跨客户端设备管理 Microsoft Defender for Endpoint 订阅设置

在 Defender for Endpoint 中,混合许可方案是组织混合使用 Defender for Endpoint 计划 1 和计划 2 许可证的情况。 下表描述了混合许可方案的示例:

应用场景 说明
混合租户 为用户组及其设备使用不同的功能集。 示例包括:
- Defender for Endpoint 计划 1 和 Defender for Endpoint 计划 2
- Microsoft 365 E3 和 Microsoft 365 E5
混合试用版 为某些用户尝试高级级别订阅。 示例包括:
-) 为所有用户购买的 Defender for Endpoint 计划 1 (, (某些用户已启动试用版订阅的 Defender for Endpoint 计划 2)
- Microsoft 365 E3 (为) 所有用户购买,Microsoft 365 E5 (某些用户已启动试用版订阅)
分阶段升级 分阶段升级用户许可证。 示例包括:
- 将用户组从 Defender for Endpoint 计划 1 移到计划 2
- 将用户组从 Microsoft 365 E3 移动到 E5

直到最近,混合许可方案才受支持;对于多个订阅,功能最高的订阅将优先于租户。 现在,可以管理订阅设置,以适应跨客户端设备的混合许可方案。 这些功能使你能够:

  • 将租户设置为混合模式并标记设备 ,以确定哪些客户端设备将从每个计划接收特性和功能, (我们将此选项称为 混合模式) ; 或者
  • 跨所有客户端设备使用一个计划中的特性和功能

还可以使用新添加的许可证使用情况报告来跟踪状态。

注意

如果使用 Microsoft Defender for Business,并且想要切换到 Defender for Endpoint 计划 2,请参阅 更改终结点安全订阅

将租户设置为混合模式并标记设备

重要

  • 混合模式设置仅适用于客户端终结点。 标记服务器设备不会更改其订阅状态。 运行 Windows Server 或 Linux 的所有服务器设备都应具有相应的许可证,例如 Defender for Servers。 请参阅 载入服务器的选项
  • 请务必按照本文中的过程在环境中尝试混合许可证方案。 在 Microsoft 365 管理中心 () https://admin.microsoft.com 分配用户许可证不会将租户设置为混合模式。
  • 应该为 Defender for Endpoint 计划 1 和计划 2 提供有效的试用版或付费许可证
  • 若要访问许可证信息,必须在 Entra ID Microsoft分配以下角色之一:
    • 安全管理员
    • 许可证管理员和 Defender for Endpoint 管理员
  1. 以管理员身份转到 Microsoft Defender 门户, https://security.microsoft.com () 并登录。

  2. 转到 “设置>终结点>许可证”。 此时会打开使用情况报告,并显示有关组织的 Defender for Endpoint 许可证的信息。

  3. “订阅状态”下,选择“ 管理订阅设置”。

    注意

    如果未看到 “管理订阅设置”,则至少满足以下条件之一:

    • 你拥有 Defender for Endpoint 计划 1 或计划 2 (但不能同时) ;或
    • 混合许可证功能尚未向租户推出。
  4. 此时会打开 订阅设置 浮出控件。 选择使用 Defender for Endpoint 计划 1 和计划 2 的选项。 (在按照下一步对设备进行标记之前,不会发生任何更改。)

  5. 标记应接收 Defender for Endpoint 计划 1 或计划 2 功能的设备。 可以选择手动或使用动态规则标记设备。 详细了解设备标记

    方法 详细信息
    手动标记设备 若要手动标记设备,请创建名为 的 License MDE P1 标记并将其应用于设备。 若要获取此步骤的帮助,请参阅 创建和管理设备标记

    请注意,使用注册表项方法标记License MDE P1标记的设备不会收到降级功能。 如果要使用注册表项方法标记设备,请使用动态规则而不是手动标记。
    使用动态规则自动标记设备 动态规则功能是混合许可证方案的新增功能! 它允许你对管理设备的方式应用动态和精细的控制级别.

    若要使用动态规则,请根据设备名称、域、操作系统平台和/或设备标记指定一组条件。 符合指定条件的设备将根据规则接收 Defender for Endpoint 计划 1 或计划 2 功能。

    定义条件时,可以使用以下条件运算符:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    对于 “设备名称”,可以使用任意格式文本。

    对于 “域”,请从域列表中选择。

    对于 OS 平台,请从操作系统列表中选择。

    对于 “标记”,请使用任意格式文本选项。 键入与应接收 Defender for Endpoint 计划 1 或计划 2 功能的设备对应的标记值。 请参阅 有关设备标记的更多详细信息中的示例。

    设备标记在 设备清单 视图和 Defender for Endpoint API 中可见。

    注意

    动态添加的 Defender for Endpoint P1 标记当前无法在设备清单视图中进行筛选。

  6. 保存规则并等待最多 3 (3) 小时以应用标记。 然后,继续 验证设备是否仅接收 Defender for Endpoint 计划 1 功能

有关设备标记的更多详细信息

技术社区博客:如何有效地使用标记中所述,设备标记可提供对设备的精细控制。 使用设备标记,可以:

  • 在 Microsoft Defender 门户中向单个用户显示某些设备,以便他们仅看到他们负责的设备。
  • 从特定安全策略中包括或排除设备。
  • 确定哪些设备应接收 Defender for Endpoint 计划 1 或计划 2 功能。

例如,假设你想要为应接收 Defender for Endpoint 计划 2 功能的所有设备使用名为 的 VIP 标记。 下面是你将执行的操作:

  1. 创建名为 的设备 VIP标记,并将其应用于应接收 Defender for Endpoint 计划 2 功能的所有设备。 使用以下方法之一创建设备标记:

  2. 使用条件运算符 Tag Does not contain VIP设置动态规则。 在这种情况下,所有没有 标记 VIP 的设备都将接收 License MDE P1 标记和 Defender for Endpoint 计划 1 功能。

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

验证设备是否仅接收 Defender for Endpoint 计划 1 功能

将 Defender for Endpoint 计划 1 功能分配给部分或所有设备后,可以验证单个设备是否正在接收这些功能。

  1. 在 Microsoft Defender 门户 (https://security.microsoft.com) 中,转到 “资产>设备”。

  2. 选择使用 License MDE P1标记的设备。 你应该会看到 Defender for Endpoint 计划 1 已分配给设备。

注意

分配有 Defender for Endpoint 计划 1 功能的设备未列出任何漏洞或安全建议。

查看许可证使用情况

许可证使用情况报告是根据设备上的登录活动估算的。 Defender for Endpoint 计划 2 许可证是每个用户,每个用户最多可以有五个并发的已载入设备。 若要详细了解许可条款,请参阅 Microsoft许可

为了减少管理开销,无需进行设备到用户的映射和分配。 相反,许可证报告提供了一个利用率估计,该估计是根据整个组织中看到的设备使用情况计算得出的。 使用情况报告可能需要长达一天的时间才能反映设备的活动使用情况。

重要

若要访问许可证信息,必须在 Entra ID Microsoft分配以下角色之一:

  • 安全管理员
  • 许可证管理员和 Defender for Endpoint 管理员
  1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

  2. 选择 “设置>终结点>许可证”。

  3. 查看可用和分配的许可证。 该计算基于检测到的用户谁访问了载入到 Defender for Endpoint 的设备。

更多资源

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区