Einrichten Microsoft Defender for Endpoint Bereitstellung

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Die Bereitstellung von Defender für Endpunkt ist ein dreistufiger Prozess:

Bereitstellungsphase – Vorbereiten.
Phase 1: Vorbereiten
Bereitstellungsphase – Setup
Phase 2: Setup
Bereitstellungsphase – Onboarding
Phase 3: Onboarding
Sie sind hier!

Sie befinden sich derzeit in der Einrichtungsphase.

In diesem Bereitstellungsszenario werden Sie durch die Schritte zu folgenden Themen geführt:

  • Lizenzierungsüberprüfung
  • Mandantenkonfiguration
  • Netzwerkkonfiguration

Hinweis

Um Sie durch eine typische Bereitstellung zu führen, deckt dieses Szenario nur die Verwendung von Microsoft Endpoint Configuration Manager ab. Defender für Endpunkt unterstützt die Verwendung anderer Onboarding-Tools, behandelt diese Szenarien jedoch nicht im Bereitstellungshandbuch. Weitere Informationen finden Sie unter Onboarding von Geräten zum Microsoft Defender for Endpoint.

Überprüfen des Lizenzstatus

Die Überprüfung auf den Lizenzstatus und ob er ordnungsgemäß bereitgestellt wurde, kann über das Admin Center oder über die Microsoft Azure-Portal erfolgen.

  1. Um Ihre Lizenzen anzuzeigen, wechseln Sie zum Microsoft Azure-Portal, und navigieren Sie zum Microsoft Azure-Portal Lizenzabschnitt.

    Die Azure-Lizenzierungsseite

  2. Alternativ navigieren Sie im Admin Center zuAbrechnungsabonnements>.

    Auf dem Bildschirm werden alle bereitgestellten Lizenzen und deren aktueller Status angezeigt.

    Seite

Überprüfung des Clouddienstanbieters

Um Zugriff darauf zu erhalten, welche Lizenzen für Ihr Unternehmen bereitgestellt werden, und um den Status der Lizenzen zu überprüfen, wechseln Sie zum Admin Center.

  1. Wählen Sie im Partnerportal die Option "Dienste > Office 365 verwalten" aus.

  2. Wenn Sie auf den Link "Partnerportal" klicken, wird die Option Admin im Auftrag geöffnet, und Sie erhalten Zugriff auf das Kunden-Admin Center.

    Das Office 365-Verwaltungsportal

Mandantenkonfiguration

Das Onboarding in Microsoft Defender for Endpoint ist einfach. Wählen Sie im Navigationsmenü ein beliebiges Element im Abschnitt "Endpunkte" oder ein beliebiges Microsoft 365 Defender-Feature wie Vorfälle, Suche, Info-Center oder Bedrohungsanalyse aus, um den Onboarding-Prozess zu initiieren.

Navigieren Sie in einem Webbrowser zum Microsoft 365 Defender Portal.

Speicherort des Rechenzentrums

Microsoft Defender for Endpoint speichert und verarbeitet Daten an demselben Speicherort wie Microsoft 365 Defender. Wenn Microsoft 365 Defender noch nicht aktiviert wurde, wird das Onboarding in Microsoft Defender for Endpoint auch Microsoft 365 Defender aktiviert, und basierend auf dem Standort der aktiven Microsoft 365-Sicherheitsdienste wird automatisch ein neuer Rechenzentrumsstandort ausgewählt. Der ausgewählte Speicherort des Rechenzentrums wird auf dem Bildschirm angezeigt.

Netzwerkkonfiguration

Wenn die Organisation nicht erfordert, dass die Endpunkte einen Proxy für den Zugriff auf das Internet verwenden, überspringen Sie diesen Abschnitt.

Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren. Der eingebettete Microsoft Defender for Endpoint Sensor wird im Systemkontext mithilfe des LocalSystem-Kontos ausgeführt. Der Sensor verwendet Microsoft Windows-HTTP-Dienste (WinHTTP), um die Kommunikation mit dem Microsoft Defender für Endpunkt-Clouddienst zu ermöglichen. Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Proxyeinstellungen des Windows Internet (WinINet)-Internetbrowsens und kann nur mithilfe der folgenden Ermittlungsmethoden einen Proxyserver ermitteln:

  • AutoErmittlungsmethoden:

    • Transparenter Proxy
    • Webproxy Autoermittlungsprotokoll (WPAD)

    Wenn ein transparenter Proxy oder WPAD in der Netzwerktopologie implementiert wurde, sind keine speziellen Konfigurationseinstellungen erforderlich. Weitere Informationen zu Microsoft Defender for Endpoint URL-Ausschlüssen im Proxy finden Sie im Abschnitt "Proxydienst-URLs" in diesem Dokument für die Zulassungsliste für URLs oder unter "Konfigurieren von Geräteproxy- und Internetkonnektivitätseinstellungen".

  • Manuelle Konfiguration statischer Proxys:

    • Registrierungsbasierte Konfiguration

    • WinHTTP mit netsh-Befehl konfiguriert

      Nur für Desktops in einer stabilen Topologie geeignet (z. B. ein Desktop in einem Unternehmensnetzwerk hinter demselben Proxy).

Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys

Konfigurieren Sie einen registrierungsbasierten statischen Proxy, damit nur Microsoft Defender for Endpoint Sensor Diagnosedaten melden und mit Microsoft Defender for Endpoint Diensten kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf. Der statische Proxy kann mithilfe von Gruppenrichtlinien konfiguriert werden. Die Gruppenrichtlinien finden Sie unter:

  • Administrative Vorlagen > Windows-Komponenten > – Datensammlung und Vorabversionen > Konfigurieren der authentifizierten Proxynutzung für den Dienst "Benutzererfahrung und Telemetrie im verbundenen Netzwerk"
  • Legen Sie sie auf "Aktiviert" fest, und wählen Sie "Authentifizierte Proxyverwendung deaktivieren" aus.
  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erstellen Sie eine Richtlinie, oder bearbeiten Sie eine vorhandene Richtlinie basierend auf den Organisationspraktiken.

  3. Bearbeiten Sie die Gruppenrichtlinie, und navigieren Sie zu administrativen Vorlagen>, Windows-Komponenten-Datensammlung > und Vorabversionen > Konfigurieren der authentifizierten Proxynutzung für den Dienst für benutzererfahrung und Telemetrie im verbundenen Netzwerk.

    Die Optionen im Zusammenhang mit der Konfiguration der Nutzungsrichtlinie

  4. Wählen Sie Aktiviert aus.

  5. Wählen Sie "Authentifizierte Proxyverwendung deaktivieren" aus.

  6. Navigieren Sie zu administrativen Vorlagen > : Windows-Komponenten > – Datensammlung und Vorabversionen > Konfigurieren verbundener Benutzererfahrungen und Telemetrie.

    Die Optionen im Zusammenhang mit der Konfiguration der verbundenen Benutzererfahrung und Telemetrie

  7. Wählen Sie Aktiviert aus.

  8. Geben Sie den Proxyservernamen ein.

Die Richtlinie setzt zwei Registrierungswerte (TelemetryProxyServer als "REG_SZ" und DisableEnterpriseAuthProxy als "REG_DWORD") unter dem Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\DataCollection fest.

Der Registrierungswert TelemetryProxyServer hat das folgende Zeichenfolgenformat:

<server name or ip>:<port>

Beispiel: 10.0.0.6:8080.

Der Registrierungswert DisableEnterpriseAuthProxy sollte auf 1 festgelegt werden.

Konfigurieren Sie den Proxyserver manuell mit dem Befehl netsh

Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.

Hinweis

  • Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.
  • Laptops, die die Topologie ändern (z. B. von Office zu Hause), funktionieren bei netsh nicht. Verwenden Sie die registrierungsbasierte Konfiguration für statische Proxys.
  1. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    netsh winhttp set proxy <proxy>:<port>
    

    Beispiel: netsh winhttp set proxy 10.0.0.6:8080

Proxykonfiguration für Geräte auf unterer Ebene

Down-Level Geräte umfassen Windows 7 SP1- und Windows 8.1-Arbeitsstationen sowie Windows Server 2008 R2 sowie andere Serverbetriebssysteme, die zuvor mit dem Microsoft Monitoring Agent integriert wurden. Bei diesen Betriebssystemen ist der Proxy als Teil des Microsoft Management Agent konfiguriert, um die Kommunikation vom Endpunkt zu Azure zu verarbeiten. Informationen zur Konfiguration eines Proxys auf diesen Geräten finden Sie im Microsoft Management Agent Fast Deployment Guide.

Proxydienst-URLs

URLs, die v20 enthalten, werden nur benötigt, wenn Sie über Windows 10, Version 1803 oder Windows 11 Geräte verfügen. Wird z. B. nur benötigt, us-v20.events.data.microsoft.com wenn das Gerät auf Windows 10, Version 1803 oder Windows 11, installiert ist.

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, da Microsoft Defender for Endpoint Sensor eine Verbindung aus dem Systemkontext herstellt, stellen Sie sicher, dass anonymer Datenverkehr in den aufgeführten URLs zulässig ist.

In der folgenden herunterladbaren Kalkulationstabelle sind die Dienste und die zugehörigen URLs aufgeführt, mit denen Ihr Netzwerk eine Verbindung herstellen kann. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern würden, oder sie müssen möglicherweise eine speziell für sie zulässige Regel erstellen.



Kalkulationstabelle der Domänenliste Beschreibung
Microsoft Defender für Endpunkt URL-Liste für kommerzielle Kunden Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Nächster Schritt

[Phase 3: Onboarding.]
Phase 3: Onboarding: Onboarding von Geräten in den Dienst, damit der Microsoft Defender for Endpoint-Dienst Sensordaten von ihnen abrufen kann.