Microsoft Defender instellen voor endpoint-implementatie
Van toepassing op:
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Het implementeren van Defender voor Eindpunt is een proces in drie fasen:
 Fase 1: Voorbereiden |
 Fase 2: Instellen |
 Fase 3: Onboarden |
|---|---|---|
| U bent er! |
U bent momenteel bezig met de in te stellen fase.
In dit implementatiescenario wordt u begeleid door de stappen op:
- Validatie van licenties
- Tenantconfiguratie
- Netwerkconfiguratie
Notitie
Om u te begeleiden bij een normale implementatie, wordt in dit scenario alleen het gebruik van Microsoft Endpoint Configuration Manager. Defender voor Eindpunt ondersteunt het gebruik van andere onboarding-hulpprogramma's, maar dekt deze scenario's niet in de implementatiehandleiding. Zie Onboard devices to Microsoft Defender for Endpoint (Onboard devices to Microsoft Defender for Endpoint) voor meer informatie.
Licentiestaat controleren
Controleren op de licentiestaat en of deze goed is ingericht, kan via het beheercentrum of via de Microsoft Azure portal.
Als u uw licenties wilt bekijken, gaat u naar de Microsoft Azure portal en gaat u naar de Microsoft Azure portallicentiesectie.
U kunt ook in het beheercentrum naar > Factureringsabonnementen gaan.
Op het scherm ziet u alle inrichtende licenties en de huidige status.
Validatie van cloudserviceprovider
Als u toegang wilt krijgen tot welke licenties aan uw bedrijf zijn ingericht en om de status van de licenties te controleren, gaat u naar het beheercentrum.
Selecteer services beheren in de partnerportal > Office 365.
Als u op de koppeling Partnerportal klikt, wordt de optie Beheerder namens geopend en hebt u toegang tot het klantbeheerderscentrum.
Tenantconfiguratie
Onboarding naar Microsoft Defender voor Endpoint is eenvoudig. Selecteer in het navigatiemenu een item onder de sectie Eindpunten of een Microsoft 365 Defender-functie zoals Incidenten, Jagen, Actiecentrum of Bedreigingsanalyse om het onboardingproces te starten.
Navigeer vanuit een webbrowser naar de Microsoft 365 Defender portal.
Netwerkconfiguratie
Als de organisatie niet vereist dat de eindpunten een proxy gebruiken om toegang te krijgen tot internet, slaat u deze sectie over.
De Microsoft Defender voor eindpunten-sensor vereist dat Microsoft Windows HTTP (WinHTTP) sensorgegevens rapporteert en communiceert met de Microsoft Defender for Endpoint-service. De ingesloten Microsoft Defender voor Eindpunt-sensor wordt uitgevoerd in de systeemcontext met behulp van het LocalSystem-account. De sensor gebruikt Microsoft Windows HTTP Services (WinHTTP) om communicatie met de Microsoft Defender for Endpoint-cloudservice in te stellen. De configuratie-instelling WinHTTP is onafhankelijk van de instellingen Windows Internet (WinINet) voor internetbrowsingsproxy en kan alleen een proxyserver vinden met behulp van de volgende detectiemethoden:
Autodiscovery-methoden:
- Transparante proxy
- Web proxy Autodiscovery Protocol (WPAD)
Als een transparante proxy of WPAD is geïmplementeerd in de netwerktopologie, is er geen speciale configuratie-instellingen nodig. Zie de sectie URL's proxyservice in dit document voor de lijst URL's toestaan of instellingen voor apparaatproxy en internetverbinding configureren voor meer informatie over URL-uitsluitingen van Microsoft Defender voor eindpunten in de proxy.
Handmatige statische proxyconfiguratie:
Configuratie op basis van register
WinHTTP geconfigureerd met de opdracht Netsh
Alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld een bureaublad in een bedrijfsnetwerk achter dezelfde proxy).
