將裝置上線至適用於企業的 Microsoft Defender。

本文說明如何將裝置上線以 適用於企業的 Defender。

將您的商務裝置上線以立即保護它們。 您可以從數個選項中選擇將公司裝置上線。 本文將逐步引導您完成選項，並說明上線的運作方式。

處理方式

1. 選取索引標籤：
   • Windows 10和 11
   • Mac
   • 行動 (新功能適用於 iOS 和 Android 裝置！)
   • ( Windows Server 或 Linux Server)
2. 檢視您的上線選項，並遵循所選索引標籤上的指引。
3. 檢視已上線裝置的清單。
4. 在裝置上執行網路釣魚測試。
5. 繼續進行 後續步驟。

Windows 10和 11

Windows 10和 11

注意事項

Windows 裝置必須執行下列其中一個操作系統：

• Windows 10 或 11 商務版
• Windows 10 或 11 專業版
• Windows 10 或 11 企業版

如需詳細資訊，請參閱 適用於企業的 Microsoft Defender 需求。

選擇下列其中一個選項，將 Windows 用戶端裝置上線至適用於企業的 Defender:

• Microsoft Defender 入口網站中手動上線裝置的本機腳本 ()
• 如果您已經在組織中使用 群組原則，請 群組原則 ()
• 如果您已經在使用 Intune) ，請 Microsoft Intune (

Windows 10和11的本機腳本

您可以使用本機腳本將 Windows 用戶端裝置上線。 當您在裝置上執行上線腳本時，如果該信任) 不存在，它會建立 Microsoft Entra ID (的信任、在 Microsoft Intune (中註冊裝置，如果尚未註冊) ，則會將裝置上線以 適用於企業的 Defender。 如果您目前未使用 Intune，則本機腳本方法是建議 適用於企業的 Defender 客戶的上線方法。

提示

當您使用本機腳本方法時，建議您一次最多上線 10 部裝置。

1. 移至 Microsoft Defender 入口網站 () https://security.microsoft.com ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選取 [Windows 10 和 11]。

4. 在 [ 連線類型] 下，選取 [ 簡化]。

5. 在 [ 部署方法] 區段中，選擇 [ 本機腳本]，然後選取 [下載上線套件]。 建議您將上線套件儲存至卸載式磁碟驅動器。

6. 在 Windows 裝置上，將組態套件的內容擷取至位置，例如 Desktop 資料夾。 您應該會有名為 的 WindowsDefenderATPLocalOnboardingScript.cmd檔案。

7. 以系統管理員身分開啟命令提示字元。

8. 輸入指令檔的位置。 例如，如果您將檔案複製到 Desktop 資料夾，您會輸入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然後按 Enter 鍵 (或選取 [ 確定 ]) 。

9. 腳本執行之後， 請執行偵測測試。

Windows 10和 11 的 群組原則

如果您想要使用 群組原則 將 Windows 用戶端上線，請遵循使用 群組原則 將 Windows 裝置上線中的指引。 本文說明上架至 適用於端點的 Microsoft Defender 的步驟。 上線至 適用於企業的 Defender的步驟很類似。

Windows 10和 11 的 Intune

您可以使用 Intune 系統管理中心 https://intune.microsoft.com () ，在 Intune 中將 Windows 用戶端和其他裝置上線。 有數種方法可在 Intune 中註冊裝置。 建議您使用下列其中一種方法：

• 為公司擁有或公司管理的裝置啟用 Windows 自動註冊
• 要求使用者在 Intune 中註冊自己的 Windows 10/11 裝置

啟用 Windows 10 和11的自動註冊

當您設定自動註冊時，用戶會將其工作帳戶新增至裝置。 在背景中，裝置會註冊並加入 Microsoft Entra ID，並在 Intune 中註冊。

1. 前往 Azure 入口網站(https://portal.azure.com/)並登入。

2. 選取 [Microsoft Entra ID>][行動 (MDM 和 MAM) Microsoft Intune>]。

3. 設定 MDM 用戶範圍 和 MAM 用戶範圍。

   

   • 針對 [MDM 使用者範圍]，建議您選取 [ 全部 ]，讓所有使用者都能自動註冊其 Windows 裝置。

   • 在 [MAM 用戶範圍] 區段中，我們建議 URL 使用下列預設值：

     • MDM 使用條款 URL
     • MDM 探索 URL
     • MDM 合規性 URL

4. 選取 [儲存]。

5. 在 Intune 中註冊裝置之後，您可以將它新增至 適用於企業的 Defender 中的裝置群組。 深入瞭解 適用於企業的 Defender 中的裝置群組。

提示

若要深入瞭解，請參閱 啟用 Windows 自動註冊。

要求用戶註冊其 Windows 10和11部裝置

1. 觀看下列影片以了解註冊的運作方式：
   
   

2. 與組織中的用戶共用本文：在 Intune 中註冊 Windows 10/11 裝置。

3. 在 Intune 中註冊裝置之後，您可以將它新增至 適用於企業的 Defender 中的裝置群組。 深入瞭解 適用於企業的 Defender 中的裝置群組。

在 Windows 10或11裝置上執行偵測測試

將 Windows 裝置上線至 適用於企業的 Defender 之後，您可以在裝置上執行偵測測試，以確保一切正常運作。

1. 在 Windows 裝置上，建立資料夾：C:\test-MDATP-test。

2. 以系統管理員身分開啟命令提示字元，然後執行下列命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令執行之後，命令提示字元視窗會自動關閉。 如果成功，偵測測試會標示為已完成，並在大約 10 分鐘內，Microsoft Defender 入口網站 (https://security.microsoft.com) 新上線裝置的新警示。

Mac

Mac

注意事項

建議您使用 本機腳本將 Mac 上線。 雖然您可以使用 Intune 設定 Mac 註冊，但本機腳本是將 Mac 上線以 適用於企業的 Defender 的最簡單方法。

選擇下列其中一個選項以將 Mac 上線:

• Mac 的本機腳本 (建議 的)
• 如果您已經在使用 Intune) ，則適用於 Mac (Intune

Mac 的本機腳本

當您在 Mac 上執行本機腳本時，如果該信任尚未存在) ，則會建立 Microsoft Entra ID (的信任、在 Microsoft Intune (中註冊 Mac) ，然後將 Mac 上線以 適用於企業的 Defender。 建議您使用此方法一次最多上線 10 部裝置。

1. 移至 Microsoft Defender 入口網站 () https://security.microsoft.com ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選 取 [macOS]。

4. 在 [ 連線類型] 下，選取 [ 簡化]。

5. 在 [ 部署方法] 區段中，選擇 [ 本機腳本]，然後選取 [下載上線套件]。 將封裝儲存至卸除式磁碟驅動器。 也請選取 [下載安裝套件]，並將它儲存至卸載式裝置。

6. 在 Mac 上，將安裝套件儲存為 wdav.pkg 本機目錄。

7. 將上線套件 WindowsDefenderATPOnboardingPackage.zip 儲存到您用於安裝套件的相同目錄。

8. 使用 Finder 瀏覽至 wdav.pkg 您已儲存的檔案，然後開啟它。

9. 選取 [繼續]，同意授權條款，然後在出現提示時輸入您的密碼。

10. 系統會提示您允許從Microsoft安裝驅動程式， (系統延伸模組已封鎖 或 安裝處於保留狀態，或兩者皆) 。 您必須允許安裝驅動程式。 選取 [開啟安全性喜好設定] 或 [開啟系統喜好設定>安全性 & 隱私權]，然後選取 [ 允許]。

11. 使用下列 Bash 命令來執行上線套件：

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

在 Intune 中註冊 Mac 之後，您可以將它新增至裝置群組。 深入瞭解 適用於企業的 Defender 中的裝置群組。

mac版 Intune

如果您已經有 Intune，您可以使用 Intune 系統管理中心 https://intune.microsoft.com () 註冊 Mac 計算機。 有數種方法可在 Intune 中註冊 Mac。 我們建議使用下列其中一種方法：

• 選擇公司擁有 Mac 的選項
• 要求使用者在 Intune 中註冊自己的 Mac

公司擁有 Mac 的選項

選擇下列其中一個選項，在 Intune 中註冊公司管理的 Mac 裝置：

選項	描述
Apple 自動化裝置註冊	使用此方法可在透過Apple Business Manager 或 Apple School Manager 購買的裝置上自動註冊。 自動裝置註冊會「無線」部署註冊配置檔，因此您不需要實體存取裝置。 請參閱 使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac。
裝置註冊管理員 (DEM)	針對大規模部署，以及組織中有多位人員可協助進行註冊設定時，請使用此方法。 具有裝置註冊管理員 (DEM) 許可權的人，可以使用單一 Microsoft Entra 帳戶註冊最多 1,000 個裝置。 這個方法會使用 公司入口網站 應用程式或 Microsoft Intune 應用程式來註冊裝置。 您無法使用 DEM 帳戶透過自動裝置註冊來註冊裝置。 請參閱使用裝置註冊管理員帳戶在 Intune 中註冊裝置。
直接註冊	直接註冊會註冊沒有用戶親和性的裝置，因此此方法最適合未與單一使用者相關聯的裝置。 此方法會要求您擁有所註冊 Mac 的實體存取權。 請參閱 使用 Mac 的直接註冊。

要求使用者在 Intune 中註冊自己的 Mac

如果您的企業偏好讓人員在 Intune 中註冊自己的裝置，請指示使用者遵循下列步驟：

1. 移至 公司入口網站 網站 (https://portal.manage.microsoft.com/) 並登入。

2. 請遵循 公司入口網站 網站上的指示來新增其裝置。

3. 在安裝 公司入口網站 應用程式https://aka.ms/EnrollMyMac，並遵循應用程式中的指示。

確認Mac已上線

1. 若要確認裝置與您的公司相關聯，請在Bash中使用下列 Python 命令：

   mdatp health --field org_id.

2. 如果您使用macOS 10.15 (Catalina) 或更新版本，請 適用於企業的 Defender 同意保護您的裝置。 移至 [系統喜好設定>安全性 & 隱私權>>完整磁碟存取]。 選取對話框底部的鎖定圖示以進行變更，然後選取 [適用於企業的 Microsoft Defender (或適用於端點的 Defender]，如果您看到) 。

3. 若要確認裝置已上線，請在Bash中使用下列命令：

   mdatp health --field real_time_protection_enabled

在 Intune 中註冊裝置之後，您可以將它新增至裝置群組。 深入瞭解 適用於企業的 Defender 中的裝置群組。

行動裝置

行動裝置

您可以使用下列方法將行動裝置上線，例如 Android 和 iOS 裝置：

• 使用 Microsoft Defender 應用程式
• 使用 Microsoft Intune

使用 Microsoft Defender 應用程式

行動威脅防護功能現在已正式提供給 適用於企業的 Defender 客戶。 透過這些功能，您現在可以使用 Microsoft Defender 應用程式，將行動裝置上線 (例如 Android 和 iOS) 。 使用此方法，用戶可從Google Play或Apple App Store 下載應用程式、登入和完成上線步驟。

重要事項

將行動裝置上線之前，請確定符合下列所有需求：

1. 適用於企業的 Defender 已完成布建。 在 Microsoft Defender 入口網站中，移至 [資產>裝置]。
   - 如果您看到一則訊息，指出「停止回應！ 我們正在為您的數據準備新的空間並加以連接」，然後 適用於企業的 Defender 尚未完成布建。 此程式現在正在進行，最多可能需要 24 小時才能完成。
   - 如果您看到裝置清單，或系統提示您將裝置上線，這表示 適用於企業的 Defender 布建已完成。
2. 使用者已在其裝置上下載 Microsoft Authenticator 應用程式，並已使用其公司或學校帳戶註冊其裝置，Microsoft 365。

裝置	程序
Android	1.在裝置上，移至Google Play商店。 2.如果您尚未這麼做，請下載並安裝 Microsoft Authenticator 應用程式。 登入，然後在 Microsoft Authenticator 應用程式中註冊您的裝置。 3.在 Google Play 商店中，搜尋 Microsoft Defender 應用程式並加以安裝。 4.開啟 Microsoft Defender 應用程式，登入並完成上線程式。
iOS	1.在裝置上，移至 Apple App Store。 2.如果您尚未這麼做，請下載並安裝 Microsoft Authenticator 應用程式。 登入，然後在 Microsoft Authenticator 應用程式中註冊您的裝置。 3.在 Apple App Store 中，搜尋 Microsoft Defender 應用程式。 4.登入並安裝應用程式。 5.同意繼續使用規定。 6.允許 Microsoft Defender 應用程式設定 VPN 連線並新增 VPN 組態。 7.選擇是否允許通知 (，例如警示) 。

提示

使用 Microsoft Defender 應用程式將行動裝置上線之後，請繼續在裝置上執行網路釣魚測試。

使用 Microsoft Intune

如果您的訂用帳戶包含 Microsoft Intune，您可以使用它將行動裝置上線，例如 Android 和 iOS/iPadOS 裝置。 請參閱下列資源，以取得將這些裝置註冊到 Intune 的說明:

• 註冊 Android 裝置
• 註冊 iOS 或 iPadOS 裝置

在 Intune 中註冊裝置之後，您可以將它新增至裝置群組。 深入瞭解 適用於企業的 Defender 中的裝置群組。

伺服器

伺服器

注意事項

如果您打算將 Windows Server 或 Linux Server 的實例上線，您將需要額外的授權，例如 適用於商業伺服器的 Microsoft Defender。

選擇伺服器的作業系統：

• Windows Server
• Linux 伺服器

Windows 伺服器

重要事項

將 Windows Server 端點上線之前，請確定您符合下列需求：

• 您有 適用於商業伺服器的 Microsoft Defender 授權。 (參閱如何取得 適用於商業伺服器的 Microsoft Defender.)
• Windows Server 的強制執行範圍已開啟。 移至 [設定]>[端點]>[設定管理]>[強制範圍]。 選取 [使用 MDE 從 MEM 強制執行安全性組態設定]，選取 [Windows Server]，然後選取 [儲存]。

您可以使用本機腳本，將 Windows Server 的實例上線以 適用於企業的 Defender。

Windows Server 的本機腳本

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選取操作系統，例如 Windows Server 1803、2019 和 2022，然後在 [部署方法] 區段中選擇 [本機腳本]。

   如果您選取 Windows Server 2012 R2 和 2016，您有兩個要下載和執行的套件：安裝套件和上線套件。 安裝套件包含 MSI 檔案，可安裝 適用於企業的 Defender 代理程式。 上線套件包含腳本，可將您的 Windows Server 端點上線以 適用於企業的 Defender。

4. 選取 [下載上線套件]。 建議您將上線套件儲存至卸載式磁碟驅動器。

   如果您選 Windows Server 2012 R2 和 2016，也請選取 [下載安裝套件]，並將套件儲存至卸除式磁碟驅動器

5. 在您的 Windows Server 端點上，將安裝/上線套件的內容解壓縮到 Desktop 資料夾等位置。 您應該會有名為 的 WindowsDefenderATPLocalOnboardingScript.cmd檔案。

   如果您要將 R2 或 Windows Server 2016 Windows Server 2012 上線，請先擷取安裝套件。

6. 以系統管理員身分開啟命令提示字元。

7. 如果您要將 Windows Server 2012R2 或 Windows Server 2016 上線，請執行下列命令：

   Msiexec /i md4ws.msi /quiet

   如果您 Windows Server 1803、2019 或 2022 上線，請略過此步驟，然後移至步驟 8。

8. 輸入指令檔的位置。 例如，如果您將檔案複製到 Desktop 資料夾，您會輸入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然後按 Enter (或選取 [ 確定) ] 。

9. 移至在 Windows Server 上執行偵測測試。

在 Windows Server 上執行偵測測試

將 Windows Server 端點上線以 適用於企業的 Defender 之後，您可以執行偵測測試，以確保一切正常運作：

1. 在 Windows Server 裝置上，建立資料夾：C:\test-MDATP-test。

2. 以系統管理員身分開啟 [命令提示字元]。

3. 在 [命令提示字元] 視窗中，執行下列 PowerShell 命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令執行之後，命令提示字元視窗會自動關閉。 如果成功，偵測測試會標示為已完成，並在大約 10 https://security.microsoft.com 分鐘內，在 Microsoft Defender 入口網站中 () 新上線裝置的新警示。

Linux 伺服器

重要事項

將 Linux 伺服器端點上線之前，請確定您符合下列需求：

• 您有 適用於商業伺服器的 Microsoft Defender 授權。 (參閱如何取得 適用於商業伺服器的 Microsoft Defender.)
• 您符合 Linux 上 適用於端點的 Microsoft Defender 的必要條件。

將 Linux 伺服器端點上線

您可以使用下列方法將 Linux Server 實體上線以 適用於企業的 Defender：

• 本機腳本：請參閱手動在Linux上部署 適用於端點的 Microsoft Defender。
• Ansible：請參閱使用 Ansible 在 Linux 上部署 適用於端點的 Microsoft Defender。
• 廚師： 請參閱 使用 Chef 在 Linux 上部署適用於端點的 Defender。
• 木偶：請參閱使用 Puppet 在 Linux 上部署 適用於端點的 Microsoft Defender。

注意事項

將 Linux Server 實例上線以 適用於企業的 Defender 與上線至 Linux 上的 適用於端點的 Microsoft Defender 相同。

檢視已上線裝置的清單

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ，然後登入。

2. 在瀏覽窗格中，移至 [ 資產>裝置]。 [ 裝置清查] 檢視隨即開啟。

在裝置上執行網路釣魚測試

將裝置上線之後，您可以執行快速網路釣魚測試，以確定裝置已連線，而且警示會如預期般產生。

1. 在裝置上，移至 https://smartscreentestratings2.net。 適用於企業的 Defender 應該封鎖用戶裝置上的URL。

2. 身為組織安全性小組的成員，請移至 Microsoft Defender 入口網站 () https://security.microsoft.com 並登入。

3. 在瀏覽窗格中，移至 [事件]。 您應該會看到資訊警示，指出裝置嘗試存取網路釣魚網站。

後續步驟

• 如果您有其他裝置要上線，請選取 Windows 10 和 11、Mac、伺服器或行動裝置) (這些裝置的索引卷標，然後遵循該索引卷標上的指引。
• 如果您已完成裝置上線，請繼續進行步驟 6：在 適用於企業的 Defender 中設定安全性設定和原則。