Begränsa distributionen till specifika användare eller användargrupper

Microsoft Defender for Cloud Apps gör att du kan begränsa distributionen. Med omfång kan du välja vissa användargrupper som ska övervakas för appar eller undantas från övervakning.

Inkludera eller exkludera användargrupper

Du kanske inte vill använda Microsoft Defender for Cloud Apps för alla användare i din organisation. Omfång är särskilt användbart när du vill begränsa distributionen på grund av licensbegränsningar. Du kan också behöva begränsa på grund av efterlevnadsregler som kräver att du inte övervakar användare från vissa länder/regioner. Använd till exempel begränsad distribution för att endast övervaka USA-baserade anställda. Du kan också undvika att visa aktiviteter för dina användare i Tyskland.

• Om du vill begränsa distributionen måste du först importera användargrupper till Microsoft Defender for Cloud Apps. Som standard visas följande grupper:

  • Programanvändargrupp – en inbyggd grupp som du kan använda för att se aktiviteter som utförs av Microsoft 365 och Microsoft Entra-program.

  • Grupp för externa användare – Alla användare som inte är medlemmar i någon av de hanterade domäner som du har konfigurerat för din organisation.

• Om du anger en inkluderingsregel undantas automatiskt alla grupper som inte ingår i den inkluderade gruppen. Om du till exempel anger en regel för att inkludera alla medlemmar i grupperna usa-kontor övervakas inte alla grupper som inte ingår i den gruppen.

• Undantagna användargrupper åsidosätter inkluderade användargrupper. Om du inkluderar användargruppen brittiska anställda men exkluderar marknadsföring övervakar Microsoft Defender for Cloud Apps inte marknadsföringsmedlemmar från Storbritannien även om de är medlemmar i gruppen med brittiska anställda.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under System väljer du Omfångsdistribution och sekretess.

2. Om du vill begränsa distributionen till att inkludera eller exkludera specifika grupper importerar du användargrupper till Microsoft Defender for Cloud Apps.

3. Om du vill ange vilka grupper som ska övervakas av Microsoft Defender for Cloud Apps går du till fliken Inkludera och väljer +Lägg till regel.

4. I dialogrutan Skapa ny inkluderingsregel utför du följande steg:

   1. Under Typregelnamn anger du ett beskrivande namn för regeln.
      1. Under Välj användargrupper markerar du alla grupper som du vill övervaka med hjälp av Microsoft Defender for Cloud Apps.
   2. Välj om du vill tillämpa den här regeln på alla anslutna appar eller endast på Specifika appar. Om du väljer Specifika appar påverkar regeln endast övervakningen av de appar som du väljer. Om du till exempel väljer gruppanvändare för användargränssnittsteamet och Box övervakar Defender for Cloud Apps endast Box-aktivitet för användare i användargränssnittsgruppen och för alla andra appar övervakar Defender for Cloud Apps alla aktiviteter för alla användare.

   

5. Om du vill ange att vissa grupper ska undantas från övervakning går du till fliken Exkludera och väljer +Lägg till regel.

6. I dialogrutan Skapa ny exkludera regel anger du följande parametrar:

   1. Under Typregelnamn anger du ett beskrivande namn för regeln.

   2. Under Välj användargrupper markerar du alla grupper som du inte vill att Microsoft Defender for Cloud Apps ska övervaka.

      1. Välj om du vill tillämpa den här regeln på alla anslutna appar eller endast på Specifika appar. Om du väljer Specifika appar slutar Microsoft Defender for Cloud Apps endast övervaka den grupp som du har valt för de appar som du väljer. Om du väljer gruppanvändarna för användargränssnittsteamet och služba Active Directory övervakar Microsoft Defender for Cloud Apps all användaraktivitet utom služba Active Directory-aktiviteter som utförs av användare i användargränssnittsteamet.

      

Exempelresultat för inkludera och exkludera regler

Reglerna för att inkludera och exkludera som du skapar fungerar tillsammans för att begränsa den övergripande övervakning som Microsoft Defender for Cloud Apps utför. Här är ett exempel på inkludera och exkludera regler som du kan skapa, och det slutliga resultatet av vad Microsoft Defender for Cloud Apps övervakare efter att dessa regler har körts.

Om du skapar följande regler:

• Exkludera användargruppen "Tyskland alla användare"
• Inkludera endast Microsoft 365-aktiviteter för användargruppen "Global försäljning"
• Inkludera endast Power BI-aktiviteter för användargruppen "Säljchefer"
• Salesforce är ansluten till Microsoft Defender for Cloud Apps och inga regler har angetts för den

Följande användaraktiviteter övervakas:

Verifiera din omfångsdistribution

När du har konfigurerat begränsad distribution söker du efter nya händelser i aktivitetsloggen eller tabellen CloudAppEvents .

Om inga nya händelser visas, eller om händelser från exkluderade konton visas, kanske de begränsade användarkontona inte är korrekt korrelerade med programmets kontoidentifierare. Detta kan inträffa när ett program använder ett UPN som konto-ID och ett annat program använder ett annat konto-ID-format eller ett icke-UPN-värde. Lös problemet genom att skapa ytterligare en omfångsdistributionsgrupp som matchar de kontoidentifierare som används av det berörda programmet.

Nästa steg

• Konfigurera molnidentifiering