Freigeben über


Integrieren von Geräten in Microsoft Defender for Business

In diesem Artikel wird beschrieben, wie Sie Das Onboarding von Geräten in Defender for Business durchführen.

Visual, das Schritt 5 – Onboarding von Geräten in Defender for Business darstellt.

Integrieren Sie Ihre Geschäftsgeräte, um sie sofort zu schützen. Sie können aus mehreren Optionen wählen, um die Geräte Ihres Unternehmens zu integrieren. Dieser Artikel führt Sie durch Ihre Optionen und beschreibt, wie das Onboarding funktioniert.

Vorgehensweise

  1. Wählen Sie eine Registerkarte aus:
    • Windows 10 und 11
    • Mac
    • Mobil (neue Funktionen sind für iOS- und Android-Geräte verfügbar!)
    • Server (Windows Server oder Linux Server)
  2. Zeigen Sie Ihre Onboardingoptionen an, und folgen Sie den Anweisungen auf der ausgewählten Registerkarte.
  3. Zeigen Sie eine Liste der integrierten Geräte an.
  4. Führen Sie einen Phishingtest auf einem Gerät aus.
  5. Fahren Sie mit den nächsten Schritten fort.

Windows 10 und 11

Hinweis

Auf Windows-Geräten muss eines der folgenden Betriebssysteme ausgeführt werden:

  • Windows 10 oder 11 Business
  • Windows 10 oder 11 Professional
  • Windows 10 oder 11 Enterprise

Weitere Informationen finden Sie unter Microsoft Defender for Business-Anforderungen.

Wählen Sie eine der folgenden Optionen aus, um Windows-Clientgeräte in Defender for Business zu integrieren:

Lokales Skript für Windows 10 und 11

Sie können ein lokales Skript verwenden, um Windows-Clientgeräte zu integrieren. Wenn Sie das Onboardingskript auf einem Gerät ausführen, erstellt es eine Vertrauensstellung mit der Microsoft Entra-ID (sofern diese Vertrauensstellung noch nicht vorhanden ist), registriert das Gerät in Microsoft Intune (sofern es noch nicht registriert ist) und führt dann das Onboarding des Geräts in Defender for Business durch. Wenn Sie derzeit nicht Intune verwenden, ist die lokale Skriptmethode die empfohlene Onboardingmethode für Defender for Business-Kunden.

Tipp

Es wird empfohlen, bis zu 10 Geräte gleichzeitig zu integrieren, wenn Sie die lokale Skriptmethode verwenden.

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wählen Sie im Navigationsbereich Einstellungen>Endpoints aus, und wählen Sie dann unter "Geräteverwaltung" die Option "Onboarding" aus.

  3. Wählen Sie Windows 10 und 11 aus.

  4. Wählen Sie unter Konnektivitätstyp die Option Optimiert aus.

  5. Wählen Sie im Abschnitt Bereitstellungsmethodedie Option Lokales Skript und dann Onboardingpaket herunterladen aus. Es wird empfohlen, das Onboardingpaket auf einem Wechseldatenträger zu speichern.

  6. Extrahieren Sie auf einem Windows-Gerät den Inhalt des Konfigurationspakets an einen Speicherort, z. B. den Ordner Desktop. Sie sollten über eine Datei namens verfügen WindowsDefenderATPLocalOnboardingScript.cmd.

  7. Öffnen Sie eine Eingabeaufforderung als Administrator.

  8. Geben Sie den Speicherort der Skriptdatei ein. Wenn Sie die Datei beispielsweise in den Ordner Desktop kopiert haben, geben Sie ein %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd, und drücken Sie dann die EINGABETASTE (oder klicken Sie auf OK).

  9. Führen Sie nach der Ausführung des Skripts einen Erkennungstest aus.

Gruppenrichtlinie für Windows 10 und Windows 11

Wenn Sie das Onboarding von Windows-Clients mithilfe von Gruppenrichtlinien bevorzugen, befolgen Sie die Anleitung unter Onboarding von Windows-Geräten mithilfe von Gruppenrichtlinien. In diesem Artikel werden die Schritte für das Onboarding in Microsoft Defender für Endpunkt beschrieben. Die Schritte für das Onboarding in Defender for Business sind ähnlich.

Intune für Windows 10 und Windows 11

Sie können Das Onboarding von Windows-Clients und anderen Geräten in Intune mithilfe des Intune Admin Centers (https://intune.microsoft.com) durchführen. Es stehen mehrere Methoden zum Registrieren von Geräten in Intune zur Verfügung. Es wird empfohlen, eine der folgenden Methoden zu verwenden:

Aktivieren der automatischen Registrierung für Windows 10 und Windows 11

Wenn Sie die automatische Registrierung einrichten, fügen Benutzer ihrem Gerät ihr Geschäftskonto hinzu. Im Hintergrund registriert und verknüpft das Gerät die Microsoft Entra-ID und ist bei Intune registriert.

  1. Wechseln Sie zum Azure-Portal (https://portal.azure.com/), und melden Sie sich an.

  2. Wählen Sie Microsoft Entra ID Mobility>(MDM und MAM)>Microsoft Intune aus.

  3. Konfigurieren Sie den MDM-Benutzerbereich und den MAM-Benutzerbereich.

    Screenshot: Festlegen des MDM-Benutzerbereichs und des MAM-Benutzerbereichs in Intune

    • Für MDM-Benutzerbereich empfiehlt es sich, Alle auszuwählen, damit alle Benutzer ihre Windows-Geräte automatisch registrieren können.

    • Im Abschnitt MAM-Benutzerbereich empfehlen wir die folgenden Standardwerte für die URLs:

      • URL für MDM-Nutzungsbedingungen
      • URL für MDM-Ermittlung
      • MDM Compliance-URL
  4. Klicken Sie auf Speichern.

  5. Nachdem ein Gerät bei Intune registriert wurde, können Sie es einer Gerätegruppe in Defender for Business hinzufügen. Erfahren Sie mehr über Gerätegruppen in Defender for Business.

Tipp

Weitere Informationen finden Sie unter Aktivieren der automatischen Windows-Registrierung.

Benutzer auffordern, ihre Windows 10- und 11-Geräte zu registrieren

  1. Sehen Sie sich das folgende Video an, um zu sehen, wie die Registrierung funktioniert:

  2. Teilen Sie diesen Artikel mit Benutzern in Ihrer Organisation: Registrieren von Windows 10/11-Geräten in Intune.

  3. Nachdem ein Gerät bei Intune registriert wurde, können Sie es einer Gerätegruppe in Defender for Business hinzufügen. Erfahren Sie mehr über Gerätegruppen in Defender for Business.

Ausführen eines Erkennungstests auf einem Windows 10- oder 11-Gerät

Nachdem Sie Windows-Geräte in Defender for Business integriert haben, können Sie einen Erkennungstest auf dem Gerät ausführen, um sicherzustellen, dass alles ordnungsgemäß funktioniert.

  1. Erstellen Sie auf dem Windows Gerät einen Ordner: C:\test-MDATP-test.

  2. Öffnen Sie die Eingabeaufforderung als Administrator, und führen Sie dann den folgenden Befehl aus:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

Nachdem der Befehl ausgeführt wurde, wird das Eingabeaufforderungsfenster automatisch geschlossen. Bei erfolgreicher Ausführung wird der Erkennungstest als abgeschlossen markiert, und innerhalb von etwa 10 Minuten wird im Microsoft Defender-Portal (https://security.microsoft.com) eine neue Warnung für das neu integrierte Gerät angezeigt.

Anzeigen einer Liste der integrierten Geräte

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Navigieren Sie im Navigationsbereich zu Bestand>Geräte. Die Ansicht Gerätebestand wird geöffnet.

Ausführen eines Phishingtests auf einem Gerät

Nachdem Sie ein Gerät integriert haben, können Sie einen schnellen Phishing-Test ausführen, um sicherzustellen, dass das Gerät verbunden ist und Warnungen wie erwartet generiert werden.

  1. Wechseln Sie auf einem Gerät zu https://smartscreentestratings2.net. Defender for Business sollte diese URL auf dem Gerät des Benutzers blockieren.

  2. Wechseln Sie als Mitglied des Sicherheitsteams Ihrer Organisation zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  3. Navigieren Sie im Navigationsbereich zu Incidents. Es sollte eine Informationswarnung angezeigt werden, die angibt, dass ein Gerät versucht hat, auf eine Phishingwebsite zuzugreifen.

Nächste Schritte