Integrar dispositivos para Microsoft Defender para Empresas

Este artigo descreve como integrar dispositivos ao Defender para Empresas.

Integre seus dispositivos empresariais para protegê-los imediatamente. Você pode escolher entre várias opções para integrar os dispositivos da sua empresa. Este artigo orienta você sobre suas opções e descreve como a integração funciona.

O que fazer

1. Selecione uma guia:
   • Windows 10 e 11
   • Mac
   • Mobile (novos recursos estão disponíveis para dispositivos iOS e Android!)
   • Servidores (Windows Server ou Linux Server)
2. Exiba suas opções de integração e siga as diretrizes na guia selecionada.
3. Exibir uma lista de dispositivos integrados.
4. Execute um teste de phishing em um dispositivo.
5. Siga para suas próximas etapas.

Windows 10 e 11

Windows 10 e 11

Observação

Os dispositivos Windows devem estar executando um dos seguintes sistemas operacionais:

• Windows 10 ou 11 Empresas
• Windows 10 ou 11 Profissionais
• Windows 10 ou 11 Enterprise

Para obter mais informações, consulte Microsoft Defender para Empresas requisitos.

Escolha uma das opções a seguir para integrar dispositivos cliente Windows ao Defender para Empresas:

• Script local (para integrar dispositivos manualmente no portal do Microsoft Defender)
• Política de Grupo (se você já estiver usando Política de Grupo em sua organização)
• Microsoft Intune (se você já estiver usando Intune)

Script local para Windows 10 e 11

Você pode usar um script local para integrar dispositivos cliente Windows. Quando você executa o script de integração em um dispositivo, ele cria uma confiança com Microsoft Entra ID (se essa confiança ainda não existir), registra o dispositivo em Microsoft Intune (se ainda não estiver registrado) e integra o dispositivo ao Defender para Empresas. Se você não estiver usando Intune no momento, o método de script local é o método de integração recomendado para clientes do Defender para Empresas.

Dica

Recomendamos que você integre até 10 dispositivos por vez ao usar o método de script local.

1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

2. No painel de navegação, escolha Configurações>Pontos de Extremidade e, em Gerenciamento de dispositivos, escolha Integração.

3. Selecione Windows 10 e 11 e, na seção Método de implantação, escolha Script local.

4. Selecione Baixar pacote de integração. Recomendamos que você salve o pacote de integração em uma unidade removível.

5. Em um dispositivo Windows, extraia o conteúdo do pacote de configuração para um local, como a pasta Área de Trabalho. Você deve ter um arquivo chamado WindowsDefenderATPLocalOnboardingScript.cmd.

6. Abra um prompt de comando como administrador.

7. Digite o local do arquivo de script. Por exemplo, se você copiou o arquivo para a pasta Área de Trabalho, digite %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmde pressione a tecla Enter (ou selecione OK).

8. Após a execução do script, execute um teste de detecção.

Política de Grupo para Windows 10 e 11

Se preferir usar Política de Grupo para integrar clientes Windows, siga as diretrizes em Dispositivos Windows a bordo usando Política de Grupo. Este artigo descreve as etapas para integração ao Microsoft Defender para Ponto de Extremidade. As etapas para integração ao Defender para Empresas são semelhantes.

Intune para Windows 10 e 11

Você pode integrar clientes Windows e outros dispositivos no Intune usando o centro de administração Intune (https://intune.microsoft.com). Há vários métodos disponíveis para registrar dispositivos em Intune. Recomendamos usar um dos seguintes métodos:

• Habilitar o registro automático do Windows para dispositivos gerenciados pela empresa ou pela empresa
• Peça aos usuários que registrem seus próprios dispositivos Windows 10/11 no Intune

Habilitar o registro automático para Windows 10 e 11

Quando você configura o registro automático, os usuários adicionam sua conta de trabalho ao dispositivo. Em segundo plano, o dispositivo registra e ingressa Microsoft Entra ID e está registrado em Intune.

1. Vá para o portal do Azure (https://portal.azure.com/) e entre.

2. Selecione Microsoft Entra ID>Mobilidade (MDM e MAM)>Microsoft Intune.

3. Configure o escopo do usuário MDM e o escopo do usuário do MAM.

   

   • Para o escopo do usuário do MDM, recomendamos que você selecione Todos para que todos os usuários possam registrar automaticamente seus dispositivos Windows.

   • Na seção Escopo do usuário do MAM, recomendamos os seguintes valores padrão para as URLs:

     • URL dos termos de uso MDM
     • URL de Descoberta do MDM
     • URL de Conformidade do MDM

4. Selecione Salvar.

5. Depois que um dispositivo for registrado no Intune, você poderá adicioná-lo a um grupo de dispositivos no Defender para Empresas. Saiba mais sobre grupos de dispositivos no Defender para Empresas.

Dica

Para saber mais, confira Habilitar o registro automático do Windows.

Peça aos usuários que registrem seus Windows 10 e 11 dispositivos

1. Assista ao vídeo a seguir para ver como o registro funciona:
   
   

2. Compartilhe este artigo com usuários em sua organização: registre dispositivos Windows 10/11 em Intune.

3. Depois que um dispositivo for registrado no Intune, você poderá adicioná-lo a um grupo de dispositivos no Defender para Empresas. Saiba mais sobre grupos de dispositivos no Defender para Empresas.

Executar um teste de detecção em um dispositivo Windows 10 ou 11

Depois de integrar dispositivos Windows ao Defender para Empresas, você pode executar um teste de detecção no dispositivo para garantir que tudo esteja funcionando corretamente.

1. No dispositivo Windows, crie uma pasta: C:\test-MDATP-test.

2. Abra o Prompt de Comando como administrador.

3. Na janela do Prompt de Comando, execute o seguinte comando do PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Depois que o comando é executado, a janela Prompt de Comando é fechada automaticamente. Se for bem-sucedido, o teste de detecção será marcado como concluído e um novo alerta será exibido no portal de Microsoft Defender (https://security.microsoft.com) para o dispositivo recém-integrado em cerca de 10 minutos.

Mac

Mac

Observação

Recomendamos que você use um script local para integrar o Mac. Embora você possa configurar o registro para Mac usando Intune, o script local é o método mais simples para integrar Mac ao Defender para Empresas.

Escolha uma das opções a seguir para integrar o Mac:

• Script local para Mac (recomendado)
• Intune para Mac (se você já estiver usando Intune)

Script local para Mac

Quando você executa o script local no Mac, ele cria uma confiança com Microsoft Entra ID (se essa confiança ainda não existe), registra o Mac no Microsoft Intune (se ainda não estiver registrado) e integra o Mac ao Defender para Empresas. Recomendamos que você integre até 10 dispositivos por vez usando esse método.

1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

2. No painel de navegação, escolha Configurações>Pontos de Extremidade e, em Gerenciamento de dispositivos, escolha Integração.

3. Selecione macOS. Na seção Método de implantação , escolha Script local.

4. Selecione Baixar pacote de integração e salve-o em uma unidade removível. Selecione Também Baixar pacote de instalação e salve-o em seu dispositivo removível.

5. No Mac, salve o pacote de instalação de wdav.pkg um diretório local.

6. Salve o pacote de integração do WindowsDefenderATPOnboardingPackage.zip mesmo diretório usado para o pacote de instalação.

7. Use o Finder para navegar até wdav.pkg você salvo e, em seguida, abri-lo.

8. Selecione Continuar, concorde com os termos da licença e insira sua senha quando solicitado.

9. Você é solicitado a permitir a instalação de um driver da Microsoft (a extensão do sistema bloqueada ou a instalação está em espera, ou ambos). Você deve permitir a instalação do driver. Selecione Abrir Preferências de Segurança ou Abrir Preferências>do Sistema Segurança & Privacidade e selecione Permitir.

10. Use o seguinte comando Bash para executar o pacote de integração:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Depois que o Mac estiver registrado no Intune, você poderá adicioná-lo a um grupo de dispositivos. Saiba mais sobre grupos de dispositivos no Defender para Empresas.

Intune para Mac

Se você já tiver Intune, poderá registrar computadores Mac usando o centro de administração Intune (https://intune.microsoft.com). Há vários métodos disponíveis para registrar o Mac no Intune. Recomendamos um dos seguintes métodos:

• Escolher uma opção para Mac de propriedade da empresa
• Peça aos usuários que registrem seu próprio Mac no Intune

Opções para Mac de propriedade da empresa

Escolha uma das seguintes opções para registrar dispositivos Mac gerenciados pela empresa no Intune:

Opção	Descrição
Registro de Dispositivos Automatizado da Apple	Use esse método para automatizar o registro em dispositivos comprados por meio do Apple Business Manager ou do Apple School Manager. O registro automatizado de dispositivo implanta o perfil de registro "no ar", para que você não precise ter acesso físico aos dispositivos. Consulte Registrar o Mac automaticamente com o Apple Business Manager ou o Apple School Manager.
DEM (gerenciador de registro de dispositivo)	Use esse método para implantações em larga escala e quando houver várias pessoas em sua organização que podem ajudar na configuração do registro. Alguém com permissões de DEM (gerenciador de registro de dispositivo) pode registrar até 1.000 dispositivos com uma única conta Microsoft Entra. Esse método usa o aplicativo Portal da Empresa ou o Microsoft Intune para registrar dispositivos. Não é possível usar uma conta do DEM para registrar dispositivos por meio do Registro Automatizado de Dispositivos. Consulte Registrar dispositivos no Intune usando uma conta do gerenciador de registro de dispositivo.
Registro direto	O registro direto registra dispositivos sem afinidade de usuário, portanto, esse método é melhor para dispositivos que não estão associados a um único usuário. Esse método exige que você tenha acesso físico aos Macs que está registrando. Consulte Usar Registro Direto para Mac.

Peça aos usuários que registrem seu próprio Mac no Intune

Se sua empresa preferir que as pessoas registrem seus próprios dispositivos em Intune, direcione os usuários a seguir estas etapas:

1. Acesse o site do Portal da Empresa (https://portal.manage.microsoft.com/) e entre.

2. Siga as instruções no site Portal da Empresa para adicionar seu dispositivo.

3. Instale o aplicativo Portal da Empresa em https://aka.ms/EnrollMyMac, e siga as instruções no aplicativo.

Confirme se um Mac está integrado

1. Para confirmar se o dispositivo está associado à sua empresa, use o seguinte comando Python no Bash:

   mdatp health --field org_id.

2. Se você estiver usando o macOS 10.15 (Catalina) ou posterior, conceda o consentimento do Defender para Empresas para proteger seu dispositivo. Acesse Segurança de Preferências> do Sistema&>Privacidade Privacidade>Acesso completo ao disco. Selecione o ícone de bloqueio na parte inferior da caixa de diálogo para fazer alterações e selecione Microsoft Defender para Empresas (ou Defender para Ponto de Extremidade, se é isso que você vê).

3. Para verificar se o dispositivo está integrado, use o seguinte comando no Bash:

   mdatp health --field real_time_protection_enabled

Depois que um dispositivo for registrado no Intune, você poderá adicioná-lo a um grupo de dispositivos. Saiba mais sobre grupos de dispositivos no Defender para Empresas.

Dispositivos móveis

Dispositivos móveis

Você pode usar os seguintes métodos para integrar dispositivos móveis, como dispositivos Android e iOS:

• Usar o aplicativo Microsoft Defender
• Usar Microsoft Intune

Usar o aplicativo Microsoft Defender

As funcionalidades de defesa contra ameaças móveis agora estão geralmente disponíveis para clientes do Defender para Empresas. Com esses recursos, agora você pode integrar dispositivos móveis (como Android e iOS) usando o aplicativo Microsoft Defender. Com esse método, os usuários baixam o aplicativo do Google Play ou do Apple App Store, entrem e concluam as etapas de integração.

