デバイス グループの作成と管理

適用対象:

• Microsoft Entra ID
• Office 365
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

エンタープライズ シナリオでは、セキュリティ運用チームには通常、一連のデバイスが割り当てられます。 これらのデバイスは、ドメイン、コンピューター名、指定されたタグなどの属性のセットに基づいてグループ化されます。

Microsoft Defender for Endpointでは、デバイス グループを作成し、それらを使用して次のことができます。

• RBAC ロールが割り当てられている特定のMicrosoft Entra ユーザー グループに関連するアラートとデータへのアクセスを制限する
• デバイスのセットごとに異なる自動修復設定を構成する
• 自動調査中に適用する特定の修復レベルを割り当てる
• 調査では、グループ フィルターを使用して、特定のデバイス グループに対して [デバイス] リストをフィルター処理します。

ロールベースのアクセス (RBAC) のコンテキストでデバイス グループを作成して、特定のアクションを実行できるユーザーを制御したり、デバイス グループをユーザー グループに割り当てて情報を表示したりできます。 詳細については、「 ロールベースのアクセス制御を使用したポータル アクセスの管理」を参照してください。

ヒント

RBAC アプリケーションの詳細については、「RBAC を 使用して SOC をフラットに実行していますか」を参照してください。

デバイス グループを作成するプロセスの一環として、次の作業を行います。

• そのグループの自動修復レベルを設定します。 修復レベルの詳細については、「 自動調査を使用した脅威の調査と修復」を参照してください。
• デバイス名、ドメイン、タグ、OS プラットフォームに基づいて、グループに属するデバイス グループを決定する照合ルールを指定します。 デバイスが他のグループにも一致する場合は、最上位のデバイス グループにのみ追加されます。
• デバイス グループにアクセスできる必要があるMicrosoft Entra ユーザー グループを選択します。
• デバイス グループは、作成後に他のグループと比較してランク付けします。

注:

デバイス グループにMicrosoft Entraグループを割り当てない場合は、すべてのユーザーがデバイス グループにアクセスできます。

デバイス グループを作成する

1. ナビゲーション ウィンドウで、[設定>] [エンドポイントのアクセス許可>] [デバイス グループ] の順に>選択します。

2. [ デバイス グループの追加] をクリックします。

3. グループ名と自動化設定を入力し、グループに属するデバイスを決定する一致ルールを指定します。 「自動調査の開始方法」を参照してください。

   ヒント

   デバイスのグループ化にタグ付けを使用する場合は、「デバイス タグの作成と管理」を参照してください。

4. このルールで一致する複数のデバイスをプレビューします。 ルールに問題がない場合は、[ ユーザー アクセス ] タブをクリックします。

5. 作成したデバイス グループにアクセスできるユーザー グループを割り当てます。

   注:

   RBAC ロールに割り当てられているMicrosoft Entraユーザー グループにのみアクセス権を付与できます。

6. [閉じる] をクリックします。 構成の変更が適用されます。

   注:

   Defender for Business のデバイス グループは、別の方法で管理されます。 詳細については、「Microsoft Defender for Businessのデバイス グループ」を参照してください。

デバイス グループを管理する

デバイス グループのランクを昇格または降格して、一致中に優先順位を高くまたは低くすることができます。 ランクが 1 のデバイス グループは、ランクが最も高いグループです。 デバイスが複数のグループに一致すると、最上位のランク付けグループにのみ追加されます。 グループを編集および削除することもできます。

警告

デバイス グループを削除すると、電子メール通知ルールに影響する可能性があります。 電子メール通知ルールの下でデバイス グループが構成されている場合、その規則から削除されます。 デバイス グループが電子メール通知用に構成された唯一のグループである場合、その電子メール通知ルールはデバイス グループと共に削除されます。

既定では、デバイス グループにはポータル アクセス権を持つすべてのユーザーがアクセスできます。 既定の動作を変更するには、Microsoft Entraユーザー グループをデバイス グループに割り当てます。

グループに一致しないデバイスは、グループ化されていないデバイス (既定) グループに追加されます。 このグループのランクを変更したり、削除したりすることはできません。 ただし、このグループの修復レベルを変更し、このグループにアクセスできるMicrosoft Entraユーザー グループを定義できます。

注:

デバイス グループの構成に変更を適用するには、数分かかる場合があります。

デバイス グループ定義を追加する

デバイス グループ定義には、条件ごとに複数の値を含めることもできます。 複数のタグ、デバイス名、ドメインを 1 つのデバイス グループの定義に設定できます。

1. 新しいデバイス グループを作成し、[ デバイス ] タブを選択します。
2. いずれかの条件の最初の値を追加します。
3. を選択 + して、同じプロパティ型の行をさらに追加します。

ヒント

同じ条件型の行間で 'OR' 演算子を使用します。これにより、プロパティごとに複数の値を使用できます。 タグ、デバイス名、ドメインなど、プロパティの種類ごとに最大 10 行 (値) を追加できます。

デバイス グループ定義へのリンクの詳細については、「 デバイス グループ - Microsoft 365 セキュリティ」を参照してください。

関連項目

• ロールベースのアクセス制御を使用してポータルアクセスを管理する
• デバイス タグの作成と管理
• Graph APIを使用してテナント デバイス グループの一覧を取得する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティとEngageします。