Dela via


Registrera Windows-enheter med Configuration Manager

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Förutsättningar

Viktigt

Platssystemrollen Endpoint Protection-plats krävs så att principer för minskning av antivirus- och attackytan distribueras korrekt till målslutpunkterna. Utan den här rollen får slutpunkterna i enhetssamlingen inte de konfigurerade principerna för minskning av antivirus- och attackytan.

Du kan använda Configuration Manager för att publicera slutpunkter till Microsoft Defender för Endpoint-tjänsten.

Det finns flera alternativ som du kan använda för att registrera enheter med hjälp av Configuration Manager:

Obs!

Defender för Endpoint stöder inte registrering under OOBE-fasen (Out-Of-Box Experience). Se till att användarna slutför OOBE när de har kört Windows-installationen eller uppgraderingen.

Observera att det är möjligt att skapa en identifieringsregel i ett Configuration Manager program för att kontinuerligt kontrollera om en enhet har registrerats. Ett program är en annan typ av objekt än ett paket och program. Om en enhet ännu inte har registrerats (på grund av väntande OOBE-slutförande eller någon annan orsak) försöker Configuration Manager registrera enheten igen tills regeln identifierar statusändringen.

Det här beteendet kan åstadkommas genom att skapa en identifieringsregel som kontrollerar om registervärdet "OnboardingState" (av typen REG_DWORD) = 1. Det här registervärdet finns under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". Mer information finns i Konfigurera identifieringsmetoder i System Center 2012 R2 Configuration Manager.

Konfigurera inställningar för exempelsamling

För varje enhet kan du ange ett konfigurationsvärde för att ange om exempel kan samlas in från enheten när en begäran görs via Microsoft Defender XDR att skicka en fil för djupanalys.

Obs!

Dessa konfigurationsinställningar görs vanligtvis via Configuration Manager.

Du kan ange en efterlevnadsregel för konfigurationsobjektet i Configuration Manager för att ändra exempelresursinställningen på en enhet.

Den här regeln bör vara ett konfigurationsobjekt för efterlevnadsregeln som anger värdet för en registernyckel på målenheter för att se till att de är kompatibla.

Konfigurationen anges via följande registernyckelpost:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Där nyckeltypen är en D-WORD. Möjliga värden är:

  • 0: Tillåter inte exempeldelning från den här enheten
  • 1: Tillåter delning av alla filtyper från den här enheten

Standardvärdet om registernyckeln inte finns är 1.

Mer information om System Center Configuration Manager Efterlevnad finns i Introduktion till efterlevnadsinställningar i System Center 2012 R2 Configuration Manager.

Registrera Windows-enheter med Microsoft Configuration Manager

Skapa samling

Om du vill publicera Windows-enheter med Microsoft Configuration Manager kan distributionen riktas mot en befintlig samling eller så kan en ny samling skapas för testning.

Registrering med verktyg som grupprincip eller en manuell metod installerar inte några agenter i systemet.

I Microsoft Configuration Manager-konsolen konfigureras registreringsprocessen som en del av kompatibilitetsinställningarna i konsolen.

Alla system som tar emot den här nödvändiga konfigurationen underhåller den konfigurationen så länge Configuration Manager-klienten fortsätter att ta emot den här principen från hanteringsplatsen.

Följ dessa steg för att publicera slutpunkter med hjälp av Microsoft Configuration Manager:

  1. I Microsoft Configuration Manager-konsolen går du till Tillgångs- och efterlevnadsöversikt > Enhetssamlingar>.

    Skärmbild av guiden Microsoft Configuration Manager 1.

  2. Välj och håll (eller högerklicka på) Enhetssamling och välj Skapa Enhetssamling.

    Skärmbild av guiden Microsoft Configuration Manager 2.

  3. Ange ett namn och begränsa samlingen och välj sedan Nästa.

    Skärmbild av guiden Microsoft Configuration Manager 3.

  4. Välj Lägg till regel och välj Frågeregel.

    Skärmbild av guiden Microsoft Configuration Manager 4.

  5. Välj Nästa i guiden Direktmedlemskap och välj sedan Redigera frågeuttryck.

    Skärmbild av guiden Microsoft Configuration Manager 5.

  6. Välj Villkor och välj sedan ikonen star.

    Skärmbild av guiden Microsoft Configuration Manager 6.

  7. Behåll villkorstypen som ett enkelt värde, välj medan Operativsystem – versionsnummer, operator som är större än eller lika med och värde 14393 och välj OK.

    Skärmbild av guiden Microsoft Configuration Manager 7.

  8. Välj Nästa och Stäng.

    Skärmbild av guiden Microsoft Configuration Manager 8.

  9. Välj Nästa.

    Skärmbild av guiden Microsoft Configuration Manager 9.

När du har slutfört den här uppgiften har du en enhetssamling med alla Windows-slutpunkter i miljön.

När du har registrerat enheter till tjänsten är det viktigt att dra nytta av de inkluderade hotskyddsfunktionerna genom att aktivera dem med följande rekommenderade konfigurationsinställningar.

Konfiguration av enhetssamling

Om du använder Configuration Manager version 2002 eller senare kan du välja att bredda distributionen så att den omfattar servrar eller klienter på låg nivå.

Nästa generations skyddskonfiguration

Följande konfigurationsinställningar rekommenderas:

Scan

  • Sök igenom flyttbara lagringsenheter, till exempel USB-enheter: Ja

Realtidsskydd

  • Aktivera beteendeövervakning: Ja
  • Aktivera skydd mot potentiellt oönskade program vid nedladdning och före installation: Ja

Cloud Protection Service

  • Medlemskapstyp för Cloud Protection Service: Avancerat medlemskap

Minska attackytan

Konfigurera alla tillgängliga regler för granskning.

Obs!

Om du blockerar dessa aktiviteter kan legitima affärsprocesser avbrytas. Den bästa metoden är att ställa in allt för granskning, identifiera vilka som är säkra att aktivera och sedan aktivera inställningarna på slutpunkter som inte har falska positiva identifieringar.

Om du vill distribuera Microsoft Defender antivirus- och minskningsprinciper för attackytan via Microsoft Configuration Manager (SCCM) följer du stegen:

  • Aktivera Endpoint Protection och konfigurera anpassade klientinställningar.
  • Installera Endpoint Protection-klienten från en kommandotolk.
  • Kontrollera endpoint Protection-klientinstallationen.
Aktivera Endpoint Protection och konfigurera anpassade klientinställningar

Följ stegen för att aktivera slutpunktsskydd och konfiguration av anpassade klientinställningar:

  1. I Configuration Manager-konsolen klickar du på Administration.

  2. Klicka på Klientinställningar på arbetsytan Administration.

  3. Klicka på Skapa anpassade klientenhetsinställningar i gruppen Skapa på fliken Start.

  4. I dialogrutan Skapa Anpassade klientenhetsinställningar anger du ett namn och en beskrivning för gruppen med inställningar och väljer sedan Endpoint Protection.

  5. Konfigurera de Endpoint Protection-klientinställningar som du behöver. En fullständig lista över klientinställningar för Endpoint Protection som du kan konfigurera finns i avsnittet Endpoint Protection i Om klientinställningar.

    Viktigt

    Installera platssystemrollen Endpoint Protection innan du konfigurerar klientinställningar för Endpoint Protection.

  6. Klicka på OK för att stänga dialogrutan Skapa Anpassade klientenhetsinställningar. De nya klientinställningarna visas i noden Klientinställningar på arbetsytan Administration .

  7. Distribuera sedan de anpassade klientinställningarna till en samling. Välj de anpassade klientinställningar som du vill distribuera. Klicka på Distribuera i gruppen Klientinställningar på fliken Start.

  8. I dialogrutan Välj samling väljer du den samling som du vill distribuera klientinställningarna till och klickar sedan på OK. Den nya distributionen visas på fliken Distributioner i informationsfönstret .

Klienter konfigureras med de här inställningarna när de hämtar klientprincipen nästa år. Mer information finns i Initiera principhämtning för en Configuration Manager-klient.

Obs!

För Windows Server 2012 R2 och Windows Server 2016 som hanteras av Configuration Manager 2207 och senare versioner registrerar du med Microsoft Defender för Endpoint-klienten (MDE) (rekommenderas) Inställningen. Du kan också använda äldre versioner av Configuration Manager för att utföra en migrering. Mer information finns i Migrera servrar från Microsoft Monitoring Agent till den enhetliga lösningen.

Installation av Endpoint Protection-klienten från en kommandotolk

Följ stegen för att slutföra installationen av slutpunktsskyddsklienten från kommandotolken.

  1. Kopiera scepinstall.exe från klientmappen i installationsmappen Configuration Manager till den dator där du vill installera Endpoint Protection-klientprogrammet.

  2. Öppna en kommandotolk som administratör. Ändra katalogen till mappen med installationsprogrammet. Kör scepinstall.exesedan och lägg till eventuella extra kommandoradsegenskaper som du behöver:

    Egenskap Beskrivning
    /s Kör installationsprogrammet tyst
    /q Extrahera installationsfilerna tyst
    /i Kör installationsprogrammet normalt
    /policy Ange en principfil för program mot skadlig kod för att konfigurera klienten under installationen
    /sqmoptin Anmäl dig till Microsoft Customer Experience Improvement Program (CEIP)
  3. Slutför klientinstallationen genom att följa anvisningarna på skärmen.

  4. Om du laddade ned det senaste uppdateringsdefinitionspaketet kopierar du paketet till klientdatorn och dubbelklickar sedan på definitionspaketet för att installera det.

    Obs!

    När endpoint Protection-klienten har installerats utför klienten automatiskt en definitionsuppdateringskontroll. Om den här uppdateringskontrollen lyckas behöver du inte installera det senaste definitionsuppdateringspaketet manuellt.

Exempel: installera klienten med en princip för program mot skadlig kod

scepinstall.exe /policy <full path>\<policy file>

Verifiera endpoint Protection-klientinstallationen

När du har installerat Endpoint Protection-klienten på referensdatorn kontrollerar du att klienten fungerar korrekt.

