Updated May 29, 2025: We have updated the timeline below. Thank you for your patience.

Microsoft Defender for Cloud Apps is continuously working to ensure that our out-of-the-box (OOTB) threat protection capabilities within App Governance are as accurate and effective as possible.

As part of this effort, we will be disabling by default three specific pre-defined policies that have been found to mostly trigger on legitimate activities, rather than alerting on malicious ones. This change is aimed at improving the overall accuracy of our alerts by relying on more accurate sources that provide a comprehensive view of potential attacks, rather than focusing on isolated anomalous activities.

If you prefer to continue receiving these alerts, the option to re-enable them remains available.

[When this will happen:]

General Availability (Worldwide): We will begin rolling out mid-May (previously late April) and expect to complete by late May 2025.

General Availability (GCC, GCC High): We will begin rolling out early June 2025 (previously late May) and expect to complete by mid-June 2025 (previously late May).

[How this will affect your organization:]

These specific pre-defined policies within App Governance will be switched off for all customers by default. The policies being disabled are:

• Increase in data usage by an overprivileged or highly privileged app
• Unusual activity from an app with priority account consent
• Access to sensitive data

This change will reduce the number of alerts triggered by legitimate activities, allowing you to focus on more accurate and relevant security notifications. The remaining policies and our advanced threat detection engines, which are always enabled and running behind the scenes, will continue to provide robust protection by correlating multiple pieces of evidence to identify potential attacks with higher confidence.

If you have made any changes to customize the existing pre-defined policy template, they will not be disabled as part of this change.

If for any reason you prefer to continue receiving these alerts, you can re-enable the policies via the policy management interface. Additionally, we provide tools for customers to create custom policies tailored to their specific needs. For more details, please refer to the relevant documentation.

For more details, please refer to the relevant documentation: Get started with app policies

[What you need to do to prepare:]

No immediate action is required. However, if you wish to re-enable any of the disabled policies, you can do so through the policy management interface. This will allow you to utilize the full functionality of the policies as you have been up to this point.

2025年5月29日更新:以下のタイムラインを更新しました。ご理解いただきありがとうございます。

Microsoft Defender for Cloud Apps は、App Governance 内のすぐに使える (OOTB) 脅威保護機能が可能な限り正確かつ効果的であるよう、継続的に取り組んでいます。

この取り組みの一環として、悪意のあるアクティビティに対してアラートを出すのではなく、主に正当なアクティビティでトリガーされることがわかっている3つの特定の事前定義されたポリシーをデフォルトで無効にします。この変更は、孤立した異常なアクティビティに焦点を当てるのではなく、潜在的な攻撃を包括的に把握できるより正確なソースに依存することで、アラートの全体的な精度を向上させることを目的としています。

これらのアラートを引き続き受信する場合は、アラートを再度有効にするオプションを引き続き使用できます。

[これがいつ起こるか:]

一般提供 (全世界): 5 月中旬 (以前は 4 月下旬) にロールアウトを開始し、2025 年 5 月下旬までに完了する予定です。

一般提供 (GCC、GCC High): 2025 年 6 月上旬 (以前は 5 月下旬) にロールアウトを開始し、2025 年 6 月中旬 (以前は 5 月下旬) までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

App Governance 内のこれらの特定の事前定義済みポリシーは、既定ですべてのお客様に対してオフになります。無効化されるポリシーは次のとおりです。

• 過剰な特権を持つアプリや高い特権を持つアプリによるデータ使用量の増加
• 優先アカウントに同意したアプリからの異常なアクティビティ
• 機密データへのアクセス

この変更により、正当なアクティビティによってトリガーされるアラートの数が減り、より正確で関連性の高いセキュリティ通知に集中できるようになります。残りのポリシーと高度な脅威検出エンジンは、常に有効でバックグラウンドで実行されており、複数の証拠を関連付けて潜在的な攻撃をより確実に特定することで、引き続き堅牢な保護を提供します。

既存の事前定義ポリシーテンプレートをカスタマイズするために変更を加えた場合、この変更の一部として変更が無効になることはありません。

何らかの理由でこれらのアラートを引き続き受信する場合は、ポリシー管理インターフェイスを使用してポリシーを再度有効にできます。さらに、お客様が特定のニーズに合わせたカスタムポリシーを作成するためのツールも提供しています。詳細については、関連するドキュメントを参照してください。

詳細については、関連ドキュメントを参照してください: アプリポリシーの基本操作

【準備に必要なこと】

すぐにアクションを実行する必要はありません。ただし、無効にしたポリシーを再度有効にする場合は、ポリシー管理インターフェイスを使用して有効にできます。これにより、これまでと同様にポリシーのすべての機能を利用できます。