Komma igång med inställningar för Insider-riskhantering
Insider-riskhanteringsinställningar gäller för alla insider-riskhanteringsprinciper, oavsett vilken mall du väljer när du skapar en princip. Inställningar konfigureras med hjälp av kontrollen för Insider-riskinställningar högst upp på alla insider riskhanteringssidor. De här inställningarna styr principkomponenter för följande områden:
- Sekretess
- Indikatorer
- Policytidslinje
- Intelligenta identifieringar
- Exportera aviseringar
- Prioritet för användargrupper (förhandsversion)
- Fysiska tillgångar prioritet (förhandsversion)
- Power Automate flöden (förhandsversion)
- Microsoft Teams (förhandsvisning)
- Analys
Innan du kommer igång och skapar principer för insider-riskhantering är det viktigt att förstå de här inställningarna och välja de nivåer som bäst passar organisationens efterlevnadsbehov.
Sekretess
Det är viktigt att skydda sekretessen för användare som har principmatchningar och kan öka objektivityen vid dataundersökning och analysgranskningar för insiderriskvarningar. Du kan välja någon av följande inställningar för användare med en insider-riskprincip:
Visa anonyma versioner av användarnamn: Namn på användare anonymiseras för att förhindra att administratörer, dataadministratörer och granskare ser vem som är associerad med principaviseringar. En användare av "Grace Taylor" skulle till exempel visas med en slumpmässigt vald alias, till exempel "AnonIS8-988" i alla delar av upplevelsen med insider-riskhantering. Om du väljer den här inställningen anonymiseras alla användare med aktuella och tidigare principmatchningar, och alla principer gäller. Informationen i användarprofilen i insider-risken är inte tillgänglig när du väljer det här alternativet. Användarnamn visas när du lägger till nya användare i befintliga principer eller när du tilldelar användare till nya principer. Om du väljer att inaktivera den här inställningen visas användarnamnen för alla användare som har matchningar gällande eller tidigare princip.
Viktigt
För att upprätthålla referensintegritet för användare som har riskvarningar för Insiders eller i fall i Microsoft 365 eller andra system, bevaras inte anonymisering av användarnamn för exporterade aviseringar. Exporterade aviseringar visar användarnamn för varje avisering.
Visa inte anonyma versioner av användarnamn: Användarnamn visas för alla aktuella och tidigare principmatchningar för aviseringar och fall. Information om användarprofilen (namn, titel, alias och organisation eller avdelning) visas för användaren för alla varningar och ärenden inom Insider-riskhantering.

Indikatorer
Mallar för Insider-riskprinciper definierar vilken typ av riskaktiviteter som du vill identifiera och undersöka. Varje principmall baseras på specifika indikatorer som motsvarar specifika utlösare och riskaktiviteter. Alla indikatorer är inaktiverade som standard, och du måste välja en eller flera principindikatorer innan du konfigurerar en princip för Insider-riskhantering.
Aviseringar utlöses av principer när användare utför aktiviteter som är relaterade till principindikatorer som uppfyller ett obligatoriskt tröskelvärde. Insider-riskhantering använder två typer av indikatorer:
- Utlösa händelser: Händelser som bestämmer om en användare är aktiv i en princip för insider-riskhantering. Om en användare läggs till i en princip för Insider-riskhantering inte har någon utlösande händelse utvärderas inte användaraktiviteten av principen. Till exempel läggs Användare A till i en princip som skapas från Datastöld genom avgående principmall för användare och principen Microsoft 365 HR-kopplingen är korrekt konfigurerad. Fram tills att användare A har ett uppsägningsdatum som rapporterats av HR-kopplingen utvärderas inte användar-A-aktiviteter av denna princip för insider-riskhantering. Ett annat exempel på en utlösande händelse är om en användare har en DLP-principvarning med hög allvarlighetsgrad när de använder Dataläckorsprinciper.
- Principindikatorer: Indikatorer som ingår i principer för insider-riskhantering som används för att fastställa en risknivå för en användare inom omfattningen. De här principindikatorerna aktiveras bara när en utlösande händelse inträffar för en användare. Några exempel på principindikatorer är när en användare kopierar data till personliga molnlagringstjänster eller bärbara lagringsenheter, om ett användarkonto tas bort från Azure Active Directory eller om en användare delar interna filer och mappar med obehöriga externa parter.
Vissa principindikatorer kan också användas för att anpassa utlösa händelser för specifika principmallar. När de konfigureras i principguiden för mallar för Allmän dataläckor eller Dataläckor efter mallar för prioritetsanvändare ger de här indikatorerna dig mer flexibilitet och anpassning för dina principer och när användarna är inom omfattningen för en princip. Dessutom kan du definiera tröskelvärden för enskilda aktiviteter för dessa utlösande indikatorer för mer exakt kontroll i en princip.
Principindikatorer är indelade i följande områden. Du kan välja indikatorerna för att aktivera och anpassa gränser för indikatorhändelsen för varje indikatornivå när du skapar en insiderriskprincip:
- Office indikatorer: De omfattar policyindikatorer för SharePoint, e-Microsoft Teams och e-postmeddelanden.
- Enhetsindikatorer: De omfattar principindikatorer för aktivitet, t.ex. att dela filer över nätverket eller med enheter. Indikatorer omfattar aktiviteter som innefattar alla filtyper, utom körbar filaktivitet (.exe) och filbibliotek (.dll). Om du väljer Enhetsindikatorer bearbetas aktivitet för enheter med Windows 10 version 1809 eller senare och macOS-enheter (Catalina 10.15 eller senare). För både Windows och macOS-enheter måste du först registrera enheter i efterlevnadscentret. Enhetsindikatorer omfattar även identifiering av webbläsarsignaler som hjälper organisationen att identifiera och agera på exfiltrationssignaler för icke-körbara filer som visats, kopierats, delats eller skrivits ut i Microsoft Edge och Google Chrome. Mer information om hur du konfigurerar Windows enheter för integrering med insiderrisker finns i avsnittet Aktivera enhetsindikatorer och hantera Windows enheter i den här artikeln. Mer information om hur du konfigurerar macOS-enheter för integrering med Insider-risker finns i avsnittet Aktivera enhetsindikatorer och registrera macOS-enheter i den här artikeln. Mer information om identifiering av webbläsarsignaler finns i Läs mer om och konfigurera signalidentifiering med insider-riskhanteringswebbläsare.
- Indikatorn för brott mot säkerhetsprinciper (förhandsversion): Det här omfattar indikatorer från Microsoft Defender för Endpoint som är relaterade till ej godkända eller skadliga programinstallationer eller förbikoppling av säkerhetskontroller. Om du vill ta emot aviseringar i Insider-riskhantering måste du ha en aktiv Defender för Slutpunktslicens och insider-riskintegrering aktiverat. Mer information om hur du konfigurerar Defender för Slutpunkt för insider-riskhanteringsintegrering finns i Konfigurera avancerade funktioner i Microsoft Defender för slutpunkt.
- Åtkomstindikatorer för hälsojournaler (förhandsversion): Dessa omfattar policyindikatorer för åtkomst till patientjournaler. Till exempel kan försök att få åtkomst till patientjournaler i dina elektroniska journaler (EMR)-systemloggar delas med insider-hälsoprinciper för riskhantering. För att kunna ta emot dessa typer av aviseringar i insider-riskhantering måste du ha en sjukvårdsspecifik dataanslutning och konfigurerad HR-dataanslutning.
- Indikatorer för fysisk åtkomst (förhandsversion): Dessa omfattar principindikatorer för fysisk åtkomst till känsliga tillgångar. Till exempel kan försök till ett begränsat område i dina fysiska systemloggar delas med principer för Insider-riskhantering. Om du vill ta emot de här typerna av aviseringar i insider-riskhantering måste du ha prioriterat fysiska tillgångar aktiverat i insider-riskhantering och den fysiska badging-datakopplingen konfigurerad. Mer information om hur du konfigurerar fysisk åtkomst finns i avsnittet Prioriterad fysisk åtkomst i den här artikeln.
- Indikatorer för Microsoft Defender för molnappar (förhandsversion): De omfattar principindikatorer från delade aviseringar från Defender för molnappar. Automatiskt aktiverad avvikande identifiering i Defender för molnappar börjar genast identifiera och sortera resultat, vilket riktar flera olika beteendebeteenden mellan dina användare och de datorer och enheter som är anslutna till nätverket. Om du vill inkludera dessa aktiviteter i varningar för insider-riskhanteringsprinciper markerar du en eller flera indikatorer i det här avsnittet. Mer information om analys av molnappar och avvikelseidentifiering finns i Hämta funktionsanalyser och avvikande identifiering.
- Riskpoäng genom att höja riskpoängen för ovanliga aktiviteter eller tidigare principbrott. Om du aktiverar riskresultat ökar riskpoängen och sannolikheten för aviseringar för dessa typer av aktiviteter. För ovanliga aktiviteter förstärks resultat om den identifierade aktiviteten avviker från användarens vanliga beteende. Till exempel en betydande ökning av dagliga filnedladdningar. Ovanlig aktivitet presenteras som en ökning i procent (till exempel "100 % över vanlig aktivitet") och påverkar riskresultatet olika beroende på aktiviteten. För användare med tidigare principbrott ökas poäng om en användare hade fler än ett ärende tidigare löst som en bekräftad principbrott. Riskpoäng kan endast väljas om en eller flera indikatorer är markerade.
I vissa fall kanske du vill begränsa indikatorerna för Insider-risker som tillämpas på insiderriskprinciper i din organisation. Du kan inaktivera principindikatorer för vissa områden genom att inaktivera dem från alla insiderriskprinciper. Utlösande händelser kan bara ändras för principer som skapats från mallar för Allmän dataläckor eller Dataläckor efter prioritetsanvändare. Principer som skapats från alla andra mallar har inte anpassningsbara utlösande indikatorer eller händelser.
Om du vill definiera indikatorer för Insider-risker som är aktiverade i alla Insider-riskprinciper går du till Indikatorer för Insider-risker och väljer en eller flera > principindikatorer. De indikatorer som valts på sidan Indikatorinställningar kan inte konfigureras individuellt när du skapar eller redigerar en Insider-riskprincip i principguiden.
Anteckning
Det kan ta flera timmar innan nya manuellt tillagda användare visas i instrumentpanelen Användare. Det kan ta upp till 24 timmar att visa aktiviteter för de senaste 90 dagarna för dessa användare. Om du vill visa aktiviteter för manuellt tillagda användare väljer du användaren på instrumentpanelen Användare och öppnar fliken Användaraktivitet i informationsfönstret.
Aktivera enhetsindikatorer och registrera Windows enheter
Om du vill aktivera övervakning av riskaktiviteter på Windows-enheter och inkludera policyindikatorer för dessa aktiviteter måste dina Windows-enheter uppfylla följande krav och du måste slutföra följande introduktionssteg.
Steg 1: Förbereda slutpunkterna
Se till att Windows 10 enheter som du planerar att rapportera inom insider-riskhantering uppfyller dessa krav.
- Måste köras med Windows 10 x64 version 1809 eller senare och måste ha installerat Windows 10-uppdateringen (OS-version 17763.1075) från den 20 februari 2020.
- Användarkontot som används för att logga in Windows 10-enheten måste vara ett aktivt Azure Active Directory -AAD konto. Enheten Windows 10 vara ansluten AAD,hybrid- AAD, Active Directory eller inte AAD registrerad.
- Installera Microsoft Chromium Edge-webbläsare på slutpunktsenheten för att övervaka åtgärder för molnuppladdningsaktiviteten. Se Ladda ned nya Microsoft Edge som baseras på Chromium.
Steg 2: Onboarding-enheter
Du måste aktivera enhetsövervakning och registrera dina slutpunkter innan du kan övervaka insider-riskhanteringsaktiviteter på en enhet. Båda åtgärderna vidtas i portalen för Microsoft 365 för efterlevnad.
När du vill registrera enheter som inte har introducerats ännu, laddar du ned rätt skript och distribuerar enligt följande steg.
Om du redan har enheter registrerade i Microsoft Defender för Endpoint visas de redan i listan över hanterade enheter. Följ steg 3: Om du har enheter inbyggda i Microsoft Defender för Slutpunkt i nästa avsnitt.
I det här distributionsscenariot får du registrera enheter som inte har introducerats ännu och du vill övervaka insiderriskaktiviteter på Windows 10 enheter.
Öppna inställningssidan för Efterlevnadscenter och välj Registrera enheter.
Anteckning
Det tar normalt ca 60 sekunder innan enhetsregistreringen är aktiverad, men du kan vänta upp till 30 minuter innan du kontaktar Microsoft Support.
Välj Enhetshantering för att öppna listan Enheter. Listan är tom tills du har registrerat enheter.
Välj Registrering för att starta registreringsprocessen.
Välj hur du vill distribuera till de här fler enheterna i listan Distributionsmetod och ladda sedan ned paket.
Följ lämpliga instruktioner i Registrera verktyg och metoder för Windows 10-datorer. Den här länken tar dig till en landningssida där du kan komma åt procedurer för Microsoft Defender för Endpoint som matchar distributionspaketet du valde i steg 5:
- Registrera Windows 10-datorer med hjälp av grupprincip
- Registrera Windows-datorer med Microsoft Endpoint Configuration Manager
- Registrera Windows 10-datorer med hanteringsverktyg för mobila enheter
- Registrera Windows 10-datorer med ett lokalt skript
- Registrera icke beständiga VDI-datorer (Virtual Desktop Infrastructure).
När slutpunkten har hanterats bör den visas i listan över enheter och slutpunkten kommer att starta rapportering av granskningsaktivitetsloggar för insiderriskhantering.
Anteckning
För den här funktionen tillämpas licensiering. Utan rätt licens kommer data inte att visas och inte vara tillgängliga.
Steg 3: Om du har enheter inbyggda i Microsoft Defender för Slutpunkt
Om Microsoft Defender för slutpunkt redan har distribuerats och det finns slutpunkter som rapporterar detta visas alla dessa slutpunkter i listan över hanterade enheter. Du kan fortsätta att introducera nya enheter i Insider-riskhantering för att öka täckningen med hjälp av avsnittet Steg 2: Onboarding-enheter.
- Öppna Microsoft 365 Efterlevnadscenter.
- Öppna inställningssidan för Efterlevnadscenter och välj Aktivera enhetsövervakning.
- Välj Enhetshantering för att öppna listan Enheter. Du bör se listan över enheter som redan rapporterar till Microsoft Defender för Endpoint.
- Välj Onboarding om du behöver registrera fler enheter.
- Välj hur du vill distribuera till följande enheter i listan Distributionsmetod och sedan Ladda ned paket.
- Följ lämpliga instruktioner i Registrera verktyg och metoder för Windows 10-datorer. Den här länken tar dig till en landningssida där du kan komma åt procedurer för Microsoft Defender för Endpoint som matchar distributionspaketet du valde i steg 5:
- Registrera Windows 10-datorer med hjälp av grupprincip
- Registrera Windows-datorer med Microsoft Endpoint Configuration Manager
- Registrera Windows 10-datorer med hanteringsverktyg för mobila enheter
- Registrera Windows 10-datorer med ett lokalt skript
- Registrera icke beständiga VDI-datorer (Virtual Desktop Infrastructure).
När slutpunkten är onboarded bör den visas under tabellen Enheter och slutpunkten startar rapportering av granskningsaktivitetsloggar för Insider-riskhantering.
Anteckning
För den här funktionen tillämpas licensiering. Utan rätt licens kommer data inte att visas och inte vara tillgängliga.
Aktivera enhetsindikatorer och registrera macOS-enheter
MacOS-enheter (Catalina 10.15 eller senare) kan tas med i Microsoft 365 för att stödja insiderriskhanteringsprinciper med hjälp av antingen Intune eller JAMF Pro. Mer information och konfigurationsvägledning finns i Introducera macOS-enheter Microsoft 365 översikt (förhandsversion).
Inställningar för indikatornivå (förhandsgranskning)
När du skapar en princip i principguiden kan du konfigurera hur det dagliga antalet riskhändelser ska påverka riskresultatet för insiderriskvarningar. De här indikatorinställningarna hjälper dig att styra hur antalet förekomster av riskhändelser i organisationen ska påverka riskresultatet, och därmed den associerade risken med allvarlighetsgrad för dessa händelser. Om du vill kan du också välja att behålla de standardnivåer för händelsetröskelvärden som rekommenderas av Microsoft för alla aktiverade indikatorer.
Du bestämmer dig till exempel för att aktivera SharePoint-indikatorer i inställningarna för Insider-risker och att ange anpassade tröskelvärden för SharePoint-händelser när du konfigurerar indikatorer för en ny princip för Insider-riskdata. I guiden för Insider-riskprinciper konfigurerar du tre olika dagliga händelsenivåer för varje SharePoint för att påverka riskresultatet för aviseringar som associeras med dessa händelser.

För den första dagliga händelsenivån anger du tröskelvärdet för 10 eller fler händelser per dag för en lägre inverkan på riskpoängen för händelserna, 20 eller fler händelser per dag för en medelstor inverkan på riskresultatet för händelserna, och 30 eller fler händelser per dag som en högre inverkan på riskresultatet för händelserna. De här inställningarna innebär i praktiken:
- Om det finns 1–9 SharePoint händelser som inträffar efter att händelsen utlösts är riskpoäng minimalt påverkade och skulle tenderar att inte generera en avisering.
- Om det finns 10–19 SharePoint händelser som inträffar efter en utlösande händelse är riskresultatet mycket lägre, och allvarlighetsnivåer för aviseringar brukar låg.
- Om det finns 20–29 SharePoint händelser som inträffar efter en utlösande utlösare är riskresultatet mycket högre och allvarlighetsnivåer för aviseringar brukar låg på en medelnivå.
- Om det finns 30 eller fler SharePoint händelser som inträffar efter en utlösande, är riskresultatet det som är det bästa att ta en högre varning, och allvarlighetsnivån för aviseringarna skulle tenderar att vara på en hög nivå.
Policy tidsramar
Med princip tidsramar kan du definiera tidigare och framtida granskningsperioder som utlöses efter principmatchningar baserat på händelser och aktiviteter för mallar för Insider-riskhanteringsprinciper. Beroende på vilken principmall du väljer är följande tidsramar tillgängliga:
- Aktiveringsfönstret: Aktiveringsfönstret är tillgängligt för alla principmallar. Aktiveringsfönstret är det definierade antalet dagar som fönstret aktiveras efter en utlösande händelse. Fönstret aktiveras i 1 till 30 dagar efter att en utlösande händelse inträffat för alla användare som tilldelats principen. Du har till exempel konfigurerat en princip för insider-riskhantering och ställt in aktiveringsfönstret på 30 dagar. Flera månader har gått sedan du konfigurerade principen och en utlösande händelse inträffar för en av de användare som ingår i principen. Aktiveringshändelsen aktiverar aktiveringsfönstret och principen är aktiv för den användaren i 30 dagar efter att händelsen utlöstes.
- Identifiering av tidigare aktivitet: Tillgänglig för alla principmallar: Identifiering av tidigare aktivitet är det definierade antalet dagar som fönstret aktiverar före en utlösande händelse. Fönstret aktiveras i 0 till 90 dagar innan en utlösande händelse inträffar för alla användare som tilldelats principen. Du har till exempel konfigurerat en princip för insider-riskhantering och ställt in identifiering av tidigare aktiviteter på 90 dagar. Flera månader har gått sedan du konfigurerade principen och en utlösande händelse inträffar för en av de användare som ingår i principen. Händelsen som utlöser tidigare aktivitet aktiverar identifieringen av tidigare aktiviteter och principen samlar in historiska aktiviteter för den användaren i 90 dagar före den utlösande händelsen.

Intelligenta identifieringar
Med intelligenta identifieringsinställningar kan du förfina hur identifieringar av riskfyllda aktiviteter bearbetas för aviseringar. I vissa fall kan du behöva definiera filtyper som ska ignoreras, eller så vill du tillämpa en identifieringsnivå för filer för att definiera ett minsta fält för aviseringar. Använd de här inställningarna till att styra den övergripande aviseringsvolymen, undantag för filtyper och filvolymbegränsningar.
Undantag för filtyp
Om du vill utesluta vissa filtyper från matchning för alla Insider-riskhanteringsprinciper anger du filtypstillägg avgränsade med kommatecken. Om du till exempel vill utesluta vissa typer av musikfiler från principmatchningar kan du ange aac,mp3,wav,wma i fältet Undantag för filtyp. Filer med de här tilläggen ignoreras av alla Insider-riskhanteringsprinciper.
Tröskelvärde för ovanlig filaktivitet
Om du vill definiera en minsta filnivå innan aktivitetsaviseringar rapporteras i insiderriskprinciper anger du antalet filer. Du skulle till exempel ange "10" om du inte vill generera varningar för insiderrisker när en användare laddar ned 10 filer eller mindre, även om principerna ser den här aktiviteten som ovanlig.
Aviseringsvolym
Användaraktiviteter som upptäckts av insider-riskprinciper tilldelas en specifik risknivå, som i sin tur bestämmer aviseringens allvarlighetsgrad (låg, medium, hög). Som standard genererar vi en viss mängd aviseringar om låg, medel och hög allvarlighetsgrad, men du kan öka eller minska volymen efter dina behov. Välj någon av följande inställningar för att justera mängden aviseringar för alla principer för Insider-riskhantering:
- Färre aviseringar: Du ser alla aviseringar om hög allvarlighetsgrad, färre medelstora varningar om allvarlighetsgrad och inga mindre allvarlighetsvarningar. Den här inställningsnivån innebär att vissa positiva resultat kan missas.
- Standardvolym: Du ser alla varningar om hög allvarlighetsgrad och en balanserad mängd aviseringar om medelhög och låg allvarlighetsgrad.
- Fler aviseringar: Du ser alla aviseringar om medelhög och hög allvarlighetsgrad samt de flesta aviseringar om låg allvarlighetsgrad. Den här inställningsnivån kan resultera i mer falska positiva resultat.
Microsoft Defender för slutpunkt (förhandsversion)
Microsoft Defender för Endpoint är en säkerhetsplattform för företag som utformats för att hjälpa företagsnätverk att förhindra, identifiera, undersöka och hantera avancerade hot. Om du vill se säkerhetsöverträdelser bättre i organisationen kan du importera och filtrera Defender för slutpunktsaviseringar för aktiviteter som används i principer som skapats från mallar för säkerhetsöverträdelser för Insider-riskhantering.
Beroende på vilka typer av signaler du är intresserad av kan du välja att importera aviseringar till insider-riskhantering baserat på statusen Defender för slutpunktsvarning. Du kan definiera en eller flera av följande statusar för aviseringar i de globala inställningarna när du importerar:
- Okänd
- Ny
- Pågående
- Löst
Aviseringar från Defender för Slutpunkt importeras dagligen. Beroende på vilken status du väljer kan du se flera användaraktiviteter för samma avisering som statusen ändras i Defender för Slutpunkt.
Om du till exempel väljer Ny , Pågår och Löst för den här inställningen, importeras en första aviseringsaktivitet för användaren i insider-risk när en Microsoft Defender för slutpunkt-avisering skapas och statusen är Ny. När Defender för slutpunkt-status ändras till Pågående importeras en andra aktivitet för den här aviseringen för användaren i Insider-risken. När den slutliga Defender för slutpunktstremning för Matchad har ställts in importeras en tredje aktivitet för den här aviseringen för användaren i Insider-risken. Med den här funktionen kan användaren följa förloppet för Defender för slutpunktsaviseringar och välja den synlighetsnivå som krävs för undersökningen.
Viktigt
Du måste ha Microsoft Defender för Endpoint konfigurerad i din organisation och aktivera Defender för Endpoint för integrering av hantering av insiderrisk i Defender Security Center för att importera varningar om säkerhetsöverträdelser. Mer information om hur du konfigurerar Defender för Endpoint för integrering av hantering av insiderrisk finns i Konfigurera avancerade funktioner i Defender för Endpoint.
Domäner
Domäninställningar hjälper dig att definiera risknivåer för aktiviteter för specifika domäner. De här aktiviteterna omfattar att dela filer, skicka e-postmeddelanden, ladda ned eller ladda upp innehåll. Genom att ange domäner i de här inställningarna kan du öka eller minska riskbedömningen för aktivitet som sker med dessa domäner.
Använd Lägg till domän om du vill definiera en domän för varje domäninställning. Du kan också använda jokertecken för att matcha variationer av rotdomäner eller underdomäner. Om du till exempel vill sales.wingtiptoys.com och support.wingtiptoys.com använder du jokertecknet "*.wingtiptoys.com" för att matcha dessa underdomäner (och alla andra underdomäner på samma nivå). Om du vill ange underdomäner på flera nivåer för en rotdomän måste du markera kryssrutan Inkludera underdomäner på flera nivåer.
Du kan ange upp till 500 domäner för var och en av följande domäninställningar:
Ej tillåtna domäner: Genom att ange tillåtna domäner ger aktivitet som sker med dessa domäner högre riskpoäng. Några exempel är aktiviteter som innefattar att dela innehåll med någon (till exempel skicka e-post till någon med en gmail.com-adress) och när användare laddar ned innehåll till en enhet från någon av dessa ej tillåtna domäner.
Tillåtna domäner: Vissa aktiviteter som är relaterade till tillåtna domäner ignoreras av dina principer och genererar inga aviseringar. Dessa aktiviteter omfattar:
- E-post som skickas till externa domäner
- Filer, mappar, webbplatser som delas med externa domäner
- Filer som laddats upp till externa domäner (Microsoft Edge webbläsare)
Genom att ange tillåtna domäner i inställningar behandlas den här aktiviteten med dessa domäner på samma sätt som intern organisationsaktivitet behandlas. Till exempel kan domäner som läggs här mappa till aktiviteter innebära att du delar innehåll med någon utanför organisationen (till exempel att skicka e-post till någon med en gmail.com adress).
Tredjepartsdomäner: Om din organisation använder tredjepartsdomäner i affärssyfte (t.ex. molnlagring) tar du med dem här så att du kan få aviseringar om aktivitet relaterad till enhetsindikatorn Använd en webbläsare för att ladda ned innehåll från en webbplats från tredje part.
Exportera aviseringar
Insider-riskhanteringsvarningsinformation kan exporteras till säkerhetsinformation och händelsehantering (SIEM) och säkerhetssyndning av automatiserade svarslösningar (SOAR) med hjälp Office 365 API-schema för hanteringsaktivitet. Du kan använda API:Office 365 för hanteringsaktivitet för att exportera aviseringsinformation till andra program som din organisation kan använda för att hantera eller sammanställa insider-riskinformation. Aviseringsinformation exporteras och blir tillgänglig var 60:e minut via API:Office 365 för hanteringsaktivitet.
Om din organisation använder Microsoft Sentinel kan du även använda den in-box insider risk management data connector för att importera insider risk alert information till Sentinel. Mer information finns i Microsoft 365 i Insider Risk Management (IRM) (Preview) i Microsoft Sentinel-artikeln.
Viktigt
För att upprätthålla referensintegritet för användare som har riskvarningar för Insiders eller i fall i Microsoft 365 eller andra system, bevaras inte anonymisering av användarnamn för exporterade aviseringar. Exporterade aviseringar visar användarnamn för varje avisering.
Så här använder du API:erna för att granska information om insiderriskvarningar:
- Aktivera Office 365 stöd för API för hanteringsaktivitet i Insider riskhantering > Inställningar > Exportera aviseringar. Som standard är den här inställningen inaktiverad för Microsoft 365 organisation.
- Filtrera de Office 365 aktiviteterna efter SecurityComplianceAlerts.
- Filtrera SecurityComplianceAlerts efter kategorin InsiderRiskManagement.

Aviseringsinformation innehåller information från schemat för säkerhets- och efterlevnadsvarningar och det vanliga Office 365 för hanteringsaktivitet.
Följande fält och värden exporteras för varningar för Insider-riskhantering för & aviseringsschema för säkerhet och efterlevnad:
| Aviseringsparameter | Beskrivning |
|---|---|
| AlertType | Typ av avisering är Anpassad. |
| AlertId | GUID för aviseringen. Varningar för Insider-riskhantering kan inte stängas av. När aviseringsstatusen ändras skapas en ny logg med samma Aviserings-ID. Detta AlertID kan användas för att korrelera uppdateringar för en avisering. |
| Kategori | Kategorin för aviseringen är InsiderRiskManagement. Den här kategorin kan användas för att skilja från dessa varningar från andra varningar om & säkerhet och efterlevnad. |
| Kommentarer | Standardkommentarer för aviseringen. Värden är ny avisering (loggas när en avisering skapas) och Aviseringen har uppdaterats (loggas när det finns en uppdatering av en avisering). Använd AlertID för att korrelera uppdateringar för en avisering. |
| Data | Informationen för aviseringen omfattar unikt användar-ID, huvudnamn och datum och tid (UTC) när användaren utlöstes till en princip. |
| Namn | Principnamn för insider-riskhanteringspolicy som genererade aviseringen. |
| PolicyId | GUID för insider-riskhanteringsprincipen som utlöste aviseringen. |
| Allvarlighetsgrad | Varningens allvarlighetsgrad. Värdena är Hög, Medel eller Låg. |
| Source | Källan för aviseringen. Värdet är Office 365 säkerhet & efterlevnad. |
| Status | Status för aviseringen. Värden är aktiva (behovsgranskning i insider-risk), undersöker (bekräftad i insider-risk), löst (löst i insider-risk), Avvisad (avvisad i insider-risk). |
| Version | Versionen av aviseringsschemat för säkerhet och efterlevnad. |
Följande fält och värden exporteras för varningar för insider-riskhantering för api:t för Office 365 Management Activity.
- UserId
- ID
- RecordType
- CreationTime
- Åtgärd
- OrganizationId
- UserType
- UserKey
Prioritet för användargrupper (förhandsversion)
Användare i organisationen kan ha olika nivåer av risker beroende på deras position, åtkomstnivå till känslig information eller riskhistorik. Genom att prioritera granskningar och poängsättning av aktiviteterna för dessa användare kan du uppmärksamma på potentiella risker som kan få högre konsekvenser för organisationen. Prioriterade användargrupper i Insider-riskhantering bidrar till att definiera de användare i organisationen som behöver närmare kontroll och mer känslig riskbedömning. Tillsammans med brott mot säkerhetsprinciper efter prioritetsanvändare och Data läcker efter prioritetsanvändarprincipmallar, har användare som lagts till i en prioritetsgrupp en högre sannolikhet för varningar för Insider-risker och aviseringar med högre allvarlighetsnivåer.

I stället för att vara öppna för granskning av alla analytiker och analytiker kan prioritetsanvändare i grupper också behöva begränsa granskningsaktiviteter till specifika användare eller rollgrupper med Insider-risker. Du kan välja att tilldela enskilda användare och rollgrupper för att granska användare, aviseringar, ärenden och rapporter för varje prioriterad användargrupp. Prioritetsanvändargrupper kan ha granskningsbehörigheter som tilldelats de inbyggda rollgrupperna Insider-riskhantering, Insider-riskhanteringsanalytiker och insiderriskhanteringsrollgrupper, en eller flera av dessa rollgrupper eller ett anpassat urval av användare.
Du behöver till exempel skydda mot dataläckor för ett mycket konfidentiellt projekt där användare har tillgång till känslig information. Du väljer att skapa en grupp Project användare som är prioriterade för användare i organisationen som arbetar med projektet. Dessutom bör den här prioriterade användargruppen inte ha användare, varningar, ärenden och rapporter kopplade till grupp synliga för alla standardadministratörer för Insider-riskhantering, analytiker och experter. I Inställningar skapar du gruppen Användare som har Project konfidentiellt och tilldelar två användare som granskare som kan visa data som är relaterade till grupperna. Med principguiden och Data läcker efter principmallen för prioritetsanvändare skapar du en ny princip och tilldelar principen Project användare prioriterad grupp för användare. Aktiviteter som respekteras av principen för medlemmar i användargruppen För konfidentiella Project Användare är mer känsliga för risker och aktiviteter från dessa användare genererar mer sannolikt en avisering och aviseringar med högre allvarlighetsnivåer.
Skapa en prioritetsgrupp för användare
Om du vill skapa en ny prioritetsgrupp använder du inställningar för kontroller i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter. Om du vill skapa en prioritetsgrupp för användare måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör.
Skapa en prioritetsgrupp genom att följa anvisningarna nedan:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering och väljer Inställningar för Insider-risker.
- Välj sidan Prioritet för användargrupper (förhandsgranskning).
- På sidan Prioritet användargrupper (förhandsgranskning) väljer du Skapa prioritet användargrupp för att starta guiden skapa grupp.
- Fyll i följande fält på sidan Namn och beskrivning:
- Namn (obligatoriskt): Ange ett eget namn för den prioriterade användargruppen. Du kan inte ändra namnet på prioritetsgruppen när du har slutfört guiden.
- Beskrivning (valfritt): Ange en beskrivning för prioritetsgruppen för användargruppen.
- Gå vidare genom att klicka på Nästa.
- På sidan Välj medlemmar väljer du Välj medlemmar för att söka och välja vilka e-postaktiverade användarkonton som ska ingå i gruppen, eller markera kryssrutan Markera alla om du vill lägga till alla användare i organisationen i gruppen. Välj Lägg till för att fortsätta eller Avbryt om du vill stänga utan att lägga till några användare i gruppen.
- Gå vidare genom att klicka på Nästa.
- På sidan Välj vilka som kan visa denna grupp måste du definiera vem som kan granska användare, aviseringar, ärenden och rapporter för den prioriterade användargruppen. Minst en rollgrupp för användar- eller Insider-riskhantering måste tilldelas. Välj Välj användare och rollgrupper och välj de användare eller rollgrupper för Insider-riskhantering som du vill tilldela den prioriterade användargruppen. Välj Lägg till för att tilldela de valda användarna eller rollgrupperna till gruppen.
- Gå vidare genom att klicka på Nästa.
- På sidan Granska granskar du de inställningar som du har valt för prioritetsgruppen. Välj Redigera länkar om du vill ändra något av gruppvärdena eller välj Skicka för att skapa och aktivera prioritetsanvändaren.
- På bekräftelsesidan väljer du Klar för att avsluta guiden.
Uppdatera en prioritetsgrupp för användare
Om du vill uppdatera en befintlig prioritetsgrupp använder du inställningar för kontroller i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter. Om du vill uppdatera en prioritetsgrupp för användare måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör.
Så här redigerar du en prioritetsgrupp:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering och väljer Inställningar för Insider-risker.
- Välj sidan Prioritet för användargrupper (förhandsgranskning).
- Markera den prioritetsgrupp du vill redigera och välj Redigera grupp.
- Uppdatera fältet Beskrivning på sidan Namn och beskrivning om det behövs. Du kan inte uppdatera namnet på prioritetsgruppen. Gå vidare genom att klicka på Nästa.
- På sidan Välj medlemmar lägger du till nya medlemmar i gruppen med hjälp av kontrollen Välj medlemmar. Om du vill ta bort en användare från gruppen väljer du X bredvid den användare du vill ta bort. Gå vidare genom att klicka på Nästa.
- På sidan Välj vilka som kan visa den här gruppen lägger du till eller tar bort användare eller rollgrupper som kan granska användare, aviseringar, ärenden och rapporter för den prioriterade användargruppen.
- Gå vidare genom att klicka på Nästa.
- Granska de uppdateringsinställningar du har valt för prioritetsgruppen på sidan Granska. Välj Redigera länkar om du vill ändra något av gruppvärdena eller välj Skicka för att uppdatera prioritetsanvändargruppen.
- På bekräftelsesidan väljer du Klar för att avsluta guiden.
Ta bort en prioritetsgrupp
Om du vill ta bort en befintlig prioritetsgrupp använder du inställningar för kontroller i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter. Om du vill ta bort en prioritetsgrupp för användare måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör.
Viktigt
Om du tar bort en prioritetsanvändargrupp tas den bort från alla aktiva principen som den är tilldelad till. Om du tar bort en användargrupp med prioritet som tilldelats en aktiv princip kommer principen inte att innehålla några användare inom omfattningen och kommer därför inte att vara inaktiv, och inga aviseringar skapas.
Så här tar du bort en prioritetsgrupp:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering och väljer Inställningar för Insider-risker.
- Välj sidan Prioritet för användargrupper (förhandsgranskning).
- Markera den prioritetsgrupp du vill redigera och välj Ta bort på instrumentpanelens meny.
- I dialogrutan Ta bort väljer du Ja för att ta bort prioritetsgruppen eller Avbryt för att återgå till instrumentpanelen.
Fysiska tillgångar prioritet (förhandsversion)
Att identifiera åtkomst till prioriterade fysiska tillgångar och korrelera åtkomstaktivitet till användarhändelser är en viktig del av kompatibilitetsinfrastrukturen. Dessa fysiska tillgångar representerar prioritetsplatser i organisationen, till exempel företagets byggnader, datacenter eller serverrum. Insider-riskaktiviteter kan associeras med användare som arbetar ovanliga timmar, försöker komma åt dessa obehöriga känsliga eller säkra områden och förfrågningar om åtkomst till högnivåområden utan legitima behov.
Med prioriterad fysisk tillgång aktiverad och den konfigurerade fysiska anslutningen för datadata integrerar Insider-riskhantering signaler från din fysiska kontroll och åtkomstsystem med andra användarriskaktiviteter. Genom att granska beteendemönster i fysiska åtkomstsystem och korrelera dessa aktiviteter med andra insiderriskhändelser kan insider-riskhantering hjälpa efterlevnadsanalytiker och analytiker att fatta mer välgrundade svarsbeslut för aviseringar. Åtkomst till prioriterade fysiska tillgångar poängs och identifieras i insikter på ett annat sätt än åtkomst till tillgångar som inte har prioritet.
Din organisation har till exempel ett dåligt system för användare som övervakar och godkänner fysisk åtkomst till normala arbets- och känsliga projektområden. Det finns flera användare som arbetar med ett känsligt projekt och dessa användare kommer att återgå till andra områden i organisationen när projektet har slutförts. När det känsliga projektet närmar sig slutförande bör du se till att projektarbetet förblir konfidentiellt och att åtkomsten till projektområdena är strikt kontrollerad.
Du väljer att aktivera datakopplingen Fysiska badging i Microsoft 365 för att importera åtkomstinformation från ditt fysiska badgingsystem och ange prioriterade fysiska tillgångar i Insider-riskhantering. Genom att importera information från ditt badgingsystem och korrelera fysisk åtkomstinformation med andra riskaktiviteter som identifieras i Insider-riskhantering märker du att en av användarna i projektet öppnar projektkontoren efter normal arbetstid och exporterar även stora mängder data till en personlig molnlagringstjänst från sina normala arbetstider. Den här fysiska åtkomstaktiviteten som är kopplad till onlineaktiviteten kan peka på möjliga datastölder och efterlevnadsanalytiker kan vidta lämpliga åtgärder enligt omständigheterna för den här användaren.

Konfigurera fysiska tillgångar med prioritet
Om du vill konfigurera fysiska tillgångar för prioritet konfigurerar du kopplingen för fysisk aktivitet och använder inställningskontroller i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter. För att konfigurera fysiska tillgångar för prioritet måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör.
Så här konfigurerar du fysiska tillgångar med prioritet:
Följ konfigurationsstegen för Insider-riskhantering i artikeln Komma igång med insider-riskhantering. I steg 3 kontrollerar du att du konfigurerar kopplingen Fysiskt dåligt.
Viktigt
För att insider-riskhanteringsprinciper ska använda och korrelera signaldata relaterade till avgående och uppsagda användare med händelsedata från din fysiska kontroll och åtkomstplattformar måste du också konfigurera Microsoft 365 HR-anslutningen. Om du aktiverar anslutningen för fysisk aktivitet utan att aktivera Microsoft 365 HR-anslutningen bearbetar Insiders riskhanteringsprinciper endast händelser för fysiska åtkomstaktiviteter för användare i organisationen.
I Microsoft 365 Efterlevnadscenter gårdu till Insider-riskhantering och väljer Inställningar för Insider-risker > Prioritet fysiska tillgångar.
På sidan Prioriterade fysiska tillgångar kan du antingen manuellt lägga till de fysiska tillgångs-ID:ar som du vill övervaka för de tillgångshändelser som importerats av kopplingen För fysiska tillgångar eller importera en .csv-fil med alla fysiska tillgångs-ID:er som importerats med kopplingen Fysisk aktivitet: a) Om du vill lägga till fysiska tillgångar manuellt väljer du Lägg till fysiska tillgångar med prioritet , ange ett fysiskt tillgångs-ID och välj sedan Lägg till. Ange andra fysiska tillgångs-ID och välj sedan Lägg till fysiska tillgångar prioritet för att spara alla tillgångar som angetts. b) Om du vill lägga till en lista över fysiska tillgångs-ID från en .csv väljer du Importera fysiska tillgångar med prioritet. I dialogrutan utforskaren väljer du den .csv du vill importera och väljer sedan Öppna. De fysiska tillgångs-ID:na från .csv läggs till i listan.
