Freigeben über


Onboarding mit Microsoft Configuration Manager

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Dieser Artikel dient als Beispiel für eine Onboardingmethode.

Im Artikel Planung wurden mehrere Methoden zum Integrieren von Geräten in den Dienst bereitgestellt. In diesem Artikel wird die Co-Verwaltungsarchitektur behandelt.

Die cloudnative Architektur Diagramm der Umgebungsarchitekturen

Defender für Endpunkt unterstützt zwar das Onboarding verschiedener Endpunkte und Tools, diese werden in diesem Artikel jedoch nicht behandelt. Informationen zum allgemeinen Onboarding mit anderen unterstützten Bereitstellungstools und -methoden finden Sie unter Übersicht über das Onboarding.

In diesem Artikel werden Benutzer in folgenden Artikeln geführt:

  • Schritt 1: Onboarding von Windows-Geräten in den Dienst
  • Schritt 2: Konfigurieren von Defender für Endpunkt-Funktionen

Dieser Onboardingleitfaden führt Sie durch die folgenden grundlegenden Schritte, die Sie bei der Verwendung von Microsoft Configuration Manager ausführen müssen:

  • Erstellen einer Sammlung in Microsoft Configuration Manager
  • Konfigurieren von Microsoft Defender für Endpunkt-Funktionen mit Microsoft Configuration Manager

Hinweis

In dieser Beispielbereitstellung werden nur Windows-Geräte behandelt.

Schritt 1: Onboarding von Windows-Geräten mit Microsoft Configuration Manager

Sammlungserstellung

Um Windows-Geräte mit Microsoft Configuration Manager zu integrieren, kann die Bereitstellung auf eine vorhandene Sammlung abzielen oder eine neue Sammlung zu Testzwecken erstellt werden.

Beim Onboarding mithilfe von Tools wie Gruppenrichtlinien oder manuellen Methoden wird kein Agent auf dem System installiert.

Innerhalb von Microsoft Configuration Manager wird der Onboardingprozess als Teil der Konformitätseinstellungen in der Konsole konfiguriert.

Jedes System, das diese erforderliche Konfiguration empfängt, behält diese Konfiguration so lange bei, wie der Configuration Manager-Client diese Richtlinie weiterhin vom Verwaltungspunkt empfängt.

Führen Sie die folgenden Schritte aus, um das Onboarding von Endpunkten mithilfe von Microsoft Configuration Manager durchzuführen.

  1. Navigieren Sie in der Microsoft Configuration Manager-Konsole zu Bestand und Compliance > Übersicht Gerätesammlungen>.

    Der Microsoft Configuration Manager-Assistent1

  2. Wählen Sie mit der rechten Maustaste Gerätesammlung und dann Gerätesammlung erstellen aus.

    Der Microsoft Configuration Manager-Assistent2

  3. Geben Sie einen Namen und eine einschränkende Sammlung an, und wählen Sie dann Weiter aus.

    Der Microsoft Configuration Manager-Assistent3

  4. Wählen Sie Regel hinzufügen und dann Abfrageregel aus.

    Der Microsoft Configuration Manager-Assistent4

  5. Wählen Sie im Assistenten für direkte Mitgliedschaften die Option Weiter und dann Abfrageanweisung bearbeiten aus.

    Der Microsoft Configuration Manager-Assistent5

  6. Wählen Sie Kriterien und dann das Sternsymbol aus.

    Der Microsoft Configuration Manager-Assistent6

  7. Behalten Sie den Kriteriumtyp als einfachen Wert bei, wählen Sie hingegen Betriebssystem - Buildnummer, Operator als größer oder gleich und Wert 14393 aus, und wählen Sie OK aus.

    Der Microsoft Configuration Manager-Assistent7

  8. Wählen Sie Weiter und Schließen aus.

    Der Microsoft Configuration Manager-Assistent8

  9. Wählen Sie Weiter aus.

    Der Microsoft Configuration Manager-Assistent9

Nach Abschluss dieser Aufgabe verfügen Sie nun über eine Gerätesammlung mit allen Windows-Endpunkten in der Umgebung.

Schritt 2: Konfigurieren der Funktionen von Microsoft Defender für Endpunkt

In diesem Abschnitt erfahren Sie, wie Sie die folgenden Funktionen mithilfe von Microsoft Configuration Manager auf Windows-Geräten konfigurieren:

Endpunkterkennung und -reaktion

Windows 10 und Windows 11

Über das Microsoft Defender-Portal können Sie die Richtlinie herunterladen, die .onboarding zum Erstellen der Richtlinie in System Center Configuration Manager und zum Bereitstellen dieser Richtlinie auf Windows 10- und Windows 11-Geräten verwendet werden kann.

  1. Wählen Sie in einem Microsoft Defender-PortalEinstellungen und dann Onboarding aus.

  2. Wählen Sie unter Bereitstellungsmethode die unterstützte Version von Microsoft Configuration Manager aus.

    Der Microsoft Configuration Manager-Assistent10

  3. Wählen Sie Paket herunterladen aus.

    Der Microsoft Configuration Manager-Assistent11

  4. Speichern Sie das Paket an einem zugänglichen Speicherort.

  5. Navigieren Sie in Microsoft Configuration Manager zu: Ressourcen und Compliance > Übersicht > Endpoint Protection > Microsoft Defender ATP-Richtlinien.

  6. Klicken Sie mit der rechten Maustaste auf Microsoft Defender ATP-Richtlinien , und wählen Sie Microsoft Defender ATP-Richtlinie erstellen aus.

    Der Microsoft Configuration Manager-Assistent12

  7. Geben Sie den Namen und die Beschreibung ein, vergewissern Sie sich, dass Onboarding ausgewählt ist, und wählen Sie dann Weiter aus.

    Der Microsoft Configuration Manager-Assistent13

  8. Wählen Sie Durchsuchen aus.

  9. Navigieren Sie zum Speicherort der heruntergeladenen Datei aus Schritt 4 oben.

  10. Wählen Sie Weiter aus.

  11. Konfigurieren Sie den Agent mit den entsprechenden Beispielen (Keine oder Alle Dateitypen).

    Die Konfigurationseinstellungen1

  12. Wählen Sie die entsprechenden Telemetriedaten (Normal oder Beschleunigt) aus, und wählen Sie dann Weiter aus.

    Die Konfigurationseinstellungen2

  13. Überprüfen Sie die Konfiguration, und wählen Sie dann Weiter aus.

    Die Konfigurationseinstellungen3

  14. Wählen Sie Schließen aus, wenn der Assistent abgeschlossen ist.

  15. Klicken Sie in der Microsoft Configuration Manager-Konsole mit der rechten Maustaste auf die erstellte Defender für Endpunkt-Richtlinie, und wählen Sie Bereitstellen aus.

    Die Konfigurationseinstellungen4

  16. Wählen Sie im rechten Bereich die zuvor erstellte Sammlung und dann OK aus.

    Die Konfigurationseinstellungen5

Frühere Versionen des Windows-Clients (Windows 7 und Windows 8.1)

Führen Sie die folgenden Schritte aus, um die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel von Defender für Endpunkt zu identifizieren, die für das Onboarding früherer Versionen von Windows erforderlich sind.

  1. Wählen Sie in einem Microsoft Defender-PortalEinstellungen>Endpunkte>Onboarding (unter Geräteverwaltung) aus.

  2. Wählen Sie unter Betriebssystem die Option Windows 7 SP1 und 8.1 aus.

  3. Kopieren Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel , und speichern Sie sie. Sie werden später im Prozess verwendet.

    Der Onboarding-Prozess

  4. Installieren Sie Microsoft Monitoring Agent (MMA).

    MMA wird derzeit (stand Januar 2019) unter den folgenden Windows-Betriebssystemen unterstützt:

    • Server-SKUs: Windows Server 2008 SP1 oder höher
    • Client-SKUs: Windows 7 SP1 und höher

    Der MMA-Agent muss auf Windows-Geräten installiert werden. Um den Agent zu installieren, müssen einige Systeme das Update für die Kundenerfahrung und Diagnosetelemetrie herunterladen, um die Daten mit MMA zu sammeln. Diese Systemversionen umfassen, dürfen aber nicht darauf beschränkt sein:

    • Windows 8.1
    • Windows 7
    • Windows Server 2016
    • Windows Server 2012 R2
    • Windows Server 2008 R2

    Insbesondere für Windows 7 SP1 müssen die folgenden Patches installiert werden:

  5. Wenn Sie einen Proxy verwenden, um eine Verbindung mit dem Internet herzustellen, lesen Sie den Abschnitt Konfigurieren von Proxyeinstellungen.

Nach Abschluss des Vorgangs sollten innerhalb einer Stunde integrierte Endpunkte im Portal angezeigt werden.

Schutz der nächsten Generation

Microsoft Defender Antivirus ist eine integrierte Antischadsoftware-Lösung, die Schutz der nächsten Generation für Desktops, tragbare Computer und Server bietet.

  1. Navigieren Sie in der Microsoft Configuration Manager-Konsole zu Bestand und Compliance > Übersicht Endpoint > Protection > Antimalware-Richtlinien , und wählen Sie Antischadsoftwarerichtlinie erstellen aus.

    Die Richtlinie für Antischadsoftware

  2. Wählen Sie Geplante Überprüfungen, Scaneinstellungen, Standardaktionen, Echtzeitschutz, Ausschlusseinstellungen, Erweitert, Bedrohungsüberschreibungen, Cloud Protection Service und Security Intelligence-Updates aus, und wählen Sie OK aus.

    Schutzbereich der nächsten Generation1

    In bestimmten Branchen oder einigen ausgewählten Unternehmenskunden müssen möglicherweise bestimmte Anforderungen an die Konfiguration von Antivirus bestehen.

    Schnellüberprüfung im Vergleich zu vollständiger Überprüfung und benutzerdefinierter Überprüfung

    Weitere Informationen finden Sie unter Windows-Sicherheitskonfigurationsframework.

    Schutzbereich der nächsten Generation2

    Schutzbereich der nächsten Generation3

    Schutzbereich der nächsten Generation4

    Schutzbereich der nächsten Generation5

    Schutzbereich der nächsten Generation6

    Schutzbereich der nächsten Generation7

    Schutzbereich der nächsten Generation8

    Schutzbereich der nächsten Generation9

  3. Klicken Sie mit der rechten Maustaste auf die neu erstellte Antischadsoftwarerichtlinie, und wählen Sie Bereitstellen aus.

    Schutzbereich der nächsten Generation10

  4. Richten Sie die neue Antischadsoftwarerichtlinie auf Ihre Windows-Sammlung aus, und wählen Sie OK aus.

    Schutzbereich der nächsten Generation11

Nachdem Sie diese Aufgabe abgeschlossen haben, haben Sie Microsoft Defender Antivirus erfolgreich konfiguriert.

Verringerung der Angriffsfläche

Die Säule zur Verringerung der Angriffsfläche von Defender für Endpunkt enthält den Featuresatz, der unter Exploit Guard verfügbar ist. Regeln zur Verringerung der Angriffsfläche, kontrollierter Ordnerzugriff, Netzwerkschutz und Exploit-Schutz.

Alle diese Features bieten einen Testmodus und einen Blockmodus. Im Testmodus gibt es keine Auswirkungen für Endbenutzer. Alles, was sie tut, ist, andere Telemetriedaten zu sammeln und im Microsoft Defender-Portal verfügbar zu machen. Das Ziel einer Bereitstellung besteht darin, Sicherheitskontrollen schrittweise in den Blockmodus zu verschieben.

So legen Sie Regeln zur Verringerung der Angriffsfläche im Testmodus fest:

  1. Navigieren Sie in der Microsoft Configuration Manager-Konsole zu Bestand und Compliance > Übersicht > Endpoint Protection > Windows Defender Exploit Guard , und wählen Sie Exploit Guard-Richtlinie erstellen aus.

    Die Microsoft Configuration Manager-Konsole0

  2. Wählen Sie Verringerung der Angriffsfläche aus.

  3. Legen Sie Regeln auf Überwachen fest, und wählen Sie Weiter aus.

    Die Microsoft Configuration Manager-Konsole1

  4. Bestätigen Sie die neue Exploit Guard-Richtlinie, indem Sie Weiter auswählen.

    Die Microsoft Configuration Manager-Konsole2

  5. Nachdem die Richtlinie erstellt wurde, wählen Sie Schließen aus.

    Die Microsoft Configuration Manager-Konsole3

  6. Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie, und wählen Sie Bereitstellen aus.

    Die Microsoft Configuration Manager-Konsole4

  7. Richten Sie die Richtlinie auf die neu erstellte Windows-Sammlung aus, und wählen Sie OK aus.

    Die Microsoft Configuration Manager-Konsole5

Nach Abschluss dieser Aufgabe haben Sie nun erfolgreich Regeln zur Verringerung der Angriffsfläche im Testmodus konfiguriert.

Im Folgenden finden Sie weitere Schritte, um zu überprüfen, ob Regeln zur Verringerung der Angriffsfläche ordnungsgemäß auf Endpunkte angewendet werden. (Dies kann einige Minuten dauern)

  1. Wechseln Sie in einem Webbrowser zu Microsoft Defender XDR.

  2. Wählen Sie im Menü auf der linken Seite Konfigurationsverwaltung aus.

  3. Wählen Sie im Bereich Angriffsflächenverwaltung die Option Zur Verwaltung der Angriffsfläche wechseln aus.

    Die Verwaltung der Angriffsfläche

  4. Wählen Sie in Berichten zu Regeln zur Verringerung der Angriffsfläche die Registerkarte Konfiguration aus. Es zeigt eine Übersicht über die Konfiguration von Regeln zur Verringerung der Angriffsfläche und den Status der Regeln zur Verringerung der Angriffsfläche auf jedem Gerät.

    Berichte zu den Regeln zur Verringerung der Angriffsfläche1

  5. Jedes Gerät auswählen zeigt Konfigurationsdetails der Regeln zur Verringerung der Angriffsfläche an.

    Berichte zu den Regeln zur Verringerung der Angriffsfläche2

Weitere Informationen finden Sie unter Optimieren der Bereitstellung und Erkennung von Regel zur Verringerung der Angriffsfläche .

Festlegen von Netzwerkschutzregeln im Testmodus

  1. Navigieren Sie in der Microsoft Configuration Manager-Konsole zu Bestand und Compliance > Übersicht > Endpoint Protection > Windows Defender Exploit Guard , und wählen Sie Exploit Guard-Richtlinie erstellen aus.

    The System Center Configuration Manager1

  2. Wählen Sie Netzwerkschutz aus.

  3. Legen Sie die Einstellung auf Überwachen fest, und wählen Sie Weiter aus.

    The System Center Configuration Manager2

  4. Bestätigen Sie die neue Exploit Guard-Richtlinie, indem Sie Weiter auswählen.

    Exploit Guard-Richtlinie1

  5. Nachdem die Richtlinie erstellt wurde, wählen Sie Schließen aus.

    Exploit Guard-Richtlinie2

  6. Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie, und wählen Sie Bereitstellen aus.

    The Microsoft Configuration Manager-1

  7. Wählen Sie die Richtlinie für die neu erstellte Windows-Sammlung aus, und klicken Sie auf OK.

    The Microsoft Configuration Manager-2

Nachdem Sie diese Aufgabe abgeschlossen haben, haben Sie den Netzwerkschutz erfolgreich im Testmodus konfiguriert.

So legen Sie Regeln für den kontrollierten Ordnerzugriff im Testmodus fest

  1. Navigieren Sie in der Microsoft Configuration Manager-Konsole zu Bestand und Compliance>Übersicht Endpoint>Protection>Windows Defender Exploit Guard , und wählen Sie dann Exploit Guard-Richtlinie erstellen aus.

    The Microsoft Configuration Manager-3

  2. Wählen Sie Kontrollierter Ordnerzugriff aus.

  3. Legen Sie die Konfiguration auf Überwachen fest, und wählen Sie Weiter aus.

    The Microsoft Configuration Manager-4

  4. Bestätigen Sie die neue Exploit Guard-Richtlinie, indem Sie Weiter auswählen.

    The Microsoft Configuration Manager-5

  5. Nachdem die Richtlinie erstellt wurde, wählen Sie Schließen aus.

    The Microsoft Configuration Manager-6

  6. Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie, und wählen Sie Bereitstellen aus.

    The Microsoft Configuration Manager-7

  7. Richten Sie die Richtlinie auf die neu erstellte Windows-Sammlung aus, und wählen Sie OK aus.

The Microsoft Configuration Manager-8

Sie haben nun erfolgreich den kontrollierten Ordnerzugriff im Testmodus konfiguriert.

Verwandter Artikel

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.