将部署范围限定为特定用户或用户组

Microsoft Defender for Cloud Apps使你能够确定部署范围。 通过范围，你可以选择要监视应用或从监视中排除的特定用户组。

包括或排除用户组

你可能不希望对组织中的所有用户使用 Microsoft Defender for Cloud Apps。 当由于许可证限制而要限制部署时，范围特别有用。 你可能还需要限制，因为合规性法规要求你不监视来自某些国家/地区的用户。 例如，使用作用域内部署仅监视美国员工。 或者，可以避免为位于德国的用户显示任何活动。

• 若要限定部署范围，必须先将用户组导入到Microsoft Defender for Cloud Apps。 默认情况下，你将看到以下组：

  • 应用程序用户组 - 一个内置组，可用于查看Microsoft 365 和Microsoft Entra应用程序执行的活动。

  • 外部用户组 - 不是你为组织配置的任何托管域成员的所有用户。

• 设置包含规则会自动排除不在包含组中的所有组。 例如，如果将规则设置为包含美国办事处组的所有成员，则不会监视不属于该组的任何组。

• 排除的用户组将覆盖包含的用户组。 如果你包括用户组 UK 员工，但排除营销人员，Microsoft Defender for Cloud Apps不会监视来自英国的营销成员，即使他们是 UK 员工组的成员。

1. 在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。 在 “系统”下，选择“ 作用域内部署和隐私”。

2. 若要将部署范围限定为包含或排除特定组，请将用户组导入Microsoft Defender for Cloud Apps。

3. 若要设置由Microsoft Defender for Cloud Apps监视的特定组，请在“包括”选项卡中，选择“+添加规则”。

4. 在 “创建新的包含规则 ”对话框中，完成以下步骤：

   1. 在 “类型规则名称”下，输入规则的描述性名称。
      1. 在“选择用户组”下，选择要使用Microsoft Defender for Cloud Apps监视的所有组。
   2. 选择是将此规则应用于所有连接的应用，还是仅应用于 特定应用。 如果选择“ 特定应用”，该规则将仅影响所选应用的监视。 例如，如果选择 UI 团队用户和 Box 组，Defender for Cloud Apps将仅监视 UI 团队用户组用户和所有其他应用的 Box 活动，Defender for Cloud Apps将监视所有用户的所有活动。

   

5. 若要设置要从监视中排除的特定组，请在“ 排除 ”选项卡中选择“ +添加规则”。

6. 在 “创建新的排除规则 ”对话框中，设置以下参数：

   1. 在 “类型规则名称”下，输入规则的描述性名称。

   2. 在“选择用户组”下，选择不希望Microsoft Defender for Cloud Apps监视的所有组。

      1. 选择是将此规则应用于所有连接的应用，还是仅应用于 特定应用。 如果选择“特定应用”，Microsoft Defender for Cloud Apps将停止监视仅针对所选应用的所选组。 如果选择 UI 团队用户和 Active Directory 组，Microsoft Defender for Cloud Apps监视除 UI 团队用户执行的 Active Directory 活动以外的所有用户活动。

      

包含和排除规则的示例结果

你创建的包含和排除规则协同工作，以限定Microsoft Defender for Cloud Apps执行的总体监视范围。 下面是可以创建的包含和排除规则的示例，以及这些规则运行后Microsoft Defender for Cloud Apps监视的最终结果。

如果创建以下规则：

• 排除用户组“德国所有用户”
• 仅包含用户组“全球销售”Microsoft 365 个活动
• 仅包括用户组“销售经理”Power BI 活动
• Salesforce 已连接到 Microsoft Defender for Cloud Apps，并且未为其设置任何规则

监视以下用户活动：

验证作用域内部署

配置作用域部署后，检查活动日志或 CloudAppEvents 表中的新事件。

如果未显示新事件，或显示已排除帐户中的事件，则作用域内用户帐户可能与应用程序的帐户标识符没有正确关联。当一个应用程序使用 UPN 作为帐户 ID，而另一个应用程序使用不同的帐户 ID 格式或非 UPN 值时，可能会发生这种情况。 若要解决此问题，请创建一个与受影响应用程序使用的帐户标识符匹配的其他作用域部署组。

后续步骤

• 设置云发现