Der Defender for Business deckt den grössten Teil des Funktionsumfangs des Defender for Endpoint (Plan 2) ab. Die Gegenüberstellung der verschiedenen Versionen habe ich hier festgehalten. Das Setup beziehungsweise Onboarding und der Betrieb des Defender for Business kann entweder identisch zur Enterprise Variante durchgeführt werden oder aber mit der vereinfachten Konfiguration. Speziell diese vereinfachte Konfiguration möchte ich in diesem Beitrag behandeln.
Info: Die Defender for Business Lizenzen sollen bis anfangs März in allen Tenant mit aktiver Microsoft 365 Business Premium Lizenz verfügbar sein.
Setup / Onboarding Defender for Business
Ist die Lizenz erst seit kurzem aktiv, kann es sein, das im Microsoft 365 Security Center unter Geräteinventar noch nachstehende Meldung angezeigt wird. In diesem Fall ist etwas Geduld gefragt (5-10min).
Sobald alle Dienste im Tenant register sind, kann das Setup beginnen.
Im ersten Schritt wählen wir, ob sich alle MEM (Intune) registrierten Geräte automatisch registrieren sollen, oder ob wir eine manuelle Richtline erstellen möchten. Ich bevorzuge hier gleich alle Geräte mit einem Klick abzudecken.
Wichtig ist, dass du bereits drei oder mehr Geräte im MEM/Intune aktiv enrolled hast. Ansonsten funktioniert der automatische onboarding Prozess nicht.
Daraufhin wählen wir die vereinfachte Verwaltung aus.
Mit der Option "Continue using MEM" werden alle Konfigurationen im Endpoint Manager verwaltet. Die vereinfachte Verwaltung bietet einen zentralen Ort für Analyse und Richtlinien zum Defender.
Falls bereits bestehende Richtlinien vorhanden sind, welche sich mit denen der vereinfachten Konfiguration beissen könnten, werden diese aufgelistet. Es ist wichtig, dass sich die Richtlinien nicht überschneiden, da sonst Konflikte und Fehler entstehen können.
Ohne Entfernung der Richtlinien kommt einmalig ein weiterer Hinweis. Es reicht aber aus, wenn du die Zuweisung entfernst. Wichtig ist, dass keine Konflikte zwischen den verschiedenen Regeln bestehen.
Zum Abschluss wird uns eine kurze Übersicht der Konfiguration präsentiert, welche wir "Submit" bestätigen.
Der Prozess dauert dann ein paar Sekunden.
Nach Abschluss wird eine Meldung mit den Links zur Übersicht und der Konfiguration präsentiert. (Die Geräte-Übersicht ist noch leer, bis die Geräte enrolled sind und Daten senden.)
Standardrichtlinien
Next-generation protection
Die Richtline zur "Next-generation protection", wie es in der Marketingsprache heisst, bietet die Einstellungen gemäss Microsoft best practices. Diese macht so Sinn und kann übernommen werden. Ich setze jeweils noch die Option "Use low performance" auf aktiv, um den Task möglichst vom Benutzer verbergen zu können, sodass der Benutzer keine Einschränkungen oder Performance-Einbussen hat.
Firewall
Die Firewall Regel ist minimal und strikt gehalten. Benutzerdefinierte Richline sind schnell und übersichtlich verpackt und auch dementsprechend einfach hinzugefügt.
Geräte Übersicht
Die Geräte erscheinen jewels nicht sofort in der Übersicht. Sobald sie ersichtlich sind, dauert was nochmals ca. 8 Stunden, bis das Inventory erste Resultante und damit Massnahmen sowie Verbesserungsvorschläge anzeigt. Dieses Verhalten sowie die Ansichten unterscheidet sich in keiner Weise zu dem des Defender for Endpoint, Plan 1 oder 2.
Die Darstellung des "Vulnerability management" ist ebenfalls identisch. Das heisst, wenn du dich bereits mit dem Defender for Endpoint auskennst, wirst du dich hier wohl fühlen.
Meine Gedanken
Der Defender for Business bietet ein sehr einfaches Onboarding. Hinzu kommt, dass das vereinfachte Dashboard mit der integrierten Konfiguration für kleinere Firmen sehr attraktiv ist. Gerade wenn sich jemand nicht zu tief mit dem Thema beschäftigen möchte, reicht die vereinfachte Konfiguration völlig aus. Zudem besteht die Möglichkeit jederzeit auf die Konfiguration via MEM zu wechseln. Sehr gut gefällt mir hierbei auch, dass ich in einem Dashboard alle Optionen übersichtlich zusammengestellt habe.
Für grössere Firmen (30+) oder solchen mit verschieden Standorten und Anforderungen rate ich von der vereinfachten Verwaltung aber ab, da sich die Unterteilung dann sehrt schnell schwierig gestaltet. Einige weitere Funktionen, die in der Lizenz theoretisch inkludiert sind, sind (noch?) nicht in der vereinfachten Verwaltung integriert. Dazu gehören z.B. Attack surface reduction, Application Control und Guard sowie die Compliance Einstellungen.
If I choose to "manual onboarding process" could I change it later to "automatic onboarding process"?
I would love to start with a small group of devices to test it and if everything goes correct add the rest and future devices automatically.
Is that posible?
Is there also a way to know which policies are what are causing conflict during the onboarding process. I have one I have deletect all the policies related to defender but sitll ask me to delete it. I would rather not delete it because it has my custom start menu layout.
Yes, you can change to the automatic afterwards.
Unfortunately, it shows you only the whole policy. But you can click "confirm" anyways and after applying the new policies to a device it will show you the conflicts.