将设备载入到Microsoft Defender 商业版

本文介绍如何将设备载入 Defender for Business。

载入业务设备以立即保护它们。 可以从多个选项中进行选择，以加入公司的设备。 本文将指导你完成选项，并介绍载入的工作原理。

需执行的操作

1. 选择选项卡：
   • Windows 10 和 11
   • Mac
   • 移动 (新功能适用于 iOS 和 Android 设备！)
   • ( Windows Server 或 Linux Server) 的服务器
2. 查看载入选项，并按照所选选项卡上的指南进行操作。
3. 查看已载入设备的列表。
4. 在设备上运行钓鱼测试。
5. 继续执行 后续步骤。

Windows 10 和 11

Windows 10 和 11

注意

Windows 设备必须运行以下操作系统之一：

• Windows 10或 11 商业版
• Windows 10或 11 专业
• Windows 10或 11 企业版

有关详细信息，请参阅Microsoft Defender 商业版要求。

选择以下选项之一，将 Windows 客户端设备载入 Defender 商业版：

• 用于在 Microsoft Defender 门户中手动载入设备的本地脚本 ()
• 如果已在组织中使用组策略组策略 ()
• 如果已在使用 Intune) ，Microsoft Intune (

Windows 10 和 11 的本地脚本

可以使用本地脚本加入 Windows 客户端设备。 在设备上运行载入脚本时，它会创建Microsoft Entra ID (信任（如果该信任尚不存在) ），如果设备尚未注册) ，则会在 Microsoft Intune (中注册设备，然后将设备载入 Defender for Business。 如果当前未使用 Intune，则建议使用本地脚本方法作为 Defender for Business 客户的载入方法。

提示

建议在使用本地脚本方法时一次最多加入 10 台设备。

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中，选择“设置>终结点”，然后在“设备管理”下选择“载入”。

3. 选择“Windows 10”和“11”，然后在“部署方法”部分选择“本地脚本”。

4. 选择“下载载入包”。 建议将载入包保存到可移动驱动器。

5. 在 Windows 设备上，将配置包的内容提取到某个位置，例如“桌面”文件夹。 应有一个名为 的文件 WindowsDefenderATPLocalOnboardingScript.cmd。

6. 以管理员身份打开命令提示符。

7. 键入脚本文件的位置。 例如，如果将文件复制到 Desktop 文件夹，请键入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然后按 Enter 键 (或选择“ 确定 ”) 。

8. 脚本运行后， 运行检测测试。

Windows 10 和 11 的组策略

如果希望使用 组策略 载入 Windows 客户端，请按照使用 组策略 载入 Windows 设备中的指南进行操作。 本文介绍载入Microsoft Defender for Endpoint的步骤。 加入 Defender for Business 的步骤类似。

Windows 10 和 11 的Intune

可以使用 Intune 管理中心 https://intune.microsoft.com () 在 Intune 中加入 Windows 客户端和其他设备。 有几种方法可用于在 Intune 中注册设备。 建议使用以下方法之一：

• 为公司拥有或公司管理的设备启用 Windows 自动注册
• 要求用户在 Intune 中注册自己的 Windows 10/11 设备

为 Windows 10 和 11 启用自动注册

设置自动注册时，用户将其工作帐户添加到设备。 在后台，设备注册并加入Microsoft Entra ID，并在Intune中注册。

1. 转到Azure 门户 (https://portal.azure.com/) 并登录。

2. 选择“Microsoft Entra ID>移动 (MDM 和 MAM) >Microsoft Intune”。

3. 配置 MDM 用户范围 和 MAM 用户范围。

   

   • 对于“MDM 用户范围”，建议选择“ 全部 ”，以便所有用户都可以自动注册其 Windows 设备。

   • 在 MAM 用户范围部分中，建议为 URL 使用以下默认值：

     • MDM 使用条款 URL
     • MDM 发现 URL
     • MDM 符合性 URL

4. 选择“保存”。

5. 在 Intune 中注册设备后，可以将其添加到 Defender for Business 中的设备组。 详细了解 Defender for Business 中的设备组。

提示

若要了解详细信息，请参阅 启用 Windows 自动注册。

要求用户注册其Windows 10和 11 台设备

1. 观看以下视频，了解注册的工作原理：
   
   

2. 与组织中的用户共享本文：在 Intune 中注册 Windows 10/11 台设备。

3. 在 Intune 中注册设备后，可以将其添加到 Defender for Business 中的设备组。 详细了解 Defender for Business 中的设备组。

在 Windows 10 或 11 设备上运行检测测试

将 Windows 设备载入 Defender for Business 后，可以在设备上运行检测测试，以确保一切正常运行。

1. 在 Windows 设备上，创建一个文件夹： C:\test-MDATP-test。

2. 以管理员身份打开“命令提示符”。

3. 在“命令提示符”窗口中，运行以下 PowerShell 命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令运行后，“命令提示符”窗口会自动关闭。 如果成功，检测测试将标记为已完成，Microsoft Defender门户中会显示一个新警报，https://security.microsoft.com (大约 10 分钟内为新加入的设备) 。

Mac

Mac

注意

建议使用 本地脚本载入 Mac。 尽管可以使用 Intune 为 Mac 设置注册，但本地脚本是将 Mac 载入 Defender for Business 的最简单方法。

选择以下选项之一以载入 Mac：

• 适用于 Mac 的本地脚本 (建议)
• Intune for Mac (（如果已在使用 Intune) ）

适用于 Mac 的本地脚本

在 Mac 上运行本地脚本时，如果) 尚不存在该信任，它将创建具有Microsoft Entra ID (的信任;如果 Mac 尚未注册) ，则会在 Microsoft Intune (中注册 Mac，然后将 Mac 载入 Defender for Business。 建议使用此方法一次最多加入 10 台设备。

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中，选择“设置>终结点”，然后在“设备管理”下选择“载入”。

3. 选择 macOS。 在 “部署方法 ”部分中，选择“ 本地脚本”。

4. 选择“ 下载载入包”，并将其保存到可移动驱动器。 此外，选择“ 下载安装包”，并将其保存到可移动设备。

5. 在 Mac 上，将安装包另存为 wdav.pkg 本地目录。

6. 将载入包作为 WindowsDefenderATPOnboardingPackage.zip 保存到用于安装包的同一目录。

7. 使用 Finder 导航到 wdav.pkg 已保存，然后将其打开。

8. 选择“ 继续”，同意许可条款，然后在出现提示时输入密码。

9. 系统会提示你允许从 Microsoft 安装驱动程序 (系统扩展已阻止 或 安装处于保留状态，或者两者都) 。 必须允许安装驱动程序。 选择“ 打开安全首选项” 或“ 打开系统首选项>安全 & 隐私”，然后选择“ 允许”。

10. 使用以下 Bash 命令运行载入包：

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

在 Intune 中注册 Mac 后，可以将其添加到设备组。 详细了解 Defender for Business 中的设备组。

Intune for Mac

如果已有Intune，可以使用 Intune 管理中心 () https://intune.microsoft.com 注册 Mac 计算机。 有几种方法可用于在 Intune 中注册 Mac。 建议使用以下方法之一：

• 为公司拥有的 Mac 选择一个选项
• 要求用户在 Intune 中注册自己的 Mac

公司拥有的 Mac 的选项

选择以下选项之一，在 Intune 中注册公司管理的 Mac 设备：

选项	说明
Apple 自动设备注册	使用此方法可自动注册通过 Apple Business Manager 或 Apple School Manager 购买的设备。 自动设备注册会“无线”部署注册配置文件，因此无需对设备进行物理访问。 请参阅 自动向 Apple Business Manager 或 Apple School Manager 注册 Mac。
设备注册管理器 (DEM)	如果组织中有多个人可以帮助进行注册设置，请使用此方法进行大规模部署。 具有设备注册管理器 (DEM) 权限的人可以使用单个Microsoft Entra帐户注册多达 1,000 台设备。 此方法使用公司门户应用或 Microsoft Intune 应用来注册设备。 不能使用 DEM 帐户通过自动设备注册来注册设备。 请参阅使用设备注册管理器帐户在 Intune 中注册设备。
直接注册	直接注册会注册没有用户相关性的设备，因此此方法最适合未与单个用户关联的设备。 此方法要求你对正在注册的 Mac 具有物理访问权限。 请参阅 使用适用于 Mac 的直接注册。

要求用户在 Intune 中注册自己的 Mac

如果你的企业希望让用户在Intune中注册自己的设备，请引导用户按照以下步骤操作：

1. 转到公司门户网站 (https://portal.manage.microsoft.com/) 并登录。

2. 按照公司门户网站上的说明添加其设备。

3. 在 https://aka.ms/EnrollMyMac安装 公司门户 应用，并按照应用中的说明进行操作。

确认 Mac 已载入

1. 若要确认设备是否与你的公司关联，请在 Bash 中使用以下 Python 命令：

   mdatp health --field org_id.

2. 如果使用 macOS 10.15 (Catalina) 或更高版本，请授予 Defender for Business 许可以保护你的设备。 转到 “系统首选项>安全性 & 隐私>”“>完全磁盘访问”。 选择对话框底部的锁图标进行更改，然后选择“Microsoft Defender 商业版 (”或“Defender for Endpoint”（如果这是) 显示的内容）。

3. 若要验证设备是否已载入，请在 Bash 中使用以下命令：

   mdatp health --field real_time_protection_enabled

在 Intune 中注册设备后，可以将其添加到设备组。 详细了解 Defender for Business 中的设备组。

移动设备

移动设备

可以使用以下方法载入移动设备，例如 Android 和 iOS 设备：

• 使用 Microsoft Defender 应用
• 使用 Microsoft Intune

使用 Microsoft Defender 应用

移动威胁防御功能 现已正式提供给 Defender for Business 客户。 借助这些功能，你现在可以使用 Microsoft Defender 应用载入移动设备 (，例如 Android 和 iOS) 。 使用此方法，用户可以从 Google Play 或 Apple App Store下载应用、登录并完成载入步骤。

重要

在载入移动设备之前，请确保满足以下所有要求：

1. Defender for Business 已完成预配。 在Microsoft Defender门户中，转到“资产>设备”。
   - 如果看到一条消息，显示“请继续！ 我们正在为数据准备新空间并将其连接起来，“Defender for Business 尚未完成预配。 此过程正在发生，最长可能需要 24 小时才能完成。
   - 如果看到设备列表，或者系统提示载入设备，则表示 Defender for Business 预配已完成。
2. 用户在其设备上下载了 Microsoft Authenticator 应用，并使用其工作或学校帐户注册了其设备，适用于 Microsoft 365。

设备	Procedure
Android	1. 在设备上，转到 Google Play 商店。 2.如果尚未执行此操作，请下载并安装 Microsoft Authenticator 应用。 登录，并在 Microsoft Authenticator 应用中注册设备。 3. 在 Google Play 商店中，搜索Microsoft Defender应用并安装它。 4.打开Microsoft Defender应用，登录并完成载入过程。
iOS	1. 在设备上，转到 Apple App Store。 2.如果尚未执行此操作，请下载并安装 Microsoft Authenticator 应用。 登录，并在 Microsoft Authenticator 应用中注册设备。 3. 在 Apple App Store中，搜索Microsoft Defender应用。 4. 登录并安装应用。 5. 同意使用条款以继续。 6. 允许Microsoft Defender应用设置 VPN 连接并添加 VPN 配置。 7.选择是否允许通知 (如警报) 。

提示

使用 Microsoft Defender 应用载入移动设备后，继续在设备上运行网络钓鱼测试。

使用 Microsoft Intune

如果订阅包含Microsoft Intune，则可以使用它来载入移动设备，例如 Android 和 iOS/iPadOS 设备。 请参阅以下资源，获取将这些设备注册到 Intune 的帮助：

• 注册 Android 设备
• 注册 iOS 或 iPadOS 设备

在 Intune 中注册设备后，可以将其添加到设备组。 详细了解 Defender for Business 中的设备组。

服务器

服务器

注意

如果你计划加入 Windows Server 或 Linux Server 的实例，则需要额外的许可证，例如Microsoft Defender 商业版服务器。 或者，可以将Microsoft Defender用于服务器计划 1 或计划 2。 若要了解详细信息，请参阅 混合使用 Microsoft 终结点安全订阅会发生什么情况？

选择服务器的操作系统：

• Windows Server
• Linux Server

Windows Server

重要

在载入 Windows Server 终结点之前，请确保满足以下要求：

• 你有Microsoft Defender 商业版服务器许可证。 (请参阅如何获取 Microsoft Defender 商业版服务器.)
• 已启用 Windows Server 的强制范围。 转到“设置”>“终结点”>“配置管理”>“强制范围”。 选择“使用MDE从 MEM 强制实施安全配置设置”，选择“Windows Server”，然后选择“保存”。

