Integrando os Windows 10 usando um script local

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Você também pode fazer a integração manual de dispositivos individuais no Defender for Endpoint. Você pode querer fazer isso primeiro ao testar o serviço antes de se comprometer a integração de todos os dispositivos em sua rede.

Importante

Esse script foi otimizado para uso em até 10 dispositivos.

Para implantar em escala, use outras opções de implantação. Por exemplo, você pode implantar um script de integração em mais de 10 dispositivos em produção com o script disponível em Windows 10 de integração usando a Política de Grupo.

Integração de dispositivos

Confira o PDF ou Visio para ver os vários caminhos na implantação do Defender para o Ponto de Extremidade.

  1. Abra o arquivo de pacote de configuração da GP .zip (WindowsDefenderATPOnboardingPackage.zip) que você baixou do assistente de integração do serviço. Você também pode obter o pacote do Microsoft 365 Portal do Defender:

    1. No painel de navegação, selecione Configurações > Endpoints Gerenciamento de > > dispositivos Integrando.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo Método de Implantação, selecione Script Local.
    4. Clique em Baixar pacote e salve o .zip arquivo.
  2. Extraia o conteúdo do pacote de configuração para um local no dispositivo que você deseja integrar (por exemplo, a Área de Trabalho). Você deve ter um arquivo chamado WindowsDefenderATPLocalOnboardingScript.cmd.

  3. Abra um prompt de linha de comando elevada no dispositivo e execute o script:

    1. Vá para Iniciar e digite cmd.
    2. Clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.

    Janela menu Iniciar apontando para Executar como administrador.

  4. Digite o local do arquivo de script. Se você copiou o arquivo para a área de trabalho, digite: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Pressione a tecla Enter ou clique em OK.

Para obter informações sobre como você pode validar manualmente se o dispositivo é compatível e relata corretamente os dados do sensor, consulte Solução de problemas de integração do Microsoft Defender para Ponto de Extremidade.

Dica

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Run a detection test on a newly onboarded Microsoft Defender for Endpoint endpoint endpoint endpoint.

Configurar configurações de coleção de exemplos

Para cada dispositivo, você pode definir um valor de configuração para determinar se amostras podem ser coletadas do dispositivo quando uma solicitação é feita por meio Microsoft 365 Defender enviar um arquivo para análise profunda.

Você pode configurar manualmente a configuração de compartilhamento de exemplo no dispositivo usando regedit ou criando e executando um arquivo .reg.

A configuração é definida por meio da seguinte entrada de chave do Registro:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Onde o tipo Name é um D-WORD. Os valores possíveis são:

  • 0 - não permite o compartilhamento de exemplo deste dispositivo
  • 1 - permite o compartilhamento de todos os tipos de arquivo deste dispositivo

O valor padrão caso a chave do Registro não exista é 1.

Executar um teste de detecção para verificar a integração

Após a integração do dispositivo, você pode optar por executar um teste de detecção para verificar se um dispositivo está corretamente conectado ao serviço. Para obter mais informações, consulte Execute a detection test on a newly onboarded Microsoft Defender for Endpoint device.

Dispositivos offboard usando um script local

Por motivos de segurança, o pacote usado para dispositivos offboard expirará 30 dias após a data em que foi baixado. Os pacotes de offboard expirados enviados para um dispositivo serão rejeitados. Ao baixar um pacote de offboard, você será notificado sobre a data de expiração dos pacotes e ele também será incluído no nome do pacote.

Observação

As políticas de integração e de offboard não devem ser implantadas no mesmo dispositivo ao mesmo tempo, caso contrário, isso causará colisões imprevisíveis.

  1. Obter o pacote de offboard do Microsoft 365 Defender portal:

    1. No painel de navegação, selecione Configurações > Endpoints > Gerenciamento de > dispositivos Offboarding.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo Método de Implantação, selecione Script Local.
    4. Clique em Baixar pacote e salve o .zip arquivo.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelos dispositivos. Você deve ter um arquivo chamado WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Abra um prompt de linha de comando elevada no dispositivo e execute o script:

    1. Vá para Iniciar e digite cmd.

    2. Clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.

      Janela menu Iniciar apontando para Executar como administrador.

  4. Digite o local do arquivo de script. Se você copiou o arquivo para a área de trabalho, digite: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Pressione a tecla Enter ou clique em OK.

Importante

O offboard faz com que o dispositivo pare de enviar dados do sensor para o portal, mas os dados do dispositivo, incluindo a referência a todos os alertas que ele teve, serão mantidos por até 6 meses.

Monitorar a configuração do dispositivo

Você pode seguir as diferentes etapas de verificação na solução de problemas de integração para verificar se o script foi concluído com êxito e se o agente está em execução.

O monitoramento também pode ser feito diretamente no portal ou usando as diferentes ferramentas de implantação.

Monitorar dispositivos usando o portal

  1. Vá para Microsoft 365 Defender portal.
  2. Clique em Inventário de dispositivos.
  3. Verifique se os dispositivos estão aparecendo.