Microsoft Defender för Endpoint

Gäller för: Configuration Manager (aktuell gren)

Endpoint Protection kan hjälpa dig att hantera och övervaka Microsoft Defender för Endpoint. Microsoft Defender för Endpoint hjälper företag att identifiera, undersöka och reagera på avancerade attacker i sina nätverk. Configuration Manager principer kan hjälpa dig att registrera och övervaka Windows 10 eller senare klienter.

Microsoft Defender för Endpoint molnbaserade portalen är Microsoft Defender Säkerhetscenter. Genom att lägga till och distribuera en konfigurationsfil för klientregistrering kan Configuration Manager övervaka distributionsstatus och Microsoft Defender för Endpoint agenthälsa. Microsoft Defender för Endpoint stöds på datorer som kör Configuration Manager-klienten eller hanteras av Microsoft Intune.

Förutsättningar

• Prenumeration på Microsoft Defender för Endpoint
• Klienter som kör Configuration Manager-klienten
• Klienter som använder ett operativsystem som anges i avsnittet klientoperativsystem som stöds nedan.
• Ditt administrativa användarkonto behöver säkerhetsrollen Endpoint Protection Manager .

Klientoperativsystem som stöds

Du kan registrera följande operativsystem med hjälp av Configuration Manager:

• Windows 11
• Windows 10 version 1709 eller senare
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual Channel (SAC), version 1803 eller senare
• Windows Server 2016
• Windows Server 2012 R2

Viktigt

Operativsystem som har nått slutet av produktlivscykeln stöds vanligtvis inte för registrering om de inte har registrerats i Extended Security Uppdateringar (ESU-programmet). Mer information om operativsystem och funktioner som stöds med Microsoft Defender för Endpoint finns i Minimikrav för Microsoft Defender för Endpoint.

Instruktioner för registrering för att Microsoft Defender för Endpoint med Configuration Manager 2207 och senare versioner

Anvisningar för att uppdatera registreringsinformation för Microsoft Defender för Endpoint enheter med Configuration Manager

Registrering till Microsoft Defender för Endpoint med Configuration Manager 2207 och senare versioner

Olika operativsystem har olika behov av registrering för att Microsoft Defender för Endpoint. Enheter på hög nivå, till exempel Windows Server version 1803, behöver registreringskonfigurationsfilen. Från och med Current Branch 2207 kan du välja mellan Microsoft Defender för Endpoint (MDE) klient (rekommenderas) eller Microsoft Monitoring Agent (MMA) (äldre) i klientinställningarna. För Windows 8.1-enheter måste du använda Microsoft Monitoring Agent (MMA) (äldre) i klientinställningarna.

Om du väljer att använda MMA behöver du arbetsytenyckeln och arbetsyte-ID :t som ska registreras. Configuration Manager installerar även Microsoft Monitoring Agent (MMA) när det behövs av registrerade enheter, men den uppdaterar inte agenten automatiskt.

Operativsystem på hög nivå omfattar:

• Windows 10 version 1607 och senare
• Windows 11
• Windows Server Semi-Annual Channel (SAC), version 1803 eller senare
• Windows Server 2019
• Windows Server 2022

Operativsystem på nednivå som stöder MDE-klienten omfattar:

• Windows Server 2012 R2
• Windows Server 2016

Operativsystem på låg nivå som kräver MMA-agent:

• Windows 8.1

Obs!

För närvarande är den moderna, enhetliga Microsoft Defender för Endpoint för Windows Server 2012 R2 & 2016 allmänt tillgänglig. Configuration Manager version 2107 med samlad uppdatering stöder konfiguration med hjälp av Endpoint Protection-principer, inklusive de principer som skapats i Microsoft Intune administrationscenter med klientanslutning. Configuration Manager version 2207 stöder nu automatisk distribution av MDE Client, om du väljer att använda via Klientinställningar. Äldre versioner som stöds finns i Scenarier för servermigrering.

När du registrerar enheter för att Microsoft Defender för Endpoint med Configuration Manager distribuerar du Defender-principen till en målsamling eller flera samlingar. Ibland innehåller målsamlingen enheter som kör valfritt antal operativsystem som stöds. Anvisningarna för registrering av dessa enheter varierar beroende på om du riktar in dig på en samling som innehåller enheter med operativsystem som bara är på hög nivå och enheter som stöder MDE Client eller om samlingen även innehåller äldre klienter som kräver MMA.

• Om din samling endast innehåller enheter på hög nivå och/eller serveroperativsystemenheter på nednivå som kräver MDE Klient (baserat på klientinställningarna) kan du använda onboarding-instruktionerna med hjälp av Microsoft Defender för Endpoint Client (rekommenderas).
• Om målsamlingen innehåller serveroperativsystemenheter på nednivå som kräver MMA (baserat på klientinställningarna) eller Windows 8.1-enheter använder du anvisningarna för att registrera enheter med Hjälp av Microsoft Monitoring Agent.

Varning

Om målsamlingen innehåller enheter på nednivå som kräver MMA, och du använder anvisningarna för registrering med MDE Client, registreras inte enheterna på nednivå. De valfria fälten för arbetsytenyckel och arbetsyte-ID används för registrering av enheter på nednivå som kräver MMA, men om de inte ingår misslyckas principen på klienter på nednivå som kräver MMA.

Registrera enheter som använder MDE-klienten för att Microsoft Defender för Endpoint (rekommenderas)

Up-level-klienter kräver en registreringskonfigurationsfil för registrering till Microsoft Defender för Endpoint. Operativsystem på hög nivå omfattar:

• Windows 11
• Windows 10 version 1607 och senare
• Windows Server Semi-Annual Channel (SAC), version 1803 och senare
• Windows Server 2019
• Windows Server 2022

Operativsystem på nednivå som stöder MDE-klienten omfattar:

• Windows Server 2012 R2
• Windows Server 2016

Förutsättningar

Krav för Windows Server 2012 R2

Om du har uppdaterat datorerna fullständigt med det senaste månatliga sammanslagningspaketet finns det inga ytterligare krav.

Installationspaketet kontrollerar om följande komponenter redan har installerats via en uppdatering:

• Uppdatering för kundupplevelse och diagnostiktelemetri
• Uppdatering för Universal C Runtime i Windows

Förutsättningar för Windows Server 2016

• Servicestackens uppdatering (SSU) från 14 september 2021 eller senare måste installeras.
• Den senaste kumulativa uppdateringen (LCU) från 20 september 2018 eller senare måste installeras. Vi rekommenderar att du installerar den senaste tillgängliga SSU och LCU på servern. – Funktionen Microsoft Defender Antivirus måste vara aktiverad/installerad och uppdaterad. Du kan ladda ned och installera den senaste plattformsversionen med hjälp av Windows Update. Du kan också ladda ned uppdateringspaketet manuellt från Microsoft Update Catalog eller från MMPC.

Hämta en registreringskonfigurationsfil för enheter på hög nivå

1. Gå till Microsoft Defender Säkerhetscenter och logga in.
2. Välj Inställningar och välj sedan Registrering under rubriken Slutpunkt .
3. För operativsystemet väljer du Windows 10 och 11.
4. Välj Microsoft Endpoint Configuration Manager aktuell gren och senare för distributionsmetoden.
5. Välj Ladda ned paket.
6. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet.

   Obs!

   Stegen beskriver hur du laddar ned registreringsfilen för Windows 10 och 11, men den här filen används också för serveroperativsystem på hög nivå.

Viktigt

• Konfigurationsfilen Microsoft Defender för Endpoint innehåller känslig information som ska hållas säker.
• Om målsamlingen innehåller enheter på nednivå som kräver MMA, och du använder anvisningarna för registrering med MDE Client, registreras inte enheterna på nednivå. Valfria fält för arbetsytenyckel och arbetsyte-ID används för registrering av enheter på nednivå, men om de inte ingår misslyckas principen på klienter på nednivå.

Registrera enheter på den högsta nivån

1. I Configuration Manager-konsolen går du tillAdministrationsklientinställningar>.
2. Skapa anpassade klientenhetsinställningar eller gå till egenskaperna för den klientinställning som krävs och välj Endpoint Protection
3. För inställningen Microsoft Defender för Endpoint Klient på Windows Server 2012 R2 och Windows Server 2016 anges standardvärdet som Microsoft Monitoring Agent (äldre) som måste ändras till MDE Client (rekommenderas).
4. I Configuration Manager-konsolen går du till Tillgångar ochefterlevnadsslutpunktsskydd>>Microsoft Defender ATP-principer och väljer Skapa Microsoft Defender ATP-princip. Principguiden öppnas.
5. Ange namn och beskrivning för principen Microsoft Defender för Endpoint och välj Registrering.
6. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip-filen.
7. Ange de filexempel som samlas in och delas från hanterade enheter för analys.
   • Ingen
   • Alla filtyper
8. Granska sammanfattningen och slutför guiden.
9. Högerklicka på principen som du skapade och välj sedan Distribuera för att rikta Microsoft Defender för Endpoint principen till klienter.

Registrera enheter med MDE-klienten och MMA för att Microsoft Defender för Endpoint

Du kan registrera enheter som kör något av de operativsystem som stöds för att Microsoft Defender för Endpoint genom att ange konfigurationsfilen, arbetsytenyckeln och arbetsyte-ID:t till Configuration Manager.

Hämta konfigurationsfilen, arbetsyte-ID:t och arbetsytenyckeln

1. Gå till Microsoft Defender för Endpoint onlinetjänst och logga in.

2. Välj Inställningar och välj sedan Registrering under rubriken Slutpunkter .

3. För operativsystemet väljer du Windows 10 och 11.

4. Välj Microsoft Endpoint Configuration Manager aktuell gren och senare för distributionsmetoden.

5. Välj Ladda ned paket.

   

6. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet.

7. Välj Inställningar och välj sedan Registrering under rubriken Enhetshantering .

8. För operativsystemet väljer du antingen Windows 7 SP1 och 8.1 eller Windows Server 2008 R2 Sp1, 2012 R2 och 2016 i listan.

   • Arbetsytenyckeln och arbetsyte-ID:t är desamma oavsett vilka av dessa alternativ du väljer.

9. Kopiera värdena för arbetsytenyckeln och arbetsyte-ID :t från avsnittet Konfigurera anslutning .

   Viktigt

   Konfigurationsfilen Microsoft Defender för Endpoint innehåller känslig information som ska hållas säker.

Registrera enheterna

1. I Configuration Manager-konsolen går du tillAdministrationsklientinställningar>.

2. Skapa anpassade klientenhetsinställningar eller gå till egenskaperna för den klientinställning som krävs och välj Endpoint Protection

3. För inställningen Microsoft Defender för Endpoint Client på Windows Server 2012 R2 och Windows Server 2016 kontrollerar du att värdet har angetts som Microsoft Monitoring Agent (äldre).

4. I Configuration Manager-konsolen går du till Tillgångar ochefterlevnadsslutpunktsskydd>>Microsoft Defender ATP-principer.

5. Välj Skapa Microsoft Defender ATP-princip för att öppna principguiden.

6. Ange namn och beskrivning för principen Microsoft Defender för Endpoint och välj Registrering.

7. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip-filen.

8. Ange arbetsytenyckeln och arbetsyte-ID :t och välj sedan Nästa.

   • Kontrollera att arbetsytenyckeln och arbetsyte-ID :t finns i rätt fält. Ordningen i konsolen kan variera från ordningen i Microsoft Defender för Endpoint onlinetjänst.

9. Ange de filexempel som samlas in och delas från hanterade enheter för analys.

   • Ingen
   • Alla filtyper

10. Granska sammanfattningen och slutför guiden.

11. Högerklicka på principen som du skapade och välj sedan Distribuera för att rikta Microsoft Defender för Endpoint principen till klienter.

Övervaka

1. I Configuration Manager-konsolen navigerar du till Övervakningssäkerhet> och väljer sedan Microsoft Defender ATP.

2. Granska instrumentpanelen för Microsoft Defender för Endpoint.

   • Microsoft Defender ATP Agent Onboarding Status: Antalet och procentandelen berättigade hanterade klientdatorer med aktiv Microsoft Defender för Endpoint princip registrerad

   • Microsoft Defender ATP-agenthälsa: Procentandelen datorklienter som rapporterar status för sin Microsoft Defender för Endpoint agent

     • Felfri – fungerar som den ska

     • Inaktiv – Inga data skickas till tjänsten under tidsperioden

     • Agenttillstånd – Systemtjänsten för agenten i Windows körs inte

     • Inte registrerad – Principen tillämpades men agenten har inte rapporterat principregistrering

Skapa en konfigurationsfil för avregistrering

1. Logga in på Microsoft Defender Säkerhetscenter.

2. Välj Inställningar och välj sedan Avregistrering under rubriken Slutpunkt .

3. Välj Windows 10 och 11 för operativsystemet och Microsoft Endpoint Configuration Manager aktuell gren och senare för distributionsmetoden.

   • Med hjälp av alternativet Windows 10 och 11 ser du till att alla enheter i samlingen är avkortade och att MMA avinstalleras när det behövs.

4. Ladda ned den komprimerade arkivfilen (.zip) och extrahera innehållet. Avregistreringsfilerna är giltiga i 30 dagar.

5. I Configuration Manager-konsolen går du till Tillgångar ochefterlevnadsslutpunktsskydd>>Microsoft Defender ATP-principer och väljer Skapa Microsoft Defender ATP-princip. Principguiden öppnas.

6. Skriv namn och beskrivning för principen Microsoft Defender för Endpoint och välj Avregistrering.

7. Bläddra till konfigurationsfilen som du extraherade från den nedladdade .zip-filen.

8. Granska sammanfattningen och slutför guiden.

Välj Distribuera för att rikta Microsoft Defender för Endpoint-principen till klienter.

Viktigt

Konfigurationsfilerna för Microsoft Defender för Endpoint innehåller känslig information som ska skyddas.

Uppdatera onboarding-informationen för befintliga enheter

Organisationer kan behöva uppdatera registreringsinformationen på en enhet via Microsoft Configuration Manager.

Detta kan vara nödvändigt på grund av en ändring i onboarding-nyttolasten för Microsoft Defender för Endpoint, eller när den dirigeras av Microsoft-supporten.

När onboarding-informationen uppdateras kommer enheten att börja använda den nya nyttolasten för registrering vid nästa omstart.

Den här processen komprometterar åtgärder för att uppdatera den befintliga registreringsprincipen och kör en engångsåtgärd på alla befintliga enheter för att uppdatera nyttolasten för registrering. Använd grupprincip onboarding-skriptet för att utföra en engångsupplyftning av enheter från den gamla nyttolasten till den nya nyttolasten.

Obs!

Den här informationen kommer inte nödvändigtvis att flytta en enhet mellan klienter utan att helt avregistrera enheten från den ursprungliga klientorganisationen. Om du vill ha alternativ för att migrera enheter mellan Microsoft Defender för Endpoint organisationer kan du kontakta Microsoft Support.

Verifiera den nya nyttolasten för registrering

1. Ladda ned grupprincip onboarding-paketet från Microsoft Defender för Endpoint-portalen.

2. Skapa en samling för validering av den nya nyttolasten för registrering

3. Undanta den här samlingen från den befintliga Microsoft Defender för Endpoint samling som är riktad mot registreringsnyttolasten.

4. Distribueragrupprincip onboarding-skriptet till testsamlingen.

5. Kontrollera att enheterna använder den nya nyttolasten för registrering.

Migrera till den nya nyttolasten för registrering

1. Ladda ned Microsoft Configuration Manager onboarding-paketet från Microsoft Defender för Endpoint-portalen.

2. Uppdatera den befintliga Microsoft Defender för Endpoint onboarding-principen med den nya registreringsnyttolasten.

3. Distribuera skriptet från Verifiera den nya registreringsnyttolasten till den befintliga målsamlingen för Microsoft Defender för Endpoint onboarding-principen.

4. Kontrollera att enheterna använder den nya nyttolasten för registrering och att nyttolasten från skriptet har förbrukats

Obs!

När alla enheter har migrerats kan du ta bort skript- och valideringssamlingarna från din miljö med hjälp av onboarding-principen framöver.

Nästa steg

• Microsoft Defender för Endpoint

• Felsöka Microsoft Defender för Endpoint onboarding-problem