將您的部署範圍設定為特定用戶或使用者群組

Microsoft Defender for Cloud Apps 可讓您設定部署範圍。 範圍可讓您選取要監視應用程式或從監視中排除的特定使用者群組。

包含或排除使用者群組

您可能不想對組織中的所有使用者使用 Microsoft Defender for Cloud Apps。 當您因為授權限制而想要限制部署時，範圍設定特別有用。 您可能也需要限制，因為合規性法規要求您不監視來自特定國家/地區的使用者。 例如，使用限域部署僅監視以美國為基礎的員工。 或者，您可以避免為以德國為基礎的用戶顯示任何活動。

• 若要設定部署範圍，您必須先將使用者群組匯入 Microsoft Defender for Cloud Apps。 根據預設，您會看到下列群組：

  • 應用程式使用者群組 - 內建群組，可讓您查看Microsoft 365 和 Microsoft Entra 應用程式所執行的活動。

  • 外部使用者 群組 - 不是您為組織設定的任何受控網域成員的所有使用者。

• 設定 include 規則會自動排除不在包含群組內的所有群組。 例如，如果您將規則設定為包含美國辦公室群組的所有成員，則不會監視任何不屬於該群組的群組。

• 排除的使用者群組會覆寫包含的使用者群組。 這表示，如果您包含使用者群組「UK-employees」，但排除「行銷」，則即使來自英國營銷成員是 英國員工群組的成員，也不會受到監視。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 在 [系統] 底下，選 取 [限域部署和隱私權]。

2. 若要將部署的範圍設定為包含或排除特定群組，您必須先將使用者群組匯入 Microsoft Defender for Cloud Apps。

3. 若要設定要由 Microsoft Defender for Cloud Apps 監視的特定群組，請在 [包含] 索引標籤中，選取 [+新增規則]。

4. 在 [ 建立新的包含規則] 對話框中，執行下列步驟：

   1. 在 [類型規則名稱] 底下，為規則指定描述性名稱。

   2. 在 [選取使用者群組] 底下，選取您想要使用 Defender for Cloud Apps 監視的所有群組。

   3. 選取您要將此規則套用至所有已連線的應用程式，還是只套用至 特定應用程式。 如果您選取 [特定應用程式]，此規則只會影響您所選應用程式的監視。 例如，如果您選取群組UI小組使用者和Box，Defender for Cloud Apps只會監視UI小組使用者群組中的使用者和所有其他應用程式的Box活動，Defender for Cloud Apps會監視所有使用者的所有活動。

      

5. 若要設定要從監視中排除的特定群組，請在 [ 排除 ] 索引標籤中選取 [+新增規則]。

6. 在 [ 建立新的排除規則] 對話框中，設定下列參數：

   1. 在 [類型規則名稱] 底下，為規則指定描述性名稱。 在 [選取使用者群組] 底下，選取您不想 Defender for Cloud Apps 監視的所有群組。

   2. 選取您要將此規則套用至所有已連線的應用程式，還是只套用至 特定應用程式。 如果您選取 [特定應用程式]，Defender for Cloud Apps 將停止監視您為選取的應用程式選取的群組。 這表示，如果您選取群組 UI 小組使用者和 Active Directory，Defender for Cloud Apps 會監視 UI 小組使用者執行的 Active Directory 活動以外的所有用戶活動。

      

包含和排除規則的範例結果

您建立的包含和排除規則會一起運作，以限定 Microsoft Defender for Cloud Apps 執行的整體監視範圍。 以下是您可以建立的包含和排除規則範例，以及這些規則執行之後 Microsoft Defender for Cloud Apps 監視的最終結果。

如果您建立下列規則：

• 排除使用者群組「德國所有使用者」
• 只包含 365 個活動Microsoft使用者群組的「全球銷售」
• 僅包含使用者群組「銷售經理」Power BI 活動
• Salesforce 已連線到 Microsoft Defender for Cloud Apps，且未設定任何規則

下列用戶活動會受到監視：

後續步驟

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。