適用於端點的 Microsoft Defender

適用於：Configuration Manager (目前的分支)

Endpoint Protection 可協助管理和監視 適用於端點的 Microsoft Defender。 適用於端點的 Microsoft Defender 可協助企業偵測、調查及回應其網路上的進階攻擊。 Configuration Manager 原則可協助您上線及監視 Windows 10 或更新版本的用戶端。

適用於端點的 Microsoft Defender的雲端式入口網站已 Microsoft Defender 資訊安全中心。 藉由新增和部署客戶端上線配置檔，Configuration Manager 可以監視部署狀態和 適用於端點的 Microsoft Defender 代理程式健康情況。 執行 Configuration Manager 用戶端或由 Microsoft Intune 管理的電腦支援 適用於端點的 Microsoft Defender。

必要條件

• 訂閱 適用於端點的 Microsoft Defender
• 執行 Configuration Manager 用戶端的用戶端電腦
• 使用下列 支援用戶端操作系統 一節中所列OS的用戶端。
• 您的系統管理用戶帳戶需要 Endpoint Protection Manager 安全性角色。

支援的用戶端作業系統

您可以使用下列作業系統 Configuration Manager：

• Windows 11
• Windows 10 版本 1709 或更新版本
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual Channel (SAC) 1803 版或更新版本
• Windows Server 2016
• Windows Server 2012 R2

重要事項

已到達產品生命週期結尾的操作系統通常不支持上線，除非它們已註冊到) 的擴充安全性 匯報 (ESU 計劃。 如需使用 適用於端點的 Microsoft Defender 支援的操作系統和功能的詳細資訊，請參閱 適用於端點的 Microsoft Defender 的最低需求。

使用 Configuration Manager 2207 和更新版本上線至 適用於端點的 Microsoft Defender 的指示

使用 Configuration Manager 更新 適用於端點的 Microsoft Defender 裝置上線資訊的指示

使用 Configuration Manager 2207 和更新版本上線至 適用於端點的 Microsoft Defender

不同的操作系統有不同的上架 適用於端點的 Microsoft Defender 需求。 上層裝置，例如 Windows Server 1803 版，需要上線組態檔。 從最新分支 2207 開始，針對下層伺服器操作系統裝置，您可以在 [用戶端設定] 中選擇 適用於端點的 Microsoft Defender (MDE) 用戶端 (建議) 或 Microsoft Monitoring Agent (MMA) (舊版) 。 針對 Windows 8.1 裝置，您必須在 [用戶端設定] 中使用 Microsoft Monitoring Agent (MMA) (舊版) 。

如果您選擇使用 MMA，您需要 工作區金鑰 和 工作區識別 元才能上線。 Configuration Manager 也會在上線裝置需要時安裝 Microsoft Monitoring Agent (MMA) ，但不會自動更新代理程式。

上層作業系統包括：

• Windows 10 1607 版和更新版本
• Windows 11
• Windows Server Semi-Annual Channel (SAC) 1803 版或更新版本
• Windows Server 2019
• Windows Server 2022

支援用戶端 MDE 下層作業系統包括：

• Windows Server 2012 R2
• Windows Server 2016

需要 MMA 代理程式的下層作業系統：

• Windows 8.1

注意事項

目前，Windows Server 2012 R2 & 2016 的新式統一 適用於端點的 Microsoft Defender 已正式推出。 Configuration Manager 版本 2107 搭配更新匯總支援使用 Endpoint Protection 原則進行設定，包括使用租使用者附加在 Microsoft Intune 系統管理中心建立的原則。 如果您選擇透過 [用戶端設定] 使用，Configuration Manager 2207 版現在支援自動部署 MDE Client。 如需較舊的支援版本，請參閱 伺服器移轉案例。

當您將裝置上線以 適用於端點的 Microsoft Defender Configuration Manager 時，您會將 Defender 原則部署到目標集合或多個集合。 有時目標集合包含執行任意數目的支援操作系統的裝置。 將這些裝置上線的指示會根據您是以集合為目標而有所不同，該集合包含只有上層操作系統的裝置，以及支援 MDE Client 的裝置，或集合是否也包含需要 MMA 的下層用戶端。

• 如果您的集合只包含需要根據用戶端設定) MDE 用戶端 (的上層裝置和/或下層伺服器操作系統裝置，則您可以使用 適用於端點的 Microsoft Defender 客戶端 (建議的) 來使用上線指示。
• 如果您的目標集合包含下層伺服器操作系統裝置，而這些裝置需要根據客戶端設定) 或 Windows 8.1 裝置 (MMA，請使用指示使用 Microsoft Monitoring Agent 將裝置上線。

警告

如果您的目標集合包含需要 MMA 的下層裝置，而且您使用使用 MDE Client 上線的指示，則下層裝置將不會上線。 選擇性 [工作區金鑰 ] 和 [ 工作區標識 符] 字段用於將需要 MMA 的下層裝置上線，但如果未包含這些裝置，則原則會在需要 MMA 的下層用戶端上失敗。

