你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Cloud 允许通过部署 Defender for Endpoint 代理直接载入非 Azure 服务器。 这为单个统一产品/服务下的云和非云资产提供保护。
注意
若要通过 Azure Arc 连接非 Azure 计算机,请参阅通过 Azure Arc 将非 Azure 计算机连接到 Microsoft Defender for Cloud。
通过此租户级设置,您可以自动将任何运行 Defender for Endpoint 的非 Azure 服务器本地接入 Defender for Cloud,而无需任何额外的代理部署。 此入门路径非常适合拥有混合和混合服务器资产的客户,他们希望在 Defender for Servers 下整合服务器保护。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态 | GA |
| 受支持的操作系统 | Defender for Endpoint 支持的所有 Windows 和 Linux服务器 操作系统 |
| 所需的角色和权限 | 若要管理此设置,您需要是所选订阅的 订阅所有者,并在租户上具有 Microsoft Entra 安全管理员或更高权限。 |
| Environments | 本地服务器 多云 VM - 有限支持(请参阅限制部分) |
| 支持的计划 | 服务器防护者 P1 Defender for Servers P2 – 受限功能(请参阅限制部分) |
工作原理
直接载入是 Defender for Endpoint 和 Defender for Cloud 之间的无缝集成,不需要在服务器上部署额外的软件。 启用后,它不仅会在 Microsoft Defender 门户中以常规形式显示,还会在你配置的指定 Azure 订阅下的 Defender for Cloud 中显示已加入 Defender for Endpoint 的非 Azure 服务器设备。 Azure 订阅用于许可、计费、警报和安全见解,但不提供服务器管理功能,例如 Azure Policy、扩展或来宾配置。
必须使用其他工具来管理服务器安全设置,例如防病毒策略、攻击面减少规则和安全智能更新。 有多个选项可用于管理 Windows 服务器和 Linux 服务器的这些设置:
Windows Server:
Linux 服务器:
- Defender for Endpoint 安全设置管理
- 非Microsoft解决方案(请参阅 在 Linux 上的 Defender for Endpoint 中配置安全设置)
启用直接加入
启用直接加入是租户级别的一项选择加入设置。 它会影响加入到同一 Microsoft Entra 租户中的 Defender for Endpoint 的现有服务器和新服务器。 启用此设置后不久,服务器设备会显示在指定的订阅下。 警报、软件清单和漏洞数据与 Defender for Cloud 集成的方式与 Azure VM 的工作方式类似。
开始之前:
- 确保你拥有 所需的权限
- 如果租户上有 Microsoft Defender for Endpoint for Servers 许可证,请确保在 Defender for Cloud 中指示它
- 查看 “限制”部分
在 Defender for Cloud 门户中启用
转到 Defender for Cloud>环境设置>直接入驻。
将“直接加入”开关切换为“启用”。
选择想要直接加入 Defender for Endpoint 的服务器使用的订阅。
选择“保存”。
你现在已在租户上成功启用直接加入。 首次启用后,最长可能需要 24 小时才能在指定的订阅中看到非 Azure 服务器。
在服务器上部署 Defender for Endpoint
无论是否使用直接载入,在本地 Windows 和 Linux 服务器上部署 Defender for Endpoint 代理都是相同的。 有关详细信息,请参阅将服务器加入 Defender for Endpoint。
当前限制
计划支持:直接入门提供访问所有 Defender for Servers 计划 1 的功能。 但是,Defender for Servers Plan 2 中的某些功能仍然仅可通过 Azure Arc 使用,并适用于非 Azure 环境中的计算机。 如果在指定的订阅上启用 Defender for Servers 计划 2,则直接加入 Defender for Endpoint 的服务器有权访问计划 1 的所有 Defender for Servers 计划 1 功能和计划 2 中包含的 Defender 漏洞管理加载项 功能。
多云支持:可以使用 Defender for Endpoint 代理直接在 AWS 和 GCP 中载入 VM。 但是,如果计划同时使用多云连接器将 AWS 或 GCP 帐户连接到 Defender for Servers,则目前仍建议部署 Azure Arc。
同时载入有限支持:对于使用多种方法同时载入的服务器,Defender for Cloud 会尽一切努力将它们关联到单个设备表示形式。 但是,使用较旧版本的 Defender for Endpoint 的设备可能面临某些限制。 在某些情况下,这可能会导致过度收费。 我们通常建议使用最新的代理版本。 具体而言,对于此限制,请确保 Defender for Endpoint 代理版本满足或超过以下最低版本:
操作系统 最低代理版本 Windows Server 2019 及更高版本 10.8555 Windows Server 2016 或 Windows 2012 R2
(新式、统一的解决方案)10.8560 Linux 服务器 30.101.23052.009 Linux (AMD64) 30.101.23052.009 Linux (ARM64) 30.101.25022.004
后续步骤
本文介绍如何将非 Azure 服务器添加到 Microsoft Defender for Cloud。 若要监视其状态,请使用清单工具,如以下文章中所述: