Om bord på enheder til Microsoft Defender til virksomheder

I denne artikel beskrives det, hvordan du onboarder enheder til Defender til virksomheder.

Onboarde dine virksomhedsenheder for at beskytte dem med det samme. Du kan vælge mellem flere muligheder for at onboarde din virksomheds enheder. I denne artikel gennemgår vi dine muligheder og beskriver, hvordan onboarding fungerer.

Sådan gør du

1. Vælg en fane:
   • Windows 10 og 11
   • Mac
   • Mobil (nye funktioner er tilgængelige til iOS- og Android-enheder!)
   • Servere (Windows Server eller Linux-server)
2. Få vist dine onboardingindstillinger, og følg vejledningen på den valgte fane.
3. Få vist en liste over onboardede enheder.
4. Kør en phishing-test på en enhed.
5. Fortsæt til de næste trin.

Windows 10 og 11

Windows 10 og 11

Bemærk!

Windows-enheder skal køre et af følgende operativsystemer:

• Windows 10 eller 11 erhverv
• Windows 10 eller 11 Professional
• Windows 10 eller 11 Enterprise

Du kan få flere oplysninger under krav til Microsoft Defender til virksomheder.

Vælg en af følgende indstillinger for at onboarde Windows-klientenheder til Defender til virksomheder:

• Lokalt script (til onboarding af enheder manuelt på portalen Microsoft Defender)
• Gruppepolitik (hvis du allerede bruger Gruppepolitik i din organisation)
• Microsoft Intune (hvis du allerede bruger Intune)

Lokalt script for Windows 10 og 11

Kørsel af onboardingscriptet på en Windows-enhed udfører følgende handlinger:

• Opretter et tillidsforhold til Microsoft Entra ID (hvis der ikke allerede findes et tillidsforhold).
• Tilmelder enheden i Microsoft Intune (hvis den ikke allerede er tilmeldt).
• Onboarder enheden til Defender til virksomheder.

Hvis du ikke i øjeblikket bruger Intune, anbefaler vi, at du bruger scriptet til at onboarde enheder til Defender til virksomheder kunder.

Tip

Vi anbefaler, at du onboarder op til 10 enheder ad gangen, når du bruger den lokale scriptmetode.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg Windows 10 og 11.

4. Under Forbindelsestype skal du vælge Strømlinet.

5. I afsnittet Installationsmetode skal du vælge Lokalt script og derefter vælge Download onboarding-pakke. Vi anbefaler, at du gemmer onboardingpakken på et flytbart drev.

6. På en Windows-enhed skal du udtrække indholdet af konfigurationspakken til en placering, f.eks. mappen Desktop. Du skal have en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

7. Åbn en kommandoprompt som administrator.

8. Skriv placeringen af scriptfilen. Hvis du f.eks. kopierede filen til mappen Desktop, skulle du skrive %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdog derefter trykke på tasten Enter (eller vælge OK).

9. Når scriptet er kørt, skal du køre en registreringstest.

Gruppepolitik for Windows 10 og 11

Hvis du foretrækker at bruge Gruppepolitik til at onboarde Windows-klienter, skal du følge vejledningen i Onboard Windows-enheder ved hjælp af Gruppepolitik. I denne artikel beskrives trinnene til onboarding til Microsoft Defender for Endpoint. Trinnene til onboarding til Defender til virksomheder er de samme.

Intune for Windows 10 og 11

Du kan onboarde Windows-klienter og andre enheder i Intune ved hjælp af Intune Administration (https://intune.microsoft.com). Der findes flere metoder til tilmelding af enheder i Intune. Vi anbefaler, at du bruger en af følgende metoder:

• Aktivér automatisk windows-tilmelding til virksomhedsejede eller virksomhedsadministrerede enheder
• Bed brugerne om at tilmelde deres egne Windows 10/11-enheder på Intune

Aktivér automatisk tilmelding for Windows 10 og 11

Når du konfigurerer automatisk tilmelding, føjer brugerne deres arbejdskonto til enheden. I baggrunden registrerer og joinforbinder enheden Microsoft Entra ID og er tilmeldt Intune.

1. Gå til Azure Portal (https://portal.azure.com/), og log på.

2. Vælg Microsoft Entra ID>Mobilitet (MDM og MAM)>Microsoft Intune.

3. Konfigurer MDM-brugeromfanget og MAM-brugeromfanget.

   

   • I forbindelse med MDM-brugerområde anbefaler vi, at du vælger Alle , så alle brugere automatisk kan tilmelde deres Windows-enheder.

   • I afsnittet MAM-brugerområde anbefaler vi følgende standardværdier for URL-adresserne:

     • MDM Vilkår for anvendelse AF URL-adresse
     • URL-adresse til MDM-registrering
     • URL-adresse til MDM-overholdelse

4. Vælg Gem.

5. Når en enhed er tilmeldt Intune, kan du føje den til en enhedsgruppe i Defender til virksomheder. Få mere at vide om enhedsgrupper i Defender til virksomheder.

Tip

Du kan få mere at vide under Aktivér automatisk tilmelding til Windows.

Bed brugerne om at tilmelde deres Windows 10 og 11 enheder

1. Se følgende video for at se, hvordan tilmelding fungerer:
   
   

2. Del denne artikel med brugere i din organisation: Tilmeld Windows 10/11-enheder i Intune.

3. Når en enhed er tilmeldt Intune, kan du føje den til en enhedsgruppe i Defender til virksomheder. Få mere at vide om enhedsgrupper i Defender til virksomheder.

Kør en registreringstest på en Windows 10 eller 11-enhed

Når du har onboardet Windows-enheder til Defender til virksomheder, kan du køre en registreringstest på enheden for at sikre, at alt fungerer korrekt.

1. Opret en mappe på Windows-enheden: C:\test-MDATP-test.

2. Åbn en kommandoprompt som administrator, og kør derefter følgende kommando:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen er kørt, lukkes kommandopromptvinduet automatisk. Hvis det lykkes, markeres registreringstesten som fuldført, og der vises en ny besked på portalen Microsoft Defender (https://security.microsoft.com) for den nyligt onboardede enhed inden for ca. 10 minutter.

Mac

Mac

Bemærk!

Vi anbefaler, at du bruger det lokale script til onboarding af Macs. Selvom du kan konfigurere tilmelding til Mac ved hjælp af Intune, er det lokale script den nemmeste metode til onboarding af Macs til Defender til virksomheder.

Hvis du vil onboarde Mac-enheder, skal du vælge en af følgende indstillinger:

• Lokalt script til Mac (anbefales)
• Intune til Mac (hvis du allerede bruger Intune)

Lokalt script til Mac

Kørsel af det lokale script på en Mac udfører følgende handlinger:

• Opretter et tillidsforhold til Microsoft Entra ID (hvis der ikke allerede findes et tillidsforhold).
• Tilmelder Mac på Microsoft Intune (hvis den ikke allerede er tilmeldt).
• Onboarder Mac til Defender til virksomheder.

Vi anbefaler, at du ikke onboarder mere end 10 Mac-computere ad gangen ved hjælp af denne metode.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg macOS.

4. Under Forbindelsestype skal du vælge Strømlinet.

5. I afsnittet Installationsmetode skal du vælge Lokalt script og derefter vælge Download onboarding-pakke. Gem pakken på et flytbart drev. Vælg også Download installationspakken, og gem den på din flytbare enhed.

6. Gem installationspakken wdav.pkg i en lokal mappe på din Mac.

7. Gem onboardingpakken som WindowsDefenderATPOnboardingPackage.zip i den samme mappe, som du brugte til installationspakken.

8. Brug Finder til at navigere til wdav.pkg dig, der er gemt, og åbn den derefter.

9. Vælg Fortsæt, acceptér licensvilkårene, og angiv derefter din adgangskode, når du bliver bedt om det.

10. Du bliver bedt om at tillade installation af en driver fra Microsoft (enten er systemudvidelsen blokeret , installationen er i venteposition eller begge dele). Du skal tillade driverinstallationen. Vælg Åbn sikkerhedsindstillinger eller Åbn Systemindstillinger>Sikkerhed & Beskyttelse af personlige oplysninger, og vælg derefter Tillad.

11. Brug følgende Bash-kommando til at køre onboardingpakken:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& Sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh

Når Mac er tilmeldt Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender til virksomheder.

Intune til Mac

Hvis du allerede har Intune, kan du tilmelde Mac-computere ved hjælp af Intune Administration (https://intune.microsoft.com). Der findes flere metoder til tilmelding af Mac i Intune. Vi anbefaler en af følgende metoder:

• Vælg en indstilling for virksomhedsejet Mac
• Bed brugerne om at tilmelde deres egen Mac på Intune

Indstillinger for virksomhedsejet Mac

Vælg en af følgende indstillinger for at tilmelde virksomhedsadministrerede Mac-enheder i Intune:

Mulighed	Beskrivelse
Apple Automated Device Enrollment	Brug denne metode til at automatisere tilmelding på enheder, der er købt via Apple Business Manager eller Apple School Manager. Automatiseret tilmelding af enheder udruller tilmeldingsprofilen "via luften", så du ikke behøver at have fysisk adgang til enheder. Du kan få flere oplysninger under Tilmeld Mac automatisk med Apple Business Manager eller Apple School Manager.
Administrator af enhedsregistrering (DEM)	Brug denne metode til udrulninger i stor skala, og når der er flere personer i din organisation, som kan hjælpe med konfiguration af tilmelding. En person med administratorrettigheder til enhedsregistrering kan tilmelde op til 1.000 enheder med en enkelt Microsoft Entra konto. Denne metode bruger Firmaportal-appen eller Microsoft Intune-appen til at tilmelde enheder. Du kan ikke bruge en demografikonto til at tilmelde enheder via automatiseret enhedsregistrering. Du kan få flere oplysninger under Tilmeld enheder i Intune ved hjælp af en administratorkonto til enhedsregistrering.
Direkte tilmelding	Direkte tilmelding tilmelder enheder uden brugertilhør, så denne metode er bedst til enheder, der ikke er knyttet til en enkelt bruger. Denne metode kræver, at du har fysisk adgang til de Macs, du tilmelder dig. Du kan få flere oplysninger under Brug direkte tilmelding til Mac.

Bed brugerne om at tilmelde deres egen Mac på Intune

Hvis din virksomhed foretrækker at have brugertilmeldingsenheder i Intune, kan du bede brugerne om at følge disse trin:

1. Gå til webstedet Firmaportal (https://portal.manage.microsoft.com/), og log på.

2. Følg vejledningen på Firmaportal websted for at tilføje enheden.

3. Installér Firmaportal-appen på https://aka.ms/EnrollMyMac, og følg vejledningen i appen.

Bekræft, at en Mac er onboardet

1. Hvis du vil bekræfte, at enheden er knyttet til din virksomhed, skal du bruge følgende Python-kommando i Bash:

   mdatp health --field org_id.

2. Hvis du bruger macOS 10.15 (Catalina) eller nyere, skal du give Defender til virksomheder samtykke til at beskytte din enhed. Gå til Systemindstillinger>Sikkerhed & Beskyttelse af personlige oplysninger>>Fuld diskadgang. Vælg låseikonet nederst i dialogboksen for at foretage ændringer, og vælg derefter Microsoft Defender til virksomheder (eller Defender for Endpoint, hvis det er det, du ser).

3. Hvis du vil bekræfte, at enheden er onboardet, skal du bruge følgende kommando i Bash:

   mdatp health --field real_time_protection_enabled

Når en enhed er tilmeldt Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender til virksomheder.

Mobilenheder

Mobilenheder

Du kan bruge følgende metoder til at onboarde mobilenheder, f.eks. Android- og iOS-enheder:

• Brug appen Microsoft Defender
• Brug Microsoft Intune

Brug appen Microsoft Defender

Mobiltrusselforsvarsfunktioner er tilgængelige i Defender til virksomheder. Med disse funktioner kan du nu onboarde mobilenheder (f.eks. Android og iOS) ved hjælp af appen Microsoft Defender. Med denne metode downloader brugerne appen fra Google Play eller Apple App Store, logger på og fuldfører onboardingtrinnene.

Vigtigt!

Sørg for, at Defender til virksomheder klargjort: Gå til Aktiver>enheder på portalen Microsoft Defender.

• Hvis du ser meddelelsen, "Vent! Vi forbereder nye områder til dine data og forbinder dem," Defender til virksomheder er ikke færdig med klargøring. Denne proces foregår nu, og det kan tage op til 24 timer at fuldføre den.
• Hvis du får vist en liste over enheder, eller du bliver bedt om at onboarde enheder, betyder det, Defender til virksomheder klargøring er fuldført.

Brugerne kan bruge følgende procedurer til at onboarde mobilenheder ved hjælp af appen Microsoft Defender:

• Android:

  1. Hvis du ikke har logget på og registreret din enhed i Microsoft Authenticator-appen, skal du følge disse trin på enheden:
     1. Installér Appen Microsoft Authenticator fra Google Play Butik.
     2. I appen Microsoft Authenticator skal du logge på og registrere din enhed ved hjælp af din Arbejds- eller skolekonto i Microsoft 365.
  2. Installér Microsoft Defender: Antivirusappen fra Google Play-butikken på din enhed.
  3. Åbn Microsoft Defender-appen, log på, og fuldfør onboardingprocessen.

• iOS/iPadOS:

  1. Hvis du ikke har logget på og registreret din enhed i Microsoft Authenticator-appen, skal du følge disse trin på enheden:
     1. Installér Microsoft Authenticator-appen fra Apple App Store.
     2. I appen Microsoft Authenticator skal du logge på og registrere din enhed ved hjælp af din Arbejds- eller skolekonto i Microsoft 365.
  2. Installér Microsoft Defender: Sikkerhedsappen fra Apple App Store på din enhed.
  3. Tillad, at Microsoft Defender-appen konfigurerer en VPN-forbindelse og tilføjer VPN-konfigurationer.
  4. Vælg, om du vil tillade meddelelser (f.eks. beskeder).

Tip

Når du har onboardet en mobilenhed ved hjælp af Microsoft Defender-appen, skal du gå til afsnittet Kør en phishing-test på en enhed senere i denne artikel.

Brug Microsoft Intune

Hvis dit abonnement indeholder Microsoft Intune, kan du bruge det til at onboarde mobilenheder, f.eks. Android- og iOS-/iPadOS-enheder. Se følgende ressourcer for at få hjælp til at tilmelde disse enheder til Intune:

• Tilmeld Android-enheder
• Tilmeld iOS- eller iPadOS-enheder

Når en enhed er tilmeldt Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender til virksomheder.

Servere

Servere

Bemærk!

Hvis du planlægger at onboarde en forekomst af Windows Server eller Linux Server, skal du have en ekstra licens, f.eks. Microsoft Defender for Business servers.

Vælg operativsystemet til serveren:

• Windows Server
• Linux Server

Windows Server

Vigtigt!

Sørg for, at du opfylder følgende krav, før du onboarder et Windows Server slutpunkt:

• Du har en Microsoft Defender for Business servers licens. Du kan få flere oplysninger under Sådan får du Microsoft Defender for Business servers.
• Håndhævelsesområdet for Windows Server er slået til. Gå til Indstillinger>Slutpunkter>Administration af> konfigurationHåndhævelsesområde. Vælg Brug MDE til at gennemtvinge sikkerhedskonfigurationsindstillinger fra MEM, vælg Windows Server, og vælg derefter Gem.

Du kan onboarde en forekomst af Windows Server til Defender til virksomheder ved hjælp af et lokalt script.

Lokalt script til Windows Server

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg et operativsystem, f.eks. Windows Server 1803, 2019 og 2022, og vælg derefter Lokalt script i afsnittet Installationsmetode.

   Hvis du vælger Windows Server 2012 R2 og 2016, har du to pakker at downloade og køre: en installationspakke og en onboardingpakke. Installationspakken indeholder en MSI-fil, der installerer den Defender til virksomheder agent. Onboardingpakken indeholder scriptet til onboarding af dit Windows Server slutpunkt til Defender til virksomheder.

4. Vælg Download onboarding-pakke. Vi anbefaler, at du gemmer onboardingpakken på et flytbart drev.

   Hvis du har valgt Windows Server 2012 R2 og 2016, skal du også vælge Download installationspakke og gemme pakken på et flytbart drev

5. Udpak indholdet af installations-/onboardingpakken på dit Windows Server slutpunkt til en placering, f.eks. desktopmappen. Du skal have en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

   Hvis du onboarder Windows Server 2012 R2 eller Windows Server 2016, skal du først udtrække installationspakken.

6. Åbn en kommandoprompt som administrator, og benyt følgende fremgangsmåde:

   • Windows Server 2012R2 eller Windows Server 2016: Kør følgende kommandoer:

     Msiexec.exe /i md4ws.msi /quiet
     

     WindowsDefenderATPLocalOnboardingScript.cmdKør . Hvis du f.eks. kopierede filen til mappen Desktop, skal du køre følgende kommando:

     %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd
     

   • Windows Server 1803, 2019 eller 2022: Kør WindowsDefenderATPLocalOnboardingScript.cmd. Hvis du f.eks. kopierede filen til mappen Desktop, skal du køre følgende kommando:

     %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd
     

7. Gå til afsnittet Kør en registreringstest på Windows Server.

Kør en registreringstest på Windows Server

Når du har onboardet dit Windows Server slutpunkt til Defender til virksomheder, kan du køre en registreringstest for at sikre, at alt fungerer korrekt:

1. Opret en mappe på den Windows Server enhed: C:\test-MDATP-test.

2. Åbn kommandoprompten som administrator, og kør følgende kommandoer:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen er kørt, lukkes kommandopromptvinduet automatisk. Hvis det lykkes, markeres registreringstesten som fuldført, og der vises en ny besked på portalen Microsoft Defender (https://security.microsoft.com) for den nyligt onboardede enhed inden for ca. 10 minutter.

Linux Server

Vigtigt!

Sørg for, at du opfylder følgende krav, før du onboarder et Linux Server-slutpunkt:

• Du har en Microsoft Defender for Business servers licens. Du kan få flere oplysninger under Sådan får du Microsoft Defender for Business servers.
• Du opfylder forudsætningerne for Microsoft Defender for Endpoint på Linux.

Onboard Linux Server-slutpunkter

Du kan bruge følgende metoder til at onboarde en forekomst af Linux Server for at Defender til virksomheder:

• Lokalt script: Installer Microsoft Defender for Endpoint på Linux manuelt.
• Ansible: Installér Microsoft Defender for Endpoint på Linux med Ansible.
• Chef: Udrul Defender for Endpoint på Linux med Chef.
• Dukke:Installer Microsoft Defender for Endpoint på Linux med Dukke.

Bemærk!

Onboarding af en forekomst af Linux Server til Defender til virksomheder er det samme som onboarding til Microsoft Defender for Endpoint på Linux.

Få vist en liste over onboardede enheder

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. I navigationsruden skal du gå til Aktiver>enheder. Visningen Enhedslager åbnes.

Kør en phishing-test på en enhed

Når du har onboardet en enhed, kan du køre en hurtig phishingtest for at sikre, at enheden er tilsluttet, og at beskeder genereres som forventet.

1. Gå til https://smartscreentestratings2.netpå en enhed. Defender til virksomheder skal blokere url-adressen på brugerens enhed.

2. Som medlem af organisationens sikkerhedsteam skal du gå til Microsoft Defender-portalen (https://security.microsoft.com) og logge på.

3. Gå til Hændelser i navigationsruden. Du bør kunne se en vigtig besked, der angiver, at en enhed har forsøgt at få adgang til et phishing-websted.

Næste trin

• Hvis du har andre enheder at onboarde, skal du vælge fanen for disse enheder (Windows 10 og 11, Mac, servere eller mobilenheder) og følge vejledningen på denne fane.
• Hvis du er færdig med at onboarde enheder, skal du gå til Trin 6: Konfigurer dine sikkerhedsindstillinger og politikker i Defender til virksomheder.