Řízení připojených aplikací

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě. To zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Díky zásadám správného řízení můžete v reálném čase řídit, co uživatelé dělají v různých aplikacích. U připojených aplikací můžete na soubory nebo aktivity uplatnit akce zásad správného řízení. Akce zásad správného řízení jsou integrované akce, které můžete spouštět na souborech nebo aktivitách přímo z Microsoft Defender for Cloud Apps. Akce zásad správného řízení určují, co uživatelé dělají v reálném čase napříč připojenými aplikacemi. Informace o tom, kde můžete použít akce zásad správného řízení, najdete v tématu Použití akcí zásad správného řízení.

Poznámka

Když se Microsoft Defender for Cloud Apps pokusí spustit akci zásad správného řízení u souboru, ale selže, protože je soubor uzamčený, automaticky zopakuje akci zásad správného řízení.

Akce zásad správného řízení souborů

U připojených aplikací je možné provést následující akce zásad správného řízení, a to buď s konkrétním souborem, uživatelem nebo na základě určité zásady.

  • Oznámení:

    • Výstrahy – Výstrahy se dají aktivovat v systému a šířit prostřednictvím e-mailu a textové zprávy na základě úrovně závažnosti.

    • E-mailové oznámení uživatele – E-mailové zprávy je možné přizpůsobit a budou odeslány všem vlastníkům souborů, kteří porušují předpisy.

    • Upozornit konkrétní uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.

    • Oznámit poslednímu editoru souborů – Pošlete oznámení poslední osobě, která soubor upravila.

  • Akce zásad správného řízení v aplikacích – Podrobné akce je možné vynutit pro jednotlivé aplikace, konkrétní akce se liší v závislosti na terminologii aplikace.

    • Označování

      • Použít popisek – možnost přidat popisek citlivosti Microsoft Purview Information Protection
      • Odebrání popisku – možnost odebrat popisek citlivosti Microsoft Purview Information Protection
    • Změna sdílení

      • Odebrat veřejné sdílení – Povolí přístup jenom pojmenovaných spolupracovníků, například: Odeberte veřejný přístup pro Google Workspace a odeberte přímý sdílený odkaz pro Box a Dropbox.

      • Odebrat externí uživatele – Povolí přístup jenom uživatelům společnosti.

      • Nastavit jako soukromé – k souboru mají přístup jenom správci webu, odeberou se všechny sdílené složky.

      • Odebrání spolupracovníka – Odeberte ze souboru konkrétního spolupracovníka.

      • Omezit veřejný přístup – Nastavit veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. (Google)

      • Vypršení platnosti sdíleného odkazu – Možnost nastavit datum vypršení platnosti sdíleného odkazu, po kterém už nebude aktivní. (Box)

      • Změna úrovně přístupu odkazu ke sdílení – možnost změnit úroveň přístupu sdíleného propojení jenom mezi společností, jenom spolupracovníky a veřejností. (Box)

    • Karantény

      • Umístit do karantény uživatele – Povolit samoobslužnou službu přesunutím souboru do složky karantény řízené uživatelem

      • Umístit do karantény správce – Soubor se přesune do karantény na jednotce správce a správce ho musí schválit.

    • Dědit oprávnění z nadřazeného objektu – Tato akce zásad správného řízení umožňuje odebrat konkrétní oprávnění nastavená pro soubor nebo složku v Office 365. Pak se vraťte k jakýmkoli oprávněním nastaveným pro nadřazenou složku.

    • Koš – Přesuňte soubor do složky koše. (Box, Dropbox, Disk Google, OneDrive, SharePoint, Cisco Webex)

    policy_create alerts.

Použití akcí zásad správného řízení aktivit

  • Oznámení

    • Výstrahy – Výstrahy se dají aktivovat v systému a šířit prostřednictvím e-mailu a textové zprávy na základě úrovně závažnosti.

    • E-mailové oznámení uživatele – E-mailové zprávy je možné přizpůsobit a budou odeslány všem vlastníkům souborů, kteří porušují předpisy.

    • Upozornit další uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.

  • Akce zásad správného řízení v aplikacích – Podrobné akce je možné vynutit pro jednotlivé aplikace, konkrétní akce se liší v závislosti na terminologii aplikace.

    • Pozastavit uživatele – pozastavte uživatele z aplikace.

      Poznámka

      Pokud je vaše Azure Active Directory (Azure AD) nastavená tak, aby se automaticky synchronizovala s uživateli v místním prostředí služby Active Directory, nastavení v místním prostředí přepíše nastavení Azure AD a tato akce zásad správného řízení se vrátí zpět.

    • Vyžadovat, aby se uživatel znovu přihlásil – Odhlásí uživatele a vyžaduje, aby se znovu přihlásil.

    • Potvrďte ohrožení zabezpečení uživatele – Nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v Azure AD. Další informace o tom, jak Azure AD funguje s úrovněmi rizik, najdete v tématu Jak Azure AD používat zpětnou vazbu k riziku.

    Defender for Cloud Apps activity policy governance actions.

Konflikty zásad správného řízení

Po vytvoření více zásad může nastat situace, při které se akce zásad správného řízení v různých zásadách překrývají. V tomto případě Defender for Cloud Aplikace budou zpracovávat akce zásad správného řízení následujícím způsobem:

Konflikty mezi zásadami

  • Pokud dvě zásady obsahují akce, které jsou mezi sebou obsažené (například Odebrat externí sdílené složky jsou zahrnuty v nastavení Nastavit jako soukromé), Defender for Cloud Aplikace konflikt vyřeší a vynutí se silnější akce.
  • Pokud tyto akce nesouvisejí (například Upozornit vlastníka a Nastavit jako soukromé). provedou se obě akce.
  • Pokud dojde ke konfliktu akcí (například Změna vlastníka na uživatele A a Změnit vlastníka na uživatele B), můžou mít různé výsledky za následek každou shodu. Je důležité změnit zásady, aby se zabránilo konfliktům, protože můžou vést k nežádoucím změnám na jednotce, které budou obtížné rozpoznat.

Konflikty v synchronizaci uživatelů

  • Pokud je vaše Azure AD nastavená tak, aby se automaticky synchronizovala s uživateli v místním prostředí služby Active Directory, nastavení v místním prostředí přepíše nastavení Azure AD a tato akce zásad správného řízení se vrátí zpět.

Protokol zásad správného řízení

Protokol zásad správného řízení poskytuje záznam stavu jednotlivých úloh, které jste nastavili pro spuštění Defender for Cloud Aplikace, včetně ručních i automatických úloh. Mezi tyto úlohy patří ty, které jste nastavili v zásadách, akcích zásad správného řízení, které jste nastavili pro soubory a uživatele, a všechny další akce, které jste nastavili Defender for Cloud Aplikace, které se mají provést. Protokol zásad správného řízení také poskytuje informace o úspěchu nebo neúspěchu těchto akcí. Některé akce zásad správného řízení můžete z protokolu opakovat nebo vrátit zpět.

Pokud chcete zobrazit protokol zásad správného řízení, klikněte na řádku nabídek na ozubené settings icon. kolo nastavení a pak vyberte protokol zásad správného řízení.

Následující tabulka obsahuje úplný seznam akcí, které vám portál Defender for Cloud Apps umožňuje provádět. Tyto akce jsou povoleny na různých místech v celé konzole, jak je popsáno ve sloupci Umístění . Každá provedená akce zásad správného řízení je uvedená v protokolu zásad správného řízení. Informace o tom, jak se s akcemi zásad správného řízení zachází v případě konfliktu zásad, najdete v tématu Konflikty zásad.

Umístění Cílový typ objektu Akce zásad správného řízení Popis Související konektory
Účty Soubor Odebrat spolupráce uživatele Pro konkrétního uživatele odebere všechny spolupráce pro všechny soubory – vhodné, pokud pracovník opouští společnost. Box, Google Workspace
Účty Účet Zrušit pozastavení účtu uživatele Zruší pozastavení účtu uživatele. Google Workspace, Box, Office, Salesforce
Účty Účet Nastavení účtu Přejdete na stránku nastavení účtu v konkrétní aplikaci (například uvnitř Salesforce). Všechny aplikace (nastavení OneDrivu a SharePointu se konfigurují v systému Office)
Účty Soubor Převést vlastnictví všech souborů V rámci účtu se všechny soubory jednoho uživatele převedou do vlastnictví nově zvolené osoby. Předchozí vlastník se stane editorem a už nemůže změnit nastavení sdílení. Nový vlastník obdrží e-mailové oznámení o změně vlastnictví. Google Workspace
Účty, Zásady aktivity Účet Pozastavit účet uživateli Nastaví uživatele tak, aby neměl přístup a nemá možnost se přihlásit. Pokud se při nastavování této akce přihlásí, okamžitě se zamkne. Google Workspace, Box, Office, Salesforce
Zásady aktivity, Účty Účet Vyžadovat, aby se uživatel znovu přihlásil Odvolá všechny problémy s obnovovacími tokeny a soubory cookie relace pro aplikace uživatelem. Tato akce zabrání přístupu k datům organizace a vynutí uživatele, aby se znovu přihlásil ke všem aplikacím. Google Workspace, Office
Zásady aktivity, Účty Účet Potvrzení ohrožení zabezpečení uživatele Nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v Azure AD. Office
Zásady aktivity, Účty Účet Odvolat oprávnění správce Odvolá oprávnění pro účet správce. Například nastavení zásad aktivit, které odvolá oprávnění správce po 10 neúspěšných pokusech o přihlášení. Google Workspace
Oprávnění aplikace řídicího panelu > aplikace Oprávnění Unban app V Google a Salesforce: odeberte zákaz aplikace a umožníte uživatelům udělit oprávnění k aplikaci třetí strany s googlem nebo Salesforce. V Office 365: obnoví oprávnění aplikace třetích stran k Office. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > aplikace Oprávnění Zakázání oprávnění aplikací Odvolání oprávnění aplikace jiného výrobce pro Google, Salesforce nebo Office. Jedná se o jednorázovou akci, která bude probíhat u všech existujících oprávnění, ale nebrání budoucím připojením. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > aplikace Oprávnění Povolení oprávnění aplikací Udělte googlu, Salesforce nebo Office aplikaci jiného výrobce oprávnění. Jedná se o jednorázovou akci, která bude probíhat u všech existujících oprávnění, ale nebrání budoucím připojením. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > aplikace Oprávnění Zakázat aplikaci V Googlu a Salesforce: Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce a zakáže příjem oprávnění v budoucnu. V Office 365: neumožňuje oprávnění aplikací třetích stran pro přístup k Office, ale neodvolá je. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > aplikace Oprávnění Odvolat oprávnění k aplikaci Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce. Jedná se o jednorázovou akci, která bude probíhat u všech existujících oprávnění, ale nebrání budoucím připojením. Google Workspace, Salesforce
Oprávnění aplikace řídicího panelu > aplikace Účet Odvolat oprávnění uživatele k aplikaci Když kliknete na číslo v části Uživatelé, můžete odvolat oprávnění konkrétních uživatelů. Na obrazovce se zobrazí konkrétní uživatelé a pomocí X můžete odstranit oprávnění pro každého uživatele. Google Workspace, Salesforce
Zjišťování > zjištěných aplikací, IP adres nebo uživatelů Cloud Discovery Exportovat data zjišťování Na základě dat zjišťování vytvoří soubor CSV. Zjišťování
Zásady souborů Soubor Koš Přesune soubor do koše uživatele. Box, Dropbox, Disk Google, OneDrive, SharePoint, Cisco Webex (trvalé odstranění)
Zásady souborů Soubor Oznámit poslednímu editorovi souboru Poslednímu editorovi souboru odešle e-mail s oznámením, že tento soubor narušuje zásady. Google Workspace, Box
Zásady souborů Soubor Oznámit vlastníkovi souboru Odešle e-mail vlastníkovi souboru, když soubor porušuje zásady. Pokud v Dropboxu není k souboru přiřazený vlastník, oznámení se zašle konkrétnímu uživateli, kterého nastavíte. Všechny aplikace
Zásady souborů, Zásady aktivit Soubor, Aktivita Oznámit konkrétním uživatelům Konkrétním uživatelům odešle e-mail s oznámením o souboru, který narušuje zásady. Všechny aplikace
Zásady souborů a Zásady aktivit Soubor, Aktivita Upozornit uživatele Odešle uživatelům e-mail s upozorněním, že něco, co udělali, nebo soubory, který vlastní, narušuje zásady. Můžete přidat vlastní oznámení a dát jim vědět, o jaké narušení šlo. Vše
Zásady souborů a Soubory Soubor Zakázat sdílení editorům Výchozí editorské oprávnění k souboru v Google Drive umožňuje také sdílení. Tato akce zásad správného řízení omezuje tuto možnost a omezuje sdílení souboru na vlastníka. Google Workspace
Zásady souborů a Soubory Soubor Umístit do karantény správce Odebere ze souboru všechna oprávnění a přesune ho do složky karantény v umístění správce. Tato akce umožňuje správci soubor zkontrolovat a odebrat. Office 365 SharePoint, OneDrive pro firmy, Box
Zásady souborů a Soubory Soubor Použití popisku citlivosti Použije Microsoft Purview Information Protection popisek citlivosti na soubory automaticky na základě podmínek nastavených v zásadách. Box, One Drive, Google Workspace, SharePoint
Zásady souborů a Soubory Soubor Odebrání popisku citlivosti Odebere Microsoft Purview Information Protection popisek citlivosti ze souborů automaticky na základě podmínek nastavených v zásadách. Popisky můžete odebrat jenom v případě, že neobsahují ochranu a byly použity z aplikace Defender for Cloud, nikoli popisky použité přímo v Information Protection. Box, One Drive, Google Workspace, SharePoint
Zásady souborů, zásady aktivit, upozornění Aplikace Vyžadovat, aby se uživatelé znovu přihlásili Můžete vyžadovat, aby se uživatelé znovu přihlásili ke všem Office 365 a Azure AD aplikacím jako rychlá a efektivní náprava pro podezřelé upozornění na aktivity uživatelů a ohrožené účty. Nové zásady správného řízení najdete v nastavení zásad a na stránkách upozornění vedle možnosti Pozastavit uživatele. Office 365, Azure AD
Soubory Soubor Obnovit z karantény uživatele Zruší karanténu uživatele. Box
Soubory Soubor Udělit oprávnění pro čtení sobě Udělí oprávnění pro čtení souboru vám, takže k němu budete mít přístup a budete moct zjistit, jestli u něho došlo k narušení. Google Workspace
Soubory Soubor Povolit sdílení editorům Ve Disk Google výchozí oprávnění editoru souboru umožňuje také sdílení. Tato akce zásad správného řízení je opakem možnosti Odebrat editor sdílení a umožňuje editoru sdílet soubor. Google Workspace
Soubory Soubor Ochrana Chraňte soubor pomocí Azure Information Protection použitím šablony organizace. Office 365 (SharePoint a OneDrive)
Soubory Soubor Odvolat oprávnění ke čtení ode mne Odvolá oprávnění ke čtení souboru pro vás. To je užitečné, pokud jste si sami udělili oprávnění, abyste zjistili, jestli u souboru došlo k narušení. Google Workspace
Soubory, Zásady souborů Soubor Převést vlastnictví souboru Změní vlastníka – v zásadách zvolíte konkrétního vlastníka. Google Workspace
Soubory, Zásady souborů Soubor Omezení veřejného přístupu Tato akce umožňuje nastavit veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. Google Workspace
Soubory, Zásady souborů Soubor Odebrat spolupracovníka Odebere ze souboru konkrétního spolupracovníka. Google Workspace, Box, One Drive, SharePoint
Soubory, Zásady souborů Soubor Nastavit jako soukromý K souboru mají přístup jenom správci webu, odeberou se všechny sdílené složky. Google Workspace, One Drive, SharePoint
Soubory, Zásady souborů Soubor Odebrat externí uživatele Odebere všechny externí spolupracovníky (mimo domény, které jsou v Nastavení nakonfigurované jako interní). Google Workspace, Box, One Drive, SharePoint
Soubory, Zásady souborů Soubor Udělit doméně oprávnění pro čtení Udělí souboru oprávnění pro čtení k zadané doméně (celé doméně nebo konkrétní doméně). Tato akce je užitečná, pokud chcete odebrat veřejný přístup po udělení přístupu k doméně lidí, kteří na ní potřebují pracovat. Google Workspace
Soubory, Zásady souborů Soubor Umístit do uživatelské karantény Odebere ze souboru všechna oprávnění a přesune soubor do složky karantény v kořenové jednotce uživatele. Tato akce umožňuje uživateli zkontrolovat soubor a přesunout ho. Pokud se ručně přesune zpět, sdílení souborů se neobnoví. Box, OneDrive, SharePoint
Soubory Soubor Vypršení platnosti sdíleného odkazu Nastavte datum vypršení platnosti sdíleného odkazu, po kterém už nebude aktivní. Box
Soubory Soubor Změna úrovně přístupu odkazu ke sdílení Změní úroveň přístupu sdíleného odkazu jenom mezi společností, jenom spolupracovníky a veřejností. Box
Soubory, Zásady souborů Soubor Odebrat veřejný přístup Pokud byl soubor váš a vy jste ho umístili do veřejného přístupu, bude přístupný komukoli jinému nakonfigurovaným s přístupem k souboru (v závislosti na tom, jaký typ přístupu soubor měl). Google Workspace
Soubory, Zásady souborů Soubor Odebrat přímý sdílený odkaz Odebere odkaz vytvořený pro soubor, který je veřejný, ale sdílí se jenom s konkrétními lidmi. Box, Dropbox
> Nastavení nastavení Cloud Discovery Cloud Discovery Přepočítat skóre Cloud Discovery Po změně metriky skóre přepočítá skóre v katalogu cloudových aplikací. Zjišťování
> Nastavení nastavení > Cloud Discovery – Správa zobrazení dat Cloud Discovery Vytvořit vlastní zobrazení dat filtru Cloud Discovery Vytvoří nové zobrazení dat s podrobnějším zobrazením výsledků zjišťování, například konkrétními rozsahy IP adres. Zjišťování
> odstranění dat Nastavení nastavení > Cloud Discovery Cloud Discovery Odstranit data Cloud Discovery Odstraní všechna data shromážděná ze zdrojů zjišťování. Zjišťování
> Nastavení nastavení > Cloud Discovery Upload protokoly ručně nebo Upload protokoly automaticky Cloud Discovery Analyzovat data Cloud Discovery Odešle oznámení, že všechna data protokolu byla analyzována. Zjišťování

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.