Konfigurera Microsoft Defender för distribution av Endpoint

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Distribution av Defender för Endpoint är en process i tre steg:

distributionsfas – förbereda.
Fas 1: Förbereda
distributionsfas – konfiguration
Fas 2: Installation
distributionsfas – onboard
Fas 3: Introduktion
Du är här!

Du befinner dig för närvarande i set-up-fasen.

I det här distributionsscenariot vägleds du genom stegen om:

  • Licensieringsverifiering
  • Klientorganisationskonfiguration
  • Nätverkskonfiguration

Anteckning

För att du ska kunna vägleda dig genom en vanlig distribution tar det här scenariot bara upp användningen av Microsoft Endpoint Configuration Manager. Defender för Endpoint stöder användning av andra onboarding-verktyg men täcker inte in de scenarierna i distributionsguiden. Mer information finns i Introducera enheter till Microsoft Defender för Endpoint.

Kontrollera licenstillstånd

Kontroll av licenstillståndet och om den har etablerats korrekt kan göras via administrationscentret eller via Microsoft Azure portalen.

  1. Du visar licenserna genom att gå Microsoft Azure-portalen och gå till Microsoft Azure för portallicens.

    Bild av sidan Azure-licensiering.

  2. Du kan också gå till Faktureringsprenumerationer i administrationscentret>.

    På skärmen visas alla etablerade licenser och deras aktuella status.

    Bild på faktureringslicenser.

Validering av molntjänstleverantör

Om du vill få åtkomst till vilka licenser som tillhandahålls till ditt företag och kontrollera licenserna går du till administrationscentret.

  1. I partnerportalen väljer du Administrera tjänster > Office 365.

  2. Om du klickar på partnerportallänken öppnas alternativet Admin för din räkning och du får tillgång till kundadministrationscentret.

    Bild på O365-administrationsportalen.

Klientorganisationskonfiguration

Det är enkelt att komma igång med Microsoft Defender för Slutpunkt. I navigeringsmenyn väljer du ett objekt under avsnittet Slutpunkter eller någon Microsoft 365 Defender-funktion som Incidenter, Jägning, Åtgärdscenter eller Hotanalys för att påbörja onboarding-processen.

Från en webbläsare går du till Microsoft 365 Defender portalen.

Datacenterplats

Microsoft Defender för Slutpunkt lagrar och bearbetar data på samma plats som används av Microsoft 365 Defender. Om Microsoft 365 Defender inte har aktiverats än aktiveras även introduktionen till Microsoft Defender för Endpoint Microsoft 365 Defender och en ny datacenterplats väljs automatiskt utifrån platsen för aktiva Microsoft 365 säkerhetstjänster. Den valda platsen för datacenter visas på skärmen.

Nätverkskonfiguration

Om organisationen inte kräver att slutpunkterna använder en proxyserver för att få åtkomst till Internet kan du hoppa över det här avsnittet.

Microsoft Defender för slutpunkts sensoren kräver Microsoft Windows HTTP (WinHTTP) för att rapportera sensordata och kommunicera med Microsoft Defender för slutpunktstjänsten. Den inbäddade Microsoft Defender för slutpunkts sensoren körs i systemkontexten med localSystem-kontot. Sensorn använder Microsoft Windows HTTP-tjänster (WinHTTP) för att aktivera kommunikation med Microsoft Defender för slutpunktsmolntjänsten. WinHTTP-konfigurationsinställningen är oberoende av proxyinställningarna för Internetsurfning på Windows Internet (WinINet) på Internet och kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:

  • Metoder för automatisk upptäckt:

    • Transparent proxy
    • Web Proxy Autodiscovery Protocol (WPAD)

    Om en Transparent proxy eller WPAD har implementerats i nätverkstopologin behöver du inte göra några särskilda konfigurationsinställningar. Mer information om undantag för slutpunkts-URL för slutpunkt i proxyn finns i avsnittet URL-adresser för proxytjänsten i det här dokumentet för listan Tillåtna URL-adresser eller Konfigurera enhetsproxy och Internetanslutningsinställningar.

  • Manuell statisk proxykonfiguration:

    • Registerbaserad konfiguration

    • WinHTTP konfigurerat med netsh-kommandot

      Passar endast för stationära datorer i en stabil topologi (t.ex. ett skrivbord i ett företagsnätverk bakom samma proxy).

Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxy

Konfigurera en registerbaserad statisk proxy så att endast Microsoft Defender för slutpunkts sensor kan rapportera diagnostikdata och kommunicera med Microsoft Defender för Slutpunktstjänster om en dator inte har tillåtelse att ansluta till Internet. Den statiska proxyn kan konfigureras via en grupprincip. Grupprincipen finns under:

  • Administrativa mallar > Windows datainsamlings>- och förhandsversioner > av komponenter Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten
  • Ställ in den på Aktiverad och välj Inaktivera autentiserad proxyanvändning
  1. Öppna konsolen Grupprinciphantering.

  2. Skapa en princip eller redigera en befintlig princip utifrån organisationsrutinerna.

  3. Redigera grupprincipen och gå > till Administrativa mallar Windows > datasamlings- och förhandsversioner > Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten.

    Bild av grupprincipkonfiguration.

  4. Välj Aktiverad.

  5. Välj Inaktivera autentiserad proxyanvändning.

  6. Gå till Administrativa mallar > Windows datainsamlings- > och förhandsversioner > av komponenter Konfigurera anslutna användarupplevelser och telemetri.

    Bild av grupprincipkonfigurationsinställning.

  7. Välj Aktiverad.

  8. Ange proxyservernamnet.

Principen anger två registervärden TelemetryProxyServer som REG_SZ och DisableEnterpriseAuthProxy som REG_DWORD under registernyckeln HKLM\Software\Policies\Microsoft\Windows\DataCollection.

Registervärdet TelemetryProxyServer har följande strängformat:

<server name or ip>:<port>

Till exempel: 10.0.0.6:8080

Registervärdet DisableEnterpriseAuthProxy anges till 1.

Konfigurera proxyservern manuellt med netsh-kommandot

Använd netsh för att konfigurera en systemomfattande statisk proxy.

Anteckning

  • Detta påverkar alla program, inklusive Windows-tjänster som använder WinHTTP med standardproxyn.
  • Bärbara datorer som ändrar topologi (till exempel från kontor till hem) fungerar inte på netsh. Använd den registerbaserade statiska proxykonfigurationen.
  1. Öppna en upphöjd kommandorad:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.
  2. Skriv följande kommando och tryck på Retur:

    netsh winhttp set proxy <proxy>:<port>
    

    Till exempel: netsh winhttp set proxy 10.0.0.6:8080

Proxykonfiguration för enheter på lägre nivå

Down-Level-enheter inkluderar Windows 7 SP1 och Windows 8.1 arbetsstationer samt Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 och versioner av Windows Server 2016 före Windows Server CB 1803. Proxyn konfigureras som en del av Microsoft Management Agent för att hantera kommunikation från slutpunkten till Azure. Mer information om hur en proxy konfigureras på dessa enheter finns i distributionsguiden för Microsoft Management Agent – snabb distribution.

URL-adresser för proxytjänst

URL-adresser som innehåller v20 i dem behövs bara om du har Windows 10, version 1803 eller Windows 11 enheter. Behövs till exempel us-v20.events.data.microsoft.com bara om enheten är i Windows 10, version 1803 eller Windows 11.

Om en proxy eller brandvägg blockerar anonym trafik, som Microsoft Defender för Slutpunkts sensor ansluter från systemkontext, kontrollerar du att anonym trafik tillåts i de angivna webbadresserna.

I följande nedladdningsbara kalkylblad finns de tjänster och deras tillhörande URL:er som nätverket måste kunna ansluta till. Kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er, eller så kan du behöva skapa en tillåta-regel specifikt för dem.



Kalkylblad med domänlista Beskrivning
Url-lista för Microsoft Defender för slutpunkt för kommersiella kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder.

Ladda ned kalkylbladet här.

Microsoft Defender för slutpunkts-URL-lista för gov-/GCC-/DoD-kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder.

Ladda ned kalkylbladet här.

Nästa steg

Fas 3: Onboard.
Steg 3: Introducera: Introducera enheter till tjänsten så att Microsoft Defender för Slutpunkt-tjänsten kan få sensordata från dem.