender 全面偵測回應 中,選取 [設定 Cloud Apps > 系統>使用者群組 > + 匯入使用者群組>]。
在 [匯 入使用者群組 ] 窗格中,選取要匯入使用者群組的應用程式。 顯示的應用程式取決於您部署的連接器。
選取您要匯入的群組。 此清單包含應用程式中現有使用者群組的前50個群組。 如果您沒有看到群組,請在清單上方的搜尋欄位中輸入搜尋文字。
若要將新的群組新增至清單,請在應用程式本身執行此動作,然後返回 Microsoft Defender 入口網站,以檢視清單中的新群組。
(選擇性)選取在匯入程式完成時透過電子郵件通知。
選取匯入。
匯入完成後,請從 [ 使用者群組 ] 頁面選取您的群組,以檢視所有群組成員的清單。 選取任何群組成員以進一步向下切入以取得詳細數據,包括所使用的應用程式,以及帳戶活動的摘要。 在活動記錄中 調查活動記錄 和建立原則時,也可以選取匯入的群組作為篩選。 群組成員會自動同步處理匯入的群組,就如同Active Directory Connect 一樣。
注意
- 匯入的使用者群組數目上限為 500。
- 只有作用中的用戶會匯入為匯入群組的一部分。 將會忽略任何暫停、刪除或停用的使用者。
- 在篩選中提供匯入的使用者群組之前,可能會有短暫的延遲。
- 只有在匯入使用者群組後執行的活動,才會標記為使用者群組成員已執行。
- 初始同步處理之後,群組通常會每小時更新一次。 不過,由於各種因素,有時可能需要數小時的時間。
如需使用使用者群組篩選器的詳細資訊,請參閱活動。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。