Konfigurera Microsoft Defender för Endpoint distribution

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Det första steget när du distribuerar Microsoft Defender för Endpoint är att konfigurera din Defender för Endpoint-miljö.

I det här distributionsscenariot vägleds du genom stegen på:

  • Licensieringsverifiering
  • Klientkonfiguration
  • Nätverkskonfiguration

Obs!

I syfte att vägleda dig genom en typisk distribution omfattar det här scenariot endast användningen av Microsoft Configuration Manager. Defender för Endpoint stöder användning av andra onboarding-verktyg, men vi går inte igenom dessa scenarier i distributionsguiden. Mer information finns i Identifiera Arkitektur och distributionsmetod för Defender för Endpoint.

Kontrollera licenstillstånd

Kontroll av licenstillståndet och om det har etablerats korrekt kan göras via administrationscentret eller via Microsoft Azure Portal.

  1. Om du vill visa dina licenser går du till Microsoft Azure Portal och går till avsnittet Microsoft Azure Portal-licens.

    Sidan Azure-licensiering

  2. Alternativt går du tillFaktureringsprenumerationer> i administrationscentret.

    På skärmen visas alla etablerade licenser och deras aktuella status.

    Sidan med faktureringslicenser

Validering av molntjänstleverantör

Om du vill få åtkomst till vilka licenser som etableras till ditt företag och kontrollera licensernas tillstånd går du till administrationscentret.

  1. I partnerportalen väljer du Administrera tjänster > Office 365.

  2. Om du klickar på länken Partnerportal öppnas alternativet Admin för räkning och du får åtkomst till kundens administrationscenter.

    Administratörsportalen för Office 365

Klientkonfiguration

Registrering till Microsoft Defender för Endpoint är enkelt. På navigeringsmenyn väljer du ett objekt under avsnittet Slutpunkter eller någon Microsoft Defender XDR funktion, till exempel Incidenter, Jakt, Åtgärdscenter eller Hotanalys för att initiera registreringsprocessen.

Gå till Microsoft Defender-portalen från en webbläsare.

Datacenterplats

Microsoft Defender för Endpoint lagrar och bearbetar data på samma plats som används av Microsoft Defender XDR. Om Microsoft Defender XDR inte har aktiverats ännu aktiveras även registrering till Microsoft Defender för Endpoint Microsoft Defender XDR och en ny datacenterplats väljs automatiskt baserat på platsen för aktiva Microsoft 365-säkerhetstjänster. Den valda datacenterplatsen visas på skärmen.

Nätverkskonfiguration

Om organisationen inte kräver att slutpunkterna använder en proxy för att få åtkomst till Internet hoppar du över det här avsnittet.

Den Microsoft Defender för Endpoint sensorn kräver att Microsoft Windows HTTP (WinHTTP) rapporterar sensordata och kommunicerar med Microsoft Defender för Endpoint-tjänsten. Den inbäddade Microsoft Defender för Endpoint-sensorn körs i systemkontexten med kontot LocalSystem. Sensorn använder Microsoft Windows HTTP Services (WinHTTP) för att aktivera kommunikation med Microsoft Defender för Endpoint molntjänst. WinHTTP-konfigurationsinställningen är oberoende av proxyinställningarna för Windows Internet (WinINet) internetbläddring och kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:

  • Metoder för automatisk upptäckt:

    • Transparent proxy
    • WPAD (Web Proxy Autodiscovery Protocol)

    Om en transparent proxy eller WPAD har implementerats i nätverkstopologin behövs inga särskilda konfigurationsinställningar. Mer information om Microsoft Defender för Endpoint URL-undantag i proxyn finns i avsnittet Url:er för proxytjänsten i det här dokumentet för listan över tillåtna URL:er eller i Konfigurera enhetsproxy- och Internetanslutningsinställningar.

  • Manuell konfiguration av statisk proxy:

    • Registerbaserad konfiguration

    • WinHTTP har konfigurerats med netsh-kommandot

      Passar endast stationära datorer i en stabil topologi (till exempel ett skrivbord i ett företagsnätverk bakom samma proxy).

Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxy

Konfigurera en registerbaserad statisk proxy så att endast Microsoft Defender för Endpoint sensor kan rapportera diagnostikdata och kommunicera med Microsoft Defender för Endpoint tjänster om en dator inte har tillåtelse att ansluta till Internet. Den statiska proxyn kan konfigureras via en grupprincip. Grupprincipen finns under:

  • Administrativa mallar > Windows-komponenter > Datainsamling och förhandsversioner > Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten
  • Ange den till Aktiverad och välj Inaktivera autentiserad proxyanvändning
  1. Öppna konsolen Grupprinciphantering.

  2. Skapa en princip eller redigera en befintlig princip baserat på organisationens metoder.

  3. Redigera grupprincip och gå till Administrativa mallar > Windows-komponenter > Datainsamling och förhandsversioner > Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten.

    Alternativen som rör konfigurationen av användningsprincipen

  4. Välj Aktiverad.

  5. Välj Inaktivera användning av autentiserad proxy.

  6. Gå till Administrativa mallar > Windows-komponenter > Datainsamling och förhandsversioner > Konfigurera anslutna användarupplevelser och telemetri.

    Alternativen som rör konfiguration av den anslutna användarupplevelsen och telemetrin

  7. Välj Aktiverad.

  8. Ange proxyserverns namn.

Principen anger två registervärden TelemetryProxyServer som REG_SZ och DisableEnterpriseAuthProxy som REG_DWORD under registernyckeln HKLM\Software\Policies\Microsoft\Windows\DataCollection.

Registervärdet TelemetryProxyServer har följande strängformat:

<server name or ip>:<port>

Till exempel: 10.0.0.6:8080

Registervärdet DisableEnterpriseAuthProxy anges till 1.

Konfigurera proxyservern manuellt med netsh-kommandot

Använd netsh för att konfigurera en systemomfattande statisk proxy.

Obs!

  • Detta påverkar alla program, inklusive Windows-tjänster som använder WinHTTP med standardproxyn.
  • Bärbara datorer som ändrar topologi (till exempel från kontor till hem) fungerar inte med netsh. Använd den registerbaserade statiska proxykonfigurationen.
  1. Öppna en upphöjd kommandorad:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.
  2. Skriv följande kommando och tryck på Retur:

    netsh winhttp set proxy <proxy>:<port>
    

    Till exempel: netsh winhttp set proxy 10.0.0.6:8080

Proxykonfiguration för enheter på nednivå

Down-Level enheter inkluderar Windows 7 SP1- och Windows 8.1-arbetsstationer samt Windows Server 2008 R2 och andra serveroperativsystem som tidigare har registrerats med Hjälp av Microsoft Monitoring Agent. Dessa operativsystem har proxyn konfigurerad som en del av Microsoft Management Agent för att hantera kommunikation från slutpunkten till Azure. Information om hur en proxy konfigureras på dessa enheter finns i Guiden för snabb distribution av Microsoft Management Agent.

URL:er för proxytjänst

URL:er som innehåller v20 i dem behövs bara om du har Windows 10, version 1803 eller Windows 11 enheter. Behövs till exempel us-v20.events.data.microsoft.com bara om enheten är på Windows 10 version 1803 eller Windows 11.

Om en proxy eller brandvägg blockerar anonym trafik, eftersom Microsoft Defender för Endpoint sensorn ansluter från systemkontexten, kontrollerar du att anonym trafik tillåts i url:erna i listan.

Följande nedladdningsbara kalkylblad visar de tjänster och deras associerade URL:er som nätverket måste kunna ansluta till. Se till att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er, eller så kan du behöva skapa en tillåt-regel specifikt för dem.

Lista över kalkylblad med domäner Beskrivning
Microsoft Defender för Endpoint URL-lista för kommersiella kunder Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder.

Ladda ned kalkylbladet här.
Microsoft Defender för Endpoint URL-lista för Gov/GCC/DoD Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder.

Ladda ned kalkylbladet här.

Nästa steg

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.