可以使用本地脚本将 Windows Server 实例载入 Defender for Business。

适用于 Windows Server 的本地脚本

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中，选择“设置>终结点”，然后在“设备管理”下选择“载入”。

3. 选择一个操作系统（如 Windows Server 1803、2019 和 2022），然后在 “部署方法 ”部分选择“ 本地脚本”。

   如果选择Windows Server 2012 R2 和 2016，则可以下载和运行两个包：安装包和载入包。 安装包包含安装 Defender for Business 代理的 MSI 文件。 载入包包含将 Windows Server 终结点载入 Defender for Business 的脚本。

4. 选择“下载载入包”。 建议将载入包保存到可移动驱动器。

   如果选择了Windows Server 2012 R2 和 2016，请选择“下载安装包”，并将包保存到可移动驱动器

5. 在 Windows Server 终结点上，将安装/载入包的内容提取到桌面文件夹等位置。 应有一个名为 的文件 WindowsDefenderATPLocalOnboardingScript.cmd。

   如果要加入 Windows Server 2012 R2 或 Windows Server 2016，请先提取安装包。

6. 以管理员身份打开命令提示符。

7. 如果要载入 Windows Server 2012R2 或 Windows Server 2016，请运行以下命令：

   Msiexec /i md4ws.msi /quiet

   如果要载入 Windows Server 1803、2019 或 2022，请跳过此步骤，然后转到步骤 8。

8. 键入脚本文件的位置。 例如，如果将文件复制到 Desktop 文件夹，请键入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然后按 Enter (或选择 “确定 ”) 。

9. 转到 在 Windows Server 上运行检测测试。

在 Windows Server 上运行检测测试

将 Windows Server 终结点载入 Defender for Business 后，可以运行检测测试，以确保一切正常运行：

1. 在 Windows Server 设备上，创建一个文件夹： C:\test-MDATP-test。

2. 以管理员身份打开“命令提示符”。

3. 在“命令提示符”窗口中，运行以下 PowerShell 命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令运行后，“命令提示符”窗口将自动关闭。 如果成功，检测测试将标记为已完成，Microsoft Defender门户中会显示一个新警报，https://security.microsoft.com (大约 10 分钟内为新加入的设备) 。

Linux Server

重要

在载入 Linux Server 终结点之前，请确保满足以下要求：

• 你有Microsoft Defender 商业版服务器许可证。 (请参阅如何获取 Microsoft Defender 商业版服务器.)
• 满足 Linux 上Microsoft Defender for Endpoint的先决条件。

载入 Linux Server 终结点

可以使用以下方法将 Linux Server 实例载入 Defender for Business：

• 本地脚本：请参阅在 Linux 上手动部署Microsoft Defender for Endpoint。
• Ansible：请参阅使用 Ansible 在 Linux 上部署Microsoft Defender for Endpoint。
• 厨师： 请参阅 使用 Chef 在 Linux 上部署 Defender for Endpoint。
• 木偶：请参阅使用 Puppet 在 Linux 上部署Microsoft Defender for Endpoint。

注意

将 Linux Server 实例加入 Defender for Business 与在 Linux 上载入Microsoft Defender for Endpoint相同。

查看已载入设备的列表

重要

必须为你分配适当的角色，例如全局管理员、安全管理员或安全读取者，才能执行以下过程。 有关详细信息，请参阅 Defender for Business 中的角色。

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中，转到 “资产>设备”。 此时会打开 “设备清单 ”视图。

在设备上运行网络钓鱼测试

载入设备后，可以运行快速网络钓鱼测试，以确保设备已连接并按预期生成警报。

1. 在设备上，转到 https://smartscreentestratings2.net。 Defender for Business 应在用户设备上阻止该 URL。

2. 作为组织安全团队的成员，请转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。

3. 在导航窗格中，转到 “事件”。 应看到一个信息性警报，指示设备尝试访问钓鱼网站。

后续步骤

• 如果你有其他设备要载入，请选择这些设备的选项卡 (Windows 10和 11、Mac、服务器或移动设备) ，然后按照该选项卡上的指南进行操作。
• 如果已载入设备，请继续执行 步骤 6：在 Defender for Business 中配置安全设置和策略。