管理已连接的应用
通过治理,可控制用户在各应用间的操作。 对于连接的应用,可对文件或活动应用治理操作。 治理操作是可以直接从 Microsoft Defender for Cloud Apps 对文件或活动执行的集成操作。 通过治理操作,可控制用户在连接的应用间的操作。 有关在何处可以使用治理操作的信息,请参阅治理连接的应用。
注意
当 Microsoft Defender for Cloud Apps 尝试对文件执行治理操作但因文件被锁定而失败时,它会自动重试该治理操作。
文件治理操作
对于连接的应用,可对特定用户、文件或特定策略执行以下治理操作。
通知:
警报 – 可根据严重性级别在系统中触发警报并通过电子邮件传播。
用户电子邮件通知 - 可以自定义电子邮件消息,然后将其发送至所有违规的文件所有者。
通知特定用户 - 将会收到这些通知的电子邮件地址的特定列表。
通知最后文件编辑者 - 向修改文件的最后一个人发送通知。
应用中的治理操作 - 细化操作可通过各个应用执行,具体操作根据应用术语发生变化。
标记
- 应用标签 - 添加 Microsoft Purview 信息保护敏感度标签的能力。
- 移除标签 - 移除 Microsoft Purview 信息保护敏感度标签的能力。
更改共享
移除公共共享 – 只允许访问指定协作者,例如:移除 Google Workspace 的公共访问权限和移除 Box 和 Dropbox 的直接共享链接。
删除外部用户 - 只允许公司用户访问。
设为专用 - 只有网站管理员可以访问文件,移除所有共享。
删除协作者 - 从文件中删除特定协作者。
减少公共访问 - 将已公开发布的文件设置为仅可通过共享链接访问。 (Google)
让共享链接过期 - 设置共享链接的期满日(在此日期后链接不再有效)的功能。 (Box)
更改共享链接访问级别 - 更改共享链接的访问级别(仅公司、仅协作者和公开)的功能。 (Box)
隔离
置于用户隔离中 - 允许自助将文件移到用户控制的隔离文件夹
置于管理员隔离 - 文件移动到管理驱动器中的隔离区,管理员必须批准该操作。
从父级继承权限 - 通过此治理操作,可以移除为 Microsoft 365 中的文件或文件夹设置的特定权限。 然后还原成为父文件夹设置的任何权限。
回收站 - 将文件移到回收站文件夹。 (Box、Dropbox、Google 云端硬盘、OneDrive、SharePoint、Cisco Webex)
恶意软件治理操作(预览版)
对于连接的应用,可对特定用户、文件或特定策略执行以下治理操作。 出于安全原因,此列表仅限于恶意软件相关操作,这些操作并不表示用户或租户存在风险。
通知:
- 警报 - 可根据严重性级别在系统中触发警报并通过电子邮件和文本消息传播。
应用中的治理操作 - 细化操作可通过各个应用执行,具体操作根据应用术语发生变化。
更改共享
- 删除外部用户 - 只允许公司用户访问。 (Box、Google 云端硬盘、OneDrive、SharePoint)
- 删除直接共享链接 –移除以前共享链接的权限 (Box、Dropbox)
隔离
- 置于用户隔离中 - 允许自助将文件移到用户控制的隔离文件夹 (Box、OneDrive、SharePoint)
- 置于管理员隔离 - 文件移动到管理驱动器中的隔离区,管理员必须批准该操作。 (Box)
回收站 - 将文件移到回收站文件夹。 (Box、Dropbox、Google 云端硬盘、OneDrive、SharePoint)
注意
在 SharePoint 和 OneDrive 中,Defender for Cloud Apps 仅支持用户隔离共享文档库 (SharePoint Online) 中的文件和文档库 (OneDrive for Business) 中的文件。
Microsoft Defender for Microsoft 365 客户可以通过 Microsoft Defender XDR“隔离”页面控制 SharePoint 和 OneDrive 中检测到的恶意软件文件。 例如,支持的活动包括恢复文件、删除文件以及下载受密码保护的 ZIP 文件中的文件。 这些活动仅限于尚未被 Microsoft Defender for Cloud Apps 隔离的文件。 在 SharePoint 中,Defender for Cloud Apps 仅支持对路径中包含英文“Shared Documents”的文件执行隔离任务。
仅针对连接的应用显示操作。
活动治理操作
通知
警报 – 可根据严重性级别在系统中触发警报并通过电子邮件传播。
用户电子邮件通知 - 可以自定义电子邮件消息,然后将其发送至所有违规的文件所有者。
通知其他用户 - 将会收到这些通知的电子邮件地址的特定列表。
应用中的治理操作 - 细化操作可通过各个应用执行,具体操作根据应用术语发生变化。
挂起用户 - 从应用程序挂起用户。
注意
如果将 Microsoft Entra ID 设置为自动与 Active Directory 本地环境中的用户同步,则本地环境中的设置将替代 Microsoft Entra 设置,并且会还原此治理操作。
要求用户重新登录 - 注销用户,并要求用户重新登录。
确认用户被盗用 - 将用户的风险级别设置为高。 这会导致 Microsoft Entra ID 中定义的相关策略操作被强制实施。 有关 Microsoft Entra ID 如何处理风险级别的更多信息,请参阅 Microsoft Entra ID 如何使用我的风险反馈。
撤销 OAuth 应用并通知用户
对于 Google Workspace 和 Salesforce,可以撤销对 OAuth 应用的权限,或通知用户应更改权限。 撤消权限时,会移除在 Microsoft Entra ID 中的“企业应用程序”下授予该应用程序的所有权限。
在“应用治理”页上的“Google”或“Salesforce”选项卡上,选择应用行末尾的三个点,然后选择“通知用户”。 默认情况下,用户将收到如下通知: 你已授权应用访问 Google Workspace 帐户。此应用与组织的安全策略冲突。重新考虑在 Google Workspace 帐户中授予或撤销你授予此应用的权限。若要撤销应用访问权限,请转到: https://security.google.com/settings/security/permissions?hl=en&pli=1 选择应用,然后在右侧菜单栏上选择“撤销访问权限”。 可以自定义发送的消息。
此外,还可以撤销用户使用该应用的权限。 选择表中应用行末的图标,然后选择“撤销应用”。 例如:
治理冲突
创建多个策略后,可能会出现多个策略中的治理操作重叠的情况。 在这种情况下,Defender for Cloud Apps 会以下列方式来处理治理操作:
策略之间的冲突
- 如果两个策略包含彼此中包含的操作(例如,删除外部共享包含在“创建专用”中),Defender for Cloud Apps 将解决冲突,并强制实施更强大的操作。
- 如果操作不相关(例如,“通知所有者”和“设为专用”), 则这两个操作都会执行。
- 如果操作相互冲突(例如“将所有者更改为用户 A”和“将所有者更改为用户 B”),则每个匹配项的结果可能不同。 请务必更改策略以防止冲突,因为它们可能会导致驱动器中出现有害且难以检测到的更改。
用户同步冲突
- 如果将 Microsoft Entra ID 设置为自动与 Active Directory 本地环境中的用户同步,则本地环境中的设置将替代 Microsoft Entra 设置,并且会还原此治理操作。
治理日志
治理日志会为每个设置运行 Defender for Cloud Apps 的任务(包括手动和自动任务)提供一条状态记录。 这些任务包括在策略中设置的任务,对文件和用户设置的治理操作,以及设置 Defender for Cloud Apps 采取的任何其他操作。 治理日志还提供有关这些操作是否成功的信息。 可以选择重试或还原治理日志中的治理操作。
要查看治理日志,请在 Microsoft Defender 门户的“Cloud Apps”下选择“治理日志”。
下表是可通过 Defender for Cloud Apps 门户执行的操作的完整列表。 这些操作通过控制台在多个位置启用,如“位置”列中所述。 每个治理操作在管理日志中列出。 有关发生策略冲突时如何处理治理操作的信息,请参阅策略冲突。
| 位置 | 目标对象类型 | 治理操作 | 说明 | 相关连接器 |
|---|---|---|---|---|
| 帐户 | 文件 | 删除用户的协作者 | 为任何文件删除特定用户的所有协作者,适用于离开公司的人员。 | Box、Google Workspace |
| 帐户 | 帐户 | 取消挂起用户 | 取消挂起用户 | Google Workspace、Box、Office、Salesforce |
| 帐户 | 帐户 | 帐户设置 | 带你进入特定应用的帐户设置页(例如 Salesforce 内)。 | 所有应用 -One Drive 和 SharePoint 设置从 Office 内部配置。 |
| 帐户 | 文件 | 转移所有文件所有权 | 在帐户上,将一个用户的文件转换为被所选新用户全部拥有。 以前的所有者成为编辑者,再也不能更改共享设置。 新所有者将收到有关更改所有权的电子邮件通知。 | Google Workspace |
| 帐户、活动策略 | 帐户 | 挂起用户 | 将用户设置为没有访问权限且不能登录。 如果用户在你设置此操作时登录,会被立即锁定。 | Google Workspace、Box、Office、Salesforce |
| 活动策略、帐户 | 帐户 | 要求用户重新登录 | 撤销用户向应用程序颁发的所有刷新令牌和会话 Cookie。 此操作会阻止访问组织的任何数据,并强制用户重新登录所有应用程序。 | Google Workspace、Office |
