建立及管理裝置群組

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

適用于端點的 Defender 方案 1 和方案 2 支援裝置群組建立。

在企業案例中,安全性作業小組通常會獲指派一組裝置。 這些裝置會根據一組屬性群組在一起,例如其網域、電腦名稱稱或指定的標籤。

在適用於端點的 Microsoft Defender中,您可以建立裝置群組,並使用它們來:

  • 將相關警示和資料的存取限制為具有指派 RBAC 角色的特定 Azure AD 使用者群組
  • 為不同的裝置集合設定不同的自動補救設定
  • 指派要在自動化調查期間套用的特定補救層級
  • 在調查中,使用 [群組] 篩選準則,將 [ 裝置] 清單 篩選為特定裝置群

您可以在角色型存取 (RBAC) 的內容中建立裝置群組,以控制誰可以採取特定動作,或藉由將裝置群組 (的) 指派給使用者群組來查看資訊。 如需詳細資訊,請 參閱使用角色型存取控制管理入口網站存取

提示

如需 RBAC 應用程式的完整探討,請參閱: 您的 SOC 是否使用 RBAC 一般執行。

在建立裝置群組的程式中,您將:

  • 設定該群組的自動化補救層級。 如需補救層級的詳細資訊,請 參閱使用自動化調查來調查和補救威脅
  • 指定比對規則,根據裝置名稱、網域、標籤和 OS 平臺,決定哪個裝置群組屬於群組。 如果裝置也與其他群組相符,則只會新增至最高排名的裝置群組。
  • 選取應具有裝置群組存取權的 Azure AD 使用者群組。
  • 裝置群組在建立後相對於其他群組的排名。

注意事項

如果您未將任何 Azure AD 群組指派給裝置群組,所有使用者都可以存取裝置群組。

建立裝置群組

  1. 在流覽窗格中,選> [設定端點權>>裝置群組]

  2. 按一下 [新增裝置群組]

  3. 輸入組名和自動化設定,並指定決定哪些裝置屬於群組的比對規則。 請參閱 自動化調查如何開始

    提示

    如果您想要使用標記來分組裝置,請參閱 建立和管理裝置標籤

  4. 預覽數個將符合此規則的裝置。 如果您對規則感到滿意,請按一下 [ 使用者存取] 索引 標籤。

  5. 指派可存取您所建立裝置群組的使用者群組。

    注意事項

    您只能將存取權授與已指派給 RBAC 角色的 Azure AD 使用者群組。

  6. 按一下 [關閉]。 套用組態變更。

管理裝置群組

您可以升級或降級裝置群組的排名,使其在比對期間獲得較高或較低的優先順序。 排名為 1 的裝置群組是排名最高的群組。 當裝置符合多個群組時,它只會新增至排名最高的群組。 您也可以編輯和刪除群組。

警告

刪除裝置群組可能會影響電子郵件通知規則。 如果在電子郵件通知規則下設定裝置群組,則會從該規則中移除該裝置群組。 如果裝置群組是針對電子郵件通知設定的唯一群組,則該電子郵件通知規則會與裝置群組一起刪除。

根據預設,所有具有入口網站存取權的使用者都可以存取裝置群組。 您可以將 Azure AD 使用者群組指派給裝置群組,以變更預設行為。

未與任何群組相符的裝置會新增至未分組的裝置 (預設) 群組。 您無法變更此群組的排名或將其刪除。 不過,您可以變更此群組的補救層級,並定義可存取此群組的 Azure AD 使用者群組。

注意事項

將變更套用至裝置群組設定最多可能需要幾分鐘的時間。

新增裝置群組定義

裝置群組定義也可以包含每個條件的多個值。 您可以將多個標記、裝置名稱和網域設定為單一裝置群組的定義。

  1. 建立新的裝置群組,然後選取 [裝置] 索 引卷 標。
  2. 新增其中一個條件的第一個值。
  3. + 取即可新增相同屬性類型的更多資料列。

提示

在相同條件類型的資料列之間使用 'OR' 運算子,允許每個屬性有多個值。 您可以針對每個屬性類型新增最多 10 個數據列 (值) - 標籤、裝置名稱、網域。

如需連結至裝置群組定義的詳細資訊,請參閱 裝置群組 - Microsoft 365 安全性