使用 Microsoft Configuration Manager 上線

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

本文可作為上線方法範例。

在 規劃 文章中，提供了數種方法來將裝置上線至服務。 本文涵蓋共同管理架構。

環境架構圖表

雖然適用於端點的 Defender 支援將各種端點和工具上線，但本文並未涵蓋這些端點和工具。 如需使用其他支援的部署工具和方法進行一般上線的相關信息，請參閱 上線概觀。

本文將引導使用者：

• 步驟 1：將 Windows 裝置上線至服務
• 步驟 2：設定適用於端點的 Defender 功能

此上線指引會逐步引導您完成使用 Microsoft Configuration Manager 時需要採取的下列基本步驟：

• 在 Microsoft Configuration Manager 中建立集合
• 使用 Microsoft Configuration Manager 設定 適用於端點的 Microsoft Defender 功能

注意事項

此範例部署僅涵蓋 Windows 裝置。

步驟 1：使用 Microsoft Configuration Manager 將 Windows 裝置上線

集合建立

若要讓具有 Microsoft Configuration Manager 的 Windows 裝置上線，部署可以以現有的集合為目標，或建立新的集合以進行測試。

使用組策略或手動方法等工具上線不會在系統上安裝任何代理程式。

在 Microsoft Configuration Manager 中，控制台會將上線程式設定為控制台內合規性設定的一部分。

只要 Configuration Manager 客戶端繼續從管理點接收此原則，任何接收此必要設定的系統都會維護該設定。

請遵循下列步驟，使用 Microsoft Configuration Manager 將端點上線。

1. 在 Microsoft Configuration Manager 控制台中，流覽至 [資產與合規性>概觀>裝置集合]。

   

2. 以滑鼠右鍵選取 [裝置集合]，然後選 Create [裝置集合]。

   

3. 提供 [名稱 ] 和 [ 限制集合]，然後選取 [ 下一步]。

   

4. 選 取 [新增規則 ]，然後選擇 [查詢規則]。

   

5. 在 [直接成員資格精靈] 上選取 [下一步]，然後選取 [編輯查詢語句]。

   

6. 選取 [準則]，然後選擇 star 圖示。

   

7. 將準則類型保留為 簡單值，選擇 [ 操作系統 - 組建編號]、[運算子為] 大於或等於 和值 14393 ，然後選取 [ 確定]。

   

8. 選 取 [下一步 ] 和 [ 關閉]。

   

9. 選取 [下一步]。

   

完成這項工作之後，您現在有一個裝置集合，其中包含環境中的所有 Windows 端點。

步驟 2：設定 適用於端點的 Microsoft Defender 功能

本節將引導您使用 Windows 裝置上的 Microsoft Configuration Manager 來設定下列功能：

• 端點偵測及回應
• 新一代保護技術
• 受攻擊面縮小

端點偵測及回應

Windows 10和 Windows 11

您可以從 Microsoft Defender 入口網站下載.onboarding可用來在 System Center Configuration Manager 中建立原則的原則，並將該原則部署至 Windows 10 和 Windows 11 裝置。

1. 從 Microsoft Defender 入口網站中，選取 [設定]，然後選取 [上線]。

2. 在 [部署方法] 底下，選取支援的 Microsoft Configuration Manager 版本。

   

3. 選取 [下載套件]。

   

4. 將封裝儲存至可存取的位置。

5. 在 Microsoft Configuration Manager 中，流覽至：資產與合規性>概觀 > Endpoint Protection > Microsoft Defender ATP 原則。

6. 以滑鼠右鍵按兩下 Microsoft Defender ATP 原則]，然後選取 [Create Microsoft Defender ATP 原則]。

   

7. 輸入名稱和描述，確認已選取 [ 上線 ]，然後選取 [ 下一步]。

   

8. 選取 [瀏覽]。

9. 流覽至上述步驟 4 所下載檔案的位置。

10. 選取 [下一步]。

11. 使用 [ 無 ] 或 [ 所有文件類型 ]) (適當範例來設定代理程式。

    

12. 選取適當的遙測 ([一般 ] 或 [ 加速) 然後選取 [ 下一步]。

    

13. 確認設定，然後選取 [ 下一步]。

    

14. 當精靈完成時，選取 [ 關閉 ]。

15. 在 Microsoft Configuration Manager 控制台中，以滑鼠右鍵按兩下您建立的適用於端點的Defender原則，然後選取 [部署]。

    

16. 在右面板上，選取先前建立的集合，然後選取 [ 確定]。

    

舊版 Windows Client (Windows 7 和 Windows 8.1)

請遵循下列步驟來識別上架舊版 Windows 所需的適用於端點的 Defender 工作區標識符和工作區密鑰。

1. 從 Microsoft Defender 入口網站中，選取 [裝置管理) ] 底下的 [設定>端點>上線 (]。

2. 在操作系統下，選擇 [Windows 7 SP1 和 8.1]。

3. 複製 [工作區標識符 ] 和 [工作區密鑰 ]，並加以儲存。 稍後會在程式中使用它們。

   

4. 安裝 Microsoft Monitoring Agent (MMA) 。

   MMA 目前 (自 2019 年 1 月起) 支援下列 Windows 操作系統：

   • 伺服器 SKU：Windows Server 2008 SP1 或更新版本
   • 用戶端 SKU：Windows 7 SP1 和更新版本

   MMA 代理程式必須安裝在 Windows 裝置上。 若要安裝代理程式，某些系統需要下載 更新以獲得客戶體驗和診斷遙測 ，才能使用 MMA 收集數據。 這些系統版本包含但不限於：

