適用於端點的 Microsoft Defender

適用於：Configuration Manager (目前的分支)

Endpoint Protection 能協助管理與監控 適用於端點的 Microsoft Defender。 適用於端點的 Microsoft Defender 協助企業偵測、調查並回應對其網路的進階攻擊。 Configuration Manager 政策可以幫助你啟動並監控 Windows 10 或更新版本的用戶端。

適用於端點的 Microsoft Defender 的雲端入口網站是Microsoft Defender 資訊安全中心。 透過新增並部署用戶端入職設定檔，Configuration Manager 可以監控部署狀態及 適用於端點的 Microsoft Defender agent 健康狀況。 適用於端點的 Microsoft Defender 支援於運行 Configuration Manager 客戶端或由 Microsoft Intune 管理的個人電腦。

必要條件

• 訂閱 適用於端點的 Microsoft Defender
• 執行 Configuration Manager 用戶端的用戶端電腦
• 使用以下 支援用戶端作業系統 章節所列作業系統的用戶端。
• 您的管理員帳號需要 Endpoint Protection Manager 的安全角色。

支援的用戶端作業系統

您可以使用 Configuration Manager 來接入以下作業系統：

• Windows 11
• Windows 10，版本 1709 或更新版本
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual SAC) (頻道，版本為 1803 或更新
• Windows Server 2016

重要事項

已達產品生命週期終點的作業系統，除非已加入 ESU 計畫 匯報 (Extended Security) 。 欲了解更多有關支援作業系統與適用於端點的 Microsoft Defender 的相關功能，請參閱「適用於端點的 Microsoft Defender 的最低需求」。

使用 Configuration Manager 2207 及更新版本的 適用於端點的 Microsoft Defender 的導入說明

使用 Configuration Manager 更新 適用於端點的 Microsoft Defender 裝置入門資訊的說明

Configuration Manager 2207 及後續版本的適用於端點的 Microsoft Defender導入

不同作業系統對於導入 適用於端點的 Microsoft Defender 有不同的需求。 高階裝置，例如 Windows Server 1803 版本，則需要啟用設定檔。 從 Current Branch 2207 開始，對於低階伺服器作業系統裝置，你可以適用於端點的 Microsoft Defender (MDE) 在用戶端設定中選擇用戶端 (推薦) 或Microsoft監控代理程式 (MMA) (舊有) 。 對於Windows 8.1裝置，你需要在用戶端設定中使用 Microsoft 監控代理 (MMA) (舊版) 。

如果你選擇使用 MMA，需要 Workspace 金鑰 和 Workspace ID 才能上線。 Configuration Manager 也會在需要時安裝 Microsoft 監控代理程式 (MMA) ，但不會自動更新代理程式。

上層作業系統包括：

• Windows 10，版本 1607 及以後版本
• Windows 11
• Windows Server Semi-Annual SAC) (Channel 1803 或以後版本
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025

支援 MDE 用戶端的低階作業系統包括：

• Windows Server 2016

注意事項

目前，2016 & R2 Windows Server 2012現代統一的 適用於端點的 Microsoft Defender 已普遍可得。 Configuration Manager 2107 版本隨更新整合，支援使用端點保護政策進行設定，包括在 Microsoft Intune 管理中心透過租戶附加建立的政策。 Configuration Manager 版本 2207 現在支援自動部署 MDE 用戶端，前提是你選擇透過用戶端設定使用。 關於較舊支援的版本，請參見 伺服器遷移情境。

當你使用 Configuration Manager 將裝置導入 適用於端點的 Microsoft Defender 時，你會將 Defender 政策部署到目標集合或多個集合。 有時目標集合包含運行任意數量支援作業系統的裝置。 這些裝置的導入說明會依你是針對只支援 MDE 用戶端的作業系統裝置，或是包含需要 MMA 的下階用戶端而有所不同。

• 如果您的收藏僅包含需要MDE用戶端 (的上階裝置及/或下階伺服器作業系統裝置，依據用戶端設定) ，您可以使用用戶端 (推薦) 適用於端點的 Microsoft Defender入門說明。
• 如果你的目標收藏包含需要基於用戶端設定) 或Windows 8.1裝置進行 MMA (的低階伺服器作業系統裝置，請依照說明使用監控代理程式Microsoft裝置。

警告

如果你的目標收藏包含需要 MMA 的下層裝置，且你使用使用 MDE 客戶端的引導說明，那麼下層裝置就不會被上線。 可選的 Workspace 金鑰 和 Workspace ID 欄位用於導入需要 MMA 的下層裝置，但若未包含這些，則該政策會在需要 MMA 的下層用戶端上失敗。

使用MDE客戶端的機載裝置適用於端點的 Microsoft Defender (推薦)

高階用戶端需要一個入職設定檔，才能接入 適用於端點的 Microsoft Defender。 上層作業系統包括：

• Windows 11
• Windows 10，版本 1607 及以後版本
• Windows Server Semi-Annual SAC) (1803 及以後版本的 Channel
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025

支援 MDE 用戶端的低階作業系統包括：

• Windows Server 2016

必要條件

Windows Server 2012 R2 的先決條件

如果你已經用最新的 每月匯總 套件完全更新機器， 就沒有 額外的前置條件。

安裝套件會檢查以下元件是否已透過更新安裝：

• 客戶體驗與診斷遙測更新
• Windows 通用 C 執行環境更新

Windows Server 2016 的先決條件

• 必須安裝 SSU (2021 年 9 月 14 日或之後的服務堆疊更新) 。
• 必須安裝 2018 年 9 月 20 日或之後 (LCU) 的最新累積更新。 建議在伺服器上安裝最新的可用 SSU 與 LCU。 - Microsoft Defender 防毒功能必須啟用/安裝且保持最新。 你可以使用 Windows Update 下載並安裝最新版本的平台版本。 或者，您也可以從 Microsoft Update 目錄 或 MMPC 手動下載更新套件。

取得一個高階裝置的入門設定檔

1. 請前往 Microsoft Defender 資訊安全中心並登入。
2. 選擇設定，然後在端點標題下選擇「入職」。
3. 作業系統選擇 Windows 10 和 11。
4. 選擇 Microsoft Endpoint Configuration Manager 的 Current 分支及之後的分支作為部署方式。
5. 選擇 下載套件。
6. 下載壓縮後的 archive (.zip) 檔案並解壓內容。

   注意事項

   步驟是下載Windows 10和11的入門檔案，但這個檔案同時也用於升級版的伺服器作業系統。

重要事項

• 適用於端點的 Microsoft Defender 設定檔包含敏感資訊，應予以保護。
• 如果你的目標收藏包含需要 MMA 的下層裝置，且你使用使用 MDE 客戶端的引導說明，那麼下層裝置就不會被上線。 可選的 Workspace 鍵 和 Workspace ID 欄位用於下層裝置的上線，但如果未包含這些欄位，則該政策會在下層用戶端失效。

上層裝置

1. 在 Configuration Manager 主控台中，前往管理>用戶端設定。
2. 建立自訂的客戶端裝置設定，或到所需客戶端設定的屬性中選擇 端點保護
3. 對於適用於端點的 Microsoft Defender 客戶端Windows Server 2012 R2 和 Windows Server 2016 設定，預設值設為監控代理Microsoft (舊有) ，需改為MDE客戶端 (推薦) 。
4. 在 Configuration Manager 主控台中，進入資產與合規>端點保護>Microsoft Defender ATP 政策，選擇建立 Microsoft Defender ATP 政策。 原則精靈隨即開啟。
5. 輸入 適用於端點的 Microsoft Defender 政策的名稱與描述，並選擇「入職」選項。
6. 瀏覽 你從下載的 .zip 檔案解壓的設定檔。
7. 指定從受管理裝置收集並分享用於分析的檔案樣本。
   • 無
   • 所有檔案類型
8. 檢視摘要並完成精靈。
9. 右鍵點擊你建立的政策，然後選擇部署，將 適用於端點的 Microsoft Defender 政策針對客戶端。

搭載 MDE 用戶端與 MMA 的板上裝置，轉至 適用於端點的 Microsoft Defender

你可以將任何支援的作業系統裝置安裝到適用於端點的 Microsoft Defender，只要提供設定檔、Workspace 金鑰和 Workspace ID 給Configuration Manager。

取得設定檔、工作區 ID 和工作區金鑰

1. 進入 適用於端點的 Microsoft Defender 線上服務並登入。

2. 選擇設定，然後在端點項目下選擇「入職」。

3. 作業系統選擇 Windows 10 和 11。

4. 選擇 Microsoft Endpoint Configuration Manager 的 Current 分支及之後的分支作為部署方式。

5. 選擇 下載套件。

   

6. 下載壓縮後的 archive (.zip) 檔案並解壓內容。

7. 選擇設定，然後在裝置管理選項中選擇入職。

8. 作業系統方面，請從列表中選擇 Windows 7 SP1 與 8.1，或 Windows Server 2008 R2 Sp1、2012 R2 及 2016。

   • 無論你選擇哪一個選項， Workspace 金鑰 和 Workspace ID 都會是一樣的。

9. 從配置連線區塊複製工作區金鑰和工作區 ID 的數值。

   重要事項

   適用於端點的 Microsoft Defender 設定檔包含敏感資訊，應予以保護。

裝置上

1. 在 Configuration Manager 主控台中，前往管理>用戶端設定。

2. 建立自訂的客戶端裝置設定，或到所需客戶端設定的屬性中選擇 端點保護

3. 對於適用於端點的 Microsoft Defender R2 和 Windows Server 2016 設定Windows Server 2012客戶端，請確保該值設定為Microsoft監控代理， (舊有) 。

4. 在 Configuration Manager 主控台中，導覽至 Microsoft Defender ATP 政策的資產與合規>端點保護>。

5. 選擇「建立 Microsoft Defender ATP 政策」以開啟政策嚮導。

6. 輸入 適用於端點的 Microsoft Defender 政策的名稱與描述，並選擇「入職」選項。

7. 瀏覽 你從下載的 .zip 檔案解壓的設定檔。

8. 提供 Workspace 金鑰 和 Workspace ID ，然後選擇 下一步。

   • 確認 Workspace 金鑰 和 Workspace ID 是否在正確的欄位中。 主控台的順序可能與 適用於端點的 Microsoft Defender 線上服務的順序有所不同。

9. 指定從受管理裝置收集並分享用於分析的檔案樣本。

   • 無
   • 所有檔案類型

10. 檢視摘要並完成精靈。

11. 右鍵點擊你建立的政策，然後選擇部署，將 適用於端點的 Microsoft Defender 政策針對客戶端。

監視

1. 在 Configuration Manager 主控台中，選擇「監控>安全」，然後選擇 Microsoft Defender ATP。

2. 檢視 適用於端點的 Microsoft Defender 儀表板。

   • Microsoft Defender ATP 代理程式啟動狀態：具備有效 適用於端點的 Microsoft Defender 政策的合格管理客戶端電腦數量及百分比

   • Microsoft Defender ATP 代理健康狀況：報告其 適用於端點的 Microsoft Defender 代理狀態的電腦客戶比例

     • 健康 ——正常運作

     • 非活躍 - 在這段期間內沒有資料送上服務

     • 代理狀態 - Windows 代理的系統服務沒有在執行

     • 未入職 - 政策已套用，但客服人員尚未回報船上政策

建立離職設定檔

1. 登入 Microsoft Defender 資訊安全中心。

2. 選擇設定，然後在端點標題下選擇離職。

3. 選擇作業系統為 Windows 10 與 11，部署方式則為 Microsoft Endpoint Configuration Manager 目前及之後的分支。

   • 使用 Windows 10 和 11 選項可以確保集合中的所有裝置都已卸載，且需要時會卸載 MMA。

4. 下載壓縮後的 archive (.zip) 檔案並解壓內容。 離職申請的有效期為30天。

5. 在 Configuration Manager 主控台中，進入資產與合規>端點保護>Microsoft Defender ATP 政策，選擇建立 Microsoft Defender ATP 政策。 原則精靈隨即開啟。

6. 輸入 適用於端點的 Microsoft Defender 政策的名稱與描述，並選擇離職。

7. 瀏覽 你從下載的 .zip 檔案解壓的設定檔。

8. 檢視摘要並完成精靈。

選擇部署以針對客戶端的 適用於端點的 Microsoft Defender 政策。

重要事項

適用於端點的 Microsoft Defender 配置檔包含敏感資訊，應予以保護。

更新現有裝置的入職資訊

組織可能需要透過 Microsoft Configuration Manager 更新裝置的入職資訊。

這可能是因為 適用於端點的 Microsoft Defender 的啟動負載變更，或是 Microsoft 支援團隊指示而必須這麼做。

更新入職資訊將引導裝置在下一次 重啟時開始使用新的入門有效載荷。

此過程破壞了更新現有入職政策的操作，以及對所有現有裝置執行一次性操作以更新入職有效載荷的行為。 利用群組原則的導引腳本，將裝置從舊有效載貨一次性升級到新有效載荷。

注意事項

這些資訊不一定會在未完全將設備從原租戶手中完全卸載的情況下，直接在租戶間移動裝置。 關於適用於端點的 Microsoft Defender組織間裝置遷移的選項，請與Microsoft 支援服務互動。

驗證新的入職有效載荷

1. 請從適用於端點的 Microsoft Defender入口網站下載群組原則入職套件。

2. 建立 一個集合以驗證新的上手有效載荷

3. 將此集合排除於現有的 適用於端點的 Microsoft Defender 集合中，該集合與入職有效載荷一同目標。

4. 將群組原則導入腳本部署到測試集合中。

5. 確認 設備是否採用新的上線載荷。

遷移到新的入門有效載荷

1. 從適用於端點的 Microsoft Defender入口網站下載Microsoft Configuration Manager入職套件。

2. 更新現有的 適用於端點的 Microsoft Defender 入職政策，並加入新的入職載荷。

3. 將 Validate the new onboarding payload 的腳本部署到 適用於端點的 Microsoft Defender 入職政策的現有目標集合。

4. 驗證 裝置是否利用新的上線有效載荷，並成功從腳本中消耗有效載荷

注意事項

所有裝置遷移完成後，你可以從環境中移除腳本和驗證集合，並依照入職政策繼續使用。

後續步驟

• 適用於端點的 Microsoft Defender

• 故障排除適用於端點的 Microsoft Defender 入門問題