Registrera Windows-enheter med grupprincip
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du vill använda grupprincipuppdateringar (GP) för att distribuera paketet måste du använda Windows Server 2008 R2 eller senare.
För Windows Server 2019 och Windows Server 2022 kan du behöva ersätta NT AUTHORITY\Well-Known-System-Account med NT AUTHORITY\SYSTEM för XML-filen som grupprincipinställning skapar.
Anteckning
Om du använder den nya, enhetliga Microsoft Defender för slutpunktslösningen för Windows Server 2012 R2 och 2016 bör du kontrollera att du använder de senaste ADMX-filerna i den centrala lagringsbutiken för att få åtkomst till rätt alternativ för Microsoft Defender för slutpunktsprinciper. Läs mer i Skapa och hantera administrativa mallar för grupprinciper i Central Store i Windows och ladda ned de senaste filerna för användning Windows 10.
Läs PDF-filen eller Visio se de olika sökvägarna i distribuera Defender för Slutpunkt.
Öppna GP-konfigurationspaketfilen (
WindowsDefenderATPOnboardingPackage.zip) som du laddade ned från guiden för registrering av tjänster. Du kan också hämta paketet från Microsoft 365 Defender portalen:I navigeringsfönstret väljer du Inställningar > EndpointsDevice > managementOnboarding > .
Välj operativsystem.
Välj Grupprincip i fältet Distributionsmetod.
Klicka på Ladda ned paket och spara .zip filen.
Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en mapp med namnet OptionalParamsPolicy och filen WindowsDefenderATPOnboardingScript.cmd.
Om du vill skapa en ny GPO öppnar du GPMC ( Group Policy Management Console ), högerklickar på Grupprincipobjekt som du vill konfigurera och klickar på Nytt. Ange namnet på det nya GPO:t i dialogrutan som visas och klicka på OK.
Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration**, sedan** Inställningar och Inställningar för Kontrollpanelen.
Högerklicka på Schemalagda aktiviteter, peka på Nytt och klicka sedan på Direkt aktivitet (minst Windows 7).
I uppgiftsfönstret som öppnas går du till fliken Allmänt. Under Säkerhetsalternativ klickar du på Ändra användare eller grupp , skriver SYSTEM och klickar sedan på Kontrollera namn och sedan på OK. NT AUTHORITY\SYSTEM visas som det användarkonto som aktiviteten körs som.
Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.
I fältet Namn skriver du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).
Gå till fliken Åtgärder och välj Ny... Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange UNC-sökvägen, med hjälp av filserverns fullständigt kvalificerade domännamn (FQDN), för den delade WindowsDefenderATPOnboardingScript.cmd-filen .
Välj OK och stäng alla öppna GPMC-fönster.
Om du vill länka GPO:t till en organisationsenhet (OU) högerklickar du och väljer Länka en befintlig GPO. I dialogrutan som visas väljer du det grupprincipobjekt som du vill länka. Klicka på OK.
Tips
När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att enheten är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Defender för Endpoint-enhet.
Ytterligare Defender för konfigurationsinställningar för slutpunkt
För varje enhet kan du ange om exempel kan samlas in från enheten när en begäran görs via Microsoft 365 Defender att skicka in en fil för djupanalys.
Du kan använda Grupprincip (GP) för att konfigurera inställningar, till exempel inställningar för exempeldelningen som används i funktionen djupanalys.
Konfigurera exempelsamlingsinställningar
Kopiera följande filer från konfigurationspaketet på GP-hanteringsenheten:
Kopiera AtpConfiguration.admx till C:\Windows\ PolicyDefinitions
Kopiera AtpConfiguration.adml till C:\Windows\ PolicyDefinitionsen-US\
Om du använder ett centralt arkiv för administrativa mallar för grupprinciper kopierar du följande filer från konfigurationspaketet:
Kopiera AtpConfiguration.admx till \<forest.root>\\SysVolPoliciesPolicyDefinitions\<forest.root>\\
Kopiera AtpConfiguration.adml till\<forest.root>\\ SysVolPoliciesPolicyDefinitionsen-US\<forest.root>\\\
Öppna konsolen grupprinciphantering, högerklicka på det GPO du vill konfigurera och klicka på Redigera.
Gå till Datorkonfiguration i redigeraren för grupprinciphantering.
Klicka på Principer och sedan på Administrativa mallar.
Klicka Windows komponenter och tryck Windows Defender ATP.
Välj för att aktivera eller inaktivera exempeldelning från dina enheter.
Anteckning
Om du inte anger något värde är standardvärdet att aktivera exempelsamling.
Andra rekommenderade konfigurationsinställningar
Uppdatera konfiguration av slutpunktsskydd
När du har konfigurerat onboarding-skriptet fortsätter du att redigera samma grupprincip för att lägga till slutpunktsskyddskonfigurationer. Utför grupprincipredigeringar från ett system med Windows 10 eller Server 2019, Windows 11 eller Windows Server 2022 för att säkerställa att du har alla nödvändiga Microsoft Defender Antivirus funktioner. Du kan behöva stänga och öppna grupprincipobjektet igen för att registrera Defender ATP-konfigurationsinställningarna.
Alla principer finns under Computer Configuration\Policies\Administrative Templates.
Principplats: \Windows Components\Windows Defender ATP
| Princip | Inställning |
|---|---|
| Aktivera\Inaktivera exempelsamling | Aktiverad – "Aktivera exempelsamling på datorer" markerat |
Principplats: \Windows Components\Microsoft Defender Antivirus
| Princip | Inställning |
|---|---|
| Konfigurera identifiering för potentiellt oönskade program | Aktiverad, Blockera |
Policyplats: \Windows Components\Microsoft Defender Antivirus\MAPS
| Princip | Inställning |
|---|---|
| Ansluta till Microsoft MAPS | Aktiverade, avancerade KARTOR |
| Skicka exempel på filer när ytterligare analys krävs | Aktiverad, Skicka säkra exempel |
Policyplats: \Windows Components\Microsoft Defender Antivirus\Real-time Protection
| Princip | Inställning |
|---|---|
| Inaktivera realtidsskydd | Inaktiverad |
| Aktivera beteendeövervakning | Aktiverad |
| Genomsöka alla nedladdade filer och bifogade filer | Aktiverad |
| Övervaka fil- och programaktivitet på datorn | Aktiverad |
Policyplats: \Windows Components\Microsoft Defender Antivirus\Scan
De här inställningarna konfigurerar periodiska genomsökningar av slutpunkten. Vi rekommenderar att du gör en snabbsökning varje vecka, om det är möjligt med prestanda.
| Princip | Inställning |
|---|---|
| Sök efter den senaste säkerhetsinformation om virus och spionprogram innan du kör en schemalagd sökning | Aktiverad |
Policyplats: \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Attack Surface Reduction
Hämta den aktuella listan med regler för att minska attackytans GUID från distributionen av regler för att minska attackytan Steg 3: Implementera ASR-regler. Mer information per regel finns i Referens för minskning av attackytan
Öppna principen Konfigurera minskning av attackytan .
Välj Aktiverad.
Välj knappen Visa.
Lägg till varje GUID i fältet Värdenamn med värdet 2.
Var och en konfigureras endast för granskning.

| Princip | Plats | Inställning |
|---|---|---|
| Konfigurera reglerad mappåtkomst | \Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Controlled Folder Access | Aktiverat, granskningsläge |
Köra ett identifieringstest för att verifiera registrering
När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att en enhet är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.
Offboard-enheter med grupprincip
Av säkerhetsskäl upphör paketet som används till Offboard-enheter 30 dagar efter det datum då det laddades ned. Utgångna offboarding-paket som skickats till en enhet kommer att avvisas. När du laddar ned ett offboardingpaket meddelas du om paketens utgångsdatum och det inkluderas också i paketets namn.
Anteckning
Principer för onboarding och offboarding får inte distribueras på samma enhet samtidigt, annars kan det orsaka oförutsägbara tavlor.
Hämta offboarding-paketet från Microsoft 365 Defender portalen:
I navigeringsfönstret väljer du Inställningar > EndpointsDevice > managementOffboarding > .
Välj operativsystem.
Välj Grupprincip i fältet Distributionsmetod.
Klicka på Ladda ned paket och spara .zip filen.
Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en fil med namnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.
Öppna gpmc-konsolen (Group Policy Management Console ), högerklicka på det grupprincipobjekt (GPO) du vill konfigurera och klicka på Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration, sedan Inställningar och Inställningar för Kontrollpanelen.