  1. Öppna System Center Endpoint Protection från Meddelandefältet i Windows på referensdatorn.
  2. På fliken Start i dialogrutan System Center Endpoint Protection kontrollerar du att Realtidsskydd är inställt på På.
  3. Kontrollera att uppdaterad visas för virus- och spionprogramsdefinitioner.
  4. Kontrollera att referensdatorn är redo för avbildning genom att välja Fullständig under Genomsökningsalternativ och klicka sedan på Skanna nu.

Nätverksskydd

Innan du aktiverar nätverksskydd i gransknings- eller blockeringsläge kontrollerar du att du har installerat plattformsuppdateringen för program mot skadlig kod, som kan hämtas från supportsidan.

Reglerad mappåtkomst

Aktivera funktionen i granskningsläge i minst 30 dagar. Efter den här perioden granskar du identifieringar och skapar en lista över program som får skriva till skyddade kataloger.

Mer information finns i Utvärdera kontrollerad mappåtkomst.

Kör ett identifieringstest för att verifiera registrering

När du har registrerat enheten kan du välja att köra ett identifieringstest för att kontrollera att en enhet är korrekt registrerad i tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen registrerad Microsoft Defender för Endpoint enhet.

Avregistrera enheter med Configuration Manager

Av säkerhetsskäl upphör paketet som används för avregistreringsenheter att upphöra 30 dagar efter det datum då det laddades ned. Utgångna avregistreringspaket som skickas till en enhet avvisas. När du laddar ned ett avregistreringspaket meddelas du om paketens förfallodatum och det inkluderas också i paketnamnet.

Obs!

Onboarding- och offboarding-principer får inte distribueras på samma enhet samtidigt, annars orsakas oförutsägbara kollisioner.

Avregistrera enheter med Microsoft Configuration Manager aktuell gren

Om du använder Microsoft Configuration Manager aktuell gren kan du läsa Skapa en konfigurationsfil för avregistrering.

Avregistrera enheter med System Center 2012 R2 Configuration Manager

  1. Hämta avregistreringspaketet från Microsoft Defender-portalen:

    1. I navigeringsfönstret väljer du Inställningar>Slutpunkter>Enhetshantering>Avregistrering.
    2. Välj Windows 10 eller Windows 11 som operativsystem.
    3. I fältet Distributionsmetod väljer du System Center Configuration Manager 2012/2012 R2/1511/1602.
    4. Välj Ladda ned paket och spara .zip-filen.
  2. Extrahera innehållet i .zip-filen till en delad, skrivskyddad plats som kan nås av nätverksadministratörerna som distribuerar paketet. Du bör ha en fil med namnet WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Distribuera paketet genom att följa stegen i artikeln Paket och program i System Center 2012 R2 Configuration Manager.

    Välj en fördefinierad enhetssamling att distribuera paketet till.

Viktigt

Avregistrering gör att enheten slutar skicka sensordata till portalen, men data från enheten, inklusive hänvisning till eventuella aviseringar som den har haft kommer att behållas i upp till 6 månader.

Övervaka enhetskonfiguration

Om du använder Microsoft Configuration Manager aktuella grenen använder du den inbyggda Instrumentpanelen för Defender för Endpoint i Configuration Manager-konsolen. Mer information finns i Defender för Endpoint – Övervaka.

Om du använder System Center 2012 R2 Configuration Manager består övervakningen av två delar:

  1. Bekräftar att konfigurationspaketet har distribuerats korrekt och körs (eller har körts) på enheterna i nätverket.

  2. Kontrollera att enheterna är kompatibla med Defender för Endpoint-tjänsten (detta säkerställer att enheten kan slutföra registreringsprocessen och kan fortsätta att rapportera data till tjänsten).

Bekräfta att konfigurationspaketet har distribuerats korrekt

  1. I Configuration Manager-konsolen klickar du på Övervakning längst ned i navigeringsfönstret.

  2. Välj Översikt och sedan Distributioner.

  3. Välj i distributionen med paketnamnet.

  4. Granska statusindikatorerna under Slutförandestatistik och Innehållsstatus.

    Om det finns misslyckade distributioner (enheter med fel, krav som inte uppfylls eller misslyckade statusar) kan du behöva felsöka enheterna. Mer information finns i Felsöka Microsoft Defender för Endpoint onboarding-problem.

    Den Configuration Manager som visar en lyckad distribution utan fel

Kontrollera att enheterna är kompatibla med Microsoft Defender för Endpoint-tjänsten

Du kan ange en efterlevnadsregel för konfigurationsobjektet i System Center 2012 R2 Configuration Manager för att övervaka distributionen.

Den här regeln bör vara ett konfigurationsobjekt som inte åtgärdar efterlevnadsregeln och som övervakar värdet för en registernyckel på målenheter.

Övervaka följande registernyckelpost:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Mer information finns i Introduktion till kompatibilitetsinställningar i System Center 2012 R2 Configuration Manager.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.