Delen via

Microsoft Defender voor Eindpunt-abonnementsinstellingen beheren op verschillende clientapparaten

  • Artikel

In Defender voor Eindpunt is een scenario met gemengde licenties een situatie waarin een organisatie gebruikmaakt van een combinatie van Defender voor Eindpunt-abonnement 1- en abonnement 2-licenties. In de volgende tabel worden voorbeelden van scenario's met gemengde licenties beschreven:

Scenario Omschrijving
Gemengde tenant Gebruik verschillende sets mogelijkheden voor groepen gebruikers en hun apparaten. Voorbeelden zijn:
- Defender voor Eindpunt Plan 1 en Defender voor Eindpunt plan 2
- Microsoft 365 E3 en Microsoft 365 E5
Gemengde proefversie Probeer een premium-abonnement voor sommige gebruikers. Voorbeelden zijn:
- Defender voor Eindpunt-abonnement 1 (aangeschaft voor alle gebruikers) en Defender voor Eindpunt-abonnement 2 (er is een proefabonnement gestart voor sommige gebruikers)
- Microsoft 365 E3 (aangeschaft voor alle gebruikers) en Microsoft 365 E5 (voor sommige gebruikers is een proefabonnement gestart)
Gefaseerde upgrades Upgrade gebruikerslicenties in fasen. Voorbeelden zijn:
- Groepen gebruikers verplaatsen van Defender voor Eindpunt plan 1 naar plan 2
- Groepen gebruikers verplaatsen van Microsoft 365 E3 naar E5

Tot voor kort werden scenario's voor gemengde licenties niet ondersteund; in het geval van meerdere abonnementen heeft het hoogste functionele abonnement voorrang voor uw tenant. U kunt nu uw abonnementsinstellingen beheren voor scenario's met gemengde licenties op verschillende clientapparaten. Met deze mogelijkheden kunt u het volgende doen:

  • Stel uw tenant in op de gemengde modus en tag apparaten om te bepalen welke clientapparaten functies en mogelijkheden van elk abonnement ontvangen (we noemen deze optie gemengde modus); OF,
  • Gebruik de functies en mogelijkheden van één abonnement op al uw clientapparaten.

U kunt ook een nieuw rapport over licentiegebruik gebruiken om de status bij te houden.

Opmerking

Als u Microsoft Defender voor Bedrijven gebruikt en u wilt overschakelen naar Defender for Endpoint Plan 2, raadpleegt u Uw abonnement op eindpuntbeveiliging wijzigen.

Uw tenant instellen op gemengde modus en apparaten taggen

Belangrijk

  • Instellingen voor gemengde modus zijn alleen van toepassing op clienteindpunten. Het taggen van serverapparaten verandert de abonnementsstatus niet. Alle serverapparaten met Windows Server of Linux moeten de juiste licenties hebben, zoals Defender for Servers. Zie Opties voor onboarding van servers.
  • Volg de procedures in dit artikel om scenario's met gemengde licenties in uw omgeving uit te proberen. Als u gebruikerslicenties toewijst in de Microsoft 365-beheercentrum (https://admin.microsoft.com), wordt uw tenant niet ingesteld op de gemengde modus.
  • U moet actieve proeflicenties of betaalde licenties hebben voor zowel Defender voor Eindpunt-abonnement 1 als abonnement 2.
  • Voor toegang tot licentiegegevens moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID:
    • Algemene beheerder
    • Beveiligings Beheer
    • Licentie Beheer + MDE Beheer

  1. Ga als beheerder naar de Microsoft Defender portal (https://security.microsoft.com) en meld u aan.

  2. Ga naar Instellingen>Eindpuntlicenties>. Uw gebruiksrapport wordt geopend en bevat informatie over de Defender for Endpoint-licenties van uw organisatie.

  3. Selecteer onder Abonnementsstatusde optie Abonnementsinstellingen beheren.

    Opmerking

    Als u Abonnementsinstellingen beheren niet ziet, is aan ten minste een van de volgende voorwaarden voldaan:

    • U hebt Defender voor Eindpunt plan 1 of abonnement 2 (maar niet beide); Of
    • Mogelijkheden voor gemengde licenties zijn nog niet geïmplementeerd voor uw tenant.

  4. Er wordt een flyout abonnementsinstellingen geopend. Kies de optie voor het gebruik van Defender voor Eindpunt-abonnement 1 en abonnement 2. (Er treden geen wijzigingen op totdat apparaten volgens de volgende stap zijn getagd.)

  5. Tag de apparaten die de mogelijkheden van Defender for Endpoint Plan 1 of Plan 2 moeten ontvangen. U kunt ervoor kiezen om uw apparaten handmatig te taggen of met behulp van een dynamische regel. Meer informatie over apparaatlabels.

    Methode Details
    Apparaten handmatig taggen Als u apparaten handmatig wilt taggen, maakt u een tag met de naam License MDE P1 en past u deze toe op apparaten. Zie apparaattags Creatie en beheren voor hulp bij deze stap.

    Houd er rekening mee dat apparaten die zijn getagd met de License MDE P1 tag met behulp van de registersleutelmethode , geen downgradefunctionaliteit ontvangen. Als u apparaten wilt taggen met behulp van de registersleutelmethode, gebruikt u een dynamische regel in plaats van handmatig taggen.
    Apparaten automatisch taggen met behulp van een dynamische regel Dynamische regelfunctionaliteit is nieuw voor scenario's met gemengde licenties. Hiermee kunt u een dynamisch en gedetailleerd niveau van controle toepassen over hoe u apparaten beheert.

    Als u een dynamische regel wilt gebruiken, geeft u een set criteria op op basis van apparaatnaam, domein, besturingssysteemplatform en/of apparaattags. Apparaten die voldoen aan de opgegeven criteria, ontvangen de mogelijkheden van Defender for Endpoint Plan 1 of Plan 2 volgens uw regel.

    Wanneer u uw criteria definieert, kunt u de volgende voorwaardeoperators gebruiken:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    Voor Apparaatnaam kunt u vrije tekst gebruiken.

    Voor Domein selecteert u in een lijst met domeinen.

    Voor besturingssysteemplatform selecteert u in een lijst met besturingssystemen.

    Gebruik voor Tag de optie vrije tekst. Typ de tagwaarde die overeenkomt met de apparaten die de mogelijkheden van Defender for Endpoint Plan 1 of Plan 2 moeten ontvangen. Zie het voorbeeld in Meer informatie over apparaatlabels.

    Apparaattags zijn zichtbaar in de weergave Apparaatinventarisatie en in de Defender voor Eindpunt-API's.

    Opmerking

    Dynamisch toegevoegde Defender voor Endpoint P1-tags kunnen momenteel niet worden gefilterd in de weergave Apparaatinventaris.

  6. Sla uw regel op en wacht maximaal drie (3) uur totdat tags zijn toegepast. Ga vervolgens verder met Valideren dat een apparaat alleen mogelijkheden van Defender for Endpoint Plan 1 ontvangt.

Meer informatie over apparaattags

Zoals beschreven in de Tech Community-blog: Tagging effectief gebruiken, biedt apparaattags u gedetailleerde controle over apparaten. Met apparaattags kunt u het volgende doen:

  • Bepaalde apparaten weergeven voor afzonderlijke gebruikers in de Microsoft Defender portal, zodat ze alleen de apparaten zien waarvoor ze verantwoordelijk zijn.
  • Apparaten opnemen of uitsluiten van specifiek beveiligingsbeleid.
  • Bepaal welke apparaten de mogelijkheden van Defender for Endpoint Plan 1 of Plan 2 moeten ontvangen.

Stel dat u een tag wilt gebruiken met de naam VIP voor alle apparaten die defender voor eindpuntplan 2-mogelijkheden moeten ontvangen. U doet het volgende:

  1. Creatie een apparaattag met de naam VIPen pas deze toe op alle apparaten die defender voor eindpuntplan 2-mogelijkheden moeten ontvangen. Gebruik een van de volgende methoden om uw apparaattag te maken:

  2. Stel een dynamische regel in met behulp van de voorwaardeoperator Tag Does not contain VIP. In dit geval ontvangen alle apparaten die niet over de VIP tag beschikken de License MDE P1 tag en de mogelijkheden van Defender for Endpoint Plan 1.

Controleer of een apparaat alleen mogelijkheden van Defender for Endpoint Plan 1 ontvangt

Nadat u defender voor eindpuntplan 1-mogelijkheden hebt toegewezen aan sommige of alle apparaten, kunt u controleren of een afzonderlijk apparaat deze mogelijkheden ontvangt.

  1. Ga in de Microsoft Defender portal (https://security.microsoft.com) naar Assets>Devices.

  2. Selecteer een apparaat dat is getagd met License MDE P1. U ziet dat Defender voor Eindpunt-abonnement 1 is toegewezen aan het apparaat.

Opmerking

Op apparaten waaraan de mogelijkheden van Defender for Endpoint Plan 1 zijn toegewezen, worden geen beveiligingsproblemen of beveiligingsaanbeveling vermeld.

Licentiegebruik controleren

Het licentiegebruiksrapport wordt geschat op basis van aanmeldingsactiviteiten op het apparaat. Defender for Endpoint Plan 2-licenties zijn per gebruiker en elke gebruiker kan maximaal vijf gelijktijdige, onboarded apparaten hebben. Zie Microsoft-licenties voor meer informatie over licentievoorwaarden.

Om de overhead van het beheer te verminderen, is het toewijzen en toewijzen van apparaten aan gebruikers niet vereist. In plaats daarvan biedt het licentierapport een schatting van het gebruik die wordt berekend op basis van het apparaatgebruik in uw organisatie. Het kan tot één dag duren voordat uw gebruiksrapport het actieve gebruik van uw apparaten weergeeft.

Belangrijk

Voor toegang tot licentiegegevens moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID:

  • Beveiligings Beheer
  • Algemene beheerder
  • Licentie Beheer + MDE Beheer

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Kies Instellingen>Eindpuntlicenties>.

  3. Controleer uw beschikbare en toegewezen licenties. De berekening is gebaseerd op gedetecteerde gebruikers die toegang hebben tot apparaten waarvoor onboarding is uitgevoerd op Defender for Endpoint.

Meer informatie

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.