Endpoint Protection 可帮助管理和监视 Microsoft Defender 高级威胁防护 (ATP)（之前称为 Windows Defender ATP）。 Microsoft Defender ATP 可帮助企业检测和调查其网络上的高级攻击并作出应对。 Configuration Manager 策略可帮助加入和监视 Windows 10 客户端。

Microsoft Defender ATP 是 Microsoft Defender 安全中心提供的一项服务。 通过添加和部署客户端加入配置文件，Configuration Manager 可监视部署状态和 Microsoft Defender ATP 代理运行状况。 可在运行 Configuration Manager 客户端的电脑上或由 Microsoft Intune 托管的电脑上使用 Microsoft Defender ATP。

必备条件

• Microsoft Defender 高级威胁防护联机服务的订阅
• 运行 Configuration Manager 客户端的客户端计算机
• 使用以下支持的客户端操作系统部分中列出的 OS 的客户端。

支持的客户端操作系统

根据所运行的 Configuration Manager 版本，可以加入以下客户端操作系统：

Configuration Manager 版本 1910 及更早版本

• 运行 Windows 10、版本 1607 及更高版本的客户端计算机

Configuration Manager 版本 2002 及更高版本

自 Configuration Manager 版本 2002 起，可以加入以下操作系统：

• Windows 8.1
• Windows 10 1607 或更高版本
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2016 版本 1803 或更高版本
• Windows Server 2019

关于使用 Configuration Manager 加入 ATP

不同操作系统对于加入 ATP 有不同要求。 Windows 8.1 和其他下级操作系统设备需要“工作区密钥”和“工作区 ID”才可加入 。 诸如 Windows Server 版本 1803 等上级设备需要加入配置文件。 Configuration Manager 还会在加入的设备需要时安装 Microsoft Monitoring Agent (MMA)，但不会自动更新该代理。

上级操作系统包括：

• Windows 10 1607 版及更高版本
• Windows Server 2016 版本 1803 或更高版本
• Windows Server 2019

下级操作系统包括：

• Windows 8.1
• Windows Server 2012 R2
• Windows Server 2016 版本 1709 及更早版本

使用 Configuration Manager 将设备加入 ATP 时，会将 ATP 策略部署到目标集合或多个集合。 有时，目标集合包含的设备可运行任意数量的受支持操作系统。 根据目标集合是仅包含运行上级操作系统的设备，还是同事包含下级客户端，加入这些设备的说明有所不同。

• 如果目标集合同时包含上级和下级设备，请按照说明加入运行任何受支持操作系统的设备（推荐）。
• 如果集合仅包含上级设备，则可以使用上级加入说明。

 警告

如果目标集合包含下级设备，而你使用仅针对加入上级设备的说明，则不会加入下级设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入下级设备，但如果不选择这些字段，则按该策略加入下级客户端将会失败。

将运行任何受支持操作系统的设备加入 ATP（建议）

可让通过向 Configuration Manager 提供配置文件、工作区密钥和工作区 ID，将运行任何受支持操作系统的设备加入 ATP 。

获取配置文件、工作区 ID 和工作区密钥

1. 转到 Microsoft Defender ATP 联机服务并登录。

2. 选择“设置”，然后在“设备管理”标题下选择“加入” 。

3. 对于操作系统，选择“Windows 10”。

4. 对于部署方法，选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本”。

5. 单击“下载包”。

   

6. 下载压缩的存档 (.zip) 文件并将内容解压缩。

7. 选择“设置”，然后在“设备管理”标题下选择“加入” 。

8. 对于操作系统，请从列表中选择“Windows 7 SP1 和 8.1”或“Windows Server 2008 R2 Sp1、2012 R2 和 2016” 。

   • 无论选择哪个选项，“工作区密钥”和“工作区 ID”都相同 。

9. 从“配置连接”部分复制“工作区密钥”和“工作区 ID”的值。

    重要

   Microsoft Defender ATP 配置文件包含敏感信息，应保障其安全。

加入设备

1. 在 Configuration Manager 控制台中，导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略” 。

2. 选择“创建 Microsoft Defender ATP 策略”，打开“Microsoft Defender ATP 策略向导”。

3. 键入 Microsoft Defender ATP 策略的名称和说明，然后选择“加入” 。

4. 浏览到从下载的 .zip 文件中提取的配置文件。

5. 提供“工作区密钥”和“工作区 ID”，然后单击“下一步” 。

   • 验证“工作区密钥”和“工作区 ID”是否在正确的字段中。 控制台中的顺序可能与 Microsoft Defender ATP 联机服务中的顺序不同。 

6. 指定从托管设备收集和共享的文件示例以进行分析。

   • 无
   • 所有文件类型

7. 查看摘要，然后完成该向导。

8. 右键单击创建的策略，然后选择“部署”，将 Microsoft Defender ATP 策略定向到客户端。

仅将运行上级操作系统的设备加入 ATP

上级客户端需要加入配置文件才能加入 ATP。 上级操作系统包括：

• Windows 10 1607 版及更高版本
• Windows Server 2016 版本 1803 及更早版本
• Windows Server 2019

如果目标集合同时包含上级和下级设备，或你不确定其包含何种设备，请按照说明加入运行任何受支持操作系统的设备（推荐）。

获取适用于上级设备的加入配置文件

1. 转到 Microsoft Defender ATP 联机服务并登录。
2. 选择“设置”，然后在“设备管理”标题下选择“加入” 。
3. 对于操作系统，选择“Windows 10”。
4. 对于部署方法，选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本”。
5. 单击“下载包”。
6. 下载压缩的存档 (.zip) 文件并将内容解压缩。

 重要

• Microsoft Defender ATP 配置文件包含敏感信息，应保障其安全。
• 如果目标集合包含下级设备，而你使用仅针对加入上级设备的说明，则不会加入下级设备。 可选的“工作区密钥”和“工作区 ID”字段用于加入下级设备，但如果不选择这些字段，则按该策略加入下级客户端将会失败。

加入上级设备

1. 在 Configuration Manager 控制台中，导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略”，然后选择“创建 Microsoft Defender ATP 策略” 。 Microsoft Defender ATP 策略向导将打开。
2. 键入 Microsoft Defender ATP 策略的名称和说明，然后选择“加入” 。
3. 浏览到从下载的 .zip 文件中提取的配置文件。
4. 指定从托管设备收集和共享的文件示例以进行分析。
   • 无
   • 所有文件类型
5. 查看摘要，然后完成该向导。
6. 右键单击创建的策略，然后选择“部署”，将 Microsoft Defender ATP 策略定向到客户端。

监视

1. 在 Configuration Manager 控制台中，导航到“监视” > “安全”，然后选择“Microsoft Defender ATP” 。

2. 查看 Microsoft Defender 高级威胁防护仪表板。

   • Microsoft Defender ATP 代理载入状态：已加入可用 Microsoft Defender ATP 策略的合格托管客户端计算机的数量和百分比

   • Microsoft Defender ATP 代理运行状况：报告其 Microsoft Defender ATP 代理状态的计算机客户端的百分比

     • 运行状况 - 运行正常

     • 非活动 - 在时间段内没有数据发送到服务

     • 代理状态 - Windows 中代理的系统服务未运行

     • 未载入 - 策略已应用，但代理尚未报告已加入策略

创建载出配置文件

1. 登录到 Microsoft Defender ATP 联机服务。

2. 选择“设置”，然后在“设备管理”标题下选择“脱离” 。

3. 对于操作系统，选择“Windows 10”，对于部署方法，选择“Microsoft Endpoint Configuration Manager 当前分支及更高版本” 。

   • 使用“Windows 10”选项，确保集合中的所有设备都已脱离，并在需要时卸载 MMA。

4. 下载压缩的存档 (.zip) 文件并将内容解压缩。 载出文件的有效期为 30 天。

5. 在 Configuration Manager 控制台中，导航到“资产和符合性” > “Endpoint Protection” > “Microsoft Defender ATP 策略”，然后选择“创建 Microsoft Defender ATP 策略” 。 Microsoft Defender ATP 策略向导将打开。

6. 键入 Microsoft Defender ATP 策略的名称和说明，然后选择“登出” 。

7. 浏览到从下载的 .zip 文件中提取的配置文件。

8. 查看摘要，然后完成该向导。

选择“部署”，将 Microsoft Defender ATP 策略定向到客户端。

 重要

Microsoft Defender ATP 配置文件包含敏感信息，应保障其安全。

后续步骤

• Microsoft Defender 高级威胁防护

• Microsoft Defender 高级威胁防护加入问题疑难解答