Eseguire l'onboarding dei dispositivi in Microsoft Defender for Business

Questo articolo descrive come eseguire l'onboarding dei dispositivi in Defender per le aziende.

Caricare i dispositivi aziendali per proteggerli immediatamente. È possibile scegliere tra diverse opzioni per eseguire l'onboarding dei dispositivi aziendali. Questo articolo illustra le opzioni e descrive il funzionamento dell'onboarding.

Soluzione

1. Selezionare una scheda:
   • Windows 10 e 11
   • Mac
   • Dispositivi mobili (sono disponibili nuove funzionalità per i dispositivi iOS e Android!)
   • Server (Server Windows o Linux)
2. Visualizzare le opzioni di onboarding e seguire le indicazioni nella scheda selezionata.
3. Visualizzare un elenco di dispositivi di cui è stato caricato l'onboarding.
4. Eseguire un test di phishing in un dispositivo.
5. Procedere con i passaggi successivi.

Windows 10 e 11

Windows 10 e 11

Nota

I dispositivi Windows devono eseguire uno dei sistemi operativi seguenti:

• Windows 10 o 11 Business
• Windows 10 o 11 Professional
• Windows 10 o 11 Enterprise

Per altre informazioni, vedere requisiti di Microsoft Defender for Business.

Scegliere una delle opzioni seguenti per eseguire l'onboarding dei dispositivi client Windows in Defender for Business:

• Script locale (per l'onboarding manuale dei dispositivi nel portale di Microsoft Defender)
• Criteri di gruppo (se si usa già Criteri di gruppo nell'organizzazione)
• Microsoft Intune (se si usa già Intune)

Script locale per Windows 10 e 11

È possibile usare uno script locale per eseguire l'onboarding dei dispositivi client Windows. Quando si esegue lo script di onboarding in un dispositivo, crea un trust con Microsoft Entra ID (se tale attendibilità non esiste già), registra il dispositivo in Microsoft Intune (se non è già registrato) e quindi esegue l'onboarding del dispositivo in Defender for Business. Se attualmente non si usa Intune, il metodo di script locale è il metodo di onboarding consigliato per i clienti di Defender for Business.

Consiglio

È consigliabile eseguire l'onboarding di un massimo di 10 dispositivi alla volta quando si usa il metodo di script locale.

1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

2. Nel riquadro di spostamento scegliere Impostazioni>Endpoints e quindi in Gestione dei dispositivi scegliere Onboarding.

3. Selezionare Windows 10 e 11 e quindi nella sezione Metodo di distribuzione scegliere Script locale.

4. Selezionare Scarica pacchetto di onboarding. È consigliabile salvare il pacchetto di onboarding in un'unità rimovibile.

5. In un dispositivo Windows estrarre il contenuto del pacchetto di configurazione in un percorso, ad esempio la cartella Desktop. È necessario disporre di un file denominato WindowsDefenderATPLocalOnboardingScript.cmd.

6. Aprire una finestra del prompt dei comandi come amministratore.

7. Digitare il percorso del file di script. Ad esempio, se il file è stato copiato nella cartella Desktop, digitare %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmde quindi premere INVIO (o selezionare OK).

8. Dopo l'esecuzione dello script, eseguire un test di rilevamento.

Criteri di gruppo per Windows 10 e 11

Se si preferisce usare Criteri di gruppo per eseguire l'onboarding dei client Windows, seguire le indicazioni riportate in Eseguire l'onboarding dei dispositivi Windows usando Criteri di gruppo. Questo articolo descrive i passaggi per l'onboarding in Microsoft Defender per endpoint. I passaggi per l'onboarding in Defender for Business sono simili.

Intune per Windows 10 e 11

È possibile eseguire l'onboarding dei client Windows e di altri dispositivi in Intune usando l'interfaccia di amministrazione Intune (https://intune.microsoft.com). Sono disponibili diversi metodi per registrare i dispositivi in Intune. È consigliabile usare uno dei metodi seguenti:

• Abilitare la registrazione automatica di Windows per i dispositivi di proprietà dell'azienda o gestiti dall'azienda
• Chiedere agli utenti di registrare i propri dispositivi Windows 10/11 in Intune

Abilitare la registrazione automatica per Windows 10 e 11

Quando si configura la registrazione automatica, gli utenti aggiungono il proprio account aziendale al dispositivo. In background, il dispositivo registra e aggiunge Microsoft Entra ID e viene registrato in Intune.

1. Passare alla portale di Azure (https://portal.azure.com/) e accedere.

2. Selezionare Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

3. Configurare l'ambito utente MDM e l'ambito utente MAM.

   

   • Per L'ambito utente MDM, è consigliabile selezionare Tutto in modo che tutti gli utenti possano registrare automaticamente i propri dispositivi Windows.

   • Nella sezione ambito utente MAM è consigliabile usare i valori predefiniti seguenti per gli URL:

     • URL delle condizioni per l'uso di MDM
     • URL individuazione MDM
     • URL conformità MDM

4. Selezionare Salva.

5. Dopo aver registrato un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi in Defender per le aziende. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Consiglio

Per altre informazioni, vedere Abilitare la registrazione automatica di Windows.

Chiedere agli utenti di registrare i Windows 10 e 11 dispositivi

1. Guardare il video seguente per vedere come funziona la registrazione:
   
   

2. Condividere questo articolo con gli utenti dell'organizzazione: Registrare i dispositivi Windows 10/11 in Intune.

3. Dopo aver registrato un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi in Defender per le aziende. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Eseguire un test di rilevamento in un dispositivo Windows 10 o 11

Dopo aver eseguito l'onboarding dei dispositivi Windows in Defender per le aziende, è possibile eseguire un test di rilevamento nel dispositivo per assicurarsi che tutto funzioni correttamente.

1. Nel dispositivo Windows creare una cartella: C:\test-MDATP-test.

2. Aprire il prompt dei comandi come amministratore.

3. Nella finestra del prompt dei comandi eseguire il comando di PowerShell seguente:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Dopo l'esecuzione del comando, la finestra del prompt dei comandi viene chiusa automaticamente. In caso di esito positivo, il test di rilevamento viene contrassegnato come completato e viene visualizzato un nuovo avviso nel portale di Microsoft Defender (https://security.microsoft.com) per il dispositivo appena caricato entro circa 10 minuti.

Mac

Mac

Nota

È consigliabile usare uno script locale per eseguire l'onboarding di Mac. Sebbene sia possibile configurare la registrazione per Mac usando Intune, lo script locale è il metodo più semplice per l'onboarding di Mac in Defender for Business.

Scegliere una delle opzioni seguenti per eseguire l'onboarding di Mac:

• Script locale per Mac (scelta consigliata)
• Intune per Mac (se si usa già Intune)

Script locale per Mac

Quando si esegue lo script locale in Mac, crea un trust con Microsoft Entra ID (se tale attendibilità non esiste già), registra il Mac in Microsoft Intune (se non è già registrato) e quindi esegue l'onboarding del Mac in Defender for Business. È consigliabile eseguire l'onboarding di un massimo di 10 dispositivi alla volta usando questo metodo.

1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

2. Nel riquadro di spostamento scegliere Impostazioni>Endpoints e quindi in Gestione dei dispositivi scegliere Onboarding.

3. Selezionare macOS. Nella sezione Metodo di distribuzione scegliere Script locale.

4. Selezionare Scarica pacchetto di onboarding e salvarlo in un'unità rimovibile. Selezionare anche Scarica pacchetto di installazione e salvarlo nel dispositivo rimovibile.

5. In Mac salvare il pacchetto di installazione come wdav.pkg in una directory locale.

6. Salvare il pacchetto di onboarding come WindowsDefenderATPOnboardingPackage.zip nella stessa directory usata per il pacchetto di installazione.

7. Usare Finder per passare all'utente wdav.pkg salvato e quindi aprirlo.

8. Selezionare Continua, accettare le condizioni di licenza e quindi immettere la password quando richiesto.

9. Viene richiesto di consentire l'installazione di un driver da Microsoft ( l'estensione di sistema è bloccata o l'installazione è in attesa o entrambe). È necessario consentire l'installazione del driver. Selezionare Apri preferenze di sicurezza o Apri preferenze> di sistemaSicurezza & Privacy e quindi selezionare Consenti.

