Microsoft Defender for Business varten käyttöönotettavat laitteet

Tässä artikkelissa kuvataan, miten laitteet voidaan ottaa käyttöön Defender for Business.

Ota ne heti käyttöön, jotta voit suojata niitä. Voit valita useista vaihtoehdoista yrityksesi laitteiden käyttöönottoon. Tässä artikkelissa kerrotaan, miten perehdytys toimii.

Mitä tehdä?

1. Valitse välilehti:
   • Windows 10 ja 11
   • Mac
   • Mobiililaitteissa (uudet ominaisuudet ovat käytettävissä iOS- ja Android-laitteissa!)
   • Palvelimet (Windows Server tai Linux Server)
2. Tarkastele perehdytysasetuksiasi ja noudata valitun välilehden ohjeita.
3. Tarkastele laitteiden luetteloa.
4. Suorita tietojenkalastelutesti laitteessa.
5. Jatka seuraaviin vaiheisiin.

Windows 10 ja 11

Windows 10 ja 11

Huomautus

Windows-laitteissa on oltava käytössä jokin seuraavista käyttöjärjestelmistä:

• Windows 10 tai 11 Business
• Windows 10 tai 11 Professional
• Windows 10 tai 11 Enterprise

Lisätietoja on kohdassa Microsoft Defender for Business vaatimukset.

Valitse jokin seuraavista vaihtoehdoista windows-asiakaslaitteiden käyttöön miseksi Defender for Business:

• Paikallinen komentosarja (laitteiden käyttöönotto manuaalisesti Microsoft Defender portaalissa)
• ryhmäkäytäntö (jos käytät jo ryhmäkäytäntö organisaatiossasi)
• Microsoft Intune (jos käytät jo Intune)

Windows 10 ja 11:n paikalliset komentosarjat

Voit käyttää paikallista komentosarjaa Windows-asiakaslaitteiden käyttöönottoon. Kun suoritat käyttöönottokomentosarjan laitteessa, se luo luottamuksen Microsoft Entra ID kanssa (jos kyseistä luottamusta ei vielä ole), rekisteröi laitteen Microsoft Intune (jos sitä ei ole vielä rekisteröity) ja ottaa laitteen sitten Defender for Business. Jos käytössäsi ei ole Intune, paikallinen komentosarjamenetelmä on suositeltu perehdyttämismenetelmä Defender for Business asiakkaille.

Vihje

Suosittelemme, että otat käyttöön enintään 10 laitetta kerrallaan, kun käytät paikallista komentosarjamenetelmää.

1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

2. Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.

3. Valitse Windows 10 ja 11.

4. Valitse Yhteystyyppi-kohdastaVirtaviivaistettu.

5. Valitse Käyttöönottomenetelmä-osiossaPaikallinen komentosarja ja valitse sitten Lataa perehdytyspaketti. Suosittelemme, että tallennat käyttöönottopaketin siirrettävään asemaan.

6. Pura määrityspaketin sisältö Windows-laitteessa sijaintiin, kuten Desktop-kansioon. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPLocalOnboardingScript.cmd.

7. Avaa komentokehote järjestelmänvalvojana.

8. Kirjoita komentosarjatiedoston sijainti. Jos esimerkiksi kopioit tiedoston Desktop-kansioon, kirjoita %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdja paina enter-näppäintä (tai valitse OK).

9. Suorita tunnistustesti komentosarjan suorittamisen jälkeen.

Windows 10 ja 11:n ryhmäkäytäntö

Jos haluat käyttää ryhmäkäytäntö windows-asiakasohjelmien kanssa, noudata ohjeita kohdassa Onboard Windows -laitteet ja käytä ryhmäkäytäntö. Tässä artikkelissa kuvataan Microsoft Defender for Endpoint perehdyttämisen vaiheet. Defender for Business perehdyttämisvaiheet ovat samankaltaiset.

Windows 10 ja 11:n Intune

Voit lisätä Windows-asiakasohjelmia ja muita laitteita Intune käyttämällä Intune hallintakeskusta (https://intune.microsoft.com). Intune laitteiden rekisteröintiin on käytettävissä useita eri menetelmiä. Suosittelemme käyttämään jotakin seuraavista menetelmistä:

• Ota käyttöön Windowsin automaattinen rekisteröinti yrityksen omistamille tai yrityksen hallitsemille laitteille
• Pyydä käyttäjiä rekisteröimään omat Windows 10/11-laitteensa Intune

Ota käyttöön automaattinen rekisteröinti Windows 10 ja 11:ssä

Kun määrität automaattisen rekisteröinnin, käyttäjät lisäävät työtilinsä laitteeseen. Taustalla laite rekisteröityy ja liittyy Microsoft Entra ID, ja se rekisteröidään Intune.

1. Siirry Azure-portaali (https://portal.azure.com/) ja kirjaudu sisään.

2. Valitse Microsoft Entra ID>Mobility (MDM ja MAM)>Microsoft Intune.

3. Määritä MDM-käyttäjän vaikutusalue ja mobiilisovellusten hallinnan käyttäjän vaikutusalue.

   

   • MDM-käyttäjän vaikutusalueella suosittelemme, että valitset Kaikki , jotta kaikki käyttäjät voivat rekisteröidä Windows-laitteensa automaattisesti.

   • MAM-käyttäjän vaikutusalue -osassa suosittelemme url-osoitteille seuraavia oletusarvoja:

     • MDM:n URL-käyttöehdot
     • MDM-etsinnän URL-osoite
     • MDM-yhteensopivuus-URL

4. Valitse Tallenna.

5. Kun laite on rekisteröity Intune, voit lisätä sen laiteryhmään Defender for Business. Lue lisätietoja laiteryhmistä Defender for Business.

Vihje

Lisätietoja on artikkelissa Windowsin automaattisen rekisteröinnin ottaminen käyttöön.

Pyydä käyttäjiä rekisteröimään Windows 10 ja 11 laitetta

1. Katso seuraavasta videosta, miten rekisteröinti toimii:
   
   

2. Jaa tämä artikkeli organisaatiosi käyttäjien kanssa: Rekisteröi Windows 10/11-laitteet Intune.

3. Kun laite on rekisteröity Intune, voit lisätä sen laiteryhmään Defender for Business. Lue lisätietoja laiteryhmistä Defender for Business.

Tunnistustestin suorittaminen Windows 10 tai 11-laitteessa

Kun olet lisännyt Windows-laitteet Defender for Business, voit suorittaa tunnistustestin laitteessa varmistaaksesi, että kaikki toimii oikein.

1. Luo Kansio Windows-laitteessa: C:\test-MDATP-test.

2. Avaa komentokehote järjestelmänvalvojana ja suorita sitten seuraava komento:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Komennon suoritusten jälkeen Komentokehote-ikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi ja uusi ilmoitus tulee näkyviin Microsoft Defender portaalissa (https://security.microsoft.com) uudelle perehdytetylle laitteelle noin 10 minuutin kuluessa.

Mac

Mac

Huomautus

Suosittelemme, että käytät paikallista komentosarjaa Mac-tietokoneessa. Vaikka voit määrittää mac-rekisteröinnin Intune avulla, paikallinen komentosarja on yksinkertaisin tapa lisätä Mac Defender for Business.

Valitse jokin seuraavista vaihtoehdoista Mac-näytölle:

• Paikallinen mac-komentosarja (suositus)
• Intune for Mac (jos käytät jo Intune)

Paikallinen komentosarja Macille

Kun suoritat paikallisen komentosarjan Macissa, se luo luottamuksen Microsoft Entra ID kanssa (jos kyseistä luottamusta ei vielä ole), rekisteröi Macin Microsoft Intune (jos sitä ei ole vielä rekisteröity) ja lisää sitten Macin Defender for Business. Suosittelemme, että otat kerrallaan käyttöön enintään 10 laitetta.

1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

2. Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.

3. Valitse macOS.

4. Valitse Yhteystyyppi-kohdastaVirtaviivaistettu.

5. Valitse Käyttöönottomenetelmä-osiossaPaikallinen komentosarja ja valitse sitten Lataa perehdytyspaketti. Tallenna paketti siirrettävään asemaan. Valitse myös Lataa asennuspaketti ja tallenna se siirrettävään laitteeseen.

6. Tallenna asennuspaketti wdav.pkg Macissa paikalliseen hakemistoon.

7. Tallenna perehdytyspaketti WindowsDefenderATPOnboardingPackage.zip samaan hakemistoon, jota käytit asennuspaketissa.

8. Siirry tallennettuun wdav.pkg kohteeseen Finder-toiminnolla ja avaa se.

9. Valitse Jatka, hyväksy käyttöoikeusehdot ja anna salasana pyydettäessä.

10. Sinua pyydetään sallimaan ohjaimen asennus Microsoftilta (joko järjestelmälaajennus on estetty tai asennus on pidossa tai molemmat). Ohjaimen asennus on sallittava. Valitse Avaa suojausasetukset tai Avaa järjestelmäasetusten>suojaus & Tietosuoja ja valitse sitten Salli.

11. Suorita perehdytyspaketti seuraavan Bash-komennon avulla:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Kun Mac on rekisteröity Intune, voit lisätä sen laiteryhmään. Lue lisätietoja laiteryhmistä Defender for Business.

Intune for Mac

Jos sinulla on jo Intune, voit rekisteröidä Mac-tietokoneet käyttämällä Intune hallintakeskusta (https://intune.microsoft.com). Macin rekisteröintiin Intune on käytettävissä useita eri menetelmiä. Suosittelemme jotakin seuraavista menetelmistä:

• Valitse vaihtoehto yrityksen omistamalle Macille
• Pyydä käyttäjiä rekisteröimään oma Mac-Intune

Vaihtoehdot yrityksen omistamalle Macille

Valitse jokin seuraavista vaihtoehdoista yrityksen hallitsemien Mac-laitteiden rekisteröimiseksi Intune:

Vaihtoehto	Kuvaus
Apple Automated Device Enrollment	Tämän menetelmän avulla voit automatisoida rekisteröinnin Apple Business Managerin tai Apple School Managerin kautta ostetuissa laitteissa. Automatisoitu laiterekisteröinti ottaa rekisteröintiprofiilin käyttöön "ilmassa", joten sinulla ei tarvitse olla fyysistä pääsyä laitteisiin. Katso Macin automaattinen rekisteröinti Apple Business Manageriin tai Apple School Manageriin.
Laitteen rekisteröintivastaava (DEM)	Käytä tätä menetelmää suurissa käyttöönotoissa ja silloin, kun organisaatiossasi on useita henkilöitä, jotka voivat auttaa rekisteröinnin määrittämisessä. Henkilö, jolla on laitteen rekisteröintivastaavan (DEM) oikeudet, voi rekisteröidä enintään 1 000 laitetta yhdellä Microsoft Entra tilillä. Tämä menetelmä käyttää Yritysportaali-sovellusta tai Microsoft Intune -sovellusta laitteiden rekisteröintiin. Et voi käyttää DEM-tiliä laitteiden rekisteröintiin automaattisen laiterekisteröinnin kautta. Katso Laitteiden rekisteröinti Intune käyttämällä laitteen rekisteröintivastaavan tiliä.
Suora rekisteröinti	Suora rekisteröinti rekisteröi laitteet, joilla ei ole käyttäjän affiniteettia, joten tämä menetelmä sopii parhaiten laitteille, joita ei ole liitetty yhteen käyttäjään. Tämä menetelmä edellyttää, että sinulla on fyysinen käyttöoikeus Mac-tietokoneisiin, joita olet rekisteröimässä. Katso Direct Enrollment for Macin käyttäminen.

Pyydä käyttäjiä rekisteröimään oma Mac-Intune

Jos yrityksesi haluaa, että ihmiset rekisteröivät omat laitteensa Intune, ohjaa käyttäjät noudattamaan seuraavia vaiheita:

1. Siirry Yritysportaali verkkosivustoon (https://portal.manage.microsoft.com/) ja kirjaudu sisään.

2. Lisää laite Yritysportaali sivuston ohjeiden mukaisesti.

3. Asenna Yritysportaali -sovellus osoitteessa https://aka.ms/EnrollMyMacja noudata sovelluksen ohjeita.

Macin käyttöönoton vahvistaminen

1. Vahvista, että laite on liitetty yritykseesi, käyttämällä seuraavaa Python-komentoa Bashissa:

   mdatp health --field org_id.

2. Jos käytössäsi on macOS 10.15 (Catalina) tai uudempi versio, myönnä Defender for Business suostumus laitteen suojaamiseen. Siirry kohtaan Järjestelmäasetukset>Suojaus & Tietosuoja>Koko>levyn käyttö. Valitse valintaikkunan alareunassa oleva lukituskuvake, jos haluat tehdä muutoksia, ja valitse sitten Microsoft Defender for Business (tai Defender for Endpoint, jos näet niin).

3. Voit varmistaa, että laite on otettu käyttöön, käyttämällä bashissa seuraavaa komentoa:

   mdatp health --field real_time_protection_enabled

Kun laite on rekisteröity Intune, voit lisätä sen laiteryhmään. Lue lisätietoja laiteryhmistä Defender for Business.

Mobiililaitteisiin

Mobiililaitteisiin

Voit käyttää seuraavia menetelmiä mobiililaitteissa, kuten Android- ja iOS-laitteissa:

• Microsoft Defender sovelluksen käyttäminen
• Käytä Microsoft Intune

Microsoft Defender sovelluksen käyttäminen

Mobiiliuhkien puolustusominaisuudet ovat nyt yleisesti Defender for Business asiakkaiden käytettävissä. Näiden ominaisuuksien avulla voit nyt käyttää mobiililaitteita (kuten Android ja iOS) Microsoft Defender -sovelluksella. Tällä menetelmällä käyttäjät lataavat sovelluksen Google Playsta tai Apple App Store, kirjautuvat sisään ja viimeistelevät perehdytysvaiheet.

Tärkeää

Varmista, että kaikki seuraavat vaatimukset täyttyvät ennen mobiililaitteiden käyttöönottoa:

1. Defender for Business valmistelu on valmis. Siirry Microsoft Defender-portaalissa kohtaan Resurssit Laitteet>.
   - Jos näet viestin, jossa lukee: "Odota hetki! Valmistelemme uusia välilyöntejä tiedoillesi ja yhdistämme niitä", Defender for Business ei ole valmistellut. Tämä prosessi tapahtuu nyt, ja sen valmistuminen voi kestää jopa 24 tuntia.
   - Jos näet luettelon laitteista tai sinua kehotetaan käyttämään laitteita, se tarkoittaa, Defender for Business valmistelu on valmis.
2. Käyttäjät ovat ladanneet Microsoft Authenticator -sovelluksen laitteeseensa ja rekisteröineet laitteensa työpaikan tai oppilaitoksen microsoft 365 -tilin avulla.

Laite	Menettely
Androidi	1. Siirry laitteessa Google Play -kauppaan. 2. Lataa ja asenna Microsoft Authenticator -sovellus, jos et ole vielä tehnyt niin. Kirjaudu sisään ja rekisteröi laitteesi Microsoft Authenticator -sovelluksessa. 3. Etsi Microsoft Defender-sovellus Google Play -kaupasta ja asenna se. 4. Avaa Microsoft Defender sovellus, kirjaudu sisään ja suorita perehdytysprosessi loppuun.
iOS	1. Siirry laitteessa Apple App Store. 2. Lataa ja asenna Microsoft Authenticator -sovellus, jos et ole vielä tehnyt niin. Kirjaudu sisään ja rekisteröi laitteesi Microsoft Authenticator -sovelluksessa. 3. Etsi Microsoft Defender-sovellus Apple-App Store. 4. Kirjaudu sisään ja asenna sovellus. 5. Suostuu käyttöehtoihin jatkaakseen. 6. Salli Microsoft Defender sovelluksen määrittää VPN-yhteys ja lisätä VPN-määrityksiä. 7. Valitse, sallitaanko ilmoitukset (kuten ilmoitukset).

Vihje

Kun olet lisännyt mobiililaitteet Microsoft Defender -sovelluksen avulla, jatka tietojenkalastelutestin suorittamiseen laitteessa.

Käytä Microsoft Intune

Jos tilauksesi sisältää Microsoft Intune, voit käyttää sitä mobiililaitteissa, kuten Android- ja iOS/iPadOS-laitteissa. Seuraavista resursseista saat ohjeita näiden laitteiden rekisteröimiseen Intune:

• Android-laitteiden rekisteröinti
• iOS- tai iPadOS-laitteiden rekisteröinti

Kun laite on rekisteröity Intune, voit lisätä sen laiteryhmään. Lue lisätietoja laiteryhmistä Defender for Business.

Palvelimet

Palvelimet

Huomautus

Jos aiot ottaa käyttöön Windows Server tai Linux Serverin esiintymän, tarvitset lisäkäyttöoikeuden, kuten Microsoft Defender for Business servers.

Valitse palvelimen käyttöjärjestelmä:

• Windows Server
• Linux Server

Windows Server

Tärkeää

Varmista, että täytät seuraavat vaatimukset, ennen kuin otat käyttöön Windows Server päätepisteen:

• Sinulla on Microsoft Defender for Business servers käyttöoikeus. (Katso Microsoft Defender for Business servers hankkiminen.)
• Windows Server täytäntöönpanoalue on käytössä. Siirry kohtaan Asetukset>Päätepisteiden määritysten>hallinta>Pakotusalue. Valitse Käytä MDE ottaa suojausmääritykset käyttöön mem-määrityksessä, valitse Windows Server ja valitse sitten Tallenna.

Voit lisätä Windows Server-esiintymän Defender for Business käyttämällä paikallista komentosarjaa.

Windows Server paikallinen komentosarja

1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

2. Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.

3. Valitse käyttöjärjestelmä, kuten Windows Server 1803, 2019 ja 2022, ja valitse sitten Käyttöönottomenetelmä-osiostaPaikallinen komentosarja.

   Jos valitset Windows Server 2012 R2 ja 2016, sinulla on kaksi ladattavaa ja suoritettavaa pakettia: asennuspaketti ja perehdytyspaketti. Asennuspaketti sisältää MSI-tiedoston, joka asentaa Defender for Business agentin. Perehdyttämispaketti sisältää komentosarjan, jonka avulla Windows Server päätepiste voidaan Defender for Business.

4. Valitse Lataa perehdytyspaketti. Suosittelemme, että tallennat käyttöönottopaketin siirrettävään asemaan.

   Jos valitsit Windows Server 2012 R2 ja 2016, valitse myös Lataa asennuspaketti ja tallenna paketti siirrettävään asemaan

5. Pura Windows Server päätepisteessä asennus-/perehdytyspaketin sisältö esimerkiksi Desktop-kansioon. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPLocalOnboardingScript.cmd.

   Jos olet perehdyttämässä Windows Server 2012 R2 tai Windows Server 2016, pura ensin asennuspaketti.

6. Avaa komentokehote järjestelmänvalvojana.

7. Jos olet perehdyttämässä Windows Server 2012R2 tai Windows Server 2016, suorita seuraava komento:

   Msiexec /i md4ws.msi /quiet

   Jos olet perehdyttämässä Windows Server 1803, 2019 tai 2022, ohita tämä vaihe ja siirry vaiheeseen 8.

8. Kirjoita komentosarjatiedoston sijainti. Jos esimerkiksi kopioit tiedoston Desktop-kansioon, kirjoita %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd, ja paina sitten Enter-näppäintä (tai valitse OK).

9. Siirry kohtaan Tunnistustestin suorittaminen Windows Server.

Tunnistustestin suorittaminen Windows Server

Kun olet määrittänut Windows Server päätepisteen Defender for Business, voit suorittaa tunnistustestin varmistaaksesi, että kaikki toimii oikein:

1. Luo Windows Server laitteessa kansio: C:\test-MDATP-test.

2. Avaa komentokehote järjestelmänvalvojana.

3. Suorita Komentokehote-ikkunassa seuraava PowerShell-komento:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Kun komento on suoritettu, komentokehoteikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi ja uusi ilmoitus tulee näkyviin Microsoft Defender portaalissa (https://security.microsoft.com) uudelle perehdytetylle laitteelle noin 10 minuutin kuluessa.

Linux Server

Tärkeää

Varmista, että täytät seuraavat vaatimukset, ennen kuin otat Linux Server -päätepisteen käyttöön:

• Sinulla on Microsoft Defender for Business servers käyttöoikeus. (Katso Microsoft Defender for Business servers hankkiminen.)
• Täytät Linux-Microsoft Defender for Endpoint edellytykset.

Onboard Linux Server -päätepisteet

Voit käyttää seuraavia tapoja Linux Server -esiintymän perehdyttämiseen Defender for Business:

• Paikallinen komentosarja: Katso Microsoft Defender for Endpoint käyttöönotto Linuxissa manuaalisesti.
• Ansible: Katso Ota Microsoft Defender for Endpoint käyttöön Linuxissa Ansiblen avulla.
• Keittiömestari: Katso Ota Defender for Endpoint käyttöön Linuxissa Chefin avulla.
• Nukke: Katso Microsoft Defender for Endpoint käyttöönotto Linuxissa puppetin avulla.

Huomautus

Linux Server -esiintymän perehdyttäminen Defender for Business on sama kuin perehdyttäminen Microsoft Defender for Endpoint Linuxissa.

Tarkastele laitteiden luetteloa

1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

2. Siirry siirtymisruudussa kohtaanAssets-laitteet>. Laitteen varastonäkymä avautuu.

Tietojenkalastelutestin suorittaminen laitteessa

Kun olet lisännyt laitteen, voit suorittaa nopean tietojenkalastelutestin varmistaaksesi, että laite on yhdistetty ja että hälytykset luodaan odotetulla tavalla.

1. Siirry laitteessa osoitteeseen https://smartscreentestratings2.net. Defender for Business tulisi estää kyseinen URL-osoite käyttäjän laitteessa.

2. Organisaation suojaustiimin jäsenenä siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

3. Valitse siirtymisruudussa Tapaukset. Sinun pitäisi nähdä tietoilmoitus, joka ilmaisee, että laite yritti käyttää tietojenkalastelusivustoa.

Seuraavat vaiheet

• Jos sinulla on muita laitteita, valitse välilehti kyseisille laitteille (Windows 10 ja 11, Mac, Palvelimet tai Mobiililaitteet) ja noudata kyseisen välilehden ohjeita.
• Jos olet valmis laitteiden käyttöönottoon, siirry vaiheeseen 6: Suojausasetusten ja -käytäntöjen määrittäminen Defender for Business.