Introduktion med hjälp av Microsoft Endpoint Configuration Manager
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Den här artikeln är en del av distributionsguiden och fungerar som ett exempel på onboarding-metod.
I ämnet Planering finns det flera metoder för att introducera enheter till tjänsten. Det här avsnittet behandlar arkitekturen för samtidig hantering.
Diagram över miljöarkitekturer
Defender för Endpoint har stöd för registrering av olika slutpunkter och verktyg, men den här artikeln täcker inte in dem. Mer information om allmän onboarding med andra distributionsverktyg och metoder som stöds finns i Översikt över onboarding.
Det här avsnittet leder användarna i:
- Steg 1: Windows till tjänsten
- Steg 2: Konfigurera Defender för slutpunktsfunktioner
Den här introduktionsvägledningen går igenom följande grundläggande steg som du måste vidta när du använder Microsoft Endpoint Configuration Manager:
- Skapa en samling i Microsoft Endpoint Configuration Manager
- Konfigurera Microsoft Defender för slutpunktsfunktioner med Microsoft Endpoint Configuration Manager
Anteckning
Endast Windows enheter omfattas av den här exempeldistributionen.
Steg 1: Introducera Windows-enheter med Microsoft Endpoint Configuration Manager
Skapa samling
Om du Windows registrera Microsoft Endpoint Configuration Manager-enheter med hjälp av Microsoft Endpoint Configuration Manager kan distributionen ha en befintlig samling som mål, eller så kan en ny samling skapas för testning.
Registrering med verktyg som grupprincip eller manuell metod installerar inte någon agent i systemet.
I Microsoft Endpoint Configuration Manager konsolen konfigureras onboarding-processen som en del av inställningarna för efterlevnad i konsolen.
Alla system som får den här nödvändiga konfigurationen behåller den konfigurationen så länge Konfigurationshanteraren-klienten fortsätter att ta emot den här principen från hanteringspunkten.
Följ stegen nedan för att registrera slutpunkter med hjälp Microsoft Endpoint Configuration Manager.
I Microsoft Endpoint Configuration Manager går du till Enhetssamlingar för tillgångar och > > efterlevnadsöversikt.

Högerklicka på Enhetssamling och välj Skapa enhetssamling.

Ange ett namn och en begränsad samling och välj sedan Nästa.

Välj Lägg till regel och välj Frågeregel.

Klicka på Nästa i guiden Direktmedlemskap och klicka på Redigera frågeutdrag.

Välj Villkor och välj sedan stjärnikonen.

Se till att villkorstypen är ett enkelt värde , välj var som operativsystem – versionsnummer , operator som är större än eller lika med och värde 14393 och klicka på OK.

Välj Nästa och Stäng.

Välj Nästa.

När du har slutfört den här uppgiften har du en enhetssamling med Windows alla slutpunkter i miljön.
Steg 2: Konfigurera Microsoft Defender för slutpunktsfunktioner
I det här avsnittet får du hjälp med att konfigurera följande funktioner Microsoft Endpoint Configuration Manager på Windows enheter:
Identifiering och svar av slutpunkt
Windows 10 och Windows 11
Från Microsoft 365 Defender-portalen kan du ladda ned den princip som kan användas för att skapa principen i System Center Configuration Manager och distribuera den principen på Windows 10 och .onboarding Windows 11 enheter.
I en Microsoft 365 Defender portalväljer du Inställningar och sedan Onboarding.
Under Distributionsmetod väljer du den version av Microsoft Endpoint Configuration Manager .

Välj Ladda ned paket.

Spara paketet på en tillgänglig plats.
I Microsoft Endpoint Configuration Manager du till: Tillgångar och efterlevnad > översikt > Endpoint Protection > Microsoft Defender ATP-principer.
Högerklicka på Microsoft Defender ATP-principer och välj Skapa Microsoft Defender ATP-princip.

Ange namn och beskrivning, kontrollera att Onboarding är markerat och välj sedan Nästa.

Klicka på Bläddra.
Navigera till platsen för den nedladdade filen från steg 4 ovan.
Klicka Nästa.
Konfigurera agenten med lämpliga exempel (Ingen eller Alla filtyper).

Välj lämplig telemetri (Normal eller Expedited) och klicka sedan på Nästa.

Verifiera konfigurationen och klicka sedan på Nästa.

Klicka på Stäng när guiden är klar.
Högerklicka Microsoft Endpoint Configuration Manager Defender för slutpunktsprincip du just skapade i konsolen och välj Distribuera.

På den högra panelen markerar du den tidigare skapade samlingen och klickar på OK.

Tidigare versioner av Windows (version Windows 7 och Windows 8.1)
Följ stegen nedan för att identifiera defender för slutpunktsarbetsyta och arbetsytenyckel, som krävs för registrering av tidigare versioner av Windows.
Välj Onboarding Inställningar slutpunkter > > (under Enhetshantering) i en Microsoft 365 Defender-portal.
Under Operativsystem väljer du Windows 7 SP1 och 8.1.
Kopiera arbetsyte-ID och arbetsytenyckel och spara dem. De kommer att användas senare i processen.