Gå till sidan Principindikatorer i Inställningar.
På sidan Principindikatorer går du till avsnittet Fysiska åtkomstindikatorer och markerar kryssrutan för Fysisk åtkomst efter att åtkomsten till känsliga tillgångar har avslutats eller misslyckats.
Välj Spara för att konfigurera och avsluta.
Ta bort en prioriterad fysisk tillgång
Om du vill ta bort en befintlig prioriterad fysisk tillgång använder du inställningar för kontroller i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter. Om du vill ta bort en prioriterad fysisk tillgång måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör.
Viktigt
Om du tar bort en prioriterad fysisk tillgång tas den bort från undersökning med hjälp av alla aktiva policyer som de tidigare inkluderades i. Varningar som genereras av aktiviteter som är associerade med den prioriterade fysiska tillgången tas inte bort.
Så här tar du bort en prioriterad fysisk tillgång:
- I Microsoft 365 Efterlevnadscenter gårdu till Insider-riskhantering och väljer Inställningar för Insider-risker > Prioritet fysiska tillgångar.
- På sidan Prioriterade fysiska tillgångar väljer du den tillgång som du vill ta bort.
- Välj Ta bort på åtgärdsmenyn för att ta bort tillgången.
Power Automate flöden (förhandsversion)
Microsoft Power Automate är en arbetsflödestjänst som automatiserar åtgärder mellan program och tjänster. Genom att använda flöden från mallar eller skapat manuellt kan du automatisera vanliga uppgifter som är kopplade till dessa program och tjänster. När du Power Automate flöden för insider-riskhantering kan du automatisera viktiga uppgifter för ärenden och användare. Du kan konfigurera Power Automate-flöden för att hämta användar-, aviserings- och ärendeinformation och dela den här informationen med intressenter och andra program, samt automatisera åtgärder i Insider-riskhantering, till exempel publicera till ärendeanteckningar. Power Automate flöden är tillämpliga för ärenden och alla användare som omfattas av en princip.
Kunder med Microsoft 365-prenumerationer som inkluderar Insider-riskhantering behöver inte ytterligare Power Automate-licenser för att använda de rekommenderade Power Automate för Insider-Power Automate. De här mallarna kan anpassas för att stödja din organisation och täcka grundläggande insider-riskhanteringsscenarier. Om du väljer att använda Premium Power Automate-funktionerna i dessa mallar kan du skapa en anpassad mall med hjälp av Microsoft 365-efterlevnadskopplingen eller använda Power Automate-mallar för andra efterlevnadsområden i Microsoft 365, men du kan behöva fler Power Automate-licenser.
Följande mallar Power Automate ut till kunder för att stödja process automation för användare av Insider-riskhantering och -ärenden:
Meddela användarna när de läggs till i en Insider-riskprincip: Den här mallen är för organisationer som har interna principer, sekretess- eller regelkrav som användarna måste meddelas när de omfattas av insider-riskhanteringsprinciper. När det här flödet konfigureras och väljs för en användare på sidan Användare skickas ett e-postmeddelande till användare och deras chefer när användaren läggs till i en princip för insider-riskhantering. Den här mallen stöder även uppdatering av en SharePoint-lista som ligger på en SharePoint-webbplats för att hjälpa till att spåra meddelandeinformation som datum/tid och mottagaren av meddelandet. Om du har valt att anonymisera användare i sekretessinställningarna kommer flöden som skapas från den här mallen inte att fungera som tänkta så att användarsekretessen bibehålls. Power Automate flöden som använder den här mallen finns på instrumentpanelen Användare.
Begära information från HR eller företag om en användare i ett insider-riskfall: När vi agerar på ett ärende kan insider-riskanalytiker och intressenter behöva rådgöra med HR eller andra intressenter för att förstå sammanhanget för ärendeaktiviteterna. När det här flödet är konfigurerat och valt för ett ärende skickar analytiker och intressenter ett e-postmeddelande till HR- och företags intressenter som konfigurerats för det här flödet. Varje mottagare får ett meddelande med förkonfigurerade eller anpassningsbara svarsalternativ. När mottagare väljer ett svarsalternativ registreras svaret som en ärendeanteckning och innehåller information om mottagaren samt datum/tid. Om du har valt att anonymisera användare i sekretessinställningarna kommer flöden som skapas från den här mallen inte att fungera som tänkta så att användarsekretessen bibehålls. Power Automate som använder den här mallen finns på instrumentpanelen Ärenden.
Meddela chefen när en användare har en insider-riskvarning: Vissa organisationer kan behöva få en omedelbar hanteringsavisering när en användare har en insider-riskhanteringsvarning. När det här flödet är konfigurerat och markerat skickas ett e-postmeddelande från chefen för ärendet med följande information om alla ärendeaviseringar:
- Tillämplig princip för aviseringen
- Datum/tid för aviseringen
- Aviseringens allvarlighetsnivå
Flödet uppdaterar automatiskt de ärendeanteckningar som meddelandet skickades och att flödet har aktiverats. Om du har valt att anonymisera användare i sekretessinställningarna kommer flöden som skapas från den här mallen inte att fungera som tänkta så att användarsekretessen bibehålls. Power Automate som använder den här mallen finns på instrumentpanelen Ärenden.
Skapa en post för insider-riskfall i ServiceNow: Den här mallen är för organisationer som vill använda sin ServiceNow-lösning för att spåra insider-riskhanteringsärenden. I ett fall kan insider-riskanalytiker och -analytiker skapa en post för ärendet i ServiceNow. Du kan anpassa den här mallen så att den fyller i valda fält i ServiceNow baserat på organisationens behov. Power Automate som använder den här mallen finns på instrumentpanelen Ärenden. Mer information om tillgängliga ServiceNow-fält finns i referensartikeln ServiceNow Connector.
Skapa ett Power Automate flöde från mallen för Insider-riskhantering
Om du vill skapa ett Power Automate-flöde från en rekommenderad insider-riskhanteringsmall använder du inställningskontrollerna i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter eller alternativet Hantera Power Automate-flöden från Automate-kontrollen när du arbetar direkt i instrumentpanelen för ärenden eller användare.
Om du vill Power Automate ett arbetsflöde i inställningsområdet måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör. För att skapa Power Automate med alternativet Hantera Power Automate-flöden måste du vara medlem i minst en rollgrupp för Insider-riskhantering.
Utför följande steg för att skapa ett Power Automate flöde från en rekommenderad mall för insider-riskhantering:
- I Microsoft 365 Efterlevnadscenter går dutill Insider-riskhantering och väljer Inställningar för Insider-Power Automate > flöden. Du kan också komma åt sidorna för Ärenden eller Användare genom att välja Automatisera Hantera > Power Automate flöden.
- På sidan Power Automate flöden väljer du en rekommenderad mall från mallarna för Insider-riskhantering som du kanske gillar i avsnittet på sidan.
- Flödet visar de inbäddade anslutningar som behövs för flödet och ser om anslutningsstatus är tillgänglig. Om det behövs uppdaterar du alla anslutningar som inte visas som tillgängliga. Välj Fortsätt.
- Som standard är de rekommenderade flödena förkonfigurerade med den rekommenderade insider-riskhanteringen och Microsoft 365 tjänstdatafält som krävs för att slutföra den tilldelade aktiviteten för flödet. Om det behövs kan du anpassa flödeskomponenterna med hjälp av kontrollen Visa avancerade alternativ och konfigurera de tillgängliga egenskaperna för flödeskomponenten.
- Om det behövs kan du lägga till andra steg i flödet genom att välja knappen Nytt steg. I de flesta fall behövs inte det här för de rekommenderade standardmallarna.
- Välj Spara utkast för att spara flödet för ytterligare konfiguration eller välj Spara för att slutföra konfigurationen av flödet.
- Välj Stäng för att återgå till Power Automate flödessidan. Den nya mallen visas som ett flöde på flikarna Mina flöden och är automatiskt tillgänglig från listrutan Automate när de arbetar med ärenden inom Insider-riskhantering för användaren som skapar flödet.
Viktigt
Om andra användare i organisationen behöver åtkomst till flödet måste flödet delas.
Skapa ett anpassat Power Automate för Insider-riskhantering
Vissa processer och arbetsflöden för din organisation kanske ligger utanför de rekommenderade mallarna för insider-riskhantering, och du kanske behöver skapa anpassade Power Automate-flöden för Insider-riskhanteringsområden. Power Automate är flexibla och har stöd för omfattande anpassning, men det finns åtgärder som måste vidtas för att integrera med insider-riskhanteringsfunktioner.
Utför följande steg för att skapa en egen Power Automate för insider-riskhantering:
- Kontrollera din Power Automate flödeslicens: Om du vill skapa anpassade Power Automate flöden som använder insider-riskhanteringsutlösare behöver du en Power Automate licens. De rekommenderade mallarna för Insider-riskhantering kräver inte extra licensiering och ingår som en del av din insider-riskhanteringslicens.
- Skapa ett automatiserat flöde: Skapa ett flöde som utför en eller flera uppgifter efter att det utlöses av en insider-riskhanteringshändelse. Mer information om hur du skapar ett automatiserat flöde finns i Skapa ett flöde i Power Automate.
- Välj den Microsoft 365 för efterlevnad: Sök efter och välj den Microsoft 365 efterlevnadskopplingen. Med den här anslutningen kan Insider-riskhantering utlösare och åtgärder. Mer information om kopplingar finns i artikeln referensöversikt för kopplingar.
- Välj insider-riskhanteringsutlösare för ditt flöde: Insider-riskhantering har två utlösare för anpassade Power Automate flöden:
- För ett valt insider-riskhanteringsfall: Flöden med den här utlösaren kan väljas från sidan Ärenden i instrumentpanel för insiderriskhantering.
- För en vald insider-riskhanteringsanvändare: Flöden med den här utlösaren kan väljas från sidan för instrumentpanelen för användare med insiderriskhantering.
- Välj insider-riskhanteringsåtgärder för ditt flöde: Du kan välja bland flera åtgärder för insider-riskhantering som ska ingå i ditt anpassade flöde:
- Få en insider-riskhanteringsvarning
- Få insider-riskhanteringsfall
- Få insider-riskhanteringsanvändare
- Få varningar om insider-riskhantering för ett ärende
- Lägg till information om insider-riskhantering
Dela ett Power Automate flöde
Som standard är Power Automate som skapats av en användare bara tillgängliga för den användaren. För att andra insider-riskhanteringsanvändare ska ha åtkomst till och använda ett flöde måste flödet delas av den som skapat flödet. Om du vill dela ett flöde använder du inställningskontrollerna i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter eller alternativet Hantera Power Automate-flöden från automatkontrollen när du arbetar direkt på sidorna i instrumentpanelen Ärenden eller Användare. När du har delat ett flöde kan alla som det har delats med komma åt flödet i listrutan Automate-kontroll i instrumentpanelen för ärende och användare.
Om du vill Power Automate ett arbetsflöde i inställningsområdet måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör. Om du vill Power Automate ett arbetsflöde med alternativet Hantera Power Automate-flöden måste du vara medlem i minst en rollgrupp för Insider-riskhantering.
Gör följande för att dela ett Power Automate flöde:
- I Microsoft 365 Efterlevnadscenter går dutill Insider-riskhantering och väljer Inställningar för Insider-Power Automate > flöden. Du kan också komma åt sidorna för Ärenden eller Användare genom att välja Automatisera Hantera > Power Automate flöden.
- På sidan Power Automate flöden väljer du fliken Mina flöden eller Teamflöden.
- Välj flödet du vill dela och välj sedan Dela på menyn flödesalternativ.
- På sidan flödesdelning anger du namnet på den användare eller grupp du vill lägga till som ägare av flödet.
- I dialogrutan Anslutning som används väljer du OK för att bekräfta att den tillagda användaren eller gruppen har fullständig åtkomst till flödet.
Redigera ett Power Automate flöde
Om du vill redigera ett flöde använder du inställningskontrollerna i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter eller alternativet Hantera Power Automate-flöden från Automate-kontrollen när du arbetar direkt i instrumentpanelen för Ärenden eller Användare.
Om du vill Power Automate ett arbetsflöde i inställningsområdet måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör. Om du vill Power Automate ett arbetsflöde med alternativet Hantera Power Automate-flöden måste du vara medlem i minst en rollgrupp för Insider-riskhantering.
Gör så här om du vill redigera Power Automate flöde:
- I Microsoft 365 Efterlevnadscenter går dutill Insider-riskhantering och väljer Inställningar för Insider-Power Automate > flöden. Du kan också komma åt sidorna för Ärenden eller Användare genom att välja Automatisera Hantera > Power Automate flöden.
- På sidan Power Automate flöde väljer du ett flöde för att redigera och väljer Redigera på flödeskontrollmenyn.
- Markera ellipsen för > Inställningar ändra en flödeskomponentinställning eller ellips Ta bort > för att ta bort en flödeskomponent.
- Välj Spara och sedan Stäng för att slutföra redigeringen av flödet.
Ta bort ett Power Automate flöde
Om du vill ta bort ett flöde använder du inställningskontrollerna i Insider-riskhanteringslösningen i Microsoft 365 Efterlevnadscenter eller alternativet Hantera Power Automate-flöden från Automate-kontrollen när du arbetar direkt i instrumentpanelen för Ärenden eller Användare. När ett flöde tas bort tas det bort som ett alternativ för alla användare.
Om du vill Power Automate ett arbetsflöde i inställningsområdet måste du vara medlem i rollgruppen för Insider-riskhantering eller Insider-riskhanteringsadministratör. Om du vill Power Automate ett arbetsflöde med alternativet Hantera Power Automate-flöden måste du vara medlem i minst en rollgrupp för Insider-riskhantering.
Så här tar du bort ett Power Automate flöde:
- I Microsoft 365 Efterlevnadscenter går dutill Insider-riskhantering och väljer Inställningar för Insider-Power Automate > flöden. Du kan också komma åt sidorna för Ärenden eller Användare genom att välja Automatisera Hantera > Power Automate flöden.
- På sidan Power Automate flöde väljer du ett flöde för att ta bort och väljer Ta bort på flödeskontrollmenyn.
- I bekräftelsedialogrutan för borttagning väljer du Ta bort för att ta bort flödet eller så väljer du Avbryt för att avsluta borttagningsåtgärden.
Microsoft Teams (förhandsvisning)
Efterlevnadsanalytiker och efterlevnadsanalytiker kan enkelt använda Microsoft Teams för samarbete i insider-riskhanteringsärenden. De kan samordna och kommunicera med andra intressenter i Microsoft Teams för att:
- Samordna och granska svarsaktiviteter för fall i privata Teams kanaler
- Dela och lagra filer och bevis som är relaterade till enskilda ärenden på ett säkert sätt
- Spåra och granska svarsaktiviteter av analytiker och analytiker
När Microsoft Teams aktiverats för insider-riskhantering skapas en dedikerad Microsoft Teams grupp varje gång en avisering bekräftas och ett ärende skapas. Som standard innehåller teamet automatiskt alla medlemmar i rollgrupperna Insider-riskhantering, Insider-riskhanteringsanalytiker och insiderriskhanteringsmedlemmar (upp till 100 initiala användare). Ytterligare organisationsdeltagare kan läggas till i gruppen när det har skapats och efter behov. För befintliga ärenden som skapats innan Microsoft Teams kan analytiker och ärenden välja att skapa ett nytt Microsoft Teams team när de arbetar i ett fall om det behövs. När du har åtgärdat det associerade ärendet i Insider-riskhantering arkiveras teamet automatiskt (flyttas till dolt och skrivskyddat).
Mer information om hur du använder team och kanaler i Microsoft Teams finns i Översikt över team och kanaler i Microsoft Teams.
Det går snabbt Microsoft Teams att aktivera support för ärenden. Så här Microsoft Teams du aktivera Microsoft Teams för insider-riskhantering:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhanteringsinställningar > för Insider-risker.
- Markera Microsoft Teams sidan.
- Aktivera Microsoft Teams för insider-riskhantering.
- Välj Spara för att konfigurera och avsluta.

