Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender for Cloud Apps vous permet d’étendre votre déploiement. L’étendue vous permet de sélectionner certains groupes d’utilisateurs à surveiller pour les applications ou à exclure de la surveillance.
Remarque
Le déploiement étendu ne réduit pas le nombre de fichiers, d’applications OAuth ou de comptes d’utilisateur analysés. Il réduit uniquement le nombre d’activités utilisateur en fonction du groupe d’utilisateurs sélectionné.
Remarque
À mesure que Microsoft Defender se dirige vers une plateforme d’identité entièrement unifiée, certains pipelines de données Defender for Cloud Apps restent distincts. Le déploiement délimité utilise un pipeline de données distinct qui n’est pas encore intégré à l’inventaire des identités. Les corrélations définies dans l’inventaire des identités n’affectent pas le déploiement délimité. Pour obtenir la liste complète des fonctionnalités affectées, consultez Activer l’intégration de l’inventaire des identités.
Inclure ou exclure des groupes d’utilisateurs
Vous ne souhaiterez peut-être pas utiliser Microsoft Defender for Cloud Apps pour tous les utilisateurs de votre organization. L’étendue est particulièrement utile lorsque vous souhaitez limiter votre déploiement en raison de restrictions de licence. Vous devrez peut-être également limiter en raison des réglementations de conformité qui vous obligent à ne pas surveiller les utilisateurs de certains pays/régions. Par exemple, utilisez un déploiement délimité pour surveiller uniquement les employés basés aux États-Unis. Vous pouvez également éviter d’afficher des activités pour vos utilisateurs basés en Allemagne.
Pour étendre votre déploiement, vous devez d’abord importer des groupes d’utilisateurs dans Microsoft Defender for Cloud Apps. Par défaut, les groupes suivants s’affichent :
Groupe d’utilisateurs d’application : groupe intégré que vous pouvez utiliser pour voir les activités effectuées par Microsoft 365 et Microsoft Entra applications.
Groupe d’utilisateurs externes : tous les utilisateurs qui ne sont membres d’aucun des domaines managés que vous avez configurés pour votre organization.
La définition d’une règle include exclut automatiquement tous les groupes qui ne se trouvent pas dans le groupe inclus. Par exemple, si vous définissez une règle pour inclure tous les membres des groupes us-office, tous les groupes qui ne font pas partie de ce groupe ne seront pas surveillés.
Les groupes d’utilisateurs exclus remplacent les groupes d’utilisateurs inclus. Si vous incluez le groupe d’utilisateurs Uk-employees, mais excluez marketing, Microsoft Defender for Cloud Apps ne surveille pas les membres marketing du Royaume-Uni, même s’ils sont membres du groupe Uk-employees.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps. Sous Système, sélectionnez Déploiement et confidentialité délimités.
Pour limiter votre déploiement à inclure ou exclure des groupes spécifiques, importez des groupes d’utilisateurs dans Microsoft Defender for Cloud Apps.
Pour définir des groupes spécifiques à surveiller par Microsoft Defender for Cloud Apps, sous l’onglet Inclure, sélectionnez +Ajouter une règle.
Dans la boîte de dialogue Créer une règle include , procédez comme suit :
- Sous Nom de la règle de type, entrez un nom descriptif pour la règle.
- Sous Sélectionner des groupes d’utilisateurs, sélectionnez tous les groupes que vous souhaitez surveiller à l’aide de Microsoft Defender for Cloud Apps.
- Indiquez si vous souhaitez appliquer cette règle à toutes les applications connectées ou uniquement à des applications spécifiques. Si vous sélectionnez Applications spécifiques, la règle affecte uniquement la surveillance des applications que vous sélectionnez. Par exemple, si vous sélectionnez le groupe utilisateurs de l’équipe d’interface utilisateur et Box, Defender for Cloud Apps surveille uniquement l’activité Box pour les utilisateurs de votre groupe d’utilisateurs d’équipe d’interface utilisateur et pour toutes les autres applications, Defender for Cloud Apps surveillera toutes les activités de tous les utilisateurs.
- Sous Nom de la règle de type, entrez un nom descriptif pour la règle.
Pour définir des groupes spécifiques à exclure de la surveillance, sous l’onglet Exclure , sélectionnez +Ajouter une règle.
Dans la boîte de dialogue Créer une règle d’exclusion, définissez les paramètres suivants :
Sous Nom de la règle de type, entrez un nom descriptif pour la règle.
Sous Sélectionner des groupes d’utilisateurs, sélectionnez tous les groupes que vous ne souhaitez pas Microsoft Defender for Cloud Apps surveiller.
- Indiquez si vous souhaitez appliquer cette règle à toutes les applications connectées ou uniquement à des applications spécifiques. Si vous sélectionnez Applications spécifiques, Microsoft Defender for Cloud Apps arrête la surveillance du groupe que vous avez sélectionné uniquement pour les applications que vous sélectionnez. Si vous sélectionnez le groupe utilisateurs de l’équipe de l’interface utilisateur et Active Directory, Microsoft Defender for Cloud Apps surveille toutes les activités des utilisateurs, à l’exception des activités Active Directory effectuées par les utilisateurs de l’équipe d’interface utilisateur.
Exemples de résultats pour les règles d’inclusion et d’exclusion
Les règles d’inclusion et d’exclusion que vous créez fonctionnent ensemble pour définir l’étendue de la surveillance globale effectuée par Microsoft Defender for Cloud Apps. Voici un exemple de règles d’inclusion et d’exclusion que vous pouvez créer, ainsi que le résultat final de ce que Microsoft Defender for Cloud Apps surveille après l’exécution de ces règles.
Si vous créez les règles suivantes :
- Exclure le groupe d’utilisateurs « Allemagne tous les utilisateurs »
- Inclure pour le groupe d’utilisateurs « Ventes globales » uniquement les activités Microsoft 365
- Inclure pour le groupe d’utilisateurs « Responsables des ventes » uniquement les activités Power BI
- Salesforce est connecté à Microsoft Defender for Cloud Apps et aucune règle n’est définie pour elle
Les activités des utilisateurs suivantes sont surveillées :
| Utilisateur | Appartenance aux groupes | Activités surveillées |
|---|---|---|
| Adriana | Allemagne tous les utilisateurs Ventes mondiales Responsables commerciaux |
Aucun |
| Alain | Ventes mondiales | Microsoft 365 et toutes les sous-applications à l’exception de Power BI |
| Cornel | Ventes mondiales Responsables commerciaux |
Microsoft 365 et toutes les sous-applications |
| Raymond | Responsables commerciaux | Power BI uniquement |
Remarque
L’étendue du groupe dans ces règles n’affecte pas les autres applications. Dans l’exemple, pour Salesforce, la surveillance inclut toutes les activités de tous les groupes d’utilisateurs.
Vérifier votre déploiement délimité
Après avoir configuré le déploiement délimité, case activée de nouveaux événements dans le journal d’activité ou la table CloudAppEvents.
Si aucun nouvel événement n’apparaît ou si des événements provenant de comptes exclus s’affichent, les comptes d’utilisateur délimités peuvent ne pas être correctement corrélés avec les identificateurs de compte de l’application. Cela peut se produire lorsqu’une application utilise un UPN comme ID de compte et qu’une autre application utilise un format d’ID de compte différent ou une valeur non UPN. Pour résoudre ce problème, créez un groupe de déploiement étendu supplémentaire qui correspond aux identificateurs de compte utilisés par l’application affectée.