   • Windows 8.1
   • Windows 7
   • Windows Server 2016
   • Windows Server 2012 R2
   • Windows Server 2008 R2

   具體而言，針對 Windows 7 SP1，必須安裝下列修補程式：

   • 安裝 KB4074598
   • 安裝 .NET Framework 4.5 (或更新版本) 或KB3154518。 請勿在同一個系統上安裝兩者。

5. 如果您使用 Proxy 連線到因特網，請參閱設定 Proxy 設定一節。

完成之後，您應該會在一小時內在入口網站中看到已上線的端點。

新一代保護技術

Microsoft Defender 防病毒軟體是內建的反惡意代碼解決方案，可為桌面計算機、可攜式計算機和伺服器提供新一代的保護。

1. 在 Microsoft Configuration Manager 控制台中，流覽至 [資產與合規性>概觀>][Endpoint Protection > 反惡意代碼原則]，然後選擇 [Create 反惡意代碼原則]。

   

2. 選取 [排程掃描]、[掃描設定]、[默認動作]、[實時保護]、[排除設定]、[進階]、[威脅覆寫]、[雲端保護服務和安全性情報更新]，然後選擇 [確定]。

   

   在某些產業或某些特定企業中，客戶可能會對防病毒軟體的設定方式有特定需求。

   快速掃描與完整掃描和自定義掃描

   如需詳細資訊，請參閱 Windows 安全性 組態架構。

   

   

   

   

   

   

   

   

3. 以滑鼠右鍵按兩下新建立的反惡意代碼原則，然後選取 [ 部署]。

   

4. 將新的反惡意代碼原則設為 Windows 集合的目標，然後選取 [ 確定]。

   

完成這項工作之後，您現在已成功設定 Microsoft Defender 防病毒軟體。

受攻擊面縮小

適用於端點的 Defender 的受攻擊面縮小要件包含惡意探索防護下可用的功能集。 受攻擊面縮小規則、受控資料夾存取、網路保護和惡意探索保護。

所有這些功能都提供測試模式和區塊模式。 在測試模式中，不會影響使用者。 它所做的就是收集其他遙測，並使其可在 Microsoft Defender 入口網站中使用。 部署的目標是逐步將安全性控件移至封鎖模式。

若要在測試模式中設定受攻擊面縮小規則：

1. 在 Microsoft Configuration Manager 控制台中，流覽至 [資產與合規性>概觀>] [Endpoint Protection > Windows Defender 惡意探索防護]，然後選擇 [Create 惡意探索防護原則]。

   

2. 選 取 [受攻擊面縮小]。

3. 將規則設定為 [稽核 ]，然後選取 [ 下一步]。

   

4. 選取 [ 下一步]，以確認新的惡意探索防護原則。

   

5. 建立原則之後，請選取 [關閉]。

   

6. 以滑鼠右鍵按兩下新建立的原則，然後選擇 [ 部署]。

   

7. 將原則設為新建立的 Windows 集合，然後選取 [ 確定]。

   

完成這項工作之後，您現在已在測試模式中成功設定受攻擊面縮小規則。

以下是確認受攻擊面縮小規則是否正確套用至端點的更多步驟。 (這可能需要幾分鐘的時間)

1. 從網頁瀏覽器移至 [Microsoft Defender 全面偵測回應]。

2. 從左側功能表中選取 [組態 管理 ]。

3. 選 取 [攻擊面管理] 面板中的 [移至受攻擊面 管理]。

   

4. 選 取 受攻擊面縮小規則報告中的 [組態] 索引標籤。 它會顯示每個裝置上的受攻擊面縮小規則設定概觀和受攻擊面縮小規則狀態。

   

5. 選取每個裝置都會顯示受攻擊面縮小規則的設定詳細數據。

   

如需詳細資訊，請參閱 優化受攻擊面縮小規則部署和偵測 。

在測試模式中設定網路保護規則

1. 在 Microsoft Configuration Manager 控制台中，流覽至 [資產與合規性>概觀>] [Endpoint Protection > Windows Defender 惡意探索防護]，然後選擇 [Create 惡意探索防護原則]。

   

2. 選取 [網络保護]。

3. 將設定設為 [稽核 ]，然後選取 [ 下一步]。

   

4. 選取 [ 下一步]，確認新的惡意探索防護原則。

   

5. 建立原則之後，請在 [關閉] 上選取 。

   

6. 以滑鼠右鍵按兩下新建立的原則，然後選擇 [ 部署]。

   

7. 選取新建立之 Windows 集合的原則，然後選擇 [ 確定]。

   

完成這項工作之後，您現在已在測試模式中成功設定網路保護。

在測試模式中設定受控資料夾存取規則

1. 在 Microsoft Configuration Manager 控制台中，流覽至 [資產與合規性>概觀>Endpoint Protection>Windows Defender [惡意探索防護]，然後選擇 [Create 惡意探索防護原則]。

   

2. 選 取 [受控資料夾存取權]。

3. 將組態設定為 [稽核 ]，然後選取 [ 下一步]。

   

4. 選取 [ 下一步]，確認新的惡意探索防護原則。

   

5. 建立原則之後，請在 [關閉] 上選取 。

   

6. 以滑鼠右鍵按兩下新建立的原則，然後選擇 [ 部署]。

   

7. 將原則設為新建立的 Windows 集合，然後選取 [ 確定]。

您現在已在測試模式中成功設定受控資料夾存取權。

相關文章

• 使用 Microsoft Configuration Manager 上線

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。