| 活动策略、帐户 | 帐户 | 确认用户是否遭到入侵 | 将用户的风险级别设置为高。 这会导致 Microsoft Entra ID 中定义的相关策略操作被强制实施。 | Office |
| 活动策略、帐户 | 帐户 | 撤消管理员权限 | 撤消管理员帐户的权限。 例如,设置活动策略,在登录尝试失败 10 次后撤销管理员权限。 | Google Workspace |
| 应用仪表板 > 应用权限 | 权限 | 解除禁止应用 | 在 Google 和 Salesforce 中:删除对应用的禁止,允许用户使用 Google 或 Salesforce 来授权第三方应用。 在 Microsoft 365 中:还原第三方应用对 Office 的权限。 | Google Workspace、Salesforce、Office |
| 应用仪表板 > 应用权限 | 权限 | 禁用应用权限 | 撤消第三方应用对 Google、 Salesforce 或 Office 的权限。 这将是针对所有现有权限执行的一次性操作,但无法防止未来连接。 | Google Workspace、Salesforce、Office |
| 应用仪表板 > 应用权限 | 权限 | 启用应用权限 | 授予第三方应用对 Google、Salesforce 或 Office 的权限。 这将是针对所有现有权限执行的一次性操作,但无法防止未来连接。 | Google Workspace、Salesforce、Office |
| 应用仪表板 > 应用权限 | 权限 | 禁止应用 | 在 Google 和 Salesforce 中:撤消第三方应用对 Google 或 Salesforce 的权限,并禁止将来接收权限。 在 Microsoft 365 中:不允许第三方应用访问 Office 的权限,但不会撤销。 | Google Workspace、Salesforce、Office |
| 应用仪表板 > 应用权限 | 权限 | 撤消应用 | 撤消第三方应用对 Google 或 Salesforce 的权限。 这将是针对所有现有权限执行的一次性操作,但无法防止未来连接。 | Google Workspace、Salesforce |
| 应用仪表板 > 应用权限 | 帐户 | 撤消应用的用户 | 单击“用户”下的数字时,可以撤消特定用户。 屏幕将显示特定用户,并且你可以使用 X 来删除任意用户的权限。 | Google Workspace、Salesforce |
| 发现 > 已发现的应用/IP 地址/用户 | Cloud Discovery | 导出发现数据 | 创建发现数据的 CSV。 | 发现 |
| 文件策略 | 文件 | Trash | 移动用户回收站中的文件。 | Box、Dropbox、Google 云端硬盘、OneDrive、SharePoint、Cisco Webex(永久删除) |
| 文件策略 | 文件 | 通知最后一个文件编辑者 | 发送电子邮件,通知最后文件编辑者文件违反了策略。 | Google Workspace、Box |
| 文件策略 | 文件 | 通知文件所有者 | 当文件违反策略时,向文件所有者发送电子邮件。 在 Dropbox 中,如果没有所有者与文件相关联,将向设置的特定用户发送通知。 | 所有应用 |
| 文件策略,活动策略 | 文件,活动 | 通知特定用户 | 发送电子邮件,告知特定用户有关违反策略的文件。 | 所有应用 |
| 文件策略和活动策略 | 文件,活动 | 通知用户 | 向用户发送电子邮件,告知他们的一些行为或拥有的文件违反了策略。 可添加自定义通知,告知他们违反了什么。 | 全部 |
| 文件策略和文件 | 文件 | 删除编辑者的共享权利 | 在 Google Drive 中,默认的编辑者文件权限还允许进行共享。 此治理操作会限制此选项,限制所有者可以共享文件。 | Google Workspace |
| 文件策略和文件 | 文件 | 放入管理员隔离区 | 移除文件的所有权限,并将文件移动到管理员所在位置的隔离文件夹。此操作使管理员能够查看文件并移除文件。 | Microsoft 365 SharePoint、OneDrive for Business、Box |
| 文件策略和文件 | 文件 | 应用敏感度标签 | 根据策略中设置的条件,将 Microsoft Purview 信息保护敏感度标签自动应用于文件。 | Box、One Drive、Google Workspace、SharePoint |
| 文件策略和文件 | 文件 | 移除敏感度标签 | 根据策略中设置的条件,从文件中自动移除 Microsoft Purview 信息保护敏感度标签。 只有当标签不含保护设置,且它们是从 Defender for Cloud Apps 中应用,而不是直接在信息保护中应用时,才能移除标签。 | Box、One Drive、Google Workspace、SharePoint |
