Ez a cikk az eszközök Defender Vállalati verzió való előkészítését ismerteti.
Vegye fel az üzleti eszközöket, hogy azonnal védhesse őket. Számos lehetőség közül választhat a vállalati eszközök előkészítéséhez. Ez a cikk végigvezeti a lehetőségeken, és ismerteti az előkészítés működését.
Windows 10 és 11
Megjegyzés:
A Windows-eszközöknek az alábbi operációs rendszerek egyikét kell futtatniuk:
- Windows 10 vagy 11 Business
- Windows 10 vagy 11 Professional
- Windows 10 vagy 11 Enterprise
További információ: Microsoft Defender Vállalati verzió követelmények.
A Windows-ügyféleszközök Defender Vállalati verzió való előkészítéséhez válasszon az alábbi lehetőségek közül:
Helyi szkript a Windows 10 és a 11-hez
Windows-ügyféleszközök előkészítéséhez helyi szkriptet használhat. Amikor egy eszközön futtatja az előkészítési szkriptet, az létrehoz egy megbízhatósági kapcsolatot Microsoft Entra ID (ha ez a megbízhatóság még nem létezik), regisztrálja az eszközt Microsoft Intune (ha még nincs regisztrálva), majd regisztrálja az eszközt a Defender Vállalati verzió. Ha jelenleg nem Intune használ, a helyi szkriptmetódus az ajánlott előkészítési módszer Defender Vállalati verzió ügyfelek számára.
Tipp
Javasoljuk, hogy a helyi szkriptmetódus használatakor egyszerre legfeljebb 10 eszközt hozzon létre.
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
A navigációs panelen válassza a Beállítások>Végpontok elemet, majd az Eszközkezelés területen válassza az Előkészítés lehetőséget.
Válassza a Windows 10 és a 11 lehetőséget.
A Kapcsolat típusa területen válassza az Egyszerűsített lehetőséget.
Az Üzembe helyezési módszer szakaszban válassza a Helyi szkript, majd az Előkészítési csomag letöltése lehetőséget. Javasoljuk, hogy mentse az előkészítési csomagot egy cserélhető meghajtóra.
Windows-eszközön bontsa ki a konfigurációs csomag tartalmát egy helyre, például az Asztal mappába. Rendelkeznie kell egy nevű fájllal WindowsDefenderATPLocalOnboardingScript.cmd.
Nyisson meg egy parancssort rendszergazdaként.
Írja be a szkriptfájl helyét. Ha például a fájlt az Asztal mappába másolta, írja be a parancsot %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd, majd nyomja le az Enter billentyűt (vagy kattintson az OK gombra).
A szkript futtatása után futtasson egy észlelési tesztet.
Windows 10 és 11 Csoportházirend
Ha inkább a Csoportházirend-t szeretné használni a Windows-ügyfelek előkészítéséhez, kövesse a Windows-eszközök előkészítése a Csoportházirend használatával című cikk útmutatását. Ez a cikk a Végponthoz készült Microsoft Defender előkészítésének lépéseit ismerteti. A Defender Vállalati verzió való előkészítés lépései hasonlóak.
Intune Windows 10 és 11 esetén
A Windows-ügyfeleket és más eszközöket a Intune a Intune Felügyeleti központban (https://intune.microsoft.com) helyezheti üzembe. Az eszközök Intune való regisztrálására számos módszer áll rendelkezésre. Az alábbi módszerek egyikét javasoljuk:
Automatikus regisztráció engedélyezése Windows 10 és 11 esetén
Az automatikus regisztráció beállításakor a felhasználók hozzáadják munkahelyi fiókjukat az eszközhöz. A háttérben az eszköz regisztrálja és csatlakoztatja Microsoft Entra ID, és regisztrálva van a Intune.
Nyissa meg a Azure Portal (https://portal.azure.com/) és jelentkezzen be.
Válassza a Microsoft Entra ID>Mobilitás (MDM és MAM)>Microsoft Intune lehetőséget.
Konfigurálja az MDM-felhasználói hatókört és a MAM felhasználói hatókört.
Az MDM-felhasználók hatóköre esetében azt javasoljuk, hogy válassza az Összes lehetőséget, hogy minden felhasználó automatikusan regisztrálhassa Windows-eszközeit.
A MAM felhasználói hatóköre szakaszban a következő alapértelmezett értékeket javasoljuk az URL-címekhez:
-
MDM használati feltételek URL-címe
-
MDM-felderítési URL-cím
-
MDM-megfelelőségi URL-cím
Válassza a Mentés elemet.
Miután regisztrált egy eszközt Intune, hozzáadhatja azt egy eszközcsoporthoz Defender Vállalati verzió.
További információ a Defender Vállalati verzió eszközcsoportjairól.
Kérje meg a felhasználókat, hogy regisztrálják Windows 10 és 11 eszközüket
Az alábbi videóból megtudhatja, hogyan működik a regisztráció:
A cikk megosztása a szervezet felhasználóival: Windows 10/11-eszközök regisztrálása Intune.
Miután regisztrált egy eszközt Intune, hozzáadhatja azt egy eszközcsoporthoz Defender Vállalati verzió.
További információ a Defender Vállalati verzió eszközcsoportjairól.
Észlelési teszt futtatása Windows 10 vagy 11 eszközön
Miután előkészítette a Windows-eszközöket a Defender Vállalati verzió, futtathat egy észlelési tesztet az eszközön, hogy minden megfelelően működjön.
A Windows-eszközön hozzon létre egy mappát: C:\test-MDATP-test.
Nyissa meg a parancssort rendszergazdaként, majd futtassa a következő parancsot:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
A parancs futtatása után a parancssori ablak automatikusan bezárul. Ha sikeres, az észlelési teszt befejezettként lesz megjelölve, és körülbelül 10 percen belül megjelenik egy új riasztás az újonnan előkészített eszköz Microsoft Defender portálon (https://security.microsoft.com).
Mac
A Mac előkészítéséhez válasszon az alábbi lehetőségek közül:
Mac helyi szkript
Amikor Mac gépen futtatja a helyi szkriptet, az létrehoz egy megbízhatósági kapcsolatot Microsoft Entra ID (ha ez a megbízhatóság még nem létezik), regisztrálja a Mac-et a Microsoft Intune (ha még nincs regisztrálva), majd regisztrálja a Macet a Defender Vállalati verzió. Javasoljuk, hogy egyszerre legfeljebb 10 eszközt hozzon létre ezzel a módszerrel.
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
A navigációs panelen válassza a Beállítások>Végpontok elemet, majd az Eszközkezelés területen válassza az Előkészítés lehetőséget.
Válassza a macOS lehetőséget.
A Kapcsolat típusa területen válassza az Egyszerűsített lehetőséget.
Az Üzembe helyezési módszer szakaszban válassza a Helyi szkript, majd az Előkészítési csomag letöltése lehetőséget. Mentse a csomagot egy cserélhető meghajtóra. Válassza a Telepítőcsomag letöltése lehetőséget is, és mentse a cserélhető eszközre.
Mac gépen mentse a telepítőcsomagot wdav.pkg egy helyi könyvtárba.
Mentse az előkészítési csomagot a telepítési csomaghoz WindowsDefenderATPOnboardingPackage.zip használt könyvtárba.
A Finder segítségével keresse meg wdav.pkg a mentett fájlt, majd nyissa meg.
Válassza a Folytatás lehetőséget, fogadja el a licencfeltételeket, majd amikor a rendszer kéri, adja meg a jelszavát.
A rendszer arra kéri, hogy engedélyezze az illesztőprogram telepítését a Microsofttól (a rendszerbővítmény le van tiltva , vagy a telepítés várakozik, vagy mindkettő). Engedélyeznie kell az illesztőprogram telepítését. Válassza a Biztonsági beállítások megnyitása vagy a Rendszerbeállítások>biztonsági & adatvédelem megnyitása, majd az Engedélyezés lehetőséget.
Az előkészítési csomag futtatásához használja a következő Bash-parancsot:
/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh
Miután regisztrálta a Mac-et Intune, hozzáadhatja azt egy eszközcsoporthoz.
További információ a Defender Vállalati verzió eszközcsoportjairól.
Mac Intune
Ha már rendelkezik Intune, regisztrálhat Mac számítógépeket a Intune Felügyeleti központban (https://intune.microsoft.com). A Mac Intune többféle módon is regisztrálható. Az alábbi módszerek egyikét javasoljuk:
A vállalati tulajdonú Mac gép beállításai
A vállalat által felügyelt Mac-eszközök Intune való regisztrálásához válasszon az alábbi lehetőségek közül:
| Választási lehetőség |
Leírás |
| Apple automatikus eszközregisztráció |
Ezzel a módszerrel automatizálhatja a regisztrációt az Apple Business Manageren vagy az Apple School Manageren keresztül vásárolt eszközökön. Az automatizált eszközregisztráció "levegőn" helyezi üzembe a regisztrációs profilt, így nem kell fizikai hozzáféréssel rendelkeznie az eszközökhöz.
Lásd: Mac automatikus regisztrálása az Apple Business Managerrel vagy az Apple School Managerrel. |
| Eszközregisztráció-kezelő (DEM) |
Ezt a módszert nagy léptékű üzemelő példányokhoz használhatja, és ha a szervezetben több olyan személy is van, aki segíthet a regisztráció beállításában. Az eszközregisztráció-kezelő (DEM) engedélyekkel rendelkező felhasználók legfeljebb 1000 eszközt regisztrálhatnak egyetlen Microsoft Entra fiókkal. Ez a módszer a Céges portál alkalmazást vagy Microsoft Intune alkalmazást használja az eszközök regisztrálásához. A DEM-fiók nem használható az eszközök automatikus eszközregisztráción keresztüli regisztrálásához.
Lásd: Eszközök regisztrálása Intune eszközregisztráció-kezelői fiók használatával. |
| Közvetlen regisztráció |
A közvetlen regisztráció felhasználói affinitás nélküli eszközöket regisztrál, így ez a módszer olyan eszközök esetében a legjobb, amelyek nincsenek egyetlen felhasználóhoz társítva. Ehhez a módszerhez fizikai hozzáférésre van szükség a regisztrált Mac gépekhez.
Lásd: Közvetlen regisztráció használata Machez. |
Kérje meg a felhasználókat, hogy regisztrálják saját Mac gépüket a Intune
Ha vállalata szívesebben regisztrálja a saját eszközeit Intune, a felhasználókat az alábbi lépések végrehajtására utasíthatja:
Nyissa meg a Céges portál webhelyet (https://portal.manage.microsoft.com/), és jelentkezzen be.
Az eszköz hozzáadásához kövesse az Céges portál webhelyén található utasításokat.
Telepítse a Céges portál alkalmazást a címenhttps://aka.ms/EnrollMyMac, és kövesse az alkalmazás utasításait.
Győződjön meg arról, hogy a Mac gép be van-e kapcsolva
Annak ellenőrzéséhez, hogy az eszköz a vállalathoz van-e társítva, használja a következő Python-parancsot a Bashben:
mdatp health --field org_id.
Ha macOS 10.15(Catalina) vagy újabb verziót használ, adja meg Defender Vállalati verzió hozzájárulását az eszköz védelméhez. Lépjen a Rendszerbeállítások>biztonsági & Adatvédelem>Teljes lemezes hozzáféréselemre>. A módosításokhoz válassza a párbeszédpanel alján található zárolás ikont, majd válassza a Microsoft Defender Vállalati verzió (vagy a Végponthoz készült Defendert, ha ezt látja).
Az eszköz előkészítésének ellenőrzéséhez használja a következő parancsot a Bashben:
mdatp health --field real_time_protection_enabled
Miután regisztrált egy eszközt Intune, hozzáadhatja azt egy eszközcsoporthoz.
További információ a Defender Vállalati verzió eszközcsoportjairól.
Mobileszközök
Az alábbi módszerekkel regisztrálhat mobileszközöket, például Android- és iOS-eszközöket:
Az Microsoft Defender alkalmazás használata
A mobilfenyegetés-védelmi képességek mostantól általánosan elérhetők Defender Vállalati verzió ügyfelek számára. Ezekkel a képességekkel mostantól az Microsoft Defender alkalmazással regisztrálhat mobileszközöket (például Androidot és iOS-t). Ezzel a módszerrel a felhasználók letöltik az alkalmazást a Google Play áruházból vagy az Apple App Store, bejelentkeznek, és elvégzik az előkészítési lépéseket.
Fontos
A mobileszközök bevezetése előtt győződjön meg arról, hogy az alábbi követelmények mindegyike teljesül:
- Defender Vállalati verzió befejezte a kiépítést. A Microsoft Defender portálon lépjen az Eszközök>eszközök területre.
- Ha megjelenik egy üzenet, amely a következőt írja: "Álljatok! Új tereket készítünk elő az adatokhoz, és csatlakoztatjuk őket", majd Defender Vállalati verzió még nem fejeződött be a kiépítés. Ez a folyamat most zajlik, és akár 24 órát is igénybe vehet.
– Ha megjelenik az eszközök listája, vagy a rendszer kéri az eszközök előkészítését, az azt jelenti, hogy Defender Vállalati verzió üzembe helyezés befejeződött.
- A felhasználók letöltötték a Microsoft Authenticator alkalmazást az eszközükre, és regisztrálták eszközüket a Microsoft 365 munkahelyi vagy iskolai fiókjával.
| Eszköz |
Eljárás |
| Android |
1. Az eszközön nyissa meg a Google Play Áruházat.
2. Ha még nem tette meg, töltse le és telepítse a Microsoft Authenticator alkalmazást. Jelentkezzen be, és regisztrálja eszközét a Microsoft Authenticator alkalmazásban.
3. A Google Play áruházban keresse meg a Microsoft Defender alkalmazást, és telepítse.
4. Nyissa meg a Microsoft Defender alkalmazást, jelentkezzen be, és fejezze be az előkészítési folyamatot. |
| iOS |
1. Az eszközön lépjen az Apple App Store.
2. Ha még nem tette meg, töltse le és telepítse a Microsoft Authenticator alkalmazást. Jelentkezzen be, és regisztrálja eszközét a Microsoft Authenticator alkalmazásban.
3. Az Apple App Store keresse meg a Microsoft Defender alkalmazást.
4. Jelentkezzen be, és telepítse az alkalmazást.
5. A folytatáshoz fogadja el a használati feltételeket.
6. Engedélyezze, hogy az Microsoft Defender alkalmazás VPN-kapcsolatot állítson be, és VPN-konfigurációkat adjon hozzá.
7. Adja meg, hogy engedélyezi-e az értesítéseket (például a riasztásokat). |
A Microsoft Intune használata
Ha az előfizetése Microsoft Intune tartalmaz, akkor mobileszközök, például Android- és iOS/iPadOS-eszközök előkészítésére is használhatja. Az alábbi forrásanyagok segítséget nyújtanak az eszközök Intune való regisztrálásához:
Miután regisztrált egy eszközt Intune, hozzáadhatja azt egy eszközcsoporthoz.
További információ a Defender Vállalati verzió eszközcsoportjairól.
Kiszolgálók
Válassza ki a kiszolgáló operációs rendszerét:
Windows Server
Fontos
Mielőtt regisztrál egy Windows Server végpontot, győződjön meg arról, hogy megfelel a következő követelményeknek:
- Rendelkezik Üzleti szerverekhez készült Microsoft Defender licenccel. (Lásd: Üzleti szerverekhez készült Microsoft Defender lekérése.)
- A Windows Server kényszerítési hatóköre be van kapcsolva. Lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre. Válassza az MDE használata biztonsági konfigurációs beállítások kényszerítéséhez a MEM-ből lehetőséget, válassza a Windows Server, majd a Mentés lehetőséget.
A Windows Server egy példányát helyi szkripttel Defender Vállalati verzió.
Helyi szkript a Windows Server
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
A navigációs panelen válassza a Beállítások>Végpontok elemet, majd az Eszközkezelés területen válassza az Előkészítés lehetőséget.
Válasszon ki egy operációs rendszert( például Windows Server 1803, 2019 és 2022), majd az Üzembe helyezési módszer szakaszban válassza a Helyi szkript lehetőséget.
Ha Windows Server 2012 R2 és 2016 lehetőséget választja, két csomagot kell letöltenie és futtatnia: egy telepítőcsomagot és egy előkészítési csomagot. A telepítőcsomag egy MSI-fájlt tartalmaz, amely telepíti a Defender Vállalati verzió ügynököt. Az előkészítési csomag tartalmazza az Windows Server végpont Defender Vállalati verzió való előkészítésére szolgáló szkriptet.
Válassza az Előkészítési csomag letöltése lehetőséget. Javasoljuk, hogy mentse az előkészítési csomagot egy cserélhető meghajtóra.
Ha Windows Server 2012 R2 és 2016 lehetőséget választotta, válassza a Telepítőcsomag letöltése lehetőséget is, és mentse a csomagot cserélhető meghajtóra
A Windows Server végponton bontsa ki a telepítési/előkészítési csomag tartalmát egy olyan helyre, mint az Asztali mappa. Rendelkeznie kell egy nevű fájllal WindowsDefenderATPLocalOnboardingScript.cmd.
Ha Windows Server 2012 R2-t vagy Windows Server 2016 készít elő, először csomagolja ki a telepítőcsomagot.
Nyisson meg egy parancssort rendszergazdaként.
Ha Windows Server 2012R2-t vagy Windows Server 2016 készíti fel, futtassa a következő parancsot:
Msiexec /i md4ws.msi /quiet
Ha Windows Server 1803-at, 2019-et vagy 2022-et készít be, hagyja ki ezt a lépést, és folytassa a 8. lépéssel.
Írja be a szkriptfájl helyét. Ha például a fájlt az Asztal mappába másolta, írja be a parancsot %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd, majd nyomja le az Enter billentyűt (vagy kattintson az OK gombra).
Nyissa meg az Észlelési teszt futtatása Windows Server című témakört.
Észlelési teszt futtatása Windows Server
Miután előkészítette a Windows Server végpontot a Defender Vállalati verzió, futtathat egy észlelési tesztet, amely ellenőrzi, hogy minden megfelelően működik-e:
Az Windows Server eszközön hozzon létre egy mappát: C:\test-MDATP-test.
Nyissa meg a parancssort rendszergazdaként.
A Parancssor ablakban futtassa a következő PowerShell-parancsot:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
A parancs futtatása után a parancssori ablak automatikusan bezárul. Ha sikeres, az észlelési teszt befejezettként lesz megjelölve, és körülbelül 10 percen belül megjelenik egy új riasztás az újonnan előkészített eszköz Microsoft Defender portálon (https://security.microsoft.com).
Linux Server
Fontos
Linux Server-végpont előkészítése előtt győződjön meg arról, hogy megfelel a következő követelményeknek:
Linux Server-végpontok előkészítése
A Linux Server-példány előkészítéséhez az alábbi módszerekkel Defender Vállalati verzió:
Az eszköz előkészítése után futtathat egy gyors adathalászati tesztet, amely ellenőrzi, hogy az eszköz csatlakoztatva van-e, és hogy a riasztások a várt módon jönnek-e létre.
