分享方式:


適用於端點的 Microsoft Defender

適用於:Configuration Manager (目前的分支)

Endpoint Protection 可協助管理和監視 適用於端點的 Microsoft Defender。 適用於端點的 Microsoft Defender 可協助企業偵測、調查及回應其網路上的進階攻擊。 Configuration Manager 原則可協助您上線及監視 Windows 10 或更新版本的用戶端。

適用於端點的 Microsoft Defender的雲端式入口網站已 Microsoft Defender 資訊安全中心。 藉由新增和部署客戶端上線配置檔,Configuration Manager 可以監視部署狀態和 適用於端點的 Microsoft Defender 代理程式健康情況。 執行 Configuration Manager 用戶端或由 Microsoft Intune 管理的電腦支援 適用於端點的 Microsoft Defender。

必要條件

  • 訂用帳戶 適用於端點的 Microsoft Defender
  • 執行 Configuration Manager 用戶端的用戶端電腦
  • 使用下列 支援用戶端操作系統 一節中所列OS的用戶端。
  • 您的系統管理用戶帳戶需要 Endpoint Protection Manager 安全性角色。

支援的用戶端作業系統

您可以使用下列作業系統 Configuration Manager:

  • Windows 11
  • Windows 10 版本 1709 或更新版本
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server Semi-Annual Channel (SAC) 1803 版或更新版本
  • Windows Server 2016
  • Windows Server 2012 R2

重要事項

除非已註冊至延伸安全性 匯報 (ESU 計劃) ,否則通常不支援已到達產品生命週期結尾的操作系統上線。 如需使用 適用於端點的 Microsoft Defender 支援的操作系統和功能的詳細資訊,請參閱 適用於端點的 Microsoft Defender 的最低需求

使用 Configuration Manager 2207 和更新版本上線至 適用於端點的 Microsoft Defender 的指示

使用 Configuration Manager 更新 適用於端點的 Microsoft Defender 裝置上線資訊的指示

使用 Configuration Manager 2207 和更新版本上線至 適用於端點的 Microsoft Defender

不同的操作系統有不同的上架 適用於端點的 Microsoft Defender 需求。 上層裝置,例如 Windows Server 1803 版,需要上線組態檔。 從最新分支 2207 開始,針對下層伺服器作業系統裝置,您可以選擇 適用於端點的 Microsoft Defender (MDE) 用戶端 (建議) 或Microsoft監視代理程式 (MMA) (用戶端設定中的舊版) 。 針對 Windows 8.1 裝置,您必須在 [用戶端設定] 中使用 Microsoft Monitoring Agent (MMA) (舊版) 。

Endpoint Protection 用戶端設定的螢幕快照。

如果您選擇使用 MMA,您需要 工作區金鑰工作區識別 元才能上線。 Configuration Manager 也會在已上線的裝置需要時安裝 Microsoft Monitoring Agent (MMA) ,但不會自動更新代理程式。

上層作業系統包括:

  • Windows 10 1607 版和更新版本
  • Windows 11
  • Windows Server Semi-Annual Channel (SAC) 1803 版或更新版本
  • Windows Server 2019
  • Windows Server 2022

支援用戶端 MDE 下層作業系統包括:

  • Windows Server 2012 R2
  • Windows Server 2016

需要 MMA 代理程式的下層作業系統:

  • Windows 8.1

注意事項

目前,Windows Server 2012 R2 & 2016 的新式統一 適用於端點的 Microsoft Defender 已正式推出。 Configuration Manager 版本 2107 與更新匯總支援使用 Endpoint Protection 原則進行設定,包括使用租使用者附加在 Microsoft Intune 系統管理中心建立的原則。 如果您選擇透過 [用戶端設定] 使用,Configuration Manager 2207 版現在支援自動部署 MDE Client。 如需較舊的支援版本,請參閱 伺服器移轉案例

當您使用 Configuration Manager 將裝置上線以 適用於端點的 Microsoft Defender 時,會將Defender原則部署到目標集合或多個集合。 有時目標集合包含執行任意數目的支援操作系統的裝置。 將這些裝置上線的指示會根據您的目標集合而有所不同,該集合包含只有上層操作系統的裝置,以及支援 MDE Client 的裝置,或集合也包含需要 MMA 的下層用戶端。

警告

如果您的目標集合包含需要 MMA 的下層裝置,而且您使用使用 MDE Client 上線的指示,則下層裝置將不會上線。 選擇性 [工作區金鑰 ] 和 [ 工作區標識 符] 字段用於將需要 MMA 的下層裝置上線,但如果未包含這些裝置,則原則會在需要 MMA 的下層用戶端上失敗。

使用 MDE Client 將裝置上線以 適用於端點的 Microsoft Defender (建議的)

上層用戶端需要上架組態檔,才能上線以 適用於端點的 Microsoft Defender。 上層作業系統包括:

  • Windows 11
  • Windows 10 1607 版和更新版本
  • Windows Server Semi-Annual Channel (SAC) 1803 版和更新版本
  • Windows Server 2019
  • Windows Server 2022

支援用戶端 MDE 下層作業系統包括:

  • Windows Server 2012 R2
  • Windows Server 2016

必要條件

Windows Server 2012 R2 的必要條件

如果您已使用最新的 每月匯總 套件完整更新計算機,則 沒有 額外的必要條件。

安裝套件會檢查下列元件是否已透過更新安裝:

Windows Server 2016的必要條件
  • 必須安裝 2021 年 9 月 14 日或更新版本的維護堆疊更新 (SSU) 。
  • 必須安裝 2018 年 9 月 20 日或更新版本 (LCU) 的最新累積更新。 建議您在伺服器上安裝最新的可用 SSU 和 LCU。 - Microsoft Defender 防病毒軟體功能必須啟用/安裝並更新為最新狀態。 您可以使用 Windows Update 下載並安裝最新的平臺版本。 或者,從 Microsoft 更新類別目錄從 MMPC 手動下載更新套件。

取得上層裝置的上線組態檔

  1. 移至 Microsoft Defender 資訊安全中心 並登入。
  2. 取 [設定],然後選取 [端點] 標題下的 [線]。
  3. 針對操作系統,選取 [Windows 10 和 11]
  4. 針對部署方法選擇Microsoft端點 Configuration Manager 最新分支和更新版本。
  5. 選取 [下載套件]
  6. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。

    注意事項

    這些步驟可讓您下載 Windows 10 和 11 的上線檔案,但此檔案也用於上層伺服器作業系統。

重要事項

  • 適用於端點的 Microsoft Defender 組態檔包含應保持安全的敏感性資訊。
  • 如果您的目標集合包含需要 MMA 的下層裝置,而且您使用使用 MDE Client 上線的指示,則下層裝置將不會上線。 選擇性 [工作區金鑰 ] 和 [ 工作區標識 符] 字段用於將下層裝置上線,但如果未包含它們,則原則會在下層用戶端上失敗。

將上層裝置上線

  1. 在 Configuration Manager 控制台中,流覽至 [系統管理>用戶端設定]
  2. 建立自定義用戶端裝置設定,或移至必要用戶端設定的屬性,然後選取 [Endpoint Protection]
  3. 針對 Windows Server 2012 R2 和 Windows Server 2016 設定的 適用於端點的 Microsoft Defender Client,預設值會設定為Microsoft監視代理程式 (舊版) ,其必須變更為建議) MDE 用戶端 ( Endpoint Protection 的用戶端設定螢幕快照,其中顯示下層伺服器操作系統裝置的不同選項。
  4. 在 Configuration Manager 控制台中,流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則],然後選取 [建立 Microsoft Defender ATP 原則]。 原則精靈隨即開啟。
  5. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述],然後選取 [上線]
  6. 流覽 至您從下載的 .zip 檔中擷取的組態檔。
  7. 指定從受控裝置收集並共用以進行分析的檔案範例。
    • 所有檔案類型
  8. 檢閱摘要並完成精靈。
  9. 以滑鼠右鍵按兩下您建立的原則,然後選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為用戶端。

使用 MDE Client 和 MMA 將裝置上線以 適用於端點的 Microsoft Defender

您可以將組態檔、工作區密鑰工作區識別碼提供給 Configuration Manager,讓執行任何支援作業系統的裝置上線以 適用於端點的 Microsoft Defender。

取得組態檔、工作區標識碼和工作區金鑰

  1. 移至 適用於端點的 Microsoft Defender 在線服務並登入。

  2. 取 [設定]然後選取 [ 端點 ] 標題下的 [上線]。

  3. 針對操作系統,選取 [Windows 10 和 11]

  4. 針對部署方法,選擇Microsoft端點 Configuration Manager 最新分支和更新版本。

  5. 選取 [下載套件]

    上線組態檔下載的螢幕快照。

  6. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。

  7. 取 [設定],然後選取 [裝置管理] 標題下的 [線]。

  8. 針對操作系統,請從清單中選取 Windows 7 SP1 和 8.1Windows Server 2008 R2 Sp1、2012 R2 和 2016

    • 不論您選擇哪一個選項, 工作區密鑰工作區標識 碼都會相同。
  9. 從 [設定連線] 區段複製 [工作區密鑰] 和 [工作區標識符] 的值。

    重要事項

    適用於端點的 Microsoft Defender 組態檔包含應該保持安全的敏感性資訊。

將裝置上線

  1. 在 Configuration Manager 控制台中,流覽至 [系統管理>用戶端設定]

  2. 建立自定義用戶端裝置設定,或移至必要用戶端設定的屬性,然後選取 [Endpoint Protection]

  3. 針對 Windows Server 2012 R2 和 Windows Server 2016 設定上的 適用於端點的 Microsoft Defender Client,請確定值已設定為 Microsoft Monitoring Agent (舊版)

