Microsoft Defender for Endpoint 提供通过设备组（Device Groups）和基于角色的访问控制（RBAC）来管理跨厂商服务器监控的解决方案。设备组作为主要的范围界定单元，允许管理员按厂商或公司对公司服务器进行分类。这些组可基于标签、操作系统或命名模式等匹配规则自动填充。RBAC 角色随后与 Entra 安全组关联，仅向指定的设备组授予特定权限。这确保了处于特定公司 Entra 组内的用户仅在 Defender 门户中看到其被分配的服务器、警报和事件。全局管理员可查看所有设备组的完整信息。配置过程包括在“端点 > 权限 > 设备组”下创建设备组，然后在“权限 > 角色”下配置角色及 Entra 组分配。需要特别注意的是，此 RBAC 模型的范围涵盖警报、事件、高级狩猎和库存，但不包括组织级功能（如全局威胁分析）。对于通过 Microsoft Defender for Cloud 管理且未接入 Defender for Endpoint 的服务器，可在订阅或资源组级别使用 Azure RBAC 实现类似的范围界定机制。明确所使用的 Defender 产品对于推荐正确的解决方案至关重要。