Onboard Windows-enheder ved hjælp af et lokalt script

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Du kan også manuelt onboarde individuelle enheder til Defender for Endpoint. Det kan være en god idé at onboarde nogle enheder, når du tester tjenesten, før du forpligter dig til at onboarde alle enheder i dit netværk.

Vigtigt!

Det script, der er beskrevet i denne artikel, anbefales til manuel onboarding af enheder til Defender for Endpoint. Det bør kun bruges på et begrænset antal enheder. Hvis du udruller til et produktionsmiljø, kan du se andre udrulningsindstillinger, f.eks. Intune, Gruppepolitik eller Configuration Manager.

Se Identificer Defender for Endpoint-arkitektur og -installationsmetode for at se de forskellige stier i installationen af Defender for Endpoint.

Onboard enheder

  1. Åbn konfigurationspakken .zip fil (WindowsDefenderATPOnboardingPackage.zip), som du har downloadet fra guiden til onboarding af tjenesten. Du kan også hente pakken fra Microsoft Defender portal:

    1. I navigationsruden skal du vælge Indstillinger>Endpoints>Onboarding til enhedshåndtering>.

    2. Vælg Windows 10 eller Windows 11 som operativsystem.

    3. Vælg Lokalt script i feltet Installationsmetode.

    4. Vælg Download pakke , og gem filen .zip.

  2. Udtræk indholdet af konfigurationspakken til en placering på den enhed, du vil onboarde (f.eks. Desktop). Du skal have en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

  3. Åbn en kommandolinjeprompt med administratorrettigheder på enheden, og kør scriptet:

    1. Gå til Start, og skriv cmd.

    2. Højreklik på Kommandoprompt, og vælg Kør som administrator.

    Menuen Start i vinduet, der peger på Kør som administrator

  4. Skriv placeringen af scriptfilen. Hvis du kopierede filen til skrivebordet, skal du skrive: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Tryk på Enter , eller vælg OK.

  6. Skriv "Y", og angiv, når du bliver bedt om det.

  7. Når scriptet er fuldført, vises "Tryk på en vilkårlig tast for at fortsætte...". Tryk på en vilkårlig tast for at fuldføre trinnene på enheden.

Du kan finde oplysninger om, hvordan du manuelt kan validere, at enheden er kompatibel og rapporterer sensordata korrekt, under Fejlfinding af Microsoft Defender for Endpoint problemer med onboarding.

Tip

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på et nyligt onboardet Microsoft Defender for Endpoint slutpunkt.

Konfigurer indstillinger for eksempelsamling

For hver enhed kan du angive en konfigurationsværdi for at angive, om der kan indsamles eksempler fra enheden, når der foretages en anmodning via Microsoft Defender XDR til at sende en fil til detaljeret analyse.

Du kan konfigurere indstillingen for eksempeldeling manuelt på enheden ved hjælp af regedit eller ved at oprette og køre en .reg fil.

Konfigurationen angives via følgende post i registreringsdatabasenøglen:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Hvor Navnetype er et D-WORD. De mulige værdier er:

  • 0 – tillader ikke eksempeldeling fra denne enhed
  • 1 – tillader deling af alle filtyper fra denne enhed

Standardværdien, hvis registreringsdatabasenøglen ikke findes, er 1.

Kør en registreringstest for at bekræfte onboarding

Når du har onboardet enheden, kan du vælge at køre en registreringstest for at bekræfte, at en enhed er onboardet korrekt til tjenesten. Du kan finde flere oplysninger under Kør en registreringstest på en nyligt onboardet Microsoft Defender for Endpoint enhed.

Offboard-enheder, der bruger et lokalt script

Af sikkerhedsmæssige årsager udløber den pakke, der bruges til offboard-enheder, tre dage efter den dato, hvor den blev downloadet. Udløbne offboarding-pakker, der sendes til en enhed, afvises. Når du downloader en offboarding-pakke, får du besked om pakkens udløbsdato, og denne dato er inkluderet i pakkefilnavnet.

Bemærk!

Onboarding- og offboarding-politikker må ikke installeres på den samme enhed på samme tid. Ellers kan der opstå uforudsigelige kollisioner.

  1. Hent offboarding-pakken fra Microsoft Defender portal:

    1. Vælg Indstillinger>Endpoints>Offboardingfor enhedshåndtering> i navigationsruden.

    2. Vælg Windows 10 eller Windows 11 som operativsystem.

    3. Vælg Lokalt script i feltet Installationsmetode.

    4. Vælg Download pakke , og gem filen .zip.

  2. Udpak indholdet af den .zip fil på en delt, skrivebeskyttet placering, som enhederne har adgang til. Du skal have en fil med navnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Åbn en kommandolinjeprompt med administratorrettigheder på enheden, og kør scriptet:

    1. Gå til Start, og skriv cmd.

    2. Højreklik på Kommandoprompt, og vælg Kør som administrator.

      Menuen Start i Windows, der peger på indstillingen Kør som administrator

  4. Skriv placeringen af scriptfilen. Hvis du kopierede filen til skrivebordet, skal du skrive: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Tryk på Enter , eller vælg OK.

Vigtigt!

Offboarding medfører, at enheden stopper med at sende sensordata til portalen, men data fra enheden, herunder reference til eventuelle beskeder, den har haft, bevares i op til seks måneder.

Overvåg enhedskonfiguration

Du kan følge de forskellige bekræftelsestrin i Fejlfinding af onboardingproblemer for at bekræfte, at scriptet er fuldført, og at agenten kører.

Overvågning kan også udføres direkte på portalen eller ved hjælp af de forskellige udrulningsværktøjer.

Overvåg enheder ved hjælp af portalen

  1. Gå til Microsoft Defender portal.

  2. Vælg Lager over enheder.

  3. Kontrollér, at enheder vises.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.