Tässä artikkelissa kuvataan laitteiden käyttöönotto Defender for Businessiin.
Ota ne heti käyttöön, jotta voit suojata niitä. Voit valita useista vaihtoehdoista yrityksesi laitteiden käyttöönottoon. Tässä artikkelissa kerrotaan, miten perehdytys toimii.
Windows 10 ja 11
Huomautus
Windows-laitteissa on oltava käytössä jokin seuraavista käyttöjärjestelmistä:
- Windows 10 tai 11 Business
- Windows 10 tai 11 Professional
- Windows 10 tai 11 Enterprise
Lisätietoja on artikkelissa Microsoft Defender for Business -vaatimukset.
Valitse jokin seuraavista vaihtoehdoista Windows-asiakaslaitteiden liittämiseksi Defender for Businessiin:
Windows 10:n ja 11:n paikallinen komentosarja
Voit käyttää paikallista komentosarjaa Windows-asiakaslaitteiden käyttöönottoon. Kun suoritat perehdyttämiskomentosarjan laitteessa, se luo luottamuksen Microsoft Entra -tunnuksella (jos kyseistä luottamusta ei vielä ole), rekisteröi laitteen Microsoft Intuneen (jos sitä ei ole vielä rekisteröity) ja lisää sitten laitteen Defender for Businessiin. Jos et käytä Intunea tällä hetkellä, paikallinen komentosarjamenetelmä on suositeltu perehdyttämismenetelmä Defender for Business -asiakkaille.
Vihje
Suosittelemme, että otat käyttöön enintään 10 laitetta kerrallaan, kun käytät paikallista komentosarjamenetelmää.
Siirry Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.
Valitse Windows 10 ja 11.
Valitse Yhteystyyppi-kohdastaVirtaviivaistettu.
Valitse Käyttöönottomenetelmä-osiossaPaikallinen komentosarja ja valitse sitten Lataa perehdytyspaketti. Suosittelemme, että tallennat käyttöönottopaketin siirrettävään asemaan.
Pura määrityspaketin sisältö Windows-laitteessa sijaintiin, kuten Desktop-kansioon. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPLocalOnboardingScript.cmd
.
Avaa komentokehote järjestelmänvalvojana.
Kirjoita komentosarjatiedoston sijainti. Jos esimerkiksi kopioit tiedoston Desktop-kansioon, kirjoita %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd
ja paina enter-näppäintä (tai valitse OK).
Suorita tunnistustesti komentosarjan suorittamisen jälkeen.
Windows 10:n ja 11:n ryhmäkäytäntö
Jos haluat käyttää ryhmäkäytäntöä Windows-asiakasohjelmien käyttöönottoon, noudata ohjeita kohdassa Onboard Windows -laitteet ryhmäkäytännön avulla. Tässä artikkelissa kuvataan Microsoft Defender for Endpointiin perehdyttämisen vaiheet. Defender for Businessiin perehdyttämisvaiheet ovat samankaltaiset.
Intune Windows 10:lle ja 11:lle
Voit käyttää Intunen hallintakeskusta (https://intune.microsoft.com) Windows-asiakasohjelmien ja muiden laitteiden käyttöönottoon. Laitteiden rekisteröintiIntunessa on käytettävissä useita eri menetelmiä. Suosittelemme käyttämään jotakin seuraavista menetelmistä:
Ota käyttöön automaattinen rekisteröinti Windows 10:ssä ja 11:ssä
Kun määrität automaattisen rekisteröinnin, käyttäjät lisäävät työtilinsä laitteeseen. Taustalla laite rekisteröityy ja liittyy Microsoft Entra -tunnukseen, ja se rekisteröidään Intunessa.
Siirry Azure-portaaliin (https://portal.azure.com/) ja kirjaudu sisään.
Valitse Microsoft Entra ID>Mobility (MDM ja MAM)>Microsoft Intune.
Määritä MDM-käyttäjän vaikutusalue ja mobiilisovellusten hallinnan käyttäjän vaikutusalue.
MDM-käyttäjän vaikutusalueella suosittelemme, että valitset Kaikki , jotta kaikki käyttäjät voivat rekisteröidä Windows-laitteensa automaattisesti.
MAM-käyttäjän vaikutusalue -osassa suosittelemme url-osoitteille seuraavia oletusarvoja:
-
MDM:n URL-käyttöehdot
-
MDM-etsinnän URL-osoite
-
MDM-yhteensopivuus-URL
Valitse Tallenna.
Kun laite on rekisteröity Intuneen, voit lisätä sen laiteryhmään Defender for Businessissa.
Lisätietoja laiteryhmistä Defender for Businessissa.
Pyydä käyttäjiä rekisteröimään Windows 10- ja 11-laitteensa
Katso seuraavasta videosta, miten rekisteröinti toimii:
Jaa tämä artikkeli organisaatiosi käyttäjien kanssa: Windows 10/11 -laitteiden rekisteröinti Intuneen.
Kun laite on rekisteröity Intuneen, voit lisätä sen laiteryhmään Defender for Businessissa.
Lisätietoja laiteryhmistä Defender for Businessissa.
Tunnistustestin suorittaminen Windows 10- tai 11-laitteessa
Kun olet lisännyt Windows-laitteet Defender for Businessiin, voit suorittaa tunnistustestin laitteessa varmistaaksesi, että kaikki toimii oikein.
Luo Kansio Windows-laitteessa: C:\test-MDATP-test
.
Avaa komentokehote järjestelmänvalvojana ja suorita sitten seuraava komento:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Komennon suoritusten jälkeen Komentokehote-ikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi ja uusi ilmoitus tulee näkyviin Microsoft Defender -portaaliin (https://security.microsoft.com) juuri perehdytetylle laitteelle noin 10 minuutin kuluessa.
Mac
Valitse jokin seuraavista vaihtoehdoista Mac-näytölle:
Paikallinen komentosarja Macille
Kun suoritat paikallisen komentosarjan Macissa, se luo luottamuksen Microsoft Entra -tunnuksella (jos kyseistä luottamusta ei vielä ole), rekisteröi Macin Microsoft Intuneen (jos sitä ei ole vielä rekisteröity) ja lisää sitten Macin Defender for Businessiin. Suosittelemme, että otat kerrallaan käyttöön enintään 10 laitetta.
Siirry Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.
Valitse macOS.
Valitse Yhteystyyppi-kohdastaVirtaviivaistettu.
Valitse Käyttöönottomenetelmä-osiossaPaikallinen komentosarja ja valitse sitten Lataa perehdytyspaketti. Tallenna paketti siirrettävään asemaan. Valitse myös Lataa asennuspaketti ja tallenna se siirrettävään laitteeseen.
Tallenna asennuspaketti wdav.pkg
Macissa paikalliseen hakemistoon.
Tallenna perehdytyspaketti WindowsDefenderATPOnboardingPackage.zip
samaan hakemistoon, jota käytit asennuspaketissa.
Siirry tallennettuun wdav.pkg
kohteeseen Finder-toiminnolla ja avaa se.
Valitse Jatka, hyväksy käyttöoikeusehdot ja anna salasana pyydettäessä.
Sinua pyydetään sallimaan ohjaimen asennus Microsoftilta (joko järjestelmälaajennus on estetty tai asennus on pidossa tai molemmat). Ohjaimen asennus on sallittava. Valitse Avaa suojausasetukset tai Avaa järjestelmäasetusten>suojaus & Tietosuoja ja valitse sitten Salli.
Suorita perehdytyspaketti seuraavan Bash-komennon avulla:
/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh
Kun Mac on rekisteröity Intuneen, voit lisätä sen laiteryhmään.
Lisätietoja laiteryhmistä Defender for Businessissa.
Intune for Mac
Jos sinulla on jo Intune, voit rekisteröidä Mac-tietokoneet Intunen hallintakeskuksen (https://intune.microsoft.com) avulla. Macin rekisteröinti Intuneen on käytettävissä useilla tavoilla. Suosittelemme jotakin seuraavista menetelmistä:
Vaihtoehdot yrityksen omistamalle Macille
Valitse jokin seuraavista vaihtoehdoista yrityksen hallitsemien Mac-laitteiden rekisteröimiseksi Intuneen:
Vaihtoehto |
Kuvaus |
Apple Automated Device Enrollment |
Tämän menetelmän avulla voit automatisoida rekisteröinnin Apple Business Managerin tai Apple School Managerin kautta ostetuissa laitteissa. Automatisoitu laiterekisteröinti ottaa rekisteröintiprofiilin käyttöön "ilmassa", joten sinulla ei tarvitse olla fyysistä pääsyä laitteisiin.
Katso Macin automaattinen rekisteröinti Apple Business Manageriin tai Apple School Manageriin. |
Laitteen rekisteröintivastaava (DEM) |
Käytä tätä menetelmää suurissa käyttöönotoissa ja silloin, kun organisaatiossasi on useita henkilöitä, jotka voivat auttaa rekisteröinnin määrittämisessä. Henkilö, jolla on laitteen rekisteröintivastaavan (DEM) oikeudet, voi rekisteröidä jopa 1 000 laitetta yhdellä Microsoft Entra -tilillä. Tämä menetelmä käyttää yritysportaalisovellusta tai Microsoft Intune -sovellusta laitteiden rekisteröintiin. Et voi käyttää DEM-tiliä laitteiden rekisteröintiin automaattisen laiterekisteröinnin kautta.
Katso Laitteiden rekisteröinti Intunessa laitteen rekisteröintivastaavan tilin avulla. |
Suora rekisteröinti |
Suora rekisteröinti rekisteröi laitteet, joilla ei ole käyttäjän affiniteettia, joten tämä menetelmä sopii parhaiten laitteille, joita ei ole liitetty yhteen käyttäjään. Tämä menetelmä edellyttää, että sinulla on fyysinen käyttöoikeus Mac-tietokoneisiin, joita olet rekisteröimässä.
Katso Direct Enrollment for Macin käyttäminen. |
Pyydä käyttäjiä rekisteröimään oma Mac Intuneen
Jos yrityksesi haluaa, että käyttäjät rekisteröivät omat laitteensa Intuneen, ohjaa käyttäjät noudattamaan seuraavia vaiheita:
Siirry yritysportaalisivustoon (https://portal.manage.microsoft.com/) ja kirjaudu sisään.
Lisää heidän laitteensa yritysportaalisivuston ohjeiden mukaisesti.
Asenna yritysportaalisovellus osoitteessa https://aka.ms/EnrollMyMacja noudata sovelluksen ohjeita.
Macin käyttöönoton vahvistaminen
Vahvista, että laite on liitetty yritykseesi, käyttämällä seuraavaa Python-komentoa Bashissa:
mdatp health --field org_id
.
Jos käytät macOS 10.15:tä (Catalina) tai uudempaa versiota, anna Defender for Businessille suostumus laitteen suojaamiseksi. Siirry kohtaan Järjestelmäasetukset>Suojaus & Tietosuoja>Koko>levyn käyttö. Jos haluat tehdä muutoksia, valitse valintaikkunan alareunassa oleva lukkokuvake ja valitse sitten Microsoft Defender for Business (tai Defender for Endpoint, jos näet tämän).
Voit varmistaa, että laite on otettu käyttöön, käyttämällä bashissa seuraavaa komentoa:
mdatp health --field real_time_protection_enabled
Kun laite on rekisteröity Intuneen, voit lisätä sen laiteryhmään.
Lisätietoja laiteryhmistä Defender for Businessissa.
Mobiililaitteisiin
Voit käyttää seuraavia menetelmiä mobiililaitteissa, kuten Android- ja iOS-laitteissa:
Microsoft Defender -sovelluksen käyttäminen
Mobiiliuhkien puolustusominaisuudet ovat nyt yleisesti saatavilla Defender for Business -asiakkaille. Näiden ominaisuuksien avulla voit nyt käyttää microsoft Defender -sovellusta mobiililaitteissa (kuten Androidissa ja iOS:ssä). Tällä menetelmällä käyttäjät lataavat sovelluksen Google Playsta tai Apple App Storesta, kirjautuvat sisään ja viimeistelevät perehdytysvaiheet.
Tärkeää
Varmista, että kaikki seuraavat vaatimukset täyttyvät ennen mobiililaitteiden käyttöönottoa:
- Defender for Business on valmistellut. Siirry Microsoft Defender -portaalissa kohtaanAssets-laitteet>.
- Jos näet viestin, jossa lukee: "Odota hetki! Valmistelemme uusia välilyöntejä tiedoillesi ja yhdistämme niitä", Defender for Business ei ole vielä valmistellut tietoja. Tämä prosessi tapahtuu nyt, ja sen valmistuminen voi kestää jopa 24 tuntia.
- Jos näet luettelon laitteista tai sinua kehotetaan käyttämään laitteita, Se tarkoittaa, että Defender for Businessin valmistelu on valmis.
- Käyttäjät ovat ladanneet Microsoft Authenticator -sovelluksen laitteeseensa ja rekisteröineet laitteensa työpaikan tai oppilaitoksen microsoft 365 -tilin avulla.
Laite |
Menettely |
Android |
1. Siirry laitteessa Google Play -kauppaan.
2. Lataa ja asenna Microsoft Authenticator -sovellus, jos et ole vielä tehnyt niin. Kirjaudu sisään ja rekisteröi laitteesi Microsoft Authenticator -sovelluksessa.
3. Etsi Google Play -kaupasta Microsoft Defender -sovellus ja asenna se.
4. Avaa Microsoft Defender -sovellus, kirjaudu sisään ja suorita käyttöönottoprosessi loppuun. |
iOS |
1. Siirry laitteessa Apple App Storeen.
2. Lataa ja asenna Microsoft Authenticator -sovellus, jos et ole vielä tehnyt niin. Kirjaudu sisään ja rekisteröi laitteesi Microsoft Authenticator -sovelluksessa.
