跨用戶端裝置管理適用於端點的 Microsoft Defender 訂用帳戶設定
在適用於端點的 Defender 中,混合授權案例是組織混合使用適用於端點的 Defender 方案 1 和方案 2 授權的情況。 下表描述混合授權案例的範例:
案例 | 描述 |
---|---|
混合租使用者 | 針對使用者群組及其裝置使用不同的功能集。 範例包含: - 適用於端點的Defender方案1和適用於端點的Defender方案2 - Microsoft 365 E3 和 Microsoft 365 E5 |
混合試用版 | 嘗試為某些使用者使用進階層級訂用帳戶。 範例包含: - 適用於端點的 Defender 方案 1 (購買給所有使用者) ,而適用於端點的 Defender 方案 2 (已針對某些使用者啟動試用訂閱) - Microsoft為所有使用者) 購買 365 E3 (,Microsoft 365 E5 (某些使用者已開始試用訂閱) |
階段式升級 | 分階段升級用戶授權。 範例包含: - 將使用者群組從適用於端點的 Defender 方案 1 移至方案 2 - 將使用者群組從 Microsoft 365 E3 移至 E5 |
直到最近,不支援混合授權案例;在多個訂用帳戶的情況下,最高功能訂用帳戶會優先於您的租使用者。 現在,您可以管理您的訂用帳戶設定,以容納跨用戶端裝置的混合授權案例。 這些功能可讓您:
- 將您的租用戶設定為混合模式並標記裝置 ,以判斷哪些客戶端裝置會從每個方案接收功能 (我們將此選項稱為 混合模式) ; OR、
- 在所有客戶端裝置上使用一個方案的功能。
您也可以使用新增的授權使用量報告來追蹤狀態。
注意事項
如果您使用 Microsoft Defender for Business,而且想要切換至適用於端點的 Defender 方案 2,請參閱 變更您的端點安全性訂用帳戶。
將您的租用戶設定為混合模式並標記裝置
重要事項
- 混合模式設定僅適用於用戶端端點。 標記伺服器裝置不會變更其訂用帳戶狀態。 所有執行 Windows Server 或 Linux 的伺服器裝置都應該有適當的授權,例如 適用於伺服器的 Defender。 請參閱 上架伺服器的選項。
- 請務必遵循本文中的程式,在您的環境中嘗試混合授權案例。 在 Microsoft 365 系統管理中心 () https://admin.microsoft.com 中指派用戶授權,並不會將您的租用戶設定為混合模式。
- 您應該擁有適用於端點的 Defender 方案 1 和方案 2 的使用中試用版或付費授權。
- 若要存取授權資訊,您必須在 Microsoft Entra ID 中指派下列其中一個角色:
- 安全性系統管理員
- 適用於端點的授權系統管理員和適用於端點的Defender系統管理員
身為系統管理員,請移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
移至 [設定>端點>授權]。 您的使用量報告隨即開啟,並顯示組織適用於端點的 Defender 授權的相關信息。
在 [ 訂用帳戶狀態] 下,選取 [管理訂用帳戶設定]。
注意事項
如果您沒有看到 [ 管理訂用帳戶設定],則至少符合下列其中一個條件:
- 您有適用於端點的Defender方案1或方案2 (,但並非兩者都) ;或
- 混合授權功能尚未推出至您的租使用者。
[ 訂用帳戶設定] 飛出視窗隨即開啟。 選擇使用適用於端點的 Defender 方案 1 和方案 2 的選項。 (在根據下一個步驟標記裝置之前,不會發生任何變更。)
標記應該接收適用於端點的Defender方案1或方案2功能的裝置。 您可以選擇手動或使用動態規則來標記您的裝置。 深入瞭解裝置標記。
方法 詳細資料 手動標記裝置 若要手動標記裝置,請建立名為的標籤 License MDE P1
,並將其套用至裝置。 若要取得此步驟的說明,請參閱 建立和管理裝置標籤。
請注意,License MDE P1
使用 登錄機碼方法 標記標記的裝置將不會收到降級的功能。 如果您想要使用登錄機碼方法標記裝置,請使用動態規則,而不是手動標記。使用動態規則自動標記裝置 動態規則功能是混合授權案例的新功能! 它可讓您對管理裝置的方式套用動態且細微的控制層級.
