Definire l'ambito della distribuzione per utenti o gruppi di utenti specifici

Microsoft Defender for Cloud Apps consente di definire l'ambito della distribuzione. La definizione dell'ambito consente di selezionare determinati gruppi di utenti da monitorare per le app o esclusi dal monitoraggio.

Includere o escludere gruppi di utenti

Potrebbe non essere necessario usare Microsoft Defender for Cloud Apps per tutti gli utenti dell'organizzazione. La definizione dell'ambito è particolarmente utile quando si vuole limitare la distribuzione a causa di restrizioni di licenza. Potrebbe anche essere necessario limitare a causa delle normative di conformità che richiedono di non monitorare gli utenti di determinati paesi/aree geografiche. Ad esempio, usare la distribuzione con ambito per monitorare solo i dipendenti con sede negli Stati Uniti. In alternativa, è possibile evitare di visualizzare le attività per gli utenti con sede in Germania.

• Per definire l'ambito della distribuzione, è prima necessario importare i gruppi di utenti in Microsoft Defender for Cloud Apps. Per impostazione predefinita, verranno visualizzati i gruppi seguenti:

  • Gruppo di utenti dell'applicazione: gruppo predefinito che è possibile usare per visualizzare le attività eseguite da Microsoft 365 e Microsoft Entra applicazioni.

  • Gruppo di utenti esterni : tutti gli utenti che non sono membri di nessuno dei domini gestiti configurati per l'organizzazione.

• L'impostazione di una regola di inclusione esclude automaticamente tutti i gruppi non inclusi nel gruppo incluso. Ad esempio, se si imposta una regola per includere tutti i membri dei gruppi us-office, tutti i gruppi che non fanno parte di tale gruppo non verranno monitorati.

• I gruppi di utenti esclusi sostituiscono i gruppi di utenti inclusi. Se si include il gruppo di utenti uk-employees ma si esclude Marketing, Microsoft Defender for Cloud Apps non monitora i membri del marketing dal Regno Unito anche se sono membri del gruppo uk-employees.

1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Sistema selezionare Distribuzione e privacy con ambito.

2. Per definire l'ambito della distribuzione per includere o escludere gruppi specifici, importare gruppi di utenti in Microsoft Defender for Cloud Apps.

3. Per impostare gruppi specifici da monitorare da Microsoft Defender for Cloud Apps, nella scheda Includi selezionare +Aggiungi regola.

4. Nella finestra di dialogo Crea nuova regola di inclusione completare la procedura seguente:

   1. In Nome regola tipo immettere un nome descrittivo per la regola.
      1. In Seleziona gruppi di utenti selezionare tutti i gruppi da monitorare usando Microsoft Defender for Cloud Apps.
   2. Selezionare se si vuole applicare questa regola a tutte le app connesse o solo ad app specifiche. Se si seleziona App specifiche, la regola influirà solo sul monitoraggio delle app selezionate. Ad esempio, se selezioni gli utenti del team dell'interfaccia utente del gruppo e Box, Defender for Cloud Apps monitorerà solo l'attività Box per gli utenti del gruppo utenti del team dell'interfaccia utente e per tutte le altre app, Defender for Cloud Apps monitorerà tutte le attività per tutti gli utenti.

   

5. Per impostare gruppi specifici da escludere dal monitoraggio, nella scheda Escludi selezionare +Aggiungi regola.

6. Nella finestra di dialogo Crea nuova regola di esclusione impostare i parametri seguenti:

   1. In Nome regola tipo immettere un nome descrittivo per la regola.

   2. In Seleziona gruppi di utenti selezionare tutti i gruppi che non si desidera Microsoft Defender for Cloud Apps monitorare.

      1. Selezionare se si vuole applicare questa regola a tutte le app connesse o solo ad app specifiche. Se si seleziona App specifiche, Microsoft Defender for Cloud Apps interrompe il monitoraggio del gruppo selezionato solo per le app selezionate. Se si selezionano gli utenti del team dell'interfaccia utente del gruppo e Active Directory, Microsoft Defender for Cloud Apps monitora tutte le attività degli utenti ad eccezione delle attività di Active Directory eseguite dagli utenti del team dell'interfaccia utente.

      

Risultati di esempio per le regole di inclusione ed esclusione

Le regole di inclusione ed esclusione create interagiscono per definire l'ambito del monitoraggio complessivo eseguito Microsoft Defender for Cloud Apps. Ecco un esempio di regole di inclusione ed esclusione che è possibile creare e il risultato finale di ciò che Microsoft Defender for Cloud Apps monitora dopo l'esecuzione di queste regole.

Se si creano le regole seguenti:

• Escludere il gruppo di utenti "Germania tutti gli utenti"
• Includere solo le attività di Microsoft 365 per il gruppo di utenti "Vendite globali"
• Includere solo le attività di Power BI per il gruppo di utenti "Sales manager"
• Salesforce è connesso a Microsoft Defender for Cloud Apps e non sono impostate regole

Vengono monitorate le attività utente seguenti:

Verificare la distribuzione con ambito

Dopo aver configurato la distribuzione con ambito, verificare la presenza di nuovi eventi nel log attività o nella tabella CloudAppEvents .

Se non vengono visualizzati nuovi eventi o vengono visualizzati eventi di account esclusi, gli account utente con ambito potrebbero non essere correttamente correlati agli identificatori dell'account dell'applicazione. Ciò può verificarsi quando un'applicazione usa un UPN come ID account e un'altra applicazione usa un formato di ID account diverso o un valore non UPN. Per risolvere questo problema, creare un gruppo di distribuzione con ambito aggiuntivo corrispondente agli identificatori dell'account usati dall'applicazione interessata.

Passaggi successivi

• Configurare l'individuazione cloud