管理应用治理警报
可以在 Microsoft Defender XDR“警报”或“事件”页面中,调查可能给组织带来风险的恶意云应用和应用的警报。
例如:
查看警报详细信息
默认情况下,Microsoft Defender XDR“警报”页面会根据威胁检测规则和活动策略列出应用治理生成的新警报。 选择警报,进而查看特定警报的详细信息。 此时会打开一个页面,其中包含有关警报的其他信息以及用于管理警报的选项。
例如:
在页面中,可以从“警报故事”部分获取其他信息:
- 有关警报创建原因的确切详细信息,请参阅发生了什么事
- 有关如何根据建议的操作修正警报的信息
管理应用治理警报
若要在应用治理中调查应用并采取措施,请在“相关实体”下,选择应用实体卡,然后选择“查看应用详细信息”。
为从“操作”中自动修正而配置的应用策略的状态为“已解决”。
若要管理应用治理警报:
- 调查:检查警报中的信息,并将其状态更改为“正在进行标记”。
- 解决方案:调查并根据需要确定租户中的应用策略更改或持续应用支持后,将其状态更改为“已解决”。
根据应用警报模式,你可以更新相应的应用策略并将其“操作”设置更改为执行自动修正。 这样就无需调查并手动解决应用策略生成的未来警报。 有关详细信息,请参阅管理应用程序策略。
禁止或批准连接到 Salesforce 和 Google Workspace 的 OAuth 应用
注意
本部分仅与 Salesforce 和 Google Workspace 应用程序相关。
在“Google 应用”或“Salesforce 应用”选项卡中,选择应用以打开“应用”窗格,以便查看有关该应用和已向其授予的权限的详细信息。
- 选择“权限”,查看向应用授予的权限的完整列表。
- 在“社区使用”下,可查看应用在其他组织中的普及程度。
- 选择“相关活动”,查看与此应用相关的活动日志中列出的活动。
要禁止应用,则选择表格应用行末尾的“禁止”图标。 例如:
- 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。
- 建议通知应用用户,使其知晓应用即将禁用。
例如:
在“输入自定义通知消息”框中,键入要发送给应用用户的消息。 选择“禁止应用”以发送邮件,并禁止连接的应用用户使用此应用。
要批准应用,请选择表中行末尾的“批准”图标。
- 图标将变为绿色,已针对所有已连接应用的用户批准应用。
- 如果将应用标记为“已批准”,这不会影响最终用户。 此颜色更改旨在帮助查看已批准将其与尚未审核的应用分开的应用。
撤销 OAuth 应用与 Salesforce 和 Google Workspace 的连接并通知用户
注意
本部分仅与 Salesforce 和 Google Workspace 应用程序相关。 对于 Google Workspace 和 Salesforce,可以撤销对应用的权限,或通知用户应更改权限。 撤消权限时,会移除在 Microsoft Entra ID 中的“企业应用程序”下授予应用程序的所有权限。
在“Google 应用”或“Salesforce 应用”选项卡上,选择应用行末的三个点,然后选择“通知用户”。 默认情况下,用户会收到如下通知: 你已授权应用访问 Google Workspace 帐户。此应用与组织的安全策略冲突。重新考虑在 Google Workspace 帐户中授予或撤销你授予此应用的权限。若要撤销应用访问权限,请转到: https://security.google.com/settings/security/permissions?hl=en&pli=1 选择应用,然后在右侧菜单栏上选择“撤销访问权限”。 可以自定义发送的消息。
此外,还可以撤销用户使用该应用的权限。 选择表中应用行末的图标,然后选择“撤销应用”。
