Управление параметрами подписки Microsoft Defender для конечной точки на клиентских устройствах
В Defender для конечной точки сценарий смешанного лицензирования — это ситуация, когда организация использует сочетание лицензий Defender для конечной точки плана 1 и плана 2. В следующей таблице приведены примеры сценариев смешанного лицензирования.
Сценарий | Описание |
---|---|
Смешанный клиент | Используйте различные наборы возможностей для групп пользователей и их устройств. Вот некоторые примеры. — Defender для конечной точки плана 1 и Defender для конечной точки плана 2 — Microsoft 365 E3 и Microsoft 365 E5 |
Смешанная пробная версия | Попробуйте подписку уровня "Премиум" для некоторых пользователей. Вот некоторые примеры. — Defender для конечной точки плана 1 (приобретается для всех пользователей) и Defender для конечной точки плана 2 (для некоторых пользователей запущена пробная подписка). — Microsoft 365 E3 (приобретается для всех пользователей) и Microsoft 365 E5 (для некоторых пользователей запущена пробная подписка). |
Поэтапные обновления | Поэтапное обновление пользовательских лицензий. Вот некоторые примеры. — Перемещение групп пользователей из Defender для конечной точки плана 1 в план 2 — Перемещение групп пользователей из Microsoft 365 E3 в E5 |
До недавнего времени сценарии смешанного лицензирования не поддерживались; В случае нескольких подписок приоритет для клиента будет иметь наивысший функциональный уровень подписки. Теперь вы можете управлять параметрами подписки для реализации сценариев смешанного лицензирования на клиентских устройствах. Эти возможности позволяют:
- Установите для клиента смешанный режим и пометьте устройства тегами, чтобы определить, какие клиентские устройства будут получать функции и возможности из каждого плана (мы называем этот параметр смешанным режимом); ИЛИ
- Используйте функции и возможности из одного плана на всех клиентских устройствах.
Для отслеживания состояния можно также использовать только что добавленный отчет об использовании лицензий.
Примечание.
Если вы используете Microsoft Defender для бизнеса и хотите перейти на Defender для конечной точки плана 2, см. раздел Изменение подписки на безопасность конечной точки.
Установите для клиента смешанный режим и пометьте устройства тегами
Важно!
- Параметры смешанного режима применяются только к конечным точкам клиента. Добавление тегов к серверным устройствам не изменит состояние подписки. Все серверные устройства под управлением Windows Server или Linux должны иметь соответствующие лицензии, например Defender для серверов. См . раздел Параметры подключения серверов.
- Обязательно выполните процедуры, описанные в этой статье, чтобы опробовать сценарии смешанной лицензии в своей среде. При назначении пользовательских лицензий в Центре администрирования Microsoft 365 (https://admin.microsoft.com) для клиента не устанавливается смешанный режим.
- У вас должны быть активные пробные или платные лицензии для Defender для конечной точки плана 1 и плана 2.
- Чтобы получить доступ к сведениям о лицензии, в идентификаторе Microsoft Entra должна быть назначена одна из следующих ролей:
- Администратор безопасности
- Администратор лицензий и Defender для администратора конечной точки
Как администратор, перейдите на портал Microsoft Defender (https://security.microsoft.com) и войдите в систему.
Перейдите > в раздел ПараметрыКонечные> точкиЛицензии. Откроется отчет об использовании, в котором отображаются сведения о лицензиях Defender для конечной точки вашей организации.
В разделе Состояние подписки выберите Управление параметрами подписки.
Примечание.
Если вы не видите раздел Управление параметрами подписки, выполняется по крайней мере одно из следующих условий:
- У вас есть Defender для конечной точки плана 1 или плана 2 (но не оба); или
- Возможности смешанной лицензии еще не развернуты в вашем клиенте.
Откроется всплывающее окно Параметры подписки . Выберите вариант для использования Defender для конечной точки плана 1 и плана 2. (Изменения не будут происходить до тех пор, пока устройства не будут помечены как на следующем шаге.)
Пометьте устройства, которые должны получать возможности Defender для конечной точки плана 1 или плана 2. Вы можете пометить устройства вручную или с помощью динамического правила. Дополнительные сведения о тегах устройств.
Метод Сведения Добавление тегов к устройствам вручную Чтобы пометить устройства вручную, создайте тег с именем License MDE P1
и примените его к устройствам. Дополнительные сведения об этом шаге см. в статье Создание тегов устройств и управление ими.
Обратите внимание, что устройства, помеченные тегомLicense MDE P1
с помощью метода раздела реестра , не будут получать более раннюю функциональность. Если вы хотите пометить устройства тегами с помощью раздела реестра, используйте динамическое правило вместо добавления тегов вручную.Автоматическое добавление тегов к устройствам с помощью динамического правила Функциональные возможности динамических правил — это новые возможности для сценариев со смешанными лицензиями. Она позволяет применять динамический и детализированный уровень контроля над управлением устройствами..
Чтобы использовать динамическое правило, необходимо указать набор критериев на основе имени устройства, домена, платформы операционной системы и (или) тегов устройств. Устройства, соответствующие указанным критериям, получат возможности Defender для конечной точки плана 1 или плана 2 в соответствии с вашим правилом.
При определении условий можно использовать следующие операторы условий:
-Equals
/Not equals
-Starts with
-Contains
/Does not contain
В поле Имя устройства можно использовать текст свободной формы.
В поле Домен выберите из списка доменов.
Для платформы ОС выберите из списка операционных систем.
Для тега используйте параметр текста в свободной форме. Введите значение тега, соответствующее устройствам, которые должны получать возможности Defender для конечной точки плана 1 или плана 2. См. пример в разделе Дополнительные сведения о тегах устройств.Теги устройств отображаются в представлении инвентаризации устройств и в API-интерфейсах Defender для конечной точки.
Примечание.
Динамически добавленные теги Defender для конечной точки P1 в настоящее время не фильтруются в представлении инвентаризации устройств.
Сохраните правило и подождите до трех (3) часов для применения тегов. Затем перейдите к проверке того, что устройство получает только возможности Defender для конечной точки плана 1.
Дополнительные сведения о маркировке устройств
Как описано в блоге Tech Community: Как эффективно использовать теги, маркировка устройств обеспечивает детальный контроль над устройствами. С помощью тегов устройств можно:
- Отображение определенных устройств для отдельных пользователей на портале Microsoft Defender, чтобы они видели только те устройства, за которые они отвечают.
- Включение или исключение устройств из определенных политик безопасности.
- Определите, какие устройства должны получать возможности Defender для конечной точки плана 1 или плана 2.
Например, предположим, что вы хотите использовать тег с именем VIP
для всех устройств, которые должны получать возможности Defender для конечной точки плана 2. Вот что нужно сделать:
Создайте тег устройства с именем
VIP
и примените его ко всем устройствам, которые должны получать возможности Defender для конечной точки плана 2. Используйте один из следующих методов, чтобы создать тег устройства:Настройте динамическое правило с помощью оператора
Tag Does not contain VIP
условия . В этом случае все устройства, у которых нет тегаVIP
, получат возможности тегаLicense MDE P1
и Defender для конечной точки плана 1.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Проверка того, что устройство получает только возможности Defender для конечной точки плана 1
После назначения возможностей Defender для конечной точки плана 1 некоторым или всем устройствам можно убедиться, что отдельные устройства получают эти возможности.
На портале Microsoft Defender (https://security.microsoft.com) перейдите в раздел Активы>устройства.
Выберите устройство с тегом
License MDE P1
. Вы увидите, что устройство назначено Defender для конечной точки плана 1.
Примечание.
Устройствам, которым назначены возможности Defender для конечной точки плана 1, не указаны уязвимости или рекомендации по безопасности.
Просмотр использования лицензий
Отчет об использовании лицензий оценивается на основе действий входа на устройстве. Лицензии Defender для конечной точки плана 2 предоставляются для каждого пользователя, и каждый пользователь может иметь до пяти одновременных подключенных устройств. Дополнительные сведения об условиях лицензии см. в разделе Лицензирование Майкрософт.
Чтобы снизить затраты на управление, нет необходимости в сопоставлении и назначении между устройствами и пользователями. Вместо этого отчет о лицензиях предоставляет оценку использования, которая рассчитывается на основе использования устройств, наблюдаемого в вашей организации. Чтобы отчет об использовании отражал активное использование устройств, может потребоваться до одного дня.
Важно!
Чтобы получить доступ к сведениям о лицензии, в идентификаторе Microsoft Entra должна быть назначена одна из следующих ролей:
- Администратор безопасности
- Администратор лицензий и Defender для администратора конечной точки
Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Выберите Параметры Конечные>>точкиЛицензии.
Проверьте доступные и назначенные лицензии. Вычисление основано на обнаруженных пользователях, имеющих доступ к устройствам, подключенным к Defender для конечной точки.
Дополнительные ресурсы
- Лицензирование и условия использования продуктов для подписок Microsoft 365.
- Как обратиться в службу поддержки Defender для конечной точки.
- Начало работы с Microsoft Security (пробные предложения)
- Microsoft Defender для конечной точки
- Microsoft Defender для бизнеса (защита конечных точек для малого и среднего бизнеса)
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.