Udostępnij za pośrednictwem


Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Program Endpoint Protection może ułatwić zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender i monitorowanie ich. Ochrona punktu końcowego w usłudze Microsoft Defender ułatwia przedsiębiorstwom wykrywanie, badanie i reagowanie na zaawansowane ataki na ich sieci. Configuration Manager zasady mogą ułatwić dołączanie i monitorowanie Windows 10 lub nowszych klientów.

Portal oparty na chmurze Ochrona punktu końcowego w usłudze Microsoft Defender jest Centrum zabezpieczeń usługi Microsoft Defender. Dodając i wdrażając plik konfiguracji dołączania klienta, Configuration Manager może monitorować stan wdrożenia i Ochrona punktu końcowego w usłudze Microsoft Defender kondycję agenta. Ochrona punktu końcowego w usłudze Microsoft Defender jest obsługiwana na komputerach z uruchomionym klientem Configuration Manager lub zarządzanych przez Microsoft Intune.

Wymagania wstępne

  • Subskrypcja do Ochrona punktu końcowego w usłudze Microsoft Defender
  • Komputery klienckie z uruchomionym klientem Configuration Manager
  • Klienci korzystający z systemu operacyjnego wymienionego w sekcji obsługiwanych systemów operacyjnych klienta poniżej.
  • Konto użytkownika administracyjnego wymaga roli zabezpieczeń programu Endpoint Protection Manager .

Obsługiwane systemy operacyjne klienta

Następujące systemy operacyjne można dołączyć przy użyciu Configuration Manager:

  • System Windows 11
  • Windows 10, wersja 1709 lub nowsza
  • Windows Server 2025 r.
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server Semi-Annual Channel (SAC), wersja 1803 lub nowsza
  • System Windows Server 2016

Ważna

Systemy operacyjne, które osiągnęły koniec cyklu życia produktu, zwykle nie są obsługiwane w przypadku dołączania, chyba że zostały zarejestrowane w rozszerzonym Aktualizacje zabezpieczeń (program ESU). Aby uzyskać więcej informacji o obsługiwanych systemach operacyjnych i możliwościach Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender.

Instrukcje dołączania do Ochrona punktu końcowego w usłudze Microsoft Defender z Configuration Manager 2207 i nowszymi wersjami

Instrukcje dotyczące aktualizowania informacji o dołączaniu urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Configuration Manager

Dołączanie do Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu wersji Configuration Manager 2207 i nowszych

Różne systemy operacyjne mają różne potrzeby dołączania do Ochrona punktu końcowego w usłudze Microsoft Defender. Urządzenia najwyższego poziomu, takie jak Windows Server wersji 1803, wymagają pliku konfiguracji dołączania. Począwszy od bieżącej gałęzi 2207, w przypadku urządzeń z systemem operacyjnym serwera niższego poziomu można wybrać między klientem Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) (zalecane) lub programem Microsoft Monitoring Agent (MMA) (starsza wersja) w ustawieniach klienta. W przypadku urządzeń Windows 8.1 należy użyć programu Microsoft Monitoring Agent (MMA) (starsza wersja) w ustawieniach klienta.

Zrzut ekranu przedstawiający ustawienia klienta programu Endpoint Protection.

Jeśli zdecydujesz się na korzystanie z programu MMA, musisz dołączyć klucz obszaru roboczego i identyfikator obszaru roboczego . Configuration Manager instaluje również program Microsoft Monitoring Agent (MMA) w razie potrzeby przez dołączone urządzenia, ale nie aktualizuje agenta automatycznie.

Systemy operacyjne najwyższego poziomu obejmują:

  • Windows 10, wersja 1607 i nowsze
  • System Windows 11
  • Windows Server Semi-Annual Channel (SAC), wersja 1803 lub nowsza
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025 r.

