Microsoft Defender för slutpunkter

  • Artikel
  • 7 minuter för att läsa

Gäller för: Konfigurationshanteraren (aktuell gren)

Endpoint Protection kan hjälpa dig att hantera och övervaka Microsoft Defender för slutpunkt (kallades tidigare Windows Defender för slutpunkt). Microsoft Defender för slutpunkt hjälper företag att identifiera, undersöka och svara på avancerade attacker i sina nätverk. Konfigurationshanteraren kan hjälpa dig att registrera och övervaka Windows 10 klienter.

Microsoft Defender för slutpunkt är en tjänst i Microsoft Defender Säkerhetscenter. Genom att lägga till och distribuera en konfigurationsfil för klient-onboarding kan Konfigurationshanteraren övervaka distributionsstatus och Microsoft Defender för slutpunktsagentens hälsa. Microsoft Defender för slutpunkt stöds på datorer som kör Konfigurationshanteraren-klienten eller som hanteras av Microsoft Intune.

Förutsättningar

  • Prenumeration på onlinetjänsten Microsoft Defender for Endpoint
  • Klienter som kör Konfigurationshanteraren klienten
  • Klienter som använder ett operativsystem som anges i avsnittet Klientoperativsystem som stöds nedan.
  • Ditt administrativa användarkonto måste ha Endpoint Protection Manager-säkerhetsrollen.

Klientoperativsystemet som stöds

Du kan registrera följande operativsystem:

  • Windows 8,1
  • Windows 10 version 1607 eller senare
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2016 version 1803 eller senare
  • Windows Server 2019
  • Windows Server 2022

Om registrering i Microsoft Defender för slutpunkt med Konfigurationshanteraren

Olika operativsystem har olika behov av registrering i Microsoft Defender för slutpunkt. Windows 8.1 och andra operativsystemenheter på låg nivå behöver arbetsytenyckeln och arbetsyte-ID:t för att kunna publiceras. Enheter på högre nivå, till exempel Windows Server version 1803, behöver konfigurationsfilen för onboarding. Konfigurationshanteraren installerar även Microsoft Monitoring Agent (MMA) vid behov av inbyggda enheter, men uppdaterar inte agenten automatiskt.

Operativsystem på högre nivå omfattar:

  • Windows 10 version 1607 och senare
  • Windows Server 2016 version 1803 eller senare
  • Windows Server 2019
  • Windows Server 2022

Operativsystem på låg nivå omfattar:

  • Windows 8,1
  • Windows Server 2012 R2
  • Windows Server 2016 version 1709 och tidigare

När du publicerat enheter till Microsoft Defender för slutpunkt Konfigurationshanteraren distribuerar du principen till en målsamling eller flera samlingar. Ibland innehåller målsamlingen enheter som kör val av antal operativsystem som stöds. Anvisningarna för registrering av dessa enheter varierar beroende på om du riktar in dig på en samling som innehåller enheter med operativsystem som bara är på högre nivå eller om samlingen även innehåller klienter på lägre nivå.

  • Om målsamlingen innehåller både enheter på upp- och nednivå följer du anvisningarna för att registrera enheter som kör operativsystem som stöds (rekommenderas).
  • Om din samling endast innehåller enheter på högre nivå kan du använda onboarding-instruktionerna på hög nivå.

Varning

  • Om målsamlingen innehåller enheter på lägre nivå och du använder anvisningarna för att endast registrera enheter på högre nivå, kommer enheterna på lägre nivå inte att publiceras. De valfria fälten Arbetsytenyckel och Arbetsyte-ID används för registrering av enheter på lägre nivå, men om de inte ingår misslyckas principen på lågnivåklienter.

  • I Konfigurationshanteraren 2006 eller tidigare:

    • Om du redigerar en befintlig princip för att lägga till eller redigera fälten Arbetsytenyckel och Arbetsyte-ID måste du även ange konfigurationsfilen. Om alla tre objekt inte anges misslyckas principen på lågnivåklienter. > – Om du behöver redigera onboarding-filen och även fylla i fälten Arbetsytenyckel och Arbetsyte-ID anger du dem igen tillsammans med onboarding-filen. Om alla tre objekt inte anges misslyckas principen på lågnivåklienter.

Du kan registrera enheter som kör något av de operativsystem som stöds till Microsoft Defender for Endpoint genom att ange konfigurationsfilen, arbetsytenyckeln och arbetsyte-ID:t som Konfigurationshanteraren.

Hämta konfigurationsfilen, arbetsytans ID och arbetsytenyckeln

  1. Gå till onlinetjänsten Microsoft Defender for Endpoint och logga in.

  2. Välj Inställningar och välj sedan Onboarding under rubriken Enhetshantering.

  3. För operativsystemet väljer du Windows 10.

  4. Välj Microsoft Endpoint Configuration Manager aktuell gren och senare som distributionsmetod.

  5. Klicka på Ladda ned paket.

    Nedladdning av konfigurationsfilen för registrering

  6. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet.

  7. Välj Inställningar och välj sedan Onboarding under rubriken Enhetshantering.

  8. För operativsystemet väljer du antingen Windows 7 SP1 och 8.1 eller Windows Server 2008 R2 Sp1, 2012 R2 och 2016 i listan.

    • Arbetsytenyckeln och arbetsyte-ID:t är desamma oavsett vilka av dessa alternativ du väljer.

  9. Kopiera värdena för arbetsytenyckeln och arbetsyte-ID:t från avsnittet Konfigurera anslutning.

    Viktigt

    Konfigurationsfilen för Microsoft Defender for Endpoint innehåller känslig information som ska vara säker.

Registrera enheterna

  1. I Konfigurationshanteraren-konsolen går du till Tillgångar och efterlevnadsprinciper > Endpoint Protection > Microsoft Defender ATP-principer.

  2. Välj Skapa Microsoft Defender ATP-princip för att öppna principguiden.

  3. Skriv namn och beskrivning för principen Microsoft Defender för slutpunkt och välj Onboarding.

  4. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip filen.

  5. Ange arbetsytenyckeln och arbetsyte-ID:t och klicka sedan på Nästa.

    • Kontrollera att arbetsytenyckeln och arbetsyte-ID:t finns i rätt fält. Ordningen i konsolen kan variera från ordningen i onlinetjänsten Microsoft Defender for Endpoint. Guiden Skapa Microsoft Defender för slutpunktsprincip

  6. Ange de filexempel som samlas in och delas från hanterade enheter för analys.

    • Ingen
    • Alla filtyper

  7. Granska sammanfattningen och slutför guiden.

  8. Högerklicka på den princip som du skapade och välj sedan Distribuera för att rikta principen För Microsoft Defender för slutpunkt till klienter.

Viktigt

  • I Konfigurationshanteraren 2006 eller tidigare:
    • Om du redigerar en befintlig princip för att lägga till eller redigera fälten Arbetsytenyckel och Arbetsyte-ID måste du även ange konfigurationsfilen. Om alla tre objekt inte anges misslyckas principen på lågnivåklienter. > – Om du behöver redigera onboarding-filen och även fylla i fälten Arbetsytenyckel och Arbetsyte-ID anger du dem igen tillsammans med onboarding-filen. Om alla tre objekt inte anges misslyckas principen på lågnivåklienter.

Publicera enheter som endast kör operativsystem på högre nivå till Microsoft Defender för slutpunkt

Klienter på högre nivå kräver en konfigurationsfil för registrering i Microsoft Defender för slutpunkt. Operativsystem på högre nivå omfattar:

  • Windows 10 version 1607 och senare
  • Windows Server 2016 version 1803 och senare
  • Windows Server 2019
  • Windows Server 2022

Om målsamlingen innehåller både enheter på högre och lägre nivå, eller om du inte är säker, följer du anvisningarna för att registrera enheter som kör alla operativsystem som stöds (rekommenderas).

Hämta en konfigurationsfil för registrering för enheter på högre nivå

  1. Gå till onlinetjänsten Microsoft Defender for Endpoint och logga in.
  2. Välj Inställningar och välj sedan Onboarding under rubriken Enhetshantering.
  3. För operativsystemet väljer du Windows 10.
  4. Välj Microsoft Endpoint Configuration Manager aktuell gren och senare som distributionsmetod.
  5. Klicka på Ladda ned paket.
  6. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet.

Viktigt

  • Konfigurationsfilen för Microsoft Defender for Endpoint innehåller känslig information som ska vara säker.
  • Om målsamlingen innehåller enheter på lägre nivå och du använder anvisningarna för att endast registrera enheter på högre nivå, kommer enheterna på lägre nivå inte att publiceras. De valfria fälten Arbetsytenyckel och Arbetsyte-ID används för registrering av enheter på lägre nivå, men om de inte ingår misslyckas principen på lågnivåklienter.

Registrera enheter på högre nivå

  1. I Konfigurationshanteraren-konsolen går du till Tillgångar och > efterlevnadsprinciper Endpoint Protection Microsoft Defender > ATP-principer och väljer Skapa Microsoft Defender ATP-princip. Principguiden öppnas.
  2. Skriv namn och beskrivning för principen Microsoft Defender för slutpunkt och välj Onboarding.
  3. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip filen.
  4. Ange de filexempel som samlas in och delas från hanterade enheter för analys.
    • Ingen
    • Alla filtyper
  5. Granska sammanfattningen och slutför guiden.
  6. Högerklicka på den princip som du skapade och välj sedan Distribuera för att rikta principen För Microsoft Defender för slutpunkt till klienter.

Monitor

  1. I konsolen Konfigurationshanteraren du Övervakning av > säkerhet och väljer sedan Microsoft Defender ATP.

  2. Granska instrumentpanelen för Microsoft Defender för slutpunkt.

    • Status för Registrering av Microsoft Defender ATP-agent: Antalet och procentandelen berättigade hanterade klientdatorer med aktiv Microsoft Defender för slutpunktsprincip som har publicerats

    • Microsoft Defender ATP Agenthälsa: Procentandel datorklienter som rapporterar status för sin Microsoft Defender for Endpoint-agent

      • Felfri – fungerar korrekt

      • Inaktiv – Inga data skickas till tjänsten under tidsperioden

      • Agenttillstånd – Systemtjänsten för agenten i Windows inte körs

      • Inte onboarded – Principen tillämpades men agenten har inte rapporterat principen

Skapa en konfigurationsfil för avboardboarding

  1. Logga in på onlinetjänsten Microsoft Defender for Endpoint.

  2. Välj Inställningar och välj sedan Avboarding under rubriken Enhetshantering.

  3. Välj Windows 10 för operativsystemet och välj Microsoft Endpoint Configuration Manager aktuell gren och senare som distributionsmetod.

    • Om du Windows 10 alternativet ser du till att alla enheter i samlingen avboarderas och att MMA avinstalleras när det behövs.

  4. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet. Avboarding av filer är giltiga i 30 dagar.

  5. I Konfigurationshanteraren-konsolen går du till Tillgångar och > efterlevnadsprinciper Endpoint Protection Microsoft Defender > ATP-principer och väljer Skapa Microsoft Defender ATP-princip. Principguiden öppnas.

  6. Ange namn och beskrivning för principen Microsoft Defender för slutpunkt och välj Avboarding.

  7. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip filen.

  8. Granska sammanfattningen och slutför guiden.

Välj Distribuera för att rikta principen Microsoft Defender for Endpoint till klienter.

Viktigt

Konfigurationsfilerna för Microsoft Defender for Endpoint innehåller känslig information som ska vara säker.

Nästa steg