デバイス グループの作成と管理

適用対象:

• Microsoft Entra ID
• Office 365
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注意

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

エンタープライズ シナリオでは、セキュリティ運用チームには通常、一連のデバイスが割り当てられます。 これらのデバイスは、ドメイン、コンピューター名、指定されたタグなどの属性のセットに基づいてグループ化されます。

Microsoft Defender for Endpointでは、デバイス グループを作成し、それらを使用して次のことができます。

• RBAC ロールが割り当てられている特定のMicrosoft Entra ユーザー グループに関連するアラートとデータへのアクセスを制限する
• デバイスのセットごとに異なる自動修復設定を構成する
• 自動調査中に適用する特定の修復レベルを割り当てる
• 調査では、グループ フィルターを使用して、特定のデバイス グループに対して [デバイス] リストをフィルター処理します。

ロールベースのアクセス (RBAC) のコンテキストでデバイス グループを作成して、特定のアクションを実行できるユーザーを制御したり、デバイス グループをユーザー グループに割り当てて情報を表示したりできます。 詳細については、「 ロールベースのアクセス制御を使用したポータル アクセスの管理」を参照してください。

ヒント

RBAC アプリケーションの詳細については、「RBAC を 使用して SOC をフラットに実行していますか」を参照してください。

デバイス グループを作成するプロセスの一環として、次の作業を行います。

• そのグループの自動修復レベルを設定します。 修復レベルの詳細については、「 自動調査を使用した脅威の調査と修復」を参照してください。
• デバイス名、ドメイン、タグ、OS プラットフォームに基づいて、グループに属するデバイス グループを決定する照合ルールを指定します。 デバイスが他のグループにも一致する場合は、最上位のデバイス グループにのみ追加されます。
• デバイス グループにアクセスできる必要があるMicrosoft Entra ユーザー グループを選択します。
• デバイス グループは、作成後に他のグループと比較してランク付けします。

注意

デバイス グループにMicrosoft Entraグループを割り当てない場合は、すべてのユーザーがデバイス グループにアクセスできます。

デバイス グループを作成する

1. ナビゲーション ウィンドウで、 設定>Endpoints>Permissions>Device グループを選択します。

2. [ デバイス グループの追加] をクリックします。

3. グループ名と自動化設定を入力し、グループに属するデバイスを決定する一致ルールを指定します。 「自動調査の開始方法」を参照してください。

   ヒント

   デバイスのグループ化にタグ付けを使用する場合は、「デバイス タグの作成と管理」を参照してください。

4. このルールで一致する複数のデバイスをプレビューします。 ルールに問題がない場合は、[ ユーザー アクセス ] タブをクリックします。

5. 作成したデバイス グループにアクセスできるユーザー グループを割り当てます。

   注意

   RBAC ロールに割り当てられているMicrosoft Entraユーザー グループにのみアクセス権を付与できます。

6. [閉じる] をクリックします。 構成の変更が適用されます。

   注意

   Defender for Businessのデバイス グループは、別の方法で管理されます。 詳細については、「Microsoft Defender for Businessのデバイス グループ」を参照してください。

デバイス グループを管理する

デバイス グループのランクを昇格または降格して、一致中に優先順位を高くまたは低くすることができます。 ランクが 1 のデバイス グループは、ランクが最も高いグループです。 デバイスが複数のグループに一致すると、最上位のランク付けグループにのみ追加されます。 グループを編集および削除することもできます。

警告

デバイス グループを削除すると、電子メール通知ルールに影響する可能性があります。 電子メール通知ルールの下でデバイス グループが構成されている場合、その規則から削除されます。 デバイス グループが電子メール通知用に構成された唯一のグループである場合、その電子メール通知ルールはデバイス グループと共に削除されます。

既定では、デバイス グループにはポータル アクセス権を持つすべてのユーザーがアクセスできます。 既定の動作を変更するには、Microsoft Entraユーザー グループをデバイス グループに割り当てます。

グループに一致しないデバイスは、グループ化されていないデバイス (既定) グループに追加されます。 このグループのランクを変更したり、削除したりすることはできません。 ただし、このグループの修復レベルを変更し、このグループにアクセスできるMicrosoft Entraユーザー グループを定義できます。

注意

デバイス グループの構成に変更を適用するには、数分かかる場合があります。

デバイス グループ定義を追加する

デバイス グループ定義には、条件ごとに複数の値を含めることもできます。 複数のタグ、デバイス名、ドメインを 1 つのデバイス グループの定義に設定できます。

1. 新しいデバイス グループを作成し、[ デバイス ] タブを選択します。
2. いずれかの条件の最初の値を追加します。
3. +を選択して、同じプロパティ型の行をさらに追加します。

ヒント

同じ条件型の行間で 'OR' 演算子を使用します。これにより、プロパティごとに複数の値を使用できます。 タグ、デバイス名、ドメインなど、プロパティの種類ごとに最大 10 行 (値) を追加できます。

デバイス グループ定義へのリンクの詳細については、「 デバイス グループ - Microsoft 365 セキュリティ」を参照してください。

関連項目

• ロールベースのアクセス制御を使用してポータルアクセスを管理する
• デバイス タグの作成と管理
• Graph APIを使用してテナント デバイス グループの一覧を取得する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。