迁移到 Microsoft Defender for Endpoint - 阶段 3：载入

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

阶段 1：准备	阶段 2：设置	阶段 3：开始使用
		你在这里！

欢迎使用迁移到 Defender for Endpoint 的第 3 阶段。 此迁移阶段包括以下步骤：

1. 将设备载入到 Defender for Endpoint。
2. 运行检测测试。
3. 确认终结点上Microsoft Defender 防病毒处于被动模式。
4. 获取 Microsoft Defender 防病毒的更新。
5. 卸载非Microsoft解决方案。
6. 确保 Defender for Endpoint 正常工作。

步骤 1：将设备载入到 Microsoft Defender for Endpoint

1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

2. 在“设备管理) ”下选择“设置>终结点>载入 (”。

3. 在 “选择要启动载入过程的操作系统 ”列表中，选择一个操作系统。

4. 在“ 部署方法”下，选择一个选项。 按照链接和提示加入组织的设备。 需要帮助？ 请参阅本文) 中的 载入方法 (。

注意

如果载入时出现问题，请参阅 排查 Microsoft Defender for Endpoint 载入问题。 本文介绍如何解决载入问题和终结点上的常见错误。

登录方法

部署方法因操作系统和首选方法而异。 下表列出了可帮助你载入 Defender for Endpoint 的资源：

操作系统	方法
Windows 10 或更高版本 Windows Server 2019 或更高版本 Windows Server 版本 1803 或更高版本 Windows Server 2016 或 Windows Server 2012 R2[1]	Microsoft Intune 或移动设备管理 Microsoft Configuration Manager 组策略 VDI 脚本 本地脚本 (最多 10 台设备) 本地脚本方法适用于概念证明，但不应用于生产部署。 对于生产部署，建议使用组策略、Microsoft Configuration Manager 或 Intune。
Windows Server 2008 R2 SP1	Microsoft Monitoring Agent (MMA) 或 Microsoft Defender for Cloud Microsoft监视代理现在是 Azure Log Analytics 代理。 若要了解详细信息，请参阅 Log Analytics 代理概述。
Windows 8.1 企业版 Windows 8.1 专业版 Windows 7 SP1 专业版 Windows 7 SP1	Microsoft 监视代理 (MMA) Microsoft监视代理现在是 Azure Log Analytics 代理。 若要了解详细信息，请参阅 Log Analytics 代理概述。
Windows 服务器 Linux 服务器	与 Microsoft Defender for Cloud 集成
macOS	本地脚本 Microsoft Intune JAMF Pro 移动设备管理
Linux Server	本地脚本 木偶 Ansible 厨师
Android	Microsoft Intune
iOS	Microsoft Intune 移动应用程序管理器

(1) Windows Server 2016 和 Windows Server 2012 R2 必须按照载入 Windows 服务器中的说明载入。

重要

Defender for Endpoint 计划 1 和计划 2 的独立版本不包括服务器许可证。 若要加入服务器，需要额外的许可证，例如 Microsoft Defender for Servers 计划 1 或计划 2。 若要了解详细信息，请参阅 Defender for Endpoint 加入 Windows Server。

步骤 2：运行检测测试

若要验证载入的设备是否已正确连接到 Defender for Endpoint，可以运行检测测试。

操作系统	指南
Windows 10 或更高版本 Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更高版本 Windows Server 2016 Windows Server 2012 R2	请参阅 运行检测测试。
macOS (请参阅 系统要求)	在 https://aka.ms/mdatpmacosdiy下载并使用 DIY 应用。 另请参阅 运行连接测试。
Linux (请参阅 系统要求)	1. 运行以下命令，并查找 结果 1： mdatp health --field real_time_protection_enabled。 2. 打开终端窗口，并运行以下命令： curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt。 3. 运行以下命令以列出检测到的任何威胁： mdatp threat list。 有关详细信息，请参阅 Linux 上的 Defender for Endpoint。

步骤 3：确认终结点上Microsoft Defender 防病毒处于被动模式

现在，终结点已载入 Defender for Endpoint，下一步是使用 PowerShell 确保Microsoft Defender 防病毒在被动模式下运行。

1. 在 Windows 设备上，以管理员身份打开 Windows PowerShell。

2. 运行以下 PowerShell cmdlet： Get-MpComputerStatus|select AMRunningMode。

3. 查看结果。 应会看到 被动模式。

注意

若要详细了解被动模式和主动模式，请参阅 有关 Microsoft Defender 防病毒状态的更多详细信息。

手动将 Windows Server 上的 Microsoft Defender 防病毒设置为被动模式

若要在 Windows Server 版本 1803 或更高版本、Windows Server 2019 或 Windows Server 2022 上将 Microsoft Defender 防病毒设置为被动模式，请执行以下步骤：

1. 打开注册表编辑器，然后导航到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。

2. 编辑 (或) 名为 ForceDefenderPassiveMode 的 DWORD 条目，并指定以下设置：

   • 将 DWORD 的值设置为 1。
   • 在“ 基数”下，选择“ 十六进制”。

注意

可以使用其他方法来设置注册表项，如下所示：

• 组策略首选项
• 本地组策略对象工具
• Configuration Manager 中的包

在 Windows Server 2016 上启动 Microsoft Defender 防病毒

如果使用的是 Windows Server 2016，可能需要手动启动 Microsoft Defender 防病毒。 可以在设备上使用 PowerShell cmdlet mpcmdrun.exe -wdenable 执行此任务。

步骤 4：获取 Microsoft Defender 防病毒的更新

使Microsoft Defender 防病毒保持最新状态对于确保设备具有防范新恶意软件和攻击技术所需的最新技术和功能至关重要，即使 Microsoft Defender 防病毒在被动模式下运行也是如此。 (请参阅 Microsoft Defender 防病毒兼容性。)

有两种更新与使 Microsoft Defender 防病毒保持最新相关：

• 安全智能更新

• 产品更新

若要获取更新，请按照 管理 Microsoft Defender 防病毒更新并应用基线中的指南进行操作。

步骤 5：卸载非Microsoft解决方案

如果此时已将组织的设备载入 Defender for Endpoint，并且安装并启用了 Microsoft Defender 防病毒，则下一步是卸载非Microsoft防病毒、反恶意软件和终结点保护解决方案。 卸载非Microsoft解决方案时，Microsoft Defender 防病毒将从被动模式更改为主动模式。 在大多数情况下，这会自动发生。

重要

如果由于某种原因，Microsoft Defender 防病毒在卸载非Microsoft防病毒/反恶意软件解决方案后未进入活动模式，请参阅 Microsoft Defender 防病毒似乎停滞在被动模式下。

若要获取有关卸载非Microsoft解决方案的帮助，请联系其技术支持团队。

步骤 6：确保 Defender for Endpoint 正常工作

现已载入 Defender for Endpoint，并且卸载了以前的非Microsoft解决方案，下一步是确保 Defender for Endpoint 正常工作。

1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

2. 在导航窗格中，选择 “终结点设备>清单”。 在那里，可以看到设备的保护状态。

若要了解详细信息，请参阅 设备清单。

后续步骤

恭喜！ 你已完成 到 Defender for Endpoint 的迁移！

• 配置 Defender for Endpoint 设置。

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。