Systemy operacyjne niższego poziomu obsługujące klienta MDE obejmują:

  • System Windows Server 2016

Uwaga

Obecnie nowoczesne, ujednolicone Ochrona punktu końcowego w usłudze Microsoft Defender dla Windows Server 2012 R2 & 2016 jest ogólnie dostępne. Configuration Manager wersji 2107 z pakietem zbiorczym aktualizacji obsługuje konfigurację przy użyciu zasad programu Endpoint Protection, w tym zasad utworzonych w centrum administracyjnym Microsoft Intune przy użyciu dołączania dzierżawy. Configuration Manager wersja 2207 obsługuje teraz automatyczne wdrażanie klienta MDE, jeśli wybierzesz opcję użycia za pośrednictwem ustawień klienta. W przypadku starszych obsługiwanych wersji zobacz Scenariusze migracji serwera.

Podczas dołączania urządzeń do Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą Configuration Manager zasady usługi Defender są wdrażane w kolekcji docelowej lub wielu kolekcjach. Czasami kolekcja docelowa zawiera urządzenia z dowolną liczbą obsługiwanych systemów operacyjnych. Instrukcje dotyczące dołączania tych urządzeń różnią się w zależności od tego, czy są one przeznaczone dla kolekcji zawierającej urządzenia z systemami operacyjnymi, które są tylko urządzeniami na wyższym poziomie i obsługujymi MDE Client, lub jeśli kolekcja zawiera również klientów niższego poziomu, które wymagają programu MMA.

Ostrzeżenie

Jeśli kolekcja docelowa zawiera urządzenia niższego poziomu, które wymagają programu MMA, i użyjesz instrukcji dołączania przy użyciu klienta MDE, urządzenia niższego poziomu nie zostaną dołączone. Opcjonalne pola Klucz obszaru roboczego i Identyfikator obszaru roboczego są używane do dołączania urządzeń niższego poziomu, które wymagają programu MMA, ale jeśli nie zostaną uwzględnione, zasady u klientów niższego poziomu, którzy wymagają mma.

Dołączanie urządzeń przy użyciu klienta MDE do Ochrona punktu końcowego w usłudze Microsoft Defender (zalecane)

Klienci najwyższego poziomu wymagają pliku konfiguracji dołączania do dołączania do Ochrona punktu końcowego w usłudze Microsoft Defender. Systemy operacyjne najwyższego poziomu obejmują:

  • System Windows 11
  • Windows 10, wersja 1607 i nowsze
  • Windows Server Semi-Annual Channel (SAC), wersja 1803 i nowsze
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025 r.

Systemy operacyjne niższego poziomu obsługujące klienta MDE obejmują:

  • System Windows Server 2016

Wymagania wstępne

Wymagania wstępne dotyczące Windows Server 2012 R2

Jeśli maszyny zostały w pełni zaktualizowane przy użyciu najnowszego miesięcznego pakietu zbiorczego , nie ma żadnych dodatkowych wymagań wstępnych.

Pakiet instalatora sprawdzi, czy następujące składniki zostały już zainstalowane za pośrednictwem aktualizacji:

Wymagania wstępne dotyczące Windows Server 2016
  • Należy zainstalować aktualizację stosu obsługi (SSU) z 14 września 2021 r. lub nowszą.
  • Należy zainstalować najnowszą aktualizację zbiorczą (LCU) z 20 września 2018 r. lub nowszą. Zaleca się zainstalowanie najnowszej dostępnej jednostki SSU i LCU na serwerze. — Funkcja programu antywirusowego Microsoft Defender musi być włączona/zainstalowana i aktualna. Najnowszą wersję platformy można pobrać i zainstalować przy użyciu Windows Update. Alternatywnie pobierz pakiet aktualizacji ręcznie z katalogu microsoft update lub z programu MMPC.

Pobieranie pliku konfiguracji dołączania dla urządzeń najwyższego poziomu

  1. Przejdź do Centrum zabezpieczeń usługi Microsoft Defender i zaloguj się.
  2. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Dołączanie w obszarze nagłówka Punktu końcowego .
  3. W przypadku systemu operacyjnego wybierz pozycję Windows 10 i 11.
  4. Wybierz pozycję Microsoft Endpoint Configuration Manager bieżącą gałąź i nowsze dla metody wdrażania.
  5. Wybierz pozycję Pobierz pakiet.
  6. Pobierz skompresowany plik archiwum (.zip) i wyodrębnij zawartość.

    Uwaga

    Kroki obejmują pobranie pliku dołączania dla Windows 10 i 11, ale ten plik jest również używany w systemach operacyjnych serwera najwyższego poziomu.

Ważna

  • Plik konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender zawiera informacje poufne, które powinny być zabezpieczone.
  • Jeśli kolekcja docelowa zawiera urządzenia niższego poziomu, które wymagają programu MMA, i użyjesz instrukcji dołączania przy użyciu klienta MDE, urządzenia niższego poziomu nie zostaną dołączone. Opcjonalne pola Klucz obszaru roboczego i Identyfikator obszaru roboczego są używane do dołączania urządzeń niższego poziomu, ale jeśli nie zostaną uwzględnione, zasady u klientów niższego poziomu ułożą się niepowodzeniem.

Dołączanie urządzeń najwyższego poziomu

  1. W konsoli Configuration Manager przejdź do pozycjiUstawienia klienta administracyjnego>.
  2. Utwórz niestandardowe ustawienia urządzenia klienta lub przejdź do właściwości wymaganego ustawienia klienta i wybierz pozycję Endpoint Protection
  3. W przypadku ustawienia Ochrona punktu końcowego w usłudze Microsoft Defender Client on Windows Server 2012 R2 and Windows Server 2016 (Klient Ochrona punktu końcowego w usłudze Microsoft Defender w Windows Server 2012 R2 i Windows Server 2016) wartość domyślna jest ustawiana jako Microsoft Monitoring Agent (starsza wersja), na którą należy zmienić wartośćklient MDE (zalecane). Zrzut ekranu przedstawiający ustawienia klienta programu Endpoint Protection z różnymi opcjami dla urządzeń z systemem operacyjnym serwera niższego poziomu.
  4. W konsoli Configuration Manager przejdź do pozycji Zasoby i zgodność>programu Endpoint Protection>Microsoft Defender Zasady usługi ATP i wybierz pozycję Utwórz zasady Microsoft Defender ATP. Zostanie otwarty kreator zasad.
  5. Wpisz nazwę i opis zasad Ochrona punktu końcowego w usłudze Microsoft Defender i wybierz pozycję Dołączanie.
  6. Przejdź do pliku konfiguracji wyodrębnianego z pobranego pliku .zip.
  7. Określ przykłady plików, które są zbierane i udostępniane z zarządzanych urządzeń do analizy.
    • Brak
    • Wszystkie typy plików
  8. Przejrzyj podsumowanie i ukończ pracę kreatora.
  9. Kliknij prawym przyciskiem myszy utworzone zasady, a następnie wybierz pozycję Wdróż, aby skierować zasady Ochrona punktu końcowego w usłudze Microsoft Defender do klientów.

Dołączanie urządzeń z klientem MDE i programem MMA do Ochrona punktu końcowego w usłudze Microsoft Defender

Możesz dołączyć urządzenia z dowolnym z obsługiwanych systemów operacyjnych do Ochrona punktu końcowego w usłudze Microsoft Defender, podając plik konfiguracji, klucz obszaru roboczego i identyfikator obszaru roboczego do Configuration Manager.

Pobieranie pliku konfiguracji, identyfikatora obszaru roboczego i klucza obszaru roboczego

  1. Przejdź do usługi online Ochrona punktu końcowego w usłudze Microsoft Defender i zaloguj się.

  2. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Dołączanie w obszarze nagłówka Punkty końcowe .

  3. W przypadku systemu operacyjnego wybierz pozycję Windows 10 i 11.

  4. Wybierz pozycję Microsoft Endpoint Configuration Manager bieżącą gałąź i nowsze dla metody wdrażania.

  5. Wybierz pozycję Pobierz pakiet.

    Zrzut ekranu przedstawiający pobieranie pliku konfiguracji dołączania.

  6. Pobierz skompresowany plik archiwum (.zip) i wyodrębnij zawartość.

  7. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Dołączanie w obszarze nagłówka Zarządzanie urządzeniami .

  8. W przypadku systemu operacyjnego wybierz z listy windows 7 z dodatkiem SP1 i 8.1 lub Windows Server 2008 R2 Sp1, 2012 R2 i 2016.

    • Klucz obszaru roboczego i identyfikator obszaru roboczego będą takie same niezależnie od wybranej opcji.
  9. Skopiuj wartości klucza obszaru roboczego i identyfikatora obszaru roboczego z sekcji Konfigurowanie połączenia .

    Ważna

    Plik konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender zawiera informacje poufne, które powinny być zabezpieczone.

Dołączanie urządzeń

  1. W konsoli Configuration Manager przejdź do pozycjiUstawienia klienta administracyjnego>.

  2. Utwórz niestandardowe ustawienia urządzenia klienta lub przejdź do właściwości wymaganego ustawienia klienta i wybierz pozycję Endpoint Protection

  3. W przypadku ustawienia Ochrona punktu końcowego w usłudze Microsoft Defender Client on Windows Server 2012 R2 i Windows Server 2016 upewnij się, że wartość jest ustawiona jako Microsoft Monitoring Agent (starsza wersja).

  4. W konsoli Configuration Manager przejdź do pozycji Zasoby i zgodność>programu Endpoint Protection>Microsoft Defender zasady usługi ATP.

  5. Wybierz pozycję Utwórz zasady Microsoft Defender atp, aby otworzyć kreatora zasad.

  6. Wpisz nazwę i opis zasad Ochrona punktu końcowego w usłudze Microsoft Defender i wybierz pozycję Dołączanie.

  7. Przejdź do pliku konfiguracji wyodrębnianego z pobranego pliku .zip.

  8. Podaj klucz obszaru roboczego i identyfikator obszaru roboczego , a następnie wybierz pozycję Dalej.

    • Sprawdź, czy klucz obszaru roboczego i identyfikator obszaru roboczego znajdują się w odpowiednich polach. Kolejność w konsoli może różnić się od kolejności w Ochrona punktu końcowego w usłudze Microsoft Defender usługi online. Zrzut ekranu przedstawiający kreatora konfiguracji zasad Ochrona punktu końcowego w usłudze Microsoft Defender.
  9. Określ przykłady plików, które są zbierane i udostępniane z zarządzanych urządzeń do analizy.

    • Brak
    • Wszystkie typy plików
  10. Przejrzyj podsumowanie i ukończ pracę kreatora.

  11. Kliknij prawym przyciskiem myszy utworzone zasady, a następnie wybierz pozycję Wdróż, aby skierować zasady Ochrona punktu końcowego w usłudze Microsoft Defender do klientów.

Monitorowanie

  1. W konsoli Configuration Manager przejdź do pozycji Monitorowanie>zabezpieczeń, a następnie wybierz pozycję Microsoft Defender ATP.

  2. Przejrzyj pulpit nawigacyjny Ochrona punktu końcowego w usłudze Microsoft Defender.

    • Microsoft Defender stan dołączania agenta usługi ATP: liczba i procent kwalifikujących się zarządzanych komputerów klienckich z dołączonymi zasadami aktywnego Ochrona punktu końcowego w usłudze Microsoft Defender

    • Microsoft Defender kondycja agenta atp: procent klientów komputerów zgłaszających stan swojego agenta Ochrona punktu końcowego w usłudze Microsoft Defender

      • W dobrej kondycji — prawidłowe działanie

      • Nieaktywne — brak danych wysyłanych do usługi w okresie

      • Stan agenta — usługa systemowa agenta w systemie Windows nie jest uruchomiona

      • Nie dołączono — zasady zostały zastosowane, ale agent nie zgłosił dołączania zasad

Tworzenie pliku konfiguracji odłączania

  1. Zaloguj się do Centrum zabezpieczeń usługi Microsoft Defender.

  2. Wybierz pozycję Ustawienia, a następnie wybierz pozycję Odłączanie w obszarze nagłówka Punktu końcowego .

  3. Wybierz Windows 10 i 11 dla systemu operacyjnego i punktu końcowego firmy Microsoft Configuration Manager bieżącej gałęzi i nowszych dla metody wdrażania.

    • Użycie opcji Windows 10 i 11 gwarantuje, że wszystkie urządzenia w kolekcji są wyłączone, a mma jest odinstalowywany w razie potrzeby.
  4. Pobierz skompresowany plik archiwum (.zip) i wyodrębnij zawartość. Pliki odłączania są ważne przez 30 dni.

  5. W konsoli Configuration Manager przejdź do pozycji Zasoby i zgodność>programu Endpoint Protection>Microsoft Defender Zasady usługi ATP i wybierz pozycję Utwórz zasady Microsoft Defender ATP. Zostanie otwarty kreator zasad.

  6. Wpisz nazwę i opis zasad Ochrona punktu końcowego w usłudze Microsoft Defender i wybierz pozycję Odłączanie.

  7. Przejdź do pliku konfiguracji wyodrębnianego z pobranego pliku .zip.

  8. Przejrzyj podsumowanie i ukończ pracę kreatora.

Wybierz pozycję Wdróż, aby kierować zasady Ochrona punktu końcowego w usłudze Microsoft Defender do klientów.

Ważna

Pliki konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender zawierają poufne informacje, które powinny być zabezpieczone.

Aktualizowanie informacji o dołączaniu dla istniejących urządzeń

Organizacje mogą wymagać zaktualizowania informacji o dołączaniu na urządzeniu za pośrednictwem Microsoft Configuration Manager.

Może to być konieczne ze względu na zmianę ładunku dołączania dla Ochrona punktu końcowego w usłudze Microsoft Defender lub gdy jest ona kierowana przez pomoc techniczną firmy Microsoft.

Zaktualizowanie informacji o dołączaniu spowoduje, że urządzenie zacznie korzystać z nowego ładunku dołączania przy następnym ponownym uruchomieniu.

Ten proces powoduje naruszenie zabezpieczeń akcji w celu zaktualizowania istniejących zasad dołączania i wykonanie jednorazowej akcji na wszystkich istniejących urządzeniach w celu zaktualizowania ładunku dołączania. Użyj skryptu dołączania zasady grupy, aby jednorazowo podnieść poziom urządzeń ze starego ładunku do nowego ładunku.

Uwaga

Te informacje nie muszą przenosić urządzenia między dzierżawami bez pełnego odłączania urządzenia od oryginalnej dzierżawy. Aby uzyskać opcje migrowania urządzeń między organizacjami Ochrona punktu końcowego w usłudze Microsoft Defender, skontaktuj się z pomoc techniczna firmy Microsoft.

Weryfikowanie nowego ładunku dołączania

  1. Pobierz pakiet dołączania zasady grupy z portalu Ochrona punktu końcowego w usłudze Microsoft Defender.

  2. Tworzenie kolekcji na potrzeby weryfikacji nowego ładunku dołączania

  3. Wyklucz tę kolekcję z istniejącej kolekcji Ochrona punktu końcowego w usłudze Microsoft Defender przeznaczonej dla ładunku dołączania.

  4. Wdróż skrypt dołączania zasady grupy do kolekcji testów.

  5. Sprawdź, czy urządzenia korzystają z nowego ładunku dołączania.

Migrowanie do nowego ładunku dołączania

  1. Pobierz pakiet dołączania Microsoft Configuration Manager z portalu Ochrona punktu końcowego w usłudze Microsoft Defender.

  2. Zaktualizuj istniejące zasady dołączania Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu nowego ładunku dołączania.

  3. Wdróż skrypt z obszaru Validate the new onboarding payload to the existing target collection for the Ochrona punktu końcowego w usłudze Microsoft Defender onboarding policy (Wdróż nowy ładunek dołączania do istniejącej kolekcji docelowej dla zasad dołączania Ochrona punktu końcowego w usłudze Microsoft Defender).

  4. Sprawdź, czy urządzenia korzystają z nowego ładunku dołączania i pomyślnie zużywają ładunek ze skryptu

Uwaga

Po przeprowadzeniu migracji wszystkich urządzeń można usunąć kolekcje skryptów i walidacji ze środowiska przy użyciu zasad dołączania w przyszłości.

Następne kroki