Bereichsbezogene Bereitstellung
Mit Microsoft Cloud App Security können Sie den Bereich Ihrer Bereitstellung festlegen. Wenn Sie einen Bereich festlegen, können Sie bestimmte Benutzergruppen auswählen, die entweder im Hinblick auf Apps überwacht oder von der Überwachung ausgeschlossen werden sollen.
Hinweis
Die Bereichsbereitstellung reduziert nicht die Anzahl der Dateien, die aus den konfigurierten App-Verbindung gescannt werden.
Einschließen oder Ausschließen von Benutzergruppen
Möglicherweise möchten Sie Microsoft Cloud App Security nicht für alle Benutzer in Ihrer Organisation verwenden. Das Festlegen von Bereichen ist besonders nützlich, wenn Sie Ihre Bereitstellung aufgrund von Lizenzeinschränkungen einschränken möchten. Einschränkungen sind ggf. auch aufgrund von Konformitätsbestimmungen notwendig, gemäß denen Benutzer aus bestimmten Ländern nicht überwacht werden dürfen. Verwenden Sie die bereichsbezogene Bereitstellung z. B., um ausschließlich Mitarbeiter in den USA zu überwachen. Stattdessen können Sie z. B. auch verhindern, dass die Aktivitäten von Benutzern in Deutschland angezeigt werden.
Um den Bereich Ihrer Bereitstellung festzulegen, müssen Sie zuerst in Microsoft Cloud App Security Benutzergruppen importieren. Standardmäßig werden die folgenden Gruppen angezeigt:
Die Benutzergruppe Anwendung: eine integrierte Gruppe, über die Ihnen Aktivitäten angezeigt werden, die von Office 365- und Azure AD-Anwendungen ausgeführt werden.
Gruppe externer Benutzer – Alle Benutzer, die nicht Mitglied einer der verwalteten Domänen sind, die Sie für Ihre Organisation konfiguriert haben.
Das Festlegen einer Einbeziehungsregel schließt automatisch alle außerhalb der Einbeziehungsgruppe befindlichen Gruppen aus. Wenn Sie beispielsweise eine Regel zum Einbeziehen aller Mitglieder der US-Bürogruppen festlegen, werden alle Gruppen, die nicht Teil dieser Gruppe sind, nicht überwacht.
Ausgeschlossene Benutzergruppen setzen einbezogene Benutzergruppen außer Kraft. D. h., wenn Sie die Benutzergruppe „UK-employees“ einbeziehen, „Marketing“ aber ausschließen, werden Marketingmitglieder aus dem Vereinigten Königreich auch dann nicht überwacht, wenn sie Mitglieder der Gruppe UK-employees sind.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus. Wählen Sie unter System die Option Bereichsbezogene Bereitstellung und Datenschutz aus.
Wenn Sie den Bereich Ihrer Bereitstellung durch Einbeziehen oder Ausschließen von Gruppen festlegen möchten, müssen Sie zuerst in Microsoft Cloud App Security Benutzergruppen importieren auswählen.
Um bestimmte Gruppen festzulegen, die von Microsoft Defender for Cloud Apps überwacht werden sollen, wählen Sie auf der Registerkarte Einschließen die Option +Regel hinzufügen aus.
Führen Sie im Dialogfeld Neue Einbeziehungsregel erstellen die folgenden Schritte aus:
Geben Sie unter Regelnamen eingeben einen aussagekräftigen Namen für die Regel ein.
Wählen Sie unter Benutzergruppen auswählen alle Gruppen aus, die Sie mit Cloud App Security überwachen möchten.
Wählen Sie aus, ob Sie diese Regel auf alle verbundenen Apps oder nur auf Bestimmte Apps anwenden möchten. Bei Auswahl von Bestimmte Apps beeinflusst die Regel nur die Überwachung der Apps, die Sie auswählen. Wenn Sie beispielsweise die Gruppe UI team users (Benutzer des Benutzeroberflächenteams) und Box auswählen, überwacht Cloud App Security nur Box-Aktivitäten von Benutzern der Benutzergruppe „Benutzeroberflächenteam“, während für alle anderen Apps alle Aktivitäten für alle Benutzer überwacht werden.
Um bestimmte Gruppen festzulegen, die von der Überwachung ausgeschlossen werden sollen, klicken Sie in der Registerkarte Ausschließen auf das Pluszeichen.
Legen Sie im Dialogfeld Neue Ausschlussregel erstellen die folgenden Parameter fest:
Geben Sie unter Regelnamen eingeben einen aussagekräftigen Namen für die Regel ein. Wählen Sie unter Benutzergruppen auswählen alle Gruppen aus, die Cloud App Security nicht überwachen soll.
Wählen Sie aus, ob Sie diese Regel auf alle verbundenen Apps oder nur auf Bestimmte Apps anwenden möchten. Bei Auswahl von Bestimmte Apps beendet Cloud App Security die Überwachung der Gruppe, die Sie ausgewählt haben, nur für die Apps, die Sie auswählen. D. h., wenn Sie die Gruppe UI team users (Benutzer des Benutzeroberflächenteams) und Active Directory auswählen, überwacht Cloud App Security alle Benutzeraktivitäten mit Ausnahme von Active Directory-Aktivitäten, die von Benutzern des Benutzeroberflächenteams durchgeführt werden.
Beispielergebnisse für Einbeziehungs- und Ausschlussregeln
Die Einbeziehungs- und Ausschlussregeln, die Sie erstellen, ergeben zusammen den Bereich der gesamten von Microsoft Cloud App Security ausgeführten Überwachung. Hier ist ein Beispiel der Einbeziehungs- und Ausschlussregeln, die Sie erstellen können, und dessen, was Microsoft Cloud App Security überwacht, nachdem diese Regeln ausgeführt werden.
Wenn Sie die folgenden Regeln erstellen:
- Benutzergruppe „Germany all users“ ausschließen
- Für Benutzergruppe „Global Sales“ nur Office 365-Aktivitäten einbeziehen
- Für Benutzergruppe „Global Sales“ nur Power BI-Aktivitäten einbeziehen
- Salesforce ist mit Microsoft Cloud App Security verbunden. Für Salesforce sind keine Regeln festgelegt
Die folgenden Benutzeraktivitäten werden überwacht:
| Benutzer | Gruppenmitgliedschaft | Überwachte Aktivitäten |
|---|---|---|
| Adriana | Germany all users Global sales Vertriebsleiter |
Keine |
| Alain | Global sales | Office 365 und alle untergeordneten Apps außer Power BI |
| Cornel | Global sales Vertriebsleiter |
Microsoft 365 und alle Unterapps |
| Raymond | Vertriebsleiter | Nur Power BI |
Hinweis
Andere Apps werden von den festgelegten Gruppen in diesen Regeln nicht beeinträchtigt. Im Beispiel werden für Salesforce alle Aktivitäten aller Gruppen überwacht.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.