Einrichten Microsoft Defender for Endpoint Bereitstellung
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Der erste Schritt bei der Bereitstellung Microsoft Defender for Endpoint besteht darin, Ihre Defender für Endpunkt-Umgebung einzurichten.
In diesem Bereitstellungsszenario werden Sie durch die folgenden Schritte geführt:
- Lizenzierungsüberprüfung
- Mandantenkonfiguration
- Netzwerkkonfiguration
Hinweis
Um Sie durch eine typische Bereitstellung zu führen, deckt dieses Szenario nur die Verwendung von Microsoft Configuration Manager ab. Defender für Endpunkt unterstützt die Verwendung anderer Onboardingtools, aber diese Szenarien werden im Bereitstellungshandbuch nicht behandelt. Weitere Informationen finden Sie unter Identifizieren der Defender für Endpunkt-Architektur und -Bereitstellungsmethode.
Überprüfen des Lizenzstatus
Die Überprüfung auf den Lizenzstatus und ob er ordnungsgemäß bereitgestellt wurde, kann über das Admin Center oder über die Microsoft Azure-Portal erfolgen.
Navigieren Sie zum Anzeigen Ihrer Lizenzen zum Microsoft-Azure-Portal, und navigieren Sie zum Abschnitt Microsoft Azure-Portal-Lizenz.
Navigieren Sie alternativ im Admin Center zuAbrechnungsabonnements>.
Auf dem Bildschirm werden alle bereitgestellten Lizenzen und deren aktueller Status angezeigt.
Cloud-Dienstanbieterüberprüfung
Um Zugriff darauf zu erhalten, welche Lizenzen für Ihr Unternehmen bereitgestellt werden, und um den Status der Lizenzen zu überprüfen, wechseln Sie zum Admin Center.
Wählen Sie im Partnerportaldienste > verwalten Office 365 aus.
Wenn Sie auf den Link Partnerportal klicken, wird die Option Admin im Auftrag geöffnet, und Sie erhalten Zugriff auf das Kunden-Admin Center.
Mandantenkonfiguration
Das Onboarding in Microsoft Defender for Endpoint ist einfach. Wählen Sie im Navigationsmenü ein beliebiges Element im Abschnitt Endpunkte oder ein beliebiges Microsoft Defender XDR Feature wie Incidents, Hunting, Info-Center oder Bedrohungsanalyse aus, um den Onboardingprozess zu initiieren.
Navigieren Sie in einem Webbrowser zum Microsoft Defender-Portal.
Rechenzentrumsstandort
Microsoft Defender for Endpoint speichern und verarbeiten Daten an demselben Speicherort, der von Microsoft Defender XDR verwendet wird. Wenn Microsoft Defender XDR noch nicht aktiviert wurde, wird das Onboarding in Microsoft Defender for Endpoint auch Microsoft Defender XDR aktiviert, und ein neuer Rechenzentrumsstandort wird automatisch basierend auf dem Standort der aktiven Microsoft 365-Sicherheitsdienste ausgewählt. Der ausgewählte Standort des Rechenzentrums wird auf dem Bildschirm angezeigt.
Netzwerkkonfiguration
Wenn die organization nicht erfordert, dass die Endpunkte einen Proxy für den Zugriff auf das Internet verwenden, überspringen Sie diesen Abschnitt.
Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren. Der eingebettete Microsoft Defender for Endpoint Sensor wird mithilfe des LocalSystem-Kontos im Systemkontext ausgeführt. Der Sensor verwendet Microsoft Windows-HTTP-Dienste (WinHTTP), um die Kommunikation mit dem Microsoft Defender für Endpunkt-Clouddienst zu ermöglichen. Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Proxyeinstellungen des Windows Internet-Browsens (WinINet) und kann einen Proxyserver nur mithilfe der folgenden Ermittlungsmethoden ermitteln:
AutoErmittlungsmethoden:
- Transparenter Proxy
- Webproxy Autoermittlungsprotokoll (WPAD)
Wenn ein transparenter Proxy oder WPAD in der Netzwerktopologie implementiert wurde, sind keine speziellen Konfigurationseinstellungen erforderlich. Weitere Informationen zu Microsoft Defender for Endpoint URL-Ausschlüssen im Proxy finden Sie im Abschnitt Proxydienst-URLs in diesem Dokument für die Liste zugelassener URLs oder unter Konfigurieren von Einstellungen für Geräteproxy und Internetkonnektivität.
Manuelle statische Proxykonfiguration:
Registrierungsbasierte Konfiguration
WinHTTP, konfiguriert mit dem Netsh-Befehl
Nur für Desktops in einer stabilen Topologie geeignet (z. B. ein Desktop in einem Unternehmensnetzwerk hinter demselben Proxy).
Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys
Konfigurieren Sie einen registrierungsbasierten statischen Proxy, damit nur Microsoft Defender for Endpoint Sensor Diagnosedaten meldet und mit Microsoft Defender for Endpoint Diensten kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf. Der statische Proxy kann mithilfe von Gruppenrichtlinien konfiguriert werden. Die Gruppenrichtlinien finden Sie unter:
- Administrative Vorlagen > Datensammlung und Vorschaubuilds > für Windows-Komponenten > Konfigurieren der Verwendung von authentifizierten Proxys für den Connected User Experience and Telemetry Service
- Legen Sie ihn auf Aktiviert fest, und wählen Sie Die Verwendung authentifizierter Proxys deaktivieren aus.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Create eine Richtlinie oder bearbeiten Sie eine vorhandene Richtlinie basierend auf den Organisationspraktiken.
Bearbeiten Sie die Gruppenrichtlinie, und navigieren Sie zu Administrative Vorlagen > Windows-Komponenten > Datensammlung und Vorschaubuilds > Konfigurieren der Verwendung authentifizierter Proxys für den Connected User Experience and Telemetry Service.
Wählen Sie Aktiviert aus.
Wählen Sie Authentifizierte Proxynutzung deaktivieren aus.
Navigieren Sie zu Administrative Vorlagen > Windows-Komponenten > Datensammlung und Vorschaubuilds > Verbundene Benutzeroberflächen und Telemetrie konfigurieren.
Wählen Sie Aktiviert aus.
Geben Sie den Namen des Proxyservers ein.
Die Richtlinie setzt zwei Registrierungswerte (TelemetryProxyServer als "REG_SZ" und DisableEnterpriseAuthProxy als "REG_DWORD") unter dem Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\DataCollection fest.
Der Registrierungswert TelemetryProxyServer hat das folgende Zeichenfolgenformat:
<server name or ip>:<port>
Beispiel: 10.0.0.6:8080.
Der Registrierungswert DisableEnterpriseAuthProxy sollte auf 1 festgelegt werden.
Konfigurieren Sie den Proxyserver manuell mit dem Befehl netsh
Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.
Hinweis
- Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.
- Laptops, die die Topologie ändern (z. B. vom Büro nach zu Hause), funktionieren mit netsh nicht. Verwenden Sie die registrierungsbasierte Konfiguration für statische Proxys.
Öffnen Sie eine Befehlszeile mit erhöhten Rechten:
- Wechseln Sie zu Start, und geben Sie cmd ein.
- Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:
netsh winhttp set proxy <proxy>:<port>Beispiel: netsh winhttp set proxy 10.0.0.6:8080
Proxykonfiguration für geräteabgeschaltete Geräte
Down-Level Geräte umfassen Windows 7 SP1 und Windows 8.1 Arbeitsstationen sowie Windows Server 2008 R2 und andere Serverbetriebssysteme, die zuvor mithilfe von Microsoft Monitoring Agent integriert wurden. Bei diesen Betriebssystemen ist der Proxy als Teil des Microsoft-Verwaltungs-Agents für die Kommunikation zwischen dem Endpunkt und Azure konfiguriert. Informationen zur Konfiguration eines Proxys auf diesen Geräten finden Sie im Leitfaden zur schnellen Bereitstellung des Microsoft-Verwaltungs-Agents.
Proxydienst-URLs
URLs, die v20 enthalten, sind nur erforderlich, wenn Sie über Windows 10, Version 1803 oder Windows 11 Geräte verfügen. Ist beispielsweise nur erforderlich, us-v20.events.data.microsoft.com wenn sich das Gerät auf Windows 10, Version 1803 oder Windows 11 befindet.
Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, da Microsoft Defender for Endpoint Sensor eine Verbindung aus dem Systemkontext herstellt, stellen Sie sicher, dass anonymer Datenverkehr in den aufgeführten URLs zulässig ist.
In der folgenden herunterladbaren Tabelle sind die Dienste und die zugehörigen URLs aufgeführt, mit denen Ihr Netzwerk eine Verbindung herstellen kann. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern würden, oder Sie müssen möglicherweise eine Zulassungsregel speziell für sie erstellen.
| Kalkulationstabelle der Domänenliste | Beschreibung |
|---|---|
| Microsoft Defender für Endpunkt URL-Liste für kommerzielle Kunden | Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden. Laden Sie die Tabelle hier herunter. |
| Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD | Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden. Laden Sie die Tabelle hier herunter. |
Nächster Schritt
- Fahren Sie mit Schritt 2 fort: Zuweisen von Rollen und Berechtigungen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für