Siirtyminen Microsoft Defender for Endpoint - vaihe 2: asennus

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vaihe 1: valmistele	Vaihe 2: määritys	Vaihe 3: käyttöönotto
	Sinä olet täällä!

Tervetuloa asennusvaiheeseen, jossa siirryt Defender for Endpointiin. Tässä vaiheessa on seuraavat vaiheet:

1. Asenna Microsoft Defender virustentorjunta uudelleen tai ota se käyttöön päätepisteissäsi.
2. Defenderin määrittäminen päätepistesuunnitelmaan 1 tai palvelupakettiin 2
3. Lisää Defender for Endpoint olemassa olevan ratkaisusi poissulkemisluetteloon.
4. Lisää aiemmin luotu ratkaisusi virustentorjunta Microsoft Defender poissulkemisluetteloon.
5. Määritä laiteryhmät, laitekokoelmat ja organisaatioyksiköt.

Vaihe 1: asenna Microsoft Defender virustentorjunta uudelleen tai ota se käyttöön päätepisteissäsi

Tietyissä Windows-versioissa Microsoft Defender virustentorjunta poistettiin todennäköisesti käytöstä, kun muu kuin Microsoftin virustentorjunta-/haittaohjelmistontorjuntaratkaisu asennettiin. Kun Windows-päätepisteet lisätään Defender for Endpointiin, Microsoft Defender virustentorjunta voidaan suorittaa passiivitilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Lisätietoja on artikkelissa Virustentorjunnan suojaus Defender for Endpointin avulla.

Siirryessäsi Defender for Endpointiin sinun on ehkä asennettava uudelleen tai otettava Microsoft Defender virustentorjunta käyttöön. Seuraavassa taulukossa kuvataan, mitä tehdä Windows-asiakkaille ja -palvelimille.

Päätepisteen tyyppi	Mitä tehdä?
Windows-asiakasohjelmat (esimerkiksi päätepisteet, jotka käyttävät Windows 10 ja Windows 11)	Yleensä sinun ei tarvitse tehdä mitään toimia Windows-asiakkaille (ellei Microsoft Defender virustentorjuntaa ole poistettu). Yleensä Microsoft Defender virustentorjunta pitäisi silti asentaa, mutta se on todennäköisesti poistettu käytöstä tässä vaiheessa siirtoprosessia. Kun asennettuna on muu kuin Microsoftin virustentorjunta-/haittaohjelmistontorjuntaratkaisu, eivätkä asiakkaat ole vielä mukana Defender for Endpointissa, Microsoft Defender virustentorjunta poistetaan käytöstä automaattisesti. Myöhemmin, kun asiakaspäätepisteet on otettu käyttöön Defender for Endpointissa ja jos päätepisteissä on käytössä jokin muu kuin Microsoftin virustentorjuntaratkaisu, Microsoft Defender virustentorjunta siirtyy passiivitilaan. Jos muun kuin Microsoftin virustentorjuntaratkaisun asennus poistetaan, Microsoft Defender virustentorjunta siirtyy automaattisesti aktiiviseen tilaan.
Windows-palvelimet	Windows Serverissä sinun on asennettava Microsoft Defender virustentorjunta uudelleen ja määritettävä se passiivitilaan manuaalisesti. Kun Windows-palvelimiin on asennettu muu kuin Microsoftin virustentorjunta/haittaohjelmien torjuntaohjelma, Microsoft Defender virustentorjuntaa ei voi suorittaa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Näissä tapauksissa Microsoft Defender virustentorjunta on poistettu käytöstä tai poistettu manuaalisesti. Asenna Microsoft Defender virustentorjunta uudelleen tai ota se käyttöön Windows Serverissä seuraavasti: - Ota Defenderin virustentorjunta uudelleen käyttöön Windows Serverissä, jos se on poistettu käytöstä - Ota Defenderin virustentorjunta uudelleen käyttöön Windows Serverissä, jos sen asennus poistettiin - Microsoft Defender virustentorjunnan määrittäminen passiivitilaan Windows Serverissä Jos kohtaat ongelmia Microsoft Defender virustentorjunnan uudelleenasentamisessa tai uudelleenasentamisessa Windows Serverissä, katso Vianmääritys: Microsoft Defender virustentorjunta poistetaan Windows Serveristä.

Vihje

Lisätietoja virustentorjuntaohjelman Microsoft Defender tiluksista, joissa virustentorjunta ei ole Microsoftin virustentorjuntaa, on artikkelissa Microsoft Defender virustentorjunnan yhteensopivuus.

Microsoft Defender virustentorjunnan määrittäminen passiivitilaan Windows Serverissä

Vihje

Voit nyt suorittaa Microsoft Defender virustentorjunnan passiivitilassa Windows Server 2012 R2:ssa ja 2016:ssa. Lisätietoja on artikkelissa Microsoft Defender for Endpoint asennusasetukset.

1. Avaa Rekisteri-Kirjoitusavustaja ja siirry sitten kohtaan Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

2. Muokkaa (tai luo) DWORD-merkintää nimeltä ForceDefenderPassiveMode ja määritä seuraavat asetukset:

   • Määritä DWORD:n arvoksi 1.

   • Valitse Perus-kohdastaHeksadesimaali.

Jos Microsoft Defender virustentorjuntaominaisuudet ja asennustiedostot on aiemmin poistettu Windows Server 2016:sta, palauta ominaisuuden asennustiedostot noudattamalla ohjeita kohdassa Windowsin korjauslähteen määrittäminen.

Huomautus

Kun olet perehdytnyt Defender for Endpointiin, sinun on ehkä määritettävä Microsoft Defender virustentorjunta passiivitilaan Windows Serverissä. Jos haluat varmistaa, että passiivitila on määritetty odotetulla tavalla, hae tapahtumaa 5007Microsoft-Windows-Windows Defender Toimintalokista (sijainnissa C:\Windows\System32\winevt\Logs), ja varmista, että joko ForceDefenderPassiveMode- tai PassiveMode-rekisteriavainten arvoksi on asetettu 0x1.

Käytätkö Windows Server 2012 R2:ta vai Windows Server 2016:ta?

Voit nyt suorittaa Microsoft Defender virustentorjunnan passiivitilassa Windows Server 2012 R2:ssa ja 2016:ssa edellisessä osiossa kuvatulla tavalla. Lisätietoja on artikkelissa Microsoft Defender for Endpoint asennusasetukset.

Vaihe 2: Defenderin määrittäminen päätepistesuunnitelmaan 1 tai palvelupakettiin 2

Tärkeää

• Tässä artikkelissa kerrotaan, miten voit määrittää Defender for Endpoint -ominaisuudet ennen laitteiden liittämistä.
• Jos sinulla on Defender for Endpoint Plan 1, suorita vaiheet 1-5 noudattamalla seuraavia ohjeita.
• Jos sinulla on Defender for Endpoint -palvelupaketti 2, suorita vaiheet 1–7 noudattamalla seuraavia ohjeita.

1. Varmista, että Defender for Endpoint on valmistelty. Siirry yleisenä järjestelmänvalvojana Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään. Valitse sitten siirtymisruudussa Assets>Devices.

   Seuraavassa taulukossa näytetään, miltä näyttösi saattaa näyttää ja mitä se tarkoittaa.

   Näytön	Mitä se tarkoittaa
   	Defender for Endpoint ei ole vielä valmis. Saatat joutua odottamaan vähän aikaa, ennen kuin prosessi päättyy.
   	Defender for Endpoint on valmistelty. Siirry tässä tapauksessa seuraavaan vaiheeseen.

2. Ota käyttöön peukaloinnin suojaus. Suosittelemme, että otat peukalointisuojauksen käyttöön koko organisaatiolle. Voit tehdä tämän tehtävän Microsoft Defender portaalissa (https://security.microsoft.com).

   1. Valitse Microsoft Defender portaalissa Asetukset>Päätepisteet.

   2. Siirry kohtaan Yleiset>lisäominaisuudet ja määritä sitten peukaloinnin suojauksen asetukseksi Käytössä.

   3. Valitse Tallenna.

   Lue lisätietoja peukaloinnin suojauksesta.

3. Jos aiot käyttää joko Microsoft Intune:a tai Microsoft Endpoint Configuration Manager--laitteisiin ja määrittää laitekäytäntöjä, määritä integrointi Defender for Endpointin kanssa seuraavasti:
   

   1. Siirry Microsoft Intune hallintakeskuksessa (https://endpoint.microsoft.com) kohtaan Päätepisteen suojaus.

   2. Valitse Asetukset-kohdastaMicrosoft Defender for Endpoint.

   3. Aseta Päätepisteen suojausprofiiliasetukset -kohdassaSalli Microsoft Defender for Endpoint ottaa käyttöön päätepisteen suojausmääritykset -asetuksen asetukseksi Käytössä.

   4. Valitse näytön yläreunasta Tallenna.

   5. Valitse Microsoft Defender portaalissa (https://security.microsoft.com) Asetukset>Päätepisteet.

   6. Vieritä alaspäin kohtaan Kokoonpanon hallinta ja valitse Pakota vaikutusalue.

   7. Ota suojausmääritysasetukset käyttöön mem MDE käyttöön valitsemalla Käytä MDE ja valitse sitten asetukset sekä Windows-asiakaslaitteille että Windows Server -laitteille.

   8. Jos aiot käyttää Configuration Manager, määritä suojausasetusten hallinta -asetuksen Configuration Manager käytössä -asetukseksi Käytössä. (Jos tarvitset apua tässä vaiheessa, katso Rinnakkaiskäyttö Microsoftin päätepisteen kanssa -Configuration Manager.)

   9. Vieritä alaspäin ja valitse Tallenna.

4. Määritä ensimmäiset hyökkäysalueen vähentämistoiminnot. Ota ainakin heti käyttöön seuraavassa taulukossa luetellut vakiosuojaussäännöt:

   Vakiosuojaussäännöt	Määritysmenetelmät
   Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Estä pysyvyys Windows Management Instrumentation (WMI) -tapahtumatilauksen kautta	Intune (laitteen määritysprofiilit tai päätepisteen suojauskäytännöt) Mobile Laitteiden hallinta (MDM) (Käytä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules määrityspalveluntarjoajaa (CSP), jos haluat ottaa erikseen käyttöön ja määrittää kunkin säännön tilan.) ryhmäkäytäntö tai PowerShell (vain, jos et käytä Intune, Configuration Manager tai muuta yritystason hallintaympäristöä)

   Lue lisätietoja hyökkäyspinnan pienentämistoiminnoista.

5. Määritä seuraavan sukupolven suojausominaisuudet.

   Valmiudet	Määritysmenetelmät
   Intune	1. Valitse Intune hallintakeskuksessaLaitteetAsetukset-profiilit> ja valitse sitten profiilityyppi, jonka haluat määrittää. Jos et ole vielä luonut laiterajoitusten profiilityyppiä tai jos haluat luoda uuden, katso Laiterajoitusasetusten määrittäminen Microsoft Intune. 2. Valitse Ominaisuudet ja valitse sitten Määritysasetukset: Muokkaa 3. Laajenna Microsoft Defender virustentorjunta. 4. Ota pilvipalveluun toimitettu suojaus käyttöön. 5. Valitse avattavasta Kehote käyttäjille ennen näytteen lähettämistä - valikosta Lähetä kaikki näytteet automaattisesti. 6. Valitse avattavasta Tunnista mahdollisesti ei-toivotut sovellukset - valikosta Ota käyttöön tai Valvo. 7. Valitse Tarkista + tallenna ja valitse sitten Tallenna. VIHJE: Lisätietoja Intune laiteprofiileista, kuten asetusten luomisesta ja määrittämisestä, on artikkelissa Mitä ovat Microsoft Intune laiteprofiilit?.
   Configuration Manager	Katso Create ja ota käyttöön haittaohjelmien torjuntakäytännöt Endpoint Protectionissa Configuration Manager. Kun luot ja määrität haittaohjelmien torjuntakäytäntöjä, tarkista reaaliaikaiset suojausasetukset ja ota esto käyttöön ensi silmäyksellä.
   Edistynyt ryhmäkäytäntö hallinta TAI ryhmäkäytäntö hallintakonsoli	1. Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta. 2. Etsi käytäntö nimeltä Poista Microsoft Defender virustentorjunta käytöstä. 3. Valitse Muokkaa käytäntöä -asetus ja varmista, että käytäntö on poistettu käytöstä. Tämä toiminto ottaa käyttöön Microsoft Defender virustentorjunnan. (Joissakin Windowsin versioissa saattaa näkyä Windows Defender virustentorjuntaMicrosoft Defender virustentorjuntaohjelma.)
   Ohjauspaneeli Windowsissa	Noudata seuraavia ohjeita: Ota Microsoft Defender virustentorjunta käyttöön. (Joissakin Windowsin versioissa saattaa näkyä Windows Defender virustentorjuntaMicrosoft Defender virustentorjuntaohjelma.)

   Jos sinulla on Defender for Endpoint -palvelupaketti 1, alkuperäinen määrityksesi on tehty toistaiseksi. Jos sinulla on Defender for Endpoint Plan 2, jatka vaiheisiin 6-7.

6. Määritä päätepisteen tunnistus- ja vastauskäytännöt Intune hallintakeskuksessa (https://endpoint.microsoft.com). Lisätietoja tästä tehtävästä on artikkelissa Create EDR-käytännöt.

7. Määritä automatisoidut tutkimus- ja korjaustoiminnot Microsoft Defender portaalissa (https://security.microsoft.com). Lisätietoja tästä tehtävästä on artikkelissa Automatisoidun tutkinnan ja korjausominaisuuksien määrittäminen Microsoft Defender for Endpoint.

   Tässä vaiheessa Defender for Endpoint -palvelupaketti 2:n alkuperäinen määritys ja määritys on valmis.

Vaihe 3: lisää Microsoft Defender for Endpoint olemassa olevan ratkaisusi poissulkemisluetteloon

Määritysprosessin tässä vaiheessa lisätään Defender for Endpoint olemassa olevan päätepisteen suojausratkaisun ja muiden organisaatiosi käyttämien suojaustuotteiden poissulkemisluetteloon. Muista lisätä poissulkemisia ratkaisusi palveluntarjoajan dokumentaatiosta.

Määritettävät erityiset poikkeukset määräytyvät sen mukaan, missä Windows-versiossa päätepisteet tai laitteet ovat käynnissä, ja ne luetellaan seuraavassa taulukossa.

OS	Poisjätöt
Windows 11 Windows 10, versio 1803 tai uudempi (katso Windows 10 julkaisutiedot) Windows 10, versio 1703 tai 1709, johon on asennettu KB4493441	C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, versio 1803	Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, joissa on käytössä nykyaikainen, yhdistetty ratkaisu, seuraavat poikkeukset vaaditaan sense EDR -komponentin päivittämisen jälkeen KB5005292: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1	C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe HUOMAUTUS: Isännän tilapäisten tiedostojen 6\45 valvonta voi olla eri numeroitu alikansio. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Tärkeää

Paras käytäntö on pitää organisaatiosi laitteet ja päätepisteet ajan tasalla. Varmista, että saat uusimmat päivitykset Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaohjelmaan, ja pidä organisaatiosi käyttöjärjestelmät ja tuottavuussovellukset ajan tasalla.

Vaihe 4: Lisää olemassa oleva ratkaisusi Microsoft Defender virustentorjunnan poissulkemisluetteloon

Asennusprosessin tässä vaiheessa lisäät olemassa olevan ratkaisusi Microsoft Defender virustentorjunnan poissulkemisten luetteloon. Voit valita useista tavoista lisätä poissulkemiset Microsoft Defender virustentorjuntaan seuraavassa taulukossa esitetyllä tavalla:

Menetelmä	Mitä tehdä?
Intune	1. Siirry Microsoft Intune hallintakeskukseen ja kirjaudu sisään. 2. Valitse Laitteiden>määritysprofiilit ja valitse sitten profiili, jonka haluat määrittää. 3. Valitse Hallinta-kohdastaOminaisuudet. 4. Valitse Määritysasetukset: Muokkaa. 5. Laajenna Microsoft Defender virustentorjunta ja laajenna sitten Microsoft Defender Virustentorjunta poissulkemiset. 6. Määritä tiedostot ja kansiot, laajennukset ja prosessit, jotka jätetään pois Microsoft Defender virustentorjuntatarkistuksia. Katso lisätietoja artikkelista Microsoft Defender virustentorjunnan poikkeukset. 7. Valitse Tarkista + tallenna ja valitse sitten Tallenna.
Microsoft Endpoint Configuration Manager	1. Siirry Configuration Manager konsolin avulla kohtaan Assets and Compliance>Endpoint Protection>Antimalware Policies ja valitse sitten käytäntö, jota haluat muokata. 2. Määritä poissulkemisasetukset tiedostoille ja kansioille, laajennuksille ja prosesseille, jotka jätetään pois Microsoft Defender virustentorjuntatarkistuksista.
ryhmäkäytäntö objekti	1. Avaa ryhmäkäytäntö hallintakonsoli ryhmäkäytäntö hallintatietokoneessa, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse sitten Muokkaa. 2. Valitse ryhmäkäytäntö-hallinta-KirjoitusavustajaTietokoneasetukset ja valitse Hallintamallit. 3. Laajenna puu Windowsin osiin > Microsoft Defender virustentorjuntapoikkeukset>. (Joissakin Windowsin versioissa saattaa näkyä Windows Defender virustentorjuntaMicrosoft Defender virustentorjuntaohjelma.) 4. Kaksoisnapsauta Path Exclusions - asetusta ja lisää poikkeukset. 5. Määritä asetuksen arvoksi Käytössä. 6. Valitse Asetukset-osiostaNäytä.... 7. Määritä kukin kansio omalle rivilleen Arvon nimi - sarakkeen alle. Jos määrität tiedoston, anna tiedostolle täydellinen polku, mukaan lukien aseman kirjain, kansiopolku, tiedostonimi ja tunniste. Kirjoita Arvo-sarakkeeseen0. 8. Valitse OK. 9. Kaksoisnapsauta Extension Exclusions -asetusta ja lisää poikkeukset. 10. Määritä asetuksen arvoksi Käytössä. 11. Valitse Asetukset-osiostaNäytä.... 12. Kirjoita kukin tiedostotunniste omalle rivilleen Arvon nimi - sarakkeen alle. Kirjoita Arvo-sarakkeeseen0. 13. Valitse OK.
Paikallinen ryhmäkäytäntöobjekti	1. Avaa päätepisteessä tai laitteessa Paikallinen ryhmäkäytäntö Kirjoitusavustaja. 2. Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defender Virustentorjunta>Poikkeukset. (Joissakin Windowsin versioissa saattaa näkyä Windows Defender virustentorjuntaMicrosoft Defender virustentorjuntaohjelma.) 3. Määritä polun ja prosessin poissulkemiset.
Rekisteriavain	1. Vie seuraava rekisteriavain: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions. 2. Tuo rekisteriavain. Tässä on kaksi esimerkkiä: - Paikallinen polku: regedit.exe /s c:\temp\MDAV_Exclusion.reg - Verkkoresurssi: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Lue lisätietoja Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poissulkemisista.

Muista seuraavat poissulkemisia koskevat seikat

Kun lisäät poissulkemisia Microsoft Defender virustentorjuntatarkistukset, lisää polku ja prosessin poikkeukset.

• Polkupoikkeukset sulkevat pois tietyt tiedostot ja kyseisten tiedostojen käyttöoikeudet.
• Prosessin poissulkemiset sulkevat pois prosessin kosketukset, mutta eivät itse prosessia.
• Luettele poikkeukset niiden koko polun perusteella, ei vain niiden nimen perusteella. (Vain nimi -menetelmän suojaus on heikompi.)
• Jos luettelet kunkin suoritettavan tiedoston (.exe) sekä polkupoikkeuksena että prosessin poissulkemisena, prosessi ja siihen liittyvät tiedot jätetään pois.

Vaihe 5: Laiteryhmien, laitekokoelmien ja organisaatioyksiköiden määrittäminen

Laiteryhmien, laitekokoelmien ja organisaatioyksiköiden avulla suojaustiimisi voi hallita ja määrittää suojauskäytäntöjä tehokkaasti ja tehokkaasti. Seuraavassa taulukossa kuvataan kukin näistä ryhmistä ja niiden määrittäminen. Organisaatiosi ei ehkä käytä kaikkia kolmea kokoelmatyyppiä.

Huomautus

Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Kokoelman tyyppi	Mitä tehdä?
Laiteryhmien (aiemmin koneryhmien) avulla suojaustiimi voi määrittää suojausominaisuuksia, kuten automatisoidun tutkinnan ja korjaamisen. Laiteryhmät ovat hyödyllisiä myös kyseisten laitteiden käyttöoikeuksien määrittämisessä, jotta suojaustoimintatiimisi voi tarvittaessa suorittaa korjaustoimia. Laiteryhmiä luodaan hyökkäyksen havaitsemisen ja pysäyttämisen aikana. Ilmoitukset, kuten "ensimmäinen käyttöoikeushälytys", käynnistyivät ja ilmestyivät Microsoft Defender portaalissa.	1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com). 2. Valitse vasemmassa siirtymisruudussa Asetukset>Päätepisteet>Käyttöoikeudet>Laiteryhmät. 3. Valitse + Lisää laiteryhmä. 4. Määritä laiteryhmän nimi ja kuvaus. 5. Valitse automaatiotason luettelosta vaihtoehto. (Suosittelemme täyttä - korjaa uhat automaattisesti.) Lisätietoja eri automaatiotasoista on artikkelissa Uhkien korjaaminen. 6. Määritä ehdot vastaavalle säännölle sen määrittämiseksi, mitkä laitteet kuuluvat laiteryhmään. Voit esimerkiksi valita toimialueen, käyttöjärjestelmäversiot tai jopa käyttää laitetunnisteita. 7. Määritä Käyttöoikeudet-välilehdessä roolit, joilla on oltava käyttöoikeus laiteryhmään kuuluviin laitteisiin. 8. Valitse Valmis.
Laitekokoelmien avulla suojaustoimintatiimisi voi hallita sovelluksia, ottaa yhteensopivuusasetuksia käyttöön tai asentaa ohjelmistopäivityksiä organisaatiosi laitteisiin. Laitekokoelmat luodaan käyttämällä Configuration Manager.	Noudata kokoelman Create ohjeita.
Organisaation yksiköiden avulla voit ryhmitillä loogisesti objekteja, kuten käyttäjätilejä, palvelutilejä tai tietokonetilejä. Voit sitten määrittää järjestelmänvalvojia tiettyihin organisaatioyksiköihin ja ottaa käyttöön ryhmäkäytännön kohdennettujen määritysasetusten pakottamiseksi. Organisaatioyksiköt on määritetty Microsoft Entra -toimialuepalvelut.	Noudata Microsoft Entra -toimialuepalvelut hallitun toimialueen organisaatioyksikön Create ohjeita.

Seuraavat vaiheet

Onneksi olkoon! Olet suorittanut asennusvaiheen siirtyessäsi Defender for Endpointiin!

• Jatka vaiheeseen 3: Perehdytys Defender for Endpointiin

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.