多租户管理中的内容分发

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

内容分发有助于在 Microsoft Defender XDR 中的多租户管理中跨租户大规模管理内容。 在内容分发中,可以创建租户组,以将现有内容(如自定义检测规则)从源租户复制到在创建租户组期间分配的目标租户。 然后,内容在目标租户的设备或你在租户组范围内设置的设备组上运行。

通过跨租户以这种方式分发内容,可以根据业务组或位置等类别来组织租户和内容。

注意

多租户管理目前支持向租户组添加自定义检测规则。 将来将添加其他内容类型。

要求

下表列出了 Microsoft Defender XDR 中多租户管理中的内容分发要求。

要求 说明
Microsoft Defender XDR许可证 若要使用内容分发,你的组织必须具有 Microsoft 365 E5 或 Office E5 的订阅。
权限 必须在单个租户级别为用户分配正确的角色和权限,才能在多租户管理中查看和管理关联的数据。
Microsoft 365 Defender Unified 基于角色的访问控制 (URBAC ) 中,通过安全设置 (管理) 或安全数据基本 (读取) 权限授予对内容分发的访问权限。 默认情况下,这两个角色都分配给安全管理员和安全读取者Microsoft Entra内置角色。
委托访问 通过 Azure B2BGDAP (CSP 参与方只能为 至少一个租户获取) 委派访问权限。

创建租户组

若要创建新的租户组,请执行以下操作:

  1. 转到 Microsoft Defender XDR 中多租户管理的租户组页

  2. 选择“ 创建租户组”。 在 “租户 ”页中,选择“ 添加租户 ”,查看可添加到租户组的可用租户列表。 选择要添加到租户组的租户,然后选择“ 添加”。:

    租户组创建向导的屏幕截图。

  3. “内容选择 ”页中,选择要跨租户组所有租户取消的内容,然后选择“ 下一步”。

    内容选择向导的屏幕截图。

注意

内容类型选择目前仅限于向租户组添加自定义检测规则。 将来将添加其他内容类型。

  1. “自定义检测规则 ”页中,选择“ 添加内容 ”,将特定检测规则添加到租户组。

    自定义检测规则添加向导的屏幕截图。

  2. “选择检测规则 ”页中,筛选内容的源租户,然后选择“ 应用”。 从列表中选择要添加到租户组的内容。

    “检测规则选择”窗格的屏幕截图。

  3. “设备组 ”页中,选择需要在租户范围内的设备或特定设备组。

    设备选择窗格的屏幕截图。

  4. 在“详细信息”页中添加有关租户组的租户组名称和说明。

  5. 查看在 “摘要 ”页中创建的租户组的详细信息。 如果需要立即同步内容,请保留“ 同步所有授权租户 ”选项的选中状态;如果计划稍后同步,则取消选中该选项。

    租户组摘要的屏幕截图,其中突出显示了复选框。

  6. 选择“ 提交 ”以完成租户组创建。

提示

如果选择 同步所有授权租户,则你拥有权限的租户中的所有租户和范围会自动同步。

新创建的租户组将在创建后显示在“租户组”页中。 从列表中选择租户组,以添加或删除内容、添加、编辑或删除租户,或同步租户组。

租户组页的屏幕截图,以及该页中可用的操作。

检查“上次同步结果”列下的 同步结果 。 如果结果 部分成功失败,请选择结果以调查原因。 选择结果时,将显示一个侧窗格,其中包含错误、建议和受影响的资产。 下面是一个示例。

同步结果侧窗格的屏幕截图。

在租户组之间同步内容

若要跨租户组同步你有权访问的租户的内容:

  1. 转到 “租户组”页

  2. 选中要同步的租户组旁边的复选框,然后选择“ 同步租户组”。

  3. 在出现的提示符下选择“ 同步 ”。

  4. 同步完成后,会看到以下状态之一:

    • 成功
    • 部分成功
    • 失败
  5. 如果遇到部分成功或失败,请选择“ 上次同步结果 ”列中的值以调查原因。

同步结果显示已同步租户和内容的数量。 同步的租户指示有多少租户已成功应用自定义检测规则。 例如,如果所有规则在 3 个租户中的 3 个中应用,则计数为 3:如果只有 2 个租户成功,则计数为 2。 同步内容表示跨所有目标租户同步的自定义检测规则总数。

编辑租户组

  1. 转到 “租户组”页
  2. 选中要编辑的租户组旁边的复选框,然后选择 “编辑租户组”。
  3. 编辑租户组名称和说明,然后选择“ 保存”。

删除租户组

  1. 转到 “租户组”页
  2. 选中要删除的租户组旁边的复选框,然后选择“ 删除租户组”。

疑难解答

同步失败的常见原因包括:

  • 用户无权在目标租户上创建自定义检测规则。
  • 用户无权从 内容源读取自定义检测规则。
  • 用户没有目标设备范围的权限。

如果问题出在目标租户上,请尝试创建相同的自定义检测规则,以便进一步进行诊断。 如果问题在于访问源数据,请尝试访问自定义检测。

其他资源