管理連接應用程式

治理讓你能控制用戶在不同應用程式間的行為。對於連接的應用程式，你可以對檔案或活動套用治理行動。治理行動是你可以直接從 Microsoft Defender for Cloud Apps 執行的整合式行動，針對檔案或活動執行。治理行動控制用戶在連接應用程式中的行為。

注意事項

當 Microsoft Defender for Cloud Apps 嘗試執行治理動作但因檔案被鎖定而失敗時，會自動重新嘗試治理動作。

檔案治理動作

以下治理措施可針對特定檔案、使用者或特定政策的連接應用程式執行。

通知：
- 警示 – 警示可在系統中觸發並透過電子郵件傳播，依嚴重程度而定。
- 使用者電子郵件通知 – Email 訊息可自訂，並會發送給所有違規檔案擁有者。
- 通知特定使用者 – 提供具體的電子郵件地址清單以接收這些通知。
- 通知最後檔案編輯器 – 向最後修改檔案的人發送通知。
應用程式中的治理動作 ——每個應用程式都可以執行細緻的操作，具體動作會依應用程式術語而異。
- 加標籤
  - 套用標籤 - 能夠新增 Microsoft Purview 資訊保護敏感性標籤。
  - 移除標籤 - 能夠移除 Microsoft Purview 資訊保護敏感度標籤。
- 變更分享
  - 移除公開分享 ——只允許指定協作者存取，例如：移除 Google Workspace 的 公開存取 ，以及移除 Box 和 Dropbox 的直接共享連結 。
  - 移除外部使用者 – 只允許公司用戶存取。當一個包含內部與外部成員的群組被加入為協作者時，該動作是在群組層級移除成員，而非個別移除。
  - 設為私人 – 只有網站管理員能存取檔案，所有分享都會被移除。
  - 移除協作者 – 從檔案中移除特定協作者。
  - 減少公開存取 權 - 將公開檔案設定為僅以共享連結提供。 (Google)
  - 共享連結過期 - 可以設定共享連結的到期日，超過該連結將不再有效。 (盒子)
  - 變更連結共享存取權限等級 - 可在公司、僅限協作者及公開使用者之間調整共用連結的存取權限。 (盒子)
- 隔離區
  - 啟用使用者隔離 – 將檔案移至使用者控制的隔離資料夾，允許自助服務
  - 設為管理員隔離 ——檔案會移到管理員硬碟的隔離狀態，管理員必須批准。
- 從父檔案繼承權限 ——此治理動作允許您移除 Microsoft 365 中檔案或資料夾的特定權限設定。然後回復到父資料夾設定的權限。
- 垃圾桶 – 將檔案移到垃圾桶。 (Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex)

惡意軟體治理行動 (預覽)

以下治理措施可針對特定檔案、使用者或特定政策的連接應用程式執行。出於安全考量，此清單僅限於與惡意軟體相關的行為，且不涉及使用者或租戶的風險。

通知：
- 警示 – 警示可在系統中觸發，並依嚴重程度透過電子郵件及簡訊傳遞。
應用程式中的治理動作 ——每個應用程式都可以執行細緻的操作，具體動作會依應用程式術語而異。
- 變更分享
  - 移除外部使用者 – 只允許公司用戶存取。 (Box、Google Drive、OneDrive、SharePoint)
  - 移除直接共享連結 – 移除先前共享連結 (Box、Dropbox)
- 隔離區
  - 啟用使用者隔離 – 允許自助服務，將檔案移至使用者控制的隔離資料夾 (Box、OneDrive、SharePoint)
  - 設為管理員隔離 ——檔案會移到管理員硬碟的隔離狀態，管理員必須批准。 (盒子)
- 垃圾桶 – 將檔案移到垃圾桶。 (Box、Dropbox、Google Drive、OneDrive、SharePoint)

這些操作僅限於具有特定管理角色的使用者。若上述選項無法顯示或無法存取，請向系統管理員確認您的帳號是否被指派了以下其中一個角色：

安全性操作員
安全性系統管理員
全域管理員
雲端應用程式安全管理員

注意事項

在 SharePoint 和 OneDrive 中，Defender for Cloud Apps 僅支援對共享文件庫中的檔案進行使用者隔離，且僅對 SharePoint Online) (SharePoint Online 路徑中共有文件的檔案進行隔離，文件庫 (商務用 OneDrive) 。此外，您必須啟用服務主體才能獲得惡意軟體偵測與回應支援， (此服務 API 預設) 啟用。一旦啟用 API，Defender for Cloud Apps 就會開始以 24-72 小時的延遲) (日誌。

Microsoft Defender for Office 365 客戶可在 Microsoft Defender 入口網站https://security.microsoft.com/quarantine?viewid=Files隔離頁面的檔案標籤中控制偵測到的惡意軟體檔案。例如，支援的活動包括還原檔案、刪除檔案，以及下載有密碼保護的 ZIP 檔案。這些活動僅限於尚未被 Microsoft Defender for Cloud Apps 隔離的檔案。

動作只顯示在已連接的應用程式上。

活動治理行動

通知
- 警示 – 警示可在系統中觸發並透過電子郵件傳播，依嚴重程度而定。
- 使用者電子郵件通知 – Email 訊息可自訂，並會發送給所有違規檔案擁有者。
- 通知其他用戶 – 提供具體的電子郵件地址清單以接收這些通知。
應用程式中的治理動作 ——每個應用程式都可以執行細緻的操作，具體動作會依應用程式術語而異。
暫停使用者 – 將使用者從應用程式中暫停。

注意事項

如果你的 Microsoft Entra ID 設定為自動與 Active Directory 本地環境的使用者同步，本地環境的設定會覆寫 Microsoft Entra 設定，這個治理動作會被還原。
- 要求使用者再次登入 – 將使用者登出並要求他們再次登入。
- 確認使用者已被入侵 ——將使用者的風險等級設為高。這會強制執行 Microsoft Entra ID 中定義的相關政策動作。欲了解更多 Microsoft Entra ID 如何處理風險等級，請參閱「Microsoft Entra ID 如何使用我的風險回饋」。

撤銷 OAuth 應用程式並通知使用者

對於 Google Workspace 和 Salesforce，可以撤銷 OAuth 應用程式的權限，或通知使用者應該更改權限。當你撤銷權限時，會移除 Microsoft Entra ID 中「企業應用程式」中所有授予該應用程式的權限。

在應用程式治理頁面的 Google 或 Salesforce 分頁中，選擇應用程式列末尾的三個點，並選擇通知使用者。預設情況下，使用者會收到以下通知：您已授權該應用程式存取您的 Google Workspace 帳號。此應用程式與貴組織的安全政策相衝突。請重新考慮是否要在你的 Google Workspace 帳號中給予或撤銷這個應用程式的權限。若要撤銷應用程式存取權，請前往： https://security.google.com/settings/security/permissions?hl=en&pli=1 選擇應用程式，並在右側選單列選擇「撤銷存取權」。你可以自訂所發送的訊息內容。
你也可以撤銷使用者使用該應用程式的權限。在表格中選擇應用程式列末尾的圖示，然後選擇 撤銷應用程式。例如：

治理衝突

建立多個政策後，可能會出現多重政策中的治理行動重疊的情況。在此情況下，Defender for Cloud Apps 會依照以下方式處理治理操作：

政策間的衝突

如果兩個政策包含彼此的 (行動，例如「移除外部共享」包含在「私有) 」中，Defender for Cloud Apps解決衝突並執行較強的行動。
如果這些操作 (無關，例如通知 擁有者 並 建立私人) 。這兩個行動都發生了。
如果動作衝突 (例如 將擁有者變更為使用者 A ，將 擁有者變更為使用者 B) ，則每次配對可能產生不同的結果。改變你的政策以防止衝突非常重要，因為衝突可能導致硬碟中難以察覺的不想要的變動。

使用者同步衝突

如果您的 Microsoft Entra ID 設定為自動與 Active Directory 本地環境的使用者同步，本地環境的設定會覆寫 Microsoft Entra 設定，並將此治理動作還原。

治理日誌

治理日誌會記錄你設定 Defender for Cloud Apps 執行的每個任務，包括手動和自動任務。這些任務包括你在政策中設定的、對檔案和使用者設定的治理行動，以及你設定 Defender for Cloud Apps 執行的其他任何行動。治理日誌也提供這些行動的成敗資訊。你可以選擇重試或還原治理日誌中的部分治理行動。

要查看治理日誌，請在 Microsoft Defender 入口網站的雲端應用程式中選擇治理日誌。

下表列出 Microsoft Defender for Cloud Apps 允許你採取的完整行動。這些動作會在主控台的不同位置啟用，詳見位置欄位。每項治理行動都會列在治理日誌中。關於在存在政策衝突時治理行動如何處理的資訊，請參見政策衝突。