若要使用動態規則,您可以根據裝置名稱、網域、操作系統平臺和/或裝置標籤來指定一組準則。 符合指定準則的裝置會根據您的規則接收適用於端點的 Defender 方案 1 或方案 2 功能。
當您定義準則時,可以使用下列條件運算子:
-Equals
/Not equals
-Starts with
-Contains
/Does not contain
針對 [裝置名稱],您可以使用手繪多邊形文字。
針對 [網域],從網域清單中選取。
針對 OS 平臺,從作業系統清單中選取 。
針對 [標記],請使用手繪多邊形文字選項。 輸入對應至應接收適用於端點的Defender方案1或方案2功能之裝置的標籤。 請參閱 裝置標記的詳細數據中的範例。裝置標籤會顯示在 [ 裝置清查 ] 檢視和 適用於端點的Defender API 中。
注意事項
目前無法在 [裝置清查] 檢視中篩選動態新增的適用於端點的Defender P1 標籤。
儲存您的規則,並等候最多三 (3) 小時,以套用標籤。 然後,繼續 驗證裝置只接收適用於端點的 Defender 方案 1 功能。
裝置標記的詳細數據
如 技術社群部落格中所述:如何有效地使用標記,裝置標記可讓您更精細地控制裝置。 使用裝置標籤,您可以:
- 在 Microsoft Defender 入口網站中向個別用戶顯示特定裝置,讓他們只看到自己負責的裝置。
- 包含或排除特定安全策略中的裝置。
- 判斷哪些裝置應該接收適用於端點的Defender方案1或方案2功能。
例如,假設您想要針對應接收適用於端點的 Defender 方案 2 功能的所有裝置使用稱為的 VIP
標籤。 以下是您要執行的動作:
建立名為的
VIP
裝置標籤,並將它套用至應接收適用於端點的Defender方案2功能的所有裝置。 使用下列其中一種方法來建立您的裝置標籤:使用條件運算符
Tag Does not contain VIP
來設定動態規則。 在此情況下,所有沒有標籤的VIP
裝置都會收到License MDE P1
標籤和適用於端點的Defender方案1功能。
重要事項
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
驗證裝置只接收適用於端點的Defender方案1功能
將適用於端點的 Defender 方案 1 功能指派給部分或所有裝置之後,您可以確認個別裝置正在接收這些功能。
在 Microsoft Defender 入口網站 (https://security.microsoft.com) 中,移至 [資產>裝置]。
選取標記為的
License MDE P1
裝置。 您應該會看到適用於端點的 Defender 方案 1 已指派給裝置。
注意事項
指派適用於端點的 Defender 方案 1 功能的裝置不會列出任何弱點或安全性建議。
檢閱授權使用量
授權使用量報告會根據裝置上的登入活動進行估計。 適用於端點的 Defender 方案 2 授權是每個使用者,而且每個使用者最多可以有五個並行、上線的裝置。 若要深入瞭解授權條款,請 參閱授權Microsoft。
若要降低管理額外負荷,裝置對用戶對應和指派不需要。 相反地,授權報告會提供使用率估計,以根據整個組織中看到的裝置使用量來計算。 您的使用量報告最多可能需要一天的時間,才能反映裝置的作用中使用量。
重要事項
若要存取授權資訊,您必須在 Microsoft Entra ID 中指派下列其中一個角色:
- 安全性系統管理員
- 適用於端點的授權系統管理員和適用於端點的Defender系統管理員
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
選擇 [設定>端點>授權]。
檢閱可用和指派的授權。 計算是以已存取已上線至適用於端點的Defender的裝置所偵測到的用戶為基礎。
其他資源
- Microsoft 365 訂用帳戶的授權和產品條款。
- 如何連絡適用於端點的Defender支援。
- 開始使用 Microsoft Security (試用版供應專案)
- 適用於端點的 Microsoft Defender
- Microsoft商務用 Defender (中小型企業的端點保護)
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。