多租户管理中的内容分发
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
内容分发有助于在 Microsoft Defender XDR 中的多租户管理中跨租户大规模管理内容。 在内容分发中,可以创建租户组,以将现有内容(如自定义检测规则)从源租户复制到在创建租户组期间分配的目标租户。 然后,内容在目标租户的设备或你在租户组范围内设置的设备组上运行。
通过跨租户以这种方式分发内容,可以根据业务组或位置等类别来组织租户和内容。
注意
多租户管理目前支持向租户组添加自定义检测规则。 将来将添加其他内容类型。
要求
下表列出了 Microsoft Defender XDR 中多租户管理中的内容分发要求。
要求 | 说明 |
---|---|
Microsoft Defender XDR许可证 | 若要使用内容分发,你的组织必须具有 Microsoft 365 E5 或 Office E5 的订阅。 |
权限 | 必须在单个租户级别为用户分配正确的角色和权限,才能在多租户管理中查看和管理关联的数据。 Microsoft 365 Defender Unified 基于角色的访问控制 (URBAC ) 中,通过安全设置 (管理) 或安全数据基本 (读取) 权限授予对内容分发的访问权限。 默认情况下,这两个角色都分配给安全管理员和安全读取者Microsoft Entra内置角色。 |
委托访问 | 通过 Azure B2B 或 GDAP (CSP 参与方只能为 至少一个租户获取) 委派访问权限。 |
创建租户组
若要创建新的租户组,请执行以下操作:
转到 Microsoft Defender XDR 中多租户管理的租户组页。
选择“ 创建租户组”。 在 “租户 ”页中,选择“ 添加租户 ”,查看可添加到租户组的可用租户列表。 选择要添加到租户组的租户,然后选择“ 添加”。:
在 “内容选择 ”页中,选择要跨租户组所有租户取消的内容,然后选择“ 下一步”。
注意
内容类型选择目前仅限于向租户组添加自定义检测规则。 将来将添加其他内容类型。
在 “自定义检测规则 ”页中,选择“ 添加内容 ”,将特定检测规则添加到租户组。
在 “选择检测规则 ”页中,筛选内容的源租户,然后选择“ 应用”。 从列表中选择要添加到租户组的内容。
在 “设备组 ”页中,选择需要在租户范围内的设备或特定设备组。
在“详细信息”页中添加有关租户组的租户组名称和说明。
查看在 “摘要 ”页中创建的租户组的详细信息。 如果需要立即同步内容,请保留“ 同步所有授权租户 ”选项的选中状态;如果计划稍后同步,则取消选中该选项。
选择“ 提交 ”以完成租户组创建。
提示
如果选择 同步所有授权租户,则你拥有权限的租户中的所有租户和范围会自动同步。
新创建的租户组将在创建后显示在“租户组”页中。 从列表中选择租户组,以添加或删除内容、添加、编辑或删除租户,或同步租户组。
检查“上次同步结果”列下的 同步结果 。 如果结果 部分成功 或 失败,请选择结果以调查原因。 选择结果时,将显示一个侧窗格,其中包含错误、建议和受影响的资产。 下面是一个示例。
在租户组之间同步内容
若要跨租户组同步你有权访问的租户的内容:
转到 “租户组”页。
选中要同步的租户组旁边的复选框,然后选择“ 同步租户组”。
在出现的提示符下选择“ 同步 ”。
同步完成后,会看到以下状态之一:
- 成功
- 部分成功
- 失败
如果遇到部分成功或失败,请选择“ 上次同步结果 ”列中的值以调查原因。
同步结果显示已同步租户和内容的数量。 同步的租户指示有多少租户已成功应用自定义检测规则。 例如,如果所有规则在 3 个租户中的 3 个中应用,则计数为 3:如果只有 2 个租户成功,则计数为 2。 同步内容表示跨所有目标租户同步的自定义检测规则总数。
编辑租户组
- 转到 “租户组”页。
- 选中要编辑的租户组旁边的复选框,然后选择 “编辑租户组”。
- 编辑租户组名称和说明,然后选择“ 保存”。
删除租户组
- 转到 “租户组”页。
- 选中要删除的租户组旁边的复选框,然后选择“ 删除租户组”。
疑难解答
同步失败的常见原因包括:
- 用户无权在目标租户上创建自定义检测规则。
- 用户无权从 内容源读取自定义检测规则。
- 用户没有目标设备范围的权限。
如果问题出在目标租户上,请尝试创建相同的自定义检测规则,以便进一步进行诊断。 如果问题在于访问源数据,请尝试访问自定义检测。