Der Defender for Business deckt den grössten Teil des Funktionsumfangs des Defender for Endpoint (Plan 2) ab. Die Gegenüberstellung der verschiedenen Versionen habe ich hier festgehalten. Das Setup beziehungsweise Onboarding und der Betrieb des Defender for Business kann entweder identisch zur Enterprise Variante durchgeführt werden oder aber mit der vereinfachten Konfiguration. Speziell diese vereinfachte Konfiguration möchte ich in diesem Beitrag behandeln.

Info: Die Defender for Business Lizenzen sollen bis anfangs März in allen Tenant mit aktiver Microsoft 365 Business Premium Lizenz verfügbar sein.

Setup / Onboarding Defender for Business

Ist die Lizenz erst seit kurzem aktiv, kann es sein, das im Microsoft 365 Security Center unter Geräteinventar noch nachstehende Meldung angezeigt wird. In diesem Fall ist etwas Geduld gefragt (5-10min).

Defender for Business - Hang on!

Sobald alle Dienste im Tenant register sind, kann das Setup beginnen.

Defender for Business - start setup

Im ersten Schritt wählen wir, ob sich alle MEM (Intune) registrierten Geräte automatisch registrieren sollen, oder ob wir eine manuelle Richtline erstellen möchten. Ich bevorzuge hier gleich alle Geräte mit einem Klick abzudecken.
Wichtig ist, dass du bereits drei oder mehr Geräte im MEM/Intune aktiv enrolled hast. Ansonsten funktioniert der automatische onboarding Prozess nicht.

Defender for Business - Automatic onboarding process

Daraufhin wählen wir die vereinfachte Verwaltung aus.
Mit der Option "Continue using MEM" werden alle Konfigurationen im Endpoint Manager verwaltet. Die vereinfachte Verwaltung bietet einen zentralen Ort für Analyse und Richtlinien zum Defender.

Defender for Business - MDB simplified

Falls bereits bestehende Richtlinien vorhanden sind, welche sich mit denen der vereinfachten Konfiguration beissen könnten, werden diese aufgelistet. Es ist wichtig, dass sich die Richtlinien nicht überschneiden, da sonst Konflikte und Fehler entstehen können.
Ohne Entfernung der Richtlinien kommt einmalig ein weiterer Hinweis. Es reicht aber aus, wenn du die Zuweisung entfernst. Wichtig ist, dass keine Konflikte zwischen den verschiedenen Regeln bestehen.

Defender for Business - default policies
Defender for Business - Error

Zum Abschluss wird uns eine kurze Übersicht der Konfiguration präsentiert, welche wir "Submit" bestätigen.

Defender for Business - submit configuration

Der Prozess dauert dann ein paar Sekunden.

Defender for Endpoint - Hold on

Nach Abschluss wird eine Meldung mit den Links zur Übersicht und der Konfiguration präsentiert. (Die Geräte-Übersicht ist noch leer, bis die Geräte enrolled sind und Daten senden.)

Defender for Business - You're all set

Standardrichtlinien

Next-generation protection

Die Richtline zur "Next-generation protection", wie es in der Marketingsprache heisst, bietet die Einstellungen gemäss Microsoft best practices. Diese macht so Sinn und kann übernommen werden. Ich setze jeweils noch die Option "Use low performance" auf aktiv, um den Task möglichst vom Benutzer verbergen zu können, sodass der Benutzer keine Einschränkungen oder Performance-Einbussen hat.

Defender for Business - Next-generation protection

Firewall

Die Firewall Regel ist minimal und strikt gehalten. Benutzerdefinierte Richline sind schnell und übersichtlich verpackt und auch dementsprechend einfach hinzugefügt.

Defender for Business - Firewall

Geräte Übersicht

Die Geräte erscheinen jewels nicht sofort in der Übersicht. Sobald sie ersichtlich sind, dauert was nochmals ca. 8 Stunden, bis das Inventory erste Resultante und damit Massnahmen sowie Verbesserungsvorschläge anzeigt. Dieses Verhalten sowie die Ansichten unterscheidet sich in keiner Weise zu dem des Defender for Endpoint, Plan 1 oder 2.

Defender for Business - Device inventory

Die Darstellung des "Vulnerability management" ist ebenfalls identisch. Das heisst, wenn du dich bereits mit dem Defender for Endpoint auskennst, wirst du dich hier wohl fühlen.

Defender for Business - Vulnerability management

Meine Gedanken

Der Defender for Business bietet ein sehr einfaches Onboarding. Hinzu kommt, dass das vereinfachte Dashboard mit der integrierten Konfiguration für kleinere Firmen sehr attraktiv ist. Gerade wenn sich jemand nicht zu tief mit dem Thema beschäftigen möchte, reicht die vereinfachte Konfiguration völlig aus. Zudem besteht die Möglichkeit jederzeit auf die Konfiguration via MEM zu wechseln. Sehr gut gefällt mir hierbei auch, dass ich in einem Dashboard alle Optionen übersichtlich zusammengestellt habe.
Für grössere Firmen (30+) oder solchen mit verschieden Standorten und Anforderungen rate ich von der vereinfachten Verwaltung aber ab, da sich die Unterteilung dann sehrt schnell schwierig gestaltet. Einige weitere Funktionen, die in der Lizenz theoretisch inkludiert sind, sind (noch?) nicht in der vereinfachten Verwaltung integriert. Dazu gehören z.B. Attack surface reduction, Application Control und Guard sowie die Compliance Einstellungen.