你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud
Defender for Cloud 允许通过部署 Defender for Endpoint 代理直接加入非 Azure 服务器。 这样一来,可以在单个统一的产品/服务下为云资产和非云资产提供保护。
注意
若要通过 Azure Arc 连接非 Azure 计算机,请参阅通过 Azure Arc 将非 Azure 计算机连接到 Microsoft Defender for Cloud。
通过此租户级别设置,可以自动且原生地将任何运行 Defender for Endpoint 的非 Azure 服务器加入 Defender for Cloud,而无需进行任何额外的代理部署。 此加入路径非常适合希望合并 Defender for Servers 下的服务器保护功能且具有混合服务器资产的客户。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态 | GA |
| 支持的操作系统 | Defender for Endpoint 支持的所有 Windows 和 LinuxServer 操作系统 |
| 所需的角色和权限 | 若要管理此设置,需要(在所选订阅上的)订阅所有者以及 Microsoft Entra 全局管理员或 Microsoft Entra 安全管理员角色 |
| 环境 | 本地服务器 多云 VM - 有限支持(请参阅限制部分) |
| 支持的计划 | Defender for Servers P1 Defender for Servers P2 - 有限功能(请参阅限制部分) |
工作原理
直接加入是 Defender for Endpoint 与 Defender for Cloud 之间的无缝集成,不需要在服务器上部署额外的软件。 启用后,它还会显示加入到 Defender for Cloud 中的 Defender for Endpoint 的非 Azure 服务器设备,位于你配置的指定 Azure 订阅下(它们也会在 Microsoft Defender 门户中具有常规展示形式)。 Azure 订阅用于许可、计费、警报和安全见解,但不提供服务器管理功能,例如 Azure Policy、扩展或来宾配置。 若要启用服务器管理功能,请参阅 Azure Arc 部署。
启用直接加入
启用直接加入是租户级别的一项选择加入设置。 它会影响加入到同一 Microsoft Entra 租户中的 Defender for Endpoint 的现有服务器和新服务器。 启用此设置后不久,你的服务器设备将会显示在指定的订阅下。 警报、软件清单和漏洞数据与 Defender for Cloud 集成,方式与 Azure VM 类似。
开始之前:
- 请确保你具有所需的权限
- 如果租户上有 Microsoft Defender for Endpoint for Servers 许可证,请确保在 Defender for Cloud 中指示它
- 查看限制部分
在 Defender for Cloud 门户中启用
- 转到 Defender for Cloud>环境设置>直接加入。
- 将“直接加入”开关切换为“启用”。
- 选择想要直接加入 Defender for Endpoint 的服务器使用的订阅。
- 选择“保存”。
你现在已在租户上成功启用直接加入。 首次启用后,最多可能需要 24 小时才能在指定的订阅中看到你的非 Azure 服务器。
在服务器上部署 Defender for Endpoint
无论是否使用直接加入,在本地 Windows 和 Linux 服务器上部署 Defender for Endpoint 代理是一样的。 有关进一步的说明,请参阅 Defender for Endpoint 加入指南。
当前限制
计划支持:直接加入功能提供了对所有 Defender for Servers 计划 1 功能的访问权限。 但是,计划 2 中的某些功能仍然需要部署 Azure Monitor 代理,该代理仅适用于非 Azure 计算机上的 Azure Arc。 如果在指定的订阅上启用计划 2,那么通过 Defender for Endpoint 直接加入的计算机就可以访问所有 Defender for Servers 计划 1 功能和计划 2 中包含的 Defender 漏洞管理加载项功能。
多云支持:可以使用 Defender for Endpoint 代理在 AWS 和 GCP 中直接加入 VM。 但是,如果你计划使用多云连接器同时将 AWS 或 GCP 帐户连接到 Defender for Servers,那么目前仍建议部署 Azure Arc。
有限支持同时加入:对于使用多种方法同时加入的服务器(例如,直接加入与基于 Log Analytics 工作区的加入相结合),Defender for Cloud 会尽一切努力将它们关联到单个设备表示形式。 但是,使用较旧版本的 Defender for Endpoint 的设备可能会面临某些限制。 在某些情况下,这可能会导致过度收费。 我们通常建议使用最新的代理版本。 具体而言,对于此限制,请确保 Defender for Endpoint 代理版本至少满足下列最低版本:
操作系统 最低代理版本 Windows 2019 10.8555 Windows 2012 R2、2016(新式、统一代理) 10.8560 Linux 30.101.23052.009
后续步骤
本页展示了如何将非 Azure 计算机添加到 Microsoft Defender for Cloud。 若要监视其状态,请使用以下页面中介绍的清单工具: