Microsoft Defender для конечной точки

Относится к Configuration Manager (Current Branch)

Endpoint Protection помогает управлять и отслеживать Microsoft Defender для конечной точки. Microsoft Defender для конечной точки помогает предприятиям обнаруживать, исследовать и реагировать на сложные атаки на свои сети. политики Configuration Manager помогут вам подключить и отслеживать Windows 10 или более поздних версий клиентов.

облачный портал Microsoft Defender для конечной точки Центр безопасности в Microsoft Defender. Добавляя и развертывая файл конфигурации подключения клиента, Configuration Manager может отслеживать состояние развертывания и работоспособности Microsoft Defender для конечной точки агента. Microsoft Defender для конечной точки поддерживается на компьютерах с клиентом Configuration Manager или под управлением Microsoft Intune.

Предварительные требования

• Подписка на Microsoft Defender для конечной точки
• Клиенты компьютеров, на которых выполняется клиент Configuration Manager
• Клиенты, использующие ОС, перечисленные в разделе Поддерживаемые клиентские операционные системы ниже.
• Учетной записи администратора требуется роль безопасности Endpoint Protection Manager .

Поддерживаемые клиентские операционные системы

С помощью Configuration Manager можно подключить следующие операционные системы:

• Windows 11
• Windows 10 версии 1709 или более поздней
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual Channel (SAC) версии 1803 или более поздней
• Windows Server 2016
• Windows Server 2012 R2

Важно!

Операционные системы, которые достигли конца жизненного цикла продукта, обычно не поддерживаются для подключения, если они не были зарегистрированы в Обновления расширенной безопасности (программа ESU). Дополнительные сведения о поддерживаемых операционных системах и возможностях с Microsoft Defender для конечной точки см. в разделе Минимальные требования для Microsoft Defender для конечной точки.

Инструкции по подключению к Microsoft Defender для конечной точки с Configuration Manager 2207 и более поздних версий

Инструкции по обновлению сведений о подключении для устройств Microsoft Defender для конечной точки с Configuration Manager

Подключение к Microsoft Defender для конечной точки с Configuration Manager 2207 и более поздних версий

Разные операционные системы имеют разные потребности в подключении к Microsoft Defender для конечной точки. Для устройств верхнего уровня, таких как Windows Server версии 1803, требуется файл конфигурации подключения. Начиная с Current Branch 2207, для устройств с операционными системами нижнего уровня можно выбрать между клиентом Microsoft Defender для конечной точки (MDE) (рекомендуется) или Microsoft Monitoring Agent (MMA) (устаревшая версия) в параметрах клиента. Для Windows 8.1 устройств необходимо использовать Microsoft Monitoring Agent (MMA) (устаревшая версия) в параметрах клиента.

Если вы решили использовать MMA, вам потребуется ключ рабочей области и идентификатор рабочей области для подключения. Configuration Manager также устанавливает microsoft Monitoring Agent (MMA) при необходимости подключенными устройствами, но не обновляет агент автоматически.

Операционные системы верхнего уровня включают в себя:

• Windows 10 версии 1607 и более поздних
• Windows 11
• Windows Server Semi-Annual Channel (SAC), версия 1803 или более поздняя
• Windows Server 2019
• Windows Server 2022

Операционные системы нижнего уровня, поддерживающие клиент MDE, включают:

• Windows Server 2012 R2
• Windows Server 2016

Операционные системы нижнего уровня, которым требуется агент MMA:

• Windows 8.1

Примечание.

В настоящее время общедоступна современная унифицированная Microsoft Defender для конечной точки для Windows Server 2012 R2 & 2016 года. Configuration Manager версии 2107 с накопительным пакетом обновлений поддерживает настройку с помощью политик Endpoint Protection, включая политики, созданные в центре администрирования Microsoft Intune с помощью подключения клиента. Configuration Manager версии 2207 теперь поддерживает автоматическое развертывание клиента MDE, если вы решили использовать с помощью параметров клиента. Сведения о более старых поддерживаемых версиях см. в статье Сценарии миграции сервера.

При подключении устройств к Microsoft Defender для конечной точки с Configuration Manager политика Defender развертывается в целевой коллекции или нескольких коллекциях. Иногда целевая коллекция содержит устройства под управлением любого количества поддерживаемых операционных систем. Инструкции по подключению этих устройств зависят от того, используется ли коллекция, содержащая устройства с операционными системами только верхнего уровня и устройства, поддерживающие клиент MDE, или если коллекция также содержит клиенты нижнего уровня, которым требуется MMA.

• Если ваша коллекция содержит только устройства верхнего уровня и (или) устройства с операционной системой сервера нижнего уровня, которым требуется клиент MDE (на основе параметров клиента), инструкции по подключению можно использовать с помощью Microsoft Defender для конечной точки client (рекомендуется).
• Если целевая коллекция содержит устройства операционной системы нижнего уровня сервера, для которых требуется MMA (на основе параметров клиента) или Windows 8.1 устройства, выполните инструкции по подключению устройств с помощью Microsoft Monitoring Agent.

Предупреждение

Если целевая коллекция содержит устройства нижнего уровня, требующие MMA, и вы используете инструкции по подключению с помощью клиента MDE, то устройства нижнего уровня не будут подключены. Необязательные поля "Ключ рабочей области" и "Идентификатор рабочей области" используются для подключения устройств нижнего уровня, которым требуется MMA, но если они не включены, политика завершится сбоем на клиентах нижнего уровня, для которых требуется MMA.

Подключение устройств с помощью клиента MDE для Microsoft Defender для конечной точки (рекомендуется)

Клиентам верхнего уровня требуется файл конфигурации подключения для подключения к Microsoft Defender для конечной точки. Операционные системы верхнего уровня включают в себя:

• Windows 11
• Windows 10 версии 1607 и более поздних
• Windows Server Semi-Annual Channel (SAC), версия 1803 и более поздние версии
• Windows Server 2019
• Windows Server 2022

Операционные системы нижнего уровня, поддерживающие клиент MDE, включают:

• Windows Server 2012 R2
• Windows Server 2016

Предварительные требования

Предварительные требования для Windows Server 2012 R2

Если вы полностью обновили компьютеры с помощью последнего ежемесячного накопительного пакета, дополнительные предварительные требования отсутствуют .

Пакет установщика будет проверка, если с помощью обновления уже установлены следующие компоненты:

• Обновление для взаимодействия с клиентами и диагностической телеметрии
• Обновление для универсальной среды выполнения C в Windows

Предварительные требования для Windows Server 2016

• Необходимо установить обновление стека обслуживания (SSU) от 14 сентября 2021 г. или более поздней версии.
• Необходимо установить последнее накопительное обновление (LCU) от 20 сентября 2018 г. или более поздней версии. Рекомендуется установить на сервере последнюю доступную версию SSU и LCU. — Антивирусная программа Microsoft Defender должна быть включена или установлена и обновлена. Вы можете скачать и установить последнюю версию платформы с помощью клиентский компонент Центра обновления Windows. Кроме того, можно скачать пакет обновления вручную из каталога Центра обновления Майкрософт или из MMPC.

Получение файла конфигурации подключения для устройств верхнего уровня

1. Перейдите к Центр безопасности в Microsoft Defender и выполните вход.
2. Выберите Параметры, а затем — Подключение под заголовком Конечная точка .
3. Для операционной системы выберите Windows 10 и 11.
4. Выберите Microsoft Endpoint Configuration Manager текущей ветви и более поздних версий для метода развертывания.
5. Выберите Скачать пакет.
6. Скачайте файл сжатого архива (.zip) и извлеките содержимое.

   Примечание.

   Эти действия позволяют скачать файл подключения для Windows 10 и 11, но этот файл также используется для операционных систем сервера верхнего уровня.

Важно!

• Файл конфигурации Microsoft Defender для конечной точки содержит конфиденциальные сведения, которые должны быть защищены.
• Если целевая коллекция содержит устройства нижнего уровня, требующие MMA, и вы используете инструкции по подключению с помощью клиента MDE, то устройства нижнего уровня не будут подключены. Необязательные поля "Ключ рабочей области" и "Идентификатор рабочей области" используются для подключения устройств нижнего уровня, но если они не включены, политика завершится сбоем на клиентах нижнего уровня.

