Styra anslutna appar
Med styrning kan du styra vad användarna gör i olika appar. För anslutna appar kan du tillämpa styrningsåtgärder på filer eller aktiviteter. Styrningsåtgärder är integrerade åtgärder som du kan köra på filer eller aktiviteter direkt från Microsoft Defender for Cloud Apps. Styrningsåtgärder styr vad användarna gör i anslutna appar.
Obs!
När Microsoft Defender for Cloud Apps försöker köra en styrningsåtgärd på en fil, men misslyckas eftersom filen är låst, försöker den automatiskt utföra styrningsåtgärden igen.
Filstyrningsåtgärder
Följande styrningsåtgärder kan vidtas för anslutna appar, antingen för en specifik fil, användare eller från en specifik princip.
Meddelanden:
Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post baserat på allvarlighetsgrad.
Användarens e-postavisering – Email meddelanden kan anpassas och skickas till alla som bryter mot filägare.
Meddela specifika användare – specifik lista över e-postadresser som ska ta emot dessa meddelanden.
Meddela den senaste filredigeraren – Skicka meddelanden till den senaste personen som ändrade filen.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appens terminologi.
Märkning
- Använd etikett – Möjlighet att lägga till en Microsoft Purview Information Protection känslighetsetikett.
- Ta bort etikett – Möjlighet att ta bort en Microsoft Purview Information Protection känslighetsetikett.
Ändra delning
Ta bort offentlig delning – Tillåt endast åtkomst till namngivna medarbetare, till exempel: Ta bort offentlig åtkomst för Google Workspace och Ta bort direkt delad länk för Box och Dropbox.
Ta bort externa användare – Tillåt endast åtkomst till företagsanvändare.
Gör privat – Endast webbplatsadministratörer kan komma åt filen, alla resurser tas bort.
Ta bort en medarbetare – Ta bort en specifik medarbetare från filen.
Minska offentlig åtkomst – Ange att offentligt tillgängliga filer endast ska vara tillgängliga med en delad länk. (Google)
Förfalla delad länk – Möjlighet att ange ett förfallodatum för en delad länk varefter den inte längre är aktiv. (Box)
Ändra åtkomstnivå för delningslänk – Möjlighet att ändra åtkomstnivån för den delade länken endast mellan företag, endast medarbetare och offentlig. (Box)
Karantän
Placera i användarkarantän – Tillåt självbetjäning genom att flytta filen till en användarkontrollerad karantänmapp
Placera i administratörskarantän – Filen flyttas till karantän på administratörsenheten och administratören måste godkänna den.
Ärv behörigheter från överordnad – Med den här styrningsåtgärden kan du ta bort specifika behörigheter som angetts för en fil eller mapp i Microsoft 365. Återgå sedan till de behörigheter som har angetts för den överordnade mappen.
Papperskorg – Flytta filen till papperskorgen. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)
Styrningsåtgärder för skadlig kod (förhandsversion)
Följande styrningsåtgärder kan vidtas för anslutna appar, antingen för en specifik fil, användare eller från en specifik princip. Av säkerhetsskäl är den här listan begränsad till åtgärder relaterade till skadlig kod som inte innebär risk för användaren eller klientorganisationen.
Meddelanden:
- Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post och sms, baserat på allvarlighetsgrad.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appens terminologi.
Ändra delning
- Ta bort externa användare – Tillåt endast åtkomst till företagsanvändare. (Box, Google Drive, OneDrive, SharePoint)
- Ta bort direkt delad länk – Ta bort behörigheter för tidigare delade länkar (Box, Dropbox)
Karantän
- Placera i användarkarantän – Tillåt självbetjäning genom att flytta filen till en användarkontrollerad karantänmapp (Box, OneDrive, SharePoint)
- Placera i administratörskarantän – Filen flyttas till karantän på administratörsenheten och administratören måste godkänna den. (Box)
Papperskorg – Flytta filen till papperskorgen. (Box, Dropbox, Google Drive, OneDrive, SharePoint)
Obs!
I SharePoint och OneDrive stöder Defender for Cloud Apps endast användarkarantän för filer i bibliotek med delade dokument (SharePoint Online) och filer i dokumentbiblioteket (OneDrive för företag).
Microsoft Defender för Microsoft 365-kunder kan styra identifierade filer med skadlig kod i SharePoint och OneDrive via sidan Microsoft Defender XDR Karantän. Aktiviteter som stöds omfattar till exempel återställning av filer, borttagning av filer och nedladdning av filer i lösenordsskyddade ZIP-filer. Dessa aktiviteter är begränsade till filer som inte redan har satts i karantän av Microsoft Defender for Cloud Apps. I SharePoint stöder Defender for Cloud Apps endast karantänuppgifter för filer med delade dokument på sökvägen på engelska.
Åtgärder visas endast för anslutna appar.
Åtgärder för aktivitetsstyrning
Meddelanden
Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post baserat på allvarlighetsgrad.
Användarens e-postavisering – Email meddelanden kan anpassas och skickas till alla som bryter mot filägare.
Meddela ytterligare användare – Specifik lista över e-postadresser som ska ta emot dessa meddelanden.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appens terminologi.
Pausa användare – Inaktivera användaren från programmet.
Obs!
Om din Microsoft Entra ID är inställd på att automatiskt synkronisera med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra inställningar och den här styrningsåtgärden återställs.
Kräv att användaren loggar in igen – loggar ut användaren och kräver att de loggar in igen.
Bekräfta att användaren har komprometterats – Ange användarens risknivå till hög. Detta gör att relevanta principåtgärder som definierats i Microsoft Entra ID framtvingas. Mer information Om hur Microsoft Entra ID fungerar med risknivåer finns i Hur använder Microsoft Entra ID min riskfeedback?
Återkalla en OAuth-app och meddela användaren
För Google Workspace och Salesforce går det att återkalla behörighet till en OAuth-app eller att meddela användaren att de ska ändra behörigheten. När du återkallar behörigheten tar den bort alla behörigheter som har beviljats till programmet under "Företagsprogram" i Microsoft Entra ID.
På flikarna Google eller Salesforce på sidan Appstyrning väljer du de tre punkterna i slutet av appraden och väljer Meddela användare. Som standard meddelas användaren på följande sätt: Du har gett appen behörighet att komma åt ditt Google Workspace-konto. Den här appen står i konflikt med organisationens säkerhetsprincip. Överpröva att ge eller återkalla de behörigheter som du gav den här appen i ditt Google Workspace-konto. Om du vill återkalla appåtkomst går du till: https://security.google.com/settings/security/permissions?hl=en& pli=1 Välj appen och välj "Återkalla åtkomst" på den högra menyraden. Du kan anpassa meddelandet som skickas.
Du kan också återkalla behörigheter för att använda appen för användaren. Välj ikonen i slutet av appraden i tabellen och välj Återkalla app. Till exempel:
Styrningskonflikter
När du har skapat flera principer kan det uppstå en situation där styrningsåtgärderna i flera principer överlappar varandra. I det här fallet bearbetar Defender for Cloud Apps styrningsåtgärderna på följande sätt:
Konflikter mellan principer
- Om två principer innehåller åtgärder som finns i varandra (till exempel Ta bort externa resurser ingår i Gör privata) löser Defender for Cloud Apps konflikten och den starkare åtgärden framtvingas.
- Om åtgärderna inte är relaterade (till exempel Meddela ägare och Gör privat). Båda åtgärderna kommer att utföras.
- Om åtgärderna är i konflikt ( till exempel Ändra ägare till användare A och Ändra ägare till användare B) kan olika resultat uppstå från varje matchning. Det är viktigt att ändra dina principer för att förhindra konflikter eftersom de kan leda till oönskade ändringar på enheten som är svåra att identifiera.
Konflikter i användarsynkronisering
- Om din Microsoft Entra ID är inställd på att synkroniseras automatiskt med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra inställningar och den här styrningsåtgärden återställs.
Styrningslogg
Styrningsloggen innehåller en statuspost för varje uppgift som du anger Defender for Cloud Apps ska köras, inklusive både manuella och automatiska uppgifter. Dessa uppgifter omfattar de som du anger i principer, styrningsåtgärder som du ställer in på filer och användare samt andra åtgärder som du anger Defender for Cloud Apps att vidta. Styrningsloggen innehåller också information om lyckade eller misslyckade åtgärder. Du kan välja att försöka igen eller återställa några av styrningsåtgärderna från styrningsloggen.
Om du vill visa styrningsloggen går du till Microsoft Defender-portalen och väljer Styrningslogg under Cloud Apps.
Följande tabell är den fullständiga listan över åtgärder som du kan utföra i Defender for Cloud Apps portalen. De här åtgärderna är aktiverade på olika platser i konsolen enligt beskrivningen i kolumnen Plats . Varje styrningsåtgärd som vidtas visas i styrningsloggen. Information om hur styrningsåtgärder behandlas när det finns principkonflikter finns i Principkonflikter.
| Plats | Målobjekttyp | Styrningsåtgärd | Beskrivning | Relaterade anslutningsappar |
|---|---|---|---|---|
| Konton | Fil | Ta bort användarens samarbeten | Ta bort alla samarbeten för en specifik användare för alla filer – bra för personer som lämnar företaget. | Box, Google Workspace |
| Konton | Konto | Användare som inte har förbrukats | Avanvänder användaren | Google Workspace, Box, Office, Salesforce |
| Konton | Konto | Kontoinställningar | Tar dig till sidan kontoinställningar i den specifika appen (till exempel i Salesforce). | Alla appar – One Drive- och SharePoint-inställningar konfigureras inifrån Office. |
| Konton | Fil | Överföra ägarskapet för alla filer | På ett konto överför du en användares filer till alla som ägs av en ny person som du väljer. Den tidigare ägaren blir redigerare och kan inte längre ändra delningsinställningar. Den nya ägaren får ett e-postmeddelande om ägarbytet. | Google-arbetsyta |
| Konton, aktivitetsprincip | Konto | Pausa användare | Anger att användaren inte har någon åtkomst och ingen möjlighet att logga in. Om de är inloggade när du anger den här åtgärden blir de omedelbart utelåst. | Google Workspace, Box, Office, Salesforce |
| Aktivitetsprincip, konton | Konto | Kräv att användaren loggar in igen | Återkallar alla uppdateringstoken och problem med sessionscookies till program av användaren. Den här åtgärden förhindrar åtkomst till någon av organisationens data och tvingar användaren att logga in på alla program igen. | Google Workspace, Office |
| Aktivitetsprincip, konton | Konto | Bekräfta att användaren har komprometterats | Ange användarens risknivå till hög. Detta gör att relevanta principåtgärder som definierats i Microsoft Entra ID framtvingas. | Office |
| Aktivitetsprincip, konton | Konto | Återkalla administratörsbehörigheter | Återkallar behörigheter för ett administratörskonto. Du kan till exempel ange en aktivitetsprincip som återkallar administratörsprivilegier efter 10 misslyckade inloggningsförsök. | Google-arbetsyta |
| Appbehörigheter för appinstrumentpanel > | Behörigheter | Avbanna app | I Google och Salesforce: ta bort förbudet från appen och tillåt användare att ge behörigheter till appen från tredje part med sin Google eller Salesforce. I Microsoft 365: återställer behörigheterna för appen från tredje part till Office. | Google Workspace, Salesforce, Office |
| Appbehörigheter för appinstrumentpanel > | Behörigheter | Inaktivera appbehörigheter | Återkalla en tredjepartsapps behörigheter till Google, Salesforce eller Office. Det här är en engångsåtgärd som utförs för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce, Office |
| Appbehörigheter för appinstrumentpanel > | Behörigheter | Aktivera appbehörigheter | Bevilja en tredjepartsapp behörighet till Google, Salesforce eller Office. Det här är en engångsåtgärd som utförs för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce, Office |
| Appbehörigheter för appinstrumentpanel > | Behörigheter | Förbjuda app | I Google och Salesforce: återkalla en tredjepartsapps behörigheter till Google eller Salesforce och förbjuda den från att ta emot behörigheter i framtiden. I Microsoft 365: tillåter inte behörighet för appar från tredje part att komma åt Office, men återkallar dem inte. | Google Workspace, Salesforce, Office |
| Appbehörigheter för appinstrumentpanel > | Behörigheter | Återkalla app | Återkalla en tredjepartsapps behörigheter till Google eller Salesforce. Det här är en engångsåtgärd som utförs för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce |
| Appbehörigheter för appinstrumentpanel > | Konto | Återkalla användare från app | Du kan återkalla specifika användare när du klickar på numret under Användare. Skärmen visar specifika användare och du kan använda X för att ta bort behörigheter för alla användare. | Google Workspace, Salesforce |
| Identifiera > identifierade appar/IP-adresser/användare | Molnidentifiering | Exportera identifieringsdata | Skapar en CSV från identifieringsdata. | Identifiering |
| Filprincip | Fil | Skräp | Flyttar filen i användarens papperskorg. | Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (permanent borttagning) |
| Filprincip | Fil | Meddela senaste filredigeraren | Skickar ett e-postmeddelande för att meddela den sista personen som redigerade filen att den bryter mot en princip. | Google Workspace, Box |
| Filprincip | Fil | Meddela filägaren | Skickar ett e-postmeddelande till filägaren när en fil bryter mot en princip. Om ingen ägare är associerad med en fil i Dropbox skickas meddelandet till den specifika användare som du anger. | Alla appar |
| Filprincip, aktivitetsprincip | Fil, aktivitet | Meddela specifika användare | Skickar ett e-postmeddelande för att meddela specifika användare om en fil som bryter mot en princip. | Alla appar |
| Filprincip och aktivitetsprincip | Fil, aktivitet | Meddela användare | Skickar ett e-postmeddelande till användare för att meddela dem att något de har gjort eller en fil som de äger bryter mot en princip. Du kan lägga till ett anpassat meddelande för att meddela dem vad överträdelsen var. | Alla |
| Filprincip och filer | Fil | Ta bort redigerarens möjlighet att dela | I Google Drive tillåter standardredigeraren även behörigheter för fildelning. Den här styrningsåtgärden begränsar det här alternativet och begränsar fildelningen till ägaren. | Google-arbetsyta |
| Filprincip och filer | Fil | Placera i administratörskarantän | Tar bort alla behörigheter från filen och flyttar filen till en karantänmapp på en plats för administratören. Med den här åtgärden kan administratören granska filen och ta bort den. | Microsoft 365 SharePoint, OneDrive för företag, Box |
| Filprincip och filer | Fil | Använd känslighetsetikett | Använder en Microsoft Purview Information Protection känslighetsetikett för filer automatiskt baserat på de villkor som anges i principen. | Box, One Drive, Google Workspace, SharePoint |
| Filprincip och filer | Fil | Ta bort känslighetsetikett | Tar bort en Microsoft Purview Information Protection känslighetsetikett från filer automatiskt baserat på de villkor som anges i principen. Du kan bara ta bort etiketter om de inte innehåller skydd och de har tillämpats inifrån Defender for Cloud Apps, inte etiketter som tillämpas direkt i Information Protection. | Box, One Drive, Google Workspace, SharePoint |
| Filprincip, aktivitetsprincip, aviseringar | Program | Kräv att användare loggar in igen | Du kan kräva att användarna loggar in igen till alla Microsoft 365- och Microsoft Entra-appar som en snabb och effektiv åtgärd för misstänkta användaraktivitetsaviseringar och komprometterade konton. Du hittar den nya styrningen i principinställningarna och aviseringssidorna bredvid alternativet Pausa användare. | Microsoft 365, Microsoft Entra ID |
| Filer | Fil | Återställa från användarkarantän | Återställer en användare från att vara i karantän. | Ruta |
| Filer | Fil | Bevilja läsbehörighet till mig själv | Beviljar läsbehörighet för filen själv så att du kan komma åt filen och förstå om den har en överträdelse eller inte. | Google-arbetsyta |
| Filer | Fil | Tillåt att redigerare delar | I Google Drive tillåter standardredigerarens behörighet för en fil även delning. Den här styrningsåtgärden är motsatsen till borttagningsredigerarens möjlighet att dela och gör det möjligt för redigeraren att dela filen. | Google-arbetsyta |
| Filer | Fil | Skydda | Skydda en fil med Microsoft Purview genom att använda en organisationsmall. | Microsoft 365 (SharePoint och OneDrive) |
| Filer | Fil | Återkalla läsbehörighetsformuläret själv | Återkallar läsbehörigheter för filen själv, användbart när du har gett dig själv behörighet att förstå om en fil har en överträdelse eller inte. | Google-arbetsyta |
| Filer, filprincip | Fil | Överföra filägarskap | Ändrar ägaren – i principen väljer du en specifik ägare. | Google-arbetsyta |
| Filer, filprincip | Fil | Minska offentlig åtkomst | Med den här åtgärden kan du ange att offentligt tillgängliga filer endast ska vara tillgängliga med en delad länk. | Google-arbetsyta |
| Filer, filprincip | Fil | Ta bort en medarbetare | Tar bort en specifik medarbetare från en fil. | Google Workspace, Box, One Drive, SharePoint |
| Filer, filprincip | Fil | Gör privat | Endast webbplatsadministratörer kan komma åt filen, alla resurser tas bort. | Google Workspace, One Drive, SharePoint |
| Filer, filprincip | Fil | Ta bort externa användare | Tar bort alla externa medarbetare – utanför de domäner som konfigurerats som interna i Inställningar. | Google Workspace, Box, One Drive, SharePoint |
| Filer, filprincip | Fil | Bevilja läsbehörighet till domän | Beviljar läsbehörighet för filen till den angivna domänen för hela domänen eller en specifik domän. Den här åtgärden är användbar om du vill ta bort offentlig åtkomst när du har beviljat åtkomst till domänen för personer som behöver arbeta med den. | Google-arbetsyta |
| Filer, filprincip | Fil | Placera i användarkarantän | Tar bort alla behörigheter från filen och flyttar filen till en karantänmapp under användarens rotenhet. Med den här åtgärden kan användaren granska filen och flytta den. Om fildelningen flyttas tillbaka manuellt återställs inte fildelningen. | Box, One Drive, SharePoint |
| Filer | Fil | Förfalla delad länk | Ange ett förfallodatum för en delad länk varefter den inte längre är aktiv. | Ruta |
| Filer | Fil | Ändra åtkomstnivå för delningslänk | Ändrar åtkomstnivån för den delade länken endast mellan företag, endast medarbetare och offentlig. | Ruta |
| Filer, filprincip | Fil | Ta bort offentlig åtkomst | Om en fil var din och du placerar den i offentlig åtkomst blir den tillgänglig för alla andra som har konfigurerats med åtkomst till filen (beroende på vilken typ av åtkomst filen hade). | Google-arbetsyta |
| Filer, filprincip | Fil | Ta bort direkt delad länk | Tar bort en länk som skapas för filen som är offentlig men som bara delas med specifika personer. | Box, Dropbox |
| Inställningar Cloud> Discovery-inställningar | Molnidentifiering | Beräkna om molnidentifieringspoäng | Beräknar om poängen i molnappkatalogen efter en ändring av poängmåttet. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Hantera datavyer | Molnidentifiering | Skapa datavy för anpassat molnidentifieringsfilter | Skapar en ny datavy för en mer detaljerad vy av identifieringsresultaten. Till exempel specifika IP-intervall. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Ta bort data | Molnidentifiering | Ta bort molnidentifieringsdata | Tar bort alla data som samlas in från identifieringskällor. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Ladda upp loggar manuellt/Ladda upp loggar automatiskt | Molnidentifiering | Parsa molnidentifieringsdata | Meddelande om att alla loggdata parsades. | Identifiering |
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.