Sdílet prostřednictvím

Migrace na Microsoft Defender for Endpoint – Fáze 2: Nastavení

  • Článek

Platí pro:

Fáze 1: Příprava
Fáze 1: Příprava		 Fáze 2: Nastavení
Fáze 2: Nastavení		 Fáze 3: Onboarding3
Fáze 3: Onboarding
Jsi tady!

Vítá vás fáze instalace migrace na Defender for Endpoint. Tato fáze zahrnuje následující kroky:

  1. Přeinstalujte nebo povolte Antivirovou ochranu v programu Microsoft Defender na koncových bodech.
  2. Konfigurace Defenderu for Endpoint Plan 1 nebo Plan 2
  3. Přidejte Defender for Endpoint do seznamu vyloučení pro vaše stávající řešení.
  4. Přidejte stávající řešení do seznamu vyloučení pro Antivirovou ochranu v programu Microsoft Defender.
  5. Nastavte skupiny zařízení, kolekce zařízení a organizační jednotky.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Krok 1: Přeinstalace nebo povolení antivirové ochrany v programu Microsoft Defender na koncových bodech

V některých verzích Windows byla antivirová ochrana v programu Microsoft Defender pravděpodobně odinstalována nebo zakázána, když bylo nainstalováno jiné než microsoftové antivirové nebo antimalwarové řešení. Když jsou koncové body se systémem Windows onboardovány do programu Defender for Endpoint, může antivirová ochrana v programu Microsoft Defender běžet v pasivním režimu společně s antivirovým řešením, které není od Microsoftu. Další informace najdete v tématu Antivirová ochrana pomocí Defenderu for Endpoint.

Při přechodu na Defender for Endpoint možná budete muset provést určité kroky k přeinstalaci nebo povolení Antivirové ochrany v programu Microsoft Defender. Následující tabulka popisuje, co dělat na klientech a serverech Windows.

Typ koncového bodu Co dělat
Klienti Windows (například koncové body se systémem Windows 10 a Windows 11) Obecně platí, že u klientů s Windows nemusíte provádět žádnou akci (pokud nebyla odinstalována Antivirová ochrana v programu Microsoft Defender). Obecně platí, že Antivirová ochrana v programu Microsoft Defender by měla být stále nainstalovaná, ale v tomto okamžiku procesu migrace je s největší pravděpodobností zakázaná.

Pokud je nainstalované antivirové nebo antimalwarové řešení jiné společnosti než Microsoft a klienti ještě nejsou nasazeni do programu Defender for Endpoint, antivirová ochrana v programu Microsoft Defender se automaticky zakáže. Později, když se koncové body klienta onboardují do programu Defender for Endpoint a na těchto koncových bodech běží antivirové řešení jiného než Microsoftu, přejde Antivirová ochrana v programu Microsoft Defender do pasivního režimu.

Pokud je odinstalované antivirové řešení jiné společnosti než Microsoft, antivirová ochrana v programu Microsoft Defender přejde do aktivního režimu automaticky.
Servery s Windows Na Windows Serveru je potřeba antivirovou ochranu v programu Microsoft Defender přeinstalovat a ručně ji nastavit do pasivního režimu. Pokud je na serverech Windows nainstalovaný antivirový program nebo antimalware jiné společnosti než Microsoft, nemůže antivirová ochrana v programu Microsoft Defender běžet společně s antivirovým řešením od jiných výrobců. V takových případech je antivirová ochrana v programu Microsoft Defender zakázaná nebo odinstalovaná ručně.

Chcete-li přeinstalovat nebo povolit Antivirovou ochranu v programu Microsoft Defender na Windows Serveru, proveďte následující úlohy:
- Znovu povolte Antivirovou ochranu v programu Defender na Windows Serveru, pokud byla zakázaná
- Znovu povolte Antivirovou ochranu v programu Defender na Windows Serveru, pokud byla odinstalována
- Nastavení Antivirové ochrany v programu Microsoft Defender do pasivního režimu na Windows Serveru

Pokud narazíte na problémy s přeinstalací nebo opětovným povolením Antivirové ochrany v programu Microsoft Defender na Windows Serveru, přečtěte si téma Řešení potíží: Antivirová ochrana v programu Microsoft Defender se na Windows Serveru odinstaluje.

Tip

Další informace o stavech antivirové ochrany v programu Microsoft Defender s antivirovou ochranou jiných společností než Microsoft najdete v tématu Kompatibilita antivirové ochrany v programu Microsoft Defender.

Nastavení Antivirové ochrany v programu Microsoft Defender do pasivního režimu na Windows Serveru

Tip

Na Windows Serveru 2012 R2 a 2016 teď můžete spustit Antivirovou ochranu v programu Microsoft Defender v pasivním režimu. Další informace najdete v tématu Možnosti instalace Microsoft Defenderu for Endpoint.

  1. Otevřete Editor registru a přejděte na Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Upravte (nebo vytvořte) položku DWORD s názvem ForceDefenderPassiveMode a zadejte následující nastavení:

    • Nastavte hodnotu DWORD na 1.

    • V části Base (Základ) vyberte Hexadecimal (Šestnáctkové).

Pokud jste z Windows Serveru 2016 dříve odebrali funkce antivirové ochrany v programu Microsoft Defender a instalační soubory, obnovte instalační soubory funkcí podle pokynů v tématu Konfigurace zdroje oprav Windows .

Poznámka

Po onboardingu do programu Defender for Endpoint možná budete muset nastavit Antivirovou ochranu v programu Microsoft Defender na pasivní režim na Windows Serveru. Chcete-li ověřit, že byl pasivní režim nastaven podle očekávání, vyhledejte událost 5007 v provozním protokolu Microsoft-Windows-Windows Defender (nachází se na adrese C:\Windows\System32\winevt\Logs) a ověřte, že klíče registru ForceDefenderPassiveMode nebo PassiveMode byly nastaveny na 0x1.

Používáte Windows Server 2012 R2 nebo Windows Server 2016?

Antivirovou ochranu v programu Microsoft Defender teď můžete spustit v pasivním režimu na Windows Serveru 2012 R2 a 2016 pomocí metody popsané v předchozí části. Další informace najdete v tématu Možnosti instalace Microsoft Defenderu for Endpoint.

Krok 2: Konfigurace Defenderu for Endpoint Plan 1 nebo Plan 2

Důležité

  • Tento článek popisuje, jak nakonfigurovat funkce Defenderu for Endpoint před onboardingem zařízení.
  • Pokud máte Defender for Endpoint Plan 1, proveďte kroky 1 až 5 v následujícím postupu.
  • Pokud máte Defender for Endpoint Plan 2, proveďte kroky 1 až 7 v následujícím postupu.

  1. Ujistěte se, že je zřízený Defender for Endpoint. Jako globální správce přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se. Pak v navigačním podokně vyberte Zařízení Assets>.

    Následující tabulka ukazuje, jak může obrazovka vypadat a co to znamená.

    Obrazovka Význam
    Snímek obrazovky se zprávou o zablokování, protože MDE ještě není zřízené Zřizování Defenderu for Endpoint ještě nedokončil. Možná budete muset chvíli počkat, než se proces dokončí.
    Snímek obrazovky se stránkou inventáře zařízení, které ještě nemá nasazené žádné zařízení Defender for Endpoint je zřízený. V tomto případě přejděte k dalšímu kroku.

  2. Zapněte ochranu před falšováním. Doporučujeme zapnout ochranu před falšováním pro celou organizaci. Tuto úlohu můžete provést na portálu Microsoft Defender (https://security.microsoft.com).

    1. Na portálu Microsoft Defender zvolte Nastavení>Koncové body.

    2. Přejděte na Obecné>pokročilé funkce a pak nastavte přepínač ochrany před falšováním na Zapnuto.

    3. Vyberte Uložit.

    Přečtěte si další informace o ochraně před falšováním.

  3. Pokud se chystáte k onboardingu zařízení a konfiguraci zásad zařízení použít Microsoft Intune nebo Microsoft Endpoint Configuration Manager , nastavte integraci s Defenderem for Endpoint pomocí těchto kroků:

    1. V Centru pro správu Microsoft Intune (https://endpoint.microsoft.com) přejděte na Zabezpečení koncových bodů.

    2. V části Nastavení zvolte Microsoft Defender for Endpoint.

    3. V části Nastavení profilu zabezpečení koncového bodu nastavte přepínač Povolit Microsoft Defenderu for Endpoint vynucovat konfigurace zabezpečení koncových bodů na Zapnuto.

    4. V horní části obrazovky vyberte Uložit.

    5. Na portálu Microsoft Defender (https://security.microsoft.com) zvolte Nastavení>Koncové body.

    6. Posuňte se dolů na Správa konfigurace a vyberte Obor vynucení.

    7. Nastavte přepínač Použít MDE k vynucení nastavení konfigurace zabezpečení z MEM na Zapnuto a pak vyberte možnosti pro klienty Windows i zařízení s Windows Serverem.

    8. Pokud plánujete používat Configuration Manager, nastavte přepínač Spravovat nastavení zabezpečení pomocí Configuration Manageru na Zapnuto. (Pokud potřebujete pomoc s tímto krokem, přečtěte si téma Koexistence s Microsoft Endpoint Configuration Managerem.)