Подключение устройств верхнего уровня

1. В консоли Configuration Manager перейдите в раздел Администрирование>параметров клиента.
2. Создайте настраиваемые параметры клиентского устройства или перейдите к свойствам требуемого параметра клиента и выберите Endpoint Protection.
3. Для параметра Microsoft Defender для конечной точки client on Windows Server 2012 R2 и Windows Server 2016 значение по умолчанию устанавливается как Microsoft Monitoring Agent (устаревшая версия), которое необходимо изменить на MDE Client (рекомендуется).
4. В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Microsoft Defender Политики ATP и выберите Создать Microsoft Defender политику ATP. Откроется мастер политик.
5. Введите имя и описание для политики Microsoft Defender для конечной точки и выберите Подключение.
6. Перейдите к файлу конфигурации, извлеченного из скачаного .zip файла.
7. Укажите примеры файлов, которые собираются и совместно используются с управляемых устройств для анализа.
   • Нет
   • Все типы файлов
8. Просмотрите сводку и завершите работу мастера.
9. Щелкните правой кнопкой мыши созданную политику, а затем выберите Развернуть, чтобы выбрать политику Microsoft Defender для конечной точки клиентам.

Подключение устройств с помощью клиента MDE и MMA для Microsoft Defender для конечной точки

Для Microsoft Defender для конечной точки можно подключить устройства под управлением любой из поддерживаемых операционных систем, указав файл конфигурации, ключ рабочей области и идентификатор рабочей области для Configuration Manager.

Получение файла конфигурации, идентификатора рабочей области и ключа рабочей области

1. Перейдите в веб-службу Microsoft Defender для конечной точки и выполните вход.

2. Выберите Параметры, а затем — Подключение под заголовком Конечные точки .

3. Для операционной системы выберите Windows 10 и 11.

4. Выберите Microsoft Endpoint Configuration Manager текущей ветви и более поздних версий для метода развертывания.

5. Выберите Скачать пакет.

   

6. Скачайте файл сжатого архива (.zip) и извлеките содержимое.

7. Выберите Параметры, а затем под заголовком Управление устройствами выберите Подключение.

8. Для операционной системы выберите Windows 7 с пакетом обновления 1 (SP1) и 8.1 или Windows Server 2008 R2 с пакетом обновления 1 (SP1), 2012 R2 и 2016 в списке.

   • Ключ рабочей области и идентификатор рабочей области будут одинаковыми независимо от того, какой из этих вариантов вы выберете.

9. Скопируйте значения ключа рабочей области и идентификатора рабочей области из раздела Настройка подключения .

   Важно!

   Файл конфигурации Microsoft Defender для конечной точки содержит конфиденциальные сведения, которые должны быть защищены.

Подключение устройств

1. В консоли Configuration Manager перейдите в раздел Администрирование>параметров клиента.

2. Создайте настраиваемые параметры клиентского устройства или перейдите к свойствам требуемого параметра клиента и выберите Endpoint Protection.

3. Для параметра Microsoft Defender для конечной точки client on Windows Server 2012 R2 и Windows Server 2016 убедитесь, что для параметра задано значение Microsoft Monitoring Agent (устаревшая версия).

4. В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Microsoft Defender политики ATP.

5. Выберите Создать Microsoft Defender политику ATP, чтобы открыть мастер политик.

6. Введите имя и описание для политики Microsoft Defender для конечной точки и выберите Подключение.

7. Перейдите к файлу конфигурации, извлеченного из скачаного .zip файла.

8. Укажите ключ рабочей области и идентификатор рабочей области , а затем нажмите кнопку Далее.

   • Убедитесь, что ключ рабочей области и идентификатор рабочей области находятся в правильных полях. Порядок в консоли может отличаться от порядка в Microsoft Defender для конечной точки веб-службе.

9. Укажите примеры файлов, которые собираются и совместно используются с управляемых устройств для анализа.

   • Нет
   • Все типы файлов

10. Просмотрите сводку и завершите работу мастера.

11. Щелкните правой кнопкой мыши созданную политику, а затем выберите Развернуть, чтобы выбрать политику Microsoft Defender для конечной точки клиентам.

