Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
mit Microsoft Defender for Cloud Apps können Sie den Umfang Ihrer Bereitstellung festlegen. Mithilfe des Bereichs können Sie bestimmte Benutzergruppen auswählen, die für Apps überwacht oder von der Überwachung ausgeschlossen werden sollen.
Hinweis
Die bereichsbezogene Bereitstellung reduziert nicht die Anzahl der Dateien, OAuth-Anwendungen oder Benutzerkonten, die gescannt werden. Es reduziert nur die Anzahl der Benutzeraktivitäten basierend auf der ausgewählten Benutzergruppe.
Ein- oder Ausschließen von Benutzergruppen
Möglicherweise möchten Sie nicht Microsoft Defender for Cloud Apps für alle Benutzer in Ihrem organization verwenden. Bereichsgrenzen sind besonders nützlich, wenn Sie Ihre Bereitstellung aufgrund von Lizenzeinschränkungen einschränken möchten. Möglicherweise müssen Sie auch aufgrund von Compliancebestimmungen einschränken, die erfordern, dass Sie Benutzer aus bestimmten Ländern/Regionen nicht überwachen. Verwenden Sie beispielsweise die bereichsbezogene Bereitstellung, um nur Mitarbeiter mit Sitz in den USA zu überwachen. Alternativ können Sie vermeiden, aktivitäten für Ihre Benutzer mit Sitz in Deutschland anzuzeigen.
Zum Festlegen des Umfangs Ihrer Bereitstellung müssen Sie zuerst Benutzergruppen in Microsoft Defender for Cloud Apps importieren. Standardmäßig werden die folgenden Gruppen angezeigt:
Anwendungsbenutzergruppe: Eine integrierte Gruppe, mit der Sie Aktivitäten anzeigen können, die von Microsoft 365 und Microsoft Entra Anwendungen ausgeführt werden.
Gruppe externer Benutzer: Alle Benutzer, die keine Mitglieder einer der verwalteten Domänen sind, die Sie für Ihre organization konfiguriert haben.
Durch das Festlegen einer Einschlussregel werden automatisch alle Gruppen ausgeschlossen, die nicht in der eingeschlossenen Gruppe enthalten sind. Wenn Sie beispielsweise eine Regel so festlegen, dass alle Mitglieder der US-Bürogruppen eingeschlossen werden, werden alle Gruppen, die nicht Teil dieser Gruppe sind, nicht überwacht.
Ausgeschlossene Benutzergruppen überschreiben eingeschlossene Benutzergruppen. Wenn Sie die Benutzergruppe UK-employees einschließen, aber Marketing ausschließen, überwacht Microsoft Defender for Cloud Apps Keine Marketingmitglieder aus Großbritannien, auch wenn sie Mitglieder der Uk-employees-Gruppe sind.
Wählen Sie im Microsoft Defender-Portal Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Systemdie Option Bereichsbezogene Bereitstellung und Datenschutz aus.
Importieren Sie Benutzergruppen in Microsoft Defender for Cloud Apps, um die Bereitstellung so einzugrenzen, dass sie bestimmte Gruppen ein- oder ausschließt.
Um bestimmte Gruppen festzulegen, die von Microsoft Defender for Cloud Apps überwacht werden sollen, wählen Sie auf der Registerkarte Einschließendie Option +Regel hinzufügen aus.
Führen Sie im Dialogfeld Neue Includeregel erstellen die folgenden Schritte aus:
- Geben Sie unter Typregelname einen beschreibenden Namen für die Regel ein.
- Wählen Sie unter Benutzergruppen auswählen alle Gruppen aus, die Sie mit Microsoft Defender for Cloud Apps überwachen möchten.
- Wählen Sie aus, ob Sie diese Regel auf alle verbundenen Apps oder nur auf bestimmte Apps anwenden möchten. Wenn Sie Bestimmte Apps auswählen, wirkt sich die Regel nur auf die Überwachung der ausgewählten Apps aus. Wenn Sie z. B. benutzeroberflächenteambenutzer und Box auswählen, überwachen Defender for Cloud Apps die Box-Aktivität nur für Benutzer in Ihrer Benutzergruppe des Benutzeroberflächenteams und für alle anderen Apps, Defender for Cloud Apps alle Aktivitäten für alle Benutzer überwachen.
- Geben Sie unter Typregelname einen beschreibenden Namen für die Regel ein.
Um festzulegen, dass bestimmte Gruppen von der Überwachung ausgeschlossen werden sollen, wählen Sie auf der Registerkarte Ausschließendie Option +Regel hinzufügen aus.
Legen Sie im Dialogfeld Neue Ausschlussregel erstellen die folgenden Parameter fest:
Geben Sie unter Typregelname einen beschreibenden Namen für die Regel ein.
Wählen Sie unter Benutzergruppen auswählen alle Gruppen aus, die nicht Microsoft Defender for Cloud Apps überwacht werden sollen.
- Wählen Sie aus, ob Sie diese Regel auf alle verbundenen Apps oder nur auf bestimmte Apps anwenden möchten. Wenn Sie Bestimmte Apps auswählen, Microsoft Defender for Cloud Apps die Überwachung der Gruppe beendet, die Sie nur für die ausgewählten Apps ausgewählt haben. Wenn Sie die Benutzer des Gruppenbenutzeroberflächenteams und Active Directory auswählen, überwacht Microsoft Defender for Cloud Apps alle Benutzeraktivitäten mit Ausnahme von Active Directory-Aktivitäten, die von Benutzeroberflächenteambenutzern ausgeführt werden.
Beispielergebnisse für Ein- und Ausschlussregeln
Die Von Ihnen erstellten Ein- und Ausschlussregeln arbeiten zusammen, um die gesamte Überwachung einzugrenzen, die Microsoft Defender for Cloud Apps ausführt. Hier sehen Sie ein Beispiel für Ein- und Ausschlussregeln, die Sie erstellen können, und das Endergebnis dessen, was Microsoft Defender for Cloud Apps nach der Ausführung dieser Regeln überwacht.
Wenn Sie die folgenden Regeln erstellen:
- Benutzergruppe "Deutschland alle Benutzer" ausschließen
- Nur Microsoft 365-Aktivitäten für die Benutzergruppe "Globale Verkäufe" einschließen
- Nur Power BI-Aktivitäten für die Benutzergruppe "Vertriebsleiter" einschließen
- Salesforce ist mit Microsoft Defender for Cloud Apps verbunden und es werden keine Regeln festgelegt.
Die folgenden Benutzeraktivitäten werden überwacht:
| Benutzer | Gruppenmitgliedschaft | Überwachte Aktivitäten |
|---|---|---|
| Adriana | Deutschland alle Benutzer Globaler Umsatz Vertriebsleiter |
Keine |
| Alain | Globaler Umsatz | Microsoft 365 und alle Sub-Apps mit Ausnahme von Power BI |
| Cornel | Globaler Umsatz Vertriebsleiter |
Microsoft 365 und alle Sub-Apps |
| Raymond | Vertriebsleiter | Nur Power BI |
Hinweis
Der Gruppenbereich in diesen Regeln wirkt sich nicht auf andere Apps aus. Im Beispiel für Salesforce umfasst die Überwachung alle Aktivitäten für alle Benutzergruppen.
Überprüfen Der bereichsbezogenen Bereitstellung
Nachdem Sie die bereichsbezogene Bereitstellung konfiguriert haben, suchen Sie im Aktivitätsprotokoll oder in der CloudAppEvents-Tabelle nach neuen Ereignissen.
Wenn keine neuen Ereignisse angezeigt werden oder Ereignisse aus ausgeschlossenen Konten angezeigt werden, werden die bereichsbezogenen Benutzerkonten möglicherweise nicht ordnungsgemäß mit den Kontobezeichnern der Anwendung korreliert. Dies kann der Fall sein, wenn eine Anwendung einen UPN als Konto-ID und eine andere Anwendung ein anderes Konto-ID-Format oder einen Nicht-UPN-Wert verwendet. Um dieses Problem zu beheben, erstellen Sie eine zusätzliche bereichsbezogene Bereitstellungsgruppe, die den von der betroffenen Anwendung verwendeten Kontobezeichnern entspricht.