Skapa ett Microsoft Teams för befintliga ärenden
Om du aktiverar Microsoft Teams för Insider-riskhantering när du har befintliga ärenden, måste du manuellt skapa en grupp för varje ärende efter behov. När du har Microsoft Teams stöd i insider-riskhanteringsinställningar skapas automatiskt en ny Microsoft Teams grupp med nya ärenden.
Användarna behöver behörighet för att Microsoft 365 grupper i organisationen för att skapa Microsoft Teams grupp från ett ärende. Mer information om hur du hanterar behörigheter Microsoft 365 grupper finns i Hantera vem som kan skapa Microsoft 365 grupper.
Om du vill skapa en grupp för ett ärende använder du kontrollen Skapa Microsoft Team när du arbetar direkt i ett befintligt ärende. Så här skapar du ett nytt team:
- I dialogrutan Microsoft 365 Efterlevnadscenterdu till Insider-riskhanteringsärenden > och väljer ett befintligt ärende.
- På ärendeåtgärdsmenyn väljer du Skapa Microsoft Team.
- I fältet Teamnamn anger du ett namn för det nya Microsoft Teams teamet.
- Välj Skapa Microsoft-team och välj sedan Stäng.
Beroende på antalet användare som tilldelats rollgrupperna för Insider-riskhantering kan det ta 15 minuter innan alla analytiker och analytiker läggs till i Microsoft Teams för ett ärende.
Analys
Insiderriskanalys gör att du kan göra en utvärdering av potentiella insiderrisker i din organisation utan att konfigurera några principer för insiderrisk. Denna utvärdering kan hjälpa din organisation att identifiera potentiella områden med högre användarrisk och hjälpa till att bestämma typen och omfattningen av principer för hantering av insiderrisk som du kan överväga att konfigurera. Analyser ger följande fördelar för din organisation:
- Enkel att konfigurera: Om du vill komma igång med analyser kan du välja Kör genomsökning när du uppmanas att göra det enligt rekommendationen för analys eller gå till Insider-riskinställningar > Analys och aktivera analyser.
- Sekretess enligt design: Genomsökningsresultat och insikter returneras som aggregerad och anonymiserad användaraktivitet, enskilda användarnamn kan inte identifieras av granskarna.
- Förstå potentiella risker genom konsoliderade insikter: Med genomsökningsresultat kan du snabbt identifiera potentiella riskområden för användarna och vilken princip som är bäst för att minimera dessa risker.
Titta på videon om Insider Risk Management Analytics för att få hjälp med att förstå hur analyser kan hjälpa dig att identifiera potentiella insiderrisker och hjälpa dig att snabbt vidta åtgärder.
Analyser söker efter riskaktivitetshändelser från flera källor för att identifiera insikter om potentiella riskområden. Beroende på din aktuella konfiguration söker analyser efter kvalificerande riskaktiviteter i följande områden:
- Microsoft 365 i granskningsloggar : Ingår i alla genomsökningar, är det här den primära källan för att identifiera de flesta potentiellt riskfyllda aktiviteter.
- Exchange Online: Ingår i alla genomsökningar, Exchange Online hjälper till att identifiera aktiviteter där data i bifogade filer skickas till externa kontakter eller tjänster.
- Azure Active Directory: Med alla genomsökningar kan Azure Active Directory identifiera riskfyllda aktiviteter som associeras med användare med borttagna användarkonton.
- Microsoft 365 HR-dataanslutning: Om den har konfigurerats hjälper HR-kopplingshändelser till att identifiera riskfyllda aktiviteter som är associerade med användare som har förfallodatum eller kommande slutdatum.
Analysinsikter från genomsökningar baseras på samma riskaktivitetssignaler som används av insider-riskhanteringsprinciper och rapportresultat som baseras på både enskilda användaraktiviteter och användaraktiviteter i följd. Men riskbedömningen för analyser baseras på upp till 30 dagars aktivitet medan insiderriskprinciper använder daglig aktivitet för insikter. När du först aktiverar och kör analyser i organisationen visas genomsökningsresultaten under en dag. Om du låter analyser vara aktiverade ser du resultatet av varje daglig genomsökning som lagts till i insiktsrapporterna för ett maximalt intervall med de föregående 30 dagarna av aktivitet.
Aktivera analyser och starta genomsökningen
För att kunna aktivera Insider-riskanalyser måste du vara medlem i rollgruppen för Insider-riskhantering, Insider-riskhanteringsadministratör eller Microsoft 365 global administratör. Utför följande steg för att aktivera Insider Risk Analytics:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering.
- Välj Kör genomsökning på fliken Översikt över Insider-risker i din organisation. Då aktiverar analysskanning för organisationen. Du kan också aktivera genomsökning i organisationen genom att gå till Insider-riskinställningarAnalyser och aktivera Genomsökning av klientorganisationens användaraktivitet för att > identifiera potentiella insiderrisker.
- I informationsfönstret Analys väljer du Kör genomsökning för att starta sökningen för organisationen. Analyssökningsresultaten kan ta upp till 24 timmar innan insikterna är tillgängliga som rapporter för granskning.

Visa analysinsikter och skapa nya principer
När den första analyssökningen är klar för organisationen kan du visa insikter och rekommendationer för potentiellt riskfyllda aktiviteter av användarna. Dagliga genomsökningar fortsätter om du inte inaktiverar analyser för organisationen. Om du vill visa potentiella risker för organisationen går du till fliken Översikt och väljer Visa resultat på kortet Insider – riskanalyser (förhandsversion). Om sökningen för organisationen inte är slutförd visas ett meddelande om att den skannade sökningen fortfarande är aktiv.

För slutförda genomsökningar ser du de potentiella risker som upptäcks i organisationen och insikter och rekommendationer för att hantera dessa risker. Identifierade risker och specifika insikter ingår i rapporter grupperade efter område, det totala antalet användare med identifierade risker, procentandelen av dessa användare med potentiellt riskfyllda aktiviteter och en rekommenderad Insider-riskprincip för att minimera dessa risker. Rapporterna omfattar:
- Insikter om dataläckor: Aktiviteter för alla användare som kan ha råkat ut för att information utanför organisationen eller data läcker ut av användare med skadligt uppsåt.
- Datastöldinsikter: Aktiviteter för avgående användare eller användare med borttagna Azure Active Directory-konton som kan innebära riskabel delning av information utanför organisationen eller datastöld av användare med skadliga avsikter.
- Bästa information om exfiltrering: Aktiviteter av alla användare som kan omfatta delning av data utanför organisationen.

Om du vill visa mer information för en insikt väljer du Visa information för att visa informationsfönstret för insikten. Informationsfönstret innehåller fullständiga insikter, en rekommendation för insider-riskprinciper och knappen Skapa princip som hjälper dig att snabbt skapa den rekommenderade principen. När du väljer Skapa princip kommer du till principguiden och den rekommenderade principmallen som är relaterad till insikten markeras automatiskt. Om analysinsikten exempelvis är för Dataläckningsaktivitet är principmallen Allmänt dataläckor förvald i principguiden åt dig.

Inaktivera analyser
Om du vill inaktivera Insider-riskanalyser måste du vara medlem i rollgruppen för Insider-riskhantering, Insider-riskhantering eller Microsoft 365 global administratör. När du inaktiverar analyser förblir analysinsiktsrapporter statiska och uppdateras inte för nya risker.
Så här inaktiverar du Insider-riskanalyser:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhantering.
- Välj Analyssida för > Insider-riskinställningar.
- Inaktivera Sök igenom klientorganisationens användaraktivitet på sidan Analys för att identifiera potentiella insiderrisker.
Administratörsaviseringar
I administratörsmeddelanden skickas automatiskt ett e-postmeddelande till användare som ingår i rollgrupperna Insider-riskhantering, Insider-riskhanteringsanalytiker och insiderriskhanteringsrollgrupper när den första aviseringen skapas för en ny princip. Det här alternativet aktiveras som standard för alla organisationer och principer kontrolleras en gång per dygn för första gången-aviseringar. Aviseringar skickas inte för aviseringar som inträffar i principer efter den första aviseringen.
Om du föredrar att inaktivera administratörsmeddelanden slutför du följande steg:
- I Microsoft 365 Efterlevnadscentergår du till Insider-riskhanteringsinställningar > för Insider-risker.
- Välj sidan Administratörsaviseringar.
- Avmarkera kryssrutan Skicka ett meddelande via e-post när den första aviseringen skapas för en ny princip.
- Välj Spara för att konfigurera och avsluta.