使用 MDE Client 將裝置上線以 適用於端點的 Microsoft Defender (建議的)

上層用戶端需要上線組態檔，才能上線至 適用於端點的 Microsoft Defender。 上層作業系統包括：

• Windows 11
• Windows 10 1607 版和更新版本
• Windows Server Semi-Annual Channel (SAC) 1803 版和更新版本
• Windows Server 2019
• Windows Server 2022

支援用戶端 MDE 下層作業系統包括：

• Windows Server 2012 R2
• Windows Server 2016

必要條件

Windows Server 2012 R2 的必要條件

如果您已使用最新的 每月匯總 套件完整更新計算機，則 沒有 額外的必要條件。

安裝套件會檢查下列元件是否已透過更新安裝：

• 客戶體驗和診斷遙測的更新
• Windows 中通用 C 運行時間的更新

Windows Server 2016的必要條件

• 必須安裝 2021 年 9 月 14 日或更新版本的維護堆疊更新 (SSU) 。
• 必須安裝 2018 年 9 月 20 日或更新版本 (LCU) 的最新累積更新。 建議您在伺服器上安裝最新的可用 SSU 和 LCU。 - Microsoft Defender 防病毒軟體功能必須啟用/安裝並保持最新狀態。 您可以使用 Windows Update 下載並安裝最新的平臺版本。 或者，從 Microsoft Update Catalog 或 MMPC 手動下載更新 套件。

取得上層裝置的上線組態檔

1. 移至 Microsoft Defender 資訊安全中心 並登入。
2. 選取 [設定]，然後選取 [端點] 標題下的 [上線]。
3. 針對操作系統，選取 [Windows 10 和 11]。
4. 針對部署方法，選擇 [Microsoft 端點 Configuration Manager 最新分支和更新版本。
5. 選取 [下載套件]。
6. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。

   注意事項

   這些步驟可讓您下載 Windows 10 和 11 的上線檔案，但此檔案也用於上層伺服器作業系統。

重要事項

• 適用於端點的 Microsoft Defender 組態檔包含應該保持安全的敏感性資訊。
• 如果您的目標集合包含需要 MMA 的下層裝置，而且您使用使用 MDE Client 上線的指示，則下層裝置將不會上線。 選擇性 [工作區金鑰 ] 和 [ 工作區標識 符] 字段用於將下層裝置上線，但如果未包含它們，則原則會在下層用戶端上失敗。

將上層裝置上線

1. 在 Configuration Manager 控制台中，流覽至 [系統管理>用戶端設定]。
2. Create 自定義用戶端裝置設定，或移至必要用戶端設定的屬性，然後選取 [Endpoint Protection]
3. 針對 Windows Server 2012 R2 和 Windows Server 2016 上的 適用於端點的 Microsoft Defender Client 設定，預設值會設定為 Microsoft Monitoring Agent (舊版) ，且必須變更為建議) MDE 用戶端 (。
4. 在 Configuration Manager 控制台中，流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則]，然後選取 [Create Microsoft Defender ATP 原則]。 原則精靈隨即開啟。
5. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述]，然後選取 [上線]。
6. 流覽 至您從下載的 .zip 檔中擷取的組態檔。
7. 指定從受控裝置收集並共用以進行分析的檔案範例。
   • 無
   • 所有檔案類型
8. 檢閱摘要並完成精靈。
9. 以滑鼠右鍵按兩下您建立的原則，然後選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為用戶端。

使用 MDE Client 和 MMA 將裝置上線以 適用於端點的 Microsoft Defender

您可以將組態檔、工作區密鑰和工作區識別碼提供給 Configuration Manager，讓執行任何支援作業系統的裝置上線以 適用於端點的 Microsoft Defender。

取得組態檔、工作區標識碼和工作區金鑰

1. 移至 適用於端點的 Microsoft Defender 在線服務並登入。

2. 選 取 [設定]， 然後選取 [ 端點 ] 標題下的 [上線]。

3. 針對操作系統，選取 [Windows 10 和 11]。

4. 針對部署方法，選擇 [Microsoft 端點 Configuration Manager 最新分支和更新版本。

5. 選取 [下載套件]。

   

6. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。

7. 選取 [設定]，然後選取 [裝置管理] 標題下的 [上線]。

8. 針對操作系統，請從清單中選取 Windows 7 SP1 和 8.1 或 Windows Server 2008 R2 Sp1、2012 R2 和 2016 。

