Поделиться через


Управление параметрами подписки Microsoft Defender для конечной точки на разных клиентских устройствах

В Defender для конечной точки сценарий смешанного лицензирования — это ситуация, когда организация использует сочетание лицензий Defender для конечной точки плана 1 и плана 2. В следующей таблице приведены примеры сценариев смешанного лицензирования.

Сценарий Описание
Смешанный клиент Используйте различные наборы возможностей для групп пользователей и их устройств. Вот некоторые примеры.
— Defender для конечной точки плана 1 и Defender для конечной точки плана 2
— Microsoft 365 E3 и Microsoft 365 E5
Смешанная пробная версия Попробуйте подписку уровня "Премиум" для некоторых пользователей. Вот некоторые примеры.
— Defender для конечной точки плана 1 (приобретается для всех пользователей) и Defender для конечной точки плана 2 (для некоторых пользователей запущена пробная подписка).
— Microsoft 365 E3 (приобретено для всех пользователей) и Microsoft 365 E5 (для некоторых пользователей запущена пробная подписка).
Поэтапные обновления Поэтапное обновление пользовательских лицензий. Вот некоторые примеры.
— Перемещение групп пользователей из Defender для конечной точки плана 1 в план 2
— Перемещение групп пользователей из Microsoft 365 E3 на E5

До недавнего времени сценарии смешанного лицензирования не поддерживались; В случае нескольких подписок приоритет для клиента будет иметь наивысший функциональный уровень подписки. Теперь вы можете управлять параметрами подписки для реализации сценариев смешанного лицензирования на клиентских устройствах. Эти возможности позволяют:

  • Установите для клиента смешанный режим и пометьте устройства тегами, чтобы определить, какие клиентские устройства будут получать функции и возможности из каждого плана (мы называем этот параметр смешанным режимом); ИЛИ
  • Используйте функции и возможности из одного плана на всех клиентских устройствах.

Для отслеживания состояния можно также использовать только что добавленный отчет об использовании лицензий.

Примечание.

Если вы используете Microsoft Defender для бизнеса и хотите перейти на Defender для конечной точки плана 2, см. раздел Изменение подписки на безопасность конечной точки.

Установите для клиента смешанный режим и пометьте устройства тегами

Важно!

  • Параметры смешанного режима применяются только к конечным точкам клиента. Добавление тегов к серверным устройствам не изменит состояние подписки. Все серверные устройства под управлением Windows Server или Linux должны иметь соответствующие лицензии, например Defender для серверов. См . раздел Параметры подключения серверов.
  • Обязательно выполните процедуры, описанные в этой статье, чтобы опробовать сценарии смешанной лицензии в своей среде. При назначении пользовательских лицензий в Центр администрирования Microsoft 365 (https://admin.microsoft.com) клиент не настраивает смешанный режим.
  • У вас должны быть активные пробные или платные лицензии для Defender для конечной точки плана 1 и плана 2.
  • Для доступа к сведениям о лицензии в Microsoft Entra ID должна быть назначена одна из следующих ролей:
    • Глобальный администратор
    • Администратор безопасности
    • Лицензирование Администратор + MDE Администратор
  1. Как администратор, перейдите на портал Microsoft Defender (https://security.microsoft.com) и войдите в систему.

  2. Перейдите > в раздел ПараметрыКонечные> точкиЛицензии. Откроется отчет об использовании, в котором отображаются сведения о лицензиях Defender для конечной точки вашей организации.

  3. В разделе Состояние подписки выберите Управление параметрами подписки.

    Примечание.

    Если вы не видите раздел Управление параметрами подписки, выполняется по крайней мере одно из следующих условий:

    • У вас есть Defender для конечной точки плана 1 или плана 2 (но не оба); Или
    • Возможности смешанной лицензии еще не развернуты в вашем клиенте.
  4. Откроется всплывающее окно Параметры подписки . Выберите вариант для использования Defender для конечной точки плана 1 и плана 2. (Изменения не будут происходить до тех пор, пока устройства не будут помечены как на следующем шаге.)

  5. Пометьте устройства, которые должны получать возможности Defender для конечной точки плана 1 или плана 2. Вы можете пометить устройства вручную или с помощью динамического правила. Дополнительные сведения о тегах устройств.

    Метод Сведения
    Добавление тегов к устройствам вручную Чтобы пометить устройства вручную, создайте тег с именем License MDE P1 и примените его к устройствам. Чтобы получить справку по этому шагу, см. раздел Create тегов устройств и управление ими.

    Обратите внимание, что устройства, помеченные тегом License MDE P1 с помощью метода раздела реестра , не будут получать более раннюю функциональность. Если вы хотите пометить устройства тегами с помощью раздела реестра, используйте динамическое правило вместо добавления тегов вручную.
    Автоматическое добавление тегов к устройствам с помощью динамического правила Функциональные возможности динамических правил — это новые возможности для сценариев со смешанными лицензиями. Она позволяет применять динамический и детализированный уровень контроля над управлением устройствами..

    Чтобы использовать динамическое правило, необходимо указать набор критериев на основе имени устройства, домена, платформы операционной системы и (или) тегов устройств. Устройства, соответствующие указанным критериям, получат возможности Defender для конечной точки плана 1 или плана 2 в соответствии с вашим правилом.

    При определении условий можно использовать следующие операторы условий:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    В поле Имя устройства можно использовать текст свободной формы.

    В поле Домен выберите из списка доменов.

    Для платформы ОС выберите из списка операционных систем.

    Для тега используйте параметр текста в свободной форме. Введите значение тега, соответствующее устройствам, которые должны получать возможности Defender для конечной точки плана 1 или плана 2. См. пример в разделе Дополнительные сведения о тегах устройств.

    Теги устройств отображаются в представлении инвентаризации устройств и в API-интерфейсах Defender для конечной точки.

    Примечание.

    Динамически добавленные теги Defender для конечной точки P1 в настоящее время не фильтруются в представлении инвентаризации устройств.

  6. Сохраните правило и подождите до трех (3) часов для применения тегов. Затем перейдите к проверке того, что устройство получает только возможности Defender для конечной точки плана 1.

Дополнительные сведения о маркировке устройств

Как описано в блоге Tech Community: Как эффективно использовать теги, маркировка устройств обеспечивает детальный контроль над устройствами. С помощью тегов устройств можно:

  • Отображение определенных устройств для отдельных пользователей на портале Microsoft Defender, чтобы они видели только те устройства, за которые они отвечают.
  • Включение или исключение устройств из определенных политик безопасности.
  • Определите, какие устройства должны получать возможности Defender для конечной точки плана 1 или плана 2.

Например, предположим, что вы хотите использовать тег с именем VIP для всех устройств, которые должны получать возможности Defender для конечной точки плана 2. Вот что нужно сделать:

  1. Create тег устройства с именем VIPи применить его ко всем устройствам, которые должны получать возможности Defender для конечной точки плана 2. Используйте один из следующих методов, чтобы создать тег устройства:

  2. Настройте динамическое правило с помощью оператора Tag Does not contain VIPусловия . В этом случае все устройства, у которых нет тега VIP , получат возможности тега License MDE P1 и Defender для конечной точки плана 1.

Проверка того, что устройство получает только возможности Defender для конечной точки плана 1

После назначения возможностей Defender для конечной точки плана 1 некоторым или всем устройствам можно убедиться, что отдельные устройства получают эти возможности.

  1. На портале Microsoft Defender (https://security.microsoft.com) перейдите в раздел Активы>устройства.

  2. Выберите устройство с тегом License MDE P1. Вы увидите, что устройство назначено Defender для конечной точки плана 1.

Примечание.

Устройствам, которым назначены возможности Defender для конечной точки плана 1, не указаны уязвимости или рекомендации по безопасности.

Просмотр использования лицензий

Отчет об использовании лицензий оценивается на основе действий входа на устройстве. Лицензии Defender для конечной точки плана 2 предоставляются для каждого пользователя, и каждый пользователь может иметь до пяти одновременных подключенных устройств. Дополнительные сведения об условиях лицензии см. в разделе Лицензирование Майкрософт.

Чтобы снизить затраты на управление, нет необходимости в сопоставлении и назначении между устройствами и пользователями. Вместо этого отчет о лицензиях предоставляет оценку использования, которая рассчитывается на основе использования устройств, наблюдаемого в вашей организации. Чтобы отчет об использовании отражал активное использование устройств, может потребоваться до одного дня.

Важно!

Для доступа к сведениям о лицензии в Microsoft Entra ID должна быть назначена одна из следующих ролей:

  • Администратор безопасности
  • Глобальный администратор
  • Лицензирование Администратор + MDE Администратор
  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. Выберите Параметры Конечные>>точкиЛицензии.

  3. Проверьте доступные и назначенные лицензии. Вычисление основано на обнаруженных пользователях, имеющих доступ к устройствам, подключенным к Defender для конечной точки.

Дополнительные ресурсы

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.