位置	目標物件類型	治理行動	描述	相關連接器
帳戶	檔案	移除使用者的協作	移除所有特定使用者的檔案協作——這對離職的人來說是好事。	Box，Google Workspace
帳戶	帳戶	解除使用者暫停	解除使用者的暫停	Google Workspace、Box、Office、Salesforce
帳戶	帳戶	帳號設定	例如，會帶你到特定應用程式 (的帳戶設定頁面，例如在 Salesforce) 裡面。	所有應用程式——One Drive 和 SharePoint 設定都是在 Office 內部設定的。
帳戶	檔案	轉移所有檔案所有權	在一個帳號上，你會將一個使用者的檔案轉移到你選擇的新人所有。前任擁有者成為編輯者，無法更改分享設定。新屋主會收到一封關於所有權變更的電子郵件通知。	Groove Workspace
帳戶、活動政策	帳戶	暫停使用者	設定使用者無法登入或登入。如果你設定這個動作時他們還在登入，他們就會立刻被鎖定。	Google Workspace、Box、Office、Salesforce
活動政策、帳目	帳戶	要求使用者重新登入	移除使用者對應用程式發出的所有刷新權杖和會話 Cookie。此操作阻止使用者存取組織任何資料，並強制使用者重新登入所有應用程式。	Google Workspace，Office
活動政策、帳目	帳戶	確認使用者遭入侵	將使用者的風險等級設為高。這會強制執行 Microsoft Entra ID 中定義的相關政策動作。	Office
活動政策、帳目	帳戶	撤銷管理員權限	撤銷管理員帳號的權限。例如，設定一個活動政策，在 10 次登入失敗後撤銷管理員權限。	Groove Workspace
App dashboard > App permissions	權限	解禁應用程式	在 Google 和 Salesforce 中：移除應用程式的封鎖，並允許用戶用 Google 或 Salesforce 授權第三方應用程式。在 Microsoft 365：中，將第三方應用程式的權限還原到 Office。	Google Workspace、Salesforce、Office
App dashboard > App permissions	權限	停用應用程式權限	撤銷第三方應用程式對 Google、Salesforce 或 Office 的權限。這是一次性的操作，對所有現有權限都會發生，但不會阻止未來的連線。	Google Workspace、Salesforce、Office
App dashboard > App permissions	權限	啟用應用程式權限	將第三方應用程式的權限授予 Google、Salesforce 或 Office。這是一次性的操作，對所有現有權限都會發生，但不會阻止未來的連線。	Google Workspace、Salesforce、Office
App dashboard > App permissions	權限	封禁應用程式	在 Google 和 Salesforce 中：撤銷第三方應用程式對 Google 或 Salesforce 的權限，並禁止其未來獲得權限。在 Microsoft 365：不允許第三方應用程式存取 Office，但也不會撤銷它們。	Google Workspace、Salesforce、Office
App dashboard > App permissions	權限	Revoke 應用程式	撤銷第三方應用程式對 Google 或 Salesforce 的權限。這是一次性的操作，對所有現有權限都會發生，但不會阻止未來的連線。	Google Workspace，Salesforce
App dashboard > App permissions	帳戶	從應用程式中撤銷用戶	你可以在「使用者」頁面點擊號碼時撤銷特定用戶。畫面會顯示特定使用者，你可以用 X 鍵刪除任何使用者的權限。	Google Workspace，Salesforce
發現 > 已發現的應用程式/IP 位址/使用者	雲端探索	匯出發現資料	從發現資料建立 CSV 檔案。	探索
檔案原則	檔案	垃圾	將檔案移到使用者的垃圾桶。	Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex (永久刪除)
檔案政策	檔案	通知最後檔案編輯器	寄信通知最後編輯該檔案的人，該檔案違反了政策。	Google Workspace，Box
檔案政策	檔案	通知檔案擁有者	當檔案違反政策時，會發送電子郵件給檔案擁有者。在 Dropbox 裡，如果檔案沒有擁有者，通知會寄給你設定的特定使用者。	所有應用程式
檔案政策、活動政策	檔案，活動	通知特定使用者	發送電子郵件通知特定使用者有關違反政策的檔案。	所有應用程式
檔案政策與活動政策	檔案，活動	通知使用者	發送電子郵件通知使用者，告知他們自己或擁有的檔案違反了政策。你可以新增自訂通知，讓他們知道違規內容。	全部
檔案政策與檔案	檔案	移除編輯者分享的能力	在 Google 雲端硬碟中，檔案的預設編輯權限也允許分享。此治理行動限制了此選項，並將檔案分享權限限制為擁有者。	Groove Workspace
檔案政策與檔案	檔案	進入行政隔離	移除檔案中的所有權限，並將檔案移到管理員所在的隔離資料夾。此操作允許管理員審查檔案並移除。	Microsoft 365 SharePoint、商務用 OneDrive、Box
檔案政策與檔案	檔案	套用靈敏度標籤	根據政策設定的條件，自動對檔案套用 Microsoft Purview 資訊保護敏感性標籤。	Box、One Drive、Google Workspace、SharePoint
檔案政策與檔案	檔案	移除敏感度標籤	根據政策設定的條件，自動移除檔案中的 Microsoft Purview 資訊保護敏感標籤。只有當標籤不含保護，且標籤是從 Defender for Cloud Apps 內部套用，而非直接在資訊保護中套用的標籤時，才能移除。	Box、One Drive、Google Workspace、SharePoint
檔案政策、活動政策、警示	應用程式	要求使用者重新登入	你可以要求使用者重新登入所有 Microsoft 365 和 Microsoft Entra 應用程式，作為快速且有效的解決方法，針對可疑的使用者活動警示和帳號被入侵。你可以在政策設定和警示頁面中，以及暫停使用者選項旁找到新的治理。	Microsoft 365， Microsoft Entra ID
檔案	檔案	從使用者隔離中還原	恢復使用者被隔離的狀態。	Box
檔案	檔案	授予自己讀取權限	它會授權你自己讀取檔案，讓你能存取檔案並判斷是否有違規。	Groove Workspace
檔案	檔案	允許編輯者分享	在 Google 雲端硬碟中，檔案的預設編輯權限也允許分享。此治理操作與移除編輯器分享的能力相反，使編輯者能夠分享檔案。	Groove Workspace
檔案	檔案	保護	透過套用組織範本來保護 Microsoft Purview 檔案。	Microsoft 365 (SharePoint 和 OneDrive)
檔案	檔案	撤銷我自己從中讀取的權限	撤銷檔案的讀取權限，在授權自己判斷檔案是否違規後很有用。	Groove Workspace
檔案，檔案政策	檔案	檔案轉移所有權	更換車主——在保單中你選擇特定的車主。	Groove Workspace
檔案，檔案政策	檔案	減少公共通行權	此操作允許您將公開檔案設定為僅透過共享連結提供。	Groove Workspace
檔案，檔案政策	檔案	移除合作者	從檔案中移除特定的協作者。	Google Workspace、Box、One Drive、SharePoint
檔案，檔案政策	檔案	設為私人	只有網站管理員能存取該檔案，所有分享都會被移除。	Google Workspace、One Drive、SharePoint
檔案，檔案政策	檔案	移除外部使用者	移除所有外部協作者——除了設定中設定為內部的領域外。	Google Workspace、Box、One Drive、SharePoint
檔案，檔案政策	檔案	授予網域讀取權限	授權該檔案的讀取權限，適用於你整個網域或特定網域。如果你想在授權需要處理該領域的人存取權後，移除公開存取權限，這個動作很有用。	Groove Workspace
檔案，檔案政策	檔案	啟用使用者隔離	移除該檔案的所有權限，並將檔案移至使用者根目錄下的隔離資料夾。此操作允許使用者檢視檔案並移動檔案。如果是手動回去，檔案分享不會恢復。	Box、One Drive、SharePoint
檔案	檔案	分享連結過期	設定一個共享連結的有效期限，超過該連結就不再有效。	Box
檔案	檔案	變更連結存取層級	改變公司、僅合作夥伴及公眾之間的共享連結存取權限。	Box
檔案，檔案政策	檔案	移除公共通道	如果檔案是你的，且你將其設為公開存取，該檔案會被其他設定有存取權限的人存取， (視檔案) 的存取權限而定。	Groove Workspace
檔案，檔案政策	檔案	移除直接共享連結	移除一個為檔案建立的連結，該連結是公開的，但只分享給特定人。	Box，Dropbox
設定> 雲端發現設定	雲端探索	重新計算雲端發現分數	在 Cloud 應用程式目錄中，分數指標變更後重新計算分數。	探索
設定> 雲端發現設定 > 管理資料檢視	雲端探索	建立自訂的雲端發現過濾器資料檢視	建立一個新的資料檢視，讓發現結果更細緻地呈現。例如，特定的 IP 範圍。	探索
設定> 雲端發現設定 > 刪除資料	雲端探索	刪除雲端發現資料	刪除所有從證據來源收集的資料。	探索
設定> 雲端發現設定 > 手動上傳日誌/自動上傳日誌	雲端探索	解析雲端發現資料	通知所有日誌資料都已被解析。	探索

後續步驟

保護組織的最佳實務

如果你遇到任何問題，我們隨時準備協助。若要獲得產品問題的協助或支援，請開啟客服單。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-12-17