Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender for Cloud ermöglicht Ihnen das direkte Onboarding Ihrer Nicht-Azure-Server durchzuführen, indem Sie den Defender for Endpoint-Agent bereitstellen. Dies bietet sowohl für Ihre Cloud- als auch für Ihre Nicht-Cloud-Ressourcen Schutz im Rahmen eines einzigen und einheitlichen Angebots.
Hinweis
Informationen zum Verbinden Ihrer Nicht-Azure-Computer über Azure Arc finden Sie unter Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud mit Azure Arc.
Mit dieser Einstellung auf Mandantenebene können Sie automatisch und nativ das Onboarding aller Nicht-Azure-Server in Defender for Cloud durchführen, auf denen Defender for Endpoint ausgeführt wird, ohne zusätzliche Agents bereitstellen zu müssen. Dieser Weg des Onboardings ist ideal für Kunden mit gemischtem und hybridem Serverbestand, die den Serverschutz unter dem Dach von Defender for Servers konsolidieren möchten.
Verfügbarkeit
| Aspekt | Einzelheiten |
|---|---|
| Freigabestatus | Allgemein verfügbar |
| Unterstützte Betriebssysteme | Alle Windows - und LinuxServer-Betriebssysteme , die von Defender für Endpunkt unterstützt werden |
| Erforderliche Rollen und Berechtigungen | Um diese Einstellung zu verwalten, benötigen Sie abonnementbesitzer (im ausgewählten Abonnement) und Microsoft Entra Security Administrator oder höhere Berechtigungen für den Mandanten. |
| Umgebungen | Lokale Server Multicloud-VMs – eingeschränkte Unterstützung (siehe Abschnitt Einschränkungen) |
| Unterstützte Pläne | Defender for Servers P1 Defender for Servers P2 – eingeschränkte Features (siehe Abschnitt Einschränkungen) |
Funktionsweise
Das direkte Onboarding ist eine nahtlose Integration zwischen Defender für Endpunkt und Defender für Cloud, die keine zusätzliche Softwarebereitstellung auf Ihren Servern erfordert. Nach der Aktivierung werden auch Ihre Nicht-Azure-Servergeräte angezeigt, die mithilfe von Defender for Endpoint in Defender for Cloud integriert worden sind. Sie sind in einem eigenen Azure-Abonnement zu finden, das Sie konfigurieren (zusätzlich zu ihrer regulären Darstellung im Microsoft Defender-Portal). Das Azure-Abonnement wird für Lizenzierung, Abrechnung, Benachrichtigungen und Erkenntnisse zur Sicherheit verwendet, bietet aber keine Serververwaltungsfunktionen wie Azure Policy, Erweiterungen oder Gastkonfigurationen.
Sie müssen zusätzliche Tools verwenden, um Serversicherheitseinstellungen zu verwalten, z. B. Antivirenrichtlinien, Regeln zur Verringerung der Angriffsfläche und Sicherheitsupdates. Sie haben mehrere Möglichkeiten, diese Einstellungen für Windows-Server und Linux-Server zu verwalten:
Windows Server:
Linux-Server:
Aktivieren des direkten Onboardings
Das Aktivieren des direkten Onboardings ist eine Abonnementeinstellung auf Mandantenebene. Sie wirkt sich sowohl auf vorhandene als auch auf neue Server aus, für die das Onboarding in Defender für Endpunkt im selben Microsoft Entra-Mandanten durchgeführt wird. Kurz nachdem Sie diese Einstellung aktiviert haben, werden Ihre Servergeräte unter dem vorgesehenen Abonnement angezeigt. Warnungen, Softwareinventar- und Sicherheitsrisikodaten werden in Defender for Cloud auf ähnliche Weise wie mit Azure-VMs integriert.
Bevor Sie beginnen:
- Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen.
- Wenn Sie über eine Lizenz für Microsoft Defender für Endpunkt für Server auf Ihrem Mandanten verfügen, stellen Sie sicher, dass Sie sie in Defender für Cloud angeben.
- Überprüfen des Abschnitts "Einschränkungen"
Aktivieren im Defender for Cloud-Portal
Wechseln Sie zu Defender for Cloud>Environment Settings>Direct Onboarding.
Schalten Sie die Umschaltfläche Direktes Onboarding auf Ein um.
Wählen Sie das Abonnement aus, das Sie für die Server verwenden möchten, für die das Onboarding direkt in Defender for Endpoint durchgeführt wurde.
Wählen Sie "Speichern" aus.
Sie haben nun das direkte Onboarding für Ihren Mandanten erfolgreich aktiviert. Nachdem Sie diese Einstellung zum ersten Mal aktiviert haben, kann es bis zu 24 Stunden dauern, bis Ihre Nicht-Azure-Server in Ihrem bezeichneten Abonnement angezeigt werden.
Bereitstellen von Defender for Endpoint auf Ihren Servern
Die Bereitstellung des Defender for Endpoint-Agents auf Ihren lokalen Windows- und Linux-Servern funktioniert unabhängig davon, ob Sie das direkte Onboarding verwenden oder nicht, identisch. Weitere Informationen finden Sie unter Onboarding von Servern in Defender for Endpoint.
Aktuelle Einschränkungen
Unterstützung des Plans: Das direkte Onboarding bietet Zugriff auf alle Features von Defender for Servers Plans 1. Bestimmte Features in Defender für Server Plan 2 erfordern jedoch weiterhin die Bereitstellung des Azure Monitor-Agents, der nur mit Azure Arc auf Nicht-Azure-Computern verfügbar ist. Wenn Sie Defender für Server Plan 2 für Ihr angegebenes Abonnement aktivieren, haben Server, die direkt mit Defender für Endpunkt integriert sind, Zugriff auf alle Features von Defender für Server Plan 1 und die in Plan 2 enthaltenen Features des Defender-Sicherheitsrisikoverwaltungs-Add-Ons .
Multi-Cloud-Unterstützung: Sie können virtuelle Computer direkt in AWS und GCP integrieren, indem Sie den Defender für Endpunkt-Agent verwenden. Wenn Sie ihr AWS- oder GCP-Konto jedoch gleichzeitig über Multi-Cloud-Connectors mit Defender for Servers verbinden möchten, empfiehlt es sich derzeit weiterhin, Azure Arc bereitzustellen.
Eingeschränkte Unterstützung für gleichzeitiges Onboarding: Für Server, die gleichzeitig mit mehreren Methoden onboarded wurden (z. B. direktes Onboarding in Kombination mit Log Analytics-arbeitsbereichsbasiertem Onboarding), versucht Defender für Cloud, diese mit einer einzelnen Gerätedarstellung zu korrelieren. Geräte, die ältere Versionen von Defender für Endpunkt verwenden, können jedoch bestimmte Einschränkungen aufweisen. In einigen Fällen kann dies zu Übergebühren führen. Wir empfehlen in der Regel die Verwendung der neuesten Agent-Version. Stellen Sie insbesondere für diese Einschränkung sicher, dass Ihre Defender für Endpunkt-Agent-Versionen diese Mindestversionen erfüllen oder überschreiten:
Betriebssystem Agent-Mindestversion Windows Server 2019 und höher 10.8555 Windows Server 2016 oder Windows 2012 R2
(moderne, einheitliche Lösung)10.8560 Linux-Server 30.101.23052.009 Linux (AMD64) 30.101.23052.009 Linux (ARM64) 30.101.25022.004
Nächste Schritte
In diesem Artikel wird beschrieben, wie Sie Ihre Nicht-Azure-Server zu Microsoft Defender für Cloud hinzufügen. Um ihren Status zu überwachen, verwenden Sie die Bestandstools, wie im folgenden Artikel erläutert: