Microsoft Defender for Endpoint

适用于: Configuration Manager(current branch)

Endpoint Protection 可帮助管理和监视Microsoft Defender for Endpoint。 Microsoft Defender for Endpoint可帮助企业检测、调查和响应对其网络上的高级攻击。 Configuration Manager策略可以帮助你载入和监视Windows 10或更高版本的客户端。

Microsoft Defender 安全中心Microsoft Defender for Endpoint基于云的门户。 通过添加和部署客户端载入配置文件,Configuration Manager可以监视部署状态和Microsoft Defender for Endpoint代理运行状况。 运行 Configuration Manager 客户端或由 Microsoft Intune 管理的电脑上支持Microsoft Defender for Endpoint。

先决条件

  • 订阅Microsoft Defender for Endpoint
  • 运行 Configuration Manager 客户端的客户端计算机
  • 使用下面 支持的客户端操作系统 部分中列出的 OS 的客户端。
  • 管理用户帐户需要 Endpoint Protection Manager 安全角色。

支持的客户端操作系统

可以使用 Configuration Manager 加入以下操作系统:

  • Windows 11
  • Windows 10版本 1709 或更高版本
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server Semi-Annual 通道 (SAC) 版本 1803 或更高版本
  • Windows Server 2016
  • Windows Server 2012 R2

重要

通常不支持已结束产品生命周期的操作系统加入,除非它们已注册到扩展安全汇报 (ESU 计划) 。 有关Microsoft Defender for Endpoint支持的操作系统和功能的详细信息,请参阅Microsoft Defender for Endpoint的最低要求

使用 Configuration Manager 2207 及更高版本载入Microsoft Defender for Endpoint的说明

使用Configuration Manager更新Microsoft Defender for Endpoint设备的载入信息的说明

使用 Configuration Manager 2207 及更高版本载入Microsoft Defender for Endpoint

不同的操作系统对加入Microsoft Defender for Endpoint有不同的需求。 上层设备(如 Windows Server 版本 1803)需要加入配置文件。 从 Current Branch 2207 开始,对于下层服务器操作系统设备,可以选择Microsoft Defender for Endpoint (MDE) 客户端 (推荐的) 或Microsoft监视代理 (MMA) (客户端设置中的旧) 。 对于Windows 8.1设备,需要在“客户端设置”中使用 Microsoft Monitoring Agent (MMA) (旧版) 。

Endpoint Protection 的客户端设置的屏幕截图。

如果选择使用 MMA,则需要 工作区密钥工作区 ID 才能加入。 Configuration Manager还会在载入设备需要时安装Microsoft监视代理 (MMA) ,但它不会自动更新代理。

上层操作系统包括:

  • Windows 10版本 1607 及更高版本
  • Windows 11
  • Windows Server Semi-Annual 通道 (SAC) 版本 1803 或更高版本
  • Windows Server 2019
  • Windows Server 2022

支持客户端MDE下层操作系统包括:

  • Windows Server 2012 R2
  • Windows Server 2016

需要 MMA 代理的下层操作系统:

  • Windows 8.1

注意

目前,适用于 Windows Server 2012 R2 & 2016 的新式统一Microsoft Defender for Endpoint已正式发布。 具有更新汇总的 Configuration Manager版本 2107 支持使用 Endpoint Protection 策略进行配置,包括使用租户附加在 Microsoft Intune 管理中心中创建的策略。 Configuration Manager版本 2207 现在支持自动部署 MDE 客户端(如果选择通过客户端设置使用)。 有关较旧的受支持版本,请参阅 服务器迁移方案

使用 Configuration Manager 将设备载入到Microsoft Defender for Endpoint时,可将 Defender 策略部署到目标集合或多个集合。 有时,目标集合包含运行任意数量的受支持操作系统的设备。 载入这些设备的说明因你面向的集合包含仅具有上层操作系统的设备和支持 MDE 客户端的设备,或者该集合还包括需要 MMA 的下层客户端而有所不同。

警告

如果目标集合包含需要 MMA 的下层设备,并且你使用使用 MDE 客户端加入的说明,则不会载入下层设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入需要 MMA 的下层设备,但如果不包括它们,则策略将在需要 MMA 的下层客户端上失败。

使用 MDE 客户端载入设备以Microsoft Defender for Endpoint (推荐)

上层客户端需要载入配置文件才能加入到Microsoft Defender for Endpoint。 上层操作系统包括:

  • Windows 11
  • Windows 10版本 1607 及更高版本
  • Windows Server Semi-Annual 通道 (SAC) 版本 1803 及更高版本
  • Windows Server 2019
  • Windows Server 2022

