Bereitstellen einer Endpunkterkennungs- und Antwortrichtlinie mit Intune

Wenn Sie Microsoft Defender for Endpoint in Intune integrieren, können Sie Endpunktsicherheitsrichtlinien für Endpunkterkennung und -reaktion (EDR) verwenden, um die EDR-Einstellungen zu verwalten und Geräte in Microsoft Defender for Endpoint zu integrieren.

Intune Richtlinien für EDR umfassen plattformspezifische Profile, die das Onboarding (Installation) von Microsoft Defender for Endpoint verwalten. Mithilfe von Onboardingpaketen werden Geräte für die Arbeit mit Microsoft Defender for Endpoint konfiguriert. Durch das Onboarding in Defender über Intune EDR-Richtlinien werden Geräte so konfiguriert, dass Sicherheitstelemetriedaten an Microsoft Defender for Endpoint gesendet werden, wodurch erweiterte Funktionen zur Bedrohungserkennung, -untersuchung und -reaktion ermöglicht werden.

In diesem Artikel werden EDR-Bereitstellungsszenarien behandelt, von der automatischen connectorbasierten Bereitstellung bis zur manuellen Konfiguration für spezialisierte Umgebungen.

Grundlegendes zum EDR-Onboarding

Das EDR-Onboarding konfiguriert Geräte so, dass sie Sicherheitstelemetriedaten an Ihren Defender für Endpunkt-Mandanten senden können. Das Onboardingpaket ist eine plattformspezifische Konfigurationsdatei, die Folgendes enthält:

• Mandantenkonfiguration: Identifiziert Ihre spezifische Defender für Endpunkt-organization.
• Dienstendpunkte: URLs für die Kommunikation mit Defender-Diensten.
• Authentifizierungsmaterial: Zertifikate und Token für eine sichere Geräte-zu-Dienst-Kommunikation.
• Grundlegende Konfiguration: Geräteregistrierungseinstellungen und Anfängliche Kommunikationsparameter.

Wichtige Konzepte:

• Geräte werden kurz nach dem erfolgreichen Onboarding und der ersten Übermittlung von Telemetriedaten im Defender-Portal angezeigt.
• Das Onboarding ermöglicht den Telemetriefluss, konfiguriert jedoch keine erweiterten Einstellungen wie Verringerung der Angriffsfläche, Firewall oder Antivirenrichtlinien.
• EDR-Richtlinien verwalten keine Regeln für die Bedrohungssuche, benutzerdefinierte Erkennungslogik, Reaktionsautomatisierung oder Untersuchungsworkflows.

Technische Details finden Sie unter Onboarding von Geräten in Microsoft Defender for Endpoint.

Gilt für:

• Linux
• macOS
• Windows
• Windows Server 2012 R2 und höher wird unterstützt, wenn Geräte über eine der folgenden Aktionen verwaltet werden:
  • Konfigurations-Manager (Mandantenanfügung)
  • Verwaltung von Microsoft Defender for Endpoint Sicherheitseinstellungen

Voraussetzungen

Vergewissern Sie sich vor dem Bereitstellen von EDR-Richtlinien, dass Ihr organization die Lizenzierungs- und Berechtigungsanforderungen erfüllt.

Lizenz

• Microsoft Intune Plan 1

Sie benötigen Lizenzen für Microsoft Defender:

• Defender für Endpunkt Plan 1-Lizenz pro Benutzer
• Microsoft 365 E5/A5/G5 (einschließlich Defender für Endpunkt Plan 2)
• Microsoft Defender XDR (eigenständig)

Ausführliche Lizenzierungsinformationen finden Sie unter:

• Microsoft Intune-Lizenzierung
• Microsoft Defender für Endpunkt-Lizenzierung

Rollenbasierte Zugriffssteuerung

Zum Konfigurieren der EDR-Richtlinie muss Ihrem Konto eine Intune Rolle mit ausreichenden RBAC-Berechtigungen (Role-Based Access Control) zugewiesen werden:

• Endpoint Security Manager: Die Rolle Endpoint Security Manager enthält Berechtigungen zum Erstellen und Verwalten von Endpunktsicherheitsrichtlinien.
• Benutzerdefinierte Rolle: Mindestens Berechtigungen zum Löschen von/Lesevorgängen/ fürUpdate/ erstellen für Endpunktsicherheit.

Sie benötigen auch Berechtigungen in Microsoft Defender for Endpoint, um die Dienstverbindung herzustellen:

• Rolle "Sicherheitsadministrator" in Microsoft Entra ID oder
• Benutzerdefinierte Rolle mit entsprechenden Berechtigungen: microsoft.directory/applications/create, microsoft.directory/applications/delete, microsoft.directory/servicePrincipals/create

Ausführliche Anleitungen zu Berechtigungen finden Sie unter Rollenbasierte Zugriffssteuerung für Endpunktsicherheit.

Unterstützte Plattformen und Profile

Windows:

• Profil: Endpunkterkennung und -antwort
  • Beispielfreigabe: Wählen Sie aus, wie Geräte Dateibeispiele an Defender für Endpunkt senden.
  • Onboardingoptionen: Auto from connector (verfügbar, wenn die Dienstverbindung konfiguriert ist) oder manuelles Hinzufügen eines Onboard- oder Offboard-Pakets .
    • Auto from connector (empfohlen, wenn die Dienst-zu-Dienst-Verbindung konfiguriert ist).
    • Manuelles Onboarding mithilfe eines Onboard- oder Offboard-Pakets aus dem Defender-Portal.
  • Verwaltung: Intune registrierten Oder nicht registrierten Geräten über die Defender für Endpunkt-Sicherheitseinstellungenverwaltung.

Macos:

• Profil: Endpunkterkennung und -antwort
  • Gerätetags: Gerätetags enthalten ein Name-Wert-Paar, das zum Organisieren von Geräten in Defender für Endpunkt verwendet wird.
  • Verwaltungsmethoden:
    • Intune registriert
    • Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt

Linux:

• Profile:
  • Erkennung und Reaktion am Endpunkt
    • Gerätetags: Gerätetags enthalten ein Name-Wert-Paar, das zum Organisieren von Geräten in Defender für Endpunkt verwendet wird.
    • Verwaltungsmethoden:
      • Intune registriert
      • Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt
  • Microsoft Defender Global Exclusions (AV+EDR): Siehe Linux profil für globale Ausschlüsse weiter unten in diesem Artikel.

Windows Server 2012 R2+:

• Profil: Endpunkterkennung und -antwort (ConfigMgr)
  • Verwaltung:
    • Konfigurations-Manager Mandantenanfügung
    • Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt.
  • Sammlungsziel: Weisen Sie Konfigurations-Manager Sammlungen anstelle von Entra ID-Gruppen zu.
  • Anforderungen:
    • KB4563473 Hotfix
    • Mit Intune für Zuweisungen synchronisierte Sammlungen
    • Zuweisungen werden auf Konfigurations-Manager-Sammlungen angewendet, nicht auf Entra-ID-Gruppen.

Konfigurieren der Verbindung "Intune–Defender für Endpunkt"

Intune erfordert eine Verbindung mit Microsoft Defender for Endpoint, um Onboardingpakete automatisch abzurufen und die EDR-Richtlinienbereitstellung zu unterstützen.

Wenn die Verbindung aktiviert ist:

• Intune ruft das neueste Onboardingpaket aus Defender für Endpunkt ab.
• Bei der Richtlinienerstellung wird die neueste Onboardingkonfiguration verwendet.
• Sie können auto from connector in EDR-Profilen verwenden.

So konfigurieren Sie die Verbindung:

1. Wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Connectors und Token>Microsoft Defender for Endpoint.
2. Wählen Sie Microsoft Defender for Endpoint verbinden aus, um Intune.
3. Aktivieren Sie die Verbindung, und konfigurieren Sie die Datenfreigabeeinstellungen.
4. Vergewissern Sie sich, dass für die Verbindung status Verbunden angezeigt wird.

Ausführliche Anweisungen zum Einrichten finden Sie unter Verbinden von Microsoft Defender for Endpoint mit Intune.

Bereitstellen einer EDR-Richtlinie

Informationen zum Knoten Endpunkterkennung und -antwort:

Im Intune Admin Center enthält der Knoten Endpunkterkennung und -antwort die folgenden Registerkarten:

• Zusammenfassung: Listet alle EDR-Richtlinien, den Connector status auf und enthält das Diagramm "In Defender für Endpunkt integrierte Windows-Geräte" und die Option Richtlinie erstellen.
• Status des EDR-Onboardings: Zeigt das Zusammenfassungsdiagramm für das Onboarding und die Geräteliste mit detaillierten status an und enthält die Option Vorkonfigurierte Richtlinie bereitstellen. Eine ausführliche Anleitung zur Verwendung dieser Registerkarte finden Sie im Bericht zum EDR-Onboardingstatus.

Jedes Gerät, das Sicherheitstelemetriedaten an Microsoft Defender for Endpoint meldet, muss mithilfe eines Konfigurationspakets (als Onboarding "Blob" bezeichnet) integriert werden. Dieses Paket enthält Folgendes:

• Mandantenspezifische Konfiguration: Teilt dem Gerät mit, an welches Defender für Endpunkt organization berichtigen soll.
• Authentifizierungszertifikate: Ermöglicht eine sichere Kommunikation mit Defender-Diensten.
• Berichtseinstellungen: Konfiguriert, welche Daten wie häufig gesendet werden sollen.

Unabhängig davon, ob Sie die automatische oder manuelle Bereitstellung verwenden, wendet Intune dieselbe Onboardingkonfiguration auf Geräte an. Der Unterschied besteht darin, wie Intune diese Konfiguration erhält:

• Automatisch (empfohlen): Intune ruft das Onboardingpaket aus Defender für Endpunkt über die konfigurierte Dienstverbindung ab.
• Manuell : Verwenden Sie ein aus dem Defender-Portal heruntergeladenes Onboardingpaket, wenn der automatische Abruf nicht verfügbar ist.

Wählen Sie Ihre Bereitstellungsmethode aus:

Erstellen einer automatischen EDR-Richtlinie

Am besten geeignet für Umgebungen mit standard-Intune + Defender-Integration und einem einzelnen Defender für Endpunkt-Mandanten.

Voraussetzungen: Aktive Dienst-zu-Dienst-Verbindung zwischen Intune und Defender für Endpunkt.

Bereitstellen der vorkonfigurierten Windows EDR-Richtlinie

Die schnellste Möglichkeit zum Bereitstellen des EDR-Onboardings auf allen Windows-Geräten ist die Verwendung der vorkonfigurierten Richtlinienoption, die auf der Registerkarte EDR-Onboardingstatus verfügbar ist. Diese Methode verwendet automatisch das neueste Onboardingpaket aus Ihrem Defender für Endpunkt-Mandanten und wird mit empfohlenen Einstellungen bereitgestellt.

Eine ausführliche Schritt-für-Schritt-Anleitung finden Sie unter Schnelle Bereitstellung mit vorkonfigurierten Richtlinien im Berichtsabschnitt EDR Onboarding Status.

Erstellen einer benutzerdefinierten EDR-Richtlinie (alle Plattformen)

Wenn Sie EDR-Richtlinien für bestimmte Gruppen oder Plattformen mit angepassten Einstellungen bereitstellen müssen, verwenden Sie die Option Richtlinie erstellen auf der Registerkarte Zusammenfassung. Dieser Ansatz bietet Ihnen die vollständige Kontrolle über die Plattformauswahl, Konfigurationseinstellungen und Gruppenzuweisungen.

