將裝置上線至適用於企業的 Microsoft Defender。

本文說明如何將裝置上線至商務用Defender。

將您的商務裝置上線以立即保護它們。 您可以從數個選項中選擇將公司裝置上線。 本文將逐步引導您完成選項，並說明上線的運作方式。

處理方式

1. 選取索引標籤：
   • Windows 10和 11
   • Mac
   • 行動 (新功能適用於 iOS 和 Android 裝置！)
   • Windows Server 或 Linux Server (的伺服器)
2. 檢視您的上線選項，並遵循所選索引標籤上的指引。
3. 檢視已上線裝置的清單。
4. 在裝置上執行網路釣魚測試。
5. 繼續進行 後續步驟。

Windows 10和 11

Windows 10和 11

注意事項

Windows 裝置必須執行下列其中一個操作系統：

• Windows 10 或 11 商務版
• Windows 10 或 11 專業版
• Windows 10 或 11 企業版

如需詳細資訊，請參閱 適用於企業的 Microsoft Defender 需求。

選擇下列其中一個選項，將 Windows 用戶端裝置上線至適用於企業的 Defender:

• 在 Microsoft Defender 入口網站中手動上線裝置的本機腳本 ()
• 如果您已在組織中使用 群組原則，請 群組原則 ()
• 如果您已經在使用 Intune) ，請 Microsoft Intune (

Windows 10和11的本機腳本

您可以使用本機腳本將 Windows 用戶端裝置上線。 當您在裝置上執行上線腳本時，如果該信任尚未存在) ，它會建立與 Microsoft Entra ID (的信任、如果裝置尚未在) 註冊，則在 Microsoft Intune (中註冊裝置，然後將裝置上線至商務用 Defender。 如果您目前未使用 Intune，則本機腳本方法是適用於商務用 Defender 客戶的建議上線方法。

提示

當您使用本機腳本方法時，建議您一次最多上線 10 部裝置。

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選 Windows 10 和 11，然後在 [部署方法] 區段中，選擇 [本機腳本]。

4. 選取 [下載上線套件]。 建議您將上線套件儲存至卸載式磁碟驅動器。

5. 在 Windows 裝置上，將組態套件的內容擷取至位置，例如 Desktop 資料夾。 您應該會有名為 的 WindowsDefenderATPLocalOnboardingScript.cmd檔案。

6. 以系統管理員身分開啟命令提示字元。

7. 輸入指令檔的位置。 例如，如果您將檔案複製到 Desktop 資料夾，您會輸入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然後按 Enter 鍵 (或選取 [ 確定 ]) 。

8. 腳本執行之後， 請執行偵測測試。

Windows 10和 11 的 群組原則

如果您想要使用 群組原則 讓 Windows 用戶端上線，請遵循使用 群組原則 將 Windows 裝置上線中的指引。 本文說明上線至 適用於端點的 Microsoft Defender 的步驟。 上線至商務用Defender的步驟很類似。

Windows 10和 11 的 Intune

您可以使用 Intune 系統管理中心 https://intune.microsoft.com () ，將 Intune 中的 Windows 用戶端和其他裝置上線。 有數種方法可在 Intune 中註冊裝置。 建議您使用下列其中一種方法：

• 為公司擁有或公司管理的裝置啟用 Windows 自動註冊
• 要求使用者在 Intune 中註冊自己的 Windows 10/11 裝置

啟用 Windows 10 和11的自動註冊

當您設定自動註冊時，用戶會將其工作帳戶新增至裝置。 在背景中，裝置會註冊並加入 Microsoft Entra ID，並在 Intune 中註冊。

1. 前往 Azure 入口網站(https://portal.azure.com/)並登入。

2. 選取 [Microsoft Entra ID>行動 (MDM 和 MAM) Microsoft Intune>] 。

3. 設定 MDM 用戶範圍 和 MAM 用戶範圍。

   

   • 針對 [MDM 使用者範圍]，建議您選取 [ 全部 ]，讓所有使用者都能自動註冊其 Windows 裝置。

   • 在 [MAM 用戶範圍] 區段中，我們建議 URL 使用下列預設值：

     • MDM 使用條款 URL
     • MDM 探索 URL
     • MDM 合規性 URL

4. 選取 [儲存]。

5. 在 Intune 中註冊裝置之後，您可以將它新增至商務用 Defender 中的裝置群組。 深入了解商務用Defender中的裝置群組。

提示

若要深入瞭解，請參閱 啟用 Windows 自動註冊。

要求用戶註冊其 Windows 10和11部裝置

1. 觀看下列影片以了解註冊的運作方式：
   
   

2. 與組織中的用戶共用本文：在 Intune 中註冊 Windows 10/11 個裝置。

3. 在 Intune 中註冊裝置之後，您可以將它新增至商務用 Defender 中的裝置群組。 深入了解商務用Defender中的裝置群組。

在 Windows 10或11裝置上執行偵測測試

將 Windows 裝置上線至商務用 Defender 之後，您可以在裝置上執行偵測測試，以確保一切正常運作。

1. 在 Windows 裝置上，建立資料夾：C:\test-MDATP-test。

2. 以系統管理員身分開啟 [命令提示字元]。

3. 在 [命令提示字元] 視窗中，執行下列 PowerShell 命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令執行之後，命令提示字元視窗會自動關閉。 如果成功，偵測測試會標示為已完成，而且新上線裝置的新裝置在大約 10 分鐘內 (https://security.microsoft.com) ，Microsoft Defender 入口網站中會出現新的警示。

Mac

Mac

注意事項

建議您使用 本機腳本將 Mac 上線。 雖然您可以使用 Intune 設定 Mac 註冊，但本機腳本是將 Mac 上線至商務用 Defender 的最簡單方法。

選擇下列其中一個選項以將 Mac 上線:

• Mac 的本機腳本 (建議 的)
• 如果您已經在使用 mac Intune (Intune)

Mac 的本機腳本

當您在 Mac 上執行本機腳本時，如果該信任) 不存在，則會建立與 Microsoft Entra ID (的信任、在 Microsoft Intune (中註冊 Mac) ，然後將 Mac 上線至商務用 Defender。 建議您使用此方法一次最多上線 10 部裝置。

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選 取 [macOS]。 在 [ 部署方法] 區段中，選擇 [ 本機腳本]。

4. 選 取 [下載上線套件]，並將它儲存至卸除式磁碟驅動器。 也請選取 [下載安裝套件]，並將它儲存至卸載式裝置。

5. 在 Mac 上，將安裝套件儲存為 wdav.pkg 本機目錄。

6. 將上線套件 WindowsDefenderATPOnboardingPackage.zip 儲存到您用於安裝套件的相同目錄。

7. 使用 Finder 瀏覽至 wdav.pkg 您已儲存的檔案，然後開啟它。

8. 選取 [繼續]，同意授權條款，然後在出現提示時輸入您的密碼。

9. 系統會提示您允許從 Microsoft 安裝驅動程式 (系統擴充功能已封鎖 或 安裝處於保留狀態，或兩者都) 。 您必須允許安裝驅動程式。 選取 [開啟安全性喜好設定] 或 [開啟系統喜好設定>安全性 & 隱私權]，然後選取 [ 允許]。

10. 使用下列 Bash 命令來執行上線套件：

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

在 Intune 中註冊 Mac 之後，您可以將它新增至裝置群組。 深入了解商務用Defender中的裝置群組。

mac版 Intune

如果您已經有 Intune，您可以使用 Intune 系統管理中心 () https://intune.microsoft.com 來註冊 Mac 計算機。 有數種方法可在 Intune 中註冊 Mac。 我們建議使用下列其中一種方法：

• 選擇公司擁有 Mac 的選項
• 要求使用者在 Intune 中註冊自己的 Mac

公司擁有 Mac 的選項

選擇下列其中一個選項，在 Intune 中註冊公司管理的 Mac 裝置：

選項	描述
Apple 自動化裝置註冊	使用此方法可在透過Apple Business Manager 或 Apple School Manager 購買的裝置上自動註冊。 自動裝置註冊會「無線」部署註冊配置檔，因此您不需要實體存取裝置。 請參閱 使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac。
裝置註冊管理員 (DEM)	針對大規模部署，以及組織中有多位人員可協助進行註冊設定時，請使用此方法。 具有裝置註冊管理員 (DEM) 許可權的人，可以使用單一 Microsoft Entra 帳戶註冊最多 1,000 個裝置。 此方法會使用 公司入口網站 應用程式或 Microsoft Intune 應用程式來註冊裝置。 您無法使用 DEM 帳戶透過自動裝置註冊來註冊裝置。 請參閱使用裝置註冊管理員帳戶在 Intune 中註冊裝置。
直接註冊	直接註冊會註冊沒有用戶親和性的裝置，因此此方法最適合未與單一使用者相關聯的裝置。 此方法會要求您擁有所註冊 Mac 的實體存取權。 請參閱 使用 Mac 的直接註冊。

要求使用者在 Intune 中註冊自己的 Mac

如果您的企業偏好讓人員在 Intune 中註冊自己的裝置，請指示使用者遵循下列步驟：

1. 移至 公司入口網站 網站 (https://portal.manage.microsoft.com/) 並登入。

2. 請遵循 公司入口網站 網站上的指示來新增其裝置。

3. 在安裝 公司入口網站 應用程式https://aka.ms/EnrollMyMac，並遵循應用程式中的指示。

確認Mac已上線

1. 若要確認裝置與您的公司相關聯，請在Bash中使用下列 Python 命令：

   mdatp health --field org_id.

2. 如果您使用macOS 10.15 (Catalina) 或更新版本，請授與商務用Defender同意保護您的裝置。 移至 [系統喜好設定>安全性 & 隱私權>>完整磁碟存取]。 選取對話框底部的鎖定圖示以進行變更，然後選取 [適用於企業的 Microsoft Defender (或適用於端點的 Defender]，如果您看到) 。

3. 若要確認裝置已上線，請在Bash中使用下列命令：

   mdatp health --field real_time_protection_enabled

在 Intune 中註冊裝置之後，您可以將它新增至裝置群組。 深入了解商務用Defender中的裝置群組。

行動裝置

行動裝置

您可以使用下列方法將行動裝置上線，例如 Android 和 iOS 裝置：

• 使用 Microsoft Defender 應用程式
• 使用 Microsoft Intune

使用 Microsoft Defender 應用程式

行動威脅防禦功能 現在已正式提供給商務用Defender客戶。 透過這些功能，您現在可以使用 Microsoft Defender 應用程式，將行動裝置上線 (例如 Android 和 iOS) 。 使用此方法時，使用者會從 Google Play 或 Apple App Store 下載應用程式、登入和完成上線步驟。

重要事項

將行動裝置上線之前，請確定符合下列所有需求：

1. 商務用Defender已完成布建。 在 Microsoft Defender 入口網站中，移至 [資產>裝置]。
   - 如果您看到一則訊息，指出「停止回應！ 我們正在為您的數據準備新的空間並加以連線。然後商務用Defender尚未完成布建。 此程式現在正在進行，最多可能需要 24 小時才能完成。
   - 如果您看到裝置清單，或系統提示您將裝置上線，這表示商務用Defender布建已完成。
2. 使用者已在其裝置上下載 Microsoft Authenticator 應用程式，並已使用其 Microsoft 365 的公司或學校帳戶註冊其裝置。

裝置	程序
Android	1.在裝置上，移至Google Play商店。 2.如果您尚未這麼做，請下載並安裝 Microsoft Authenticator 應用程式。 登入，然後在 Microsoft Authenticator 應用程式中註冊您的裝置。 3.在 Google Play 商店中，搜尋 Microsoft Defender 應用程式並加以安裝。 4.開啟 Microsoft Defender 應用程式，登入並完成上線程式。
iOS	1.在裝置上，移至 Apple App Store。 2.如果您尚未這麼做，請下載並安裝 Microsoft Authenticator 應用程式。 登入，然後在 Microsoft Authenticator 應用程式中註冊您的裝置。 3.在 Apple App Store 中，搜尋 Microsoft Defender 應用程式。 4.登入並安裝應用程式。 5.同意繼續使用規定。 6.允許 Microsoft Defender 應用程式設定 VPN 連線並新增 VPN 組態。 7.選擇是否允許通知 (，例如警示) 。

提示

使用 Microsoft Defender 應用程式將行動裝置上線之後，請繼續在裝置上執行網路釣魚測試。

使用 Microsoft Intune

如果您的訂用帳戶包含 Microsoft Intune，您可以使用它將行動裝置上線，例如 Android 和 iOS/iPadOS 裝置。 請參閱下列資源，以取得將這些裝置註冊到 Intune 的說明:

• 註冊 Android 裝置
• 註冊 iOS 或 iPadOS 裝置

在 Intune 中註冊裝置之後，您可以將它新增至裝置群組。 深入了解商務用Defender中的裝置群組。

伺服器

伺服器

注意事項

如果您打算將 Windows Server 或 Linux Server 實例上線，您將需要額外的授權，例如 適用於商業伺服器的 Microsoft Defender。 或者，您可以針對伺服器方案 1 或方案 2 使用 Microsoft Defender。 若要深入瞭解，請參閱 如果我混合使用 Microsoft 端點安全性訂閱，會發生什麼情況？

選擇伺服器的作業系統：

• Windows Server
• Linux 伺服器

Windows 伺服器

重要事項

將 Windows Server 端點上線之前，請確定您符合下列需求：

• 您有 適用於商業伺服器的 Microsoft Defender 授權。 (參閱如何取得 適用於商業伺服器的 Microsoft Defender.)
• Windows Server 的強制執行範圍已開啟。 移至 [設定]>[端點]>[設定管理]>[強制範圍]。 選取 [使用 MDE 從 MEM 強制執行安全性組態設定]，選取 [Windows Server]，然後選取 [儲存]。

您可以使用本機腳本，將 Windows Server 實例上線至商務用 Defender。

Windows Server 的本機腳本

1. 移至 Microsoft Defender 入口網站 () https://security.microsoft.com ，然後登入。

2. 在瀏覽窗格中，選擇 [設定]>[端點]，然後在 [裝置管理] 下，選擇 [上線]。

3. 選取操作系統，例如 Windows Server 1803、2019 和 2022，然後在 [ 部署方法 ] 區段中選擇 [ 本機腳本]。

   如果您選取 Windows Server 2012 R2 和 2016，您有兩個要下載和執行的套件：安裝套件和上線套件。 安裝套件包含安裝商務用Defender代理程式的 MSI 檔案。 上線套件包含將 Windows Server 端點上線至商務用 Defender 的腳本。

4. 選取 [下載上線套件]。 建議您將上線套件儲存至卸載式磁碟驅動器。

   如果您選 Windows Server 2012 R2 和 2016，也請選取 [下載安裝套件]，並將套件儲存至卸除式磁碟驅動器

5. 在 Windows Server 端點上，將安裝/ 上線套件的內容解壓縮到 Desktop 資料夾等位置。 您應該會有名為 的 WindowsDefenderATPLocalOnboardingScript.cmd檔案。

   如果您要將 R2 或 Windows Server 2016 Windows Server 2012 上線，請先解壓縮安裝套件。

6. 以系統管理員身分開啟命令提示字元。

7. 如果您要將 Windows Server 2012R2 或 Windows Server 2016 上線，請執行下列命令：

   Msiexec /i md4ws.msi /quiet

   如果您要將 Windows Server 1803、2019 或 2022 上線，請略過此步驟，然後移至步驟 8。

8. 輸入指令檔的位置。 例如，如果您將檔案複製到 Desktop 資料夾，您會輸入 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd，然後按 Enter (或選取 [ 確定) ] 。

9. 移至在 Windows Server 上執行偵測測試。

在 Windows Server 上執行偵測測試

將 Windows Server 端點上線至商務用 Defender 之後，您可以執行偵測測試，以確保一切正常運作：

1. 在 Windows Server 裝置上，建立資料夾： C:\test-MDATP-test。

2. 以系統管理員身分開啟 [命令提示字元]。

3. 在 [命令提示字元] 視窗中，執行下列 PowerShell 命令：

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

命令執行之後，命令提示字元視窗會自動關閉。 如果成功，偵測測試會標示為已完成，並在大約 10 分鐘內，Microsoft Defender 入口網站 (https://security.microsoft.com) 新上線裝置的新警示。

Linux 伺服器

重要事項

將 Linux 伺服器端點上線之前，請確定您符合下列需求：

• 您有 適用於商業伺服器的 Microsoft Defender 授權。 (參閱如何取得 適用於商業伺服器的 Microsoft Defender.)
• 您符合 Linux 上 適用於端點的 Microsoft Defender 的必要條件。

將 Linux 伺服器端點上線

您可以使用下列方法，將 Linux Server 的實例上線至商務用 Defender：

• 本機腳本：請參閱手動在Linux上部署 適用於端點的 Microsoft Defender。
• Ansible：請參閱使用 Ansible 在 Linux 上部署 適用於端點的 Microsoft Defender。
• 廚師： 請參閱 使用 Chef 在 Linux 上部署適用於端點的 Defender。
• 木偶：請參閱使用 Puppet 在 Linux 上部署 適用於端點的 Microsoft Defender。

注意事項

將 Linux Server 實例上線至商務用 Defender 與在 Linux 上上線 適用於端點的 Microsoft Defender 相同。

檢視已上線裝置的清單

重要事項

您必須獲指派適當的角色，例如全域管理員、安全性系統管理員或安全性讀取者，才能執行下列程式。 如需詳細資訊，請參閱 商務用Defender中的角色。

1. 移至 Microsoft Defender 入口網站 () https://security.microsoft.com ，然後登入。

2. 在瀏覽窗格中，移至 [ 資產>裝置]。 [ 裝置清查] 檢視隨即開啟。

在裝置上執行網路釣魚測試

將裝置上線之後，您可以執行快速網路釣魚測試，以確定裝置已連線，而且警示會如預期般產生。

1. 在裝置上，移至 https://smartscreentestratings2.net。 商務用Defender應該封鎖使用者裝置上的該URL。

2. 身為組織安全性小組的成員，請移至 Microsoft Defender 入口網站 () https://security.microsoft.com 並登入。

3. 在瀏覽窗格中，移至 [事件]。 您應該會看到資訊警示，指出裝置嘗試存取網路釣魚網站。

後續步驟

• 如果您有其他要上線的裝置，請選取 (Windows 10 和 11、Mac、伺服器或行動裝置) 裝置的索引卷標，並遵循該索引卷標的指引。
• 如果您已完成裝置上線，請繼續進行 步驟 6：在商務用 Defender 中設定安全性設定和原則。