Sdílet prostřednictvím

Správa nastavení předplatného Microsoft Defender for Endpoint na klientských zařízeních

  • Článek

V Defenderu for Endpoint je scénář smíšeného licencování situace, kdy organizace používá kombinaci licencí Defender for Endpoint Plan 1 a Plan 2. Následující tabulka popisuje příklady scénářů smíšených licencování:

Scénář Popis
Smíšený tenant Používejte různé sady funkcí pro skupiny uživatelů a jejich zařízení. Mezi příklady patří:
– Defender for Endpoint Plan 1 a Defender for Endpoint Plan 2
- Microsoft 365 E3 a Microsoft 365 E5
Smíšená zkušební verze Vyzkoušejte předplatné na úrovni Premium pro některé uživatele. Mezi příklady patří:
– Defender for Endpoint Plan 1 (zakoupený pro všechny uživatele) a Defender for Endpoint Plan 2 (pro některé uživatele bylo spuštěno zkušební předplatné)
– Microsoft 365 E3 (zakoupeno pro všechny uživatele) a Microsoft 365 E5 (pro některé uživatele bylo spuštěno zkušební předplatné)
Postupné upgrady Upgradujte uživatelské licence ve fázích. Mezi příklady patří:
– Přesun skupin uživatelů z plánu Defender for Endpoint Plan 1 na Plán 2
– Přesun skupin uživatelů z Microsoft 365 E3 na E5

Až do nedávné doby se scénáře smíšených licencí nepodporovaly. v případě více předplatných bude mít pro vašeho tenanta přednost nejvyšší funkční předplatné. Teď můžete spravovat nastavení předplatného tak, aby vyhovovala scénářům smíšeného licencování napříč klientskými zařízeními. Tyto funkce umožňují:

  • Nastavte svého tenanta do smíšeného režimu a označte zařízení , abyste zjistili, která klientská zařízení budou přijímat funkce a možnosti z jednotlivých plánů (tuto možnost nazýváme smíšený režim). NEBO,
  • Využijte funkce a možnosti z jednoho plánu na všech klientských zařízeních.

Ke sledování stavu můžete také použít nově přidanou sestavu využití licencí.

Poznámka

Pokud používáte Microsoft Defender pro firmy a chcete přejít na Plán 2 defenderu for Endpoint, přečtěte si téma Změna předplatného zabezpečení koncového bodu.

Nastavení tenanta do smíšeného režimu a označení zařízení

Důležité

  • Nastavení smíšeného režimu platí jenom pro koncové body klienta. Označení serverových zařízení nezmění stav předplatného. Všechna serverová zařízení s Windows Serverem nebo Linuxem by měla mít odpovídající licence, například Defender for Servers. Viz Možnosti pro zprovoznění serverů.
  • Nezapomeňte postupovat podle postupů v tomto článku a vyzkoušet scénáře se smíšenými licencemi ve vašem prostředí. Přiřazení uživatelských licencí v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) nenastaví vašeho tenanta do smíšeného režimu.
  • Měli byste mít aktivní zkušební nebo placené licence pro Defender for Endpoint Plan 1 i Plan 2.
  • Pokud chcete získat přístup k informacím o licenci, musíte mít v Microsoft Entra ID přiřazenou jednu z následujících rolí:
    • Globální Správa
    • Správa zabezpečení
    • Licenční Správa + MDE Správa

  1. Jako správce přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.

  2. Přejděte na Nastavení>Licence koncových bodů>. Otevře se sestava využití a zobrazí se informace o licencích Defenderu for Endpoint vaší organizace.

  3. V části Stav předplatného vyberte Spravovat nastavení předplatného.

    Poznámka

    Pokud možnost Spravovat nastavení předplatného nevidíte, platí alespoň jedna z následujících podmínek:

    • Máte Defender for Endpoint Plan 1 nebo Plan 2 (ale ne oba); Nebo
    • Funkce se smíšenými licencemi se ještě do vašeho tenanta nezahrnuly.

  4. Otevře se informační panel Nastavení předplatného . Zvolte možnost použití Defenderu for Endpoint Plan 1 a Plan 2. (Dokud nebudou zařízení označená podle dalšího kroku, nedojde k žádným změnám.)

  5. Označte zařízení, která by měla přijímat funkce Defender for Endpoint Plan 1 nebo Plan 2. Zařízení můžete označit ručně nebo pomocí dynamického pravidla. Přečtěte si další informace o označování zařízení.

    Metoda Podrobnosti
    Ruční označování zařízení Pokud chcete označit zařízení ručně, vytvořte značku s názvem License MDE P1 a použijte ji na zařízeních. Nápovědu k tomuto kroku najdete v tématu Create a správa značek zařízení.