10. Usare il comando Bash seguente per eseguire il pacchetto di onboarding:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Dopo la registrazione di Mac in Intune, è possibile aggiungerlo a un gruppo di dispositivi. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Intune per Mac

Se si dispone già di Intune, è possibile registrare i computer Mac usando l'interfaccia di amministrazione Intune (https://intune.microsoft.com). Sono disponibili diversi metodi per registrare Mac in Intune. È consigliabile usare uno dei metodi seguenti:

• Scegliere un'opzione per Mac di proprietà dell'azienda
• Chiedere agli utenti di registrare il proprio Mac in Intune

Opzioni per Mac di proprietà dell'azienda

Scegliere una delle opzioni seguenti per registrare i dispositivi Mac gestiti dall'azienda in Intune:

Opzione	Descrizione
Registrazione automatica dei dispositivi Apple	Usare questo metodo per automatizzare la registrazione nei dispositivi acquistati tramite Apple Business Manager o Apple School Manager. La registrazione automatica dei dispositivi distribuisce il profilo di registrazione "in modalità diretta", quindi non è necessario avere accesso fisico ai dispositivi. Vedere Registrare automaticamente Mac con Apple Business Manager o Apple School Manager.
Gestione registrazione dispositivi (DEM)	Usare questo metodo per le distribuzioni su larga scala e quando sono presenti più persone nell'organizzazione che possono essere utili per la configurazione della registrazione. Un utente con autorizzazioni di gestione registrazione dispositivi (DEM) può registrare fino a 1.000 dispositivi con un singolo account Microsoft Entra. Questo metodo usa l'app Portale aziendale o Microsoft Intune per registrare i dispositivi. Non è possibile usare un account DEM per registrare i dispositivi tramite registrazione automatica dei dispositivi. Vedere Registrare i dispositivi in Intune usando un account di gestione registrazione dispositivi.
Registrazione diretta	La registrazione diretta registra i dispositivi senza affinità utente, quindi questo metodo è ideale per i dispositivi non associati a un singolo utente. Questo metodo richiede l'accesso fisico ai Mac che si stanno registrando. Vedere Usare la registrazione diretta per Mac.

Chiedere agli utenti di registrare il proprio Mac in Intune

Se l'azienda preferisce che le persone registrino i propri dispositivi in Intune, indirizzare gli utenti a seguire questa procedura:

1. Passare al sito Web Portale aziendale (https://portal.manage.microsoft.com/) e accedere.

2. Seguire le istruzioni nel sito Web Portale aziendale per aggiungere il dispositivo.

3. Installare l'app Portale aziendale in https://aka.ms/EnrollMyMace seguire le istruzioni nell'app.

Verificare che sia stato eseguito l'onboarding di un Mac

1. Per verificare che il dispositivo sia associato all'azienda, usare il comando Python seguente in Bash:

   mdatp health --field org_id.

2. Se si usa macOS 10.15 (Catalina) o versioni successive, concedere il consenso di Defender for Business per proteggere il dispositivo. Passare a Preferenze> di sistemaSicurezza & Privacy>Privacy>Accesso completo al disco. Selezionare l'icona di blocco nella parte inferiore della finestra di dialogo per apportare modifiche e quindi selezionare Microsoft Defender for Business (o Defender per endpoint, se è quello visualizzato).

3. Per verificare che sia stato eseguito l'onboarding del dispositivo, usare il comando seguente in Bash:

   mdatp health --field real_time_protection_enabled

Dopo la registrazione di un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Dispositivi mobili

Dispositivi mobili

È possibile usare i metodi seguenti per eseguire l'onboarding di dispositivi mobili, ad esempio dispositivi Android e iOS:

• Usare l'app Microsoft Defender
• Usare Microsoft Intune

Usare l'app Microsoft Defender

Le funzionalità di difesa dalle minacce mobili sono ora disponibili a livello generale per i clienti di Defender for Business. Con queste funzionalità, è ora possibile eseguire l'onboarding di dispositivi mobili (ad esempio Android e iOS) usando l'app Microsoft Defender. Con questo metodo, gli utenti scaricano l'app da Google Play o da Apple App Store, accedono e completano i passaggi di onboarding.

Importante

Assicurarsi che tutti i requisiti seguenti siano soddisfatti prima di eseguire l'onboarding dei dispositivi mobili:

1. Defender for Business ha completato il provisioning. Nel portale di Microsoft Defender passare a Dispositivi asset>.
   - Se vedi un messaggio che dice"Aspetta! Stiamo preparando nuovi spazi per i dati e li stiamo connettendo", quindi Defender per le aziende non ha completato il provisioning. Questo processo si sta verificando ora e il completamento può richiedere fino a 24 ore.
   - Se viene visualizzato un elenco di dispositivi o viene richiesto di eseguire l'onboarding dei dispositivi, significa che il provisioning di Defender for Business è stato completato.
2. Gli utenti hanno scaricato l'app Microsoft Authenticator nel dispositivo e hanno registrato il dispositivo usando il proprio account aziendale o dell'istituto di istruzione per Microsoft 365.

Dispositivo	Procedura
Android	1. Sul dispositivo, andare al Google Play Store. 2. Se non è già stato fatto, scaricare e installare l'app Microsoft Authenticator. Accedere e registrare il dispositivo nell'app Microsoft Authenticator. 3. Nel Google Play Store cercare l'app Microsoft Defender e installarla. 4. Aprire l'app Microsoft Defender, accedere e completare il processo di onboarding.
iOS	1. Nel dispositivo, andare alla App Store Apple. 2. Se non è già stato fatto, scaricare e installare l'app Microsoft Authenticator. Accedere e registrare il dispositivo nell'app Microsoft Authenticator. 3. Nel App Store Apple cercare l'app Microsoft Defender. 4. Accedere e installare l'app. 5. Accettare le condizioni d'uso per continuare. 6. Consentire all'app Microsoft Defender di configurare una connessione VPN e aggiungere configurazioni VPN. 7. Scegliere se consentire le notifiche (ad esempio gli avvisi).

Consiglio

Dopo aver eseguito l'onboarding dei dispositivi mobili usando l'app Microsoft Defender, procedere con l'esecuzione di un test di phishing in un dispositivo.

Usare Microsoft Intune

Se la sottoscrizione include Microsoft Intune, è possibile usarla per eseguire l'onboarding di dispositivi mobili, ad esempio dispositivi Android e iOS/iPadOS. Vedere le risorse seguenti per ottenere assistenza con la registrazione di questi dispositivi in Intune:

• Registrare dispositivi Android
• Registrare dispositivi iOS o iPadOS

Dopo la registrazione di un dispositivo in Intune, è possibile aggiungerlo a un gruppo di dispositivi. Altre informazioni sui gruppi di dispositivi in Defender per le aziende.

Server

Server

Nota

Se si prevede di eseguire l'onboarding di un'istanza di Windows Server o Linux Server, sarà necessaria una licenza aggiuntiva, ad esempio Microsoft Defender for Business per server. In alternativa, è possibile usare Microsoft Defender per i server Piano 1 o Piano 2. Per altre informazioni, vedere Cosa accade se si dispone di una combinazione di sottoscrizioni per la sicurezza degli endpoint Microsoft?

Scegliere il sistema operativo per il server:

• Windows Server
• Linux Server

Server Windows

Importante

Assicurarsi di soddisfare i requisiti seguenti prima di eseguire l'onboarding di un endpoint di Windows Server:

• Si dispone di una licenza di Microsoft Defender for Business per server. Vedere Come ottenere Microsoft Defender for Business per server.
• L'ambito di imposizione per Windows Server è attivato. Passare a Impostazioni>Endpoint>Gestione della configurazione>Ambito di imposizione. Selezionare Usa MDE per applicare le impostazioni di configurazione della sicurezza da MEM, selezionare Windows Server e quindi selezionare Salva.

È possibile eseguire l'onboarding di un'istanza di Windows Server in Defender for Business usando uno script locale.

Script locale per Windows Server

1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

2. Nel riquadro di spostamento scegliere Impostazioni>Endpoints e quindi in Gestione dei dispositivi scegliere Onboarding.

3. Selezionare un sistema operativo, ad esempio Windows Server 1803, 2019 e 2022, quindi nella sezione Metodo di distribuzione scegliere Script locale.

   Se si seleziona Windows Server 2012 R2 e 2016, sono disponibili due pacchetti da scaricare ed eseguire: un pacchetto di installazione e un pacchetto di onboarding. Il pacchetto di installazione contiene un file MSI che installa l'agente defender per le aziende. Il pacchetto di onboarding contiene lo script per eseguire l'onboarding dell'endpoint di Windows Server in Defender for Business.

4. Selezionare Scarica pacchetto di onboarding. È consigliabile salvare il pacchetto di onboarding in un'unità rimovibile.

