创建和管理设备组

适用于：

• Microsoft Entra ID
• Office 365
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

注意

Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

在企业方案中，通常为安全运营团队分配一组设备。 这些设备基于一组属性（例如其域、计算机名或指定标记）组合在一起。

在Microsoft Defender for Endpoint中，可以创建设备组并将其用于：

• 将对相关警报和数据的访问权限限制为具有分配了 RBAC 角色的特定Microsoft Entra用户组
• 为不同的设备集配置不同的自动修正设置
• 分配在自动调查期间应用的特定修正级别
• 在调查中，使用组筛选器将“设备”列表筛选为特定的设备组。

可以在基于角色的访问的上下文中创建设备组 (RBAC) ，通过向用户组分配设备组 () 来控制谁可以执行特定操作或查看信息。 有关详细信息，请参阅 使用基于角色的访问控制管理门户访问权限。

提示

若要全面了解 RBAC 应用程序，请阅读：SOC 是否与 RBAC 一起运行。

在创建设备组的过程中，你将：

• 设置该组的自动修正级别。 有关修正级别的详细信息，请参阅 使用自动调查来调查和修正威胁。
• 根据设备名称、域、标记和 OS 平台指定确定属于组的设备组的匹配规则。 如果设备也与其他组匹配，则仅将其添加到排名最高的设备组。
• 选择应有权访问设备组的Microsoft Entra用户组。
• 创建设备组后，相对于其他组进行排名。

注意

如果未向其分配任何Microsoft Entra组，则所有用户都可以访问该设备组。

创建设备组

1. 在导航窗格中，选择 “设置>终结点>权限>设备组”。

2. 单击“ 添加设备组”。

3. 输入组名称和自动化设置，并指定用于确定哪些设备属于该组的匹配规则。 请参阅 自动调查的启动方式。

   提示

   如果要使用标记对设备进行分组，请参阅Create和管理设备标记。

4. 预览将与此规则匹配的多个设备。 如果对规则感到满意，请单击“ 用户访问 ”选项卡。

5. 分配可以访问创建的设备组的用户组。

   注意

   只能向已分配给 RBAC 角色的Microsoft Entra用户组授予访问权限。

6. 单击“关闭”。 应用配置更改。

   注意

   Defender for Business 中的设备组管理方式不同。 有关详细信息，请参阅 Microsoft Defender 商业版 中的设备组。

管理设备组

可以提升或降级设备组的排名，以便在匹配期间为其提供更高或更低的优先级。 排名为 1 的设备组是排名最高的组。 当设备与多个组匹配时，它仅添加到排名最高的组。 还可以编辑和删除组。

警告

删除设备组可能会影响电子邮件通知规则。 如果在电子邮件通知规则下配置了设备组，则会从该规则中删除该设备组。 如果设备组是为电子邮件通知配置的唯一组，则电子邮件通知规则将与设备组一起删除。

默认情况下，具有门户访问权限的所有用户都可以访问设备组。 可以通过将Microsoft Entra用户组分配给设备组来更改默认行为。

与任何组不匹配的设备将添加到未分组的设备 (默认) 组。 不能更改或删除此组的排名。 但是，可以更改此组的修正级别，并定义可以访问此组的Microsoft Entra用户组。

注意

将更改应用到设备组配置可能需要长达几分钟的时间。

添加设备组定义

设备组定义还可以为每个条件包含多个值。 可以将多个标记、设备名称和域设置为单个设备组的定义。

1. Create新的设备组，然后选择“设备”选项卡。
2. 为其中一个条件添加第一个值。
3. 选择此选项 + 可添加更多相同属性类型的行。

提示

在同一条件类型的行之间使用“OR”运算符，这允许每个属性多个值。 可以为每个属性类型（标记、设备名称、域）添加最多 10 行 (值) 。

有关链接到设备组定义的详细信息，请参阅 设备组 - Microsoft 365 安全性。

相关主题

• 使用基于角色的访问控制管理门户访问
• 创建和管理设备标签
• 使用 图形 API 获取租户设备组列表

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。