Delen via


Onboarding met Microsoft Configuration Manager

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Dit artikel fungeert als een voorbeeld van de onboardingmethode.

In het artikel Planning zijn er verschillende methoden beschikbaar voor het onboarden van apparaten voor de service. In dit artikel wordt de architectuur voor co-beheer besproken.

Het cloudeigen architectuurdiagram van omgevingsarchitecturen

Hoewel Defender voor Eindpunt onboarding van verschillende eindpunten en hulpprogramma's ondersteunt, worden deze in dit artikel niet behandeld. Zie Overzicht van onboarding voor informatie over algemene onboarding met behulp van andere ondersteunde implementatiehulpprogramma's en -methoden.

In dit artikel worden gebruikers begeleid in:

  • Stap 1: Windows-apparaten onboarden voor de service
  • Stap 2: Mogelijkheden van Defender voor Eindpunt configureren

Deze onboarding-richtlijnen helpen u bij de volgende basisstappen die u moet uitvoeren bij het gebruik van Microsoft Configuration Manager:

  • Een verzameling maken in Microsoft Configuration Manager
  • Mogelijkheden van Microsoft Defender voor Eindpunt configureren met Behulp van Microsoft Configuration Manager

Opmerking

In dit voorbeeld worden alleen Windows-apparaten behandeld.

Stap 1: Windows-apparaten onboarden met Microsoft Configuration Manager

Verzameling maken

Als u Windows-apparaten wilt onboarden met Microsoft Configuration Manager, kan de implementatie gericht zijn op een bestaande verzameling of kan een nieuwe verzameling worden gemaakt om te worden getest.

Onboarding met behulp van hulpprogramma's zoals groepsbeleid of handmatige methode installeert geen agent op het systeem.

In de Microsoft Configuration Manager-console wordt het onboardingproces geconfigureerd als onderdeel van de nalevingsinstellingen in de console.

Elk systeem dat deze vereiste configuratie ontvangt, behoudt die configuratie zolang de Configuration Manager-client dit beleid van het beheerpunt blijft ontvangen.

Volg de onderstaande stappen om eindpunten te onboarden met behulp van Microsoft Configuration Manager.

  1. Navigeer in de Microsoft Configuration Manager-console naar Overzicht > van apparaatverzamelingen activa en naleving>.

    De wizard Microsoft Configuration Manager1

  2. Selecteer met de rechtermuisknop Apparaatverzameling en selecteer Apparaatverzameling maken.

    De wizard Microsoft Configuration Manager2

  3. Geef een naam en verzameling beperken op en selecteer vervolgens Volgende.

    De wizard Microsoft Configuration Manager3

  4. Selecteer Regel toevoegen en kies Queryregel.

    De wizard Microsoft Configuration Manager4

  5. Selecteer Volgende in de wizard Direct lidmaatschap en selecteer query-instructie bewerken.

    De wizard Microsoft Configuration Manager5

  6. Selecteer Criteria en kies vervolgens het sterpictogram.

    De wizard Microsoft Configuration Manager6

  7. Houd criteriumtype als eenvoudige waarde, kies terwijl Besturingssysteem - buildnummer, operator als groter dan of gelijk is aan en waarde 14393 en selecteer op OK.

    De wizard Microsoft Configuration Manager7

  8. Selecteer Volgende en Sluiten.

    De wizard Microsoft Configuration Manager8

  9. Selecteer Volgende.

    De wizard Microsoft Configuration Manager9

Nadat u deze taak hebt voltooid, hebt u nu een apparaatverzameling met alle Windows-eindpunten in de omgeving.

Stap 2: Mogelijkheden van Microsoft Defender voor Eindpunt configureren

In deze sectie wordt u begeleid bij het configureren van de volgende mogelijkheden met behulp van Microsoft Configuration Manager op Windows-apparaten:

Detectie van en reactie op eindpunt

Windows 10 en Windows 11

Vanuit de Microsoft Defender-portal is het mogelijk om het .onboarding beleid te downloaden dat kan worden gebruikt om het beleid te maken in System Center Configuration Manager en dat beleid te implementeren op Windows 10- en Windows 11-apparaten.

  1. Selecteer in een Microsoft Defender-portalInstellingen en vervolgens Onboarding.

  2. Selecteer onder Implementatiemethode de ondersteunde versie van Microsoft Configuration Manager.

    De wizard Microsoft Configuration Manager10

  3. Selecteer Pakket downloaden.

    De wizard Microsoft Configuration Manager11

  4. Sla het pakket op een toegankelijke locatie op.

  5. Navigeer in Microsoft Configuration Manager naar: Overzicht van > assets en naleving > Endpoint Protection > Microsoft Defender ATP-beleid.