支持客户端MDE下层操作系统包括:

  • Windows Server 2012 R2
  • Windows Server 2016

先决条件

Windows Server 2012 R2 的先决条件

如果使用最新的 月度汇总 包完全更新了计算机,则 没有 其他先决条件。

如果已通过更新安装了以下组件,则安装程序包将检查:

Windows Server 2016的先决条件
  • 必须安装 2021 年 9 月 14 日或更高版本的服务堆栈更新 (SSU) 。
  • 必须安装 2018 年 9 月 20 日或更高版本起的最新累积更新 (LCU) 。 建议在服务器上安装最新的可用 SSU 和 LCU。 - 必须启用/安装Microsoft Defender防病毒功能并且是最新的。 可以使用 Windows 更新 下载并安装最新的平台版本。 或者,从Microsoft更新目录或 MMPC 手动下载更新包。

获取上层设备的载入配置文件

  1. 转到Microsoft Defender 安全中心并登录。
  2. 选择“设置”,然后在“终结点”标题下选择“载入”。
  3. 对于操作系统,请选择“Windows 10”和“11”。
  4. 对于部署方法,请选择Microsoft终结点Configuration Manager当前分支及更高版本
  5. 选择 “下载包”。
  6. 下载压缩的存档 (.zip) 文件并提取内容。

    注意

    这些步骤让你下载 Windows 10 和 11 的载入文件,但此文件也用于高级服务器操作系统。

重要

  • Microsoft Defender for Endpoint配置文件包含应保持安全的敏感信息。
  • 如果目标集合包含需要 MMA 的下层设备,并且你使用使用 MDE 客户端加入的说明,则不会载入下层设备。 可选的 “工作区密钥”“工作区 ID” 字段用于载入下层设备,但如果不包括它们,则策略将在下层客户端上失败。

载入上层设备

  1. 在Configuration Manager控制台中,导航到“管理>客户端设置”。
  2. 创建自定义客户端设备设置或转到所需客户端设置的属性,然后选择 Endpoint Protection
  3. 对于 Microsoft Defender for Endpoint 客户端Windows Server 2012 R2 和 Windows Server 2016 设置,默认值设置为 Microsoft 监视代理 (旧) ,需要将其更改为MDE客户端 (建议) Endpoint Protection 的客户端设置的屏幕截图,其中显示了下层服务器操作系统设备的不同选项。
  4. 在Configuration Manager控制台中,导航到“资产和符合性>终结点保护>Microsoft Defender ATP 策略”,然后选择“创建Microsoft Defender ATP 策略”。 将打开策略向导。
  5. 键入Microsoft Defender for Endpoint策略的“名称和说明”,然后选择“载入”。
  6. 浏览 到从下载的 .zip 文件中提取的配置文件。
  7. 指定从托管设备收集和共享的文件示例以供分析。
    • 所有文件类型
  8. 查看摘要并完成向导。
  9. 右键单击创建的策略,然后选择“部署”,将Microsoft Defender for Endpoint策略定向到客户端。

将具有 MDE 客户端和 MMA 的设备加入到Microsoft Defender for Endpoint

可以通过向Configuration Manager提供配置文件、工作区密钥工作区 ID,将运行任何受支持的操作系统的设备加入到Microsoft Defender for Endpoint。

获取配置文件、工作区 ID 和工作区密钥

  1. 转到Microsoft Defender for Endpoint联机服务并登录。

  2. 选择“设置”,然后在“终结点”标题下选择“载入”。

  3. 对于操作系统,请选择“Windows 10”和“11”。

  4. 对于部署方法,请选择Microsoft终结点Configuration Manager当前分支及更高版本

  5. 选择 “下载包”。

    载入配置文件下载的屏幕截图。

  6. 下载压缩的存档 (.zip) 文件并提取内容。

  7. 选择“设置”,然后在“设备管理”标题下选择“载入”。

  8. 对于操作系统,请从列表中选择 Windows 7 SP1 和 8.1Windows Server 2008 R2 Sp1、2012 R2 和 2016

    • 无论选择哪个选项, 工作区密钥工作区 ID 都将相同。
  9. “配置连接”部分复制“工作区密钥”和“工作区 ID”的值。

    重要

    Microsoft Defender for Endpoint配置文件包含应保持安全的敏感信息。

载入设备

  1. 在Configuration Manager控制台中,导航到“管理>客户端设置”。

  2. 创建自定义客户端设备设置或转到所需客户端设置的属性,然后选择 Endpoint Protection

  3. 对于 Windows Server 2012 R2 上的 Microsoft Defender for Endpoint 客户端和Windows Server 2016设置,请确保将值设置为 Microsoft Monitoring Agent (旧版)

  4. 在Configuration Manager控制台中,导航到“资产和符合性>终结点保护>Microsoft Defender ATP 策略”。

  5. 选择“创建Microsoft Defender ATP 策略”以打开策略向导。

  6. 键入Microsoft Defender for Endpoint策略的“名称和说明”,然后选择“载入”。

  7. 浏览 到从下载的 .zip 文件中提取的配置文件。

  8. 提供 工作区密钥工作区 ID, 然后选择“ 下一步”。

    • 验证 工作区密钥工作区 ID 是否位于正确的字段中。 控制台中的顺序可能与联机服务Microsoft Defender for Endpoint的顺序不同。 Microsoft Defender for Endpoint策略配置向导的屏幕截图。
  9. 指定从托管设备收集和共享的文件示例以供分析。

    • 所有文件类型
  10. 查看摘要并完成向导。

  11. 右键单击创建的策略,然后选择“部署”,将Microsoft Defender for Endpoint策略定向到客户端。

监视

  1. 在Configuration Manager控制台中,导航“监视>安全性”,然后选择“Microsoft Defender ATP”。

  2. 查看Microsoft Defender for Endpoint 仪表板。

    • Microsoft Defender ATP 代理载入状态:载入了活动Microsoft Defender for Endpoint策略的合格托管客户端计算机的数量和百分比

    • Microsoft Defender ATP 代理运行状况:报告其Microsoft Defender for Endpoint代理状态的计算机客户端的百分比

      • 正常 - 正常工作

      • 非活动 - 在时间段内未发送到服务的数据

      • 代理状态 - Windows 中代理的系统服务未运行

      • 未载入 - 策略已应用,但代理未报告加入策略

创建卸载配置文件

  1. 登录到Microsoft Defender 安全中心

  2. 选择“设置”,然后在“终结点”标题下选择“卸载”。

  3. 为操作系统选择Windows 10和 11,为部署方法Configuration Manager当前分支和更高版本Microsoft终结点

    • 使用 Windows 10 和 11 选项可确保集合中的所有设备都已登出,并在需要时卸载 MMA。
  4. 下载压缩的存档 (.zip) 文件并提取内容。 卸载文件的有效期为 30 天。

  5. 在Configuration Manager控制台中,导航到“资产和符合性>终结点保护>Microsoft Defender ATP 策略”,然后选择“创建Microsoft Defender ATP 策略”。 将打开策略向导。

  6. 键入Microsoft Defender for Endpoint策略的“名称”和“说明”,然后选择“卸载”。

  7. 浏览 到从下载的 .zip 文件中提取的配置文件。

  8. 查看摘要并完成向导。

选择“部署”,将Microsoft Defender for Endpoint策略定向到客户端。

重要

Microsoft Defender for Endpoint配置文件包含应保持安全的敏感信息。

更新现有设备的载入信息

组织可能需要通过Microsoft Configuration Manager更新设备上的载入信息。

这可能是由于Microsoft Defender for Endpoint的载入有效负载发生了更改,或者由Microsoft支持人员指示时,这是必需的。

更新载入信息将指示设备在下一次 重启时开始使用新的载入有效负载。

此过程会破坏更新现有载入策略的操作,并在所有现有设备上执行一次性操作以更新载入有效负载。 利用组策略载入脚本执行设备从旧有效负载到新有效负载的一次性提升。

注意

如果不从原始租户中完全卸载设备,此信息不一定会在租户之间移动设备。 有关在Microsoft Defender for Endpoint组织之间迁移设备的选项,请Microsoft 支持部门。

验证新的载入有效负载

  1. Microsoft Defender for Endpoint门户下载组策略加入包。

  2. 创建 用于验证新载入有效负载的集合

  3. 从具有载入有效负载的现有Microsoft Defender for Endpoint集合中排除此集合。

  4. 组策略载入脚本部署到测试集合。

  5. 验证 设备是否正在使用新的载入有效负载。

迁移到新的载入有效负载

  1. Microsoft Defender for Endpoint门户下载Microsoft Configuration Manager加入包。

  2. 使用新的载入有效负载更新现有Microsoft Defender for Endpoint载入策略。

  3. 将脚本从验证新的载入有效负载部署到Microsoft Defender for Endpoint载入策略的现有目标集合。

  4. 验证 设备是否正在利用新的载入有效负载,并成功使用脚本中的有效负载

注意

迁移所有设备后,可以使用接下来的载入策略从环境中删除脚本和验证集合。

后续步骤