    Mějte na License MDE P1 paměti, že zařízení, která jsou označená značkou pomocí metody klíče registru , neobdrží funkce downgradu. Pokud chcete zařízení označit pomocí metody klíče registru, použijte místo ručního označování dynamické pravidlo.
    Automatické označování zařízení pomocí dynamického pravidla Funkce dynamických pravidel je pro scénáře se smíšenými licencemi novinkou! Umožňuje použít dynamickou a podrobnou úroveň kontroly nad tím, jak spravujete zařízení..

    Pokud chcete použít dynamické pravidlo, zadejte sadu kritérií na základě názvu zařízení, domény, platformy operačního systému nebo značek zařízení. Zařízení, která splňují zadaná kritéria, získají funkce Defender for Endpoint Plan 1 nebo Plan 2 podle vašeho pravidla.

    Při definování kritérií můžete použít následující operátory podmínek:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    Jako Název zařízení můžete použít volný text.

    V části Doména vyberte ze seznamu domén.

    Pro platformu operačního systému vyberte ze seznamu operačních systémů.

    V části Značka použijte možnost volného formátu textu. Zadejte hodnotu značky, která odpovídá zařízením, která by měla přijímat možnosti Defenderu for Endpoint Plan 1 nebo Plan 2. Podívejte se na příklad v tématu Další podrobnosti o označování zařízení.

    Značky zařízení jsou viditelné v zobrazení Inventář zařízení a v rozhraních API defenderu for Endpoint.

    Poznámka

    Dynamicky přidané značky Defenderu for Endpoint P1 se momentálně v zobrazení Inventář zařízení nedají filtrovat.

  6. Uložte pravidlo a počkejte až tři (3) hodiny, než se značky použijí. Pak pokračujte k části Ověření, že zařízení přijímá pouze možnosti Defenderu for Endpoint Plan 1.

Další podrobnosti o označování zařízení

Jak je popsáno v blogu Tech Community: Jak efektivně používat označování, označování zařízení poskytuje podrobnou kontrolu nad zařízeními. Se značkami zařízení můžete:

  • Zobrazte určitá zařízení jednotlivým uživatelům na portálu Microsoft Defender, aby viděli jenom ta zařízení, za která zodpovídají.
  • Zahrnutí nebo vyloučení zařízení z konkrétních zásad zabezpečení
  • Určete, která zařízení by měla přijímat funkce Defenderu for Endpoint Plan 1 nebo Plan 2.

Předpokládejme například, že chcete použít značku s názvem VIP pro všechna zařízení, která by měla přijímat funkce Defenderu for Endpoint Plan 2. Co byste udělali:

  1. Create značku zařízení s názvem VIPa použijte ji na všechna zařízení, která by měla přijímat funkce Defenderu for Endpoint Plan 2. K vytvoření značky zařízení použijte jednu z následujících metod:

  2. Nastavte dynamické pravidlo pomocí operátoru Tag Does not contain VIPpodmínky . V takovém případě všechna zařízení, která značku nemají VIP , získají License MDE P1 značku a funkce Defender for Endpoint Plan 1.

Ověřte, že zařízení přijímá jenom možnosti Defenderu for Endpoint Plan 1.

Po přiřazení funkcí Defenderu for Endpoint Plan 1 některým nebo všem zařízením můžete ověřit, že jednotlivé zařízení tyto funkce přijímá.

  1. Na portálu Microsoft Defender (https://security.microsoft.com) přejděte na Zařízení Assets>.

  2. Vyberte zařízení, které je označené .License MDE P1 Měli byste vidět, že defender for Endpoint Plan 1 je přiřazený k zařízení.

Poznámka

Zařízení, která mají přiřazené funkce Defenderu for Endpoint Plan 1, nemají uvedená žádná ohrožení zabezpečení ani doporučení zabezpečení.

Kontrola využití licencí

Sestava využití licencí se odhaduje na základě aktivit přihlašování na zařízení. Licence Defenderu for Endpoint Plan 2 jsou vázané na uživatele a každý uživatel může mít až pět souběžných onboardovaných zařízení. Další informace o licenčních podmínkách najdete v tématu Licencování Společnosti Microsoft.

Aby se snížila režie na správu, nevyžaduje se mapování a přiřazování zařízení na uživatele. Sestava licencí místo toho poskytuje odhad využití, který se počítá na základě využití zařízení, ke kterému dochází ve vaší organizaci. Může trvat až jeden den, než sestava využití bude odpovídat aktivnímu využití vašich zařízení.

Důležité

Pokud chcete získat přístup k informacím o licenci, musíte mít v Microsoft Entra ID přiřazenou jednu z následujících rolí:

  • Správa zabezpečení
  • Globální Správa
  • Licenční Správa + MDE Správa

  1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.

  2. Zvolte Nastavení>Licence koncových bodů>.

  3. Zkontrolujte dostupné a přiřazené licence. Výpočet je založený na zjištěných uživatelích, kteří přistupovali k zařízením, která jsou onboardována do služby Defender for Endpoint.

Další zdroje

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.