Onboarde enheder til Microsoft Defender for Business

I denne artikel beskrives det, hvordan du føjer enheder til Defender for Business.

Onboarde dine virksomhedsenheder for at beskytte dem med det samme. Du kan vælge mellem flere muligheder for at onboarde din virksomheds enheder. I denne artikel gennemgår vi dine muligheder og beskriver, hvordan onboarding fungerer.

Sådan gør du

1. Vælg en fane:
   • Windows 10 og 11
   • Mac
   • Mobil (nye funktioner er tilgængelige til iOS- og Android-enheder!)
   • Servere (Windows Server eller Linux Server)
2. Få vist dine onboardingindstillinger, og følg vejledningen på den valgte fane.
3. Få vist en liste over onboardede enheder.
4. Kør en phishing-test på en enhed.
5. Fortsæt til de næste trin.

Windows 10 og 11

Windows 10 og 11

Bemærk!

Windows-enheder skal køre et af følgende operativsystemer:

• Windows 10 eller 11 Business
• Windows 10 eller 11 Professional
• Windows 10 eller 11 Enterprise

Du kan få flere oplysninger under Microsoft Defender for Business-krav.

Vælg en af følgende indstillinger for at føje Windows-klientenheder til Defender for Business:

• Lokalt script (til onboarding af enheder manuelt på Microsoft Defender-portalen)
• Gruppepolitik (hvis du allerede bruger gruppepolitik i din organisation)
• Microsoft Intune (hvis du allerede bruger Intune)

Lokalt script til Windows 10 og 11

Du kan bruge et lokalt script til at onboarde Windows-klientenheder. Når du kører onboardingscriptet på en enhed, oprettes der et tillidsforhold til Microsoft Entra ID (hvis denne tillid ikke allerede findes), tilmeldes enheden i Microsoft Intune (hvis den ikke allerede er tilmeldt) og onboarder derefter enheden til Defender for Business. Hvis du ikke i øjeblikket bruger Intune, er den lokale scriptmetode den anbefalede onboardingmetode for Defender for Business-kunder.

Tip

Vi anbefaler, at du onboarder op til 10 enheder ad gangen, når du bruger den lokale scriptmetode.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg Windows 10 og 11.

4. Under Forbindelsestype skal du vælge Strømlinet.

5. I afsnittet Installationsmetode skal du vælge Lokalt script og derefter vælge Download onboarding-pakke. Vi anbefaler, at du gemmer onboardingpakken på et flytbart drev.

6. På en Windows-enhed skal du udtrække indholdet af konfigurationspakken til en placering, f.eks. mappen Desktop. Du skal have en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

7. Åbn en kommandoprompt som administrator.

8. Skriv placeringen af scriptfilen. Hvis du f.eks. kopierede filen til mappen Desktop, skulle du skrive %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdog derefter trykke på tasten Enter (eller vælge OK).

9. Når scriptet er kørt, skal du køre en registreringstest.

Gruppepolitik til Windows 10 og 11

Hvis du foretrækker at bruge Gruppepolitik til at onboarde Windows-klienter, skal du følge vejledningen i Onboard Windows-enheder ved hjælp af Gruppepolitik. I denne artikel beskrives trinnene til onboarding til Microsoft Defender for Endpoint. Trinnene til onboarding til Defender for Business er de samme.

Intune til Windows 10 og 11

Du kan onboarde Windows-klienter og andre enheder i Intune ved hjælp af Intune Administration (https://intune.microsoft.com). Der findes flere metoder til tilmelding af enheder i Intune. Vi anbefaler, at du bruger en af følgende metoder:

• Aktivér automatisk windows-tilmelding til virksomhedsejede eller virksomhedsadministrerede enheder
• Bed brugerne om at tilmelde deres egne Windows 10/11-enheder i Intune

Aktivér automatisk tilmelding til Windows 10 og 11

Når du konfigurerer automatisk tilmelding, føjer brugerne deres arbejdskonto til enheden. I baggrunden registrerer og tilmelder enheden sig Microsoft Entra ID og er tilmeldt i Intune.

1. Gå til Azure Portal (https://portal.azure.com/), og log på.

2. Vælg Microsoft Entra ID>Mobility (MDM og MAM)>Microsoft Intune.

3. Konfigurer MDM-brugeromfanget og MAM-brugeromfanget.

   

   • I forbindelse med MDM-brugerområde anbefaler vi, at du vælger Alle , så alle brugere automatisk kan tilmelde deres Windows-enheder.

   • I afsnittet MAM-brugerområde anbefaler vi følgende standardværdier for URL-adresserne:

     • MDM Vilkår for anvendelse AF URL-adresse
     • URL-adresse til MDM-registrering
     • URL-adresse til MDM-overholdelse

4. Vælg Gem.

5. Når en enhed er tilmeldt i Intune, kan du føje den til en enhedsgruppe i Defender for Business. Få mere at vide om enhedsgrupper i Defender for Business.

Tip

Du kan få mere at vide under Aktivér automatisk tilmelding til Windows.

Bed brugerne om at tilmelde deres Windows 10- og 11-enheder

1. Se følgende video for at se, hvordan tilmelding fungerer:
   
   

2. Del denne artikel med brugere i din organisation: Tilmeld Windows 10/11-enheder i Intune.

3. Når en enhed er tilmeldt i Intune, kan du føje den til en enhedsgruppe i Defender for Business. Få mere at vide om enhedsgrupper i Defender for Business.

Kør en registreringstest på en Windows 10- eller 11-enhed

Når du har onboardet Windows-enheder til Defender for Business, kan du køre en registreringstest på enheden for at sikre, at alt fungerer korrekt.

1. Opret en mappe på Windows-enheden: C:\test-MDATP-test.

2. Åbn kommandoprompten som administrator, og kør derefter følgende kommando:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen er kørt, lukkes kommandopromptvinduet automatisk. Hvis det lykkes, markeres registreringstesten som fuldført, og der vises en ny besked på Microsoft Defender-portalen (https://security.microsoft.com) for den nyligt onboardede enhed inden for ca. 10 minutter.

Mac

Mac

Bemærk!

Vi anbefaler, at du bruger et lokalt script til at onboarde Mac. Selvom du kan konfigurere tilmelding til Mac ved hjælp af Intune, er det lokale script den nemmeste metode til onboarding af Mac til Defender for Business.

Vælg en af følgende muligheder for at onboarde Mac:

• Lokalt script til Mac (anbefales)
• Intune til Mac (hvis du allerede bruger Intune)

Lokalt script til Mac

Når du kører det lokale script på Mac, oprettes der en tillid til Microsoft Entra ID (hvis denne tillid ikke allerede findes), tilmelder Mac i Microsoft Intune (hvis den ikke allerede er tilmeldt) og onboarder derefter Mac til Defender for Business. Vi anbefaler, at du onboarder op til 10 enheder ad gangen ved hjælp af denne metode.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg macOS.

4. Under Forbindelsestype skal du vælge Strømlinet.

5. I afsnittet Installationsmetode skal du vælge Lokalt script og derefter vælge Download onboarding-pakke. Gem pakken på et flytbart drev. Vælg også Download installationspakken, og gem den på din flytbare enhed.

6. Gem installationspakken wdav.pkg i en lokal mappe på din Mac.

7. Gem onboardingpakken som WindowsDefenderATPOnboardingPackage.zip i den samme mappe, som du brugte til installationspakken.

8. Brug Finder til at navigere til wdav.pkg dig, der er gemt, og åbn den derefter.

9. Vælg Fortsæt, acceptér licensvilkårene, og angiv derefter din adgangskode, når du bliver bedt om det.

10. Du bliver bedt om at tillade installation af en driver fra Microsoft (enten er systemudvidelsen blokeret , installationen er i venteposition eller begge dele). Du skal tillade driverinstallationen. Vælg Åbn sikkerhedsindstillinger eller Åbn Systemindstillinger>Sikkerhed & Beskyttelse af personlige oplysninger, og vælg derefter Tillad.

11. Brug følgende Bash-kommando til at køre onboardingpakken:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Når Mac er tilmeldt i Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender for Business.

Intune til Mac

Hvis du allerede har Intune, kan du tilmelde Mac-computere ved hjælp af Intune Administration (https://intune.microsoft.com). Der findes flere metoder til tilmelding af Mac i Intune. Vi anbefaler en af følgende metoder:

• Vælg en indstilling for virksomhedsejet Mac
• Bed brugerne om at tilmelde deres egen Mac i Intune

Indstillinger for virksomhedsejet Mac

Vælg en af følgende indstillinger for at tilmelde virksomhedsadministrerede Mac-enheder i Intune:

Valgmulighed	Beskrivelse
Apple Automated Device Enrollment	Brug denne metode til at automatisere tilmelding på enheder, der er købt via Apple Business Manager eller Apple School Manager. Automatiseret tilmelding af enheder udruller tilmeldingsprofilen "via luften", så du ikke behøver at have fysisk adgang til enheder. Se Tilmeld Mac automatisk med Apple Business Manager eller Apple School Manager.
Administrator af enhedsregistrering (DEM)	Brug denne metode til udrulninger i stor skala, og når der er flere personer i din organisation, som kan hjælpe med konfiguration af tilmelding. En person med administratorrettigheder til enhedsregistrering kan tilmelde op til 1.000 enheder med en enkelt Microsoft Entra-konto. Denne metode bruger appen Firmaportal eller Microsoft Intune-appen til at tilmelde enheder. Du kan ikke bruge en demografikonto til at tilmelde enheder via automatiseret enhedsregistrering. Se Tilmeld enheder i Intune ved hjælp af en administratorkonto til enhedsregistrering.
Direkte tilmelding	Direkte tilmelding tilmelder enheder uden brugertilhør, så denne metode er bedst til enheder, der ikke er knyttet til en enkelt bruger. Denne metode kræver, at du har fysisk adgang til de Macs, du tilmelder dig. Se Brug direkte tilmelding til Mac.

Bed brugerne om at tilmelde deres egen Mac i Intune

Hvis din virksomhed foretrækker at få personer til at tilmelde deres egne enheder i Intune, skal brugerne følge disse trin:

1. Gå til Firmaportal-webstedet (https://portal.manage.microsoft.com/), og log på.

2. Følg vejledningen på Firmaportal-webstedet for at tilføje deres enhed.

3. Installér appen Firmaportal på https://aka.ms/EnrollMyMac, og følg vejledningen i appen.

Bekræft, at en Mac er onboardet

1. Hvis du vil bekræfte, at enheden er knyttet til din virksomhed, skal du bruge følgende Python-kommando i Bash:

   mdatp health --field org_id.

2. Hvis du bruger macOS 10.15 (Catalina) eller nyere, skal du give Defender for Business-samtykke for at beskytte din enhed. Gå til Systemindstillinger>Sikkerhed & Beskyttelse af personlige oplysninger>>Fuld diskadgang. Vælg låseikonet nederst i dialogboksen for at foretage ændringer, og vælg derefter Microsoft Defender for Business (eller Defender for Endpoint, hvis det er det, du ser).

3. Hvis du vil bekræfte, at enheden er onboardet, skal du bruge følgende kommando i Bash:

   mdatp health --field real_time_protection_enabled

Når en enhed er tilmeldt i Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender for Business.

Mobilenheder

Mobilenheder

Du kan bruge følgende metoder til at onboarde mobilenheder, f.eks. Android- og iOS-enheder:

• Brug Microsoft Defender-appen
• Brug Microsoft Intune

Brug Microsoft Defender-appen

Mobiltrusselforsvarsfunktioner er nu generelt tilgængelige for Defender for Business-kunder. Med disse funktioner kan du nu onboarde mobilenheder (f.eks. Android og iOS) ved hjælp af Microsoft Defender-appen. Med denne metode downloader brugerne appen fra Google Play eller Apple App Store, logger på og fuldfører onboardingtrinnene.

Vigtigt!

