建立及管理裝置群組
適用於:
- Microsoft Entra ID
- Office 365
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
在企業案例中,安全性作業小組通常會獲指派一組裝置。 這些裝置會根據一組屬性群組在一起,例如其網域、計算機名稱或指定的標籤。
在 適用於端點的 Microsoft Defender 中,您可以建立裝置群組,並使用它們來:
- 將相關警示和數據的存取限制為具有指派 RBAC 角色的特定 Microsoft Entra 使用者群組
- 為不同的裝置集合設定不同的自動補救設定
- 指派要在自動化調查期間套用的特定補救層級
- 在調查中,使用 [群組] 篩選條件,將 [ 裝置] 列表 篩選為特定裝置群 組 。
您可以在角色型存取 (RBAC) 的內容中建立裝置群組,以控制誰可以採取特定動作,或藉由將裝置群組 (的) 指派給使用者群組來查看資訊。 如需詳細資訊,請 參閱使用角色型訪問控制管理入口網站存取。
提示
如需 RBAC 應用程式的完整探討,請參閱: 您的 SOC 是否使用 RBAC 一般執行。
在建立裝置群組的程式中,您將:
- 設定該群組的自動化補救層級。 如需補救層級的詳細資訊,請 參閱使用自動化調查來調查和補救威脅。
- 指定比對規則,根據裝置名稱、網域、標籤和OS平臺,決定哪個裝置群組屬於群組。 如果裝置也與其他群組相符,則只會新增至最高排名的裝置群組。
- 選取應具有裝置群組存取權的 Microsoft Entra 用戶群組。
- 裝置群組在建立後相對於其他群組的排名。
注意事項
如果您未將任何 Microsoft Entra 群組指派給裝置群組,所有使用者都可以存取裝置群組。
Create 裝置群組
在瀏覽窗格中,選取> [設定端點權>限>裝置群組]。
按兩下 [新增裝置群組]。
輸入組名和自動化設定,並指定決定哪些裝置屬於群組的比對規則。 請參閱 自動化調查如何開始。
提示
如果您想要使用標記來分組裝置,請參閱 Create 和管理裝置標籤。
預覽數個將符合此規則的裝置。 如果您對規則感到滿意,請按兩下 [ 使用者存取] 索引 標籤。
指派可存取您所建立裝置群組的使用者群組。
注意事項
您只能將存取權授與 Microsoft Entra 已指派給 RBAC 角色的使用者群組。
按一下 [關閉]。 套用組態變更。
注意事項
商務用Defender中的裝置群組管理方式不同。 如需詳細資訊,請參閱 適用於企業的 Microsoft Defender 中的裝置群組。
管理裝置群組
您可以升級或降級裝置群組的排名,使其在比對期間獲得較高或較低的優先順序。 排名為 1 的裝置群組是排名最高的群組。 當裝置符合多個群組時,它只會新增至排名最高的群組。 您也可以編輯和刪除群組。
警告
刪除裝置群組可能會影響電子郵件通知規則。 如果在電子郵件通知規則下設定裝置群組,則會從該規則中移除該裝置群組。 如果裝置群組是針對電子郵件通知設定的唯一群組,則該電子郵件通知規則會與裝置群組一起刪除。
根據預設,所有具有入口網站存取權的使用者都可以存取裝置群組。 您可以將 Microsoft Entra 使用者群組指派給裝置群組,以變更預設行為。
未與任何群組相符的裝置會新增至未分組的裝置 (預設) 群組。 您無法變更此群組的排名或將其刪除。 不過,您可以變更此群組的補救層級,並定義可存取此群組的 Microsoft Entra 使用者群組。
注意事項
將變更套用至裝置群組設定最多可能需要幾分鐘的時間。
新增裝置群組定義
裝置群組定義也可以包含每個條件的多個值。 您可以將多個標記、裝置名稱和網域設定為單一裝置群組的定義。
- Create 新的裝置群組,然後選取 [裝置] 索引標籤。
- 新增其中一個條件的第一個值。
- 選
+
取即可新增相同屬性類型的更多數據列。
提示
在相同條件類型的數據列之間使用 『OR』 運算子,允許每個屬性有多個值。 您可以針對每個屬性類型新增最多 10 個資料列 (值) - 標籤、裝置名稱、網域。
如需連結至裝置群組定義的詳細資訊,請參閱 裝置群組 - Microsoft 365 安全性。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。