De proxyserver handmatig configureren met een statische proxy op basis van het register
Configureer een statische proxy op basis van het register zodat alleen de Sensor voor Eindpunten van Microsoft Defender diagnostische gegevens kan rapporteren en kan communiceren met Microsoft Defender voor endpoint-services als een computer geen verbinding mag maken met internet. De statische proxy kan worden geconfigureerd via Group Policy (GP). U vindt het groepsbeleid onder:
- Beheersjablonen > Windows onderdelen verzamelen en preview-versies Configureren Geverifieerd proxygebruik configureren voor de verbonden > > gebruikerservaring en telemetrieservice
- Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen
Open de Console Groepsbeleidsbeheer.
Maak een beleid of bewerk een bestaand beleid op basis van de organisatiepraktijken.
Bewerk het groepsbeleid en navigeer naar beheersjablonen Windows Onderdelengegevensverzameling en > > Preview-versies Configure Authenticated Proxy usage for > the Connected User Experience and Telemetry Service.
Selecteer Ingeschakeld.
Selecteer Geverifieerd proxygebruik uitschakelen.
Ga naar beheersjablonen > Windows > Onderdelengegevensverzameling en Preview-builds Configureren verbonden > gebruikerservaringen en telemetrie.
Selecteer Ingeschakeld.
Voer de naam van de proxyserver in.
Met het beleid worden twee registerwaarden TelemetryProxyServer als REG_SZ ingesteld en wordt DisableEnterpriseAuthProxy als REG_DWORD ingesteld onder de registersleutel HKLM\Software\Policies\Microsoft\Windows\DataCollection.
De registerwaarde TelemetryProxyServer heeft de volgende tekenreeksindeling:
<server name or ip>:<port>
Bijvoorbeeld: 10.0.0.6:8080
De registerwaarde DisableEnterpriseAuthProxy moet worden ingesteld op 1.
De proxyserver handmatig configureren met de opdracht Netsh
Gebruik netsh om een statische proxy voor het hele systeem te configureren.
Notitie
- Dit is van invloed op alle toepassingen, inclusief Windows-services die WinHTTP met standaardproxy gebruiken.
- Laptops die de topologie wijzigen (bijvoorbeeld van kantoor naar thuis) werken niet goed met netsh. Gebruik de statische proxyconfiguratie op basis van het register.
Open een opdrachtpromptregel met verhoogde bevoegdheid.
- Go to Start and type cmd.
- Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.
Voer de volgende opdracht in en druk op Enter:
netsh winhttp set proxy <proxy>:<port>Bijvoorbeeld: netsh winhttp set proxy 10.0.0.6:8080
Proxyconfiguratie voor apparaten met een laag niveau
Down-Level apparaten zijn Windows 7 SP1- en Windows 8.1-werkstations en Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 en versies van Windows Server 2016 vóór Windows Server CB 1803. Deze besturingssystemen hebben de proxy geconfigureerd als onderdeel van de Microsoft Management Agent voor het verwerken van communicatie van het eindpunt naar Azure. Raadpleeg de Microsoft Management Agent Fast Deployment Guide voor informatie over de configuratie van een proxy op deze apparaten.
URL's voor proxyservice
URL's die v20 bevatten, zijn alleen nodig als u Windows 10, versie 1803 of Windows 11 apparaten hebt. Is bijvoorbeeld alleen nodig als het apparaat zich op us-v20.events.data.microsoft.com Windows 10, versie 1803 of Windows 11.
Als een proxy of firewall anoniem verkeer blokkeert, aangezien microsoft Defender voor eindpunten-sensor verbinding maakt vanuit de systeemcontext, moet u ervoor zorgen dat anoniem verkeer is toegestaan in de vermelde URL's.
In de volgende downloadbare spreadsheet vindt u de services en bijbehorende URL's waar uw netwerk verbinding mee moet kunnen maken. Zorg ervoor dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren, of u moet mogelijk een regel voor toestaan speciaal voor deze url's maken.
| Spreadsheet met domeinenlijst | Omschrijving |
|---|---|
 |
Spreadsheet met specifieke DNS-records voor servicelocaties, geografische locaties en besturingssysteem. |
Volgende stap
Fase 3: Onboard:Apparaten aan boord van de service, zodat de Microsoft Defender voor Eindpunt-service sensorgegevens van deze apparaten kan krijgen.