使用 Defender 部署工具 (預覽 Microsoft Defender) ，將端點安全部署到 Windows 裝置

Defender 部署工具是一款輕量級、自我更新的應用程式，旨在簡化所有 Defender 端點安全解決方案支援的 Windows 版本的導入流程。 該工具能滿足前置需求，自動化從舊解決方案遷移，並免除複雜的入門腳本、獨立下載與手動安裝的需求。

透過工具的使用者介面，管理員可雙擊工具，並依照互動式安裝與入門程序操作。 對於較大規模的部署，該工具提供自動化選項及進階命令列參數，讓你能整合到編排平台或自訂部署工具（如群組原則），同時保留其他 Microsoft 解決方案整合（如 Intune 和 Defender for Cloud）所提供的體驗。

工具支援的功能包括：

• 前置處理：工具會檢查所需更新並修復阻擋問題，確保裝置準備好進入 Defender 上線。

• 日誌記錄：所有操作都會在本地詳細記錄。

• 避免重複安裝：如果 Defender 已經存在，工具會跳過冗餘安裝。

• 使用者介面回饋：該工具提供錯誤描述的介面回饋，取代退出代碼。

• 被動模式支援：在伺服器作業系統和 Windows 7 上，Defender 防毒軟體可設定為被動模式。 這在從非 Microsoft 的反惡意軟體解決方案遷移時非常有幫助。

• 自動化：此工具支援多種命令列選項。

• 裝置處理：虛擬桌面基礎架構 (VDI) 裝置支援，確保在同一主機名稱下刪除並重建的裝置，能在 Defender 入口網站中以單一裝置形式出現。

• 說明：內建說明功能顯示所有可用的命令列選項。

• 設定檔：你可以產生可重複使用的設定檔，讓大量部署更有效率且更不易出錯。

• 無連接工作：當連線暫時無法使用時，離線入職與離職是可能的。

當使用 互動式雙擊體驗時，工具會自動利用同一目錄中的 WindowsDefenderATP.onboarding 檔案。 它會負責安裝大多數前置更新和最新的 Defender 元件，並將裝置連接到 Defender 服務。 如果需要，工具會要求你重新啟動裝置，完成安裝。

對於更 進階且大規模的部署，該工具提供透過命令列參數或設定檔執行額外且協調步驟的功能。

下載工具後，要查看完整的指令參考，請執行： DefenderDT.exe -?。

支援的作業系統

Defender 部署工具支援以下作業系統：Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012 R2、2016、2019、2022、2025、Windows 10 (版本 1809 及更新) ，以及所有版本的 Windows 11。

必要條件

所有支援的 Windows 與 Windows Server 裝置都有相關前置條件，以及針對 Windows 7 SP1 與 Windows Server 2008 R2 SP1 裝置的先決條件。

一般必要條件

• 大多數營運都需要行政權限。

• 預覽功能必須在租戶上啟用。

• 存取網域 definitionupdates.microsoft.com。 該工具是從此網域下載並更新的。 由於下載的檔案託管於內容分發平台，因此不會有靜態或可預測的 IP 範圍——這與其他 Defender 雲端服務不同。

• 雖然工具會在進行前檢查你特定租戶的連線狀況，但其他連接需求，例如存取整合版 *.endpoint.security.microsoft.com/*，則適用於你可能想搭配產品的 (額外) 功能。 請參閱 「設定您的網路環境以確保與 Defender for Endpoint 服務的連結」。

Windows 7 SP1 與 Windows Server 2008 R2 SP1 的額外先決條件

• 裝置必須執行 Windows 7 SP1 的 x64 版本或 Windows Server 2008 R2 SP1。 我們建議安裝最新的更新，以避免重啟並大幅縮短所需安裝時間。

• 若要讓 Defender 部署工具在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 上運行，至少必須安裝 SHA2 程式碼簽章的更新KB4474419。

  • 服務堆疊更新 (SSU) (KB4490628) 。 如果你使用 Windows Update，所需的 SSU 會自動提供給你。

  • SHA-2 更新 (KB4474419) 於 2019 年 9 月 10 日發布。 如果你使用 Windows Update，所需的 SHA-2 更新會自動提供給你。

• 在 Server 2008 R2 SP1 裝置上，還必須安裝 .NET 3.5 或更高版本的 .NET 框架。

R2 SP1 至少必須安裝 SHA2 程式碼簽署的更新：

SSU) (KB4490628) (Servicing stack 更新。 如果你使用 Windows Update，所需的 SSU 會自動提供給你。

SHA-2 更新 (KB4474419) 2019 年 9 月 10 日發布。 如果你使用 Windows Update，所需的 SHA-2 更新會自動提供給你。

下載工具

1. 在Microsoft Defender入口網站 (security.microsoft.com) ，點選系統>設定>端點>入職。

2. 在步驟 1 下拉選單中，選擇 Windows (預覽) 。

3. 在「 下載並套用套件或檔案部署」中，選擇 下載套件 按鈕。 這會下載 Defender 執行檔和入門檔案套件。

   

   注意事項

   若要離職，請在裝置管理區選「離職」，在步驟 1 下拉選單中選擇 Windows 10 和 11，然後選擇「下載套件」按鈕。 這只會下載離職檔案包，不會下載 Defender 部署工具的執行檔，因為入職和離職都是一樣的。

在裝置上部署 Defender 端點安全

Defender 部署工具可互動或非互動方式使用。

互動式使用

該工具支援兩種適合部署於單一或有限數量裝置的互動體驗——一種是「雙擊」快速單機上線體驗，無需更改預設行為;另一種是手動命令列操作，提供更多彈性。

要使用快速的「雙擊」預設安裝方式：

1. 雙擊執行檔即可啟動。

2. 在跳出的對話框中，選擇 繼續。

   

   工具會尋找工具執行目錄中的 WindowsDefenderATP.onboarding 檔案，並執行預設的安裝與啟動操作。

非互動式使用

你也可以透過命令列介面手動執行所有安裝與導入操作。 此外，命令列介面支援多種其他操作，例如執行前置檢查：

要查看完整的指令參考，請執行： DefenderDT.exe -?。

進階與大規模部署

Defender 部署工具可非互動式地作為管理工具（如群組原則、Microsoft Configuration Manager）執行的編排序列的一部分，或您組織用於軟體部署的其他工具。

為此，工具提供可選的命令列參數，讓你能自訂啟動操作，以支援多種情境。

對於環境中重複部署的情況，你可以用設定檔代替命令列來傳遞參數。 要產生設定檔，請以參數執行工具 -makeconfig 。 檔案建立完成後，請用文字編輯器開啟，設定選項以符合你的部署情境。 請參考 使用範例。

使用範例

以下範例說明如何使用此工具。

• 在不更改設定且不操作的情況下執行 Defender 部署工具：

  DefenderDT.exe -Quiet
  

• 使用與工具同一個目錄中的 WindowsDefenderATP.onboarding 檔案執行預設的啟動序列，透過代理連線，若需要重啟，則在不需詢問的情況下啟動。 不要顯示控制台視窗。

  DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet
  

• 使用儲存在網路位置的 .onboarding 檔案來執行入職序列。 不要顯示控制台視窗。

  DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet
  

• 執行離船作業。 不要尋求認可。 不要顯示控制台視窗。

  DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet
  

• 先行檢查，顯示冗長輸出，且不顯示對話框。

  DefenderDT.exe -PreCheck -Verbose -Quiet
  

• 下載更新與安裝檔案以供暫存，並存至目前目錄。

  DefenderDT.exe -Stage
  

• 建立一個設定檔，編輯它，然後用它傳遞多個參數給工具，使用分階段安裝檔案執行安裝。

  • 步驟 1：產生設定檔

    DefenderDT.exe -makeconfig
    

  • 步驟二：使用文字編輯器（如記事本）打開目錄中建立的 MdeConfig.txt 檔案，並指定你想使用的參數。 樣：

    # Only absolute paths can be used for the parameters accepting paths
    
    # Configures the tool to perform offboarding.
    
    # Add the parameter "YES" to proceed with offboarding without user approval. 
    # Offboard: False 
    
    # Used with "Offboard" and "Uninstall" parameters. 
    # Yes: False 
    
    # Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
    # Stage: 
    
    # Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
    # Source: 
    
    # Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
    # File: 
    
    # Proxy to use during and after installation. Empty string by default. 
    Proxy: 
    
    # Prevents any dialogs from displaying. False by default. 
    Quiet: False 
    
    # Allows device reboots if needed. False by default 
    AllowReboot: False 
    
    # Prevents the tool from resuming activities after a reboot. False by default. 
    NoResumeAfterReboot: False 
    
    # Windows Server only. Sets Defender antivirus to run in passive mode. 
    Passive: False 
    
    # Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
    UpdateOnly: False 
    
    # Displays detailed information. False by default. 
    Verbose: False 
    
    # Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
    Precheck: False 
    
    # Offboards the device and uninstalls any components that were added during onboarding. 
    # Will use the .offboarding file in the current folder if no path was specified. 
    # Add the parameter "YES" to proceed without user approval. 
    Uninstall: False 
    
    # Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
    RemoveMMA: 
    
    # Allows offboarding to proceed even if there is no connectivity. False by default. 
    Offline: False 
    

  • 步驟三：用設定檔執行工具。

    DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt
    

    如果 MdeConfig.txt 檔案和工具存放在同一個目錄裡，就不需要指定路徑。

使用群組原則進行部署

以下步驟說明如何建立排程任務以使用群組原則執行該工具：

1. 將檔案 DefenderDT.exe 和 WindowsDefenderATP.onboarding 放在裝置可存取的共用位置。 如果你之前已經建立了 MDEConfig.txt 設定檔，請放在同一個位置。

2. 要在 GPO) 建立新的 群組原則 物件 (，請開啟 GPMC) (群組原則管理主控台，右鍵點擊你想設定的物件群組原則，然後選擇新物件。 在顯示的對話框中輸入新 GPO 名稱並選擇 確定。

3. 打開 群組原則 管理主控台，右鍵點擊你想設定的 群組原則 物件 (GPO) ，然後選擇編輯。

4. 在群組原則管理編輯器中，前往電腦設定>偏好設定>的控制面板設定。

5. 右鍵點擊 排程任務，指向 新，然後選擇 立即任務 (至少 Windows 7) 。

6. 在開啟的 任務 視窗中，前往 「一般 」分頁。

7. 在 安全性選項 中選擇 變更使用者或群組，輸入 SYSTEM，然後選擇 檢查名稱 ，再選擇 確定。 NT AUTHORITY\SYSTEM 會顯示為該任務將執行的使用者帳號。

8. 選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。

9. 在 名稱 欄位，輸入一個排程任務的適當名稱。

10. 到 動作 標籤，選擇 「新」。 請確保在動作欄位中選擇 「啟動程式 」。 輸入共享 DefenderDDT.exe 應用程式的完整 UNC 路徑，並使用檔案伺服器完全限定的網域 (名稱 FQDN) 輸入。

11. 在 可選) 欄位的「新增參數」 ( 輸入你想使用的 參數 。 例如，若要使用不在工具工作目錄中的入門檔案，請指定 -file： 參數，並完整 UNC 路徑指向該入門檔案。-file: \\server\share\WindowsDefenderATP.onboarding

12. 選擇 確定 並關閉所有開啟的 GPMC 視窗。

13. 若要將 GPO 連結到 OU) (組織單位，請右鍵點擊並選擇 「連結現有 GPO」。 在顯示的對話框中，選擇你想連結的群組原則物件，並選擇確定。

考量與限制

以下概述了一般考量與限制，以及針對 Windows 7 SP1 與 Windows Server 2008 R2 SP1 裝置的額外考量與限制。

一般考量與限制

• 當你使用互動體驗，且需要重啟才能完成該序列時，必須在重啟後重新登入才能繼續。 否則裝置不會完全接入。

• 當使用 -proxy 參數時，它僅適用於 Defender 部署工具的操作。 儘管命令列說明中有參數描述，但它並未在登錄檔設定代理設定，讓 Defender 端點安全安裝後使用。 請注意，工具和 Defender 都會使用系統範圍 (Windows) 層級所設定的代理伺服器。 如果你想特別設定代理伺服器，在靜態代理 () 機器上使用代理伺服器，而非系統範圍，請參考 「配置你的裝置使用代理連接 Defender for Endpoint 服務」。

• 在 Windows Server 2016 及以後版本中，當 Defender 防毒軟體功能已卸載或移除時，你可能會在啟用功能「Windows-Defender」步驟時遇到錯誤。 這可以在使用者介面、本地日誌中，於序列 完成 （出口代碼 710 ）及錯誤描述 EnableFeatureFailed 中觀察到。 在本地日誌中，你也能找到錯誤 14081，描述為 0x3701 找不到該參考的組件。 此錯誤並非 Defender 防毒軟體功能或原始碼檔案的問題，因為這些通常會由入職工具解決。 如果你遇到這個問題，請為 Windows 伺服器開支援個案。

Windows 7 SP1 與 Windows Server 2008 R2 SP1 已知問題與限制

• 你可能會收到 mpclient.dll、 mpcommu.dll、 mpsvc.dll、 msmplics.dll和 sense1ds.dll 的通知，這些 mpcmdrun.exe 或 mssense.exe載入。 這些問題應該會隨時間自行改善。

• 在安裝桌面體驗包的 Windows 7 SP1 和 Windows Server 2008 R2 SP1 上，你可能會看到操作中心發出通知，Windows 找不到防毒軟體。 這並不代表有問題。

• 用戶端分析工具的預覽版 ) (「beta」版本可用於收集日誌並執行連線故障排除，適用於 Windows 7 SP1 及 Windows Server 2008 R2 SP1。 它需要安裝 PowerShell 5.1 或更新版本。

• 防毒軟體沒有本地使用者介面。 若想用 PowerShell 本地管理防毒設定，則需 5.1 版本或更新版本。

• 透過群組原則的配置支援，透過網域控制器上的中央儲存並更新群組政策範本。 若要設定本地群組政策，WindowsDefender.admx/) (的範本需手動更新至新版本， (Windows 11) 若想使用本地群組政策編輯器套用設定。

• Defender 端點安全解決方案將安裝於 C:\Program Files\Microsoft Defender for Endpoint

• Windows 7 裝置在入口網站可能會顯示為 伺服器 ，直到你透過應用程式更新到 Sense 最新版本KB5005292。

• 你可以在 Windows 7 上將 Defender 防毒軟體設為被動模式，方法是將 -passive 參數傳給 Defender 部署工具。 不過，目前無法像 Windows 伺服器那樣，使用 ForceDefenderPassiveMode 登錄檔來切換到主動模式。 要切換到主動模式，必須先離線並卸載，然後再執行 Defender 部署工具，不要啟用被動模式參數。

疑難排解

你可以參考 Defender 部署工具日誌，了解安裝和導入過程中是否有問題。 部署工具日誌位於：

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

事件也會寫入以下 Windows 事件日誌：

• 啟動：Windows 日誌應用程式>>來源：WDATPOnboarding

• 離職：Windows 日誌 > 應用程式 > 來源：WDATPOffboarding

要測試安裝是否成功，請執行以下檢查：

1. 檢查服務是否正在運行

   Sc.exe query sense
Sc.exe query windefend

   你應該會看到兩個服務的類似情況：

   

2. 若要收集 Defender 防毒軟體的詳細日誌，包括設定及其他資訊，您可以執行以下指令：

   C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

   用戶端分析工具的最新預覽版也可用於收集日誌並執行 Windows 7 SP1 及 Windows Server 2008 R2 SP1 的連線故障排除。 它需要安裝 PowerShell 5.1 或更新版本。

相關內容

• 部署 Defender 端點安全解決方案，適用於 Windows 7 SP1 及 Windows Server 2008 R2 SP1 裝置