Отслеживать

1. В консоли Configuration Manager перейдите в раздел Мониторинг>безопасности и выберите Microsoft Defender ATP.

2. Просмотрите панель мониторинга Microsoft Defender для конечной точки.

   • состояние подключения агента ATP Microsoft Defender: количество и процент соответствующих управляемых клиентских компьютеров с активной политикой Microsoft Defender для конечной точки подключенной.

   • Microsoft Defender работоспособность агента ATP: процент клиентов компьютеров, сообщавших о состоянии своего агента Microsoft Defender для конечной точки

     • Работоспособный — правильно работает

     • Неактивно — данные, отправляемые в службу в течение периода времени

     • Состояние агента — системная служба для агента в Windows не запущена

     • Не подключено — политика применена, но агент не сообщил о подключении политики

Создание файла конфигурации отключения

1. Войдите в Центр безопасности в Microsoft Defender.

2. Выберите Параметры, а затем выберите Offboarding (Отключить) под заголовком Конечная точка .

3. Выберите Windows 10 и 11 для операционной системы и конечная точка Майкрософт Configuration Manager текущей ветви и более поздние версии для метода развертывания.

   • Использование параметра Windows 10 и 11 гарантирует, что все устройства в коллекции будут отключены, а MMA будет удален при необходимости.

4. Скачайте файл сжатого архива (.zip) и извлеките содержимое. Файлы отключения действительны в течение 30 дней.

5. В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Microsoft Defender Политики ATP и выберите Создать Microsoft Defender политику ATP. Откроется мастер политик.

6. Введите имя и описание для политики Microsoft Defender для конечной точки и выберите Отключить.

7. Перейдите к файлу конфигурации, извлеченного из скачаного .zip файла.

8. Просмотрите сводку и завершите работу мастера.

Выберите Развернуть, чтобы выбрать политику Microsoft Defender для конечной точки для клиентов.

Важно!

Файлы конфигурации Microsoft Defender для конечной точки содержат конфиденциальные сведения, которые должны быть защищены.

Обновление сведений о подключении для существующих устройств

Организациям может потребоваться обновить сведения о подключении на устройстве с помощью Microsoft Configuration Manager.

Это может быть необходимо из-за изменения полезных данных подключения для Microsoft Defender для конечной точки или при указании службы поддержки Майкрософт.

При обновлении сведений о подключении устройство начнет использовать новые полезные данные подключения при следующем перезапуске.

Этот процесс компрометирует действия по обновлению существующей политики подключения и выполняет однократное действие на всех существующих устройствах для обновления полезных данных подключения. Используйте скрипт подключения групповая политика для однократного подъема устройств из старых полезных данных в новые полезные данные.

Примечание.

Эти сведения не обязательно перемещают устройство между арендаторами без полного отключения устройства от исходного клиента. Чтобы выбрать варианты переноса устройств между Microsoft Defender для конечной точки организациями, обратитесь к служба поддержки Майкрософт.

Проверка новых полезных данных подключения

1. Скачайте пакет подключения групповая политика с портала Microsoft Defender для конечной точки.

2. Создание коллекции для проверки новых полезных данных подключения

3. Исключите эту коллекцию из существующей коллекции Microsoft Defender для конечной точки, предназначенной для подключения полезных данных.

4. Разверните скрипт подключения групповая политика в тестовую коллекцию.

5. Убедитесь , что устройства используют новые полезные данные подключения.

Переход на новые полезные данные подключения

1. Скачайте пакет Microsoft Configuration Manager подключения с портала Microsoft Defender для конечной точки.

2. Обновите существующую политику подключения Microsoft Defender для конечной точки новыми полезными данными подключения.

3. Разверните скрипт из раздела Проверка новых полезных данных подключения к существующей целевой коллекции для политики подключения Microsoft Defender для конечной точки.

4. Проверьте , используют ли устройства новые полезные данные подключения и успешно потребляют полезные данные из скрипта.

Примечание.

После миграции всех устройств можно удалить коллекции скриптов и проверок из среды с помощью политики подключения.

Дальнейшие действия

• Microsoft Defender для конечной точки

• Устранение неполадок подключения Microsoft Defender для конечных точек