3. Etsi Apple App Storesta Microsoft Defender -sovellus.
4. Kirjaudu sisään ja asenna sovellus.
5. Suostuu käyttöehtoihin jatkaakseen.
6. Anna Microsoft Defender -sovelluksen määrittää VPN-yhteys ja lisätä VPN-määrityksiä.
7. Valitse, sallitaanko ilmoitukset (kuten ilmoitukset). |
Microsoft Intunen käyttäminen
Jos tilauksesi sisältää Microsoft Intunen, voit käyttää sitä mobiililaitteissa, kuten Android- ja iOS/iPadOS-laitteissa. Lisätietoja näiden laitteiden rekisteröimisestä Intuneen on seuraavissa resursseissa:
Kun laite on rekisteröity Intuneen, voit lisätä sen laiteryhmään.
Lisätietoja laiteryhmistä Defender for Businessissa.
Palvelimet
Valitse palvelimen käyttöjärjestelmä:
Windows Server
Tärkeää
Varmista, että täytät seuraavat vaatimukset, ennen kuin otat käyttöön Windows Server -päätepisteen:
- Sinulla on Microsoft Defender for Business -palvelinten käyttöoikeus. (Katso Microsoft Defender for Business -palvelimien hankkiminen.)
- Windows Serverin pakotusalue on käytössä. Siirry kohtaan Asetukset>Päätepisteiden määritysten>hallinta>Pakotusalue. Valitse Käytä MDE:ta suojauksen määritysasetusten pakottamiseksi MEM:stä, valitse Windows Server ja valitse sitten Tallenna.
Voit lisätä Windows Server -esiintymän Defender for Businessiin käyttämällä paikallista komentosarjaa.
Windows Serverin paikallinen komentosarja
Siirry Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse siirtymisruudussa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdastaPerehdytys.
Valitse käyttöjärjestelmä, kuten Windows Server 1803, 2019 ja 2022, ja valitse sitten Käyttöönottomenetelmä-osiostaPaikallinen komentosarja.
Jos valitset Windows Server 2012 R2 ja 2016, sinulla on kaksi pakettia ladattavaksi ja suoritettavaksi: asennuspaketti ja perehdytyspaketti. Asennuspaketti sisältää MSI-tiedoston, joka asentaa Defender for Business -agentin. Perehdyttämispaketti sisältää komentosarjan Windows Server -päätepisteen liittämiseksi Defender for Businessiin.
Valitse Lataa perehdytyspaketti. Suosittelemme, että tallennat käyttöönottopaketin siirrettävään asemaan.
Jos valitsit Windows Server 2012 R2:n ja 2016:n, valitse myös Lataa asennuspaketti ja tallenna paketti siirrettävään asemaan
Pura Windows Server -päätepisteessä asennus-/perehdytyspaketin sisältö esimerkiksi Desktop-kansioon. Sinulla pitäisi olla tiedosto nimeltä WindowsDefenderATPLocalOnboardingScript.cmd
.
Jos olet perehdyttämässä Windows Server 2012 R2:ta tai Windows Server 2016:ta, pura ensin asennuspaketti.
Avaa komentokehote järjestelmänvalvojana.
Jos olet lisäämässä Windows Server 2012R2:ta tai Windows Server 2016:ta, suorita seuraava komento:
Msiexec /i md4ws.msi /quiet
Jos olet lisäämässä Windows Server 1803:a, 2019:ää tai 2022:ta, ohita tämä vaihe ja siirry vaiheeseen 8.
Kirjoita komentosarjatiedoston sijainti. Jos esimerkiksi kopioit tiedoston Desktop-kansioon, kirjoita %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd
, ja paina sitten Enter-näppäintä (tai valitse OK).
Siirry kohtaan Tunnistustestin suorittaminen Windows Serverissä.
Tunnistustestin suorittaminen Windows Serverissä
Kun olet määrittänut Windows Server -päätepisteen Defender for Businessiin, voit suorittaa tunnistustestin varmistaaksesi, että kaikki toimii oikein:
Luo Kansio Windows Server -laitteessa: C:\test-MDATP-test
.
Avaa komentokehote järjestelmänvalvojana.
Suorita Komentokehote-ikkunassa seuraava PowerShell-komento:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Kun komento on suoritettu, komentokehoteikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi ja uusi ilmoitus tulee näkyviin Microsoft Defender -portaaliin (https://security.microsoft.com) juuri perehdytetylle laitteelle noin 10 minuutin kuluessa.
Linux Server
Tärkeää
Varmista, että täytät seuraavat vaatimukset, ennen kuin otat Linux Server -päätepisteen käyttöön:
Onboard Linux Server -päätepisteet
Seuraavilla menetelmillä voit lisätä Linux Server -esiintymän Defender for Businessiin:
Kun olet lisännyt laitteen, voit suorittaa nopean tietojenkalastelutestin varmistaaksesi, että laite on yhdistetty ja että hälytykset luodaan odotetulla tavalla.