Zu den wichtigsten Konfigurationsoptionen gehören:

• Microsoft Defender for Endpoint Clientkonfigurationspakettyp: Wählen Sie Auto from connector (falls verfügbar) aus.
• Beispielfreigabe: Auswahl basierend auf Ihren Datenschutzanforderungen
• Gerätetags (macOS und Linux): Konfigurieren für die Gerätefilterung und -gruppierung

Ausführliche Anleitungen zur Richtlinienerstellung finden Sie unter Gezielte Korrekturen im Bericht zum EDR-Onboardingstatus.

Manuelles Erstellen von EDR-Richtlinien

Verwenden Sie diese Methode, wenn Ihr organization die Dienstverbindung nicht verwenden kann (mehrere Mandanten, Air-Gap-Umgebungen oder strenge Änderungssteuerung).

Laden Sie das Onboardingpaket herunter:

1. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Geräteverwaltung>Onboarding.
2. Wählen Sie das Betriebssystem und dann Mobile Geräteverwaltung/Microsoft Intune aus.
3. Wählen Sie Paket herunterladen aus.

Erstellen Sie die Richtlinie:

1. Wechseln Sie Intune zu Endpunktsicherheit>Endpunkterkennung und -antwort>Richtlinie erstellen.
2. Wählen Sie die Plattform und das Profil aus.
3. Wählen Sie unter Pakettypdie Option Onboard oder Offboard aus.
4. Fügen Sie den Inhalt der heruntergeladenen Onboardingdatei ein.
5. Konfigurieren Sie die verbleibenden Einstellungen, weisen Sie dann die Richtlinie zu, und erstellen Sie sie.

Zusätzliche Profile für Linux-Geräte

Nachdem Sie Ihre kernen EDR-Richtlinien erstellt haben, können Sie zusätzliche spezialisierte Profile für die erweiterte Sicherheitsverwaltung bereitstellen.

Erstellen einer Linux Richtlinie für globale Ausschlüsse

1. Wechseln Sie zu Endpunktsicherheit>Endpunkterkennung und -antwort>Richtlinie erstellen.
2. Wählen Sie Linux für Plattform und Microsoft Defender globalen Ausschlüsse (AV+EDR) als Profil aus.
3. Konfigurieren Von Ausschlüssen durch Hinzufügen von Einträgen mit:
   • Pfad: Auszuschließender Datei- oder Verzeichnispfad (keine Wildcards werden unterstützt).
   • Prozessname: Prozessname, der von der EDR-Überwachung ausgeschlossen werden soll (es werden keine Wildcards unterstützt).
4. Weisen Sie Linux Gerätegruppen zu, die über MDE Verwaltung von Sicherheitseinstellungen verwaltet werden.

Konfigurations-Manager Bereitstellung

Mandantenanfügung

Mandantenanfügung ermöglicht Intune die Bereitstellung von EDR-Richtlinien auf Konfigurations-Manager verwalteten Windows-Geräten.

Konfigurations-Manager Anforderungen:

• Current Branch 2002 oder höher
• Installieren Sie für 2002KB4563473 (Hotfix)

Mandantenanfügungskonfiguration:

• Synchronisieren von Gerätesammlungen mit Intune (Cloudsynchronisierung).
• Stellen Sie sicher, dass der gesamte Desktop- und Serverclient aktiviert und synchronisiert ist (erforderlich für vorkonfigurierte Windows EDR-Richtlinien).

Berechtigungen:

• Intune Dienstadministrator Entra integrierte ID-Rolle oder eine entsprechende Rolle für die Verwaltung von Mandantenanfügungs- und Endpunktsicherheitsrichtlinien.

Einrichten Konfigurations-Manager für EDR

1. Installieren Konfigurations-Manager Updates: Wenden Sie KB4563473 Hotfix für Konfigurations-Manager 2002 an.
2. Mandantenanfügung konfigurieren: Synchronisieren sie Konfigurations-Manager Sammlungen mit Intune.
3. Überprüfen der Konnektivität: Vergewissern Sie sich, dass Sammlungen sowohl in Konfigurations-Manager als auch in Intune Admin Center angezeigt werden.

Bereitstellen einer EDR-Richtlinie für Konfigurations-Manager Sammlungen

1. Wechseln Sie im Intune Admin Center zu Endpunktsicherheit>Endpunkterkennung und -antwort>Richtlinie erstellen.
2. Wählen Sie Windows-Plattform (ConfigMgr) und ConfigMgr-Profil (Endpunkterkennung und -antwort) aus.
3. Konfigurieren Sie die gleichen Richtlinieneinstellungen, die für Intune verwaltete Geräte verfügbar sind.
4. Wählen Sie unter Zuweisungen Konfigurations-Manager Sammlungen anstelle von Entra-ID-Gruppen aus.
5. Erstellen Sie die Richtlinie, und stellen Sie sie bereit.

Lassen Sie nach der Bereitstellung der Richtlinie Zeit für die Intune-ConfigMgr-Synchronisierung und Konfigurations-Manager Clientrichtlinienauswertung ein, bevor Geräte als integriert angezeigt werden.

Eine ausführliche Konfiguration der Mandantenanfügung finden Sie unter Konfigurieren der Mandantenanfügung zur Unterstützung von Endpoint Protection-Richtlinien.

Bericht zum EDR-Onboardingstatus

Der Bericht EDR Onboarding Status bietet Administratoren eine umfassende Übersicht über den Fortschritt des Geräte-Onboardings in Ihren organization. Dieser Bericht hilft Ihnen, nachzuverfolgen, welche Geräte erfolgreich in Microsoft Defender for Endpoint integriert wurden, und Geräte zu identifizieren, die möglicherweise Aufmerksamkeit benötigen.

Zugreifen auf den EDR-Onboardingstatusbericht

1. Navigieren Sie im Microsoft Intune Admin Center zu Endpunktsicherheit>Endpunkterkennung und -antwort.
2. Wählen Sie die Registerkarte EDR-Onboardingstatus aus.

Grundlegendes zum Bericht

Die Registerkarte EDR-Onboardingstatus enthält Folgendes:

• Zusammenfassungsdiagramm für das Onboarding: Windows-Geräte, die in Defender für Endpunkt integriert sind : Dieses Diagramm zeigt die Anzahl der Geräte an, für die ein Onboarding ausgeführt wurde, und Geräte, die nicht integriert wurden.

• Geräteliste mit detaillierten Informationen: Diese Geräteliste enthält die folgenden Detailspalten:

  • Gerätename: Der Name jedes Geräts in Ihrem organization
  • Verwaltet von: Wie das Gerät verwaltet wird (Intune, Konfigurations-Manager über Mandantenanfügung oder MDE Verwaltung von Sicherheitseinstellungen)
  • Defender-Sensorstatus: Aktuelle Integrität status des Defender für Endpunkt-Sensors.
    • Aktiv: Der Sensor wird ausgeführt und kommuniziert normal.
    • Inaktiv: Sensor hat kürzlich keine Berichte gemeldet
    • Beeinträchtigt: Probleme beim Sensor
  • Onboarding status: Aktueller Onboardingstatus für jedes Gerät.
    • Integriert: Das Gerät sendet erfolgreich Telemetriedaten an Defender für Endpunkt.
    • Nicht integriert: Das Gerät hat den Onboardingprozess nicht abgeschlossen.
    • Ausstehend: Das Gerät befindet sich im Onboarding
    • Letzter Check-In: Uhrzeit und Datum der letzten Kommunikation vom Gerät an Intune
    • Primärer UPN: Der primäre Benutzerprinzipalname, der dem Gerät zugeordnet ist.

Verwenden des Berichts für die EDR-Bereitstellung

Schnelle Bereitstellung mit vorkonfigurierten Richtlinien

Für eine schnelle Bereitstellung auf allen berechtigten Windows-Geräten direkt über die Registerkarte EDR-Onboardingstatus:

1. Wählen Sie auf der Registerkarte EDR-Onboardingstatusdie Option Vorkonfigurierte Richtlinie bereitstellen aus.

   

2. Wählen Sie Ihren Bereitstellungsbereich aus:

   • Windows + Endpunkterkennung und -antwort: Für Intune verwaltete Geräte
   • Windows (ConfigMgr) + Endpunkterkennung und -antwort (ConfigMgr): Für Konfigurations-Manager Sammlungen

3. Geben Sie einen Richtliniennamen und eine optionale Beschreibung an.

4. Wählen Sie Erstellen aus, um sofort bereitzustellen.

Diese vorkonfigurierte Richtlinie wird automatisch:

• Verwendet das neueste Onboardingpaket aus Ihrem Defender für Endpunkt-Mandanten.
• Bereitstellung auf allen anwendbaren Geräten in Ihrem organization
• Wendet empfohlene Sicherheitseinstellungen an

Verwenden des Berichts für gezielte Korrekturen

Der Bericht zum EDR-Onboardingstatus hilft bei der Identifizierung von Geräten, die Aufmerksamkeit benötigen, und sie können dann mit einer gezielten Richtlinienbereitstellung adressiert werden:

Identifizieren von problemlösen Geräten

Verwenden Sie die Geräteliste auf der Registerkarte EDR-Onboardingstatus , um bestimmte Geräte zu identifizieren, die Aufmerksamkeit erfordern:

1. Filtern von Geräten nach status: Konzentrieren Sie sich auf "Nicht eingebundene" oder "ausstehende" Geräte.
2. Überprüfen der Verwaltungsmethoden: Stellen Sie sicher, dass Geräte über den entsprechenden Kanal verwaltet werden.
3. Überprüfen der Sensorintegrität: Identifizieren von Geräten mit inaktiven oder beeinträchtigten Sensoren

Erstellen gezielter Richtlinien

Nachdem Sie problembezogene Geräte identifiziert haben, erstellen Sie bestimmte EDR-Richtlinien mithilfe der Option Richtlinie erstellen auf der Registerkarte Zusammenfassung:

Überwachungsszenarien

Der EDR-Onboardingstatusbericht unterstützt mehrere wichtige administrative Szenarien:

Anfängliche Bereitstellungsüberprüfung

Nach der Bereitstellung von EDR-Richtlinien:

• Überwachen des Onboarding-Zusammenfassungsdiagramms zum Erhöhen der Anzahl von "onboarded"
• Überprüfen des Fortschritts einzelner Geräte in der Geräteliste
• Identifizieren von Geräten, bei denen das Onboarding innerhalb der erwarteten Zeitrahmen fehlschlägt

Laufende Complianceüberwachung

Für die kontinuierliche Verwaltung des Sicherheitsstatus:

• Richten Sie regelmäßige Überprüfungen von Onboarding-status ein.
• Verfolgen Sie die Sensorintegrität in Ihrer gesamten Geräteflotte nach.
• Identifizieren Sie Geräte, die im Laufe der Zeit inaktiv oder beeinträchtigt werden.

Behandeln von Bereitstellungsproblemen

Wenn das Onboarding von Geräten fehlschlägt:

• Verwenden Sie die Geräteliste, um problematische Geräte zu identifizieren.
• Überprüfen Sie die Verwaltungsmethoden, um die richtige Richtlinienadressierung sicherzustellen.
• Überprüfen Sie status des Sensors auf Geräte, auf denen die status "Nicht integriert" angezeigt wird.
• Querverweis mit EDR-Richtlinienkonformitätsberichten.

Bewährte Methoden für die Verwendung des Berichts

• Regelmäßige Überwachung: Überprüfen Sie den Bericht zum EDR-Onboardingstatus wöchentlich, um eine kontinuierliche Schutzabdeckung sicherzustellen.
• Proaktive Korrektur: Beheben Sie geräte, die nicht integriert wurden, um den Sicherheitsstatus beizubehalten.
• Korrelation mit anderen Berichten: Verwenden Sie zusammen mit einzelnen EDR-Richtlinienkonformitätsberichten, um eine umfassende Sichtbarkeit der Bereitstellung zu gewährleisten.
• Grundlegende Metriken dokumentieren: Verfolgen Sie die Erfolgsraten des Onboardings im Laufe der Zeit nach, um Trends zu identifizieren.

Zusätzliche Sichtbarkeit des Onboardings

Über den dedizierten EDR-Onboardingstatusbericht hinaus können Sie auch status des Geräte-Onboardings über die Microsoft Defender Antivirus-Berichte von Intune anzeigen. Diese Berichte enthalten onboarding status Informationen für Windows MDM-Geräte und bieten eine weitere Möglichkeit, die Defender für Endpunkt-Bereitstellung Ihrer organization zu überwachen:

• Bericht zum Status des Antivirus-Agents: Zeigt umfassende Geräte-status einschließlich des Onboardingstatus von Defender für Endpunkt
• Bericht zu fehlerhaften Endpunkten: Zeigt Geräte mit erkannten Problemen an, einschließlich Onboardingproblemen

Diese Berichte sind im Admin Center unter den folgenden Informationen verfügbar:

• Wechseln Sie zu Berichte>Endpunktsicherheit>Microsoft Defender Kachel "Antivirusberichte>>Antivirus-Agent" status.
• Wechseln Sie zur Registerkarte Endpunktsicherheit>Antivirus>Fehlerhafte Endpunkte .

Überwachen und Überprüfen der EDR-Bereitstellung

Intune Berichterstellung:

Sie können die Bereitstellungs- und Onboardingergebnisse im Intune Admin Center unterEndpunktsicherheitsendpunkterkennung> und -reaktion überprüfen:

• Richtlinienkonformität: Auf der Registerkarte Zusammenfassung können Sie Ihre Richtlinie auswählen, um deren Bereitstellung status anzuzeigen.
• Gerätedetails: Auf der Registerkarte EDR-Onboardingstatus können Sie einen einfachen Bericht mit der Geräteanzahl anzeigen, eine Liste der Geräte mit Details zum Onboarding status und Sensorintegrität überprüfen und dann Geräte auswählen, um weitere Informationen zu erhalten.

Für eine umfassende Übersicht über das Onboarding von Geräten verwenden Sie den EDR-Onboarding-Statusbericht.

Microsoft Defender Portalüberprüfung:

Im Defender-Portal:

1. Geräteinventur (Ressourcengeräte>) listet integrierte Geräte kurz nach Empfang der Telemetriedaten auf.

2. Die Sensorintegrität zeigt die zuletzt gesehene Zeit, Sensorversion und Kommunikation status an.

3. Die Risikobewertung beginnt, nachdem Geräte ihre anfänglichen Telemetriedaten übermittelt haben.

Laufende Überwachung

Überprüfen Sie Folgendes, um sicherzustellen, dass das Onboarding weiterhin erfolgreich ist:

• Erfolgsraten bei der Richtlinienbereitstellung
• Status für das Onboarding von Geräten
• Sensorintegrität und -kommunikation
• Fehlerhafte Bereitstellungen, die eine Korrektur erfordern

Problembehandlung

Geräte werden nicht im Defender-Portal angezeigt

• Vergewissern Sie sich, dass das Gerät die erforderlichen Endpunkte erreichen kann (z. B. *.securitycenter.windows.com und *.protection.outlook.com).
• Überprüfen Sie die status der EDR-Richtlinienkonformität in Intune und gerätespezifische Details im Bericht zum EDR-Onboardingstatus.
• Stellen Sie sicher, dass der Microsoft Defender for Endpoint Dienst auf dem Gerät ausgeführt wird.

Die Option "Auto from connector" ist nicht verfügbar.

• Vergewissern Sie sich, dass für die Defender-Verbindung unterConnectors und Token der Mandantenverwaltung>die Option Verbunden angezeigt wird.
• Warten Sie bis zu 15 Minuten nach dem Aktivieren der Verbindung, damit die Option angezeigt wird.
• Stellen Sie sicher, dass Ihr Konto über die entsprechenden Administratorberechtigungen verfügt.

Weitere Informationen finden Sie unter Problembehandlung bei Microsoft Defender for Endpoint Onboarding.

Offboarding von Geräten

Intune EDR-Richtlinie unterstützt die Option, ein Offboardingblob zum Offboarding von Geräten zu verwenden. Das Offboarding von Geräten aus Defender für Endpunkt ist in der Regel ein ungewöhnlicher, aber geplanter Prozess. Einige Situationen, die offboarding erfordern, umfassen, sind aber nicht darauf beschränkt, ein Gerät aus einer Testumgebung, teil der Gerätelebenszyklusverwaltung oder während der Mandantenkonsolidierung erforderlich zu verschieben.

So erstellen Sie eine Offboarding-Richtlinie:

1. Laden Sie ein neues Offboarding-Paket aus dem Microsoft Defender-Portal herunter, indem Sie zu Einstellungen>Endpunkte>Geräteverwaltung>Offboarding wechseln.
2. Wählen Sie das Betriebssystem und dann Mobile Geräteverwaltung/Microsoft Intune aus.
3. Wählen Sie Paket herunterladen aus.
4. Erstellen Sie entweder eine neue EDR-Richtlinie, deren Pakettyp auf Offboard festgelegt ist, und fügen Sie den Offboarding-Blobinhalt ein, oder aktualisieren Sie eine vorhandene Offboardingrichtlinie, indem Sie den Blobinhalt ersetzen.

Beim Bereitstellen einer Offboarding-EDR-Richtlinie in Intune:

• Aus Sicherheitsgründen läuft das Offboarding-Blob oder -Paket von Defender sieben Tage nach dem Herunterladen ab. Abgelaufene Offboardingpakete, die an Geräte gesendet werden, werden abgelehnt.
• Bei der Bereitstellung auf einem Gerät deaktiviert das Offboarding-Blob den Defender für Endpunkt-Sensor, entfernt jedoch nicht den Defender für Endpunkt-Client.
• Geräte senden keine Telemetriedaten mehr an das Defender für Endpunkt-Portal.
• Geräte werden in Defender nach sieben Tagen als "inaktiv" angezeigt.
• Im Intune EDR-Richtlinienkonformitäts-status sollte eine erfolgreiche Bereitstellung angezeigt werden.
• Verlaufsdaten verbleiben in Defender, bis sie durch Aufbewahrungsrichtlinien entfernt werden.

Wenn Sie ein Gerät von Defender für Endpunkt aus offboarden:

• Telemetrie wird beendet: Es werden keine neuen Erkennungen, Sicherheitsrisiken oder Sicherheitsdaten an das Microsoft Defender-Portal gesendet.
• Änderungen am Gerät status: Sieben Tage nach dem Offboarding ändert sich die status des Geräts in "inaktiv".
• Datenaufbewahrung: Frühere Daten (Warnungen, Sicherheitsrisiken, Geräte Zeitleiste) verbleiben im Defender-Portal, bis der konfigurierte Aufbewahrungszeitraum abläuft.
• Gerätesichtbarkeit: Das Geräteprofil (ohne Daten) bleibt bis zu 180 Tage lang im Gerätebestand sichtbar.
• Expositionsbewertung: Geräte, die länger als 30 Tage inaktiv sind, werden nicht in die Expositionsbewertung Ihres organization berücksichtigt.

Weitere Informationen finden Sie in den folgenden Themen in der Microsoft Defender for Endpoint-Dokumentation:

• Offboarden von Geräten mit Mobile Geräteverwaltung-Tools
• Offboarden von Geräten

Verwandte Inhalte

Nach dem Onboarding von Geräten mit EDR-Richtlinien sollten Sie zusätzliche Endpunktsicherheitskontrollen bereitstellen:

• Regeln zur Verringerung der Angriffsfläche
• Antischadsoftwarerichtlinien
• Firewallrichtlinien
• Gerätekompatibilitätsrichtlinien