Teilen über


Verwalten von Microsoft Defender für Endpunkt-Abonnementeinstellungen auf Clientgeräten

In Defender für Endpunkt ist ein Szenario mit gemischter Lizenzierung eine Situation, in der eine Organisation eine Mischung aus Defender für Endpunkt Plan 1- und Plan 2-Lizenzen verwendet. In der folgenden Tabelle werden Beispiele für Szenarien mit gemischter Lizenzierung beschrieben:

Szenario Beschreibung
Gemischter Mandant Verwenden Sie verschiedene Gruppen von Funktionen für Gruppen von Benutzern und deren Geräte. Dazu gehören:
– Defender für Endpunkt Plan 1 und Defender für Endpunkt Plan 2
– Microsoft 365 E3 und Microsoft 365 E5
Gemischte Testversion Probieren Sie ein Premium-Abonnement für einige Benutzer aus. Dazu gehören:
– Defender für Endpunkt Plan 1 (für alle Benutzer erworben) und Defender für Endpunkt Plan 2 (für einige Benutzer wurde ein Testabonnement gestartet)
– Microsoft 365 E3 (für alle Benutzer erworben) und Microsoft 365 E5 (für einige Benutzer wurde ein Testabonnement gestartet)
Stufenweise Upgrades Aktualisieren Sie Benutzerlizenzen in Phasen. Dazu gehören:
– Verschieben von Benutzergruppen von Defender für Endpunkt Plan 1 zu Plan 2
– Verschieben von Benutzergruppen von Microsoft 365 E3 auf E5

Bis vor kurzem wurden Szenarien mit gemischter Lizenzierung nicht unterstützt. Bei mehreren Abonnements hat das abonnement mit der höchsten Funktionalität Vorrang für Ihren Mandanten. Jetzt können Sie Ihre Abonnementeinstellungen verwalten, um gemischte Lizenzierungsszenarien auf Clientgeräten zu berücksichtigen. Diese Funktionen ermöglichen Folgendes:

  • Legen Sie Ihren Mandanten auf den gemischten Modus fest, und markieren Sie Geräte , um zu bestimmen, welche Clientgeräte Features und Funktionen von jedem Plan erhalten (wir nennen diese Option gemischter Modus); ODER,
  • Verwenden Sie die Features und Funktionen aus einem Plan auf allen Ihren Clientgeräten.

Sie können auch einen neu hinzugefügten Lizenznutzungsbericht verwenden, um den Status nachzuverfolgen.

Hinweis

Wenn Sie Microsoft Defender for Business verwenden und zu Defender für Endpunkt Plan 2 wechseln möchten, lesen Sie Ändern Ihres Endpunktsicherheitsabonnements.

Legen Sie Ihren Mandanten auf den gemischten Modus fest, und markieren Sie Geräte

Wichtig

  • Einstellungen im gemischten Modus gelten nur für Clientendpunkte. Das Markieren von Servergeräten ändert ihren Abonnementstatus nicht. Alle Servergeräte, auf denen Windows Server oder Linux ausgeführt wird, sollten über entsprechende Lizenzen verfügen, z. B. Defender für Server. Weitere Informationen finden Sie unter Optionen für das Onboarding von Servern.
  • Befolgen Sie unbedingt die Verfahren in diesem Artikel, um Szenarien mit gemischten Lizenzen in Ihrer Umgebung auszuprobieren. Durch das Zuweisen von Benutzerlizenzen im Microsoft 365 Admin Center (https://admin.microsoft.com) wird Ihr Mandant nicht auf den gemischten Modus festgelegt.
  • Sie sollten über aktive Testversionen oder kostenpflichtige Lizenzen für Defender für Endpunkt Plan 1 und Plan 2 verfügen.
  • Um auf Lizenzinformationen zuzugreifen, muss Ihnen eine der folgenden Rollen in Microsoft Entra ID zugewiesen sein:
    • Sicherheitsadministrator
    • Lizenzadministrator und Defender für Endpunktadministrator
  1. Wechseln Sie als Administrator zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen>Endpunkte>Lizenzen. Ihr Nutzungsbericht wird geöffnet und zeigt Informationen zu den Defender für Endpunkt-Lizenzen Ihrer Organisation an.

  3. Wählen Sie unter Abonnementstatus die Option Abonnementeinstellungen verwalten aus.

    Hinweis

    Wenn Abonnementeinstellungen verwalten nicht angezeigt wird, gilt mindestens eine der folgenden Bedingungen:

    • Sie verfügen über Defender für Endpunkt Plan 1 oder Plan 2 (aber nicht beides). oder
    • Funktionen für gemischte Lizenzen wurden noch nicht für Ihren Mandanten eingeführt.
  4. Ein Flyout für Abonnementeinstellungen wird geöffnet. Wählen Sie die Option aus, um Defender für Endpunkt Plan 1 und Plan 2 zu verwenden. (Es treten keine Änderungen auf, bis Geräte gemäß dem nächsten Schritt gekennzeichnet sind.)

  5. Markieren Sie die Geräte, die funktionen von Defender für Endpunkt Plan 1 oder Plan 2 erhalten sollen. Sie können Ihre Geräte manuell oder mithilfe einer dynamischen Regel markieren. Weitere Informationen finden Sie unter Gerätetagging.

    Methode Details
    Geräte manuell markieren Wenn Sie Geräte manuell markieren möchten, erstellen Sie ein Tag namens , License MDE P1 und wenden Sie es auf Geräte an. Hilfe zu diesem Schritt finden Sie unter Erstellen und Verwalten von Gerätetags.

    Beachten Sie, dass Geräte, die mit dem Tag mit der License MDE P1Registrierungsschlüsselmethode gekennzeichnet sind, keine downgradeed-Funktionalität erhalten. Wenn Sie Geräte mit der Registrierungsschlüsselmethode markieren möchten, verwenden Sie anstelle der manuellen Kennzeichnung eine dynamische Regel.
    Geräte automatisch mit einer dynamischen Regel markieren Dynamische Regelfunktionen sind neu für Szenarien mit gemischten Lizenzen! Es ermöglicht Ihnen, eine dynamische und präzise Kontrolle über die Verwaltung von Geräten anzuwenden..

    Um eine dynamische Regel zu verwenden, geben Sie eine Reihe von Kriterien basierend auf Gerätename, Domäne, Betriebssystemplattform und/oder Gerätetags an. Geräte, die die angegebenen Kriterien erfüllen, erhalten die Funktionen von Defender für Endpunkt Plan 1 oder Plan 2 gemäß Ihrer Regel.

    Wenn Sie Ihre Kriterien definieren, können Sie die folgenden Bedingungsoperatoren verwenden:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    Für Gerätename können Sie Freihandformtext verwenden.

    Wählen Sie unter Domäne eine Liste von Domänen aus.

    Wählen Sie für Betriebssystemplattform aus einer Liste von Betriebssystemen aus.

    Verwenden Sie für Tag die Freihandform-Textoption. Geben Sie den Tagwert ein, der den Geräten entspricht, die entweder Defender für Endpunkt Plan 1- oder Plan 2-Funktionen erhalten sollen. Weitere Informationen zum Gerätetagging finden Sie im Beispiel.

    Gerätetags sind in der Ansicht Gerätebestand und in den Defender für Endpunkt-APIs sichtbar.

    Hinweis

    Dynamisch hinzugefügte Defender für Endpunkt P1-Tags können derzeit nicht in der Ansicht Gerätebestand gefiltert werden.

  6. Speichern Sie Ihre Regel, und warten Sie bis zu drei (3) Stunden, bis Tags angewendet werden. Fahren Sie dann mit Überprüfen fort, ob ein Gerät nur Defender für Endpunkt Plan 1-Funktionen empfängt.

Weitere Details zum Gerätetagging

Wie im Tech Community-Blog: How to use tagging effektiv beschrieben, bietet Device Tagging eine präzise Kontrolle über Geräte. Mit Gerätetags haben Sie folgende Möglichkeiten:

  • Zeigen Sie bestimmte Geräte für einzelne Benutzer im Microsoft Defender-Portal an, damit nur die Geräte angezeigt werden, für die sie verantwortlich sind.
  • Schließen Sie Geräte von bestimmten Sicherheitsrichtlinien ein oder aus ihnen aus.
  • Bestimmen Sie, welche Geräte Defender für Endpunkt Plan 1 oder Plan 2-Funktionen erhalten sollen.

Angenommen, Sie möchten ein Tag namens VIP für alle Geräte verwenden, die Defender für Endpunkt Plan 2-Funktionen erhalten sollen. Gehen Sie folgendermaßen vor:

  1. Erstellen Sie ein Gerätetag namens VIP, und wenden Sie es auf alle Geräte an, die Defender für Endpunkt Plan 2-Funktionen erhalten sollen. Verwenden Sie eine der folgenden Methoden, um Ihr Gerätetag zu erstellen:

  2. Richten Sie mithilfe des Bedingungsoperators Tag Does not contain VIPeine dynamische Regel ein. In diesem Fall erhalten alle Geräte, die nicht über das VIP Tag verfügen, das License MDE P1 Tag und die Funktionen von Defender für Endpunkt Plan 1.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Überprüfen, ob ein Gerät nur Defender für Endpunkt Plan 1-Funktionen empfängt

Nachdem Sie einigen oder allen Geräten Funktionen von Defender für Endpunkt Plan 1 zugewiesen haben, können Sie überprüfen, ob ein einzelnes Gerät diese Funktionen empfängt.

  1. Navigieren Sie im Microsoft Defender-Portal (https://security.microsoft.com) zu Assets>Geräte.

  2. Wählen Sie ein Gerät aus, das mit License MDE P1gekennzeichnet ist. Sie sollten sehen, dass Defender für Endpunkt Plan 1 dem Gerät zugewiesen ist.

Hinweis

Geräten, denen Defender für Endpunkt Plan 1-Funktionen zugewiesen sind, sind keine Sicherheitsrisiken oder Sicherheitsempfehlungen aufgeführt.

Überprüfen der Lizenznutzung

Der Bericht zur Lizenznutzung wird basierend auf Anmeldeaktivitäten auf dem Gerät geschätzt. Defender für Endpunkt Plan 2-Lizenzen gelten pro Benutzer, und jeder Benutzer kann über bis zu fünf gleichzeitige, integrierte Geräte verfügen. Weitere Informationen zu Lizenzbedingungen finden Sie unter Microsoft-Lizenzierung.

Um den Verwaltungsaufwand zu reduzieren, ist keine Zuordnung und Zuweisung von Gerät zu Benutzer erforderlich. Stattdessen enthält der Lizenzbericht eine Nutzungsschätzung, die basierend auf der Gerätenutzung in Ihrer Organisation berechnet wird. Es kann bis zu einem Tag dauern, bis Ihr Nutzungsbericht die aktive Nutzung Ihrer Geräte widerspiegelt.

Wichtig

Um auf Lizenzinformationen zuzugreifen, muss Ihnen eine der folgenden Rollen in Microsoft Entra ID zugewiesen sein:

  • Sicherheitsadministrator
  • Lizenzadministrator und Defender für Endpunktadministrator
  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wählen Sie Einstellungen>Endpunkte>Lizenzen aus.

  3. Überprüfen Sie Ihre verfügbaren und zugewiesenen Lizenzen. Die Berechnung basiert auf erkannten Benutzern, die auf Geräte zugegriffen haben, die in Defender für Endpunkt integriert sind.

Weitere Ressourcen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.