Zarządzanie ustawieniami subskrypcji Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach klienckich
W usłudze Defender for Endpoint scenariusz licencjonowania mieszanego to sytuacja, w której organizacja używa kombinacji licencji Defender for Endpoint Plan 1 i Plan 2. W poniższej tabeli opisano przykłady scenariuszy licencjonowania mieszanego:
| Scenariusz | Opis |
|---|---|
| Dzierżawa mieszana | Użyj różnych zestawów możliwości dla grup użytkowników i ich urządzeń. Na przykład: — Defender for Endpoint Plan 1 i Defender for Endpoint Plan 2 - Microsoft 365 E3 i Microsoft 365 E5 |
| Wersja próbna mieszana | Wypróbuj subskrypcję na poziomie Premium dla niektórych użytkowników. Na przykład: — Defender for Endpoint Plan 1 (zakupiony dla wszystkich użytkowników) i Defender for Endpoint Plan 2 (subskrypcja wersji próbnej została uruchomiona dla niektórych użytkowników) — Microsoft 365 E3 (zakupione dla wszystkich użytkowników) i Microsoft 365 E5 (dla niektórych użytkowników została uruchomiona subskrypcja próbna) |
| Uaktualnienia etapowe | Uaktualnianie licencji użytkowników w fazach. Na przykład: — Przenoszenie grup użytkowników z usługi Defender for Endpoint Plan 1 do planu 2 - Przenoszenie grup użytkowników z Microsoft 365 E3 do E5 |
Do niedawna scenariusze licencjonowania mieszanego nie były obsługiwane; W przypadku wielu subskrypcji najwyższa funkcjonalna subskrypcja miałaby pierwszeństwo przed dzierżawą. Teraz możesz zarządzać ustawieniami subskrypcji, aby uwzględnić scenariusze licencjonowania mieszanego na urządzeniach klienckich. Te możliwości umożliwiają:
- Ustaw dzierżawę na tryb mieszany i otaguj urządzenia , aby określić, które urządzenia klienckie będą otrzymywać funkcje i możliwości z każdego planu (nazywamy tę opcję trybem mieszanym); LUB,
- Korzystaj z funkcji i możliwości z jednego planu na wszystkich urządzeniach klienckich.
Możesz również użyć nowo dodanej wersji raportu użycia licencji, aby śledzić stan.
Uwaga
Jeśli używasz Microsoft Defender dla Firm i chcesz przełączyć się na usługę Defender for Endpoint Plan 2, zobacz Zmienianie subskrypcji zabezpieczeń punktu końcowego.
Ustawianie dzierżawy na tryb mieszany i oznaczanie urządzeń
Ważna
- Ustawienia trybu mieszanego mają zastosowanie tylko do punktów końcowych klienta. Tagowanie urządzeń serwera nie spowoduje zmiany stanu subskrypcji. Wszystkie urządzenia serwera z systemem Windows Server lub Linux powinny mieć odpowiednie licencje, takie jak Defender for Servers. Zobacz Opcje dołączania serwerów.
- Pamiętaj, aby postępować zgodnie z procedurami opisanymi w tym artykule, aby wypróbować scenariusze licencji mieszanej w środowisku. Przypisywanie licencji użytkowników w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com) nie powoduje ustawienia dzierżawy na tryb mieszany.
- Należy mieć aktywną wersję próbną lub płatne licencje zarówno dla usługi Defender for Endpoint Plan 1, jak i Planu 2.
- Aby uzyskać dostęp do informacji o licencji, musisz mieć przypisaną jedną z następujących ról Tożsamość Microsoft Entra:
- Administrator globalny
- Administracja zabezpieczeń
- Administracja licencji + MDE Administracja
Jako administrator przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Przejdź do pozycji Ustawienia>Licencje>punktów końcowych. Zostanie otwarty raport użycia i zostanie wyświetlony informacje o licencjach usługi Defender for Endpoint w organizacji.
W obszarze Stan subskrypcji wybierz pozycję Zarządzaj ustawieniami subskrypcji.
Uwaga
Jeśli nie widzisz pozycji Zarządzaj ustawieniami subskrypcji, spełniony jest co najmniej jeden z następujących warunków:
- Masz usługę Defender for Endpoint Plan 1 lub Plan 2 (ale nie oba); Lub
- Możliwości licencji mieszanej nie zostały jeszcze wdrożone w dzierżawie.
Zostanie otwarte okno wysuwane Ustawienia subskrypcji . Wybierz opcję używania usługi Defender dla punktów końcowych plan 1 i plan 2. (Żadne zmiany nie zostaną wprowadzone, dopóki urządzenia nie zostaną oznaczone zgodnie z następnym krokiem).
Otaguj urządzenia, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2. Urządzenia można oznaczyć ręcznie lub przy użyciu reguły dynamicznej. Dowiedz się więcej o tagowaniu urządzeń.
Metoda Szczegóły Ręczne oznaczanie urządzeń tagami Aby ręcznie otagować urządzenia, utwórz tag o nazwie License MDE P1i zastosuj go do urządzeń. Aby uzyskać pomoc dotyczącą tego kroku, zobacz Twórca i zarządzanie tagami urządzeń.
Należy pamiętać, że urządzenia oznaczoneLicense MDE P1tagiem przy użyciu metody klucza rejestru nie otrzymają obniżonej funkcjonalności. Jeśli chcesz tagować urządzenia przy użyciu metody klucza rejestru, użyj reguły dynamicznej zamiast ręcznego tagowania.Automatyczne tagowanie urządzeń przy użyciu reguły dynamicznej Funkcja reguł dynamicznych jest nowa w scenariuszach z licencjami mieszanymi. Umożliwia zastosowanie dynamicznego i szczegółowego poziomu kontroli nad sposobem zarządzania urządzeniami.
Aby użyć reguły dynamicznej, należy określić zestaw kryteriów na podstawie nazwy urządzenia, domeny, platformy systemu operacyjnego i/lub tagów urządzeń. Urządzenia spełniające określone kryteria otrzymają możliwości usługi Defender for Endpoint Plan 1 lub Plan 2 zgodnie z regułą.
Podczas definiowania kryteriów można użyć następujących operatorów warunków:
-Equals/Not equals
-Starts with
-Contains/Does not contain
W polu Nazwa urządzenia możesz użyć tekstu o dowolnej formie.
W obszarze Domena wybierz z listy domen.
W przypadku platformy systemu operacyjnego wybierz z listy systemów operacyjnych.
W polu Tag użyj opcji tekstowej dowolnej formie. Wpisz wartość tagu odpowiadającą urządzeniom, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2. Zobacz przykład w temacie Więcej szczegółów na temat tagowania urządzeń.Tagi urządzeń są widoczne w widoku Spis urządzeń i w interfejsach API punktu końcowego usługi Defender.
Uwaga
Dynamicznie dodane tagi usługi Defender for Endpoint P1 nie są obecnie filtrowane w widoku spisu urządzeń.
Zapisz regułę i poczekaj do trzech (3) godzin na zastosowanie tagów. Następnie przejdź do pozycji Sprawdź, czy urządzenie otrzymuje tylko funkcje usługi Defender for Endpoint Plan 1.
Więcej szczegółów na temat tagowania urządzeń
Jak opisano w blogu społeczności technicznej: Jak efektywnie używać tagowania, tagowanie urządzeń zapewnia szczegółową kontrolę nad urządzeniami. Tagi urządzeń umożliwiają:
- Wyświetl określone urządzenia poszczególnym użytkownikom w portalu Microsoft Defender, aby widzieli tylko te urządzenia, za które są odpowiedzialni.
- Dołączanie lub wykluczanie urządzeń z określonych zasad zabezpieczeń.
- Określ, które urządzenia powinny otrzymywać funkcje usługi Defender for Endpoint Plan 1 lub Plan 2.
Załóżmy na przykład, że chcesz użyć tagu o nazwie VIP dla wszystkich urządzeń, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 2. Oto, co chcesz zrobić:
Twórca tag urządzenia o nazwie
VIPi zastosuj go do wszystkich urządzeń, które powinny otrzymywać funkcje usługi Defender for Endpoint Plan 2. Użyj jednej z następujących metod, aby utworzyć tag urządzenia:Skonfiguruj regułę dynamiczną przy użyciu operatora
Tag Does not contain VIPwarunku . W takim przypadku wszystkie urządzenia, które nie mają taguVIPLicense MDE P1, otrzymają tag i możliwości usługi Defender for Endpoint Plan 1.
Sprawdź, czy urządzenie odbiera tylko funkcje usługi Defender for Endpoint Plan 1
Po przypisaniu funkcji usługi Defender for Endpoint Plan 1 do niektórych lub wszystkich urządzeń możesz sprawdzić, czy poszczególne urządzenia odbierają te możliwości.
W portalu Microsoft Defender (https://security.microsoft.com) przejdź do pozycji Urządzenia zasobów>.
Wybierz urządzenie oznaczone tagiem
License MDE P1. Powinno zostać wyświetlone, że do urządzenia jest przypisany plan 1 usługi Defender for Endpoint.
Uwaga
Urządzenia z przypisanymi możliwościami usługi Defender for Endpoint Plan 1 nie mają żadnych luk w zabezpieczeniach ani zaleceń dotyczących zabezpieczeń.
Przeglądanie użycia licencji
Raport użycia licencji jest szacowany na podstawie działań logowania na urządzeniu. Licencje usługi Defender for Endpoint Plan 2 są na użytkownika, a każdy użytkownik może mieć maksymalnie pięć równoczesnych, dołączonych urządzeń. Aby dowiedzieć się więcej na temat postanowień licencyjnych, zobacz Licencjonowanie firmy Microsoft.
Aby zmniejszyć obciążenie związane z zarządzaniem, nie ma potrzeby mapowania i przypisywania urządzenia do użytkownika. Zamiast tego raport licencji zawiera szacowanie wykorzystania, które jest obliczane na podstawie użycia urządzenia widocznego w całej organizacji. Raport użycia może potrwać do jednego dnia, aby odzwierciedlić aktywne użycie urządzeń.
Ważna
Aby uzyskać dostęp do informacji o licencji, musisz mieć przypisaną jedną z następujących ról Tożsamość Microsoft Entra:
- Administracja zabezpieczeń
- Administrator globalny
- Administracja licencji + MDE Administracja
Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Wybierz pozycję Ustawienia>Licencje>punktów końcowych.
Przejrzyj dostępne i przypisane licencje. Obliczenia są oparte na wykrytych użytkownikach, którzy uzyskiwali dostęp do urządzeń dołączonych do usługi Defender for Endpoint.
Więcej zasobów
- Licencjonowanie i postanowienia dotyczące produktów dla subskrypcji platformy Microsoft 365.
- Jak skontaktować się z pomocą techniczną dotyczącą usługi Defender for Endpoint.
- Wprowadzenie do usługi Microsoft Security (oferty wersji próbnej)
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender dla Firm (ochrona punktów końcowych dla małych i średnich firm)
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla