注意事項
在 Windows Server 2016 上,在繼續安裝或升級之前,請務必確保作業系統和 Microsoft Defender 防病毒軟體已完全更新。 若要定期獲得 EDR 感測器元件的產品改進和修復,請確保Windows Update KB5005292在安裝後得到應用或批准。 此外,若要讓保護元件保持更新,請參閱管理 Microsoft Defender 防病毒軟體更新並套用基準。
這些指示適用於適用於 Windows Server 2012 R2 和 Windows Server 2016 的適用於端點的 Defender 的 MSI) 套件 (新的統一解決方案和安裝程式。 本文包含從先前解決方案到目前解決方案的各種可能移轉案例的高階指示。 這些高階步驟旨在作為指導方針,以針對您環境中可用的部署和組態工具進行調整。
如果您使用適用於雲端的 Microsoft Defender 來執行部署,您可以自動化安裝和升級。 請參閱 適用於伺服器的 Defender 方案 2 現在與 MDE 統一解決方案整合
注意事項
不支援安裝適用於端點的 Defender 的作業系統升級。 下架、解除安裝、升級作業系統,然後繼續安裝。
安裝程式腳本
注意事項
請確定您執行指令碼的電腦不會封鎖指令碼的執行。 PowerShell 的建議執行原則設定是 Allsigned。 如果腳本在端點上以 SYSTEM 身分執行,這需要將腳本的簽署憑證匯入本機電腦信任的發行者存放區。
若要在 Microsoft Endpoint Configuration Manager 尚未使用或更新以執行自動升級時進行升級,您可以使用此升級腳本。 通過選擇“代碼”按鈕並下載 .zip 文件,然後解壓縮 install.ps1 來下載它。 它可以幫助自動化以下必要步驟:
移除適用於端點的 Defender 的 OMS 工作區 (選擇性) 。
如果已安裝System Center Endpoint Protection (SCEP) 用戶端,請移除。
在 Windows Server 2016 上啟用並更新 Microsoft Defender 防病毒軟體功能。
安裝適用於端點的 Defender。
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載的群組原則使用。
若要使用指令碼,請將它下載到安裝目錄,您也已放置安裝和上線套件, (請參閱上 線伺服器) 。
例:
.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd"
如需如何使用指令碼的詳細資訊,請使用 PowerShell 命令 get-help .\install.ps1。
Microsoft Endpoint Configuration Manager 移轉案例
注意事項
您需要 Configuration Manager 2107 版或更新版本,才能執行 Endpoint Protection 原則設定。 從 2207 版或更新版本 開始,部署和升級可以完全自動化。
如需如何使用 2207 版之前的 Configuration Manager 移轉的指示,請參閱 將伺服器從 Microsoft Monitoring Agent 移轉至統一解決方案。
如果您執行的是非 Microsoft 防毒解決方案
完全更新電腦,包括Microsoft Defender防毒軟體 (Windows Server 2016) 確保符合 Windows Server 2016 和 2012 R2 的先決條件。
請確定您的非 Microsoft 防病毒軟體管理解決方案不再將防病毒軟體代理程式推送至這些電腦。
撰寫適用於端點的 Defender 中的保護功能的原則,並將這些原則鎖定在您選擇的工具中的計算機。
安裝適用於端點的 Windows Server 2012 R2 和 Windows Server 2016 套件,並將它設定為被動模式。
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載的群組原則使用。
套用更新。
使用非 Microsoft 防病毒主機或視需要使用 Configuration Manager 來移除您的非 Microsoft 防病毒軟體。 請務必移除被動模式設定。
若要將機器移出被動模式,請設定下列按鍵:
路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection名稱:ForceDefenderPassiveMode類型:REG_DWORD值:0
提示
您可以使用 [installer-script] (server-migration.md#installer 腳本) 作為應用程式的一部分,以自動化上述步驟。 若要啟用被動模式,請套用 -Passive 旗標。 例如,.\install.ps1 -RemoveMMA <YOUR_WORKSPACE_ID> -OnboardingScript ".\WindowsDefenderATPOnboardingScript.cmd" -Passive。
在上述程式中,只有在您想要取代非 Microsoft 防病毒軟體解決方案時,步驟 2 和 7 才適用。 請參閱 一起改善:Microsoft Defender 防病毒軟體和適用於端點的 Microsoft Defender。
如果您正在執行System Center Endpoint Protection但未使用 MECM/ConfigMgr Configuration Manager (管理機器)
完整更新裝置,包括Windows Server 2016) 上的Microsoft Defender防毒軟體 (,以確保符合 Windows Server 2016 和 2012 R2 的先決條件。
使用群組原則、PowerShell 或非 Microsoft 管理解決方案來建立和套用原則。
解除安裝System Center Endpoint Protection (Windows Server 2012 R2) 。
安裝適用於端點的 Microsoft Defender (請參閱 Onboard Windows Server 2012 R2 和 Windows Server 2016 以適用於端點的 Microsoft Defender)
套用上線腳本,以搭配從 Microsoft Defender 入口網站下載的群組原則使用。
套用更新。
提示
您可以使用安裝程式指令碼來自動化上述程式中的步驟。
適用於雲端的 Microsoft Defender 案例
您使用的是適用於雲端的 Microsoft Defender。 已安裝 Microsoft Monitoring Agent (MMA) 和/或 Azure (SCEP) 的 Microsoft Antimalware,而且您想要升級。
如果您使用適用於雲端的 Microsoft Defender,您可以使用自動升級程式。 請參閱使用適用於雲端的 Defender 整合式 EDR 解決方案保護端點:適用於端點的 Microsoft Defender。
群組原則設定
針對使用群組原則的設定,請確定您使用中央存放區中最新的 ADMX 檔案來存取正確的適用於端點的 Defender 原則選項。 如需參考,請參閱如何在 Windows 中建立和管理群組原則系統管理範本的中央存放區,並下載與 Windows 10 搭配使用的最新檔案。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。