多租户管理中的内容分发
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
内容分发有助于在 Microsoft Defender XDR 中的多租户管理中跨租户大规模管理内容。 在内容分发中,可以创建租户组,以将现有内容(如自定义检测规则)从源租户复制到在创建租户组期间分配的目标租户。 然后,内容在目标租户的设备或你在租户组范围内设置的设备组上运行。
通过跨租户以这种方式分发内容,可以根据业务组或位置等类别来组织租户和内容。
注意
多租户管理目前支持向租户组添加自定义检测规则。 将来将添加其他内容类型。
要求
下表列出了 Microsoft Defender XDR 中多租户管理中的内容分发要求。
| 要求 | 说明 |
|---|---|
| Microsoft Defender XDR 许可证 | 若要使用内容分发,你的组织必须具有Microsoft 365 E5 或 Office E5 的订阅。 |
| 权限 | 必须在单个租户级别为用户分配正确的角色和权限,才能在多租户管理中查看和管理关联的数据。 Microsoft 365 Defender Unified 基于角色的访问控制 (URBAC ) 中,通过安全设置 (管理) 或安全数据基本 (读取) 权限授予对内容分发的访问权限。 默认情况下,这两个角色都分配给安全管理员和安全读取者Microsoft Entra 内置角色。 |
| 委托访问 | 通过 Azure B2B 或 GDAP (CSP 参与方只能为 至少一个租户获取) 委派访问权限。 |
创建租户组
若要创建新的租户组,请执行以下操作:
转到 Microsoft Defender XDR 中多租户管理的 租户组页 。
选择 “创建租户组”:
在 “租户组名称” 和 “说明”中输入,然后选择“ 下一步”。
选择“ 添加” 以添加自定义检测规则。
注意
多租户管理目前仅支持向租户组添加自定义检测规则。 将来将添加其他内容类型。
“ 源租户 ”列显示来自检测规则的租户。 选择要添加到分配的检测规则。
选择 “添加到租户组”。
在“内容”页上选择“下一步”。
在“分配租户”页上选择分配的目标 租户 ,然后选择“ 下一步”。
对于每个目标租户,可以选择在 “设置范围 ”页的分配范围内包括的设备或设备组。
选择 下一步。
查看作业详细信息。 如果需要立即同步内容,请保留“ 同步所有授权租户 ”选项的选中状态;如果计划稍后同步,则取消选中该选项。
选择 “提交 ”,然后选择“ 完成”。
如果选择 同步所有授权租户,则你拥有权限的租户中的所有租户和范围现在都将同步。
在租户组之间同步内容
若要跨租户组同步你有权访问的租户的内容:
- 转到 “租户组”页。
- 选中要同步的租户组旁边的复选框,然后选择“ 同步租户组”。
- 在出现的提示符下选择“ 同步 ”。
注意
同步可能需要几分钟时间。
- 同步完成后,会看到以下状态之一:
成功
部分成功
失败
如果遇到部分成功或失败状态,请选择 “上次同步结果” 列中的值以调查原因。
同步结果显示已同步租户和已同步内容的数量。 同步租户数显示成功应用所有自定义检测规则的租户数。 例如,如果一个租户组中有 3 个租户,并且所有 3 个租户都成功应用了相同的自定义检测规则,则同步的租户数为 3。 如果 3 个租户中只有 2 个成功应用了自定义检测规则,则同步的租户数为 2。 同步内容的数量显示跨所有目标租户同步的自定义检测规则数。
编辑租户组
- 转到 “租户组”页。
- 选中要编辑的租户组旁边的复选框,然后选择 “编辑租户组”。
- 编辑租户组名称和说明,然后选择“ 保存”。
删除租户组
- 转到 “租户组”页。
- 选中要删除的租户组旁边的复选框,然后选择“ 删除租户组”。
疑难解答
同步失败的常见原因包括:
- 用户无权在目标租户上创建自定义检测规则。
- 用户无权从 内容源读取自定义检测规则。
- 用户没有目标设备范围的权限。
如果问题出在目标租户上,请尝试创建相同的自定义检测规则,以便进一步进行诊断。 如果问题在于访问源数据,请尝试访问自定义检测。