將部署範圍限定為特定使用者或使用者群組

Microsoft Defender for Cloud Apps 可讓您設定部署範圍。 範圍設定可讓您選取要監視應用程式的特定使用者群組，或從監視中排除。

包含或排除使用者群組

您可能不想針對組織中的所有使用者使用 Microsoft Defender for Cloud Apps。 當您想要因為授權限制而限制部署時，範圍設定特別有用。 您可能還需要進行限制，因為合規性法規要求您不要監視來自某些國家/地區的使用者。 例如，使用範圍部署來只監控美國的員工。 或者，您可以避免顯示德國使用者的任何活動。

• 若要設定部署範圍，您必須先將使用者群組匯入至Microsoft Defender for Cloud Apps。 根據預設，您會看到下列群組：

  • 應用程式使用者群組 - 內建群組，可讓您查看 Microsoft 365 和 Microsoft Entra 應用程式所執行的活動。

  • 外部使用者 群組 - 不是您為組織設定的任何受控網域成員的所有使用者。

• 設定包含規則會自動排除所有不在包含群組內的群組。 例如，如果您設定規則以包含美國辦公室群組的所有成員，則不會監視不屬於該群組的任何群組。

• 排除的使用者群組會覆寫包含的使用者群組。 也就是說，如果您包含使用者群組「UK-employees」但排除「Marketing」，則來自英國的行銷成員即使是 UK-employees群組的成員，也不會受到監控。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。 在 [系統] 底下，選取 [範圍部署和隱私權]。

2. 若要將部署範圍限定為包含或排除特定群組，您必須先將使用者群組匯入 Microsoft Defender for Cloud Apps。

3. 若要設定要由 Microsoft Defender for Cloud Apps 監視的特定群組，請在 [ 包含 ] 索引標籤中，選取 [ + 新增規則]。

4. 在 建立新的包含規則 對話方塊中，執行下列步驟：

   1. 在 類型規則名稱下，為規則提供描述性名稱。

   2. 在 [選取使用者群組] 底下，選取您想要使用 Defender for Cloud Apps 監視的所有群組。

   3. 選取您要將此規則套用至所有連線的應用程式，還是僅套用至 特定應用程式。 如果您選取 [特定應用程式]，則規則只會影響您選取的應用程式的監視。 例如，如果您選取群組 UI 小組使用者和 Box，Defender for Cloud Apps 只會監視 UI 小組使用者群組中使用者的 Box 活動，以及所有其他應用程式，Defender for Cloud Apps 會監視所有使用者的所有活動。

      

5. 若要設定要從監視中排除的特定群組，請在 [ 排除 ] 索引標籤中，選取 [ + 新增規則]。

6. 在 建立新的排除規則 對話方塊中，設定下列參數：

   1. 在 類型規則名稱下，為規則提供描述性名稱。 在 [選取使用者群組] 底下，選取您不希望 Defender for Cloud Apps 監視的所有群組。

   2. 選取您要將此規則套用至所有連線的應用程式，還是僅套用至 特定應用程式。 如果您選取 [特定應用程式]，Defender for Cloud Apps 將停止監視您只針對您選取的應用程式選取的群組。 這表示如果您選取群組 UI 小組使用者和 Active Directory，Defender for Cloud Apps 會監視所有使用者活動，但 UI 小組使用者所執行的 Active Directory 活動除外。

      

包含和排除規則的範例結果

您建立的包含和排除規則會共同運作，以限定 Microsoft Defender for Cloud Apps 所執行的整體監視範圍。 以下是您可以建立的包含和排除規則範例，以及 Microsoft Defender for Cloud Apps 在執行這些規則之後監視的最終結果。

如果您建立下列規則：

• 排除使用者群組「德國所有使用者」
• 僅包含使用者群組「全球銷售」的 Microsoft 365 活動
• 僅包含使用者群組「銷售經理」的 Power BI 活動
• Salesforce 已連線至 Microsoft Defender for Cloud Apps，且未為其設定任何規則

會監視下列使用者活動：

後續步驟

如果您遇到任何問題，我們隨時為您提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。