接続されているアプリからユーザー グループをインポートする
API コネクタを使用してアプリを接続するとき、Microsoft Defender for Cloud Apps を使用し、たとえば、Microsoft 365 や Microsoft Entra ID などからユーザー グループをインポートできます。 2 種類のユーザー グループがあります。
自動グループ: 自動グループは、既定では Microsoft Defender for Cloud Apps によって作成されます。 たとえば、External という名前の自動ユーザー グループがあります。このグループは、組織にとって部外者にあたるすべてのユーザーがすべてのアプリから集められて作られ、ファイルへのアクセスが許可されます。あるいは、テナントのユーザー アクティビティに関与したユーザーのグループです。 Defender for Cloud Apps には、次の自動グループが存在します。
- 外部
- Dropbox 管理者
- Microsoft 365 管理者
- Google Workspace 管理者
- Box 管理者
- すべての Salesforce 標準/カスタム プロファイル (Salesforce システム管理者など)。 こちらの詳細な一覧を参照してください。
インポート済みのグループ: 接続されているアプリから任意のグループをインポートできます。 たとえば、Microsoft 365 (Active Directory) とその他の接続されているアプリからユーザー グループをインポートできます。 組織全体や特定のユーザーを見なくても、特定のグループを見ることで組織内の脅威を探すことができます。
インポートされたユーザー グループを使用する一般的なシナリオは次のとおりです。
- 人事担当者がどちらのドキュメントを見ているのかを調べる。
- 役員グループに異常が発生していないかどうかを確認する。
- 管理者グループの誰かが米国外でアクティビティを実行したかどうかを探す。
ユーザー グループのインポート
Microsoft Defender XDR で、[設定] > [Cloud Apps] > [システム] > [ユーザー グループ] > [+ ユーザー グループのインポート] を選択します。
[ユーザー グループのインポート] ウィンドウで、ユーザー グループのインポート元のアプリを選択します。 表示されるアプリは、展開したコネクタによって異なります。
インポートするグループを選択します。 リストには、アプリ内の既存のユーザー グループから最初の 50 のグループが含まれます。 グループが表示されない場合は、リストの上部にある検索フィールドに検索テキストを入力します。
新しいグループをリストに追加するには、アプリ自体で追加してから Microsoft Defender ポータルに戻り、新しいグループをリストに表示します。
(省略可能) 選択すると、インポート プロセスの完了時にメールで通知されます。
インポートを選択します。
インポートが完了したら、[ユーザー グループ] ページからグループを選択し、すべてのグループ メンバーが含まれる一覧を表示します。 使用アプリやアカウント アクティビティの概要など詳細を確認する場合は、さらにドリルダウンするグループ メンバーを選択します。 インポートされたグループは、アクティビティ ログで調査する場合およびポリシーを作成する場合にフィルターとして選択することもできます。 グループ メンバーは、Active Directory Connect の場合と同様に、インポートされたグループに対して自動的に同期されます。
Note
- インポートされるユーザーグループの最大数は 500 です。
- アクティブなユーザーのみが、インポートされたグループの一部としてインポートされます。 中断されたユーザー、削除されたユーザー、または無効なユーザーは無視されます。
- インポートされたユーザー グループがフィルターで使用できるようになるまで、少し時間がかかることがあります。
- あるユーザー グループのインポート後に実行されたアクティビティにのみ、そのユーザー グループのメンバーにより実行されているというタグが付けられます。
- 最初の同期後は、通常 1 時間ごとにグループが更新されます。 ただし、さまざまな要因により、これには数時間かかる場合があります。
ユーザー グループ フィルターの使用方法については、「アクティビティ」を参照してください。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。