Déployer Microsoft Defender sécurité de point de terminaison sur des appareils Windows à l’aide de l’outil de déploiement Defender (préversion)

L’outil de déploiement Defender est une application légère et auto-mise à jour conçue pour simplifier l’intégration de toutes les versions de Windows prises en charge par la solution de sécurité de point de terminaison Defender. L’outil prend en charge les prérequis, automatise les migrations à partir d’anciennes solutions et supprime le besoin de scripts d’intégration complexes, de téléchargements distincts et d’installations manuelles.

À l’aide de l’interface utilisateur de l’outil, les administrateurs peuvent double-cliquer sur l’outil et suivre une séquence d’installation et d’intégration interactives. Pour les déploiements plus volumineux, l’outil fournit des options d’automatisation avec des paramètres de ligne de commande avancés afin que vous puissiez intégrer des plateformes d’orchestration ou des outils de déploiement personnalisés, tels que stratégie de groupe, tout en laissant en place les expériences fournies via d’autres intégrations de solutions Microsoft telles que Intune et Defender pour le cloud.

Les fonctionnalités prises en charge par l’outil sont les suivantes :

• Gestion des prérequis : l’outil recherche les mises à jour requises et corrige les problèmes bloquants, garantissant ainsi que les appareils sont prêts pour l’intégration de Defender.

• Journalisation : toutes les opérations sont consignées localement dans un journal détaillé.

• Évitement de l’installation redondante : si Defender est déjà présent, l’outil ignore les installations redondantes.

• Commentaires sur l’interface utilisateur : l’outil fournit des commentaires sur l’interface utilisateur avec des descriptions d’erreur au lieu des codes de sortie.

• Prise en charge du mode passif : sur les systèmes d’exploitation serveur et Windows 7, Defender Antivirus peut être défini sur le mode passif. Cela peut être utile lors de la migration à partir de solutions anti-programme malveillant non-Microsoft.

• Automatisation : l’outil prend en charge un large éventail d’options de ligne de commande.

• Gestion des appareils : La prise en charge des appareils VDI (Virtual Desktop Infrastructure) garantit que les appareils supprimés et recréés sous le même nom d’hôte peuvent apparaître sous la forme d’un seul appareil dans le portail Defender.

• Aide : une fonction d’aide intégrée affiche toutes les options de ligne de commande disponibles.

• Fichiers de configuration : vous pouvez générer des fichiers de configuration réutilisables qui rendent les déploiements en bloc plus efficaces et moins sujets aux erreurs.

• Travailler sans connectivité : lorsque la connectivité est temporairement indisponible, l’intégration et la désintégration hors connexion sont possibles.

Lorsque l’expérience interactive de double-clic est utilisée, l’outil tire automatiquement parti du fichier WindowsDefenderATP.onboarding dans le même répertoire. Il gère l’installation de la plupart des mises à jour requises et des derniers composants Defender, et connecte l’appareil aux services Defender. Si nécessaire, l’outil vous demandera de redémarrer l’appareil pour terminer l’installation après vous être reconnecté.

Pour les déploiements plus avancés et à grande échelle, l’outil offre des fonctionnalités permettant d’effectuer des étapes supplémentaires et orchestrées via des paramètres de ligne de commande ou un fichier de configuration.

Pour afficher la référence de commande complète après avoir téléchargé l’outil, exécutez : DefenderDT.exe -?.

Systèmes d’exploitation pris en charge

L’outil de déploiement Defender prend en charge les systèmes d’exploitation suivants : Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, 2016, 2019, 2022, 2025, Windows 10 (version 1809 et ultérieure) et toutes les versions de Windows 11.

Configuration requise

Il existe des prérequis qui concernent tous les appareils Windows et Windows Server pris en charge, ainsi que des prérequis spécifiques aux appareils Windows 7 SP1 et Windows Server 2008 R2 SP1.

Conditions préalables générales

• Des privilèges d’administration sont requis pour la plupart des opérations.

• Les fonctionnalités en préversion doivent être activées sur le locataire.

• Accès au domaine definitionupdates.microsoft.com. L’outil est téléchargé et mis à jour à partir de ce domaine. Étant donné que les fichiers qu’il télécharge sont hébergés sur une plateforme de distribution de contenu, aucune plage d’adresses IP statiques ou prévisibles ne lui est associée, contrairement à d’autres services cloud Defender.

• Bien que l’outil case activée pour la connectivité à votre locataire spécifique avant de continuer, d’autres exigences de connectivité, telles que l’accès à la *.endpoint.security.microsoft.com/*, consolidée, s’appliquent aux fonctionnalités (supplémentaires) que vous souhaiterez peut-être utiliser avec le produit. Consultez Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Prérequis supplémentaires pour Windows 7 SP1 et Windows Server 2008 R2 SP1

• Les appareils doivent exécuter une version x64 de Windows 7 SP1 ou Windows Server 2008 R2 SP1. Nous vous recommandons d’installer les dernières mises à jour pour éviter les redémarrages et réduire considérablement le temps d’installation requis.

• Pour que l’outil de déploiement Defender s’exécute sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, le KB4474419 de mise à jour pour la signature de code SHA2 doit être installé au minimum.

  • Mise à jour de la pile de maintenance (SSU) (KB4490628). Si vous utilisez Windows Update, la SSU requise vous est proposée automatiquement.

  • Mise à jour SHA-2 (KB4474419) publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour SHA-2 requise vous est proposée automatiquement.

• Sur les appareils Server 2008 R2 SP1, .NET 3.5 ou une version ultérieure du .NET Framework doit également être installé.

R2 SP1, au minimum, les mises à jour pour la signature de code SHA2 doivent être installées :

Mise à jour de la pile de maintenance (SSU) (KB4490628). Si vous utilisez Windows Update, la SSU requise vous est proposée automatiquement.

Mise à jour SHA-2 (KB4474419) publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour SHA-2 requise vous est proposée automatiquement.

Télécharger l’outil

1. Dans le portail Microsoft Defender (security.microsoft.com), accédez àParamètres>système>Points de terminaison>Intégration.

2. Dans le menu déroulant Étape 1, choisissez Windows (préversion).

3. Sous Déployer en téléchargeant et en appliquant des packages ou des fichiers, sélectionnez le bouton Télécharger le package . Cela télécharge l’exécutable Defender et le package de fichier d’intégration.

   

   Remarque

   Pour la désintégrage, sélectionnez Désintégrer dans la section Gestion des appareils, choisissez Windows 10 et 11 dans le menu déroulant Étape 1, puis sélectionnez le bouton Télécharger le package. Cela télécharge uniquement le package de fichier de désintégrage : il ne télécharge pas l’exécutable de l’outil de déploiement Defender, car il en va de même pour l’intégration et la désintégration.

Déployer la sécurité des points de terminaison Defender sur les appareils

L’outil de déploiement Defender peut être utilisé de manière interactive ou non.

Utilisation interactive

L’outil prend en charge deux expériences interactives qui conviennent au déploiement sur un ou un nombre limité d’appareils : une expérience d’intégration rapide « double-clic » sur une seule machine sans aucune modification du comportement par défaut et une expérience de ligne de commande manuelle qui offre plus de flexibilité.

Pour utiliser l’installation rapide « double-cliquez » par défaut :

1. Double-cliquez sur l’exécutable pour le lancer.

2. Dans la boîte de dialogue qui s’affiche, sélectionnez Continuer.

   

   L’outil recherche le fichier WindowsDefenderATP.onboarding dans le répertoire à partir duquel l’outil est exécuté et effectue les opérations d’installation et d’intégration par défaut.

Utilisation non interactive

Vous pouvez également effectuer manuellement toutes les opérations d’installation et d’intégration via l’interface de ligne de commande. En outre, l’interface de ligne de commande prend en charge diverses autres opérations, telles que l’exécution de vérifications des prérequis :

Pour afficher la référence de commande complète, exécutez : DefenderDT.exe -?.

Déploiements avancés et à grande échelle

L’outil de déploiement Defender peut être utilisé de manière non interactive dans le cadre d’une séquence orchestrée exécutée par un outil de gestion, tel que stratégie de groupe, Microsoft Configuration Manager ou tout autre outil que votre organization utilise pour les déploiements de logiciels.

À cet effet, l’outil fournit des paramètres de ligne de commande facultatifs qui vous permettent de personnaliser les opérations d’intégration afin de prendre en charge un grand nombre de scénarios.

Pour les scénarios de déploiement répétitifs dans votre environnement, vous pouvez utiliser un fichier de configuration au lieu de la ligne de commande pour transmettre des paramètres. Pour générer le fichier de configuration, exécutez l’outil avec le -makeconfig paramètre . Une fois le fichier créé, ouvrez-le dans un éditeur de texte pour configurer les options en fonction de votre scénario de déploiement. Consultez l’exemple d’utilisation.

Exemples d’utilisation

Les exemples suivants illustrent l’utilisation de l’outil.

• Exécutez l’outil de déploiement Defender sans modifier les paramètres et sans interagir avec celui-ci :

  DefenderDT.exe -Quiet
  

• Utilisez un fichier WindowsDefenderATP.onboarding dans le même répertoire que l’outil pour exécuter la séquence d’intégration par défaut, vous connecter via un proxy et, si un redémarrage est nécessaire, la lancer sans le demander. N’affichez pas la fenêtre de console.

  DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet
  

• Utilisez un fichier .onboarding stocké dans un emplacement réseau pour effectuer la séquence d’intégration. N’affichez pas la fenêtre de console.

  DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet
  

• Effectuer une opération de désintégération. Ne demandez pas d’approbation. N’affichez pas la fenêtre de console.

  DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet
  

• Effectuez une case activée requise et affichez une sortie détaillée sans afficher de boîte de dialogue.

  DefenderDT.exe -PreCheck -Verbose -Quiet
  

• Téléchargez les mises à jour et les fichiers d’installation à utiliser pour la préproduction dans le répertoire actif.

  DefenderDT.exe -Stage
  

• Créez un fichier de configuration, modifiez-le, puis utilisez-le pour passer plusieurs paramètres à l’outil afin d’effectuer une installation à l’aide de fichiers d’installation intermédiaires.

  • Étape 1 : Générer un fichier de configuration

    DefenderDT.exe -makeconfig
    

  • Étape 2 : Utilisez un éditeur de texte tel que le Bloc-notes pour ouvrir le fichier MdeConfig.txt créé dans le répertoire et spécifier les paramètres que vous souhaitez utiliser. Échantillon:

    # Only absolute paths can be used for the parameters accepting paths
    
    # Configures the tool to perform offboarding.
    
    # Add the parameter "YES" to proceed with offboarding without user approval. 
    # Offboard: False 
    
    # Used with "Offboard" and "Uninstall" parameters. 
    # Yes: False 
    
    # Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
    # Stage: 
    
    # Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
    # Source: 
    
    # Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
    # File: 
    
    # Proxy to use during and after installation. Empty string by default. 
    Proxy: 
    
    # Prevents any dialogs from displaying. False by default. 
    Quiet: False 
    
    # Allows device reboots if needed. False by default 
    AllowReboot: False 
    
    # Prevents the tool from resuming activities after a reboot. False by default. 
    NoResumeAfterReboot: False 
    
    # Windows Server only. Sets Defender antivirus to run in passive mode. 
    Passive: False 
    
    # Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
    UpdateOnly: False 
    
    # Displays detailed information. False by default. 
    Verbose: False 
    
    # Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
    Precheck: False 
    
    # Offboards the device and uninstalls any components that were added during onboarding. 
    # Will use the .offboarding file in the current folder if no path was specified. 
    # Add the parameter "YES" to proceed without user approval. 
    Uninstall: False 
    
    # Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
    RemoveMMA: 
    
    # Allows offboarding to proceed even if there is no connectivity. False by default. 
    Offline: False 
    

  • Étape 3 : Exécutez l’outil avec le fichier de configuration.

    DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt
    

    Si le fichier MdeConfig.txt est stocké dans le même répertoire que l’outil, il n’est pas nécessaire de spécifier un chemin d’accès.

Utilisation de stratégie de groupe pour le déploiement

Les étapes suivantes montrent comment créer une tâche planifiée pour exécuter l’outil à l’aide de stratégie de groupe :

1. Placez les fichiers DefenderDT.exe et WindowsDefenderATP.onboarding sur un emplacement partagé accessible par l’appareil. Si vous avez déjà créé un fichier de configurationMDEConfig.txt , placez-le au même emplacement.

2. Pour créer un objet stratégie de groupe (GPO), ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur stratégie de groupe Objets que vous souhaitez configurer, puis sélectionnez Nouveau. Entrez le nom du nouvel objet de stratégie de groupe dans la boîte de dialogue qui s’affiche, puis sélectionnez OK.

3. Ouvrez la console de gestion stratégie de groupe, cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis sélectionnez Modifier.

4. Dans l’Éditeur de gestion stratégie de groupe, accédez à Paramètres de configuration> de l’ordinateurParamètres>du Panneau de configuration.

5. Cliquez avec le bouton droit sur Tâches planifiées, pointez sur Nouveau, puis sélectionnez Tâche immédiate (Au moins Windows 7).

6. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général .

7. Sous Options de sécurité , sélectionnez Modifier l’utilisateur ou le groupe, tapez SYSTÈME, puis sélectionnez Vérifier les noms et sélectionnez OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

8. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

9. Dans le champ Nom , tapez un nom approprié pour la tâche planifiée.

10. Accédez à l’onglet Actions et sélectionnez Nouveau. Vérifiez que Démarrer un programme est sélectionné dans le champ Action. Entrez le chemin d’accès UNC complet, en utilisant le nom de domaine complet (FQDN) du serveur de fichiers, de l’application DefenderDDT.exe partagée.

11. Dans le champ Ajouter des arguments (facultatif), entrez les paramètres que vous souhaitez utiliser. Par exemple, pour utiliser un fichier d’intégration qui ne se trouve pas dans le répertoire de travail de l’outil, spécifiez le paramètre -file : avec le chemin d’accès UNC complet au fichier d’intégration, par exemple -file: \\server\share\WindowsDefenderATP.onboarding.

12. Sélectionnez OK et fermez toutes les fenêtres de la console GPMC ouvertes.

13. Pour lier l’objet de stratégie de groupe à une unité d’organisation (UO), cliquez avec le bouton droit et sélectionnez Lier un objet de stratégie de groupe existant. Dans la boîte de dialogue qui s’affiche, sélectionnez l’objet stratégie de groupe que vous souhaitez lier, puis sélectionnez OK.

Considérations et limitations

Les considérations générales et limitations, ainsi que les considérations et limitations supplémentaires spécifiques aux appareils Windows 7 SP1 et Windows Server 2008 R2 SP1, sont décrites ci-dessous.

Considérations générales et limitations

• Lorsque vous utilisez l’expérience interactive et qu’un redémarrage est nécessaire pour terminer la séquence, vous devez vous reconnecter après le redémarrage pour reprendre. Sinon, l’appareil ne sera pas entièrement intégré.

• Lorsque le paramètre -proxy est utilisé, il s’applique uniquement aux opérations de l’outil de déploiement Defender. Malgré la description du paramètre dans la référence d’aide en ligne de commande, elle ne définit pas la configuration du proxy dans le Registre pour la sécurité du point de terminaison Defender à utiliser après l’installation. Notez que l’outil et Defender utilisent tous les deux le proxy configuré au niveau du système (Windows). Si vous souhaitez configurer spécifiquement un proxy à utiliser pour les services de sécurité de point de terminaison Defender sur l’ordinateur (proxy statique), et non à l’échelle du système, consultez Configurer vos appareils pour se connecter au service Defender pour point de terminaison à l’aide d’un proxy.

• Sur Windows Server 2016 et versions ultérieures, lorsque la fonctionnalité Defender Antivirus a été désinstallée ou supprimée, vous pouvez rencontrer une erreur lors de l’étape Activation de la fonctionnalité « Windows-Defender ». Cela peut être observé dans l’interface utilisateur, dans le journal local, sous Exécution de séquence avec le code de sortie 710 et la description de l’erreur EnableFeatureFailed. Dans le journal local, vous trouverez également l’erreur 14081 avec la description 0x3701 L’assembly référencé est introuvable. Cette erreur n’indique pas un problème avec la fonctionnalité Defender Antivirus ou les fichiers sources, car ceux-ci sont généralement résolus par l’outil d’intégration. Ouvrez un cas de support pour les serveurs Windows si vous rencontrez ce problème.

Problèmes connus et limitations pour Windows 7 SP1 et Windows Server 2008 R2 SP1

• Vous pouvez recevoir des alertes sur mpclient.dll, mpcommu.dll, mpsvc.dll, msmplics.dllet sense1ds.dll chargées par mpcmdrun.exe ou mssense.exe. Celles-ci doivent être résolues au fil du temps.

• Sur Windows 7 SP1 et sur Windows Server 2008 R2 SP1 avec le pack Expérience utilisateur installé, vous pouvez voir une notification du Centre de notifications Windows n’a pas trouvé de logiciel antivirus sur cet ordinateur. Cela n’indique pas un problème.

• La préversion (« bêta ») de l’outil analyseur client peut être utilisée pour collecter les journaux et effectuer la résolution des problèmes de connectivité sur Windows 7 SP1 et Windows Server 2008 R2 SP1. Elle nécessite l’installation de PowerShell 5.1 ou version ultérieure.

• Il n’existe pas d’interface utilisateur locale pour Antivirus. Si vous souhaitez gérer les paramètres antivirus localement à l’aide de PowerShell, la version 5.1 ou ultérieure est requise.

• La configuration via stratégie de groupe est prise en charge à l’aide d’un magasin central avec des modèles de stratégie de groupe mis à jour sur un contrôleur de domaine. Pour la configuration de stratégie de groupe locale, les modèles (WindowsDefender.admx/WindowsDefender.adml) doivent être mis à jour manuellement vers une version plus récente (Windows 11) si vous souhaitez utiliser l’éditeur de stratégie de groupe local pour appliquer des paramètres.

• La solution de sécurité de point de terminaison Defender sera installée sur C:\Program Files\Microsoft Defender for Endpoint

• Les appareils Windows 7 peuvent apparaître en tant que serveur dans le portail jusqu’à ce que vous mettez à jour vers la dernière version de Sense en appliquant KB5005292.

• Vous pouvez mettre Defender Antivirus en mode passif sur Windows 7 en passant le paramètre -passive à l’outil de déploiement Defender. Toutefois, il n’est actuellement pas possible de passer en mode actif par la suite à l’aide de la clé de Registre ForceDefenderPassiveMode, comme sur le serveur Windows. Pour passer en mode actif, vous devez désactiver et désinstaller, puis réexécuter l’outil de déploiement Defender sans le paramètre mode passif.

Résolution des problèmes

Vous pouvez référencer le journal de l’outil de déploiement Defender pour comprendre s’il y a eu des problèmes lors de l’installation et de l’intégration. Le journal de l’outil de déploiement se trouve à l’emplacement suivant :

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

Les événements seront également écrits dans les journaux des événements Windows suivants :

• Intégration : Journaux > Windows Source de l’application > : WDATPOnboarding

• Désintégration : Windows Logs > Application > Source : WDATPOffboarding

Pour vérifier si l’installation a réussi, effectuez les vérifications suivantes :

1. Vérifier si les services sont en cours d’exécution

   Sc.exe query sense
Sc.exe query windefend

   Vous devez voir quelque chose de similaire à ce qui suit pour les deux services :

   

2. Pour obtenir une collecte de journaux détaillée pour Defender Antivirus, y compris les paramètres et d’autres informations, vous pouvez exécuter la commande suivante :

   C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

   La dernière préversion de l’outil analyseur client peut également être utilisée pour collecter les journaux et effectuer la résolution des problèmes de connectivité sur Windows 7 SP1 et Windows Server 2008 R2 SP1. Elle nécessite l’installation de PowerShell 5.1 ou version ultérieure.

Contenu connexe

• Déployer la solution de sécurité de point de terminaison Defender pour les appareils Windows 7 SP1 et Windows Server 2008 R2 SP1