Déploiement étendu

  • Article

Microsoft Defender for Cloud Apps vous permet de délimiter votre déploiement. La délimitation vous permet de sélectionner certains groupes d’utilisateurs à surveiller pour des applications ou à exclure de la surveillance.

Remarque

Le déploiement délimité ne réduit pas le nombre de fichiers analysés à partir des Connecteur d'applications configurés.

Inclure ou exclure des groupes d’utilisateurs

Il est envisageable, dans certains cas, de ne pas utiliser Microsoft Defender for Cloud Apps pour tous les utilisateurs de l’organisation. La délimitation est particulièrement utile quand vous voulez limiter votre déploiement en raison de restrictions des licences. Une limitation peut aussi être nécessaire en raison de réglementations de conformité vous imposant de ne pas surveiller les utilisateurs de certains pays/certaines régions. Par exemple, utilisez des déploiements délimités pour surveiller seulement les employés basés aux États-Unis. À l’inverse, vous pouvez éviter de montrer les activités pour vos utilisateurs basés en Allemagne.

  • Pour définir l’étendue de votre déploiement, vous devez commencer par importer les groupes d’utilisateurs dans Microsoft Defender for Cloud Apps. Par défaut, vous voyez les groupes suivants :

    • Groupe d’utilisateurs Application – un groupe intégré qui vous permet de voir les activités effectuées par les applications Microsoft 365 et Microsoft Entra.

    • Groupe Utilisateurs externes – Tous les utilisateurs qui ne sont membres d’aucun des domaines managés que vous avez configurés pour votre organisation.

  • La définition d’une règle d’inclusion a pour effet d’exclure automatiquement tous les groupes qui ne font pas partie du groupe inclus. Par exemple, si vous définissez une règle pour inclure tous les membres des groupes « Bureaux USA », les groupes qui n’en font pas partie ne sont pas surveillés.

  • Les groupes d’utilisateurs exclus écrasent les groupes d’utilisateurs inclus. Cela signifie que si vous incluez le groupe d’utilisateurs « Employés GB » mais que vous excluez « Marketing », les membres du service marketing au Royaume-Uni ne sont pas surveillés, alors qu’ils sont membres du groupe Employés GB.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Système, sélectionnez Déploiement délimité et confidentialité.

  2. Pour délimiter votre déploiement en incluant ou en excluant des groupes spécifiques, vous devez d’abord importer les groupes d’utilisateurs dans Microsoft Defender for Cloud Apps.

  3. Pour définir des groupes spécifiques à surveiller par Microsoft Defender for Cloud Apps, sous l’onglet Inclure, sélectionnez +Ajouter une règle.

  4. Dans la boîte de dialogue Créer une règle d’inclusion, effectuez les étapes suivantes :

    1. Sous Taper le nom de la règle, donnez un nom descriptif à la règle.

    2. Sous Sélectionner des groupes d’utilisateurs, sélectionnez tous les groupes pour lesquels vous souhaitez effectuer un monitoring avec Defender for Cloud Apps.

    3. Indiquez si vous souhaitez appliquer cette règle à toutes les applications connectées, ou seulement à Certaines applications. Si vous sélectionnez Certaines applications, la règle n’affectera que le monitoring des applications sélectionnées. Par exemple, si vous sélectionnez le groupe Utilisateurs de l’équipe IU et Box, Defender for Cloud Apps surveille seulement l’activité Box pour les utilisateurs de votre groupe « Utilisateurs de l’équipe IU » et, pour toutes les autres applications, il surveille toutes les activités de tous les utilisateurs.

      include rule.

  5. Pour définir des groupes à exclure de la surveillance, sous l’onglet Exclure, sélectionnez +Ajouter une règle.

  6. Dans la boîte de dialogue Créer une règle d’exclusion, définissez les paramètres suivants :

    1. Sous Taper le nom de la règle, donnez un nom descriptif à la règle. Sous Sélectionner des groupes d’utilisateurs, sélectionnez tous les groupes pour lesquels vous ne souhaitez pas effectuer un monitoring avec Defender for Cloud Apps.

    2. Indiquez si vous souhaitez appliquer cette règle à toutes les applications connectées, ou seulement à Certaines applications. Si vous sélectionnez Certaines applications, Defender for Cloud Apps ne cessera la surveillance du groupe sélectionné que pour les applications sélectionnées. Cela signifie que si vous sélectionnez le groupe Utilisateurs de l’équipe IU et Active Directory, Defender for Cloud Apps surveille toutes les activités des utilisateurs à l’exception des activités Active Directory effectuées par les utilisateurs de l’équipe IU.

      exclude rule.

Exemples de résultats pour des règles d’inclusion et d’exclusion

Les règles d’inclusion et d’exclusion créées fonctionnent conjointement pour définir l’étendue du monitoring global effectué par Microsoft Defender for Cloud Apps. Voici un exemple de règles d’inclusion et d’exclusion possibles, et le résultat final du monitoring effectué par Microsoft Defender for Cloud Apps une fois ces règles appliquées.

Si l’on crée les règles suivantes :

  • Exclure le groupe d’utilisateurs « Germany all users » (« Tous les utilisateurs d’Allemagne »)
  • Pour le groupe d’utilisateurs « Ventes à l’international », inclure seulement les activités Microsoft 365
  • Pour le groupe d’utilisateurs « Sales managers » (« Directeurs commerciaux »), inclure seulement les activités Power BI
  • Salesforce est connecté à Microsoft Defender for Cloud Apps et aucune règle n’est définie pour celui-ci

Les activités suivantes des utilisateurs font l’objet d’un monitoring :

Utilisateur Appartenance au groupe Activités faisant l’objet d’un monitoring
Adriana Germany all users
Global sales
Directeurs commerciaux		 Aucun
Alain Global sales Microsoft 365 et toutes les sous-applications à l’exception de Power BI
Cornel Global sales
Directeurs commerciaux		 Microsoft 365 et toutes les sous-applications
Raymond Directeurs commerciaux Power BI uniquement

Remarque

Les autres applications ne sont pas affectées par l’étendue de groupe dans ces règles. Dans l’exemple, pour Salesforce, toutes les activités sont surveillées sur tous les groupes d’utilisateurs.

Étapes suivantes

Configurer Cloud Discovery

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.