Importante

Verifique se todos os seguintes requisitos são atendidos antes de integrar dispositivos móveis:

1. O Defender para Empresas concluiu o provisionamento. No portal Microsoft Defender, acesse Dispositivos de Ativos>.
   - Se você vir uma mensagem que diz: "Espere! Estamos preparando novos espaços para seus dados e conectando-os", em seguida, o Defender para Empresas ainda não terminou o provisionamento. Esse processo está acontecendo agora e pode levar até 24 horas para ser concluído.
   - Se você vir uma lista de dispositivos ou for solicitado a integrar dispositivos, isso significa que o provisionamento do Defender para Empresas foi concluído.
2. Os usuários baixaram o aplicativo Microsoft Authenticator em seu dispositivo e registraram seu dispositivo usando sua conta corporativa ou escolar para o Microsoft 365.

Dispositivo	Procedimento
Android	1. No dispositivo, vá para a Google Play Store. 2. Se você ainda não fez isso, baixe e instale o aplicativo Microsoft Authenticator. Entre e registre seu dispositivo no aplicativo Microsoft Authenticator. 3. Na google play store, pesquise o aplicativo Microsoft Defender e instale-o. 4. Abra o aplicativo Microsoft Defender, entre e conclua o processo de integração.
iOS	1. No dispositivo, vá para o apple App Store. 2. Se você ainda não fez isso, baixe e instale o aplicativo Microsoft Authenticator. Entre e registre seu dispositivo no aplicativo Microsoft Authenticator. 3. No apple App Store, pesquise o aplicativo Microsoft Defender. 4. Entre e instale o aplicativo. 5. Concorde com os termos de uso para continuar. 6. Permitir que o aplicativo Microsoft Defender configure uma conexão VPN e adicione configurações de VPN. 7. Escolha se deseja permitir notificações (como alertas).

Dica

Depois de integrar dispositivos móveis usando o aplicativo Microsoft Defender, prossiga para executar um teste de phishing em um dispositivo.

Usar Microsoft Intune

Se sua assinatura incluir Microsoft Intune, você poderá usá-la para integrar dispositivos móveis, como dispositivos Android e iOS/iPadOS. Confira os recursos a seguir para obter ajuda para recursos esses dispositivos no Intune:

• Registrar dispositivos Android
• Registrar dispositivos iOS ou iPadOS

Depois que um dispositivo for registrado no Intune, você poderá adicioná-lo a um grupo de dispositivos. Saiba mais sobre grupos de dispositivos no Defender para Empresas.

Servidores

Servidores

Observação

Se você estiver planejando integrar uma instância do Windows Server ou do Linux Server, precisará de uma licença adicional, como Microsoft Defender para Servidores Empresariais. Como alternativa, você pode usar Microsoft Defender para o Plano 1 ou plano 2 dos servidores. Para saber mais, confira O que acontece se eu tiver uma combinação de assinaturas de segurança de ponto de extremidade da Microsoft?

Escolha o sistema operacional para o servidor:

• Windows Server
• Servidor Linux

Windows Server

Importante

Verifique se você atende aos seguintes requisitos antes de integrar um ponto de extremidade do Windows Server:

• Você tem uma licença de Microsoft Defender para Servidores Empresariais. (Confira Como obter Microsoft Defender para Servidores Empresariais.)
• O escopo de imposição para o Windows Server foi ativado. Vá para Configurações>Pontos de extremidade> Gerenciamento de configurações>Escopo de imposição. Selecione Usar MDPE para impor as configurações de segurança do MEM, selecione Windows Server e, em seguida, selecione Salvar.

Você pode integrar uma instância do Windows Server ao Defender para Empresas usando um script local.

Script local para Windows Server

1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

2. No painel de navegação, escolha Configurações>Pontos de Extremidade e, em Gerenciamento de dispositivos, escolha Integração.

3. Selecione um sistema operacional, como Windows Server 1803, 2019 e 2022 e, na seção Método de implantação , escolha Script local.

   Se você selecionar Windows Server 2012 R2 e 2016, terá dois pacotes para baixar e executar: um pacote de instalação e um pacote de integração. O pacote de instalação contém um arquivo MSI que instala o agente do Defender para Empresas. O pacote de integração contém o script para integrar seu ponto de extremidade do Windows Server ao Defender para Empresas.

4. Selecione Baixar pacote de integração. Recomendamos que você salve o pacote de integração em uma unidade removível.

   Se você selecionou Windows Server 2012 R2 e 2016, selecione Baixar pacote de instalação e salve o pacote em uma unidade removível

5. No ponto de extremidade do Windows Server, extraia o conteúdo do pacote de instalação/integração para um local como a pasta Área de Trabalho. Você deve ter um arquivo chamado WindowsDefenderATPLocalOnboardingScript.cmd.

   Se você estiver integrando Windows Server 2012 R2 ou Windows Server 2016, extraia primeiro o pacote de instalação.

6. Abra um prompt de comando como administrador.

7. Se você estiver integrando o Windows Server 2012R2 ou Windows Server 2016, execute o seguinte comando:

   Msiexec /i md4ws.msi /quiet

   Se você estiver integrando o Windows Server 1803, 2019 ou 2022, ignore esta etapa e vá para a etapa 8.

8. Digite o local do arquivo de script. Por exemplo, se você copiou o arquivo para a pasta Área de Trabalho, digite %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmde pressione Enter (ou selecione OK).

9. Acesse Executar um teste de detecção no Windows Server.

Executar um teste de detecção no Windows Server

Depois de integrar o ponto de extremidade do Windows Server ao Defender para Empresas, você poderá executar um teste de detecção para garantir que tudo esteja funcionando corretamente:

1. No dispositivo Windows Server, crie uma pasta: C:\test-MDATP-test.

2. Abra o Prompt de Comando como administrador.

3. Na janela do Prompt de Comando, execute o seguinte comando do PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Depois que o comando for executado, a janela Prompt de Comando será fechada automaticamente. Se for bem-sucedido, o teste de detecção será marcado como concluído e um novo alerta será exibido no portal de Microsoft Defender (https://security.microsoft.com) para o dispositivo recém-integrado em cerca de 10 minutos.

Servidor Linux

Importante

Verifique se você atende aos seguintes requisitos antes de integrar um ponto de extremidade do Servidor Linux:

• Você tem uma licença de Microsoft Defender para Servidores Empresariais. (Confira Como obter Microsoft Defender para Servidores Empresariais.)
• Você atende aos pré-requisitos para Microsoft Defender para Ponto de Extremidade no Linux.

Integrar pontos de extremidade do Linux Server

Você pode usar os seguintes métodos para integrar uma instância do Linux Server ao Defender para Empresas:

• Script local: Consulte Implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente.
• Ansible: Consulte Implantar Microsoft Defender para Ponto de Extremidade no Linux com o Ansible.
• Chef: Consulte Implantar o Defender para Ponto de Extremidade no Linux com o Chef.
• Fantoche: Consulte Implantar Microsoft Defender para Ponto de Extremidade no Linux com o Puppet.

Observação

Integrar uma instância do Linux Server ao Defender para Empresas é o mesmo que integrar a Microsoft Defender para Ponto de Extremidade no Linux.

Exibir uma lista de dispositivos integrados

Importante

Você deve receber uma função apropriada, como Administrador Global, Administrador de Segurança ou Leitor de Segurança para executar o procedimento a seguir. Para obter mais informações, consulte Funções no Defender para Empresas.

1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

2. No painel de navegação, acesse Dispositivos de Ativos>. A exibição de inventário do dispositivo é aberta.

Executar um teste de phishing em um dispositivo

Depois de integrar um dispositivo, você pode executar um teste de phishing rápido para garantir que o dispositivo esteja conectado e que os alertas sejam gerados conforme o esperado.

1. Em um dispositivo, vá para https://smartscreentestratings2.net. O Defender para Empresas deve bloquear essa URL no dispositivo do usuário.

2. Como membro da equipe de segurança da sua organização, acesse o portal de Microsoft Defender (https://security.microsoft.com) e entre.

3. No painel de navegação, vá para Incidentes. Você deve ver um alerta informativo que indica que um dispositivo tentou acessar um site de phishing.

Próximas etapas

• Se você tiver outros dispositivos para integrar, selecione a guia para esses dispositivos (Windows 10 e 11, Mac, Servidores ou Dispositivos Móveis) e siga as diretrizes nessa guia.
• Se você terminar de integrar dispositivos, siga para a Etapa 6: configure suas configurações e políticas de segurança no Defender para Empresas.