注意事項
在 Windows Server 2016 上,安裝或升級前務必確保作業系統與 Microsoft Defender 防毒軟體已完全更新。 為定期獲得 EDR 感測器元件的產品改進與修正,請確保安裝後Windows Update KB5005292能被應用或核准。 此外,為了保持防護元件的更新,請參考管理 Microsoft Defender 防毒軟體更新並套用基準。
這些指示適用於 Microsoft (Defender for Endpoint for Windows Server 2012 R2 和 Windows Server 2016) 套件的新統一解決方案與安裝程式。 本文包含了從先前解法到目前解法的各種可能遷移情境的高階說明。 這些高層次步驟旨在作為指引,讓你能根據環境中可用的部署與設定工具進行調整。
如果你使用 Microsoft Defender for Cloud 來部署,可以自動化安裝與升級。 請參閱Defender for Servers Plan 2現已整合至MDE統一解決方案
注意事項
安裝 Defender for Endpoint 的作業系統升級不被支援。 下機,卸載,升級作業系統,然後繼續安裝。
安裝程式腳本
注意事項
確保你執行腳本的機器沒有阻擋腳本的執行。 PowerShell 推薦的執行策略設定是 Allsigned。 這需要將腳本的簽署憑證匯入本地電腦可信發佈者儲存,若腳本在端以 SYSTEM 形式執行。
當 Microsoft Endpoint Configuration Manager 尚未可用或更新無法自動升級時,你可以使用這個升級腳本來方便升級。 下載方法是點選「程式碼」按鈕,下載 .zip 檔案,然後解壓 install.ps1。 它能協助自動化以下所需步驟:
移除 Defender for Endpoint 的 OMS 工作空間 (選擇性) 。
如果安裝System Center Endpoint Protection (SCEP) 用戶端,請移除。
啟用並更新 Windows Server 2016 上的 Microsoft Defender 防毒功能。
安裝 Defender for Endpoint。
請將入職腳本套用,用於從Microsoft Defender 入口網站下載的群組原則。
要使用腳本,請下載到安裝目錄,該目錄中同時放置安裝與入門套件, (請參閱 「機載伺服器) 」。
範例:
.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd"
想了解更多如何使用腳本,請使用 PowerShell 指令 get-help .\install.ps1。
Microsoft Endpoint Configuration Manager 遷移情境
注意事項
你需要使用 Configuration Manager,版本 2107 或更新,才能進行端點保護政策設定。 從 2207 或更新版本 起,部署與升級可實現全自動化。
關於如何使用 2207 版之前的 Configuration Manager 遷移說明,請參見「將伺服器從 Microsoft Monitoring Agent 遷移到統一解決方案」。
如果你使用的是非 Microsoft 的防毒軟體
全面更新機器,包括Microsoft Defender防毒軟體 (Windows Server 2016) 確保符合 Windows Server 2016 和 2012 R2 的前置條件。
請確保您的非 Microsoft 防毒軟體不再向這些機器推送防毒代理程式。
在 Defender for Endpoint 中撰寫保護功能政策,並用你選擇的工具針對該機器。
安裝 Defender for Endpoint 套件,適用於 Windows Server 2012 R2 和 Windows Server 2016,並設定為被動模式。
請將入職腳本套用,用於從Microsoft Defender 入口網站下載的群組原則。
套用更新。
使用非 Microsoft 防毒主控台或使用 Configuration Manager 視情況移除非 Microsoft 防毒軟體。 記得移除被動模式設定。
要將機器從被動模式移出,請設定以下按鍵:
路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection名稱:ForceDefenderPassiveMode類型:REG_DWORD價值:0
提示
你可以使用 [installer-script] (server-migration.md#installer 腳本) ,作為應用程式的一部分來自動化上述步驟。 要啟用被動模式,請套用 -Passive 旗標。 例如,.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd" -Passive。
在前述程序中,步驟 2 和 7 僅適用於你打算更換非 Microsoft 防毒軟體時。 一起查看更好:Microsoft Defender 防毒軟體與 適用於端點的 Microsoft Defender。
如果你正在執行System Center Endpoint Protection但沒有用 Configuration Manager (MECM/ConfigMgr) 來管理機器
全面更新裝置,包括Microsoft Defender防毒 (Windows Server 2016) 以確保符合 Windows Server 2016 和 2012 R2 的前置條件。
使用群組原則、PowerShell 或非 Microsoft 管理解決方案建立並套用政策。
卸載System Center Endpoint Protection (Windows Server 2012 R2) 。
安裝適用於端點的 Microsoft Defender (看到 Onboard Windows Server 2012 R2,並Windows Server 2016 適用於端點的 Microsoft Defender)
請將入職腳本套用,用於從Microsoft Defender 入口網站下載的群組原則。
套用更新。
提示
你可以用安裝程式腳本自動化前述步驟。
Microsoft Defender for Cloud 情境
你正在使用 Microsoft Defender for Cloud。 Microsoft監控代理程式 (MMA) 和/或 SCEP) Microsoft Antimalware Azure (已安裝,你想升級。
如果你使用 Microsoft Defender for Cloud,可以使用自動升級流程。 請參閱使用 Defender for Cloud 整合的 EDR 解決方案保護您的端點:適用於端點的 Microsoft Defender。
群組原則設定
若要使用群組原則設定,請確保你在中央儲存中使用最新的 ADMX 檔案,才能存取正確的 Defender for Endpoint 政策選項。 參考資料請參閱如何在 Windows 中建立與管理群組原則管理範本的中央儲存庫,並下載最新檔案以供 Windows 10 使用。