Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft 365 è una suite di produttività che fornisce strumenti per l'archiviazione di file cloud, la collaborazione, la business intelligence (BI) e la gestione delle relazioni con i clienti (CRM). Microsoft 365 consente agli utenti di condividere documenti all'interno dell'organizzazione e con partner esterni in modo semplificato ed efficiente. L'uso di Microsoft 365 potrebbe esporre i dati sensibili non solo internamente, ma anche a collaboratori esterni o, peggio ancora, renderli disponibili pubblicamente tramite un collegamento condiviso. Tali eventi possono verificarsi a causa di un attore malintenzionato o di un dipendente non a conoscenza. Microsoft 365 offre anche un ecosistema di app di terze parti di grandi dimensioni per migliorare la produttività. L'uso di queste app può esporre l'organizzazione al rischio di app dannose o all'uso di app con autorizzazioni eccessive.
La connessione di Microsoft 365 a Defender for Cloud Apps offre informazioni dettagliate migliorate sulle attività degli utenti. Defender for Cloud Apps consente di rilevare le minacce usando rilevamenti anomalie basati su Machine Learning e rilevamenti di protezione delle informazioni, ad esempio il rilevamento della condivisione di informazioni esterne. Defender for Cloud Apps applica anche controlli di correzione automatizzati e rileva le minacce dalle app di terze parti abilitate nell'organizzazione.
Defender for Cloud Apps si integra direttamente con i log di controllo di Microsoft 365 e fornisce protezione per tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.
Usare questo connettore di app per accedere alle funzionalità di SaaS Security Posture Management (SSPM), tramite i controlli di sicurezza riportati in Microsoft Secure Score. Altre informazioni.
Aggiornamenti dell'analisi dei file per Microsoft 365
Per migliorare l'efficienza e l'accuratezza dell'analisi dei file negli ambienti Microsoft 365, Defender for Cloud Apps aggiornato il processo di analisi dei file per Microsoft 365. A meno che non si attivino i criteri di protezione delle informazioni, Defender for Cloud Apps non analizza né archivia i file dell'organizzazione.
Quando si usano attivamente i criteri di protezione delle informazioni, i file dell'organizzazione potrebbero avere durate di analisi significative a causa di volumi elevati di attività di analisi dei file.
Defender for Cloud Apps aggiunto nuovi miglioramenti all'analisi dei file per SharePoint e OneDrive:
Velocità di analisi quasi in tempo reale più veloce per i file in SharePoint e OneDrive.
Identificazione migliore per il livello di accesso di un file in SharePoint: il livello di accesso ai file in SharePoint è contrassegnato per impostazione predefinita come Interno e non come Privato (poiché ogni file in SharePoint è accessibile dal proprietario del sito e non solo dal proprietario del file).
Nota
La modifica del livello di accesso predefinito SharePoint file da Privato a Interno potrebbe influire sui criteri dei file (se un criterio di file cerca file interni o privati in SharePoint).
Minacce principali
Le principali minacce da considerare negli ambienti Microsoft 365 includono:
- Account compromessi e minacce interne
- Perdita di dati
- Insufficiente consapevolezza della sicurezza
- App dannose di terze parti
- Malware
- Phishing
- Ransomware
- Bring Your Own Device (BYOD) non gestito
Come Defender for Cloud Apps aiuta a proteggere l'ambiente
Defender for Cloud Apps consente di proteggere l'ambiente nei modi seguenti:
- Rilevare minacce nel cloud, account compromessi e insider malintenzionati
- Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
- Individuare e gestire le app OAuth che hanno accesso all'ambiente
- Applicare i criteri di prevenzione della perdita dei dati e di conformità ai dati archiviati nel cloud
- Limitare l'esposizione dei dati condivisi e applicare criteri di collaborazione
- Usa il registro di controllo delle attività per le indagini forensi
Gestisci Microsoft 365 con criteri integrati e modelli di criteri
È possibile usare i modelli di criteri predefiniti seguenti per rilevare e inviare notifiche sulle potenziali minacce:
Important
I criteri file verranno ritirati il 6 gennaio 2027. Per mantenere la protezione dei dati basata su file per questa app, passare ai criteri DLP o di etichettatura automatica di Microsoft Purview.
| Tipo | Nome |
|---|---|
| Criterio integrato di rilevamento delle anomalie |
Attività da indirizzi IP anonimi Attività da Paesi poco frequenti Attività da indirizzi IP sospetti Viaggio impossibile Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP) Rilevamento malware Molteplici tentativi di accesso non riusciti Rilevamento ransomware Attività sospetta di eliminazione della posta elettronica (anteprima) Inoltro sospetto della posta in arrivo Attività insolite di eliminazione di file Attività insolite di condivisione file Attività insolite di download di più file |
| Modello di criterio di attività | Accesso da indirizzo IP rischioso Download in massa da parte di un singolo utente Potenziale attività di ransomware Modifica del livello di accesso (Teams) Utente esterno aggiunto (Teams) Eliminazione di massa (Teams) |
| Modello di criteri per i file | Rilevare un file condiviso con un dominio non autorizzato Rilevare un file condiviso con indirizzi di posta elettronica personali Rilevare i file con PII/PCI/PHI |
| Criteri di rilevamento anomalie dell'app OAuth |
Nome dell'app OAuth fuorviante Nome dell'editore fuorviante per un'app OAuth Consenso dell'app OAuth dannoso |
Per altre informazioni sulla creazione di criteri, vedere Creare un criterio di Defender for Cloud Apps.
Automatizzare i controlli di governance
Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le seguenti azioni di governance di Microsoft 365 per correggere le minacce rilevate:
| Tipo | Azione |
|---|---|
| Governance dei dati |
Onedrive:
|
| Gestione degli utenti |
|
| Governance delle app OAuth |
|
Per altre informazioni sulla correzione delle minacce dalle app connesse, vedere Governance delle app connesse.
Proteggere Microsoft 365 in tempo reale
Esaminare le procedure consigliate per la protezione e la collaborazione con utenti esterni e il blocco e la protezione del download di dati sensibili in dispositivi non gestiti o rischiosi.
integrazione Defender for Cloud Apps con Microsoft 365
Defender for Cloud Apps supporta la piattaforma dedicata microsoft 365 legacy e le offerte più recenti dei servizi di Microsoft 365, comunemente definite famiglia di versioni vNext di Microsoft 365.
In alcuni casi, una versione del servizio vNext è leggermente diversa dai livelli amministrativi e di gestione rispetto all'offerta di servizio Microsoft 365 multi-tenant standard.
Come funziona la registrazione di controllo con Defender for Cloud Apps
Defender for Cloud Apps si integra direttamente con i log di controllo di Microsoft 365 e riceve tutti gli eventi controllati da tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.
La registrazione di controllo dell'amministratore di Exchange è abilitata per impostazione predefinita in Microsoft 365. Registra un evento nel log di controllo di Microsoft 365 quando un amministratore (o un utente con privilegi amministrativi) apporta una modifica all'organizzazione Exchange Online. Le modifiche apportate usando l'interfaccia di amministrazione di Exchange o eseguendo un cmdlet in Windows PowerShell vengono registrate nel log di controllo dell'amministratore di Exchange. Per altre informazioni sulla registrazione del controllo amministratore in Exchange, vedere Registrazione del controllo amministratore.
Gli eventi di Exchange, Power BI e Teams vengono visualizzati solo dopo il rilevamento delle attività di tali servizi nel portale.
Le distribuzioni multi-geo sono supportate solo per OneDrive.
Gli eventi di Exchange riflettono l'attore, ovvero l'applicazione o l'utente, che ha eseguito l'azione.
Funzionamento dell'integrazione di Microsoft Entra
Se il Microsoft Entra ID è configurato per sincronizzarsi automaticamente con gli utenti nell'ambiente Active Directory locale, le impostazioni nell'ambiente locale hanno la precedenza su quelle di Microsoft Entra e l'uso dell'azione di governance Suspend user viene annullato.
Per le attività di accesso Microsoft Entra, Defender for Cloud Apps visualizza solo le attività di accesso interattive e le attività di accesso da protocolli legacy, ad esempio ActiveSync.
Nota
Microsoft Defender for Cloud Apps mostra eventi di accesso non interattivi in determinati scenari, ad esempio le attività di accesso etichettate
Call: OrgIdWsTrust2:process.Le attività di accesso non interattive possono essere visualizzate nel log di controllo Microsoft Entra.
Se le app di Office sono abilitate, anche i gruppi che fanno parte di Microsoft 365 vengono importati in Defender for Cloud Apps dalle app di Office specifiche. Ad esempio, se SharePoint è abilitato, i gruppi di Microsoft 365 vengono importati come gruppi di SharePoint.
Supporto per la quarantena in Microsoft 365
Il supporto della quarantena per SharePoint e OneDrive presenta le limitazioni seguenti:
In SharePoint e OneDrive, Defender for Cloud Apps supporta la quarantena degli utenti solo per i file nelle raccolte documenti condivisi (SharePoint Online) e nei file nella raccolta documenti (OneDrive for Business).
In SharePoint Defender for Cloud Apps supporta le attività di quarantena solo per i file con documenti condivisi nel percorso in inglese.
