你也可以手動將個別裝置導入 Defender for Endpoint。 你可能想在測試服務時先先導入一些裝置,再決定是否要啟動網路中的所有裝置。
重要事項
本文所描述的腳本建議用於手動將裝置導入 Defender for Endpoint。 它應該只在有限數量的裝置上使用。 如果你部署到生產環境,請參閱其他部署選項,如 Intune、群組原則或 Configuration Manager。
請參考 《識別端點版 Defender 架構與部署方法 》,了解部署端點版的各種路徑。
注意事項
Defender 部署工具現已進入公開預覽 () 可用於在 Windows 和 Linux 裝置上部署 Defender 端點安全。 此工具是一款輕量級、自我更新的應用程式,簡化了部署流程。 欲了解更多資訊,請參閱使用 Defender 部署工具將Microsoft Defender端點安全部署至 Windows 裝置 (預覽) 及使用 Defender 部署工具Microsoft Defender (預覽) 將端點安全部署至 Linux 裝置。
將裝置上線
- 打開設定套件 .zip 檔案 (你從服務入門精靈下載的 WindowsDefenderATPOnboardingPackage.zip) 。 你也可以從 Microsoft Defender 入口網站取得該套件:
注意事項
如果端點區塊看不到,試著 (Citizens 或 Hunting) 等其他 Defender 功能,或等幾分鐘讓環境初始化。 同時也要確保你具備所需的職務 (像是資安管理員) 和適當的執照。
在導覽面板中,展開安全性區塊,然後選擇「裝置>>管理>」→「Onboarding」。
選擇 Windows 10 或 Windows 11 作為作業系統。
在 [部署方法] 欄位中,選取 [本機指令碼]。
選擇 下載套件 並儲存 .zip 檔案。
將組態套件的內容解壓縮到您想要上線裝置上的位置 (例如,桌面)。 你應該有一個名為 WindowsDefenderATPLocalOnboardingScript.cmd 的檔案。
在裝置上開啟提升權限的命令列提示,然後執行指令碼:
轉至 [開始] 並鍵入「cmd」。
以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入指令檔的位置。 如果你已經把檔案複製到桌面,請輸入:
%userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd按下 Enter 鍵或選擇 確定。
輸入「Y」並在提示時輸入。
腳本完成後,會顯示「按下任意鍵繼續......」。 按下任意按鍵即可完成裝置上的步驟。
關於如何手動驗證裝置是否合規並正確回報感測器資料,請參閱「故障排除 適用於端點的 Microsoft Defender 入門問題」。
提示
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 欲了解更多資訊,請參閱「對新上線的 Microsoft Defender for Endpoint 執行偵測測試」適用於端點的 Microsoft Defender 端點。
設定範例集合設定
對於每個裝置,你可以設定一個設定值,表示當透過 Microsoft Defender 全面偵測回應提交檔案進行深度分析時,是否能從該裝置收集樣本。
你可以透過 regedit 手動設定樣本分享設定,或建立並執行 .reg 檔案。
透過下列的登錄機碼項目進行設定:
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
其中 Name type 是 D-WORD。 可能的值為:
- 0 - 不允許從此裝置分享取樣
- 1 - 允許從此裝置共用所有檔案類型
如果登錄檔金鑰不存在,預設值是 1。
執行偵測測試以驗證入職情況
將裝置上線之後,您可以選擇執行偵測測試,以驗證裝置已正確上線到服務。 如需詳細資訊,請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
使用本機指令碼將裝置下架
出於安全考量,用於離線裝置的套件在下載後七天內有效。 寄送給裝置的卸貨包裹過期會被拒絕。 下載離職套件時,你會收到該包裹的有效期限通知,且該日期會包含在套件檔案名稱中。
注意事項
入職與離職政策不得同時部署於同一裝置。 否則,可能會發生不可預測的碰撞。
從 Microsoft Defender 入口網站取得離職套件:
在導覽窗格中,展開安全性區塊,然後選擇「端>點」>裝置管理>「離職」。
選擇 Windows 10 或 Windows 11 作為作業系統。
在 [部署方法] 欄位中,選取 [本機指令碼]。
選擇 下載套件 並儲存 .zip 檔案。
將 .zip 檔案內容解壓到裝置可存取的共用唯讀位置。 你應該有一個名為
WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.在裝置上開啟提升權限的命令列提示,然後執行指令碼:
轉至 [開始] 並鍵入「cmd」。
以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入指令檔的位置。 如果你已經把檔案複製到桌面,請輸入:
%userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd按下 Enter 鍵或選擇 確定。
重要事項
下線會導致裝置停止將感應器資料傳送至入口網站,但來自裝置的資料 (包括任何警示的參考資料) 最多會保留 6 個月。
監視裝置設定
你可以依照「 故障排除啟動問題 」中的各種驗證步驟,確認腳本是否成功完成且代理程式正在執行。
監視也可以直接在入口網站上完成,或使用不同的部署工具。
使用入口網站監視裝置
選擇 裝置庫存。
確認裝置已顯示。
相關文章
- 使用群組原則將 Windows 裝置上線
- 使用 Microsoft Endpoint Configuration Manager 將 Windows 裝置上線
- 使用行動裝置管理工具將 Windows 裝置上線
- 上線非持續 Virtual Desktop Infrastructure (VDI) 裝置
- 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試
- 故障排除適用於端點的 Microsoft Defender 入門問題
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。