  6. Klik met de rechtermuisknop op Microsoft Defender ATP-beleid en selecteer Microsoft Defender ATP-beleid maken.

    De wizard Microsoft Configuration Manager12

  7. Voer de naam en beschrijving in, controleer of Onboarding is geselecteerd en selecteer vervolgens Volgende.

    De wizard Microsoft Configuration Manager13

  8. Selecteer Bladeren.

  9. Navigeer naar de locatie van het gedownloade bestand uit stap 4 hierboven.

  10. Selecteer Volgende.

  11. Configureer de agent met de juiste voorbeelden (Geen of Alle bestandstypen).

    De configuratie-instellingen1

  12. Selecteer de juiste telemetrie (Normaal of Versneld) en selecteer vervolgens Volgende.

    De configuratie-instellingen2

  13. Controleer de configuratie en selecteer volgende.

    De configuratie-instellingen3

  14. Selecteer Sluiten wanneer de wizard is voltooid.

  15. Klik in de Microsoft Configuration Manager-console met de rechtermuisknop op het Defender for Endpoint-beleid dat u hebt gemaakt en selecteer Implementeren.

    De configuratie-instellingen4

  16. Selecteer in het rechterdeelvenster de eerder gemaakte verzameling en selecteer OK.

    De configuratie-instellingen5

Eerdere versies van Windows Client (Windows 7 en Windows 8.1)

Volg de onderstaande stappen om de werkruimte-id en werkruimtesleutel van Defender voor Eindpunt te identificeren die vereist zijn voor de onboarding van eerdere versies van Windows.

  1. Selecteer in een Microsoft Defender-portalInstellingen>Eindpunten>Onboarding (onder Apparaatbeheer).

  2. Kies onder besturingssysteem de optie Windows 7 SP1 en 8.1.

  3. Kopieer de werkruimte-id en werkruimtesleutel en sla deze op. Ze worden later in het proces gebruikt.

    Het onboardingproces

  4. Installeer de Microsoft Monitoring Agent (MMA).

    MMA wordt momenteel (vanaf januari 2019) ondersteund op de volgende Windows-besturingssystemen:

    • Server-SKU's: Windows Server 2008 SP1 of nieuwer
    • Client-SKU's: Windows 7 SP1 en hoger

    De MMA-agent moet worden geïnstalleerd op Windows-apparaten. Om de agent te installeren, moeten sommige systemen de update voor klantervaring en diagnostische telemetrie downloaden om de gegevens met MMA te verzamelen. Deze systeemversies omvatten, maar zijn mogelijk niet beperkt tot:

    • Windows 8.1
    • Windows 7
    • Windows Server 2016
    • Windows Server 2012 R2
    • Windows Server 2008 R2

    Voor Windows 7 SP1 moeten de volgende patches worden geïnstalleerd:

  5. Als u een proxy gebruikt om verbinding te maken met internet, raadpleegt u de sectie Proxy-instellingen configureren.

Als u klaar bent, ziet u binnen een uur onboarding-eindpunten in de portal.

Beveiliging van de volgende generatie

Microsoft Defender Antivirus is een ingebouwde antimalwareoplossing die de volgende generatie beveiliging biedt voor desktops, draagbare computers en servers.

  1. Navigeer in de Microsoft Configuration Manager-console naar Assets and Compliance > Overview > Endpoint Protection > Antimalware Polices en kies Create Antimalware Policy.

    Het antimalwarebeleid

  2. Selecteer Geplande scans, Scaninstellingen, Standaardacties, Realtime-beveiliging, Uitsluitingsinstellingen, Geavanceerd, Bedreigingsoverschrijvingen, Cloud Protection Service en Updates voor beveiligingsinformatie en kies OK.

    Het beveiligingsvenster van de volgende generatie1

    In bepaalde branches of sommige geselecteerde zakelijke klanten kunnen specifieke behoeften hebben over de configuratie van antivirusprogramma's.

    Snelle scan versus volledige scan en aangepaste scan

    Zie Configuratieframework voor Windows-beveiliging voor meer informatie.

    Het beveiligingsvenster van de volgende generatie2

    Het beveiligingsvenster van de volgende generatie3

    Het beveiligingsvenster van de volgende generatie4

    Het beveiligingsvenster van de volgende generatie5

    Het beveiligingsvenster van de volgende generatie6

    Het beveiligingsvenster van de volgende generatie7

    Het beveiligingsvenster van de volgende generatie8

    Het beveiligingsvenster van de volgende generatie9

  3. Klik met de rechtermuisknop op het zojuist gemaakte antimalwarebeleid en selecteer Implementeren.

    Het beveiligingsvenster van de volgende generatie10

  4. Richt het nieuwe antimalwarebeleid op uw Windows-verzameling en selecteer OK.

    Het beveiligingsvenster van de volgende generatie11

Nadat u deze taak hebt voltooid, hebt u Microsoft Defender Antivirus geconfigureerd.

Kwetsbaarheid voor aanvallen verminderen

De pijler voor het verminderen van kwetsbaarheid voor aanvallen van Defender voor Eindpunt bevat de functieset die beschikbaar is onder Exploit Guard. Regels voor het verminderen van kwetsbaarheid voor aanvallen, Gecontroleerde maptoegang, Netwerkbeveiliging en Exploit Protection.

Al deze functies bieden een testmodus en een blokmodus. In de testmodus is er geen invloed op de eindgebruiker. Het enige wat u doet, is het verzamelen van andere telemetriegegevens en deze beschikbaar maken in de Microsoft Defender-portal. Het doel van een implementatie is om beveiligingsbesturingselementen stapsgewijs te verplaatsen naar de blokmodus.

Regels voor het verminderen van kwetsbaarheid voor aanvallen instellen in de testmodus:

  1. Navigeer in de Microsoft Configuration Manager-console naar Assets and Compliance > Overview > Endpoint Protection > Windows Defender Exploit Guard en kies Exploit Guard-beleid maken.

    De Microsoft Configuration Manager-console0

  2. Selecteer Kwetsbaarheid voor aanvallen verminderen.

  3. Stel regels in op Controleren en selecteer Volgende.

    De Microsoft Configuration Manager-console1

  4. Bevestig het nieuwe Exploit Guard-beleid door Volgende te selecteren.

    De Microsoft Configuration Manager-console2

  5. Zodra het beleid is gemaakt, selecteert u Sluiten.

    De Microsoft Configuration Manager-console3

  6. Klik met de rechtermuisknop op het zojuist gemaakte beleid en kies Implementeren.

    De Microsoft Configuration Manager-console4

  7. Richt het beleid op de zojuist gemaakte Windows-verzameling en selecteer OK.

    De Microsoft Configuration Manager-console5

Nadat u deze taak hebt voltooid, hebt u nu regels voor het verminderen van kwetsbaarheid voor aanvallen geconfigureerd in de testmodus.

Hieronder volgen meer stappen om te controleren of regels voor het verminderen van kwetsbaarheid voor aanvallen correct worden toegepast op eindpunten. (Dit kan enkele minuten duren)

  1. Ga vanuit een webbrowser naar Microsoft Defender XDR.

  2. Selecteer Configuratiebeheer in het menu aan de linkerkant.

  3. Selecteer Ga naar aanvalsoppervlakbeheer in het deelvenster Kwetsbaarheidsbeheer voor aanvallen.

    Het beheer van kwetsbaarheid voor aanvallen

  4. Selecteer het tabblad Configuratie in rapporten met regels voor het verminderen van kwetsbaarheid voor aanvallen. Het toont het configuratieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen en de status van regels voor het verminderen van kwetsbaarheid voor aanvallen op elk apparaat.

    De rapporten van regels voor het verminderen van kwetsbaarheid voor aanvallen1

  5. Selecteer elk apparaat toont configuratiedetails van regels voor het verminderen van kwetsbaarheid voor aanvallen.

    De rapporten van regels voor het verminderen van kwetsbaarheid voor aanvallen2

Zie Implementatie en detecties van regels voor het verminderen van kwetsbaarheid voor aanvallen optimaliseren voor meer informatie.

Netwerkbeveiligingsregels instellen in de testmodus

  1. Navigeer in de Microsoft Configuration Manager-console naar Assets and Compliance > Overview > Endpoint Protection > Windows Defender Exploit Guard en kies Exploit Guard-beleid maken.

    The System Center Configuration Manager1

  2. Selecteer Netwerkbeveiliging.

  3. Stel de instelling in op Controleren en selecteer Volgende.

    The System Center Configuration Manager2

  4. Bevestig het nieuwe Exploit Guard-beleid door Volgende te selecteren.

    Het Exploit Guard-beleid1

  5. Zodra het beleid is gemaakt, selecteert u Sluiten.

    Het Exploit Guard-beleid2

  6. Klik met de rechtermuisknop op het zojuist gemaakte beleid en kies Implementeren.

    The Microsoft Configuration Manager-1

  7. Selecteer het beleid voor de zojuist gemaakte Windows-verzameling en kies OK.

    The Microsoft Configuration Manager-2

Nadat u deze taak hebt voltooid, hebt u netwerkbeveiliging geconfigureerd in de testmodus.

Regels voor gecontroleerde mappentoegang instellen in de testmodus

  1. Ga in de Microsoft Configuration Manager-console naar Assets and Compliance>Overview>Endpoint Protection>Windows Defender Exploit Guard en kies vervolgens Exploit Guard-beleid maken.

    The Microsoft Configuration Manager-3

  2. Selecteer Gecontroleerde maptoegang.

  3. Stel de configuratie in op Audit en selecteer Volgende.

    The Microsoft Configuration Manager-4

  4. Bevestig het nieuwe Exploit Guard-beleid door Volgende te selecteren.

    The Microsoft Configuration Manager-5

  5. Zodra het beleid is gemaakt, selecteert u Sluiten.

    The Microsoft Configuration Manager-6

  6. Klik met de rechtermuisknop op het zojuist gemaakte beleid en kies Implementeren.

    The Microsoft Configuration Manager-7

  7. Richt het beleid op de zojuist gemaakte Windows-verzameling en selecteer OK.

The Microsoft Configuration Manager-8

U hebt nu gecontroleerde maptoegang geconfigureerd in de testmodus.

Gerelateerd artikel

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.