Zarządzanie ustawieniami subskrypcji Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach klienckich

W usłudze Defender for Endpoint scenariusz licencjonowania mieszanego to sytuacja, w której organizacja używa kombinacji licencji Defender for Endpoint Plan 1 i Plan 2. W poniższej tabeli opisano przykłady scenariuszy licencjonowania mieszanego:

Scenariusz	Opis
Dzierżawa mieszana	Użyj różnych zestawów możliwości dla grup użytkowników i ich urządzeń. Na przykład: — Defender for Endpoint Plan 1 i Defender for Endpoint Plan 2 - Microsoft 365 E3 i Microsoft 365 E5
Wersja próbna mieszana	Wypróbuj subskrypcję na poziomie Premium dla niektórych użytkowników. Na przykład: — Defender for Endpoint Plan 1 (zakupiony dla wszystkich użytkowników) i Defender for Endpoint Plan 2 (subskrypcja wersji próbnej została uruchomiona dla niektórych użytkowników) — Microsoft 365 E3 (zakupione dla wszystkich użytkowników) i Microsoft 365 E5 (dla niektórych użytkowników została uruchomiona subskrypcja próbna)
Uaktualnienia etapowe	Uaktualnianie licencji użytkowników w fazach. Na przykład: — Przenoszenie grup użytkowników z usługi Defender for Endpoint Plan 1 do planu 2 - Przenoszenie grup użytkowników z Microsoft 365 E3 do E5

Do niedawna scenariusze licencjonowania mieszanego nie były obsługiwane; W przypadku wielu subskrypcji najwyższa funkcjonalna subskrypcja miałaby pierwszeństwo przed dzierżawą. Teraz możesz zarządzać ustawieniami subskrypcji, aby uwzględnić scenariusze licencjonowania mieszanego na urządzeniach klienckich. Te możliwości umożliwiają:

• Ustaw dzierżawę na tryb mieszany i otaguj urządzenia , aby określić, które urządzenia klienckie będą otrzymywać funkcje i możliwości z każdego planu (nazywamy tę opcję trybem mieszanym); LUB,
• Korzystaj z funkcji i możliwości z jednego planu na wszystkich urządzeniach klienckich.

Możesz również użyć nowo dodanej wersji raportu użycia licencji, aby śledzić stan.

Uwaga

Jeśli używasz Microsoft Defender dla Firm i chcesz przełączyć się na usługę Defender for Endpoint Plan 2, skontaktuj się z pomocą techniczną. Aby uzyskać więcej informacji, zobacz Zmienianie subskrypcji zabezpieczeń punktu końcowego.

Korzystanie z trybu mieszanego

Ustawianie dzierżawy na tryb mieszany i oznaczanie urządzeń

Ważna

• Ustawienia trybu mieszanego mają zastosowanie tylko do punktów końcowych klienta. Tagowanie urządzeń serwera nie spowoduje zmiany stanu subskrypcji. Wszystkie urządzenia serwera z systemem Windows Server lub Linux powinny mieć odpowiednie licencje, takie jak Defender for Servers. Zobacz Opcje dołączania serwerów.
• Pamiętaj, aby postępować zgodnie z procedurami opisanymi w tym artykule, aby wypróbować scenariusze licencji mieszanej w środowisku. Przypisywanie licencji użytkowników w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com) nie powoduje ustawienia dzierżawy na tryb mieszany.
• Należy mieć aktywną wersję próbną lub płatne licencje zarówno dla usługi Defender for Endpoint Plan 1, jak i Planu 2.
• Aby uzyskać dostęp do informacji o licencji, musisz mieć przypisaną jedną z następujących ról Tożsamość Microsoft Entra:
  • Administrator zabezpieczeń
  • Administrator licencji i usługa Defender dla administratora punktu końcowego

1. Jako administrator przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

2. Przejdź do pozycji Ustawienia>Licencje>punktów końcowych. Zostanie otwarty raport użycia i zostanie wyświetlony informacje o licencjach usługi Defender for Endpoint w organizacji.

3. W obszarze Stan subskrypcji wybierz pozycję Zarządzaj ustawieniami subskrypcji.

   Uwaga

   Jeśli nie widzisz pozycji Zarządzaj ustawieniami subskrypcji, spełniony jest co najmniej jeden z następujących warunków:

   • Masz usługę Defender for Endpoint Plan 1 lub Plan 2 (ale nie oba); lub
   • Możliwości licencji mieszanej nie zostały jeszcze wdrożone w dzierżawie.

4. Zostanie otwarte okno wysuwane Ustawienia subskrypcji . Wybierz opcję używania usługi Defender dla punktów końcowych plan 1 i plan 2. (Żadne zmiany nie zostaną wprowadzone, dopóki urządzenia nie zostaną oznaczone zgodnie z następnym krokiem).

5. Otaguj urządzenia, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2. Urządzenia można oznaczyć ręcznie lub przy użyciu reguły dynamicznej. Dowiedz się więcej o tagowaniu urządzeń.

   Metoda	Szczegóły
   Ręczne oznaczanie urządzeń tagami	Aby ręcznie otagować urządzenia, utwórz tag o nazwie License MDE P1 i zastosuj go do urządzeń. Aby uzyskać pomoc dotyczącą tego kroku, zobacz Tworzenie tagów urządzeń i zarządzanie nimi. Należy pamiętać, że urządzenia oznaczone License MDE P1 tagiem przy użyciu metody klucza rejestru nie otrzymają obniżonej funkcjonalności. Jeśli chcesz tagować urządzenia przy użyciu metody klucza rejestru, użyj reguły dynamicznej zamiast ręcznego tagowania.
   Automatyczne tagowanie urządzeń przy użyciu reguły dynamicznej	Funkcja reguł dynamicznych jest nowa w scenariuszach z licencjami mieszanymi. Umożliwia zastosowanie dynamicznego i szczegółowego poziomu kontroli nad sposobem zarządzania urządzeniami. Aby użyć reguły dynamicznej, należy określić zestaw kryteriów na podstawie nazwy urządzenia, domeny, platformy systemu operacyjnego i/lub tagów urządzeń. Urządzenia spełniające określone kryteria otrzymają możliwości usługi Defender for Endpoint Plan 1 lub Plan 2 zgodnie z regułą. Podczas definiowania kryteriów można użyć następujących operatorów warunków: - Equals / Not equals - Starts with - Contains / Does not contain W polu Nazwa urządzenia możesz użyć tekstu o dowolnej formie. W obszarze Domena wybierz z listy domen. W przypadku platformy systemu operacyjnego wybierz z listy systemów operacyjnych. W polu Tag użyj opcji tekstowej dowolnej formie. Wpisz wartość tagu odpowiadającą urządzeniom, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2. Zobacz przykład w temacie Więcej szczegółów na temat tagowania urządzeń.

   Tagi urządzeń są widoczne w widoku Spis urządzeń i w interfejsach API punktu końcowego usługi Defender.

   Uwaga

   Dynamicznie dodane tagi usługi Defender for Endpoint P1 nie są obecnie filtrowane w widoku spisu urządzeń.

6. Zapisz regułę i poczekaj do trzech (3) godzin na zastosowanie tagów. Następnie przejdź do pozycji Sprawdź, czy urządzenie otrzymuje tylko funkcje usługi Defender for Endpoint Plan 1.

Więcej szczegółów na temat tagowania urządzeń

Jak opisano w blogu społeczności technicznej: Jak efektywnie używać tagowania, tagowanie urządzeń zapewnia szczegółową kontrolę nad urządzeniami. Tagi urządzeń umożliwiają:

• Wyświetl określone urządzenia poszczególnym użytkownikom w portalu Microsoft Defender, aby widzieli tylko te urządzenia, za które są odpowiedzialni.
• Dołączanie lub wykluczanie urządzeń z określonych zasad zabezpieczeń.
• Określ, które urządzenia powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2.

Załóżmy na przykład, że chcesz użyć tagu o nazwie VIP dla wszystkich urządzeń, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 2. Oto, co chcesz zrobić:

1. Utwórz tag urządzenia o nazwie VIPi zastosuj go do wszystkich urządzeń, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 2. Użyj jednej z następujących metod, aby utworzyć tag urządzenia:

   • Dodaj tagi urządzeń przy użyciu portalu.
   • Dodaj tagi urządzeń, ustawiając wartość klucza rejestru.
   • Dodaj lub usuń tagi maszyny przy użyciu interfejsu API usługi Defender for Endpoint.
   • Dodaj tagi urządzeń, tworząc profil niestandardowy w Microsoft Intune.

2. Skonfiguruj regułę dynamiczną przy użyciu operatora Tag Does not contain VIPwarunku . W takim przypadku wszystkie urządzenia, które nie mają tagu VIPLicense MDE P1 , otrzymają tag i możliwości usługi Defender for Endpoint Plan 1.

Korzystanie z jednego planu

Korzystanie z funkcji i możliwości z jednego planu na wszystkich urządzeniach

Ważna

Aby uzyskać dostęp do informacji o licencji, musisz mieć przypisaną jedną z następujących ról Tożsamość Microsoft Entra:

• Administrator zabezpieczeń
• Administrator licencji i usługa Defender dla administratora punktu końcowego

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się jako administrator zabezpieczeń.

2. Przejdź do pozycji Ustawienia>Licencje>punktów końcowych.

3. W obszarze Stan subskrypcji wybierz pozycję Zarządzaj ustawieniami subskrypcji.

   Uwaga

   Jeśli nie widzisz pozycji Zarządzaj ustawieniami subskrypcji, spełniony jest co najmniej jeden z następujących warunków:

   • Masz usługę Defender for Endpoint Plan 1 lub Plan 2 (ale nie oba); lub
   • Możliwości licencji mieszanej nie zostały jeszcze wdrożone w dzierżawie.

4. Zostanie otwarte okno wysuwane Ustawienia subskrypcji . Wybierz jeden plan dla wszystkich użytkowników i urządzeń, a następnie wybierz pozycję Gotowe. Zastosowanie zmian może potrwać do trzech godzin.

   Jeśli zdecydujesz się zastosować usługę Defender for Endpoint Plan 1 do wszystkich urządzeń, przejdź do pozycji Sprawdź, czy urządzenia otrzymują tylko możliwości usługi Defender for Endpoint Plan 1.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Sprawdź, czy urządzenie odbiera tylko funkcje usługi Defender for Endpoint Plan 1

Po przypisaniu funkcji usługi Defender for Endpoint Plan 1 do niektórych lub wszystkich urządzeń możesz sprawdzić, czy poszczególne urządzenia odbierają te możliwości.

1. W portalu Microsoft Defender (https://security.microsoft.com) przejdź do pozycji Urządzenia zasobów>.

2. Wybierz urządzenie oznaczone tagiem License MDE P1. Powinno zostać wyświetlone, że do urządzenia jest przypisany plan 1 usługi Defender for Endpoint.

Uwaga

Urządzenia z przypisanymi możliwościami usługi Defender for Endpoint Plan 1 nie mają żadnych luk w zabezpieczeniach ani zaleceń dotyczących zabezpieczeń.

Przeglądanie użycia licencji

Raport użycia licencji jest szacowany na podstawie działań logowania na urządzeniu. Licencje usługi Defender for Endpoint Plan 2 są na użytkownika, a każdy użytkownik może mieć maksymalnie pięć równoczesnych, dołączonych urządzeń. Aby dowiedzieć się więcej na temat postanowień licencyjnych, zobacz Licencjonowanie firmy Microsoft.

Aby zmniejszyć obciążenie związane z zarządzaniem, nie ma potrzeby mapowania i przypisywania urządzenia do użytkownika. Zamiast tego raport licencji zawiera szacowanie wykorzystania, które jest obliczane na podstawie użycia urządzenia widocznego w całej organizacji. Raport użycia może potrwać do jednego dnia, aby odzwierciedlić aktywne użycie urządzeń.

Ważna

Aby uzyskać dostęp do informacji o licencji, musisz mieć przypisaną jedną z następujących ról Tożsamość Microsoft Entra:

• Administrator zabezpieczeń
• Administrator licencji i usługa Defender dla administratora punktu końcowego

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

2. Wybierz pozycję Ustawienia>Licencje>punktów końcowych.

3. Przejrzyj dostępne i przypisane licencje. Obliczenia są oparte na wykrytych użytkownikach, którzy uzyskiwali dostęp do urządzeń dołączonych do usługi Defender for Endpoint.

Więcej zasobów

• Licencjonowanie i postanowienia dotyczące produktów dla subskrypcji platformy Microsoft 365.
• Jak skontaktować się z pomocą techniczną dotyczącą usługi Defender for Endpoint.
• Wprowadzenie do usługi Microsoft Security (oferty wersji próbnej)
• Ochrona punktu końcowego w usłudze Microsoft Defender
• Microsoft Defender dla Firm (ochrona punktów końcowych dla małych i średnich firm)

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.