Connettere Microsoft 365 a Microsoft Defender for Cloud Apps
Usare la procedura seguente per connettere Microsoft Defender for Cloud Apps all'account di Microsoft 365 esistente usando l'API del connettore app. La connessione di Defender for Cloud Apps a Microsoft 365 offre visibilità e controllo sull'uso di Microsoft 365. Per informazioni su come Defender for Cloud Apps protegge Microsoft 365, vedere Proteggere Microsoft 365.
Usare questo connettore di app per accedere alle funzionalità di SaaS Security Posture Management (SSPM), tramite i controlli di sicurezza riportati in Microsoft Secure Score. Altre informazioni.
Prerequisiti
Per abilitare il monitoraggio dei file di Microsoft 365, è necessario accedere con un account Microsoft Entra con un ruolo di amministratore appropriato, ad esempio Amministratore applicazione o Amministratore applicazioni cloud. Per altre informazioni, vedere ruoli predefiniti di Microsoft Entra.
È necessario avere almeno una licenza di Microsoft 365 assegnata per connettere Microsoft 365 a Defender for Cloud Apps.
Per abilitare il monitoraggio delle attività di Microsoft 365 in Defender for Cloud Apps, è necessario abilitare il controllo in Microsoft Purview.
La registrazione di controllo delle cassette postali di Exchange deve essere attivata per ogni cassetta postale utente prima che venga registrata l'attività dell'utente in Exchange Online, vedere Attività cassetta postale di Exchange.
È necessario abilitare il controllo in Power BI per ottenere i log da questa istanza. Dopo aver abilitato il controllo, Defender for Cloud Apps inizia a ottenere i log (con un ritardo di 24-72 ore).
È necessario abilitare il controllo in Dynamics 365 per ottenere i log. Dopo aver abilitato il controllo, Defender for Cloud Apps inizia a ottenere i log (con un ritardo di 24-72 ore).
È necessario abilitare l'entità servizio per ottenere il supporto di rilevamento e risposta di malware (l'API dell'entità servizio è abilitata per impostazione predefinita). Dopo aver abilitato l'API dell'entità servizio, Defender for Cloud Apps inizia a ottenere i log (con un ritardo di 24-72 ore).
Per connettere Microsoft 365 a Defender for Cloud Apps:
Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App collegate, selezionare Connettori app.
Nella pagina Connettori app selezionare +Connetti un'app e quindi selezionare Microsoft 365.
Nella pagina Seleziona componenti di Microsoft 365 selezionare i componenti da proteggere e quindi selezionare Connetti. Per impostazione predefinita, tutti i componenti vengono selezionati per la massima protezione.
Nota
- Nel gennaio 2026 sono stati aggiunti i valori predefiniti per supportare la copertura di sicurezza completa. Se l'applicazione è stata configurata prima di gennaio 2026, assicurarsi di selezionare tutte le opzioni predefinite e selezionare di nuovo Connetti per aggiornare la configurazione.
- Per la massima protezione, è consigliabile selezionare tutti i componenti di Microsoft 365. Alcune funzionalità di rilevamento delle minacce e risposta non funzionano a meno che tutti i componenti necessari non siano selezionati correttamente.
- Per abilitare la protezione per i file di Microsoft 365, è necessario abilitare il monitoraggio dei file Defender for Cloud Apps (Impostazioni>App> cloud Files>Abilitare il monitoraggio dei file).
Nella pagina Segui il collegamento selezionare Connetti Microsoft 365.
Dopo aver visualizzato Microsoft 365 come connesso correttamente, selezionare Fine.
Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App collegate, selezionare Connettori app.
Assicurarsi che lo stato dell'App Connector connesso sia Connesso.
I dati di SaaS Security Posture Management (SSPM) vengono visualizzati nel portale di Microsoft Defender nella pagina Punteggio di sicurezza. Per altre informazioni, vedere Gestione del comportamento di sicurezza per le app SaaS.
Nota
- Dopo aver connesso Microsoft 365, vengono visualizzati i dati dell'ultima settimana, incluse le applicazioni di terze parti connesse a Microsoft 365 che eseguono il pull delle API. Per le app di terze parti che non eseguono il pull delle API prima della connessione, vengono visualizzati eventi a partire da quando si connette Microsoft 365 perché Defender for Cloud Apps attiva tutte le API disattivate per impostazione predefinita.
- Files e le cartelle condivise pubblicamente (condivise con "chiunque") in SharePoint o OneDrive potrebbero non essere visualizzate correttamente come private.
In caso di problemi di connessione Microsoft 365, vedere Risoluzione dei problemi relativi ai connettori app.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.