用于终结点的 Microsoft Defender

适用范围:Configuration Manager (Current Branch)

Endpoint Protection 可帮助管理和监视 Microsoft Defender for Endpoint(之前称为 Windows Defender for Endpoint)。 Microsoft Defender for Endpoint 可帮助企业检测和调查其网络上的高级攻击并作出应对。 Configuration Manager 策略可帮助加入和监视 Windows 10 客户端。

Microsoft Defender for Endpoint 是 Microsoft Defender 安全中心提供的一项服务。 通过添加和部署客户端加入配置文件,Configuration Manager 可监视部署状态和 Microsoft Defender for Endpoint 代理运行状况。 可在运行 Configuration Manager 客户端的电脑上或由 Microsoft Intune 托管的电脑上使用 Microsoft Defender for Endpoint。

先决条件

  • Microsoft Defender for Endpoint 联机服务订阅
  • 运行 Configuration Manager 客户端的客户端计算机
  • 使用以下支持的客户端操作系统部分中列出的 OS 的客户端。
  • 你的管理用户帐户需要“Endpoint Protection 管理员”安全角色。

支持的客户端操作系统

根据所运行的 Configuration Manager 版本,可以加入以下客户端操作系统:

Configuration Manager 版本 1910 及更早版本

  • 运行 Windows 10、版本 1607 及更高版本的客户端计算机

Configuration Manager 版本 2002 及更高版本

自 Configuration Manager 版本 2002 起,可以加入以下操作系统:

  • Windows 8.1
  • Windows 10 1607 或更高版本
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2016 版本 1803 或更高版本
  • Windows Server 2019

关于使用 Configuration Manager 加入 ATP

不同操作系统对于加入 ATP 有不同要求。 Windows 8.1 和其他下级操作系统设备需要“工作区密钥”和“工作区 ID”才可加入 。 诸如 Windows Server 版本 1803 等上级设备需要加入配置文件。 Configuration Manager 还会在加入的设备需要时安装 Microsoft Monitoring Agent (MMA),但不会自动更新该代理。

上级操作系统包括:

  • Windows 10 1607 版及更高版本
  • Windows Server 2016 版本 1803 或更高版本
  • Windows Server 2019

下级操作系统包括:

  • Windows 8.1
  • Windows Server 2012 R2
  • Windows Server 2016 版本 1709 及更早版本

使用 Configuration Manager 将设备加入 ATP 时,会将 ATP 策略部署到目标集合或多个集合。 有时,目标集合包含的设备可运行任意数量的受支持操作系统。 根据目标集合是仅包含运行上级操作系统的设备,还是同事包含下级客户端,加入这些设备的说明有所不同。

警告

  • 如果目标集合包含下级设备,而你使用仅针对加入上级设备的说明,则不会加入下级设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入下级设备,但如果不选择这些字段,则按该策略加入下级客户端将会失败。

  • 在 Configuration Manager 2006 或更低版本中:

    • 如果你编辑现有策略来添加或编辑“工作区密钥”和“工作区 ID”字段,则还必须提供配置文件。 如果没有提供所有这三项,则策略将在下级客户端上失败。 > - 如果需要编辑载入文件,并且还填充了“工作区密钥”和“工作区 ID”字段,请将它们与载入文件一起提供。 如果没有提供所有这三项,则策略将在下级客户端上失败。

可让通过向 Configuration Manager 提供配置文件、工作区密钥和工作区 ID,将运行任何受支持操作系统的设备加入 ATP 。

获取配置文件、工作区 ID 和工作区密钥

  1. 转到 Microsoft Defender for Endpoint 联机服务并登录。

  2. 选择“设置”,然后在“设备管理”标题下选择“加入” 。

  3. 对于操作系统,选择“Windows 10”。

  4. 对于部署方法,选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本”。

  5. 单击“下载包”。

    加入配置文件下载

  6. 下载压缩的存档 (.zip) 文件并将内容解压缩。

  7. 选择“设置”,然后在“设备管理”标题下选择“加入” 。

  8. 对于操作系统,请从列表中选择“Windows 7 SP1 和 8.1”或“Windows Server 2008 R2 Sp1、2012 R2 和 2016” 。

    • 无论选择哪个选项,“工作区密钥”和“工作区 ID”都相同 。
  9. 从“配置连接”部分复制“工作区密钥”和“工作区 ID”的值。

    重要

    Microsoft Defender for Endpoint 配置文件包含敏感信息,应保障其安全。

加入设备

  1. 在 Configuration Manager 控制台中,导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略” 。

  2. 选择“创建 Microsoft Defender ATP 策略”,打开“Microsoft Defender for Endpoint 策略向导”。

  3. 键入 Microsoft Defender for Endpoint 策略的名称和说明,然后选择“加入” 。

  4. 浏览到从下载的 .zip 文件中提取的配置文件。

  5. 提供“工作区密钥”和“工作区 ID”,然后单击“下一步” 。

    • 验证“工作区密钥”和“工作区 ID”是否在正确的字段中。 控制台中的顺序可能与 Microsoft Defender for Endpoint 联机服务中的顺序不同。 创建 Microsoft Defender for Endpoint 策略向导
  6. 指定从托管设备收集和共享的文件示例以进行分析。

    • 所有文件类型
  7. 查看摘要,然后完成该向导。

  8. 右键单击创建的策略,然后选择“部署”,将 Microsoft Defender for Endpoint 策略定向到客户端。

重要

  • 在 Configuration Manager 2006 或更低版本中:
    • 如果你编辑现有策略来添加或编辑“工作区密钥”和“工作区 ID”字段,则还必须提供配置文件。 如果没有提供所有这三项,则策略将在下级客户端上失败。 > - 如果需要编辑载入文件,并且还填充了“工作区密钥”和“工作区 ID”字段,请将它们与载入文件一起提供。 如果没有提供所有这三项,则策略将在下级客户端上失败。

仅将运行上级操作系统的设备加入 ATP

上级客户端需要加入配置文件才能加入 ATP。 上级操作系统包括:

  • Windows 10 1607 版及更高版本
  • Windows Server 2016 版本 1803 及更早版本
  • Windows Server 2019

如果目标集合同时包含上级和下级设备,或你不确定其包含何种设备,请按照说明加入运行任何受支持操作系统的设备(推荐)。

获取适用于上级设备的加入配置文件

  1. 转到 Microsoft Defender for Endpoint 联机服务并登录。
  2. 选择“设置”,然后在“设备管理”标题下选择“加入” 。
  3. 对于操作系统,选择“Windows 10”。
  4. 对于部署方法,选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本”。
  5. 单击“下载包”。
  6. 下载压缩的存档 (.zip) 文件并将内容解压缩。

重要

  • Microsoft Defender for Endpoint 配置文件包含敏感信息,应保障其安全。
  • 如果目标集合包含下级设备,而你使用仅针对加入上级设备的说明,则不会加入下级设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入下级设备,但如果不选择这些字段,则按该策略加入下级客户端将会失败。

加入上级设备

  1. 在 Configuration Manager 控制台中,导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略”,然后选择“创建 Microsoft Defender ATP 策略” 。 即会打开 Microsoft Defender for Endpoint 策略向导。
  2. 键入 Microsoft Defender for Endpoint 策略的名称和说明,然后选择“加入” 。
  3. 浏览到从下载的 .zip 文件中提取的配置文件。
  4. 指定从托管设备收集和共享的文件示例以进行分析。
    • 所有文件类型
  5. 查看摘要,然后完成该向导。
  6. 右键单击创建的策略,然后选择“部署”,将 Microsoft Defender for Endpoint 策略定向到客户端。

监视

  1. 在 Configuration Manager 控制台中,导航到“监视” > “安全”,然后选择“Microsoft Defender ATP” 。

  2. 查看 Microsoft Defender for Endpoint 仪表板。

    • Microsoft Defender ATP 代理载入状态:已加入可用 Microsoft Defender for Endpoint 策略的合格托管客户端计算机的数量和百分比

    • Microsoft Defender ATP 代理运行状况:报告其 Microsoft Defender for Endpoint 代理状态的计算机客户端的百分比

      • 运行状况 - 运行正常

      • 非活动 - 在时间段内没有数据发送到服务

      • 代理状态 - Windows 中代理的系统服务未运行

      • 未载入 - 策略已应用,但代理尚未报告已加入策略

创建载出配置文件

  1. 登录到 Microsoft Defender for Endpoint 联机服务

  2. 选择“设置”,然后在“设备管理”标题下选择“脱离” 。

  3. 对于操作系统,选择“Windows 10”,对于部署方法,选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本” 。

    • 使用“Windows 10”选项,确保集合中的所有设备都已脱离,并在需要时卸载 MMA。
  4. 下载压缩的存档 (.zip) 文件并将内容解压缩。 载出文件的有效期为 30 天。

  5. 在 Configuration Manager 控制台中,导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略”,然后选择“创建 Microsoft Defender ATP 策略” 。 即会打开 Microsoft Defender for Endpoint 策略向导。

  6. 键入 Microsoft Defender for Endpoint 策略的名称和说明,然后选择“登出” 。

  7. 浏览到从下载的 .zip 文件中提取的配置文件。

  8. 查看摘要,然后完成该向导。

选择“部署”,将 Microsoft Defender for Endpoint 策略定向到客户端。

重要

Microsoft Defender for Endpoint 配置文件包含敏感信息,应保障其安全。

后续步骤