| 文件策略、活动策略、警报 | 应用 | 要求用户重新登录 | 你可以要求用户重新登录到所有 Microsoft 365 和 Microsoft Entra 应用,从而快速高效地补救可疑用户活动警报和帐户被盗用问题。 可以在“挂起用户”选项旁边的“策略设置”和“警报”页查找新的治理操作。 | Microsoft 365、Microsoft Entra ID |
| 文件 | 文件 | 从用户隔离区还原 | 将隔离的用户还原。 | Box |
| 文件 | 文件 | 为自身授予读取权限 | 为自身授予文件的读取权限,这样你可以访问文件,并了解文件是否违反策略。 | Google Workspace |
| 文件 | 文件 | 允许编辑者共享 | 在 Google 云端硬盘中,默认的编辑者文件权限允许进行共享。 此治理操作与删除编辑者的共享权利相反,它使编辑者能够共享文件。 | Google Workspace |
| 文件 | 文件 | 保护 | 通过应用组织模板,使用 Azure 信息保护来保护文件。 | Microsoft 365(SharePoint 和 OneDrive) |
| 文件 | 文件 | 撤消自身的读取权限 | 撤消自身的文件读取权限,为自身授予读取以了解文件是否违反策略后,这将很有用。 | Google Workspace |
| 文件、文件策略 | 文件 | 转移文件所有权 | 更改所有者,此策略使你选择特定所有者。 | Google Workspace |
| 文件、文件策略 | 文件 | 减少公共访问 | 通过此操作,你可以将已公开发布的文件设置为仅可通过共享链接访问。 | Google Workspace |
| 文件、文件策略 | 文件 | 删除协作者 | 删除文件的特定协作者。 | Google Workspace、Box、One Drive、SharePoint |
| 文件、文件策略 | 文件 | 成为专用 | 只有网站管理员可以访问文件,所有共享都会被移除。 | Google Workspace、One Drive、SharePoint |
| 文件、文件策略 | 文件 | 删除外部用户 | 删除所有外部协作者,在“设置”中将域外部配置为内部。 | Google Workspace、Box、One Drive、SharePoint |
| 文件、文件策略 | 文件 | 为域授予读取权限 | 为你整个域的指定域或特定域授予文件的读取权限。 如果在为需要处理文件的人们的域授予访问权限后,你想删除公共访问权限,此操作将很有用。 | Google Workspace |
| 文件、文件策略 | 文件 | 放入用户隔离区 | 删除文件的所有权限,将文件移到用户根驱动器下的隔离文件夹。 通过此操作,用户可以查看并移动文件。 如果手动移回,则不还原文件共享。 | Box、One Drive、SharePoint |
| 文件 | 文件 | 让共享链接失效 | 设置共享链接的到期日期(在此日期后链接不再有效)。 | Box |
| 文件 | 文件 | 更改共享链接访问级别 | 更改共享链接的访问级别(仅公司、仅协作者和公开)。 | Box |
| 文件、文件策略 | 文件 | 删除公共访问权限 | 如果文件为你所有,并且你将文件设置为公共访问,则文件将供配置为可访问该文件的人员使用,具体取决于文件具有的访问权限类型。 | Google Workspace |
| 文件、文件策略 | 文件 | 删除直接共享链接 | 删除为仅与特定人员共享的公共文件创建的链接。 | Box、Dropbox |
| 设置 > Cloud Discovery 设置 | Cloud Discovery | 重新计算 Cloud Discovery 分数 | 分数度量值更改后,重新计算云应用目录中的分数。 | 发现 |
| 设置 > Cloud Discovery 设置 > 管理数据视图 | Cloud Discovery | 创建自定义 Cloud Discovery 筛选器数据视图 | 创建新的数据视图,实现发现结果的更精细视图。 例如特定 IP 范围。 | 发现 |
| 设置 > Cloud Discovery 设置 > 删除数据 | Cloud Discovery | 删除 Cloud Discovery 数据 | 删除从发现源收集的所有数据。 | 发现 |
| 设置 > Cloud Discovery 设置 > 手动上传日志/自动上传日志 | Cloud Discovery | 分析 Cloud Discovery 数据 | 已分析所有日志数据的通知。 | 发现 |
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。