Introducera Windows enheter med konfigurationshanteraren

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan använda Konfigurationshanteraren för att registrera slutpunkter i Microsoft Defender för slutpunktstjänsten.

Det finns flera alternativ som du kan använda för att registrera enheter med konfigurationshanteraren:

För Windows Server 2012 R2 och Windows Server 2016 måste du Konfigurera och uppdatera klientklienter när du har slutfört System Center Endpoint Protection introduktionsstegen.

Anteckning

Defender för Endpoint har inte stöd för onboarding under fas OOBE (Out-Box Experience). Se till att användarna slutför OOBE när de Windows installationen eller uppgraderingen.

Observera att det är möjligt att skapa en identifieringsregel i ett Configuration Manager-program för att kontinuerligt kontrollera om en enhet har introducerats. Ett program är en annan typ av objekt än ett paket och ett program. Om en enhet ännu inte är igång (på grund av att OOBE har slutförts eller av någon annan anledning) försöker Konfigurationshanteraren att registrera enheten igen tills regeln identifierar statusändringen.

Det här kan du åstadkomma genom att skapa en kontroll för identifieringsregel om registervärdet "OnboardingState" (av typen REG_DWORD) = 1. Registervärdet finns under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Mer information finns i Konfigurera identifieringsmetoder i System Center 2012 R2 Configuration Manager.

Konfigurera exempelsamlingsinställningar

För varje enhet kan du ange ett konfigurationsvärde för att ange om exempel kan samlas in från enheten när en begäran görs via Microsoft 365 Defender för att skicka in en fil för djupanalys.

Anteckning

De här konfigurationsinställningarna görs vanligtvis via Konfigurationshanteraren.

Du kan ange en regel för efterlevnad för konfigurationsobjektet i Konfigurationshanteraren om du vill ändra inställningen för exempelresursen på en enhet.

Den här regeln bör vara ett konfigurationsobjekt för efterlevnadsregel som anger värdet på en registernyckel på riktade enheter för att säkerställa att de är klagomål.

Konfigurationen anges via följande registernyckelpost:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Där tangenttyp är en D-WORD. Möjliga värden är:

  • 0: Tillåter inte exempeldelning från den här enheten
  • 1: Tillåter delning av alla filtyper från den här enheten

Standardvärdet är 1 om registernyckeln inte finns.

Mer information om hur System Center Configuration Manager efterlevnad finns i Introduktion till efterlevnadsinställningar i System Center 2012 R2 Configuration Manager.

Efter att du har introducerat enheter för tjänsten är det viktigt att du utnyttjar de skyddsfunktioner som ingår i tjänsten genom att aktivera dem med följande rekommenderade konfigurationsinställningar.

Konfiguration av enhetssamling

Om du använder Endpoint Configuration Manager, version 2002 eller senare kan du välja att bredda distributionen så att den omfattar servrar eller klienter på nednivå.

Nästa generations skyddskonfiguration

Följande konfigurationsinställningar rekommenderas:

Skanna

  • Skanna flyttbara lagringsenheter, till exempel USB-enheter: Ja

Realtidsskydd

  • Aktivera beteendeuppföljning: Ja
  • Aktivera skydd mot potentiellt oönskade program vid nedladdning och före installationen: Ja

Molnskyddstjänst

  • Molnskyddstjänsttyp: Avancerat medlemskap

Minska attackytan

Konfigurera alla tillgängliga regler för granskning.

Anteckning

Att blockera dessa aktiviteter kan avbryta legitima affärsprocesser. Det bästa sättet är att ange allt som ska granskas, identifiera vilka som är säkra att aktivera och sedan aktivera inställningarna på slutpunkter som inte har falsk positiv identifiering.

Nätverksskydd

Innan du aktiverar nätverksskydd i gransknings- eller blockeringsläge bör du kontrollera att du har installerat uppdateringen för plattformsuppdateringen mot skadlig kod som du kan få från supportsidan.

Reglerad mappåtkomst

Aktivera funktionen i granskningsläge i minst 30 dagar. Granska identifieringar och skapa en lista över program som får skriva i skyddade kataloger efter den här perioden.

Mer information finns i Utvärdera reglerad mappåtkomst.

Köra ett identifieringstest för att verifiera registrering

När du har introducerat enheten kan du välja att köra ett identifieringstest för att verifiera att en enhet är korrekt onboarded till tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen onboarded Microsoft Defender för Endpoint-enhet.

Offboard-enheter med Konfigurationshanteraren

Av säkerhetsskäl upphör paketet som används till Offboard-enheter 30 dagar efter det datum då det laddades ned. Utgångna offboarding-paket som skickats till en enhet kommer att avvisas. När du laddar ned ett offboarding-paket meddelas du om paketens utgångsdatum och det inkluderas också i paketets namn.

Anteckning

Principer för onboarding och offboarding får inte distribueras på samma enhet samtidigt, annars kan det orsaka oförutsägbara tavlor.

Offboard-enheter som Microsoft Endpoint Manager current branch

Om du använder Microsoft Endpoint Manager current branch finns mer information i Skapa en konfigurationsfil för offboarding.

Offboard-enheter med System Center 2012 R2 Configuration Manager

  1. Hämta offboarding-paketet från Microsoft 365 Defender portal:

    1. I navigeringsfönstret väljer du Inställningar > Endpoints > Enhetshantering > Offboarding.
    2. Välj Windows 10 eller Windows 11 använda som operativsystem.
    3. I fältet Distributionsmetod väljer du System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Välj Ladda ned paket och spara .zip filen.
  2. Extrahera innehållet i filen .zip till en delad, skrivskyddad plats som kan nås av nätverksadministratörerna som ska distribuera paketet. Du bör ha en fil med namnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Distribuera paketet genom att följa stegen i artikeln Paket och program i System Center 2012 R2 Configuration Manager.

    Välj en fördefinierad enhetssamling att distribuera paketet till.

Viktigt

Offboarding gör att enheten slutar skicka sensordata till portalen men data från enheten, inklusive referens till aviseringar som den haft kommer att behållas i upp till 6 månader.

Övervaka enhetskonfiguration

Om du använder en Microsoft Endpoint Manager gren använder du den inbyggda Defender för slutpunkt-instrumentpanelen i konfigurationshanterarens konsol. Mer information finns i Defender för slutpunkt – bildskärm.

Om du använder konfigurationshanteraren System Center 2012 R2 består övervakning av två delar:

  1. Bekräfta att konfigurationspaketet har distribuerats korrekt och körs (eller har körts) på enheterna i nätverket.

  2. Kontrollera att enheterna är kompatibla med Defender för Slutpunkt-tjänsten (detta säkerställer att enheten kan slutföra onboarding-processen och kan fortsätta att rapportera data till tjänsten).

Bekräfta att konfigurationspaketet har distribuerats korrekt

  1. Klicka på Övervakning längst ned i navigeringsfönstret i konfigurationshanterarens konsol.

  2. Välj Översikt och sedan Distributioner.

  3. Välj på distributionen med paketets namn.

  4. Granska statusindikatorerna under Slutstatistik och Innehållsstatus.

    Om distributionen misslyckades (enheter med fel- och krav som inte uppfylls eller statusen Misslyckades) kan du behöva felsöka enheterna. Mer information finns i Felsöka problem med Microsoft Defender för slutpunkts onboarding.

    Konfigurationshanteraren visar en lyckad distribution utan fel.

Kontrollera att enheterna är kompatibla med Microsoft Defender för slutpunktstjänsten

Du kan ange en regel för efterlevnad för konfigurationsobjekt i System Center 2012 R2 Configuration Manager för att övervaka distributionen.

Den här regeln bör vara ett konfigurationsobjekt som inte åtgärdar konfigurationsobjekt för efterlevnadsregel som övervakar värdet för en registernyckel på riktade enheter.

Övervaka följande registernyckelpost:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Mer information finns i Introduktion till inställningar för efterlevnad i System Center 2012 R2 Configuration Manager.