    9. Posuňte se dolů a vyberte Uložit.

  4. Nakonfigurujte možnosti počátečního omezení potenciálního útoku. Minimálně okamžitě povolte standardní pravidla ochrany, která jsou uvedena v následující tabulce:

    Standardní pravidla ochrany Metody konfigurace
    Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)

    Blokovat zneužití zneužít ohrožených podepsaných ovladačů

    Blokování trvalosti prostřednictvím odběru událostí WMI (Windows Management Instrumentation)    		 Intune (profily konfigurace zařízení nebo zásady zabezpečení koncového bodu)

    Správa mobilních zařízení (MDM) (Pomocí poskytovatele konfigurační služby (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules (CSP) jednotlivě povolte a nastavte režim pro každé pravidlo.)

    Zásady skupiny nebo PowerShell (jenom v případě, že nepoužíváte Intune, Configuration Manager nebo jinou platformu pro správu na podnikové úrovni)

    Přečtěte si další informace o možnostech omezení potenciálních oblastí útoku.

  5. Nakonfigurujte možnosti ochrany nové generace.

    Schopnost Metody konfigurace
    Intune 1. V Centru pro správu Intune vyberteProfily konfiguracezařízení> a pak vyberte typ profilu, který chcete nakonfigurovat. Pokud jste ještě nevytvořili typ profilu omezení zařízení nebo pokud chcete vytvořit nový profil, přečtěte si téma Konfigurace nastavení omezení zařízení v Microsoft Intune.

    2. Vyberte Vlastnosti a pak vyberte Nastavení konfigurace: Upravit

    3. Rozbalte Položku Antivirová ochrana v programu Microsoft Defender.

    4. Povolte cloudovou ochranu.

    5. V rozevíracím seznamu Vyzvat uživatele před odesláním ukázky vyberte Odeslat všechny vzorky automaticky.

    6. V rozevíracím seznamu Rozpoznat potenciálně nežádoucí aplikace vyberte Povolit nebo Auditovat.

    7. Vyberte Zkontrolovat a uložit a pak zvolte Uložit.

    TIP: Další informace o profilech zařízení Intune, včetně postupu při vytváření a konfiguraci jejich nastavení, najdete v tématu Co jsou profily zařízení v Microsoft Intune.
    Správce konfigurace Viz Vytvoření a nasazení antimalwarových zásad pro službu Endpoint Protection v Nástroji Configuration Manager.

    Při vytváření a konfiguraci antimalwarových zásad nezapomeňte zkontrolovat nastavení ochrany v reálném čase a povolit blokování na první pohled.
    Pokročilá správa zásad skupiny
    nebo
    Konzola pro správu zásad skupiny    		 1. Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> WindowsAntivirová ochrana v programu Microsoft Defender.

    2. Vyhledejte zásadu s názvem Vypnout Antivirovou ochranu v programu Microsoft Defender.

    3. Zvolte Upravit nastavení zásad a ujistěte se, že je zásada zakázaná. Tato akce povolí Antivirovou ochranu v programu Microsoft Defender. (V některých verzích Windows se může místo Antivirové ochrany v programu Microsoft Defender zobrazit Antivirová ochrana v programu Windows v programu Windows.)
    Ovládací panely ve Windows Postupujte podle pokynů tady: Zapněte Antivirovou ochranu v programu Microsoft Defender. (V některých verzích Windows se může místo Antivirové ochrany v programu Microsoft Defender zobrazit Antivirová ochrana v programu Windows v programu Windows.)

    Pokud máte Defender for Endpoint Plan 1, vaše počáteční nastavení a konfigurace jsou prozatím hotové. Pokud máte Defender for Endpoint Plan 2, pokračujte kroky 6 až 7.

  6. Nakonfigurujte zásady zjišťování koncových bodů a odpovědí (EDR) v Centru pro správu Intune (https://endpoint.microsoft.com). Nápovědu k tomuto úkolu najdete v tématu Vytvoření zásad EDR.

  7. Nakonfigurujte možnosti automatizovaného vyšetřování a nápravy na portálu Microsoft Defender (https://security.microsoft.com). Pokud chcete získat pomoc s touto úlohou, přečtěte si téma Konfigurace možností automatizovaného prověřování a nápravy v Microsoft Defenderu for Endpoint.

    V tomto okamžiku je počáteční nastavení a konfigurace Defenderu for Endpoint Plan 2 dokončena.

Krok 3: Přidání Microsoft Defenderu for Endpoint do seznamu vyloučení pro vaše stávající řešení

Tento krok procesu nastavení zahrnuje přidání Defenderu for Endpoint do seznamu vyloučení pro vaše stávající řešení ochrany koncových bodů a všechny další produkty zabezpečení, které vaše organizace používá. Pokud chcete přidat vyloučení, nezapomeňte se podívat do dokumentace poskytovatele řešení.

Konkrétní vyloučení, která je potřeba nakonfigurovat, závisí na verzi Windows, na které máte spuštěné koncové body nebo zařízení, a jsou uvedena v následující tabulce.

Operační systém Vyloučení
Windows 11

Windows 10 verze 1803 nebo novější (viz informace o vydání Windows 10)

Windows 10 verze 1703 nebo 1709 s nainstalovaným KB4493441		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server verze 1803		 Ve Windows Serveru 2012 R2 a Windows Serveru 2016 s moderním sjednoceným řešením se po aktualizaci komponenty Sense EDR pomocí KB5005292 vyžadují následující vyloučení:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

POZNÁMKA: Dočasné soubory hostitele monitorování 6\45 mohou být různé číslování podsložek.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Důležité

Osvědčeným postupem je udržovat zařízení a koncové body vaší organizace v aktualizovaném stavu. Ujistěte se, že máte nejnovější aktualizace pro Microsoft Defender for Endpoint a Antivirovou ochranu v programu Microsoft Defender a udržujte operační systémy vaší organizace a aplikace pro produktivitu v aktualizovaném stavu.

Krok 4: Přidání existujícího řešení do seznamu vyloučení pro Antivirovou ochranu v programu Microsoft Defender

Během tohoto kroku procesu nastavení přidáte stávající řešení do seznamu vyloučení pro Antivirovou ochranu v programu Microsoft Defender. K přidání vyloučení do Antivirové ochrany v programu Microsoft Defender si můžete vybrat z několika metod, jak je uvedeno v následující tabulce:

Metoda Co dělat
Intune 1. Přejděte do Centra pro správu Microsoft Intune a přihlaste se.

2. VyberteProfily konfiguracezařízení> a pak vyberte profil, který chcete nakonfigurovat.

3. V části Spravovat vyberte Vlastnosti.

4. Vyberte Nastavení konfigurace: Upravit.

5. Rozbalte Položku Antivirová ochrana v programu Microsoft Defender a potom rozbalte položku Vyloučení antivirové ochrany v programu Microsoft Defender.

6. Zadejte soubory a složky, rozšíření a procesy, které se mají vyloučit z kontrol antivirové ochrany v programu Microsoft Defender. Referenční informace najdete v tématu Vyloučení antivirové ochrany v programu Microsoft Defender.

7. Zvolte Zkontrolovat a uložit a pak zvolte Uložit.
Microsoft Endpoint Configuration Manager 1. Pomocí konzoly nástroje Configuration Manager přejděte na Prostředky a dodržování předpisů>Antimalwarové zásadyochrany koncového> bodu a pak vyberte zásadu, kterou chcete upravit.

2. Zadejte nastavení vyloučení pro soubory a složky, rozšíření a procesy, které se mají vyloučit z kontrol antivirové ochrany v programu Microsoft Defender.
Objekt zásad skupiny 1. Na počítači pro správu zásad skupiny otevřete Konzolu pro správu zásad skupiny. Klikněte pravým tlačítkem na objekt zásad skupiny, který chcete nakonfigurovat, a pak vyberte Upravit.

2. V Editoru pro správu zásad skupiny přejděte na Konfigurace počítače a vyberte Šablony pro správu.

3. Rozbalte strom na součásti > systému Windows Antivirová ochrana > v programu Microsoft Defender Vyloučení. (V některých verzích Windows se může místo Antivirové ochrany v programu Microsoft Defender zobrazit Antivirová ochrana v programu Windows v programu Windows.)

4. Poklikejte na nastavení Vyloučení cesty a přidejte vyloučení.

5. Nastavte možnost na Povoleno.

6. V části Možnosti vyberte Zobrazit....

7. Zadejte každou složku na vlastním řádku ve sloupci Název hodnoty . Pokud zadáte soubor, nezapomeňte zadat plně kvalifikovanou cestu k souboru, včetně písmene jednotky, cesty ke složce, názvu souboru a přípony. Do sloupce Hodnota zadejte 0.

8. Vyberte OK.

9. Poklikejte na nastavení Vyloučení rozšíření a přidejte vyloučení.

10. Nastavte možnost na Povoleno.

11. V části Možnosti vyberte Zobrazit....

12. Zadejte každou příponu souboru na vlastním řádku do sloupce Název hodnoty . Do sloupce Hodnota zadejte 0.

13. Vyberte OK.
Objekt místních zásad skupiny 1. Na koncovém bodu nebo zařízení otevřete Editor místních zásad skupiny.

2. Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému Windows Vyloučení>antivirové ochrany> v programu Microsoft Defender. (V některých verzích Windows se může místo Antivirové ochrany v programu Microsoft Defender zobrazit Antivirová ochrana v programu Windows v programu Windows.)

3. Zadejte vyloučení cesty a procesu.
Klíč registru 1. Exportujte následující klíč registru: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Importujte klíč registru. Tady jsou dva příklady:
- Místní cesta: regedit.exe /s c:\temp\MDAV_Exclusion.reg
- Sdílená složka sítě: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Přečtěte si další informace o vyloučeních pro Microsoft Defender for Endpoint a Antivirovou ochranu v programu Microsoft Defender.

Mějte na paměti následující body týkající se vyloučení.

Když přidáte vyloučení do kontrol Antivirové ochrany v programu Microsoft Defender, měli byste přidat vyloučení cest a procesů.

  • Vyloučení cest vyloučí konkrétní soubory a jakýkoli přístup k těmto souborům.
  • Vyloučení procesů vyloučí všechno, čeho se proces dotkne, ale nevyloučí samotný proces.
  • Vypište vyloučení procesů pomocí jejich úplné cesty, a ne jenom podle názvu. (Metoda určená pouze pro názvy je méně bezpečná.)
  • Pokud uvedete každý spustitelný soubor (.exe) jako vyloučení cesty i procesu, proces a cokoli, čeho se dotkne, budou vyloučeny.

Krok 5: Nastavení skupin zařízení, kolekcí zařízení a organizačních jednotek

Skupiny zařízení, kolekce zařízení a organizační jednotky umožňují týmu zabezpečení efektivně a efektivně spravovat a přiřazovat zásady zabezpečení. Následující tabulka popisuje každou z těchto skupin a způsob jejich konfigurace. Vaše organizace nemusí používat všechny tři typy kolekcí.

Poznámka

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Typ kolekce Co dělat
Skupiny zařízení (dříve označované jako skupiny počítačů) umožňují týmu pro operace zabezpečení konfigurovat možnosti zabezpečení, jako je automatizované prověřování a náprava.

Skupiny zařízení jsou také užitečné pro přiřazení přístupu k těmto zařízením, aby váš tým pro operace zabezpečení mohl v případě potřeby provádět nápravné akce.

Skupiny zařízení se vytvářejí v době, kdy byl útok zjištěn a zastaven. Výstrahy, například "upozornění na počáteční přístup", se aktivovaly a zobrazovaly na portálu Microsoft Defender.		 1. Přejděte na portál Microsoft Defender (https://security.microsoft.com).

2. V navigačním podokně na levé straně zvolte Nastavení>Koncové body>Oprávnění Skupiny>zařízení.

3. Zvolte + Přidat skupinu zařízení.

4. Zadejte název a popis skupiny zařízení.

5. V seznamu Úroveň automatizace vyberte možnost. (Doporučujeme úplné – automaticky napravit hrozby.) Další informace o různých úrovních automatizace najdete v tématu Jak se napravují hrozby.

6. Zadejte podmínky pro odpovídající pravidlo a určete, která zařízení patří do skupiny zařízení. Můžete například zvolit doménu, verze operačního systému nebo dokonce použít značky zařízení.

7. Na kartě Uživatelský přístup zadejte role, které by měly mít přístup k zařízením, která jsou součástí skupiny zařízení.

8. Zvolte Hotovo.
Kolekce zařízení umožňují provoznímu týmu zabezpečení spravovat aplikace, nasazovat nastavení dodržování předpisů nebo instalovat aktualizace softwaru na zařízeních ve vaší organizaci.

Kolekce zařízení se vytvářejí pomocí nástroje Configuration Manager.		 Postupujte podle kroků v tématu Vytvoření kolekce.
Organizační jednotky umožňují logicky seskupovat objekty, jako jsou uživatelské účty, účty služeb nebo účty počítačů.

Pak můžete přiřadit správce ke konkrétním organizačním jednotkám a použít zásady skupiny k vynucení nastavení cílené konfigurace.

Organizační jednotky jsou definovány ve službě Microsoft Entra Domain Services.		 Postupujte podle kroků v tématu Vytvoření organizační jednotky ve spravované doméně Microsoft Entra Domain Services.

Další krok

Blahopřejeme! Dokončili jste fázi instalace migrace na Defender for Endpoint!

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.