  4. 在 Configuration Manager 控制台中,流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則]

  5. 取 [建立 Microsoft Defender ATP 原則] 以開啟原則精靈。

  6. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述],然後選取 [上線]

  7. 流覽 至您從下載的 .zip 檔中擷取的組態檔。

  8. 提供 [工作區密鑰 ] 和 [工作區標識符], 然後選取 [ 下一步]

    • 確認 [工作區金鑰 ] 和 [工作區標識符 ] 位於正確的欄位中。 控制台中的順序可能與在線服務 適用於端點的 Microsoft Defender 順序不同。 適用於端點的 Microsoft Defender 原則設定精靈的螢幕快照。
  9. 指定從受控裝置收集並共用以進行分析的檔案範例。

    • 所有檔案類型
  10. 檢閱摘要並完成精靈。

  11. 以滑鼠右鍵按兩下您建立的原則,然後選取 [部署] 以將 適用於端點的 Microsoft Defender 原則設為用戶端。

監視

  1. 在 Configuration Manager 控制台中,流覽 [監視>安全性],然後選取 [Microsoft Defender ATP]

  2. 檢閱 適用於端點的 Microsoft Defender 儀錶板。

    • Microsoft Defender ATP 代理程式上線狀態:已上架作用中 適用於端點的 Microsoft Defender 原則的合格受管理用戶端計算機數目和百分比

    • Microsoft Defender ATP 代理程式健全狀況:報告其 適用於端點的 Microsoft Defender 代理程式狀態的計算機用戶端百分比

      • 狀況良好 - 正常運作

      • 非作用中 - 期間內沒有傳送至服務的數據

      • 代理程式狀態 - Windows 中代理程式的系統服務未執行

      • 未上線 - 已套用原則,但代理程式尚未報告原則上線

建立下架組態檔

  1. 登入 Microsoft Defender 資訊安全中心

  2. 取 [設定],然後選取 [端點] 標題下的 [線]。

  3. 針對操作系統選取 Windows 10 和 11,Microsoft端點 Configuration Manager 最新分支,然後針對部署方法選取更新版本。

    • 使用 [Windows 10 和 11] 選項可確保集合中的所有裝置都已離線,而且 MMA 會在需要時卸載。
  4. 下載壓縮的封存 (.zip) 檔案並解壓縮內容。 下架檔案的有效期為 30 天。

  5. 在 Configuration Manager 控制台中,流覽至 [資產與合規性>Endpoint Protection>Microsoft Defender ATP 原則],然後選取 [建立 Microsoft Defender ATP 原則]。 原則精靈隨即開啟。

  6. 輸入 適用於端點的 Microsoft Defender 原則的 [名稱] 和 [描述],然後選取 [下架]

  7. 流覽 至您從下載的 .zip 檔中擷取的組態檔。

  8. 檢閱摘要並完成精靈。

取 [部署] 以將 適用於端點的 Microsoft Defender 原則的目標設為用戶端。

重要事項

適用於端點的 Microsoft Defender 組態檔包含應該保持安全的敏感性資訊。

更新現有裝置的上線資訊

組織可能需要透過 Microsoft Configuration Manager 更新裝置上的上線資訊。

這可能是必要的,因為 適用於端點的 Microsoft Defender的上架承載有所變更,或是Microsoft支持人員的指示。

更新上線資訊會指示裝置在下次 重新啟動時開始使用新的上線承載。

此程式會危害更新現有上線原則的動作,並在所有現有的裝置上執行一次動作,以更新上線承載。 利用 群組原則 上線腳本,執行一次將裝置從舊承載上傳至新承載的作業。

注意事項

此資訊不一定會在租用戶之間行動裝置,而不需將裝置從原始租使用者完全脫機。 如需在 適用於端點的 Microsoft Defender 組織之間移轉裝置的選項,請 Microsoft 支援服務。

驗證新的上線承載

  1. 適用於端點的 Microsoft Defender 入口網站下載 群組原則 上線套件。

  2. 建立 集合以驗證新的上線承載

  3. 從以上線承載為目標的現有 適用於端點的 Microsoft Defender 集合中排除此集合。

  4. 群組原則 上線文本部署至測試集合。

  5. 驗證 裝置是否利用新的上線承載。

移轉至新的上線承載

  1. 適用於端點的 Microsoft Defender 入口網站下載 Microsoft Configuration Manager 上線套件。

  2. 使用新的上線承載來更新現有的 適用於端點的 Microsoft Defender 上線原則。

  3. 驗證新的上線承載,將腳本部署至 適用於端點的 Microsoft Defender 上線原則的現有目標集合。

  4. 驗證 裝置正在利用新的上線承載,並成功從腳本取用承載

注意事項

移轉所有裝置之後,您可以使用上線原則,從您的環境中移除腳本和驗證集合。

後續步驟