   Se è stato selezionato Windows Server 2012 R2 e 2016, selezionare anche Scarica pacchetto di installazione e salvare il pacchetto in un'unità rimovibile

5. Nell'endpoint di Windows Server estrarre il contenuto del pacchetto di installazione/onboarding in un percorso, ad esempio la cartella Desktop. È necessario disporre di un file denominato WindowsDefenderATPLocalOnboardingScript.cmd.

   Se si esegue l'onboarding Windows Server 2012 R2 o Windows Server 2016, estrarre prima il pacchetto di installazione.

6. Aprire una finestra del prompt dei comandi come amministratore.

7. Se si esegue l'onboarding di Windows Server 2012R2 o Windows Server 2016, eseguire il comando seguente:

   Msiexec /i md4ws.msi /quiet

   Se si esegue l'onboarding di Windows Server 1803, 2019 o 2022, ignorare questo passaggio e andare al passaggio 8.

8. Digitare il percorso del file di script. Ad esempio, se il file è stato copiato nella cartella Desktop, digitare %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmde quindi premere INVIO (o selezionare OK).

9. Passare a Eseguire un test di rilevamento in Windows Server.

Eseguire un test di rilevamento in Windows Server

Dopo aver eseguito l'onboarding dell'endpoint di Windows Server in Defender for Business, è possibile eseguire un test di rilevamento per assicurarsi che tutto funzioni correttamente:

1. Nel dispositivo Windows Server creare una cartella: C:\test-MDATP-test.

2. Aprire il prompt dei comandi come amministratore.

3. Nella finestra del prompt dei comandi eseguire il comando di PowerShell seguente:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Dopo l'esecuzione del comando, la finestra del prompt dei comandi verrà chiusa automaticamente. In caso di esito positivo, il test di rilevamento viene contrassegnato come completato e viene visualizzato un nuovo avviso nel portale di Microsoft Defender (https://security.microsoft.com) per il dispositivo appena caricato entro circa 10 minuti.

Linux Server

Importante

Prima di eseguire l'onboarding di un endpoint server Linux, assicurarsi di soddisfare i requisiti seguenti:

• Si dispone di una licenza di Microsoft Defender for Business per server. Vedere Come ottenere Microsoft Defender for Business per server.
• Si soddisfano i prerequisiti per Microsoft Defender per endpoint in Linux.

Eseguire l'onboarding degli endpoint del server Linux

È possibile usare i metodi seguenti per eseguire l'onboarding di un'istanza di Linux Server in Defender for Business:

• Script locale: Vedere Distribuire manualmente Microsoft Defender per endpoint in Linux.
• Ansible: Vedere Distribuire Microsoft Defender per endpoint in Linux con Ansible.
• Chef: Vedere Distribuire Defender per endpoint in Linux con Chef.
• Burattino: Vedere Distribuire Microsoft Defender per endpoint in Linux con Puppet.

Nota

L'onboarding di un'istanza di Linux Server in Defender for Business equivale all'onboarding in Microsoft Defender per endpoint in Linux.

Visualizzare un elenco di dispositivi caricati

Importante

Per eseguire la procedura seguente, è necessario assegnare un ruolo appropriato, ad esempio Amministratore globale, Amministratore della sicurezza o Lettore di sicurezza. Per altre informazioni, vedere Ruoli in Defender per le aziende.

1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

2. Nel riquadro di spostamento passare a Dispositivi asset>. Verrà visualizzata la visualizzazione Inventario dispositivi .

Eseguire un test di phishing in un dispositivo

Dopo aver eseguito l'onboarding di un dispositivo, è possibile eseguire un test di phishing rapido per assicurarsi che il dispositivo sia connesso e che gli avvisi vengano generati come previsto.

1. In un dispositivo passare a https://smartscreentestratings2.net. Defender for Business deve bloccare l'URL nel dispositivo dell'utente.

2. Come membro del team di sicurezza dell'organizzazione, passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.

3. Nel riquadro di spostamento passare a Eventi imprevisti. Verrà visualizzato un avviso informativo che indica che un dispositivo ha tentato di accedere a un sito di phishing.

Passaggi successivi

• Se è necessario eseguire l'onboarding di altri dispositivi, selezionare la scheda per tali dispositivi (Windows 10 e 11, Mac, server o dispositivi mobili) e seguire le indicazioni riportate in tale scheda.
• Se hai completato l'onboarding dei dispositivi, passa al Passaggio 6: Configurare le impostazioni e i criteri di sicurezza in Defender per le aziende.