Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Inhaltsverteilung im Microsoft Defender mehrinstanzenfähigen Portal hilft Ihnen, Inhalte mandantenübergreifend basierend auf Kategorien wie Geschäftsgruppen oder Standorten im großen Stil zu organisieren und zu verwalten. Erstellen Sie Verteilungsprofile, um vorhandene Inhalte wie benutzerdefinierte Erkennungsregeln vom Quellmandanten in die Zielmandanten zu kopieren. Der verteilte Inhalt wird dann im Zielmandanten im ausgewählten Bereich ausgeführt.
Unterstützte Inhalte für die Verteilung
Erstellen Sie Verteilungsprofile, um die folgenden Inhaltstypen auf mehrere Mandanten zu verteilen:
- Regeln für die benutzerdefinierte Erkennung
- Endpunktsicherheitsrichtlinien, die nur für Microsoft Defender for Endpoint Kunden unterstützt werden
- Analyseregeln (Vorschau) nur für Microsoft Sentinel Kunden
- Automatisierungsregeln (Vorschau) nur für Microsoft Sentinel Kunden
- Arbeitsmappen (Vorschau) nur für Microsoft Sentinel Kunden
Voraussetzungen
In der folgenden Tabelle sind die Anforderungen für die Verwendung der Inhaltsverteilung im Microsoft Defender mehrinstanzenfähigen Portal aufgeführt.
| Anforderung | Beschreibung |
|---|---|
| Lizenzierungsanforderungen | Ihr organization muss über ein Abonnement für Microsoft 365 E5 oder Office E5 verfügen. Um Microsoft Sentinel Inhalte verteilen zu können, benötigen Sie ein Microsoft Sentinel-Abonnement. |
| Berechtigungen | Benutzern müssen die richtigen Rollen und Berechtigungen auf der Ebene der einzelnen Mandanten zugewiesen werden, um die zugeordneten Daten in der mehrinstanzenfähigen Verwaltung anzeigen und verwalten zu können. Der Zugriff auf die Inhaltsverteilung wird über die Berechtigung Sicherheitseinstellungen (Verwalten) oder Security Data Basic (Lesen) in Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (URBAC) gewährt. Standardmäßig werden beide Rollen den integrierten Rollen "Sicherheitsadministrator" und "Sicherheitsleseberechtigter" Microsoft Entra zugewiesen. |
| Delegieren des Zugriffs | Delegierter Zugriff über Azure B2B oder GDAP (nur CSP-Parters) muss für mindestens einen anderen Mandanten abgerufen werden. |
Erstellen von Verteilungsprofilen
So erstellen Sie ein neues Verteilungsprofil:
Navigieren Sie im Microsoft Defender mehrinstanzenfähigen Portal zur Seite Mehrinstanzenfähige Verwaltung > Inhaltsverteilung.
Wählen Sie Erstellen aus, um den Assistenten zum Erstellen von Inhaltsverteilungsprofilen zu öffnen. Geben Sie im Assistenten die folgenden Details ein, und wählen Sie nach Bedarf Weiter aus, um durch die Registerkarten zu navigieren. Einige Registerkarten sind nur relevant, wenn Sie diesen Inhaltstyp für die Verteilung ausgewählt haben.
Tab Anweisungen Details Geben Sie einen Namen und eine optionale Beschreibung für Ihr Inhaltsverteilungsprofil ein. Zuweisen von Mandanten Wählen Sie Mandant hinzufügen aus, um eine Liste der verfügbaren Mandanten anzuzeigen, die Sie Ihrem Verteilungsprofil hinzufügen können, wählen Sie die Mandanten aus, die Sie hinzufügen möchten, und wählen Sie dann Hinzufügen aus. Inhaltstyp auswählen Alle Inhaltstypen sind standardmäßig ausgewählt. Stellen Sie sicher, dass die Auswahl mit dem Inhalt übereinstimmt, den Sie in diesem Verteilungsprofil verteilen möchten. Inhaltstyp 1. Wählen Sie Inhalt hinzufügen aus.
2. Wählen Sie den relevanten Inhalt aus, den Sie dem Verteilungsprofil hinzufügen möchten, und wählen Sie dann Zu Verteilungsprofil hinzufügen aus.An diesem Punkt müssen Sie den Umfang Ihres Mandanten definieren. Verteilungsprofile unterstützen einen einzelnen Bereich für das gesamte Profil oder separate Bereiche pro Inhaltstyp. Bereiche können Gerätegruppen, Arbeitsbereiche oder Microsoft Entra-Gruppen sein.
Wählen Sie Einzelner Bereich oder Bereich pro Inhaltstyp aus, um zwischen diesen Optionen zu wechseln, und Bereich bearbeiten , um nach Bedarf Änderungen vorzunehmen.
Überprüfen Sie auf der Registerkarte Zusammenfassung die Details des von Ihnen erstellten Verteilungsprofils. Wenn Sie jetzt alle autorisierten Mandanten synchronisieren möchten, lassen Sie die Option Alle autorisierten Mandanten synchronisieren aktiviert. Wenn Sie die Synchronisierung später durchführen möchten, deaktivieren Sie es.
Wählen Sie Senden aus, um die Erstellung Ihres Verteilungsprofils abzuschließen.
Wenn Sie sich für Alle autorisierten Mandanten synchronisieren entschieden haben, werden alle Mandanten und der Bereich innerhalb der Mandanten, über die Sie über die Berechtigung verfügen, automatisch synchronisiert.
Ihr neu erstelltes Verteilungsprofil wird nach der Erstellung auf der Seite Verteilungsprofile angezeigt.
Wählen Sie ein Verteilungsprofil aus der Liste aus, um Inhalte hinzuzufügen oder zu entfernen, Mandanten hinzuzufügen, zu bearbeiten oder zu entfernen oder das Verteilungsprofil zu synchronisieren. Verwenden Sie die Symbolleistenoptionen oben auf der Seite, um Verteilungsprofile zu bearbeiten, zu entfernen oder zu synchronisieren.
Wenn Sie die Profile synchronisieren, überprüfen Sie die Synchronisierungsergebnisse in der Spalte Letzte Synchronisierungsergebnis . Wenn das Ergebnis teilweise erfolgreich oder fehlgeschlagen ist, wählen Sie das Ergebnis aus, um die Ursache zu untersuchen. Wenn Sie das Ergebnis auswählen, wird ein Seitenbereich mit den Fehlern, Empfehlungen und betroffenen Ressourcen angezeigt. Zum Beispiel:
Hinweis
Die maximale Anzahl veröffentlichter Elemente pro Veröffentlichungsvorgang beträgt 9.500. Veröffentlichte Elemente werden als Anzahl von Mandanten multipliziert mit der Anzahl von Vorlagen berechnet. Wenn Sie beispielsweise 10 Verteilungsprofile mit 10 Zielmandanten und 95 Inhaltsvorlagen veröffentlichen, entsprechen die veröffentlichten Elemente 9.500.
Synchronisieren von Inhalten zwischen Verteilungsprofilen
So synchronisieren Sie Inhalte über Verteilungsprofile für die Mandanten, für die Sie berechtigt sind:
Wählen Sie auf der Seite Mehrinstanzenfähige Verwaltung >Inhaltsverteilung alle Verteilungsprofile aus, die Sie synchronisieren möchten, und wählen Sie dann Synchronisieren aus.
Wählen Sie an der Eingabeaufforderung erneut Synchronisieren aus, um den Synchronisierungsvorgang zu bestätigen. Sobald die Synchronisierung abgeschlossen ist, wird einer der folgenden Status angezeigt:
- Erfolgreich
- Teilweise erfolgreich
- Fehler
Wenn ein Teilerfolg oder Fehler auftritt, wählen Sie den Wert in der Spalte Letzte Synchronisierungsergebnis aus, um die Ursache zu untersuchen.
Synchronisierungsergebnisse zeigen die Anzahl synchronisierter Mandanten und Inhalte an. Synchronisierte Mandanten geben an, wie viele Mandanten benutzerdefinierte Erkennungsregeln erfolgreich angewendet haben.
Wenn beispielsweise alle Regeln in drei von drei Mandanten angewendet werden, ist die Anzahl 3; Wenn nur 2 Mandanten erfolgreich sind, ist die Anzahl 2. Synchronisierte Inhalte stellen die gesamtzahl der benutzerdefinierten Erkennungsregeln dar, die über alle Zielmandanten hinweg synchronisiert wurden.
Begrenzungen
Automatisierungsregeln, die ein Playbook auslösen, können nicht verteilt werden
Problembehandlung und Fehlerbehandlung
Im Folgenden finden Sie einige häufige Gründe, warum eine Synchronisierung fehlschlägt:
- Der Benutzer ist nicht berechtigt, benutzerdefinierte Erkennungsregeln für den Zielmandanten zu erstellen.
- Der Benutzer ist nicht berechtigt, benutzerdefinierte Erkennungsregeln aus der Inhaltsquelle zu lesen.
- Der Benutzer verfügt nicht über die Berechtigung für den Zielgerätebereich.
Wenn das Problem beim Zielmandanten liegt, versuchen Sie, eine identische benutzerdefinierte Erkennungsregel für die weitere Diagnose zu erstellen. Wenn das Problem mit dem Zugriff auf die Quelldaten besteht, versuchen Sie, auf die benutzerdefinierte Erkennung zuzugreifen.
Es besteht ein bekanntes Problem mit Verteilungsprofilfehlern. In einigen Szenarien, z. B. wenn ein Benutzer ohne die erforderlichen Berechtigungen Die Zuweisung bei einem Richtlinienfehler anzeigen auswählt, wird möglicherweise ein unbefristeter Ladezustand ohne eine eindeutige Fehlermeldung angezeigt. Benutzer können auch generische oder unklare Fehlermeldungen erhalten, wenn Microsoft Entra vorübergehend nicht verfügbar ist. Schließen Sie in solchen Fällen die Fehlermeldung, und überprüfen Sie Ihre Berechtigungen und Microsoft Entra Verfügbarkeit.