Installera Microsoft Monitoring Agent (MMA).
MMA stöds för närvarande (från och med januari 2019) på följande Windows operativsystem:
- Server-SKU:er: Windows Server 2008 SP1 eller nyare
- Klient-SKU:er: Windows 7 SP1 och senare
MMA-agenten måste installeras på Windows enheter. För att kunna installera agenten måste vissa system ladda ned uppdatering för kundupplevelse och diagnostisk telemetri för att kunna samla in data med MMA. Dessa systemversioner omfattar men kan inte begränsas till:
- Windows 8.1
- Windows 7
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2008 R2
Mer specifikt Windows 7 SP1 måste följande korrigeringar installeras:
- Installera KB4074598
- Installera antingen .NET Framework 4.5 (eller senare) eller KB3154518. Installera inte båda på samma system.
Om du använder en proxyserver för att ansluta till Internet kan du gå till avsnittet Konfigurera proxyinställningar.
När den är klar bör du se onboarded endpoints i portalen inom en timme.
Nästa generations skydd
Microsoft Defender Antivirus är en inbyggd antimalwarelösning som ger nästa generations skydd för stationära datorer, bärbara datorer och servrar.
I Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection > > antimalware-policyer och väljer Skapa program mot skadlig programvara.

Välj Schemalagda genomsökningar , Sökinställningar , Standardåtgärder , Realtidsskydd , Undantagsinställningar, Avancerat, Åsidosättningar av hot, Molnskyddstjänst och Säkerhetsintelligensuppdateringar och välj OK.

I vissa branscher eller vissa utvalda företagskunder kan ha specifika behov av hur Antivirus är konfigurerat.
Snabbsökning kontra fullständig sökning och anpassad sökning
Mer information finns i Windows-säkerhet konfigurationsramverket.








Högerklicka på den nyligen skapade programprincipen för program mot skadlig programvara och välj Distribuera.

Rikta den nya program mot skadlig programvara till din Windows och klicka på OK.

När du har slutfört den här uppgiften har du nu konfigurerat Windows Defender Antivirus.
Minska attackytan
Minskning av attackytan hos Defender för Endpoint inkluderar funktionsuppsättningen som är tillgänglig under Exploit Guard. ASR-regler (Attack Surface Reduction), Kontrollerad mappåtkomst, Nätverksskydd och Sårbarhetsskydd.
Alla dessa funktioner ger ett granskningsläge och ett blockläge. I granskningsläge påverkar det inte slutanvändaren. Allt som samlas in är ytterligare telemetri och gör den tillgänglig i Microsoft 365 Defender portalen. Syftet med en distribution är att stegvis flytta säkerhetskontroller till blockläge.
Så här anger du ASR-regler i granskningsläge:
På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection Windows Defender > > Sårbarhetsskydd och väljer Skapa sårbarhetsskyddspolicy.

Välj Minska attackytan.
Ange att regler ska granskas och klicka på Nästa.

Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

När principen har skapats klickar du på Stäng.

Högerklicka på den nya principen och välj Distribuera.

Rikta principen mot den nya Windows och klicka på OK.

När du har slutfört den här uppgiften har du nu konfigurerat ASR-regler i granskningsläge.
Nedan följer ytterligare steg för att verifiera om ASR-regler tillämpas korrekt på slutpunkter. (Det kan ta några minuter)
Från en webbläsare går du till Microsoft 365 Defender.
Välj Konfigurationshantering på menyn till vänster.
Klicka på Gå till hantering av attackytor i hanteringspanelen för attackytor.

Klicka på fliken Konfiguration i rapporterna för minskning av attackytan. Den visar en översikt över asr-regler och status för ASR-regler på varje enhet.

Klicka på varje enhet visar konfigurationsinformation för ASR-regler.

Mer information finns i Optimera ASR-regeldistribution och identifieringar.
Ange nätverksskyddsregler i granskningsläge
På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och > efterlevnad Endpoint Protection Windows Defender > > Sårbarhetsskydd och väljer Skapa sårbarhetspolicy.

Välj Nätverksskydd.
Ange inställningen Granskning och klicka på Nästa.

Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

Klicka på Stäng när principen har skapats.

Högerklicka på den nya principen och välj Distribuera.

Välj principen för den nya Windows och välj OK.

När du har slutfört den här uppgiften har du nu konfigurerat nätverksskyddet i granskningsläge.
Så här anger du regler för kontrollerad mappåtkomst i granskningsläge
På Microsoft Endpoint Configuration Manager navigerar du till Översikt över tillgångar och efterlevnad Endpoint Protection Windows Defender Exploit Guard och > > > väljer sedan Skapa sårbarhetspolicy.

Välj Reglerad mappåtkomst.
Ange att konfigurationen ska granskas och klicka på Nästa.

Bekräfta den nya Exploit Guard-policyn genom att klicka på Nästa.

Klicka på Stäng när principen har skapats.

Högerklicka på den nya principen och välj Distribuera.

Rikta principen mot den nya Windows och klicka på OK.

Nu har du konfigurerat reglerad mappåtkomst i granskningsläge.