Ansluta dina datorer som inte är Azure-datorer till Microsoft Defender för molnet med Defender för Endpoint
Defender för molnet gör att du kan registrera dina servrar som inte är Azure-servrar direkt genom att distribuera Defender för Endpoint-agenten. Detta ger skydd för både moln- och icke-molntillgångar under ett enda enhetligt erbjudande.
Kommentar
Information om hur du ansluter dina datorer som inte är Azure-datorer via Azure Arc finns i Ansluta dina datorer som inte är Azure-datorer till Microsoft Defender för molnet med Azure Arc.
Med den här inställningen på klientnivå kan du automatiskt och internt registrera alla icke-Azure-servrar som kör Defender för Endpoint till Defender för molnet, utan några extra agentdistributioner. Den här registreringsvägen är perfekt för kunder med blandad serveregendom och hybridserveregendom som vill konsolidera serverskyddet under Defender för servrar.
Tillgänglighet
Aspekt | Details |
---|---|
Versionstillstånd | Allmän tillgänglighet |
Operativsystem som stöds | Alla Windows - och Linux Server-operativsystem som stöds av Defender för Endpoint |
Roller och behörigheter som krävs | För att hantera den här inställningen behöver du Prenumerationsägare (för den valda prenumerationen) och Microsoft Entra-säkerhetsadministratör eller högre behörigheter för klientorganisationen |
Miljöer | Lokala servrar Virtuella datorer med flera moln – begränsat stöd (se avsnittet begränsningar) |
Planer som stöds | Defender för servrar P1 Defender för servrar P2 – begränsade funktioner (se avsnittet begränsningar) |
Hur det fungerar
Direkt onboarding är en sömlös integrering mellan Defender för Endpoint och Defender för molnet som inte kräver extra programvarudistribution på dina servrar. När den är aktiverad visas även dina icke-Azure-serverenheter registrerade i Defender för Endpoint i Defender för molnet, under en angiven Azure-prenumeration som du konfigurerar (förutom deras vanliga representation i Microsoft Defender-portalen). Azure-prenumerationen används för licensiering, fakturering, aviseringar och säkerhetsinsikter, men tillhandahåller inte serverhanteringsfunktioner som Azure Policy, Tillägg eller Gästkonfiguration. Information om hur du aktiverar serverhanteringsfunktioner finns i distributionen av Azure Arc.
Aktivera direkt onboarding
Aktivering av direkt registrering är en anmälningsinställning på klientorganisationsnivå. Det påverkar både befintliga och nya servrar som registrerats i Defender för Endpoint i samma Microsoft Entra-klientorganisation. Kort efter att du har aktiverat den här inställningen visas dina serverenheter under den avsedda prenumerationen. Aviseringar, programvaruinventering och sårbarhetsdata är integrerade med Defender för molnet, på ett liknande sätt som med virtuella Azure-datorer.
Innan du börjar:
- Kontrollera att du har de behörigheter som krävs
- Om du har en licens för Microsoft Defender för Endpoint för servrar i klientorganisationen måste du ange den i Defender för molnet
- Läs avsnittet begränsningar
Aktivera i Defender för molnet-portalen
- Gå till Defender för molnet> Miljöinställningar>Direkt onboarding.
- Växla till På för direktregistrering.
- Välj den prenumeration som du vill använda för servrar som registrerats direkt med Defender för Endpoint.
- Välj Spara.
Nu har du aktiverat direktregistrering i klientorganisationen. När du har aktiverat det för första gången kan det ta upp till 24 timmar att se dina icke-Azure-servrar i din avsedda prenumeration.
Distribuera Defender för Endpoint på dina servrar
Att distribuera Defender för Endpoint-agenten på dina lokala Windows- och Linux-servrar är detsamma oavsett om du använder direkt registrering eller inte. Mer information finns i onboardingguiden för Defender för Endpoint.
Aktuella begränsningar
Plansupport: Direkt registrering ger åtkomst till alla funktioner i Defender for Servers, plan 1. Vissa funktioner i plan 2 kräver dock fortfarande distribution av Azure Monitor-agenten, som endast är tillgänglig med Azure Arc på datorer som inte är Azure-datorer. Om du aktiverar plan 2 för din avsedda prenumeration har datorer som registrerats direkt med Defender för Endpoint åtkomst till alla Defender för servrar Plan 1-funktioner och Defender Vulnerability Management Addon-funktionerna som ingår i plan 2.
Stöd för flera moln: Du kan registrera virtuella datorer direkt i AWS och GCP med hjälp av Defender för Endpoint-agenten. Men om du planerar att ansluta ditt AWS- eller GCP-konto samtidigt till Defender för servrar med hjälp av anslutningsprogram för flera moln rekommenderar vi fortfarande att du distribuerar Azure Arc.
Begränsat stöd för samtidig registrering: För servrar som samtidigt registreras med flera metoder (till exempel direkt onboarding kombinerat med Log Analytics-arbetsytebaserad onboarding) gör Defender för molnet allt för att korrelera dem till en enda enhetsrepresentation. Enheter som använder äldre versioner av Defender för Endpoint kan dock ha vissa begränsningar. I vissa fall kan detta resultera i överdebiteringar. Vi rekommenderar vanligtvis att du använder den senaste agentversionen. För den här begränsningen ska du se till att dina Defender för Endpoint-agentversioner uppfyller eller överskrider dessa lägsta versioner:
Operativsystem Lägsta agentversion Windows 2019 10.8555 Windows 2012 R2, 2016 (modern, enhetlig agent) 10.8560 Linux 30.101.23052.009
Nästa steg
På den här sidan visas hur du lägger till dina datorer som inte är Azure-datorer i Microsoft Defender för molnet. Om du vill övervaka deras status använder du inventeringsverktygen enligt beskrivningen på följande sida: