Koneksi komputer non-Azure Anda untuk Microsoft Defender untuk Cloud dengan Defender for Endpoint
Defender untuk Cloud memungkinkan Anda untuk langsung onboarding server non-Azure Anda dengan menyebarkan agen Defender for Endpoint. Ini memberikan perlindungan untuk aset cloud dan non-cloud Anda di bawah satu penawaran terpadu.
Catatan
Untuk menyambungkan komputer non-Azure Anda melalui Azure Arc, lihat Koneksi komputer non-Azure Anda untuk Microsoft Defender untuk Cloud dengan Azure Arc.
Pengaturan tingkat penyewa ini memungkinkan Anda untuk secara otomatis dan asli onboarding server non-Azure yang menjalankan Defender for Endpoint ke Defender untuk Cloud, tanpa penyebaran agen tambahan. Jalur onboarding ini sangat ideal untuk pelanggan dengan estat server campuran dan hibrid yang ingin mengonsolidasikan perlindungan server di bawah Pertahanan untuk Server.
Ketersediaan
| Aspek | Detail |
|---|---|
| Status rilis | GA |
| Sistem operasi yang didukung | Semua sistem operasi Windows dan LinuxServer yang didukung oleh Defender for Endpoint |
| Peran dan izin akses yang diperlukan | Untuk mengelola pengaturan ini, Anda memerlukan Pemilik Langganan (pada langganan yang dipilih), dan Administrator Global Microsoft Entra atau Administrator Keamanan Microsoft Entra |
| Lingkungan | Server lokal VM multicloud – dukungan terbatas (lihat bagian batasan) |
| Paket yang didukung | Defender untuk Server P1 Defender for Servers P2 – fitur terbatas (lihat bagian batasan) |
Cara kerjanya
Onboarding langsung adalah integrasi yang mulus antara Defender for Endpoint dan Defender untuk Cloud yang tidak memerlukan penyebaran perangkat lunak tambahan di server Anda. Setelah diaktifkan, ini juga menunjukkan perangkat server non-Azure Anda yang di-onboarding ke Defender for Endpoint di Defender untuk Cloud, di bawah Langganan Azure yang ditunjuk yang Anda konfigurasi (selain representasi reguler mereka di Portal Pertahanan Microsoft). Langganan Azure digunakan untuk lisensi, penagihan, pemberitahuan, dan wawasan keamanan tetapi tidak menyediakan kemampuan manajemen server seperti Azure Policy, Ekstensi, atau konfigurasi Tamu. Untuk mengaktifkan kemampuan manajemen server, lihat penyebaran Azure Arc.
Mengaktifkan onboarding langsung
Mengaktifkan onboarding langsung adalah pengaturan keikutsertaan di tingkat penyewa. Ini mempengaruhi server yang ada dan baru yang di-onboarding ke Defender untuk Titik Akhir di penyewa Microsoft Entra yang sama. Tak lama setelah Anda mengaktifkan pengaturan ini, perangkat server Anda akan ditampilkan di bawah langganan yang ditunjuk. Pemberitahuan, inventori perangkat lunak, dan data kerentanan terintegrasi dengan Defender untuk Cloud, dengan cara yang sama dengan cara kerjanya dengan Azure VM.
Sebelum Anda mulai:
- Pastikan Anda memiliki izin yang diperlukan
- Jika Anda memiliki lisensi Microsoft Defender untuk Titik Akhir untuk Server pada penyewa Anda, pastikan untuk menunjukkannya di Defender untuk Cloud
- Tinjau bagian batasan
Mengaktifkan di portal Defender untuk Cloud
- Buka Defender untuk Cloud> Environment Pengaturan> Alurkan onboarding.
- Alihkan tombol Onboarding langsung ke Aktif.
- Pilih langganan yang ingin Anda gunakan untuk server yang di-onboarding langsung dengan Defender for Endpoint.
- Pilih Simpan.
Anda sekarang berhasil mengaktifkan onboarding langsung pada penyewa Anda. Setelah Anda mengaktifkannya untuk pertama kalinya, mungkin perlu waktu hingga 24 jam untuk melihat server non-Azure Anda di langganan yang anda tentukan.
Menyebarkan Pertahanan untuk Titik Akhir di server Anda
Menyebarkan agen Defender for Endpoint di server Windows dan Linux lokal Anda sama apakah Anda menggunakan onboarding langsung atau tidak. Lihat panduan orientasi Defender for Endpoint untuk instruksi lebih lanjut.
Batasan saat ini
Dukungan paket: Onboarding langsung menyediakan akses ke semua fitur Defender for Server Paket 1. Namun, fitur tertentu dalam Paket 2 masih memerlukan penyebaran Agen Azure Monitor, yang hanya tersedia dengan Azure Arc di komputer non-Azure. Jika Anda mengaktifkan Paket 2 pada langganan yang ditunjuk, komputer yang di-onboarding langsung dengan Defender for Endpoint memiliki akses ke semua fitur Defender for Servers Paket 1 dan fitur Addon Manajemen Kerentanan Defender yang disertakan dalam Paket 2.
Dukungan multi-cloud: Anda dapat langsung melakukan onboarding VM di AWS dan GCP menggunakan agen Defender for Endpoint. Namun, jika Anda berencana untuk menyambungkan akun AWS atau GCP Anda secara bersamaan ke Defender for Server menggunakan konektor multicloud, saat ini masih disarankan untuk menyebarkan Azure Arc.
Dukungan terbatas orientasi simultan: Untuk server yang secara bersamaan melakukan onboarding menggunakan beberapa metode (misalnya, onboarding langsung yang dikombinasikan dengan onboarding berbasis ruang kerja Log Analytics), Defender untuk Cloud melakukan setiap upaya untuk menghubungkannya ke dalam satu representasi perangkat. Namun, perangkat yang menggunakan versi Defender for Endpoint yang lebih lama mungkin menghadapi batasan tertentu. Dalam beberapa kasus, ini dapat mengakibatkan kelebihan biaya. Kami umumnya menyarankan penggunaan versi agen terbaru. Secara khusus, untuk batasan ini, pastikan versi agen Defender for Endpoint Anda memenuhi atau melebihi versi minimum ini:
Sistem Operasi Versi agen minimum Windows 2019 10.8555 Windows 2012 R2, 2016 (modern, agen terpadu) 10.8560 Linux 30.101.23052.009
Langkah berikutnya
Halaman ini menunjukkan cara menambahkan mesin non-Azure ke Microsoft Defender untuk Cloud. Untuk memantau statusnya, gunakan alat inventaris seperti yang dijelaskan di halaman berikut: