Siirtyminen Microsoft Defender for Endpointiin – vaihe 2: Asennus

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vaihe 1: valmistele	Vaihe 2: määritys	Vaihe 3: käyttöönotto
	Sinä olet täällä!

Tervetuloa asennusvaiheeseen, jossa siirryt Defender for Endpointiin. Tässä vaiheessa on seuraavat vaiheet:

1. Asenna microsoft Defenderin virustentorjunta uudelleen tai ota se käyttöön päätepisteissäsi.
2. Defenderin määrittäminen päätepistesuunnitelmaan 1 tai palvelupakettiin 2
3. Lisää Defender for Endpoint olemassa olevan ratkaisusi poissulkemisluetteloon.
4. Lisää olemassa oleva ratkaisusi Microsoft Defenderin virustentorjunnan poissulkemisluetteloon.
5. Määritä laiteryhmät, laitekokoelmat ja organisaatioyksiköt.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Vaihe 1: Asenna Microsoft Defenderin virustentorjunta uudelleen tai ota se käyttöön päätepisteissäsi

Tietyissä Windows-versioissa Microsoft Defenderin virustentorjunta poistettiin todennäköisesti käytöstä, kun muu kuin Microsoftin virustentorjunta- tai haittaohjelmien torjuntaratkaisu asennettiin. Kun Windows-päätepisteet lisätään Defender for Endpointiin, Microsoft Defenderin virustentorjunta voidaan suorittaa passiivitilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Lisätietoja on artikkelissa Virustentorjunnan suojaus Defender for Endpointin avulla.

Siirryessäsi Defender for Endpointiin sinun on ehkä asennettava uudelleen tai otettava käyttöön Microsoft Defenderin virustentorjunta. Seuraavassa taulukossa kuvataan, mitä tehdä Windows-asiakkaille ja -palvelimille.

Päätepisteen tyyppi	Mitä tehdä?
Windows-asiakasohjelmat (kuten päätepisteet, jotka käyttävät Windows 10:aa ja Windows 11:ta)	Yleensä sinun ei tarvitse tehdä mitään toimia Windows-asiakkaille (ellei Microsoft Defenderin virustentorjuntaohjelman asennusta ole poistettu). Yleensä Microsoft Defenderin virustentorjuntaohjelma tulisi asentaa, mutta se on todennäköisesti poistettu käytöstä tässä vaiheessa siirtoprosessia. Kun asennettuna on muu kuin Microsoftin virustentorjunta-/haittaohjelmistontorjuntaratkaisu, eivätkä asiakkaat ole vielä mukana Defender for Endpointissa, Microsoft Defenderin virustentorjunta poistetaan käytöstä automaattisesti. Myöhemmin, kun asiakaspäätepisteet on otettu käyttöön Defender for Endpointissa ja jos päätepisteissä on käynnissä muu kuin Microsoftin virustentorjuntaratkaisu, Microsoft Defenderin virustentorjunta siirtyy passiivitilaan. Jos muun kuin Microsoftin virustentorjuntaratkaisun asennus poistetaan, Microsoft Defenderin virustentorjuntaohjelma siirtyy automaattisesti aktiiviseen tilaan.
Windows-palvelimet	Windows Serverissä sinun on asennettava Microsoft Defenderin virustentorjunta uudelleen ja määritettävä se passiivitilaan manuaalisesti. Windows-palvelimilla, kun asennettuna on muu kuin Microsoftin virustentorjunta/haittaohjelmien torjuntaohjelma, Microsoft Defenderin virustentorjuntaa ei voi suorittaa yhdessä muun kuin Microsoftin virustentorjuntaratkaisun kanssa. Näissä tapauksissa Microsoft Defenderin virustentorjuntaohjelma poistetaan käytöstä tai sen asennus poistetaan manuaalisesti. Jos haluat asentaa Microsoft Defenderin virustentorjunnan uudelleen tai ottaa sen käyttöön Windows Serverissä, suorita seuraavat tehtävät: - Ota Defenderin virustentorjunta uudelleen käyttöön Windows Serverissä, jos se on poistettu käytöstä - Ota Defenderin virustentorjunta uudelleen käyttöön Windows Serverissä, jos sen asennus poistettiin - Aseta Microsoft Defenderin virustentorjunta passiivitilaan Windows Serverissä Jos kohtaat ongelmia Microsoft Defenderin virustentorjunnan uudelleenasentamisessa tai uudelleen käyttöönotossa Windows Serverissä, katso Vianmääritys: Microsoft Defenderin virustentorjunta poistetaan Windows Serveristä.

Vihje

Lisätietoja Microsoft Defenderin virustentorjuntaohjelman tiluksista, joissa ei ole Microsoftin virustentorjuntasuojausta, on artikkelissa Microsoft Defenderin virustentorjunnan yhteensopivuus.

Aseta Microsoft Defenderin virustentorjunta passiivitilaan Windows Serverissä

Vihje

Voit nyt suorittaa Microsoft Defenderin virustentorjunnan passiivitilassa Windows Server 2012 R2:ssa ja 2016:ssa. Lisätietoja on kohdassa Microsoft Defender for Endpointin asennusvaihtoehdot.

1. Avaa Rekisterieditori ja siirry Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protectionkohtaan .

2. Muokkaa (tai luo) DWORD-merkintää nimeltä ForceDefenderPassiveMode ja määritä seuraavat asetukset:

   • Määritä DWORD:n arvoksi 1.

   • Valitse Perus-kohdastaHeksadesimaali.

Jos Microsoft Defenderin virustentorjuntaohjelman ominaisuudet ja asennustiedostot on aiemmin poistettu Windows Server 2016:sta, palauta ominaisuuden asennustiedostot noudattamalla ohjeita kohdassa Windowsin korjauslähteen määrittäminen .

Huomautus

Kun olet perehdytnyt Defender for Endpointiin, sinun on ehkä määritettävä Microsoft Defenderin virustentorjunta passiivitilaan Windows Serverissä. Jos haluat varmistaa, että passiivitila on määritetty odotetulla tavalla, hae tapahtumaa 5007Microsoft-Windows-Windows Defenderin toimintalokista (sijainnissa C:\Windows\System32\winevt\Logs), ja varmista, että joko ForceDefenderPassiveMode - tai PassiveMode-rekisteriavainten arvoksi on määritetty 0x1.

Käytätkö Windows Server 2012 R2:ta vai Windows Server 2016:ta?

Voit nyt suorittaa Microsoft Defenderin virustentorjunnan passiivitilassa Windows Server 2012 R2:ssa ja 2016:ssa edellisessä osiossa kuvatulla tavalla. Lisätietoja on kohdassa Microsoft Defender for Endpointin asennusvaihtoehdot.

Vaihe 2: Defenderin määrittäminen päätepistesuunnitelmaan 1 tai palvelupakettiin 2

Tärkeää

• Tässä artikkelissa kerrotaan, miten voit määrittää Defender for Endpoint -ominaisuudet ennen laitteiden liittämistä.
• Jos sinulla on Defender for Endpoint Plan 1, suorita vaiheet 1-5 noudattamalla seuraavia ohjeita.
• Jos sinulla on Defender for Endpoint -palvelupaketti 2, suorita vaiheet 1–7 noudattamalla seuraavia ohjeita.

1. Varmista, että Defender for Endpoint on valmistelty. Siirry yleisenä järjestelmänvalvojana Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään. Valitse sitten siirtymisruudussa Assets>Devices.

   Seuraavassa taulukossa näytetään, miltä näyttösi saattaa näyttää ja mitä se tarkoittaa.

   Kuvaruutu	Mitä se tarkoittaa
   	Defender for Endpoint ei ole vielä valmis. Saatat joutua odottamaan vähän aikaa, ennen kuin prosessi päättyy.
   	Defender for Endpoint on valmistelty. Siirry tässä tapauksessa seuraavaan vaiheeseen.

2. Ota käyttöön peukaloinnin suojaus. Suosittelemme, että otat peukalointisuojauksen käyttöön koko organisaatiolle. Voit tehdä tämän tehtävän Microsoft Defender -portaalissa (https://security.microsoft.com).

   1. Valitse Microsoft Defender -portaalissa Asetukset>Päätepisteet.

   2. Siirry kohtaan Yleiset>lisäominaisuudet ja määritä sitten peukaloinnin suojauksen asetukseksi Käytössä.

   3. Valitse Tallenna.

   Lue lisätietoja peukaloinnin suojauksesta.

3. Jos aiot käyttää joko Microsoft Intunea tai Microsoft Endpoint Configuration Manageria laitteiden käyttöönottoon ja määrittää laitekäytäntöjä, määritä integrointi Defender for Endpointin kanssa seuraavasti:
   

   1. Siirry Microsoft Intune -hallintakeskuksessa (https://intune.microsoft.com) kohtaan Päätepisteen suojaus.

   2. Valitse Asetukset-kohdassaMicrosoft Defender for Endpoint.

   3. Aseta Päätepisteen suojausprofiilin asetukset -kohdassaSalli Microsoft Defender for Endpointin ottaa käyttöön Päätepisteen suojausmääritykset -asetuksen asetukseksi Käytössä.

   4. Valitse näytön yläreunasta Tallenna.

   5. Valitse Microsoft Defender -portaalissa (https://security.microsoft.com) Asetukset>Päätepisteet.

   6. Vieritä alaspäin kohtaan Kokoonpanon hallinta ja valitse Pakota vaikutusalue.

   7. Ota suojausmääritysasetukset käyttöön MDE:n avulla -valitsimen asetukseksi Käytössä ja valitse sitten asetukset sekä Windows-asiakaslaitteille että Windows Server -laitteille.

   8. Jos aiot käyttää Configuration Manageria, määritä Suojausasetusten hallinta -asetuksen Asetuksenhallinta - asetukseksi Käytössä. (Jos tarvitset apua tässä vaiheessa, katso Rinnakkaiskäyttö Microsoft Endpoint Configuration Managerin kanssa.)

   9. Vieritä alaspäin ja valitse Tallenna.

4. Määritä ensimmäiset hyökkäysalueen vähentämistoiminnot. Ota ainakin heti käyttöön seuraavassa taulukossa luetellut vakiosuojaussäännöt:

   Vakiosuojaussäännöt

   Määritysmenetelmät

   Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Estä pysyvyys Windows Management Instrumentation (WMI) -tapahtumatilauksen kautta

   Intune (laitteen määritysprofiilit tai päätepisteen suojauskäytännöt) Mobiililaitteiden hallinta (MDM) (Käytä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules-määrityspalveluntarjoajaa (CSP), jos haluat erikseen ottaa käyttöön ja määrittää kunkin säännön tilan.) Ryhmäkäytäntö tai PowerShell (vain, jos et käytä Intunea, Configuration Manageria tai muuta yritystason hallintaympäristöä)

   Lue lisätietoja hyökkäyspinnan pienentämistoiminnoista.

5. Määritä seuraavan sukupolven suojausominaisuudet.

   Kykenevyys	Määritysmenetelmät
   Intune	1. Valitse Intune-hallintakeskuksessaLaitteetAsetukset-profiilit> ja valitse sitten profiilityyppi, jonka haluat määrittää. Jos et ole vielä luonut laiterajoitusten profiilityyppiä tai jos haluat luoda uuden, katso Laiterajoitusasetusten määrittäminen Microsoft Intunessa. 2. Valitse Ominaisuudet ja valitse sitten Määritysasetukset: Muokkaa 3. Laajenna Microsoft Defenderin virustentorjunta. 4. Ota pilvipalveluun toimitettu suojaus käyttöön. 5. Valitse avattavasta Kehote käyttäjille ennen näytteen lähettämistä - valikosta Lähetä kaikki näytteet automaattisesti. 6. Valitse avattavasta Tunnista mahdollisesti ei-toivotut sovellukset - valikosta Ota käyttöön tai Valvo. 7. Valitse Tarkista + tallenna ja valitse sitten Tallenna. VIHJE: Lisätietoja Intunen laiteprofiileista, kuten niiden asetusten luomisesta ja määrittämisestä, on artikkelissa Mitä ovat Microsoft Intune -laiteprofiilit?.
   Configuration Manager	Katso Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto Endpoint Protectionille Configuration Managerissa. Kun luot ja määrität haittaohjelmien torjuntakäytäntöjä, tarkista reaaliaikaiset suojausasetukset ja ota esto käyttöön ensi silmäyksellä.
   Ryhmäkäytännön hallinnan lisäasetukset TAI Ryhmäkäytäntöjen hallintakonsoli	1. Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta. 2. Etsi käytäntö nimeltä Poista käytöstä Microsoft Defenderin virustentorjunta. 3. Valitse Muokkaa käytäntöä -asetus ja varmista, että käytäntö on poistettu käytöstä. Tämä toiminto ottaa käyttöön Microsoft Defenderin virustentorjunnan. (Joissakin Windows-versioissa saattaa näkyä Windows Defenderin virustentorjuntaMicrosoft Defenderin virustentorjunnan sijaan.)
   Ohjauspaneeli Windowsissa	Noudata seuraavia ohjeita: Ota käyttöön Microsoft Defenderin virustentorjunta. (Joissakin Windows-versioissa saattaa näkyä Windows Defenderin virustentorjuntaMicrosoft Defenderin virustentorjunnan sijaan.)

   Jos sinulla on Defender for Endpoint -palvelupaketti 1, alkuperäinen määrityksesi on tehty toistaiseksi. Jos sinulla on Defender for Endpoint Plan 2, jatka vaiheisiin 6-7.

6. Määritä päätepisteen tunnistus- ja vastauskäytännöt Intunen hallintakeskuksessa (https://intune.microsoft.com). Lisätietoja tästä tehtävästä on kohdassa EDR-käytäntöjen luominen.

7. Määritä automatisoidut tutkimus- ja korjaustoiminnot Microsoft Defender -portaalissa (https://security.microsoft.com). Lisätietoja tästä tehtävästä on artikkelissa Automaattisen tutkinnan ja korjausominaisuuksien määrittäminen Microsoft Defender for Endpointissa.

   Tässä vaiheessa Defender for Endpoint -palvelupaketti 2:n alkuperäinen määritys ja määritys on valmis.

Vaihe 3: Lisää Microsoft Defender for Endpoint olemassa olevan ratkaisusi poissulkemisluetteloon

Määritysprosessin tässä vaiheessa lisätään Defender for Endpoint olemassa olevan päätepisteen suojausratkaisun ja muiden organisaatiosi käyttämien suojaustuotteiden poissulkemisluetteloon. Muista lisätä poissulkemisia ratkaisusi palveluntarjoajan dokumentaatiosta.

Määritettävät erityiset poikkeukset määräytyvät sen mukaan, missä Windows-versiossa päätepisteet tai laitteet ovat käynnissä, ja ne luetellaan seuraavassa taulukossa.

OS	Poisjätöt
Windows 11 Windows 10, versio 1803 tai uudempi (katso Windows 10:n julkaisutiedot) Windows 10, versio 1703 tai 1709, johon on asennettu KB4493441	C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, versio 1803	Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, joissa on käytössä nykyaikainen, yhdistetty ratkaisu, seuraavat poikkeukset vaaditaan sense EDR -komponentin päivittämisen jälkeen KB5005292: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1	C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe HUOMAUTUS: Isännän tilapäisten tiedostojen 6\45 valvonta voi olla eri numeroitu alikansio. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Tärkeää

Paras käytäntö on pitää organisaatiosi laitteet ja päätepisteet ajan tasalla. Varmista, että hankit uusimmat päivitykset Microsoft Defender for Endpointille ja Microsoft Defenderin virustentorjuntaohjelmalle ja pidät organisaatiosi käyttöjärjestelmät ja tuottavuussovellukset ajan tasalla.

Vaihe 4: Lisää olemassa oleva ratkaisusi Microsoft Defenderin virustentorjunnan poissulkemisluetteloon

Asennusprosessin tämän vaiheen aikana lisäät olemassa olevan ratkaisusi Microsoft Defenderin virustentorjunnan poissulkemisten luetteloon. Voit valita useista tavoista lisätä poissulkemiset Microsoft Defenderin virustentorjuntaan seuraavassa taulukossa esitetyllä tavalla:

Menetelmä	Mitä tehdä?
Intune	1. Siirry Microsoft Intune -hallintakeskukseen ja kirjaudu sisään. 2. Valitse Laitteiden>määritysprofiilit ja valitse sitten profiili, jonka haluat määrittää. 3. Valitse Hallinta-kohdastaOminaisuudet. 4. Valitse Määritysasetukset: Muokkaa. 5. Laajenna Microsoft Defenderin virustentorjunta ja laajenna sitten Microsoft Defenderin virustentorjunnan poikkeukset. 6. Määritä tiedostot ja kansiot, laajennukset ja prosessit, jotka jätetään pois Microsoft Defenderin virustentorjuntatarkisuksista. Katso lisätietoja artikkelista Microsoft Defenderin virustentorjunnan poikkeukset. 7. Valitse Tarkista + tallenna ja valitse sitten Tallenna.
Microsoft Endpoint Configuration Manager	1. Siirry Configuration Manager -konsolin avulla kohtaan Assets and Compliance>Endpoint Protection>Antimalware Policies ja valitse sitten käytäntö, jota haluat muokata. 2. Määritä Poissulkemisasetukset tiedostoille ja kansioille, laajennuksille ja prosesseille, jotka jätetään pois Microsoft Defenderin virustentorjuntatarkistuksista.
Ryhmäkäytäntöobjekti	1. Avaa ryhmäkäytäntöjen hallintatietokoneessa ryhmäkäytäntöjen hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia, jonka haluat määrittää, ja valitse sitten Muokkaa. 2. Siirry ryhmäkäytännön hallintaeditorissakohtaan Tietokoneen määritykset ja valitse Hallintamallit. 3. Laajenna puu windows-komponentteihin > Microsoft Defenderin virustentorjunnan > poikkeukset. (Joissakin Windows-versioissa saattaa näkyä Windows Defenderin virustentorjuntaMicrosoft Defenderin virustentorjunnan sijaan.) 4. Kaksoisnapsauta Path Exclusions - asetusta ja lisää poikkeukset. 5. Määritä asetuksen arvoksi Käytössä. 6. Valitse Asetukset-osiostaNäytä.... 7. Määritä kukin kansio omalle rivilleen Arvon nimi - sarakkeen alle. Jos määrität tiedoston, anna tiedostolle täydellinen polku, mukaan lukien aseman kirjain, kansiopolku, tiedostonimi ja tunniste. Kirjoita Arvo-sarakkeeseen0. 8. Valitse OK. 9. Kaksoisnapsauta Extension Exclusions -asetusta ja lisää poikkeukset. 10. Määritä asetuksen arvoksi Käytössä. 11. Valitse Asetukset-osiostaNäytä.... 12. Kirjoita kukin tiedostotunniste omalle rivilleen Arvon nimi - sarakkeen alle. Kirjoita Arvo-sarakkeeseen0. 13. Valitse OK.
Paikallinen ryhmäkäytäntöobjekti	1. Avaa päätepisteessä tai laitteessa paikallinen ryhmäkäytäntöeditori. 2. Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defenderin virustentorjunta>Poikkeukset. (Joissakin Windows-versioissa saattaa näkyä Windows Defenderin virustentorjuntaMicrosoft Defenderin virustentorjunnan sijaan.) 3. Määritä polun ja prosessin poissulkemiset.
Rekisteriavain	1. Vie seuraava rekisteriavain: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions. 2. Tuo rekisteriavain. Tässä on kaksi esimerkkiä: - Paikallinen polku: regedit.exe /s c:\temp\MDAV_Exclusion.reg - Verkkoresurssi: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Lue lisätietoja Microsoft Defender for Endpointin ja Microsoft Defenderin virustentorjuntaohjelman poissulkemisista.

Muista seuraavat poissulkemisia koskevat seikat

Kun lisäät poissulkemisia Microsoft Defenderin virustentorjuntatarkistukset, lisää polku ja prosessin poikkeukset.

• Polkupoikkeukset sulkevat pois tietyt tiedostot ja kyseisten tiedostojen käyttöoikeudet.
• Prosessin poissulkemiset sulkevat pois prosessin kosketukset, mutta eivät itse prosessia.
• Luettele poikkeukset niiden koko polun perusteella, ei vain niiden nimen perusteella. (Vain nimi -menetelmän suojaus on heikompi.)
• Jos luettelet kunkin suoritettavan tiedoston (.exe) sekä polkupoikkeuksena että prosessin poissulkemisena, prosessi ja siihen liittyvät tiedot jätetään pois.

Vaihe 5: Laiteryhmien, laitekokoelmien ja organisaatioyksiköiden määrittäminen

Laiteryhmien, laitekokoelmien ja organisaatioyksiköiden avulla suojaustiimisi voi hallita ja määrittää suojauskäytäntöjä tehokkaasti ja tehokkaasti. Seuraavassa taulukossa kuvataan kukin näistä ryhmistä ja niiden määrittäminen. Organisaatiosi ei ehkä käytä kaikkia kolmea kokoelmatyyppiä.

Huomautus

Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Kokoelman tyyppi	Mitä tehdä?
Laiteryhmien (aiemmin koneryhmien) avulla suojaustiimi voi määrittää suojausominaisuuksia, kuten automatisoidun tutkinnan ja korjaamisen. Laiteryhmät ovat hyödyllisiä myös kyseisten laitteiden käyttöoikeuksien määrittämisessä, jotta suojaustoimintatiimisi voi tarvittaessa suorittaa korjaustoimia. Laiteryhmiä luodaan, kun hyökkäys havaittiin ja pysäytettiin. Microsoft Defender -portaaliin tuli ilmoituksia, kuten "ensimmäinen käyttöoikeusilmoitus".	1. Siirry Microsoft Defender -portaaliin (https://security.microsoft.com). 2. Valitse vasemmassa siirtymisruudussa Asetukset>Päätepisteet>Käyttöoikeudet>Laiteryhmät. 3. Valitse + Lisää laiteryhmä. 4. Määritä laiteryhmän nimi ja kuvaus. 5. Valitse automaatiotason luettelosta vaihtoehto. (Suosittelemme täyttä - korjaa uhat automaattisesti.) Lisätietoja eri automaatiotasoista on artikkelissa Uhkien korjaaminen. 6. Määritä ehdot vastaavalle säännölle sen määrittämiseksi, mitkä laitteet kuuluvat laiteryhmään. Voit esimerkiksi valita toimialueen, käyttöjärjestelmäversiot tai jopa käyttää laitetunnisteita. 7. Määritä Käyttöoikeudet-välilehdessä roolit, joilla on oltava käyttöoikeus laiteryhmään kuuluviin laitteisiin. 8. Valitse Valmis.
Laitekokoelmien avulla suojaustoimintatiimisi voi hallita sovelluksia, ottaa yhteensopivuusasetuksia käyttöön tai asentaa ohjelmistopäivityksiä organisaatiosi laitteisiin. Laitekokoelmat luodaan Configuration Managerin avulla.	Noudata kohdassa Luo kokoelma olevia ohjeita.
Organisaation yksiköiden avulla voit ryhmitillä loogisesti objekteja, kuten käyttäjätilejä, palvelutilejä tai tietokonetilejä. Voit sitten määrittää järjestelmänvalvojia tiettyihin organisaatioyksiköihin ja ottaa käyttöön ryhmäkäytännön kohdennettujen määritysasetusten pakottamiseksi. Organisaatioyksiköt on määritetty Microsoft Entra Domain Servicesissä.	Noudata ohjeita artikkelissa Organisaatioyksikön luominen hallitussa Microsoft Entra -toimialuepalveluissa.

Seuraavat vaiheet

Onneksi olkoon! Olet suorittanut asennusvaiheen siirtyessäsi Defender for Endpointiin!

• Jatka vaiheeseen 3: Perehdytys Defender for Endpointiin

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.