   • 不論您選擇哪一個選項， 工作區密鑰 和 工作區標識 碼都會相同。

9. 從 [設定連線] 區段複製 [工作區密鑰] 和 [工作區標識符] 的值。

   重要事項

   適用於端點的 Microsoft Defender 組態檔包含應該保持安全的敏感性資訊。

將裝置上線

1. 在 Configuration Manager 控制台中，流覽至 [系統管理>用戶端設定]。

2. Create 自定義用戶端裝置設定，或移至必要用戶端設定的屬性，然後選取 [Endpoint Protection]

3. 針對 Windows Server 2012 R2 和 Windows Server 2016 設定上的 適用於端點的 Microsoft Defender Client，請確定值已設定為 Microsoft Monitoring Agent (舊版) 。

4. 在 Configuration Manager 控制台中，流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則]。

5. 選 Create Microsoft Defender 取 [ATP 原則] 以開啟原則精靈。

6. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述]，然後選取 [上線]。

7. 流覽 至您從下載的 .zip 檔中擷取的組態檔。

8. 提供 [工作區密鑰 ] 和 [工作區標識符]， 然後選取 [ 下一步]。

   • 確認 [工作區金鑰 ] 和 [工作區標識符 ] 位於正確的欄位中。 控制台中的順序可能與在線服務 適用於端點的 Microsoft Defender 順序不同。

9. 指定從受控裝置收集並共用以進行分析的檔案範例。

   • 無
   • 所有檔案類型

10. 檢閱摘要並完成精靈。

11. 以滑鼠右鍵按兩下您建立的原則，然後選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為用戶端。

監視

1. 在 Configuration Manager 控制台中，流覽 [監視>安全性]，然後選取 [Microsoft Defender ATP]。

2. 檢閱 適用於端點的 Microsoft Defender 儀錶板。

   • Microsoft Defender ATP 代理程式上線狀態：已上架作用中 適用於端點的 Microsoft Defender 原則的合格受管理用戶端計算機數目和百分比

   • Microsoft Defender ATP 代理程式健康情況：報告其 適用於端點的 Microsoft Defender 代理程式狀態的計算機用戶端百分比

     • 狀況良好 - 正常運作

     • 非作用中 - 期間內沒有傳送至服務的數據

     • 代理程式狀態 - Windows 中代理程式的系統服務未執行

     • 未上線 - 已套用原則，但代理程式尚未報告原則上線

Create 下架組態檔

1. 登入 Microsoft Defender 資訊安全中心。

2. 選取 [設定]，然後選取 [端點] 標題下的 [下線]。

3. 針對操作系統選取 Windows 10 和 11，針對部署方法選取 Microsoft 端點 Configuration Manager 最新分支和更新版本。

   • 使用 [Windows 10 和 11] 選項可確保集合中的所有裝置都已離線，而且 MMA 會在需要時卸載。

4. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。 下架檔案的有效期為 30 天。

5. 在 Configuration Manager 控制台中，流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則]，然後選取 [Create Microsoft Defender ATP 原則]。 原則精靈隨即開啟。

6. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述]，然後選取 [下架]。

7. 流覽 至您從下載的 .zip 檔中擷取的組態檔。

8. 檢閱摘要並完成精靈。

選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為用戶端。

重要事項

適用於端點的 Microsoft Defender 組態檔包含應該保持安全的敏感性資訊。

更新現有裝置的上線資訊

組織可能需要透過 Microsoft Configuration Manager 更新裝置上的上線資訊。

這可能是因為 適用於端點的 Microsoft Defender 的上架承載有所變更，或由 Microsoft 支援服務導向時所造成。

更新上線資訊會指示裝置在下次 重新啟動時開始使用新的上線承載。

此程式會危害更新現有上線原則的動作，並在所有現有的裝置上執行一次動作，以更新上線承載。 利用 群組原則 上線腳本，對裝置從舊承載執行一次上傳至新的承載。

注意事項

此資訊不一定會在租用戶之間行動裝置，而不需將裝置從原始租使用者完全脫機。 如需在 適用於端點的 Microsoft Defender 組織之間移轉裝置的選項，請 Microsoft 支援服務。

驗證新的上線承載

1. 從 適用於端點的 Microsoft Defender 入口網站下載 群組原則 上線套件。

2. Create 集合以驗證新的上線承載

3. 從以上線承載為目標的現有 適用於端點的 Microsoft Defender 集合中排除此集合。

4. 將群組原則 上線文本部署至測試集合。

5. 驗證 裝置是否利用新的上線承載。

移轉至新的上線承載

1. 從 適用於端點的 Microsoft Defender 入口網站下載 Microsoft Configuration Manager 上線套件。

2. 使用新的上線承載來更新現有的 適用於端點的 Microsoft Defender 上線原則。

3. 從驗證新的上線承載，將腳本部署到 適用於端點的 Microsoft Defender 上線原則的現有目標集合。

4. 驗證 裝置正在利用新的上線承載，並成功從腳本取用承載

注意事項

移轉所有裝置之後，您可以使用上線原則，從您的環境中移除腳本和驗證集合。

後續步驟

• 適用於端點的 Microsoft Defender

• 針對 適用於端點的 Microsoft Defender 上線問題進行疑難解答