共用方式為


使用 Configuration Manager 將 Windows 裝置上線

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

您可以使用 Configuration Manager 將端點上線至 適用於端點的 Microsoft Defender 服務。

有數個選項可用來使用 Configuration Manager 將裝置上線:

注意事項

適用於端點的Defender不支援在 全新體驗 (OOBE) 階段上線。 確認使用者在執行 Windows 安裝或升級後,完成 OOBE。

您可以在 Configuration Manager 應用程式上建立偵測規則,以持續檢查裝置是否已上線。 應用程式是不同于套件與程式的物件類型。 如果裝置因為 OOBE 完成擱置或任何其他原因) 而尚未上線 (,Configuration Manager 重新嘗試將裝置上線,直到規則偵測到狀態變更為止。 如需詳細資訊,請參閱 System Center 2012 R2 Configuration Manager 中的設定偵測方法

必要條件

設定範例集合設定

針對每個裝置,您可以設定組態值,以指出當透過 Microsoft Defender 入口網站提出提交檔案以進行深入分析的要求時,是否可以從裝置收集樣本。

注意事項

這些組態設定通常是透過 Configuration Manager 完成。

您可以在 Configuration Manager 中設定設定項目的合規性規則,以變更裝置上的範例共用設定。

此規則應該是 補救 合規性規則設定專案,以設定目標裝置上登錄機碼的值,以確保它們符合規範。

透過下列的登錄機碼項目進行設定:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

其中金鑰類型是 D-WORD。 可能的值為:

  • 0:不允許從此裝置共用範例
  • 1:允許從此裝置共用所有文件類型

如果登錄機碼不存在,預設值為1。

如需 System Center Configuration Manager 合規性詳細資訊,請參閱 System Center 2012 R2 Configuration Manager

建立集合

若要讓具有 Microsoft Configuration Manager 的 Windows 裝置上線,部署可以以現有的集合為目標,或建立新的集合以進行測試。

使用 群組原則 或手動方法等工具上線不會在系統上安裝任何代理程式。

在 Microsoft Configuration Manager 主控台內,上線程式會設定為控制台內合規性設定的一部分。

只要 Configuration Manager 客戶端繼續從管理點接收此原則,任何接收此必要設定的系統都會維護該設定。

請遵循下列步驟,使用 Microsoft Configuration Manager 將端點上線:

  1. 在 Microsoft Configuration Manager 控制台中,流覽至 [資產與合規性>概觀>裝置集合]

    Microsoft Configuration Manager 精靈 1 的螢幕快照。

  2. 選取並按住 (,或以滑鼠右鍵按兩下 [) 裝置集合 ],然後選取 [ 建立裝置集合]

    Microsoft Configuration Manager 精靈 2 的螢幕快照。

  3. 提供 [名稱 ] 和 [ 限制集合],然後選取 [ 下一步]

    Microsoft Configuration Manager 精靈 3 的螢幕快照。

  4. 取 [新增規則 ],然後選擇 [查詢規則]

    Microsoft Configuration Manager 精靈 4 的螢幕快照。

  5. [直接成員資格精靈] 上選取 [下一步],然後選取 [編輯查詢語句]

    Microsoft Configuration Manager 精靈 5 的螢幕快照。

  6. 選取 [準則],然後選擇 star 圖示。

    Microsoft Configuration Manager 精靈 6 的螢幕快照。

  7. 將準則類型保留為 簡單值,選擇 [ 操作系統 - 組建編號]、[運算子為 ] 大於或等於 和值 14393,然後選取 [ 確定]

    Microsoft Configuration Manager 精靈的螢幕快照 7。

  8. 取 [下一步 ] 和 [ 關閉]

    Microsoft Configuration Manager 精靈的螢幕快照8。

  9. 選取 [下一步]

    Microsoft Configuration Manager 精靈9 的螢幕快照。

完成這項工作之後,您會有一個裝置集合,其中包含環境中的所有 Windows 端點。

設定新一代保護

建議使用下表所列的組態設定:

設定 描述
掃描 掃描卸除式儲存裝置 (例如 USB 磁碟機):是
即時保護 啟用行為監視:是

在下載時和安裝之前啟用對潛在垃圾應用程式的保護:是
雲端保護服務 雲端保護服務成員資格類型:進階成員資格
受攻擊面縮小 設定所有可用的規則以稽核。

封鎖這些活動可能會中斷合法的商業程序。 最佳做法是設定所有項目進行稽核、識別哪些項目可以安全開啟,然後在沒有誤判的端點上啟用這些設定。

若要透過 Microsoft Configuration Manager (SCCM 部署 Microsoft Defender 防病毒軟體和受攻擊面縮小原則) 請遵循下列步驟:

  • 啟用 Endpoint Protection 並設定自訂客戶端設定。
  • 從命令提示字元安裝 Endpoint Protection 用戶端。
  • 確認 Endpoint Protection 用戶端安裝。

啟用 Endpoint Protection 並設定自訂客戶端設定

請遵循下列步驟來啟用端點保護和自訂客戶端設定的設定:

  1. 在 Configuration Manager 控制台中,按兩下 [系統管理]

  2. 在 [ 系統管理] 工作區中,按兩下 [ 客戶端設定]

  3. 在 [ 首頁] 索引標籤的 [ 建立] 群組中,按兩下 [ 建立自訂用戶端裝置設定]

  4. 在 [ 建立自定義用戶端裝置設定 ] 對話框中,提供設定群組的名稱和描述,然後選取 [Endpoint Protection]

  5. 設定您需要的 Endpoint Protection 用戶端設定。 如需您可以設定的 Endpoint Protection 用戶端設定完整清單,請參閱關於客戶端設定中的 Endpoint Protection 一節。

    重要事項

    在您設定 Endpoint Protection 的用戶端設定之前,請先安裝 Endpoint Protection 月台系統角色。

  6. 按兩下 [確定 ] 關閉 [ 建立自訂用戶端裝置設定 ] 對話框。 新的客戶端設定會顯示在 [系統管理] 工作區的 [用戶端設定] 節點中。

  7. 接下來,將自定義用戶端設定部署至集合。 選取您要部署的自訂客戶端設定。 在 [ 首頁] 索引標籤的 [ 客戶端設定] 群組中,按兩下 [ 部署]

  8. 在 [ 選取集合] 對話框中,選擇您要部署用戶端設定的集合,然後按兩下 [ 確定]。新的部署會顯示在詳細資料窗格的 [ 部署 ] 索引卷標中。

用戶端會在下次下載客戶端原則時使用這些設定進行設定。 如需詳細資訊,請參閱起始 Configuration Manager 客戶端的原則擷取。

注意事項

針對 Configuration Manager 2207 和更新版本所管理的 Windows Server 2012 R2 和 Windows Server 2016,請使用 適用於端點的 Microsoft Defender (MDE) 用戶端 (建議的) 設定上線. 或者,您可以使用舊版的 Configuration Manager 來執行移轉。 如需詳細資訊,請參閱 將伺服器從 Microsoft Monitoring Agent 移轉至整合解決方案

使用命令提示字元安裝 Endpoint Protection 用戶端

請遵循步驟,從命令提示字元完成 Endpoint Protection 用戶端的安裝。

  1. scepinstall.exe從 Configuration Manager 安裝資料夾的 [客戶端] 資料夾複製到您要安裝 Endpoint Protection 用戶端軟體的電腦。

  2. 以系統管理員身分開啟 [命令提示字元]。 使用安裝程式將目錄變更為資料夾。 然後執行 scepinstall.exe,新增您需要的任何額外命令行屬性:

    屬性 描述
    /s 以無訊息方式執行安裝程式
    /q 以無訊息方式擷取安裝程序檔案
    /i 正常執行安裝程式
    /policy 指定反惡意代碼原則檔案,以在安裝期間設定用戶端
    /sqmoptin 選擇加入 Microsoft 客戶經驗改進計畫 (CEIP)
  3. 請遵循畫面上的指示來完成用戶端安裝。

  4. 如果您已下載最新的更新定義套件,請將套件複製到用戶端計算機,然後按兩下定義套件來安裝它。

    注意事項

    Endpoint Protection 用戶端安裝完成之後,用戶端會自動執行定義更新檢查。 如果此更新檢查成功,您就不需要手動安裝最新的定義更新套件。

範例:使用反惡意代碼原則安裝用戶端

scepinstall.exe /policy <full path>\<policy file>

確認 Endpoint Protection 用戶端安裝

在參照計算機上安裝 Endpoint Protection 客戶端之後,請確認用戶端正常運作。

  1. 在參照計算機上,從 Windows 通知區域開啟 System Center Endpoint Protection

  2. 在 [System Center Endpoint Protection] 對話框的 [首頁] 索引標籤上,確認 [實時保護] 已設定為 [開啟]

  3. 確認病毒和間諜軟體定義已顯示最新狀態。

  4. 若要確定您的參照計算機已準備好進行映像處理,請在 [ 掃描選項 ] 下選取 [ 完整], 然後按兩下 [ 立即掃描]。

設定網路保護

在稽核或封鎖模式中啟用網路保護之前,請確定您已安裝反惡意軟體平臺更新,這可以從 [支援頁面] 取得。

設定受控資料夾存取權

在稽核模式中啟用該功能至少 30 天。 在此期間後,請檢閱偵測,並建立允許寫入受保護目錄的應用程式清單。

如需詳細資訊,請參閱 評估受控資料夾存取權

執行偵測測試以確認上線

將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

使用 Configuration Manager 下線裝置

基於安全性理由,用來將裝置離線的套件將會在下載日期后的7天到期。 傳送到裝置的已過期下架套件將會遭到拒絕。 下載下架套件時,您會收到套件到期日的通知,也會包含在套件名稱中。

注意事項

上線和下架原則不能同時部署在相同裝置上,否則會造成無法預期的衝突。

使用最新分支 Microsoft Configuration Manager 裝置離線

如果您使用最新分支 Microsoft Configuration Manager,請參閱建立離線配置檔

使用 System Center 2012 R2 Configuration Manager 下線裝置

  1. 從 Microsoft Defender 入口網站取得下架套件

    1. 在瀏覽窗格中,選取 [ 設定>端點>裝置管理>離線]
    2. 選 Windows 10 或 Windows 11 做為操作系統。
    3. 在 [部署方法] 字段中,選取 [System Center Configuration Manager 2012/2012 R2/1511/1602]
    4. 選取 [下載套件],然後儲存 .zip 檔案。
  2. 將 .zip 檔案的內容解壓縮到將部署該套件的網路系統管理員可存取的共用唯讀位置。 您應該會有名為 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 的檔案。

  3. 遵循 System Center 2012 R2 Configuration Manager 的套件和程式 文章中的步驟部署套件。

    選擇要部署套件的預先定義裝置集合。

重要事項

下線會導致裝置停止將感應器資料傳送至入口網站,但來自裝置的資料 (包括任何警示的參考資料) 最多會保留 6 個月。

監視裝置設定

如果您使用最新分支 Microsoft Configuration Manager,請在 Configuration Manager 控制台中使用適用於端點的內建 Defender 儀錶板。 如需詳細資訊,請參閱 適用於端點的Defender - 監視器

如果您使用 System Center 2012 R2 Configuration Manager,監視包含兩個部分:

  1. 確認已正確部署設定套件,並且正于您網路的裝置上執行 (或已成功執行)。

  2. 檢查裝置是否符合適用於端點的 Defender 服務 (這可確保裝置可以完成上線程式,並可繼續將數據回報給服務) 。

確認已正確部署設定套件

  1. 在 Configuration Manager 主控台中,按一下瀏覽窗格底部的 [監視]

  2. 選取 [概觀],然後選取 [部署]

  3. 選取具有套件名稱的部署。

  4. 檢視 [完成統計資料][內容狀態] 下的狀態指標。

    如果裝置 (部署 失敗,) 錯誤、 不符合需求或 失敗狀態 ,您可能需要針對裝置進行疑難解答。 如需詳細資訊,請參閱針對 適用於端點的 Microsoft Defender 上線問題進行疑難解答

    此 Configuration Manager 顯示部署成功但未發生錯誤

檢查裝置是否符合 適用於端點的 Microsoft Defender 服務的規範

您可以在 System Center 2012 R2 Configuration Manager 中設定設定項目的合規性規則,以監視您的部署。

此規則應該是一種 [非修正] 規則設定項目,該項目會監視目標裝置上之登錄機碼的值。

監視下列登錄機碼項目:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

如需詳細資訊,請參閱 System Center 2012 R2 Configuration Manager

提示

想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。