Создание групп устройств и управление имиCreate and manage device groups

Область применения:Applies to:

  • Azure Active Directory.Azure Active Directory
  • Office 365:Office 365

Хотите испытать Microsoft Defender для конечной точки?Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

В корпоративном сценарии группам операций безопасности обычно назначен набор устройств.In an enterprise scenario, security operation teams are typically assigned a set of devices. Эти устройства сгруппируются на основе набора атрибутов, таких как домены, имена компьютеров или назначенные теги.These devices are grouped together based on a set of attributes such as their domains, computer names, or designated tags.

В Microsoft Defender для конечной точки можно создавать группы устройств и использовать их для:In Microsoft Defender for Endpoint, you can create device groups and use them to:

  • Ограничение доступа к связанным оповещениям и данным определенным группам пользователей Azure AD с назначенными ролями RBACLimit access to related alerts and data to specific Azure AD user groups with assigned RBAC roles
  • Настройка различных параметров автоматической исправлений для различных наборов устройствConfigure different auto-remediation settings for different sets of devices
  • Назначение определенных уровней исправлений для применения во время автоматизированных расследованийAssign specific remediation levels to apply during automated investigations
  • В ходе исследования фильтруем список Устройств для определенных групп устройств с помощью группового фильтра.In an investigation, filter the Devices list to specific device groups by using the Group filter.

Группы устройств можно создавать в контексте ролевого доступа (RBAC), чтобы контролировать, кто может принимать конкретные действия или видеть сведения, назначая группу устройств (ы) группе пользователей.You can create device groups in the context of role-based access (RBAC) to control who can take specific action or see information by assigning the device group(s) to a user group. Дополнительные сведения см. в ссылке Управление доступом к порталу с помощью управления доступом на основе ролей.For more information, see Manage portal access using role-based access control.

Совет

Подробнее о приложении RBAC читайте в публикации "Ъ" "SoC работает с RBAC".For a comprehensive look into RBAC application, read: Is your SOC running flat with RBAC.

В процессе создания группы устройств вы будете:As part of the process of creating a device group, you'll:

  • Установите уровень автоматического восстановления для этой группы.Set the automated remediation level for that group. Дополнительные сведения об уровнях исправлений см. в этой ссылке Использование автоматического расследования для расследования и устранения угроз.For more information on remediation levels, see Use Automated investigation to investigate and remediate threats.
  • Укажите правило совпадения, определяющее, какая группа устройств относится к группе на основе имени устройства, домена, тегов и платформы ОС.Specify the matching rule that determines which device group belongs to the group based on the device name, domain, tags, and OS platform. Если устройство также совпадает с другими группами, оно добавляется только в группу устройств с наивысшим ранжом.If a device is also matched to other groups, it's added only to the highest ranked device group.
  • Выберите группу пользователей Azure AD, которая должна иметь доступ к группе устройств.Select the Azure AD user group that should have access to the device group.
  • Ранжив группу устройств по сравнению с другими группами после ее создания.Rank the device group relative to other groups after it's created.

Примечание

Группа устройств доступна всем пользователям, если вы не назначите группе Azure AD.A device group is accessible to all users if you don’t assign any Azure AD groups to it.

Создание группы устройствCreate a device group

  1. В области навигации выберите группы Параметры > устройств.In the navigation pane, select Settings > Device groups.

  2. Нажмите кнопку Добавить группу устройств.Click Add device group.

  3. Введите параметры имени группы и параметры автоматизации и укажите правило совпадения, определяющие, какие устройства относятся к группе.Enter the group name and automation settings and specify the matching rule that determines which devices belong to the group. Узнайте, как начинается автоматическое расследование.See How the automated investigation starts.

    Совет

    Если вы хотите группировать устройства по организационному подразделению, можно настроить ключ реестра для групповой принадлежности.If you want to group devices by organizational unit, you can configure the registry key for the group affiliation. Дополнительные сведения о тегах устройств см. в дополнительных сведениях о создании и управлении тегами устройств.For more information on device tagging, see Create and manage device tags.

  4. Просмотр нескольких устройств, которые будут соответствовать этому правилу.Preview several devices that will be matched by this rule. Если вы удовлетворены правилом, щелкните вкладку Доступ пользователя.If you're satisfied with the rule, click the User access tab.

  5. Назначьте группы пользователей, которые могут получить доступ к созданной группе устройств.Assign the user groups that can access the device group you created.

    Примечание

    Вы можете предоставить доступ только к группам пользователей Azure AD, которые были назначены ролям RBAC.You can only grant access to Azure AD user groups that have been assigned to RBAC roles.

  6. Нажмите кнопку Закрыть.Click Close. Применяются изменения конфигурации.The configuration changes are applied.

Управление группами устройствManage device groups

Можно повысить или понизить ранг группы устройств, чтобы во время совпадения ему было отдано более высокое или более низкое значение.You can promote or demote the rank of a device group so that it's given higher or lower priority during matching. Если устройство совпадает с более чем одной группой, оно добавляется только в группу с самым высоким рейтингом.When a device is matched to more than one group, it's added only to the highest ranked group. Кроме того, можно изменить и удалить группы.You can also edit and delete groups.

Предупреждение

Удаление группы устройств может повлиять на правила уведомления электронной почты.Deleting a device group may affect email notification rules. Если группа устройств настроена в соответствии с правилом уведомления по электронной почте, она будет удалена из этого правила.If a device group is configured under an email notification rule, it will be removed from that rule. Если группа устройств является единственной группой, настроенной для уведомления электронной почты, это правило уведомления электронной почты будет удалено вместе с группой устройств.If the device group is the only group configured for an email notification, that email notification rule will be deleted along with the device group.

По умолчанию группы устройств доступны всем пользователям с доступом на портал.By default, device groups are accessible to all users with portal access. Вы можете изменить поведение по умолчанию, назначив группы пользователей Azure AD группе устройств.You can change the default behavior by assigning Azure AD user groups to the device group.

Устройства, не совпадают с группами, добавляются в группу Ungrouped devices (по умолчанию).Devices that aren't matched to any groups are added to Ungrouped devices (default) group. Вы не можете изменить ранг этой группы или удалить ее.You cannot change the rank of this group or delete it. Однако можно изменить уровень исправлений этой группы и определить группы пользователей Azure AD, которые могут получить доступ к этой группе.However, you can change the remediation level of this group, and define the Azure AD user groups that can access this group.

Примечание

Применение изменений в конфигурации группы устройств может занять до нескольких минут.Applying changes to device group configuration may take up to several minutes.

Добавление определений группы устройствAdd device group definitions

Определения группы устройств также могут включать несколько значений для каждого условия.Device group definitions can also include multiple values for each condition. Можно установить несколько тегов, имен устройств и доменов для определения одной группы устройств.You can set multiple tags, device names, and domains to the definition of a single device group.

  1. Создайте новую группу устройств и выберите вкладку Devices.Create a new device group, then select Devices tab.
  2. Добавьте первое значение для одного из условий.Add the first value for one of the conditions.
  3. Выберите, + чтобы добавить больше строк того же типа свойства.Select + to add more rows of the same property type.

Совет

Используйте оператор "OR" между строками одного типа условий, что позволяет использовать несколько значений для каждого свойства.Use the 'OR' operator between rows of the same condition type, which allows multiple values per property. Для каждого типа свойств можно добавить до 10 строк (значений) — тег, имя устройства, домен.You can add up to 10 rows (values) for each property type - tag, device name, domain.

Дополнительные сведения о привязке к определениям групп устройств см. в группе Device groups - Microsoft 365 безопасности.For more information on linking to device groups definitions, see Device groups - Microsoft 365 security.