Verwalten von Microsoft Defender für Endpunkt-Abonnementeinstellungen auf Clientgeräten
In Defender für Endpunkt ist ein Szenario mit gemischter Lizenzierung eine Situation, in der eine Organisation eine Mischung aus Defender für Endpunkt Plan 1- und Plan 2-Lizenzen verwendet. In der folgenden Tabelle werden Beispiele für Szenarien mit gemischter Lizenzierung beschrieben:
| Szenario | Beschreibung |
|---|---|
| Gemischter Mandant | Verwenden Sie verschiedene Gruppen von Funktionen für Gruppen von Benutzern und deren Geräte. Dazu gehören: – Defender für Endpunkt Plan 1 und Defender für Endpunkt Plan 2 – Microsoft 365 E3 und Microsoft 365 E5 |
| Gemischte Testversion | Probieren Sie ein Premium-Abonnement für einige Benutzer aus. Dazu gehören: – Defender für Endpunkt Plan 1 (für alle Benutzer erworben) und Defender für Endpunkt Plan 2 (für einige Benutzer wurde ein Testabonnement gestartet) – Microsoft 365 E3 (für alle Benutzer erworben) und Microsoft 365 E5 (für einige Benutzer wurde ein Testabonnement gestartet) |
| Stufenweise Upgrades | Aktualisieren Sie Benutzerlizenzen in Phasen. Dazu gehören: – Verschieben von Benutzergruppen von Defender für Endpunkt Plan 1 zu Plan 2 – Verschieben von Benutzergruppen von Microsoft 365 E3 auf E5 |
Bis vor kurzem wurden Szenarien mit gemischter Lizenzierung nicht unterstützt. Bei mehreren Abonnements hat das abonnement mit der höchsten Funktionalität Vorrang für Ihren Mandanten. Jetzt können Sie Ihre Abonnementeinstellungen verwalten, um gemischte Lizenzierungsszenarien auf Clientgeräten zu berücksichtigen. Diese Funktionen ermöglichen Folgendes:
- Legen Sie Ihren Mandanten auf den gemischten Modus fest, und markieren Sie Geräte , um zu bestimmen, welche Clientgeräte Features und Funktionen von jedem Plan erhalten (wir nennen diese Option gemischter Modus); ODER,
- Verwenden Sie die Features und Funktionen aus einem Plan auf allen Ihren Clientgeräten.
Sie können auch einen neu hinzugefügten Lizenznutzungsbericht verwenden, um den Status nachzuverfolgen.
Hinweis
Wenn Sie Microsoft Defender for Business verwenden und zu Defender für Endpunkt Plan 2 wechseln möchten, lesen Sie Ändern Ihres Endpunktsicherheitsabonnements.
Legen Sie Ihren Mandanten auf den gemischten Modus fest, und markieren Sie Geräte
Wichtig
- Einstellungen im gemischten Modus gelten nur für Clientendpunkte. Das Markieren von Servergeräten ändert ihren Abonnementstatus nicht. Alle Servergeräte, auf denen Windows Server oder Linux ausgeführt wird, sollten über entsprechende Lizenzen verfügen, z. B. Defender für Server. Weitere Informationen finden Sie unter Optionen für das Onboarding von Servern.
- Befolgen Sie unbedingt die Verfahren in diesem Artikel, um Szenarien mit gemischten Lizenzen in Ihrer Umgebung auszuprobieren. Durch das Zuweisen von Benutzerlizenzen im Microsoft 365 Admin Center (https://admin.microsoft.com) wird Ihr Mandant nicht auf den gemischten Modus festgelegt.
- Sie sollten über aktive Testversionen oder kostenpflichtige Lizenzen für Defender für Endpunkt Plan 1 und Plan 2 verfügen.
- Um auf Lizenzinformationen zuzugreifen, muss Ihnen eine der folgenden Rollen in Microsoft Entra ID zugewiesen sein:
- Sicherheitsadministrator
- Lizenzadministrator und Defender für Endpunktadministrator
Wechseln Sie als Administrator zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
Wechseln Sie zu Einstellungen>Endpunkte>Lizenzen. Ihr Nutzungsbericht wird geöffnet und zeigt Informationen zu den Defender für Endpunkt-Lizenzen Ihrer Organisation an.
Wählen Sie unter Abonnementstatus die Option Abonnementeinstellungen verwalten aus.
Hinweis
Wenn Abonnementeinstellungen verwalten nicht angezeigt wird, gilt mindestens eine der folgenden Bedingungen:
- Sie verfügen über Defender für Endpunkt Plan 1 oder Plan 2 (aber nicht beides). oder
- Funktionen für gemischte Lizenzen wurden noch nicht für Ihren Mandanten eingeführt.
Ein Flyout für Abonnementeinstellungen wird geöffnet. Wählen Sie die Option aus, um Defender für Endpunkt Plan 1 und Plan 2 zu verwenden. (Es treten keine Änderungen auf, bis Geräte gemäß dem nächsten Schritt gekennzeichnet sind.)
Markieren Sie die Geräte, die funktionen von Defender für Endpunkt Plan 1 oder Plan 2 erhalten sollen. Sie können Ihre Geräte manuell oder mithilfe einer dynamischen Regel markieren. Weitere Informationen finden Sie unter Gerätetagging.
Methode Details Geräte manuell markieren Wenn Sie Geräte manuell markieren möchten, erstellen Sie ein Tag namens , License MDE P1und wenden Sie es auf Geräte an. Hilfe zu diesem Schritt finden Sie unter Erstellen und Verwalten von Gerätetags.
Beachten Sie, dass Geräte, die mit dem Tag mit derLicense MDE P1Registrierungsschlüsselmethode gekennzeichnet sind, keine downgradeed-Funktionalität erhalten. Wenn Sie Geräte mit der Registrierungsschlüsselmethode markieren möchten, verwenden Sie anstelle der manuellen Kennzeichnung eine dynamische Regel.Geräte automatisch mit einer dynamischen Regel markieren Dynamische Regelfunktionen sind neu für Szenarien mit gemischten Lizenzen! Es ermöglicht Ihnen, eine dynamische und präzise Kontrolle über die Verwaltung von Geräten anzuwenden..
Um eine dynamische Regel zu verwenden, geben Sie eine Reihe von Kriterien basierend auf Gerätename, Domäne, Betriebssystemplattform und/oder Gerätetags an. Geräte, die die angegebenen Kriterien erfüllen, erhalten die Funktionen von Defender für Endpunkt Plan 1 oder Plan 2 gemäß Ihrer Regel.
Wenn Sie Ihre Kriterien definieren, können Sie die folgenden Bedingungsoperatoren verwenden:
-Equals/Not equals
-Starts with
-Contains/Does not contain
Für Gerätename können Sie Freihandformtext verwenden.
Wählen Sie unter Domäne eine Liste von Domänen aus.
Wählen Sie für Betriebssystemplattform aus einer Liste von Betriebssystemen aus.
Verwenden Sie für Tag die Freihandform-Textoption. Geben Sie den Tagwert ein, der den Geräten entspricht, die entweder Defender für Endpunkt Plan 1- oder Plan 2-Funktionen erhalten sollen. Weitere Informationen zum Gerätetagging finden Sie im Beispiel.Gerätetags sind in der Ansicht Gerätebestand und in den Defender für Endpunkt-APIs sichtbar.
Hinweis
Dynamisch hinzugefügte Defender für Endpunkt P1-Tags können derzeit nicht in der Ansicht Gerätebestand gefiltert werden.
Speichern Sie Ihre Regel, und warten Sie bis zu drei (3) Stunden, bis Tags angewendet werden. Fahren Sie dann mit Überprüfen fort, ob ein Gerät nur Defender für Endpunkt Plan 1-Funktionen empfängt.
Weitere Details zum Gerätetagging
Wie im Tech Community-Blog: How to use tagging effektiv beschrieben, bietet Device Tagging eine präzise Kontrolle über Geräte. Mit Gerätetags haben Sie folgende Möglichkeiten:
- Zeigen Sie bestimmte Geräte für einzelne Benutzer im Microsoft Defender-Portal an, damit nur die Geräte angezeigt werden, für die sie verantwortlich sind.
- Schließen Sie Geräte von bestimmten Sicherheitsrichtlinien ein oder aus ihnen aus.
- Bestimmen Sie, welche Geräte Defender für Endpunkt Plan 1 oder Plan 2-Funktionen erhalten sollen.
Angenommen, Sie möchten ein Tag namens VIP für alle Geräte verwenden, die Defender für Endpunkt Plan 2-Funktionen erhalten sollen. Gehen Sie folgendermaßen vor:
Erstellen Sie ein Gerätetag namens
VIP, und wenden Sie es auf alle Geräte an, die Defender für Endpunkt Plan 2-Funktionen erhalten sollen. Verwenden Sie eine der folgenden Methoden, um Ihr Gerätetag zu erstellen:- Fügen Sie Gerätetags über das Portal hinzu.
- Fügen Sie Gerätetags hinzu, indem Sie einen Registrierungsschlüsselwert festlegen.
- Hinzufügen oder Entfernen von Computertags mithilfe der Defender für Endpunkt-API.
- Fügen Sie Gerätetags hinzu, indem Sie ein benutzerdefiniertes Profil in Microsoft Intune erstellen.
Richten Sie mithilfe des Bedingungsoperators
Tag Does not contain VIPeine dynamische Regel ein. In diesem Fall erhalten alle Geräte, die nicht über dasVIPTag verfügen, dasLicense MDE P1Tag und die Funktionen von Defender für Endpunkt Plan 1.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Überprüfen, ob ein Gerät nur Defender für Endpunkt Plan 1-Funktionen empfängt
Nachdem Sie einigen oder allen Geräten Funktionen von Defender für Endpunkt Plan 1 zugewiesen haben, können Sie überprüfen, ob ein einzelnes Gerät diese Funktionen empfängt.
Navigieren Sie im Microsoft Defender-Portal (https://security.microsoft.com) zu Assets>Geräte.
Wählen Sie ein Gerät aus, das mit
License MDE P1gekennzeichnet ist. Sie sollten sehen, dass Defender für Endpunkt Plan 1 dem Gerät zugewiesen ist.
Hinweis
Geräten, denen Defender für Endpunkt Plan 1-Funktionen zugewiesen sind, sind keine Sicherheitsrisiken oder Sicherheitsempfehlungen aufgeführt.
Überprüfen der Lizenznutzung
Der Bericht zur Lizenznutzung wird basierend auf Anmeldeaktivitäten auf dem Gerät geschätzt. Defender für Endpunkt Plan 2-Lizenzen gelten pro Benutzer, und jeder Benutzer kann über bis zu fünf gleichzeitige, integrierte Geräte verfügen. Weitere Informationen zu Lizenzbedingungen finden Sie unter Microsoft-Lizenzierung.
Um den Verwaltungsaufwand zu reduzieren, ist keine Zuordnung und Zuweisung von Gerät zu Benutzer erforderlich. Stattdessen enthält der Lizenzbericht eine Nutzungsschätzung, die basierend auf der Gerätenutzung in Ihrer Organisation berechnet wird. Es kann bis zu einem Tag dauern, bis Ihr Nutzungsbericht die aktive Nutzung Ihrer Geräte widerspiegelt.
Wichtig
Um auf Lizenzinformationen zuzugreifen, muss Ihnen eine der folgenden Rollen in Microsoft Entra ID zugewiesen sein:
- Sicherheitsadministrator
- Lizenzadministrator und Defender für Endpunktadministrator
Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
Wählen Sie Einstellungen>Endpunkte>Lizenzen aus.
Überprüfen Sie Ihre verfügbaren und zugewiesenen Lizenzen. Die Berechnung basiert auf erkannten Benutzern, die auf Geräte zugegriffen haben, die in Defender für Endpunkt integriert sind.
Weitere Ressourcen
- Lizenz- und Produktbedingungen für Microsoft 365-Abonnements.
- So wenden Sie sich an den Support für Defender für Endpunkt.
- Erste Schritte mit Microsoft Security (Testangebote)
- Microsoft Defender für Endpunkt
- Microsoft Defender for Business (Endpunktschutz für kleine und mittlere Unternehmen)
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.