Sørg for, at alle følgende krav er opfyldt, før du onboarder mobilenheder:

1. Defender for Business er klargjort. På Microsoft Defender-portalen skal du gå til Aktiver>enheder.
   - Hvis du ser en besked, der siger, "Vent! Vi forbereder nye områder til dine data og forbinder dem", så er klargøringen af Defender for Business ikke færdig. Denne proces foregår nu, og det kan tage op til 24 timer at fuldføre den.
   – Hvis du får vist en liste over enheder, eller du bliver bedt om at onboarde enheder, betyder det, at klargøringen af Defender for Business er fuldført.
2. Brugerne har downloadet Microsoft Authenticator-appen på deres enhed og har registreret deres enhed ved hjælp af deres arbejds- eller skolekonto til Microsoft 365.

Enhed	Procedure
Android	1. Gå til Google Play-butikken på enheden. 2. Hvis du ikke allerede har gjort det, skal du downloade og installere Appen Microsoft Authenticator. Log på, og registrer din enhed i Appen Microsoft Authenticator. 3. Søg efter Microsoft Defender-appen i Google Play-butikken, og installér den. 4. Åbn Microsoft Defender-appen, log på, og fuldfør onboardingprocessen.
iOS	1. Gå til Apple App Store på enheden. 2. Hvis du ikke allerede har gjort det, skal du downloade og installere Appen Microsoft Authenticator. Log på, og registrer din enhed i Appen Microsoft Authenticator. 3. Søg efter Microsoft Defender-appen i Apple App Store. 4. Log på, og installér appen. 5. Acceptér vilkårene for anvendelse for at fortsætte. 6. Tillad Microsoft Defender-appen at konfigurere en VPN-forbindelse og tilføje VPN-konfigurationer. 7. Vælg, om du vil tillade meddelelser (f.eks. beskeder).

Tip

Når du har onboardet mobilenheder ved hjælp af Microsoft Defender-appen, skal du fortsætte med at køre en phishingtest på en enhed.

Brug Microsoft Intune

Hvis dit abonnement omfatter Microsoft Intune, kan du bruge det til at onboarde mobilenheder, f.eks. Android- og iOS-/iPadOS-enheder. Se følgende ressourcer for at få hjælp til at tilmelde disse enheder til Intune:

• Tilmeld Android-enheder
• Tilmeld iOS- eller iPadOS-enheder

Når en enhed er tilmeldt i Intune, kan du føje den til en enhedsgruppe. Få mere at vide om enhedsgrupper i Defender for Business.

Servere

Servere

Bemærk!

Hvis du planlægger at onboarde en forekomst af Windows Server eller Linux Server, skal du bruge en ekstra licens, f.eks . Microsoft Defender for Business-servere. Alternativt kan du bruge Microsoft Defender til Servers Plan 1 eller Plan 2. Du kan få mere at vide under Hvad sker der, hvis jeg har en blanding af Sikkerhedsabonnementer på Microsoft-slutpunkter?

Vælg operativsystemet til serveren:

• Windows Server
• Linux Server

Windows Server

Vigtigt!

Sørg for, at du opfylder følgende krav, før du onboarder et Windows Server-slutpunkt:

• Du har en Licens til Microsoft Defender for Business-servere. (Se Sådan får du Microsoft Defender for Business-servere).
• Håndhævelsesområdet for Windows Server er slået til. Gå til Indstillinger>Slutpunkter>Administration af> konfigurationHåndhævelsesområde. Vælg Brug MDE til at gennemtvinge sikkerhedskonfigurationsindstillinger fra MEM, vælg Windows Server, og vælg derefter Gem.

Du kan onboarde en forekomst af Windows Server til Defender for Business ved hjælp af et lokalt script.

Lokalt script til Windows Server

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. Vælg Indstillinger>Slutpunkter i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

3. Vælg et operativsystem, f.eks. Windows Server 1803, 2019 og 2022, og vælg derefter Lokalt script i afsnittet Installationsmetode.

   Hvis du vælger Windows Server 2012 R2 og 2016, har du to pakker at downloade og køre: en installationspakke og en onboardingpakke. Installationspakken indeholder en MSI-fil, der installerer Defender for Business Agent. Onboardingpakken indeholder scriptet til onboarding af dit Windows Server-slutpunkt til Defender for Business.

4. Vælg Download onboarding-pakke. Vi anbefaler, at du gemmer onboardingpakken på et flytbart drev.

   Hvis du har valgt Windows Server 2012 R2 og 2016, skal du også vælge Download installationspakke og gemme pakken på et flytbart drev

5. Udpak indholdet af installations-/onboardingpakken på dit Windows Server-slutpunkt på en placering, f.eks. desktopmappen. Du skal have en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

   Hvis du onboarder Windows Server 2012 R2 eller Windows Server 2016, skal du først pakke installationspakken ud.

6. Åbn en kommandoprompt som administrator.

7. Hvis du onboarder Windows Server 2012R2 eller Windows Server 2016, skal du køre følgende kommando:

   Msiexec /i md4ws.msi /quiet

   Hvis du onboarder Windows Server 1803, 2019 eller 2022, skal du springe dette trin over og gå til trin 8.

8. Skriv placeringen af scriptfilen. Hvis du f.eks. kopierede filen til mappen Desktop, skal du skrive %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdog derefter trykke på Enter (eller vælge OK).

9. Gå til Kør en registreringstest på Windows Server.

Kør en registreringstest på Windows Server

Når du har onboardet dit Windows Server-slutpunkt til Defender for Business, kan du køre en registreringstest for at sikre, at alt fungerer korrekt:

1. Opret en mappe på Windows Server-enheden: C:\test-MDATP-test.

2. Åbn kommandoprompt som administrator.

3. Kør følgende PowerShell-kommando i vinduet Kommandoprompt:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen er kørt, lukkes kommandopromptvinduet automatisk. Hvis det lykkes, markeres registreringstesten som fuldført, og der vises en ny besked på Microsoft Defender-portalen (https://security.microsoft.com) for den nyligt onboardede enhed inden for ca. 10 minutter.

Linux Server

Vigtigt!

Sørg for, at du opfylder følgende krav, før du onboarder et Linux Server-slutpunkt:

• Du har en Licens til Microsoft Defender for Business-servere. (Se Sådan får du Microsoft Defender for Business-servere).
• Du opfylder forudsætningerne for Microsoft Defender for Endpoint på Linux.

Onboard Linux Server-slutpunkter

Du kan bruge følgende metoder til at onboarde en forekomst af Linux Server til Defender for Business:

• Lokalt script: Se Installér Microsoft Defender for Endpoint på Linux manuelt.
• Ansible: Se Installér Microsoft Defender for Endpoint på Linux med Ansible.
• Kok: Se Installér Defender for Endpoint på Linux med Chef.
• Marionet: Se Installér Microsoft Defender for Endpoint på Linux med Dukke.

Bemærk!

Onboarding af en forekomst af Linux Server til Defender for Business er det samme som onboarding til Microsoft Defender for Endpoint på Linux.

Få vist en liste over onboardede enheder

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

2. I navigationsruden skal du gå til Aktiver>enheder. Visningen Enhedslager åbnes.

Kør en phishing-test på en enhed

Når du har onboardet en enhed, kan du køre en hurtig phishing-test for at sikre, at enheden er tilsluttet, og at der genereres beskeder som forventet.

1. Gå til https://smartscreentestratings2.netpå en enhed. Defender for Business skal blokere url-adressen på brugerens enhed.

2. Som medlem af organisationens sikkerhedsteam skal du gå til Microsoft Defender-portalen (https://security.microsoft.com) og logge på.

3. Gå til Hændelser i navigationsruden. Du bør kunne se en vigtig besked, der angiver, at en enhed har forsøgt at få adgang til et phishing-websted.

Næste trin

• Hvis du har andre enheder at onboarde, skal du vælge fanen for disse enheder (Windows 10 og 11, Mac, servere eller mobilenheder) og følge vejledningen under den pågældende fane.
• Hvis du er færdig med at onboarde enheder, skal du gå til Trin 6: Konfigurer dine sikkerhedsindstillinger og politikker i Defender for Business.