注意事項
Defender 部署工具現已進入公開預覽 () 可用於在 Windows 和 Linux 裝置上部署 Defender 端點安全。 此工具是一款輕量級、自我更新的應用程式,簡化了部署流程。 欲了解更多資訊,請參閱使用 Defender 部署工具將Microsoft Defender端點安全部署至 Windows 裝置 (預覽) 及使用 Defender 部署工具Microsoft Defender (預覽) 將端點安全部署至 Linux 裝置。
你可以利用行動裝置管理 (MDM) 解決方案來配置Windows 10裝置。 Defender for Endpoint 透過提供 OMA-URIs 來建立管理裝置的政策來支援 MDM。
欲了解更多使用 Defender for Endpoint CSP 的資訊,請參閱 WindowsAdvancedThreatProtection CSP 與 WindowsAdvancedThreatProtection DDF 檔案。
開始之前
裝置必須註冊 Intune 作為您的行動裝置管理 (MDM) 解決方案。
如需使用 Microsoft Intune 啟用 MDM 的詳細資訊,請參閱 裝置註冊 (Microsoft Intune)。
使用 Microsoft Intune 上線裝置
請參考 《識別端點版 Defender 架構與部署方法 》,了解部署端點版的各種路徑。
請遵循 Intune 中的指示操作。
欲了解更多使用 Defender for Endpoint CSP 的資訊,請參閱 WindowsAdvancedThreatProtection CSP 與 WindowsAdvancedThreatProtection DDF 檔案。
注意事項
- 已上線的裝置健康情況狀態 原則會使用唯讀屬性且無法修復。
- 診斷資料報告頻率的設定僅適用於 Windows 10 版本 1703 的裝置。
- 導入 Defender for Endpoint 將使裝置加入資料 遺失防護 (DLP) ,這也是 Microsoft 365 合規的一部分。
執行偵測測試以驗證入職情況
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
使用行動裝置管理工具的離線裝置
出於安全考量,用於 Offboard 裝置的套件會在下載日期後七天內到期。 寄送給裝置的卸貨包裹過期會被拒絕。 下載離職套件時,你會收到該包裹的有效期限通知,且日期會包含在包裹名稱中。
注意事項
為避免不可預測的政策衝突,導入與離職政策不得同時部署於裝置上。
請從 Microsoft Defender 入口網站取得離職方案,具體如下:
在導覽面板中,選擇設定> 端點>裝置管理>離職。
選擇 Windows 10 或 Windows 11 作為作業系統。
在 部署方式 欄位中,選取 行動裝置管理 / Microsoft Intune。
選取 [下載套件],然後儲存 .zip 檔案。
將檔案內容
.zip解壓到一個共用且唯讀的位置,讓部署套件的網路管理員能存取。 你應該有一個名為WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding.在 Microsoft Intune 管理中心,您可以使用自訂設定政策或 EDR 政策。
方法 程序 自訂設定政策 1. 在導覽面板中,選擇「依平台>>的裝置>」Windows 管理裝置>設定。
2. 在 政策中 選擇 建立>新政策。
3. 在「建立個人檔案」滑出頁面中,選擇 Windows 10 及以後版本為平台,選擇範本為個人資料類型。
4. 在 範本名稱中,選擇 自訂 範本並選擇 建立。
5. 輸入 名稱 值並選擇 下一步。
6. 在 設定設定中,選擇 新增 並使用以下 OMA-URI 設定:
- 姓名:提供姓名
- OMA-URI:./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding
- 日期類型:字串
- 值值:從離職檔案內容WindowsDefenderATP_valid_until_YYYY-MM-DD中複製並貼上該值。
7. 制定適當的小組分配、適用規則,並在 「Review + Create 」步驟中選擇 「建立」。EDR政策 1. 在導覽面板中,選擇端 點安全>管理>端點偵測與回應。
2. 在 端點偵測與回應 (EDR) 政策中,選擇 建立政策。
3. 在「建立設定檔」滑出頁面,選擇 Windows 作為平台與端點偵測與回應,並選擇建立。
5. 輸入 名稱 值並選擇 下一步。
6. 在設定設定中,選擇 Offboard 以選擇 適用於端點的 Microsoft Defender 用戶端設定套件類型。
7. 從離職檔案內容WindowsDefenderATP_valid_until_YYYY-MM-DD複製該數值,並貼上至 離職 (裝置) 設定中。 然後選取 [下一步]。
8. 指定任何範圍標籤(如有需要),並進行適當的群組指派,並在 「Review + 建立 」步驟中選擇 「建立」。欲了解更多 Microsoft Intune 政策設定的資訊,請參閱 Microsoft Intune 中的 Windows 10 政策設定。
注意事項
已下架的裝置健康情況狀態 原則會使用唯讀屬性且無法修復。
重要事項
離職會使裝置停止向 Defender for Endpoint 傳送感測器資料,但裝置資料,包括任何警示的參考,會被保留長達 6 個月。
相關文章
- 使用群組原則將 Windows 裝置上線
- 使用 Microsoft Endpoint Configuration Manager 將 Windows 裝置上線
- 使用本機指令碼將 Windows 裝置上線
- 上線非持續 Virtual Desktop Infrastructure (VDI) 裝置
- 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
- 故障排除適用於端點的 Microsoft Defender 入門問題
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。