Подключение устройств к Microsoft Defender для бизнеса

В этой статье описывается подключение устройств к Defender для бизнеса.

Подключение бизнес-устройств для их защиты. Вы можете выбрать один из нескольких вариантов подключения устройств вашей компании. В этой статье описаны варианты и описано, как работает подключение.

Действия

1. Выберите вкладку:
   • Windows 10 и 11
   • Mac
   • Мобильные устройства (новые возможности доступны для устройств iOS и Android!)
   • Серверы (Windows Server или Linux Server)
2. Просмотрите параметры подключения и следуйте указаниям на выбранной вкладке.
3. Просмотр списка подключенных устройств.
4. Запуск фишингового теста на устройстве.
5. Перейдите к следующим шагам.

Windows 10 и 11

Windows 10 и 11

Примечание.

Устройства Windows должны работать под управлением одной из следующих операционных систем:

• Windows 10 или 11 бизнес
• Windows 10 или 11 Профессиональная
• Windows 10 или 11 Корпоративная

Дополнительные сведения см. в разделе Требования к Microsoft Defender для бизнеса.

Выберите один из следующих вариантов подключения клиентских устройств с Windows к Defender для бизнеса:

• Локальный скрипт (для подключения устройств вручную на портале Microsoft Defender)
• Групповая политика (если вы уже используете групповую политику в организации)
• Microsoft Intune (если вы уже используете Intune)

Локальный скрипт для Windows 10 и 11

Для подключения клиентских устройств Windows можно использовать локальный скрипт. При запуске скрипта подключения на устройстве создается доверие с идентификатором Microsoft Entra (если это доверие еще не существует), регистрируется устройство в Microsoft Intune (если оно еще не зарегистрировано), а затем подключение устройства к Defender для бизнеса. Если в настоящее время вы не используете Intune, метод локального скрипта является рекомендуемым методом подключения для клиентов Defender для бизнеса.

Совет

При использовании метода локального скрипта рекомендуется одновременно подключить до 10 устройств.

1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

2. В области навигации выберите Параметры>Конечные точки, а затем в разделе Управление устройствами выберите Подключение.

3. Выберите Windows 10 и 11.

4. В разделе Тип подключения выберите Упрощенный.

5. В разделе Метод развертывания выберите Локальный сценарий, а затем — Скачать пакет подключения. Рекомендуется сохранить пакет подключения на съемный диск.

6. На устройстве с Windows извлеките содержимое пакета конфигурации в расположение, например папку "Рабочий стол". У вас должен быть файл с именем WindowsDefenderATPLocalOnboardingScript.cmd.

7. Откройте окно командной строки c правами администратора.

8. Введите расположение файла скрипта. Например, если вы скопировали файл в папку Desktop, введите %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdи нажмите клавишу ВВОД (или нажмите кнопку ОК).

9. После выполнения скрипта выполните тест обнаружения.

Групповая политика для Windows 10 и 11

Если вы предпочитаете использовать групповую политику для подключения клиентов Windows, следуйте инструкциям в статье Подключение устройств Windows с помощью групповой политики. В этой статье описаны шаги по подключению к Microsoft Defender для конечной точки. Шаги по подключению к Defender для бизнеса аналогичны.

Intune для Windows 10 и 11

Вы можете подключить клиенты Windows и другие устройства в Intune с помощью Центра администрирования Intune (https://intune.microsoft.com). Существует несколько способов регистрации устройств в Intune. Рекомендуется использовать один из следующих методов:

• Включение автоматической регистрации Windows для устройств, принадлежащих компании или управляемых компанией
• Попросите пользователей зарегистрировать собственные устройства с Windows 10/11 в Intune

Включение автоматической регистрации для Windows 10 и 11

При настройке автоматической регистрации пользователи добавляют свою рабочую учетную запись на устройство. В фоновом режиме устройство регистрирует и присоединяется к идентификатору Microsoft Entra и регистрируется в Intune.

1. Перейдите на портал Azure (https://portal.azure.com/) и выполните вход.

2. Выберите Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

3. Настройте область пользователя MDM и область пользователя MAM.

   

   • Для области пользователя MDM рекомендуется выбрать все , чтобы все пользователи могли автоматически регистрировать свои устройства Windows.

   • В разделе Область пользователя MAM мы рекомендуем использовать следующие значения по умолчанию для URL-адресов:

     • URL-адрес условий использования MDM;
     • URL-адрес обнаружения MDM;
     • URL-адрес соответствия MDM.

4. Выберите Сохранить.

5. После регистрации устройства в Intune его можно добавить в группу устройств в Defender для бизнеса. Дополнительные сведения о группах устройств в Defender для бизнеса.

Совет

Дополнительные сведения см. в статье Включение автоматической регистрации Windows.

Попросите пользователей зарегистрировать устройства с Windows 10 и 11

1. Посмотрите следующее видео, чтобы узнать, как работает регистрация:
   
   

2. Поделитесь этой статьей с пользователями в вашей организации: регистрация устройств с Windows 10/11 в Intune.

3. После регистрации устройства в Intune его можно добавить в группу устройств в Defender для бизнеса. Дополнительные сведения о группах устройств в Defender для бизнеса.

Запуск теста обнаружения на устройстве с Windows 10 или 11

После подключения устройств Windows к Defender для бизнеса можно выполнить на устройстве тест обнаружения, чтобы убедиться, что все работает правильно.

1. На устройстве с Windows создайте папку: C:\test-MDATP-test

2. Откройте командную строку от имени администратора, а затем выполните следующую команду:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

После выполнения команды окно командной строки автоматически закрывается. В случае успешного выполнения тест обнаружения помечается как завершенный, а новое оповещение появляется на портале Microsoft Defender (https://security.microsoft.com) для вновь подключенного устройства примерно через 10 минут.

Mac

Mac

Примечание.

Рекомендуется использовать локальный сценарий для подключения Mac. Хотя вы можете настроить регистрацию для Mac с помощью Intune, локальный скрипт является самым простым способом подключения Mac к Defender для бизнеса.

Выберите один из следующих вариантов для подключения Mac:

• Локальный скрипт для Mac (рекомендуется)
• Intune для Mac (если вы уже используете Intune)

Локальный скрипт для Mac

При запуске локального скрипта на компьютере Mac создается доверие с идентификатором Microsoft Entra (если это доверие еще не существует), регистрируется Компьютер Mac в Microsoft Intune (если он еще не зарегистрирован), а затем подключение Mac к Defender для бизнеса. Рекомендуется подключить до 10 устройств одновременно с помощью этого метода.

1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

2. В области навигации выберите Параметры>Конечные точки, а затем в разделе Управление устройствами выберите Подключение.

3. Выберите macOS.

4. В разделе Тип подключения выберите Упрощенный.

5. В разделе Метод развертывания выберите Локальный сценарий, а затем — Скачать пакет подключения. Сохраните пакет на съемный диск. Также выберите Скачать установочный пакет и сохраните его на съемном устройстве.

6. На компьютере Mac сохраните пакет установки в wdav.pkg локальном каталоге.

7. Сохраните пакет подключения в WindowsDefenderATPOnboardingPackage.zip том же каталоге, который использовался для пакета установки.

8. С помощью Finder перейдите к wdav.pkg сохраненной папке, а затем откройте ее.

9. Нажмите кнопку Продолжить, примите условия лицензии и введите пароль при появлении запроса.

10. Вам будет предложено разрешить установку драйвера от корпорации Майкрософт (либо расширение системы заблокировано , либо установка находится на удержании, либо и то, и другое). Необходимо разрешить установку драйвера. Выберите Открыть параметры безопасности или Открыть системные настройки>Безопасность & конфиденциальность, а затем выберите Разрешить.

11. Используйте следующую команду Bash, чтобы запустить пакет подключения:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

После регистрации Mac в Intune его можно добавить в группу устройств. Дополнительные сведения о группах устройств в Defender для бизнеса.

Intune для Mac

Если у вас уже есть Intune, вы можете зарегистрировать компьютеры Mac с помощью Центра администрирования Intune (https://intune.microsoft.com). Существует несколько способов регистрации Mac в Intune. Мы рекомендуем один из следующих методов:

• Выберите вариант для Mac, принадлежащий компании
• Попросите пользователей зарегистрировать собственный Компьютер Mac в Intune

Варианты для mac, принадлежащих компании

Выберите один из следующих параметров для регистрации устройств Mac, управляемых компанией, в Intune:

Вариант	Описание
Автоматическая регистрация устройств Apple	Используйте этот метод для автоматизации регистрации на устройствах, приобретенных через Apple Business Manager или Apple School Manager. Автоматическая регистрация устройств развертывает профиль регистрации "по воздуху", поэтому вам не требуется физический доступ к устройствам. См . статью Автоматическая регистрация Mac с помощью Apple Business Manager или Apple School Manager.
Диспетчер регистрации устройств (DEM)	Используйте этот метод для крупномасштабных развертываний и при наличии в вашей организации нескольких сотрудников, которые могут помочь с настройкой регистрации. Пользователь с разрешениями диспетчера регистрации устройств (DEM) может зарегистрировать до 1000 устройств с одной учетной записью Microsoft Entra. Этот метод использует приложение "Корпоративный портал" или Microsoft Intune для регистрации устройств. Вы не можете использовать учетную запись DEM для регистрации устройств с помощью метода автоматической регистрации устройств. См. раздел Регистрация устройств в Intune с помощью учетной записи диспетчера регистрации устройств.
Регистрация без участия торгового посредника	Прямая регистрация регистрирует устройства без сопоставления пользователей, поэтому этот метод лучше всего подходит для устройств, которые не связаны с одним пользователем. Этот метод требует физического доступа к зарегистрированным компьютерам Mac. См . раздел Использование прямой регистрации для Mac.

Попросите пользователей зарегистрировать собственный Компьютер Mac в Intune

Если ваша компания предпочитает, чтобы пользователи регистрировали свои собственные устройства в Intune, направьте пользователей на выполнение следующих действий:

1. Перейдите на веб-сайт корпоративного портала (https://portal.manage.microsoft.com/) и выполните вход.

2. Следуйте инструкциям на веб-сайте корпоративного портала, чтобы добавить свое устройство.

3. Установите приложение корпоративного портала по адресу https://aka.ms/EnrollMyMacи следуйте инструкциям в приложении.

Убедитесь, что подключен компьютер Mac

1. Чтобы убедиться, что устройство связано с вашей компанией, используйте следующую команду Python в Bash:

   mdatp health --field org_id.

2. Если вы используете macOS 10.15 (Catalina) или более поздней версии, предоставьте Defender для бизнеса согласие на защиту устройства. Перейдите в раздел Системные параметры>Безопасность & Конфиденциальность>>полный доступ к диску. Щелкните значок блокировки в нижней части диалогового окна, чтобы внести изменения, а затем выберите Microsoft Defender для бизнеса (или Defender для конечной точки, если это то, что вы видите).

3. Чтобы убедиться, что устройство подключено, используйте следующую команду в Bash:

   mdatp health --field real_time_protection_enabled

После регистрации устройства в Intune его можно добавить в группу устройств. Дополнительные сведения о группах устройств в Defender для бизнеса.

Мобильные устройства

Мобильные устройства

Для подключения мобильных устройств, таких как устройства Android и iOS, можно использовать следующие методы:

• Использование приложения Microsoft Defender
• Использование Microsoft Intune

Использование приложения Microsoft Defender

Возможности защиты от мобильных угроз теперь общедоступны для клиентов Defender для бизнеса. С помощью этих возможностей теперь можно подключить мобильные устройства (например, Android и iOS) с помощью приложения Microsoft Defender. С помощью этого метода пользователи скачивают приложение из Google Play или Apple App Store, входят в систему и выполняют действия по подключению.

Важно!

Перед подключением мобильных устройств убедитесь, что выполнены все следующие требования:

1. Подготовка Defender для бизнеса завершена. На портале Microsoft Defender перейдите в раздел Активы>устройства.
   — Если вы видите сообщение "Висите! Мы готовим новые пространства для ваших данных и подключаем их к ним», — тогда Defender для бизнеса не завершил подготовку. Этот процесс выполняется сейчас, и на его выполнение может потребоваться до 24 часов.
   — Если вы видите список устройств или вам будет предложено подключить устройства, это означает, что подготовка Defender для бизнеса завершена.
2. Пользователи скачали приложение Microsoft Authenticator на свое устройство и зарегистрировали свое устройство с помощью рабочей или учебной учетной записи Microsoft 365.

Устройство	Procedure
Android	1. На устройстве перейдите в магазин Google Play. 2. Если вы еще этого не сделали, скачайте и установите приложение Microsoft Authenticator. Войдите и зарегистрируйте устройство в приложении Microsoft Authenticator. 3. В магазине Google Play найдите приложение Microsoft Defender и установите его. 4. Откройте приложение Microsoft Defender, войдите в систему и завершите процесс подключения.
iOS	1. На устройстве перейдите в Apple App Store. 2. Если вы еще этого не сделали, скачайте и установите приложение Microsoft Authenticator. Войдите и зарегистрируйте устройство в приложении Microsoft Authenticator. 3. В Apple App Store найдите приложение Microsoft Defender. 4. Войдите и установите приложение. 5. Примите условия использования для продолжения. 6. Разрешите приложению Microsoft Defender настроить VPN-подключение и добавить конфигурации VPN. 7. Выберите, следует ли разрешать уведомления (например, оповещения).

Совет

После подключения мобильных устройств с помощью приложения Microsoft Defender перейдите к запуску фишингового теста на устройстве.

Использование Microsoft Intune

Если ваша подписка включает Microsoft Intune, ее можно использовать для подключения мобильных устройств, таких как устройства Android и iOS/iPadOS. Ознакомьтесь со следующими ресурсами, чтобы получить справку по регистрации этих устройств в Intune:

• Регистрация устройств Android
• Регистрация устройств iOS или iPadOS

После регистрации устройства в Intune его можно добавить в группу устройств. Дополнительные сведения о группах устройств в Defender для бизнеса.

Серверы

Серверы

Примечание.

Если вы планируете подключить экземпляр Windows Server или Linux Server, вам потребуется дополнительная лицензия, например серверы Microsoft Defender для бизнеса. Кроме того, можно использовать Microsoft Defender для серверов плана 1 или плана 2. Дополнительные сведения см. в статье Что произойдет, если у меня есть несколько подписок на безопасность конечных точек Майкрософт?

Выберите операционную систему для сервера:

• Windows Server
• Сервер Linux

Windows Server

Важно!

Прежде чем подключить конечную точку Windows Server, убедитесь, что вы соответствуете следующим требованиям:

• У вас есть лицензия на серверы Microsoft Defender для бизнеса. (См . раздел Как получить серверы Microsoft Defender для бизнеса.)
• Область применения для Windows Server включена. Перейдите в Параметры>Конечные точки>Управление конфигурацией>Область применения. Выберите Использовать MDE для принудительного применения параметров конфигурации безопасности из MEM, выберите Windows Server, а затем нажмите кнопку Сохранить.

Вы можете подключить экземпляр Windows Server к Defender для бизнеса с помощью локального скрипта.

Локальный скрипт для Windows Server

1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

2. В области навигации выберите Параметры>Конечные точки, а затем в разделе Управление устройствами выберите Подключение.

3. Выберите операционную систему, например Windows Server 1803, 2019 и 2022, а затем в разделе Метод развертывания выберите Локальный скрипт.

   Если выбрать Windows Server 2012 R2 и 2016, вы можете скачать и запустить два пакета: пакет установки и пакет подключения. Пакет установки содержит MSI-файл, который устанавливает агент Defender для бизнеса. Пакет подключения содержит скрипт для подключения конечной точки Windows Server к Defender для бизнеса.

4. Выберите Скачать пакет подключения. Рекомендуется сохранить пакет подключения на съемный диск.

   Если вы выбрали Windows Server 2012 R2 и 2016, также выберите Скачать пакет установки и сохраните пакет на съемный диск.

5. В конечной точке Windows Server извлеките содержимое пакета установки или подключения в расположение, например папку Desktop. У вас должен быть файл с именем WindowsDefenderATPLocalOnboardingScript.cmd.

   При подключении Windows Server 2012 R2 или Windows Server 2016 сначала извлеките пакет установки.

6. Откройте окно командной строки c правами администратора.

7. При подключении Windows Server 2012R2 или Windows Server 2016 выполните следующую команду:

   Msiexec /i md4ws.msi /quiet

   При подключении Windows Server 1803, 2019 или 2022 пропустите этот шаг и перейдите к шагу 8.

8. Введите расположение файла скрипта. Например, если вы скопировали файл в папку Desktop, введите %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdи нажмите клавишу ВВОД (или нажмите кнопку ОК).

9. Перейдите в раздел Запуск теста обнаружения в Windows Server.

Запуск теста обнаружения в Windows Server

После подключения конечной точки Windows Server к Defender для бизнеса можно выполнить тест обнаружения, чтобы убедиться, что все работает правильно:

1. На устройстве Windows Server создайте папку: C:\test-MDATP-test.

2. Откройте окно командной строки от имени администратора.

3. В окне командной строки выполните следующую команду PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

После выполнения команды окно командной строки закроется автоматически. В случае успешного выполнения тест обнаружения помечается как завершенный, а новое оповещение появляется на портале Microsoft Defender (https://security.microsoft.com) для вновь подключенного устройства примерно через 10 минут.

Сервер Linux

Важно!

Перед подключением конечной точки Сервера Linux убедитесь, что вы соответствуете следующим требованиям:

• У вас есть лицензия на серверы Microsoft Defender для бизнеса. (См . раздел Как получить серверы Microsoft Defender для бизнеса.)
• Вы соответствуете предварительным требованиям для Microsoft Defender для конечной точки в Linux.

Подключение конечных точек Сервера Linux

Для подключения экземпляра Linux Server к Defender для бизнеса можно использовать следующие методы:

• Локальный скрипт: См . статью Развертывание Microsoft Defender для конечной точки в Linux вручную.
• Ansible: См. статью Развертывание Microsoft Defender для конечной точки в Linux с помощью Ansible.
• Шеф-повар: См. статью Развертывание Defender для конечной точки в Linux с помощью Chef.
• Марионетка: См. статью Развертывание Microsoft Defender для конечной точки в Linux с помощью Puppet.

Примечание.

Подключение экземпляра Linux Server к Defender для бизнеса аналогично подключению к Microsoft Defender для конечной точки в Linux.

Просмотр списка подключенных устройств

1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

2. В области навигации перейдите в раздел Активы>устройства. Откроется представление Инвентаризация устройств .

Запуск фишингового теста на устройстве

После подключения устройства можно выполнить быстрый тест фишинга, чтобы убедиться, что устройство подключено и что оповещения создаются должным образом.

1. На устройстве перейдите по разделу https://smartscreentestratings2.net. Defender для бизнеса должен блокировать этот URL-адрес на устройстве пользователя.

2. Как член группы безопасности вашей организации, перейдите на портал Microsoft Defender (https://security.microsoft.com) и войдите в систему.

3. В области навигации перейдите в раздел Инциденты. Должно появиться информационное оповещение, указывающее, что устройство пытается получить доступ к фишинговой сайту.

Дальнейшие действия

• Если у вас есть другие устройства для подключения, выберите вкладку для этих устройств (Windows 10 и 11, Mac, серверы или мобильные устройства) и следуйте инструкциям на этой вкладке.
• Если подключение устройств завершено, перейдите к шагу 6. Настройка параметров безопасности и политик в Defender для бизнеса.