Integrieren von Windows-Geräten in Defender für Endpunkt mithilfe von Intune
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Sie können Lösungen für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwenden, um Windows 10-Geräte zu konfigurieren. Defender für Endpunkt unterstützt MDMs, indem OMA-URIs zum Erstellen von Richtlinien zum Verwalten von Geräten bereitgestellt werden.
Weitere Informationen zur Verwendung von Defender für Endpunkt-CSP finden Sie unter WindowsAdvancedThreatProtection CSP und WindowsAdvancedThreatProtection DDF-Datei.
Bevor Sie beginnen
Geräte müssen bei Intune als Mdm-Lösung (Mobile Device Management) registriert werden.
Weitere Informationen zum Aktivieren von MDM mit Microsoft Intune finden Sie unter Geräteregistrierung (Microsoft Intune).
Integrieren von Geräten mit Microsoft Intune
Sehen Sie sich die Architektur und Bereitstellungsmethode von Defender für Endpunkt an, um die verschiedenen Pfade bei der Bereitstellung von Defender für Endpunkt anzuzeigen.
Befolgen Sie die Anweisungen von Intune.
Weitere Informationen zur Verwendung von Defender für Endpunkt-CSP finden Sie unter WindowsAdvancedThreatProtection CSP und WindowsAdvancedThreatProtection DDF-Datei.
Hinweis
- Die Richtlinie Integritätsstatus für integrierte Geräte verwendet schreibgeschützte Eigenschaften und kann nicht wiederhergestellt werden.
- Die Konfiguration der Häufigkeit von Diagnosedatenberichten ist nur für Geräte unter Windows 10, Version 1703, verfügbar.
- Durch das Onboarding in Defender für Endpunkt wird das Gerät in die Verhinderung von Datenverlust (Data Loss Prevention, DLP) integriert, die ebenfalls Teil der Microsoft 365-Compliance ist.
Ausführen eines Erkennungstests zum Überprüfen des Onboardings
Nach dem Onboarding des Geräts können Sie einen Erkennungstest ausführen, um zu überprüfen, ob ein Gerät ordnungsgemäß in den Dienst integriert ist. Weitere Informationen finden Sie unter Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender für Endpunkt-Gerät.
Offboarden von Geräten mithilfe von Verwaltungstools für mobile Geräte
Aus Sicherheitsgründen läuft das paket, das für Offboard-Geräte verwendet wird, 7 Tage nach dem Datum ab, an dem es heruntergeladen wurde. Abgelaufene Offboardingpakete, die an ein Gerät gesendet werden, werden abgelehnt. Wenn Sie ein Offboarding-Paket herunterladen, werden Sie über das Ablaufdatum des Pakets benachrichtigt, und es wird auch im Paketnamen enthalten sein.
Hinweis
Onboarding- und Offboardingrichtlinien dürfen nicht gleichzeitig auf demselben Gerät bereitgestellt werden, da dies andernfalls zu unvorhersehbaren Kollisionen führt.
Rufen Sie das Offboarding-Paket wie folgt aus dem Microsoft Defender-Portal ab:
Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Geräteverwaltung>Offboarding aus.
Wählen Sie Windows 10 oder Windows 11 als Betriebssystem aus.
Wählen Sie im Feld Bereitstellungsmethode die Option Verwaltung mobiler Geräte/Microsoft Intune aus.
Klicken Sie auf Paket herunterladen, und speichern Sie die .zip Datei.
Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen, schreibgeschützten Speicherort, auf den die Netzwerkadministratoren zugreifen können, die das Paket bereitstellen. Sie sollten über eine Datei namens verfügen
WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding.Erstellen Sie im Microsoft Intune Admin Center eine benutzerdefinierte Konfigurationsrichtlinie.
- Wählen Sie im Navigationsbereich Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration aus.
- Klicken Sie unter Richtlinien aufNeue Richtlinieerstellen>.
- Wählen Sie auf der Folie Profil erstellen die Option Windows 10 und höher als Plattform und Vorlagen als Profiltyp aus.
- Klicken Sie unter Vorlagenname auf die Benutzerdefinierte Vorlage und dann auf Erstellen.
- Geben Sie einen Wert für Name ein, und klicken Sie auf Weiter.
- Klicken Sie unter Konfigurationseinstellungen auf Hinzufügen , und verwenden Sie die folgenden OMA-URI-Einstellungen.
- Name: Geben Sie einen Namen an.
- OMA-URI:
./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding - Datumstyp: Zeichenfolge
- Wert: Kopieren Sie den Wert aus dem Inhalt der Datei WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding, und fügen Sie ihn ein.
- Legen Sie die entsprechenden Gruppenzuweisungen und Anwendbarkeitsregeln fest, und klicken Sie im Schritt Überprüfen + erstellen auf die Schaltfläche Erstellen , um die Richtlinie abzuschließen.
Weitere Informationen zu Microsoft Intune-Richtlinieneinstellungen finden Sie unter Windows 10-Richtlinieneinstellungen in Microsoft Intune.
Hinweis
Die Richtlinie Integritätsstatus für offboardete Geräte verwendet schreibgeschützte Eigenschaften und kann nicht wiederhergestellt werden.
Wichtig
Das Offboarding bewirkt, dass das Gerät keine Sensordaten mehr an Defender für Endpunkt sendet, aber Daten vom Gerät, einschließlich Verweise auf warnungen, werden bis zu 6 Monate lang aufbewahrt.
Verwandte Artikel
- Onboarding von Windows-Geräten mithilfe einer Gruppenrichtlinie
- Onboarding von Windows-Geräten mithilfe von Microsoft Endpoint Configuration Manager
- Onboarding von Windows-Geräten mithilfe eines lokalen Skripts
- Onboarding von nicht-persistenten Geräten einer VD-Infrastruktur (Virtual Desktop)
- Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender für Endpunkt-Gerät
- Behandeln von Problemen mit dem Microsoft Endpoint DLP-Onboarding
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.