Jaa

Microsoft Defender for Endpoint -tilausasetusten hallinta asiakaslaitteissa

  • Artikkeli

Defender for Endpointissa yhdistelmäkäyttöoikeusskenaario on tilanne, jossa organisaatio käyttää Defender for Endpoint -palvelupaketti 1: n ja palvelupaketin 2 käyttöoikeuksien yhdistelmää. Seuraavassa taulukossa kuvataan esimerkkejä yhdistelmäkäyttöoikeusskenaarioita:

Skenaario Kuvaus
Yhdistetty vuokraaja Käytä eri ominaisuusjoukkoja käyttäjäryhmille ja heidän laitteilleen. Esimerkkeinä:
- Defender for Endpoint Plan 1 ja Defender for Endpoint Plan 2
- Microsoft 365 E3 ja Microsoft 365 E5
Yhdistetty kokeiluversio Kokeile premium-tason tilausta joillekin käyttäjille. Esimerkkeinä:
- Defender for Endpointin palvelupaketti 1 (ostettu kaikille käyttäjille) ja Defender for Endpointin palvelupaketti 2 (kokeilutilaus on aloitettu joillekin käyttäjille)
- Microsoft 365 E3 (ostettu kaikille käyttäjille) ja Microsoft 365 E5 (kokeilutilaus on aloitettu joillekin käyttäjille)
Vaiheittaiset päivitykset Käyttäjien käyttöoikeuksien päivittäminen vaiheissa. Esimerkkeinä:
- Käyttäjäryhmien siirtäminen Defender for Endpointin palvelupaketti 1:stä palvelupakettiin 2
– käyttäjäryhmien siirtäminen Microsoft 365 E3:sta E5:een

Viime aikoihin asti yhdistelmäkäyttöoikeusskenaarioita ei tuettu. Jos tilauksia on useita, suurin toiminnallinen tilaus olisi etusijalla vuokraajaasi varten. Nyt voit hallita tilausasetuksiasi, jotta voit toteuttaa erilaisia käyttöoikeusskenaarioita asiakaslaitteissa. Näiden ominaisuuksien avulla voit tehdä seuraavat toiminnot:

  • Määritä vuokraajasi yhdistelmätilaan ja tunnistelaitteisiin sen määrittämiseksi, mitkä asiakaslaitteet vastaanottavat ominaisuuksia kustakin palvelupakettista (tätä kutsutaan yhdistelmätilaksi); TAI,
  • Käytä yhden palvelupaketin ominaisuuksia ja ominaisuuksia kaikissa asiakaslaitteissasi.

Voit myös käyttää äskettäin lisättyä käyttöoikeuden käyttöraporttia tilan seurantaan.

Huomautus

Jos käytät Microsoft Defender for Businessia ja haluat vaihtaa Defender for Endpoint -palvelupakettiin 2, katso Päätepisteen suojaustilauksen muuttaminen.

Vuokraajasi määrittäminen yhdistelmätilaan ja tunnistelaitteisiin

Tärkeää

  • Yhdistelmätilan asetukset koskevat vain asiakaspäätepisteitä. Palvelinlaitteiden merkitseminen ei muuta niiden tilaustilaa. Kaikilla palvelinlaitteilla, joissa on Windows Server tai Linux, on oltava asianmukaiset käyttöoikeudet, kuten Defender for Servers. Katso Palvelinten käyttöönottoasetukset.
  • Muista kokeilla ympäristössäsi yhdistelmäkäyttöoikeusskenaarioita noudattamalla tämän artikkelin ohjeita. Käyttöoikeuksien määrittäminen Microsoft 365 -hallintakeskuksessa (https://admin.microsoft.com) ei aseta vuokraajaasi yhdistelmätilaan.
  • Sinulla pitäisi olla aktiivinen kokeiluversio tai maksullinen käyttöoikeus sekä Defender for Endpoint -palvelupakettiin 1 että palvelupakettiin 2.
  • Jotta voit käyttää käyttöoikeustietoja, sinulla on oltava jokin seuraavista Microsoft Entra -tunnuksissa määritetyistä rooleista:
    • Suojauksen järjestelmänvalvoja
    • Käyttöoikeusjärjestelmänvalvoja ja Defender for Endpoint -järjestelmänvalvoja

  1. Siirry järjestelmänvalvojana Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

  2. Siirry kohtaan Asetukset>Päätepisteiden>käyttöoikeudet. Käyttöraportti avautuu ja näyttää tietoja organisaatiosi Defender for Endpoint -käyttöoikeuksista.

  3. Valitse Tilauksen tila -kohdassa Tilausasetusten hallinta.

    Huomautus

    Jos et näe Hallitse tilausasetuksia -kohdan, vähintään yksi seuraavista ehdoista toteutuu:

    • Sinulla on Defender for Endpoint Plan 1 tai Plan 2 (mutta ei molempia); tai
    • Yhdistelmäkäyttöoikeusominaisuuksia ei ole vielä otettu käyttöön vuokraajassasi.

  4. Tilausasetusten pikaikkuna avautuu. Valitse vaihtoehto Defender for Endpoint Plan 1:n ja Plan 2:n käyttämiseksi. (Muutoksia ei tehdä, ennen kuin laitteet on merkitty seuraavan vaiheen mukaisesti.)

  5. Merkitse laitteet, joille lähetetään joko Defender for Endpoint Plan 1- tai Plan 2 -ominaisuudet. Voit merkitä laitteesi manuaalisesti tai käyttämällä dynaamista sääntöä. Lue lisätietoja laitteen tunnisteista.

    Menetelmä Tiedot
    Tunnistelaitteet manuaalisesti Jos haluat merkitä laitteet manuaalisesti, luo tunniste nimeltä License MDE P1 ja käytä sitä laitteissa. Lisätietoja tästä vaiheesta on kohdassa Laitetunnisteiden luominen ja hallinta.

    Huomaa, että laitteet, jotka on merkitty tunnisteella License MDE P1rekisteriavainmenetelmällä , eivät saa alennettua toimintoa. Jos haluat merkitä laitteita rekisteriavainmenetelmällä, käytä dynaamista sääntöä manuaalisen merkitsemisen sijaan.
    Merkitse laitteet automaattisesti dynaamisen säännön avulla Dynaamiset sääntötoiminnot ovat uusia yhdistelmäkäyttöoikeusskenaarioita varten. Sen avulla voit käyttää dynaamista ja rakeista hallintatasoa laitteiden hallintaan.

    Jos haluat käyttää dynaamista sääntöä, määrität ehdot laitteen nimen, toimialueen, käyttöjärjestelmäympäristön ja/tai laitetunnisteiden perusteella. Laitteet, jotka täyttävät määritetyt ehdot, saavat Defender for Endpoint Plan 1- tai Plan 2 -ominaisuudet sääntösi mukaisesti.

    Kun määrität ehtoja, voit käyttää seuraavia ehto-operaattoreita:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    Laitteen nimessä voit käyttää puolivapaata tekstiä.

    Valitse Toimialue-kohdassa toimialueiden luettelosta.

    Valitse käyttöjärjestelmäympäristöä varten käyttöjärjestelmien luettelosta.

    Käytä Tunniste-kohdassa puolivapaata piirtoa. Kirjoita tunnisteen arvo, joka vastaa laitteita, joille joko Defender for Endpoint Plan 1- tai Plan 2 -ominaisuudet tulee vastaanottaa. Katso esimerkki kohdasta Lisätietoja laitteen tunnisteista.

    Laitetunnisteet näkyvät Laitteen varastonäkymässä ja Defender for Endpoint -ohjelmointirajapinnoissa.

    Huomautus

    Dynaamisesti lisätty Defender for Endpoint P1 -tunnisteita ei tällä hetkellä voi suodattaa Laitteen varastonäkymässä.

  6. Tallenna sääntö ja odota enintään kolme (3) tuntia tunnisteiden käyttöönottoa varten. Jatka sitten tarkistaaksesi, että laite vastaanottaa vain Defender for Endpoint Plan 1 -ominaisuuksia.

Lisätietoja laitteen tunnisteista

Kuten Tech Community -blogissa on kuvattu: Miten merkitsemistä käytetään tehokkaasti, laitemerkinnät tarjoavat tarkan laitteiden hallinnan. Laitetunnisteiden avulla voit tehdä seuraavaa:

  • Näytä tietyt laitteet yksittäisille käyttäjille Microsoft Defender -portaalissa niin, että he näkevät vain ne laitteet, jotka he ovat vastuussa.
  • Sisällytä laitteita tiettyihin suojauskäytäntöihin tai jätä ne pois tietyistä suojauskäytännöistä.
  • Määritä, mitkä laitteet saavat Defender for Endpoint Plan 1- tai Plan 2 -ominaisuudet.

Oletetaan esimerkiksi, että haluat käyttää tunnistetta, jota kutsutaan VIP kaikille laitteille, joille lähetetään Defender for Endpoint Plan 2 -ominaisuudet. Voit tehdä näin:

  1. Luo laitetunniste nimeltä VIP, ja ota se käyttöön kaikissa laitteissa, joiden pitäisi vastaanottaa Defender for Endpoint Plan 2 -ominaisuuksia. Luo laitetunniste jollakin seuraavista tavoista:

  2. Määritä dynaaminen sääntö käyttämällä ehto-operaattoria Tag Does not contain VIP. Tässä tapauksessa kaikki laitteet, joissa VIP ei ole tunnistetta, saavat tunnisteen License MDE P1 ja Defender for Endpoint Plan 1 -ominaisuudet.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Varmista, että laite vastaanottaa vain Defender for Endpoint Plan 1 -ominaisuuksia

Kun olet määrittänyt Defender for Endpoint Plan 1 -ominaisuudet joihinkin laitteisiin tai kaikkiin laitteisiin, voit varmistaa, että yksittäinen laite vastaanottaa nämä ominaisuudet.

  1. Siirry Microsoft Defender -portaalissa (https://security.microsoft.com) kohtaan Assets>Devices.

  2. Valitse laite, jolla on merkintä License MDE P1. Sinun pitäisi nähdä, että Defender for Endpoint Plan 1 on määritetty laitteelle.

Huomautus

Laitteissa, joille on määritetty Defender for Endpoint Plan 1 -ominaisuuksia, ei ole luettelossa haavoittuvuuksia tai suojaussuosituksia.

Tarkista käyttöoikeuden käyttö

Käyttöoikeuden käyttöraportti arvioidaan laitteen kirjautumistoimintojen perusteella. Defender for Endpoint Plan 2 -käyttöoikeudet ovat käyttäjäkohtaisia, ja kullakin käyttäjällä voi olla enintään viisi samanaikaista laitetta, jotka on otettu käyttöön. Lisätietoja käyttöoikeusehdoista on artikkelissa Microsoft-käyttöoikeudet.

Hallinnan kuormituskuormituksen vähentämiseksi laite-käyttäjäkohtaista yhdistämismääritystä ja määritystä ei vaadita. Käyttöoikeusraportti tarjoaa sen sijaan käyttöarvion, joka lasketaan koko organisaatiosi laitteen käytön perusteella. Voi kestää jopa päivän, ennen kuin käyttöraporttisi vastaa laitteiden aktiivista käyttöä.

Tärkeää

Jotta voit käyttää käyttöoikeustietoja, sinulla on oltava jokin seuraavista Microsoft Entra -tunnuksissa määritetyistä rooleista:

  • Suojauksen järjestelmänvalvoja
  • Käyttöoikeusjärjestelmänvalvoja ja Defender for Endpoint -järjestelmänvalvoja

  1. Siirry Microsoft Defender -portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

  2. Valitse Asetukset>Päätepisteiden>käyttöoikeudet.

  3. Tarkista käytettävissä olevat ja määritetyt käyttöoikeudet. Laskutoimitus perustuu havaittuihin käyttäjiin, jotka ovat käyttäneet laitteita, jotka on otettu käyttöön Defender for Endpointiin.

Lisäresursseja

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.