你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Cloud 允许您通过部署 Defender for Endpoint 代理程序,直接将非 Azure 服务器加入管理。 这样一来,可以在单个统一的产品/服务下为云资产和非云资产提供保护。
注意
若要通过 Azure Arc 连接非 Azure 计算机,请参阅通过 Azure Arc 将非 Azure 计算机连接到 Microsoft Defender for Cloud。
通过此租户级别设置,可以自动且原生地将任何运行 Defender for Endpoint 的非 Azure 服务器加入 Defender for Cloud,而无需进行任何额外的代理部署。 此加入路径非常适合希望合并 Defender for Servers 下的服务器保护功能且具有混合服务器资产的客户。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态 | 正式版 |
| 受支持的操作系统 | Defender for Endpoint 支持的所有 Windows 和 LinuxServer 操作系统 |
| 所需的角色和权限 | 若要管理此设置,您需要成为订阅所有者(在所选订阅上),以及在租户上拥有Microsoft Entra 安全管理员权限或更高权限。 |
| 环境 | 本地服务器 多云 VM - 有限支持(请参阅限制部分) |
| 支持的计划 | 服务器保护程序 P1 Defender for Servers P2 - 有限功能(请参阅限制部分) |
工作原理
直接载入是 Defender for Endpoint 和 Defender for Cloud 之间的无缝集成,不需要在服务器上部署额外的软件。 启用后,它还会显示加入到 Defender for Endpoint 的非 Azure 服务器设备,这些设备将在你配置的指定 Azure 订阅下展示于 Defender for Cloud 中(此外,它们也会在 Microsoft Defender 门户中以常规形式展示)。 Azure 订阅用于许可、计费、警报和安全见解,但不提供服务器管理功能,例如 Azure Policy、扩展或来宾配置。
必须使用其他工具来管理服务器安全设置,例如防病毒策略、攻击面减少规则和安全智能更新。 有多个选项可用于管理 Windows 服务器和 Linux 服务器的这些设置:
Windows Server:
Linux 服务器:
- Defender for Endpoint 安全设置管理
- 非Microsoft解决方案(请参阅 在 Linux 上的 Defender for Endpoint 中配置安全设置)
启用直接加入
启用直接加入是租户级别的一项选择加入设置。 它会影响在同一个 Microsoft Entra 租户中使用“Defender for Endpoint”的已有和新加入的服务器。 启用此设置后不久,服务器设备会显示在指定的订阅下。 警报、软件清单和漏洞数据与 Defender for Cloud 集成的方式与 Azure VM 的工作方式类似。
开始之前:
- 请确保你具有所需的权限
- 如果租户上有 Microsoft Defender for Endpoint for Servers 许可证,请确保在 Defender for Cloud 中指示它
- 查看限制部分
在 Defender for Cloud 门户中启用
转到 Defender for Cloud>环境设置>直接加入。
将“直接加入”开关切换为“开”。
选择想要直接加入 Defender for Endpoint 的服务器使用的订阅。
选择“保存”。
你现在已在租户上成功启用直接加入。 首次启用后,最多可能需要 24 小时才能在指定的订阅中看到你的非 Azure 服务器。
在服务器上部署 Defender for Endpoint
无论是否使用直接加入,在本地 Windows 和 Linux 服务器上部署 Defender for Endpoint 代理是一样的。 有关详细信息,请参阅将服务器加入 Defender for Endpoint。
当前限制
计划支持:直接入职允许访问所有 Defender for Servers 计划 1 的功能。 但是,Defender for Servers 计划 2 中的某些功能仍需要部署 Azure Monitor 代理,该代理仅适用于非 Azure 计算机上的 Azure Arc。 如果在指定的订阅上启用 Defender for Servers 计划 2,则直接加入 Defender for Endpoint 的服务器有权访问计划 1 的所有 Defender for Servers 计划 1 功能和计划 2 中包含的 Defender 漏洞管理加载项 功能。
多云支持:可以使用 Defender for Endpoint 代理在 AWS 和 GCP 中直接加入 VM。 但是,如果你计划使用多云连接器同时将 AWS 或 GCP 帐户连接到 Defender for Servers,那么目前仍建议部署 Azure Arc。
有限支持同时加入:对于使用多种方法同时加入的服务器(例如,直接加入与基于 Log Analytics 工作区的加入相结合),Defender for Cloud 会尽一切努力将它们关联到单个设备表示形式。 但是,使用较旧版本的 Defender for Endpoint 的设备可能会面临某些限制。 在某些情况下,这可能会导致过度收费。 我们通常建议使用最新的代理版本。 具体而言,对于此限制,请确保 Defender for Endpoint 代理版本至少满足下列最低版本:
操作系统 最低代理版本 Windows Server 2019 及更高版本 10.8555 Windows Server 2016 或 Windows 2012 R2
(新式、统一的解决方案)10.8560 Linux 服务器 30.101.23052.009 Linux (AMD64) 30.101.23052.009 Linux (ARM64) 30.101.25022.004
后续步骤
本文介绍如何将非 Azure 服务器添加到 Microsoft Defender for Cloud。 若要监视其状态,请使用清单工具,如以下文章中所述: