Connettere computer non Azure a Microsoft Defender per il cloud con Defender per endpoint
Defender per il cloud consente di eseguire direttamente l'onboarding dei server non di Azure distribuendo l'agente per endpoint di Defender. Ciò garantisce la protezione sia del cloud che degli asset non cloud in un'unica offerta unificata.
Nota
Per connettere computer non Azure tramite Azure Arc, vedere Connettere computer non Azure a Microsoft Defender per il cloud con Azure Arc.
Questa impostazione a livello di tenant consente di eseguire automaticamente e in modo nativo l'onboarding di qualsiasi server non Azure che esegue Defender per endpoint a Defender per il cloud, senza distribuzioni aggiuntive dell'agente. Questo percorso di onboarding è ideale per i clienti con server ibridi e misti che desiderano consolidare la protezione dei server in Defender per server.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione | Disponibilità generale |
| Sistemi operativi supportati | Tutti i sistemi operativi Windows e Linux Server supportati da Defender per endpoint |
| Ruoli di sicurezza e autorizzazioni richiesti | Per gestire questa impostazione, sono necessarie le autorizzazioni Proprietario della sottoscrizione (sulla sottoscrizione scelta) e Amministratore della sicurezza di Microsoft Entra o superiori sul tenant |
| Ambienti | Server locali Supporto limitato per le macchine virtuali multicloud (vedere la sezione limitazioni) |
| Piani supportati | Defender per server P1 Funzionalità limitate di Defender per server P2 – (vedere la sezione limitazioni) |
Funzionamento
L'onboarding diretto è un'integrazione perfetta tra Defender per endpoint e Defender per il cloud, che non richiede una distribuzione software aggiuntiva nei server. Dopo l'abilitazione, mostra inoltre i dispositivi server non Azure di cui è stato eseguito l'onboarding in Defender per endpoint in Defender per il cloud, in una sottoscrizione di Azure designata configurata (oltre alla relativa rappresentazione regolare nel portale di Microsoft Defender). La sottoscrizione di Azure viene usata per licenze, fatturazione, avvisi e informazioni dettagliate sulla sicurezza, ma non offre funzionalità di gestione del server come Criteri di Azure, Estensioni o Configurazione guest. Per abilitare le funzionalità di gestione dei server, vedere la distribuzione di Azure Arc.
Abilitazione dell'onboarding diretto
L'abilitazione dell'onboarding diretto è un'impostazione di consenso esplicito a livello di tenant. Influisce sia sui server esistenti che sui nuovi server di cui è stato eseguito l'onboarding in Defender per endpoint nello stesso tenant di Microsoft Entra. Poco dopo aver abilitato questa impostazione, i dispositivi server verranno visualizzati nella sottoscrizione designata. Gli avvisi, l'inventario software e i dati sulle vulnerabilità sono integrati con Defender per il cloud, in modo analogo a come funziona con le macchine virtuali di Azure.
Prima di iniziare:
- Assicurarsi di avere le autorizzazioni necessarie
- Se si dispone di una licenza di Microsoft Defender per endpoint per server nel tenant, assicurarsi di indicarla in Defender per il cloud
- Vedere la sezione limitazioni
Abilitazione nel portale Defender per il cloud
- Andare a Defender per il cloud>Impostazioni ambiente>Onboarding diretto.
- Impostare l'opzione Onboarding diretto su Attiva.
- Selezionare la sottoscrizione che si desidera utilizzare per i server di cui è stato eseguito l'onboarding direttamente con Defender per endpoint.
- Seleziona Salva.
È stato abilitato l'onboarding diretto nel tenant. Dopo averlo abilitata per la prima volta, potrebbero essere necessarie fino a 24 ore per visualizzare i server non Azure nella sottoscrizione designata.
Distribuzione di Defender per endpoint nei server
La distribuzione dell'agente Defender per endpoint nei server Windows e Linux locali è la stessa che si usi o meno l'onboarding diretto. Per altre istruzioni, vedere la Guida all'onboarding di Defender per endpoint.
Limitazioni correnti
Supporto del piano: l'onboarding diretto fornisce l'accesso a tutte le funzionalità del piano 1 di Defender per server. Tuttavia, alcune funzionalità del piano 2 richiedono comunque la distribuzione dell'agente di Monitoraggio di Azure, disponibile solo con Azure Arc nei computer non Azure. Se si abilita il Piano 2 nella sottoscrizione designata, i computer di cui è stato eseguito l'onboarding direttamente con Defender per endpoint hanno accesso a tutte le funzionalità di Defender per server Piano 1 e alle funzionalità del componente aggiuntivo di Gestione delle vulnerabilità di Defender incluse nel Piano 2.
Supporto multi-cloud: è possibile eseguire direttamente l'onboarding di macchine virtuali in AWS e GCP usando l'agente Defender per endpoint. Tuttavia, se si prevede di connettere contemporaneamente l'account AWS o GCP a Defender per server utlizzando connettori multicloud, è attualmente consigliabile distribuire Azure Arc.
Supporto limitato simultaneo di onboarding: per i server caricati contemporaneamente utilizzando più metodi (ad esempio, onboarding diretto combinato con onboarding basato sull'area di lavoro di Log Analytics), Defender per il cloud fa ogni sforzo per correlarli in una singola rappresentazione del dispositivo. Tuttavia, i dispositivi che usano versioni precedenti di Defender per endpoint potrebbero riscontrare alcune limitazioni. In alcuni casi, ciò potrebbe comportare un sovraccarico. In genere, è consigliabile usare la versione più recente dell'agente. In particolare, per questa limitazione, assicurarsi che le versioni dell'agente Defender per endpoint soddisfino o superino queste versioni minime:
Sistema operativo Versione minima dell'agente Windows 2019 10.8555 Windows 2012 R2, 2016 (agente moderno, unificato) 10.8560 Linux 30.101.23052.009
Passaggi successivi
Questa pagina ha illustrato come aggiungere computer non Azure a Microsoft Defender per il cloud. Per monitorarne lo stato, usare gli strumenti di inventario come illustrato nella pagina seguente: