來自先前 MMA 架構 適用於端點的 Microsoft Defender 解決方案的伺服器移轉案例
適用於:
- 伺服器的 適用於端點的 Microsoft Defender
- 伺服器方案 1 或方案 2 的 Microsoft Defender
注意事項
在 Windows Server 2016 上,請務必先確定作系統和 Microsoft Defender 防病毒軟體已完全更新,再繼續安裝或升級。 若要接收 EDR 感測器元件的一般產品改進和修正,請確定 Windows Update KB5005292在安裝之後套用或核准。 此外,若要讓保護元件保持更新,請參閱管理 Microsoft Defender 防病毒軟體更新並套用基準。
這些指示適用於適用於 Windows Server 2012 R2 和 Windows Server 2016 的適用於端點的 Defender (MSI) 套件的新整合解決方案和安裝程式。 本文包含從先前到目前解決方案的各種可能移轉案例的高階指示。 這些高階步驟旨在作為要調整為您環境中可用之部署和設定工具的指導方針。
如果您使用 Microsoft Defender for Cloud 來執行部署,您可以將安裝和升級自動化。 請參閱適用於伺服器的 Defender 方案 2 現在與 MDE 整合解決方案整合
注意事項
不支援安裝適用於端點的Defender的作系統升級。 下架、卸載、升級作系統,然後繼續安裝。
安裝程式腳本
注意事項
請確定您執行文稿的電腦不會封鎖文稿的執行。 PowerShell 的建議執行原則設定為 Allsigned。 如果腳本在端點上以 SYSTEM 身分執行,則需要將腳本的簽署憑證匯入本機電腦信任的發行者存放區。
若要在Microsoft端點 Configuration Manager 尚無法使用或更新以執行自動升級時加速升級,您可以使用此升級腳本。 選取 [程序代碼] 按鈕並下載 .zip 檔案,然後擷取 install.ps1。 它可協助自動化下列必要步驟:
拿掉適用於端點的Defender的 OMS 工作區 (選擇性) 。
如果已安裝 SCEP) 用戶端,請移除 System Center Endpoint Protection (。
視需要下載並安裝 必要 條件。
啟用和更新 Windows Server 2016 上的 Microsoft Defender 防病毒軟體功能。
安裝適用於端點的Defender。
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載 群組原則 使用。
若要使用文稿,請將它下載到您也已放置安裝和上架套件的安裝目錄, (請參閱設定 伺服器端點) 。
例:
.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd"
如需如何使用文稿的詳細資訊,請使用 PowerShell 命令 get-help .\install.ps1。
Microsoft端點 Configuration Manager 移轉案例
注意事項
您需要 Configuration Manager 版本 2107 或更新版本,才能執行 Endpoint Protection 原則設定。 從 2207 版或更新版本 的部署和升級可以完全自動化。
如需如何使用 2207 版 Configuration Manager 移轉的指示,請參閱將伺服器從 Microsoft Monitoring Agent 移轉至整合解決方案。
如果您執行非Microsoft防病毒軟體解決方案
完整更新機器,包括 Microsoft Defender 防病毒軟體 (Windows Server 2016) 確保已符合必要條件。 如需必須符合之必要條件的詳細資訊,請參閱 Windows Server 2016的必要條件。
請確定您的非Microsoft防病毒軟體管理解決方案不會再將防病毒軟體代理程式推送至這些機器。
在適用於端點的Defender中撰寫保護功能的原則,並在您選擇的工具中將這些功能目標設為計算機。
安裝適用於 Windows Server 2012 R2 和 Windows Server 2016 的適用於端點的 Defender 套件,並將它設定為被動模式。
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載 群組原則 使用。
套用更新。
使用非Microsoft防病毒軟體控制台,或視需要使用 Configuration Manager,移除您的非Microsoft防病毒軟體。 請務必移除被動模式設定。
若要將機器移出被動模式,請設定下列密鑰:
路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection名稱:ForceDefenderPassiveMode類型:REG_DWORD值:0
提示
您可以使用 [installer-script] (server-migration.md#installer 腳本) 作為應用程式的一部分,將上述步驟自動化。 若要啟用被動模式,請套用 -Passive 旗標。 例如,.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd" -Passive。
在上述程式中,只有當您想要取代非Microsoft防病毒軟體解決方案時,才適用步驟 2 和 7。 請一起查看[更好]:Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender。
如果您執行 System Center Endpoint Protection 但未使用 Configuration Manager (MECM/ConfigMgr)
完整更新機器,包括 Microsoft Defender 防病毒軟體 (Windows Server 2016) 確保已符合必要條件。
使用 群組原則、PowerShell 或非Microsoft管理解決方案來建立和套用原則。
卸載 System Center Endpoint Protection (Windows Server 2012 R2) 。
安裝 適用於端點的 Microsoft Defender (請參閱設定伺服器 endpoints.)
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載 群組原則 使用。
套用更新。
提示
您可以使用安裝程式腳本來自動化上述程式中的步驟。
雲端案例的 Microsoft Defender
您使用雲端 Microsoft Defender。 已安裝適用於 Azure (SCEP) 的 Microsoft Monitoring Agent (MMA) 和/或 Microsoft Antimalware,而您想要升級。
如果您使用 Microsoft Defender for Cloud,您可以使用自動化升級程式。 請參閱使用適用於雲端的Defender整合式EDR解決方案保護您的端點:適用於端點的 Microsoft Defender。
群組原則 組態
針對使用 群組原則 進行設定,請確定您使用中央存放區中最新的 ADMX 檔案來存取正確的適用於端點的 Defender 原則選項。 如需參考,請參閱如何在 Windows 中建立和管理 群組原則 系統管理範本的中央存放區,並下載最新檔案以與 Windows 10 搭配使用。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。