Microsoft Defender for Endpoint

适用于: Configuration Manager(current branch)

Endpoint Protection 可帮助管理和监视 Microsoft Defender for Endpoint。 Microsoft Defender for Endpoint 可帮助企业检测、调查和响应对其网络上的高级攻击。 Configuration Manager 策略可以帮助你载入和监视 Windows 10 或更高版本的客户端。

Microsoft Defender for Endpoint 基于云的门户 Microsoft Defender 安全中心。 通过添加和部署客户端载入配置文件，Configuration Manager 可以监视部署状态并Microsoft Defender for Endpoint 代理运行状况。 Microsoft运行 Configuration Manager 客户端或 由 Microsoft Intune 管理的电脑上支持 Defender for Endpoint。

先决条件

• 订阅 Microsoft Defender for Endpoint
• 运行 Configuration Manager 客户端的客户端计算机
• 使用下面 支持的客户端操作系统 部分中列出的 OS 的客户端。
• 管理用户帐户需要 Endpoint Protection Manager 安全角色。

支持的客户端操作系统

可以使用 Configuration Manager 载入以下操作系统：

• Windows 11
• Windows 10 版本 1709 或更高版本
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual 通道 (SAC) 版本 1803 或更高版本
• Windows Server 2016
• Windows Server 2012 R2

重要

通常不支持已结束 产品生命周期 的操作系统加入，除非它们已注册到 扩展安全更新 (ESU 计划) 。 有关 Microsoft Defender for Endpoint 支持的操作系统和功能的详细信息，请参阅 Microsoft Defender for Endpoint 的最低要求。

使用 Configuration Manager 2207 及更高版本载入 Microsoft Defender for Endpoint 的说明

使用 Configuration Manager 更新 Microsoft Defender for Endpoint 设备的载入信息的说明

使用 Configuration Manager 2207 及更高版本载入 Microsoft Defender for Endpoint

不同的操作系统对载入到 Microsoft Defender for Endpoint 的需求不同。 上层设备（如 Windows Server 版本 1803）需要加入配置文件。 从 Current Branch 2207 开始，对于下级服务器操作系统设备，可以选择Microsoft Defender for Endpoint (MDE) 客户端 (推荐) ，或在客户端设置中Microsoft监视代理 (MMA) (旧) 。 对于 Windows 8.1 设备，需要在“客户端设置”中使用 Microsoft Monitoring Agent (MMA) (旧版) 。

如果选择使用 MMA，则需要 工作区密钥 和 工作区 ID 才能加入。 Configuration Manager 还会在载入设备需要时安装 Microsoft Monitoring Agent (MMA) ，但它不会自动更新代理。

上层操作系统包括：

• Windows 10 版本 1607 及更高版本
• Windows 11
• Windows Server Semi-Annual 通道 (SAC) 版本 1803 或更高版本
• Windows Server 2019
• Windows Server 2022

支持 MDE 客户端的下层操作系统包括：

• Windows Server 2012 R2
• Windows Server 2016

需要 MMA 代理的下层操作系统：

• Windows 8.1

注意

目前，适用于 Windows Server 2012 R2 & 2016 的新式统一 Microsoft Defender for Endpoint 已正式发布。 具有更新汇总的 Configuration Manager 版本 2107 支持使用 Endpoint Protection 策略进行配置，包括使用租户附加在 Microsoft Intune 管理中心中创建的策略。 如果通过客户端设置选择使用，Configuration Manager 版本 2207 现在支持 MDE 客户端的自动部署。 有关较旧的受支持版本，请参阅 服务器迁移方案。

使用 Configuration Manager 将设备载入到 Microsoft Defender for Endpoint 时，可将 Defender 策略部署到目标集合或多个集合。 有时，目标集合包含运行任意数量的受支持操作系统的设备。 载入这些设备的说明因你面向的集合包含仅具有上级操作系统的设备和支持 MDE 客户端的设备，或者该集合还包括需要 MMA 的下层客户端而有所不同。

• 如果集合仅包含需要基于客户端设置) MDE 客户端 (的上层设备和/或下层服务器操作系统设备，则可以 使用 Microsoft Defender for Endpoint Client 的载入说明 ， (建议) 。
• 如果目标集合包含需要基于客户端设置) 或 Windows 8.1 设备的 MMA (下层服务器操作系统设备，请使用说明 使用 Microsoft Monitoring Agent 载入设备。

警告

如果目标集合包含需要 MMA 的下层设备，并且你使用使用 MDE 客户端加入的说明，则不会载入下层设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入需要 MMA 的下层设备，但如果不包括它们，则策略将在需要 MMA 的下层客户端上失败。

使用 MDE 客户端将设备载入到 Microsoft Defender for Endpoint (建议)

上层客户端需要载入配置文件才能载入到 Microsoft Defender for Endpoint。 上层操作系统包括：

• Windows 11
• Windows 10 版本 1607 及更高版本
• Windows Server Semi-Annual 通道 (SAC) 版本 1803 及更高版本
• Windows Server 2019
• Windows Server 2022

支持 MDE 客户端的下层操作系统包括：

• Windows Server 2012 R2
• Windows Server 2016

先决条件

Windows Server 2012 R2 的先决条件

如果使用最新的 月度汇总 包完全更新了计算机，则 没有 其他先决条件。

安装程序包将检查是否已通过更新安装以下组件：

• 客户体验和诊断遥测更新
• Windows 中的通用 C 运行时更新

Windows Server 2016 的先决条件

• 必须安装 2021 年 9 月 14 日或更高版本的服务堆栈更新 (SSU) 。
• 必须安装 2018 年 9 月 20 日或更高版本起的最新累积更新 (LCU) 。 建议在服务器上安装最新的可用 SSU 和 LCU。 - 必须启用/安装 Microsoft Defender 防病毒功能并处于最新状态。 可以使用 Windows 更新下载并安装最新平台版本。 或者，从Microsoft更新目录或 MMPC 手动下载更新包。

获取上层设备的载入配置文件

1. 转到 Microsoft Defender 安全中心 并登录。
2. 选择“设置”，然后在“终结点”标题下选择“载入”。
3. 对于操作系统，请选择 Windows 10 和 11。
4. 对于部署方法 ，请选择Microsoft Endpoint Configuration Manager Current Branch 及更高版本 。
5. 选择 “下载包”。
6. 下载压缩的存档 (.zip) 文件并提取内容。

   注意

   这些步骤让你下载适用于 Windows 10 和 11 的载入文件，但此文件也用于高级服务器操作系统。

重要

• Microsoft Defender for Endpoint 配置文件包含应保持安全的敏感信息。
• 如果目标集合包含需要 MMA 的下层设备，并且你使用使用 MDE 客户端加入的说明，则不会载入下层设备。 可选的 “工作区密钥” 和 “工作区 ID” 字段用于载入下层设备，但如果不包括它们，则策略将在下层客户端上失败。

载入上层设备

1. 在 Configuration Manager 控制台中，导航到“管理>客户端设置”。
2. 创建自定义客户端设备设置或转到所需客户端设置的属性，然后选择 Endpoint Protection
3. 对于 Windows Server 2012 R2 和 Windows Server 2016 上的 Microsoft Defender for Endpoint Client 设置，默认值设置为 Microsoft Monitoring Agent (旧版) 需要将其更改为 MDE 客户端 (建议) 。
4. 在 Configuration Manager 控制台中，导航到 “资产和符合性>终结点保护>Microsoft Defender ATP 策略 ”，然后选择“ 创建Microsoft Defender ATP 策略”。 将打开策略向导。
5. 键入 Microsoft Defender for Endpoint 策略 的“名称 ”和“ 说明 ”，然后选择“ 载入”。
6. 浏览 到从下载的 .zip 文件中提取的配置文件。
7. 指定从托管设备收集和共享的文件示例以供分析。
   • 无
   • 所有文件类型
8. 查看摘要并完成向导。
9. 右键单击创建的策略，然后选择“ 部署 ”，将 Microsoft Defender for Endpoint 策略定向到客户端。

使用 MDE 客户端和 MMA 将设备载入到 Microsoft Defender for Endpoint

可以通过向 Configuration Manager 提供配置文件、工作区密钥和工作区 ID，将运行任何受支持的操作系统的设备载入到 Microsoft Defender for Endpoint。

获取配置文件、工作区 ID 和工作区密钥

1. 转到 Microsoft Defender for Endpoint 联机服务 并登录。

2. 选择“设置”，然后在“终结点”标题下选择“载入”。

3. 对于操作系统，请选择 Windows 10 和 11。

4. 对于部署方法 ，请选择Microsoft Endpoint Configuration Manager Current Branch 及更高版本 。

5. 选择 “下载包”。

   

6. 下载压缩的存档 (.zip) 文件并提取内容。

7. 选择“设置”，然后在“设备管理”标题下选择“载入”。

8. 对于操作系统，请从列表中选择 Windows 7 SP1 和 8.1 或 Windows Server 2008 R2 Sp1、2012 R2 和 2016 。

   • 无论选择哪个选项， 工作区密钥 和 工作区 ID 都将相同。

9. 从“配置连接”部分复制“工作区密钥”和“工作区 ID”的值。

   重要

   Microsoft Defender for Endpoint 配置文件包含应保持安全的敏感信息。

载入设备

1. 在 Configuration Manager 控制台中，导航到“管理>客户端设置”。

2. 创建自定义客户端设备设置或转到所需客户端设置的属性，然后选择 Endpoint Protection

3. 对于 Windows Server 2012 R2 和 Windows Server 2016 上的 Microsoft Defender for Endpoint Client 设置，请确保将值设置为 Microsoft Monitoring Agent (旧版) 。

4. 在 Configuration Manager 控制台中，导航到 “资产和符合性>终结点保护>Microsoft Defender ATP 策略”。

5. 选择“ 创建Microsoft Defender ATP 策略 ”以打开策略向导。

6. 键入 Microsoft Defender for Endpoint 策略 的“名称 ”和“ 说明 ”，然后选择“ 载入”。

7. 浏览 到从下载的 .zip 文件中提取的配置文件。

8. 提供 工作区密钥 和 工作区 ID， 然后选择“ 下一步”。

   • 验证 工作区密钥 和 工作区 ID 是否位于正确的字段中。 控制台中的顺序可能与 Microsoft Defender for Endpoint 联机服务的顺序不同。

9. 指定从托管设备收集和共享的文件示例以供分析。

   • 无
   • 所有文件类型

10. 查看摘要并完成向导。

11. 右键单击创建的策略，然后选择“ 部署 ”，将 Microsoft Defender for Endpoint 策略定向到客户端。

监视

1. 在 Configuration Manager 控制台中，导航“ 监视>安全性 ”，然后选择“ Microsoft Defender ATP”。

2. 查看 Microsoft Defender for Endpoint 仪表板。

   • Microsoft Defender ATP 代理载入状态：已载入活动Microsoft Defender for Endpoint 策略的合格托管客户端计算机的数量和百分比

   • Microsoft Defender ATP 代理运行状况：报告其 Microsoft Defender for Endpoint 代理状态的计算机客户端的百分比

     • 正常 - 正常工作

     • 非活动 - 在时间段内未发送到服务的数据

     • 代理状态 - Windows 中代理的系统服务未运行

     • 未载入 - 策略已应用，但代理未报告加入策略

创建卸载配置文件

1. 登录到 Microsoft Defender 安全中心。

2. 选择“设置”，然后在“终结点”标题下选择“卸载”。

3. 为操作系统选择 Windows 10 和 11 ，为部署方法 Microsoft Endpoint Configuration Manager Current Branch 及更高版本 。

   • 使用 Windows 10 和 11 选项可确保集合中的所有设备都已登出，并在需要时卸载 MMA。

4. 下载压缩的存档 (.zip) 文件并提取内容。 卸载文件的有效期为 30 天。

5. 在 Configuration Manager 控制台中，导航到 “资产和符合性>终结点保护>Microsoft Defender ATP 策略 ”，然后选择“ 创建Microsoft Defender ATP 策略”。 将打开策略向导。

6. 键入 Microsoft Defender for Endpoint 策略的 “名称 ”和“ 说明 ”，然后选择“ 卸载”。

7. 浏览 到从下载的 .zip 文件中提取的配置文件。

8. 查看摘要并完成向导。

选择“ 部署 ”，将 Microsoft Defender for Endpoint 策略定向到客户端。

重要

Microsoft Defender for Endpoint 配置文件包含应保持安全的敏感信息。

更新现有设备的载入信息

组织可能需要通过 Microsoft Configuration Manager 更新设备上的载入信息。

这可能是由于 Microsoft Defender for Endpoint 的载入有效负载发生更改，或者由Microsoft支持人员指示时，这是必需的。

更新载入信息将指示设备在下一次 重启时开始使用新的载入有效负载。

此过程会破坏更新现有载入策略的操作，并在所有现有设备上执行一次性操作以更新载入有效负载。 利用 组策略 载入脚本执行设备从旧有效负载到新有效负载的一次性提升。

注意

如果不从原始租户中完全卸载设备，此信息不一定会在租户之间移动设备。 有关在 Microsoft Defender for Endpoint 组织之间迁移设备的选项，请与 Microsoft 支持人员联系。

验证新的载入有效负载

1. 从 Microsoft Defender for Endpoint 门户下载 组策略 载入包。

2. 创建 用于验证新载入有效负载的集合

3. 从具有载入有效负载的现有 Microsoft Defender for Endpoint 集合中排除此集合。

4. 将组策略载入脚本部署到测试集合。

5. 验证 设备是否正在使用新的载入有效负载。

迁移到新的载入有效负载

1. 从 Microsoft Defender for Endpoint 门户下载 Microsoft Configuration Manager 载入包。

2. 使用新的载入有效负载更新现有的 Microsoft Defender for Endpoint 载入策略。

3. 将脚本 从 验证新的载入有效负载 部署到 Microsoft Defender for Endpoint 载入策略的现有目标集合。

4. 验证 设备是否正在利用新的载入有效负载，并成功使用脚本中的有效负载

注意

迁移所有设备后，可以使用接下来的载入策略从环境中删除脚本和验证集合。

后续步骤

• Microsoft Defender for Endpoint

• 排查 Microsoft Defender for Endpoint 载入问题