Управление действиями для подключенных приложений в Defender for Cloud Apps

Important

Политики файлов удаляются 6 января 2027 г. Чтобы сохранить защиту данных на основе файлов, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.

Система управления позволяет контролировать действия пользователей в приложениях. Для подключенных приложений можно применять действия управления к файлам или действиям. Действия системы управления — это интегрированные действия, которые можно выполнять с файлами или действиями непосредственно из Microsoft Defender for Cloud Apps. Действия по управлению управляют действиями пользователей в подключенных приложениях.

Примечание.

Когда Microsoft Defender for Cloud Apps пытается выполнить действие управления для файла, но завершается сбоем из-за блокировки файла, он автоматически повторяет действие управления.

Доступные действия по управлению файлами

Следующие меры управления можно применять к подключенным приложениям для конкретного файла, пользователя или на основе определенной политики.

  • Уведомления:

    • Оповещения — оповещения могут активироваться в системе и распространяться по электронной почте в зависимости от уровня серьезности.
    • Уведомление пользователя по электронной почте— Email сообщения можно настроить и отправлять всем владельцам файлов, нарушающим правила.
    • Уведомление определенных пользователей — конкретный список адресов электронной почты для получения этих уведомлений.
    • Уведомлять редактор последнего файла — отправлять уведомления последнему пользователю, изменившему файл.
  • Действия по управлению в приложениях . Детализированные действия могут применяться для каждого приложения. Конкретные действия зависят от терминологии приложения.

    • Маркировка

      • Применить метку — возможность добавить метку конфиденциальности Защита информации Microsoft Purview.
      • Удалить метку — возможность удалить метку конфиденциальности Защита информации Microsoft Purview.
    • Общий доступ к изменениям

      • Удалить общий доступ . Разрешите доступ только именованным участникам совместной работы, например удаление общедоступного доступа для Google Workspace и удаление прямой общей ссылки для Box и Dropbox.
      • Удаление внешних пользователей — разрешите доступ только пользователям компании. Когда группа, содержащая как внутренних, так и внешних участников, добавляется в качестве участника совместной работы, действие удаляет участников на уровне группы, а не по отдельности.
      • Сделать закрытым — доступ к файлу могут получить только администраторы сайта, все общие папки удаляются.
      • Удаление участника совместной работы — удаление определенного участника совместной работы из файла.
      • Уменьшить общий доступ . Задайте общедоступные файлы, чтобы они были доступны только по общей ссылке. (Google)
      • Срок действия общей ссылки — возможность задать дату окончания срока действия для общей ссылки, после которой она больше не будет активной. (Поле)
      • Изменение уровня доступа к ссылке общего доступа — возможность изменять уровень доступа к общей ссылке: только для компании, только для участников совместной работы или общедоступный. (Поле)
    • Карантин

      • Поместить пользователя в карантин — разрешить самостоятельное обслуживание путем перемещения файла в папку карантина, контролируемую пользователем.
      • Поместить в карантин администратора — файл перемещается в карантин на диске администратора, и администратор должен утвердить его.
    • Наследовать разрешения от родительского элемента — это действие политики позволяет удалить отдельные разрешения, установленные для файла или папки в Microsoft 365. Затем вернуться к тем разрешениям, которые заданы для родительской папки.

    • Корзина — Переместить файл в корзину. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)

      Снимок экрана: доступные действия по управлению файлами для Box и Dropbox.

Доступные действия по управлению вредоносными программами (предварительная версия)

Следующие меры управления можно применять к подключенным приложениям для конкретного файла, пользователя или на основе определенной политики. По соображениям безопасности действия управления вредоносными программами, перечисленные в этом разделе, ограничены только действиями, связанными с вредоносными программами, которые не подразумевают риск для пользователя или клиента.

  • Уведомления:

    • Оповещения — оповещения могут активироваться в системе и распространяться по электронной почте и текстовому сообщению в зависимости от уровня серьезности.
  • Действия по управлению в приложениях . Детализированные действия могут применяться для каждого приложения. Конкретные действия зависят от терминологии приложения.

    • Общий доступ к изменениям

      • Удаление внешних пользователей — разрешите доступ только пользователям компании. (Box, Google Диск, OneDrive, SharePoint)
      • Удаление прямой общей ссылки — удаление разрешений для ранее общих ссылок (Box, Dropbox)
    • Карантин

      • Помещение в карантин пользователей — разрешите самообслуживание, переместив файл в папку карантина, контролируемую пользователем (Box, OneDrive, SharePoint)
      • Поместить в карантин администратора — файл перемещается в карантин на диске администратора, и администратор должен утвердить его. (Поле)
    • Корзина — Переместить файл в корзину. (Box, Dropbox, Google Диск, OneDrive, SharePoint)

Действия по управлению вредоносными программами в этом разделе ограничены пользователями с определенными административными ролями. Если параметры действий по управлению вредоносным ПО в этом разделе не отображаются или недоступны, уточните у системного администратора, что вашей учётной записи назначена одна из следующих ролей:

  • Оператор безопасности
  • Администратор безопасности
  • Администратор безопасности облачных приложений

Снимок экрана: действия по управлению вредоносными программами.

Примечание.

В SharePoint и OneDrive Defender for Cloud Apps поддерживает карантин пользователей только для файлов в библиотеках общих документов и только для файлов с общими документами в пути на английском языке (SharePoint Online) и файлов в библиотеке документов (OneDrive для бизнеса). Кроме того, необходимо включить субъект-службу (см. Get servicePrincipal - Microsoft API Graph), чтобы использовать функции обнаружения вредоносных программ и реагирования (этот API службы включен по умолчанию). После включения API Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).

Microsoft Defender для Office 365 клиенты могут управлять обнаруженными вредоносными файлами в SharePoint и OneDrive на вкладке Files на странице Карантин на портале Microsoft Defender по адресу https://security.microsoft.com/quarantine?viewid=Files. Например, поддерживаемые действия включают восстановление файлов, удаление файлов и скачивание файлов в ZIP-файлах, защищенных паролем. Эти действия ограничиваются файлами, которые еще не были помещены в карантин Microsoft Defender for Cloud Apps.

Действия отображаются только для подключенных приложений.

Доступные действия по управлению действиями

Следующие действия управления доступны для действий в подключенных приложениях.

  • Уведомления

    • Оповещения — оповещения могут активироваться в системе и распространяться по электронной почте в зависимости от уровня серьезности.
    • Уведомление пользователя по электронной почте— Email сообщения можно настроить и отправлять всем владельцам файлов, нарушающим правила.
    • Уведомление дополнительных пользователей — конкретный список адресов электронной почты для получения этих уведомлений.
  • Действия по управлению в приложениях . Детализированные действия могут применяться для каждого приложения. Конкретные действия зависят от терминологии приложения.

  • Приостановить пользователя — приостановить доступ пользователя к приложению.

    Примечание.

    Если для Microsoft Entra ID настроена автоматическая синхронизация с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и это действие управления будет отменено.

    • Требовать повторного входа пользователя — выполняет выход пользователя из системы и требует, чтобы он снова вошёл в систему.

    • Подтвердить компрометацию пользователя — Установить для пользователя высокий уровень риска. Это приводит к принудительному применению соответствующих действий политики, определенных в Microsoft Entra ID. Дополнительные сведения о том, как Microsoft Entra ID работает с уровнями риска, см. в статье Как Microsoft Entra ID использовать мои отзывы о рисках.

    Снимок экрана: доступные действия управления политикой действий в Defender for Cloud Apps, включая приостановку пользователя, требование входа и подтверждение скомпрометированных параметров.

Отзыв приложения OAuth и уведомление пользователя

Для Google Workspace и Salesforce можно отозвать разрешение для приложения OAuth или уведомить пользователя о том, что он должен изменить разрешение. При отзыве разрешения удаляются все разрешения, предоставленные приложению в разделе "Корпоративные приложения" в Microsoft Entra ID.

  1. На вкладках Google или Salesforce на странице Управление приложениями выберите три точки в конце строки приложения и выберите Уведомить пользователя. По умолчанию пользователь получает уведомление следующим образом: вы разрешили приложению доступ к учетной записи Google Workspace. Это приложение конфликтует с политикой безопасности вашей организации. Пересмотрите предоставление или отзыв разрешений, которые вы предоставили этому приложению в учетной записи Google Workspace. Чтобы отозвать доступ к приложению, перейдите по следующим разделу:https://security.google.com/settings/security/permissions?hl=en& ; pli=1 Выберите приложение и выберите "Отозвать доступ" в правой строке меню. Вы можете настроить отправленное сообщение.

  2. Вы также можете отозвать разрешения на использование приложения для пользователя. Щелкните значок в конце строки приложения в таблице и выберите Отозвать приложение. Например, вы можете:

    Снимок экрана: пример параметра

Конфликты управления

После создания нескольких политик может возникнуть ситуация, в которой действия по управлению в нескольких политиках перекрываются. В этом случае Defender for Cloud Apps обрабатывает действия по управлению следующим образом:

Конфликты между политиками

Defender for Cloud Apps обрабатывает перекрывающиеся действия управления между политиками на основе следующих результатов:

  • Если две политики содержат действия, одно из которых входит в состав другого (например, Удалить внешние общие ресурсы входит в Сделать частным), Defender for Cloud Apps разрешает конфликт между ними, и применяется более строгая мера.
  • Если действия не связаны (например, Уведомить владельца и Сделать частным). Происходят оба действия.
  • Если действия конфликтуют (например, сменить владельца на пользователя A и сменить владельца на пользователя B), то при каждом совпадении результат может отличаться. Важно изменить политики, чтобы предотвратить конфликты, так как они могут привести к нежелательным изменениям на диске, которые трудно обнаружить.

Конфликты при синхронизации пользователей

Синхронизация пользователей между локальная служба Active Directory и Microsoft Entra ID может повлиять на применение действий управления:

  • Если для Microsoft Entra ID настроена автоматическая синхронизация с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и это действие управления отменяется.

Просмотр журнала управления

Журнал управления содержит запись о состоянии каждой задачи, которую вы задали Defender for Cloud Apps для выполнения, включая ручные и автоматические задачи. К этим задачам относятся задачи, заданные в политиках, действия по управлению, заданные для файлов и пользователей, а также любые другие действия, которые необходимо выполнить Defender for Cloud Apps. Журнал управления также содержит сведения об успешном или неудачном выполнении этих действий. Вы можете повторно выполнить или отменить некоторые действия по управлению из журнала управления.

Чтобы просмотреть журнал управления, на портале Microsoft Defender в разделе Облачные приложения выберите Журнал управления.

В следующей таблице приведен полный список действий, Microsoft Defender for Cloud Apps позволяет выполнить. Эти действия включены в разных местах консоли, как описано в столбце Расположение . Каждое выполняемое действие системы управления отображается в журнале управления. При перекрытии нескольких политик Defender for Cloud Apps принудительно применяет более строгое действие и автоматически устраняет конфликты. Подробные сведения о том, как действия управления обрабатываются при возникновении конфликтов политик, см. в статье об отдельных облачных приложениях Control с помощью политик .

Расположение Тип целевого объекта Действие управления Описание Связанные разъёмы
Учетные записи Файл Удалить совместные работы пользователя Удалите все совместные работы определенного пользователя для любых файлов. Это хорошо для людей, покидающих компанию. Box, Google Workspace
Учетные записи Учетная запись Снять блокировку с пользователя Снимает блокировку с пользователя Google Workspace, Box, Office, Salesforce
Учетные записи Учетная запись Параметры учетной записи Вы перейдете на страницу параметров учетной записи в конкретном приложении (например, в Salesforce). Все приложения — параметры One Drive и SharePoint настраиваются в Office.
Учетные записи Файл Передача прав владения всеми файлами В учетной записи вы передаете файлы одного пользователя, чтобы все они принадлежали новому выбранному пользователю. Предыдущий владелец становится редактором и больше не может изменять параметры общего доступа. Новый владелец получает уведомление по электронной почте о смене владельца. Рабочая область Google
Учетные записи, политика действий Учетная запись Приостановка пользователя Позволяет пользователю не иметь доступа и возможности входа. Если в момент настройки этого действия они уже выполнили вход в систему, их доступ будет немедленно заблокирован. Google Workspace, Box, Office, Salesforce
Политика действий, учетные записи Учетная запись Требовать повторного входа пользователя Аннулирует все токены обновления и сеансовые cookie-файлы, выданные пользователем приложениям. Это действие запрещает доступ к любым данным организации и вынуждает пользователя повторно входить во все приложения. Google Workspace, Office
Политика действий, учетные записи Учетная запись Подтверждение компрометации пользователя Установите высокий уровень риска пользователя. Это приводит к принудительному применению соответствующих действий политики, определенных в Microsoft Entra ID. Office
Политика действий, учетные записи Учетная запись Отмена прав администратора Отменяет привилегии для учетной записи администратора. Например, установка политики действий, которая отменяет права администратора после 10 неудачных попыток входа. Рабочая область Google
Панель мониторинга приложения > Разрешения приложения Разрешения Отмена приложения В Google и Salesforce: удалите запрет из приложения и разрешите пользователям предоставлять разрешения на доступ к стороннему приложению с помощью Google или Salesforce. В Microsoft 365: восстанавливает разрешения стороннего приложения в Office. Google Workspace, Salesforce, Office
Панель мониторинга приложения > Разрешения приложения Разрешения Отключение разрешений приложения Отмена разрешений стороннего приложения — это однократное действие, которое применяется к Google, Salesforce или Office. Отзыв затрагивает все существующие разрешения, но не препятствует будущим подключениям. Google Workspace, Salesforce, Office
Панель мониторинга приложения > Разрешения приложения Разрешения Включение разрешений приложения Предоставьте Google, Salesforce или Office разрешения стороннего приложения. Предоставление разрешений приложению — это однократное действие, которое выполняется для всех существующих разрешений, но не будет препятствовать будущим подключениям. Google Workspace, Salesforce, Office
Панель мониторинга приложения > Разрешения приложения Разрешения Запрет приложения В Google и Salesforce: отменяйте разрешения стороннего приложения на Google или Salesforce и запретите ему получать разрешения в будущем. В Microsoft 365: не разрешает сторонним приложениям доступ к Office, но не отменяет их. Google Workspace, Salesforce, Office
Панель мониторинга приложения > Разрешения приложения Разрешения Отозвать приложение Отзыв разрешений стороннего приложения на Google или Salesforce. Отмена разрешений приложения — это однократное действие, которое выполняется для всех существующих разрешений, но не предотвращает будущие подключения. Google Workspace, Salesforce
Панель мониторинга приложения > Разрешения приложения Учетная запись Отзыв пользователя из приложения Вы можете отозвать определенных пользователей, щелкнув номер в разделе Пользователи. На экране отображаются определенные пользователи, и вы можете использовать X для удаления разрешений для любого пользователя. Google Workspace, Salesforce
Обнаружение > обнаруженных приложений,IP-адресов/пользователей Обнаружение облачных ресурсов Экспорт данных обнаружения Создает CSV-файл на основе данных обнаружения. Обнаружение
Политика файлов Файл Мусор Перемещает файл в корзину пользователя. Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (окончательное удаление)
Политика файлов Файл Уведомить пользователя, последним изменившего файл Отправляет сообщение электронной почты, чтобы уведомить последнего пользователя, который редактировал файл, что он нарушает политику. Google Workspace, Box
Политика файлов Файл Уведомление владельца файла Отправляет сообщение электронной почты владельцу файла, если файл нарушает политику. Если в Dropbox с файлом не связан владелец, уведомление отправляется конкретному пользователю, который вы задали. Все приложения
Политика файлов, политика действий Файл, действие Уведомление определенных пользователей Отправляет сообщение электронной почты для уведомления определенных пользователей о файле, который нарушает политику. Все приложения
Политика файлов и политика действий Файл, действие Уведомление пользователя Отправляет пользователям сообщение электронной почты, чтобы уведомить их о том, что что-то, что они сделали, или файл, которым они владеют, нарушает политику. Вы можете добавить пользовательское уведомление, чтобы сообщить им, в чём заключалось нарушение. Все
Политика файлов и файлы Файл Запретить редакторам делиться материалами В Google Drive права редактора, заданные для файла по умолчанию, также позволяют открыть к нему общий доступ. Это действие управления ограничивает этот параметр и ограничивает общий доступ к файлам для владельца. Рабочая область Google
Политика файлов и файлы Файл Поместить в карантин администратора Удаляет все разрешения из файла и перемещает файл в папку карантина в расположении администратора. Это действие позволяет администратору просмотреть файл и удалить его. Microsoft 365 SharePoint, OneDrive для бизнеса, Box
Политика файлов и файлы Файл Применить метку конфиденциальности Автоматически применяет к файлам метку конфиденциальности Защита информации Microsoft Purview в соответствии с условиями, заданными в политике. Box, One Drive, Google Workspace, SharePoint
Политика файлов и файлы Файл Удалить метку конфиденциальности Автоматически удаляет из файлов метку конфиденциальности Защита информации Microsoft Purview в соответствии с условиями, заданными в политике. Вы можете удалить метки только в том случае, если они не включают защиту и были применены в Defender for Cloud Apps, а не непосредственно в Information Protection. Box, One Drive, Google Workspace, SharePoint
Политика файлов, политика действий, оповещения Приложение Требовать от пользователей повторного входа Вы можете потребовать от пользователей повторного входа во все приложения Microsoft 365 и Microsoft Entra для быстрого и эффективного исправления оповещений о подозрительных действиях пользователей и скомпрометированных учетных записей. Новое управление можно найти в параметрах политики и на страницах оповещений рядом с параметром Приостановить пользователя. Microsoft 365, Microsoft Entra ID
Файлы Файл Восстановить из пользовательского карантина Восстанавливает пользователя из карантина. Блок
Файлы Файл Предоставить себе права на чтение Предоставляет разрешения на чтение файла для себя, чтобы вы могли получить доступ к файлу и понять, имеет ли он нарушение или нет. Рабочая область Google
Файлы Файл Разрешить редакторам предоставлять общий доступ В Google Диск разрешение редактора по умолчанию для файла также позволяет предоставлять общий доступ. Это административное действие противоположно действию «Запретить редактору предоставлять общий доступ» и разрешает редактору предоставлять общий доступ к файлу. Рабочая область Google
Файлы Файл Защита Защитите файл с помощью Microsoft Purview, применяя шаблон организации. Microsoft 365 (SharePoint и OneDrive)
Файлы Файл Отозвать у себя разрешение на чтение Отменяет разрешения на чтение файла для себя, что полезно после предоставления себе разрешения, чтобы понять, имеет ли файл нарушение или нет. Рабочая область Google
Файлы, политика в отношении файлов Файл Передача прав владения файлом Изменяет владельца — в политике вы выбираете конкретного владельца. Рабочая область Google
Файлы, политика в отношении файлов Файл Сокращение общего доступа Это действие позволяет задать общедоступные файлы, которые будут доступны только по общей ссылке. Рабочая область Google
Файлы, политика в отношении файлов Файл Удаление участника совместной работы Удаляет определенного участника совместной работы из файла. Рабочая область Google, Box, One Drive, SharePoint
Файлы, политика в отношении файлов Файл Сделать закрытым Доступ к файлу имеют только администраторы сайта, все общие папки удаляются. Google Workspace, One Drive, SharePoint
Файлы, политика в отношении файлов Файл Удаление внешних пользователей Удаляет всех внешних участников совместной работы за пределами доменов, настроенных как внутренние в параметрах. Рабочая область Google, Box, One Drive, SharePoint
Файлы, политика в отношении файлов Файл Предоставление разрешения на чтение домену Предоставляет указанному домену права на чтение файла для всего вашего домена или конкретного домена. Это действие полезно, если вы хотите удалить общий доступ после предоставления доступа к домену людей, которым нужно работать с ним. Рабочая область Google
Файлы, политика в отношении файлов Файл Помещение пользователя в карантин Удаляет все разрешения из файла и перемещает файл в папку карантина под корневым диском пользователя. Это действие позволяет пользователю просмотреть файл и переместить его. Если его вручную переместить обратно, общий доступ к файлу не восстанавливается. Box, One Drive, SharePoint
Файлы Файл Срок действия общей ссылки Задайте дату окончания срока действия для общей ссылки, после которой она больше не активна. Блок
Файлы Файл Изменение уровня доступа к каналу общего доступа Изменяет уровень доступа к общей ссылке: только для компании, только для участников совместной работы или общедоступный. Блок
Файлы, политика в отношении файлов Файл Удаление общедоступного доступа Если файл был вашим и вы помещаете его в открытый доступ, он становится доступным для всех пользователей, настроенных с доступом к файлу (в зависимости от типа доступа к файлу). Рабочая область Google
Файлы, политика в отношении файлов Файл Удалить прямую ссылку общего доступа Удаляет ссылку, созданную для открытого файла, но доступ к которому предоставлен только определенным пользователям. Box, Dropbox
> Параметры параметров Cloud Discovery Обнаружение облачных ресурсов Повторное вычисление оценок обнаружения в облаке Пересчитывает оценки в каталоге облачных приложений после изменения метрики оценки. Обнаружение
Параметры> Параметры Cloud Discovery > Управление представлениями данных Обнаружение облачных ресурсов Создание пользовательского представления данных фильтра обнаружения в облаке Создает новое представление данных для более детализированного представления результатов обнаружения. Например, определенные диапазоны IP-адресов. Обнаружение
Параметры> Параметры Cloud Discovery > Удалить данные Обнаружение облачных ресурсов Удаление данных об обнаружении в облаке Удаляет все данные, собранные из источников обнаружения. Обнаружение
> Параметры Cloud Discovery Параметры > Отправка журналов вручную или Автоматическая отправка журналов Обнаружение облачных ресурсов Анализ данных об обнаружении в облаке Уведомление о том, что все данные журнала были проанализированы. Обнаружение

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.