Högerklicka på Schemalagda aktiviteter, peka på Nytt och klicka sedan på Direktaktivitet.
I uppgiftsfönstret som öppnas går du till fliken Allmänt. Välj det lokala systemanvändarkontot (INBYGGD\SYSTEM) under Säkerhetsalternativ.
Markera Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högst behörighet.
I fältet Namn skriver du ett lämpligt namn för den schemalagda aktiviteten (till exempel Defender för slutpunktsdistribution).
Gå till fliken Åtgärder och välj Ny.... Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange UNC-sökvägen med hjälp av filserverns fullständigt kvalificerade domännamn (FQDN) för den delade WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd-filen .
Välj OK och stäng alla öppna GPMC-fönster.
Viktigt
Offboarding gör att enheten slutar skicka sensordata till portalen men data från enheten, inklusive referens till aviseringar som den haft kommer att behållas i upp till 6 månader.
Övervaka enhetskonfiguration
Med Grupprincip finns det inte något alternativ för att övervaka distribution av principer på enheter. Övervakning kan utföras direkt i portalen eller med hjälp av de olika distributionsverktygen.
Övervaka enheter med hjälp av portalen
- Gå till Microsoft 365 Defender portalen.
- Klicka på Enheter, inventering.
- Kontrollera att enheter visas.
Anteckning
Det kan ta flera dagar innan enheter börjar visas i listan Enheter. Det inkluderar den tid det tar för principerna att distribueras till enheten, den tid det tar innan användaren loggar in och den tid det tar för slutpunkten att starta rapporteringen.
Konfigurera AV-principer för Defender
Skapa en ny grupprincip eller gruppera de här inställningarna med andra principer. Det här beror på kundens miljö och hur de vill distribuera tjänsten genom att rikta in olika organisationsenheter (OUs).
När du har valt GP eller skapat ett nytt redigerar du GP.
Bläddra till DatorkonfigurationPoliciesAdministratörsmallar > > Windows > Komponenter > Microsoft Defender Antivirus > Real-time Protection.
Konfigurera borttagning av objekt från mappen Karantän i mappen Karantän.
Konfigurera genomsökningsinställningarna i mappen Skanna.
Övervaka alla filer i realtidsskydd
Bläddra till Principer för > datorkonfiguration > och > administrativa Windows komponenter > Microsoft Defender Antivirus > realtidsskydd.
Eftersom värdet för "Skanna inkommande och utgående filer" (standard) är 0 ändras grupprincipen för "Konfigurera övervakning för inkommande och utgående fil och programaktivitet" för "dubbelriktad (fullständig vid åtkomst)" till inaktiverad.
Konfigurera Windows Defender SmartScreen-inställningar
Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Windows Defender SmartScreen > Explorer.
Bläddra till DatorkonfigurationPoliciesAdministratörsmallar > > Windows > Komponenter > Windows Defender SmartScreen > Microsoft Edge.
Konfigurera potentiellt oönskade program
Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Microsoft Defender Antivirus.
Konfigurera Cloud Deliver Protection och skicka exempel automatiskt
Bläddra till Principer för datorkonfiguration > > och administrativa > Windows komponenter > Microsoft Defender Antivirus > KARTOR.
Söka efter signaturuppdatering
Bläddra till administrativa mallar för > datorkonfigurationsprinciper > > Windows komponenter Microsoft Defender Antivirus > säkerhetsintelligensuppdateringar>.
Konfigurera timeout och skyddsnivå för molntjänster
Bläddra till Principer för datorkonfiguration > > administrativa mallar > Windows komponenter > Microsoft Defender Antivirus > MPEngine. När du konfigurerar en princip på molnskyddsnivå till Standard Microsoft Defender Antivirus blockerande princip inaktiveras principen. Detta krävs för att ställa in skyddsnivån till standardfönster.
Relaterade ämnen
- Registrera Windows-enheter med Microsoft Endpoint Configuration Manager
- Registrera Windows-enheter med verktyg för mobil enhetshantering
- Registrera Windows-enheter med ett lokalt skript
- Registrera enheter för icke beständiga VDI-enheter (Virtual Desktop Infrastructure)
- Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Slutpunkt-enheter
- Felsöka problem med Introduktion till Slutpunkt för Microsoft Defender