ENDLICH! Die Server Lizenzierung für die Business-Linie ist da und heisst "Defender for Business Servers". Das Onboarding sowohl auch die Konfiguration kann gleich wie beim Defender for Server gemacht werden.
Welche Optionen du hast und wie du eine Regel erfassen kannst, habe ich dir in den nachstehenden Abschnitten zusammengefasst.

Table of Contents

Lizenzierung

Aktuell ist di Lizenzierung noch in der Preview. Solange diese läuft, ist das Feature kostenlos, anschliessend wird die Lizenz 3 $/Server/Monat kosten.

Zur Aktivierung musst du lediglich die Preview Features im Microsoft 365 Defender Portal aktivieren.
(Settings > Endpoints > Advanced features > Preview features)

Defender, Preview features

Microsoft Doc's Beitrag: Get Microsoft Defender for Business servers | Microsoft Docs

Server Onboarding

Für Windows Server Versionen 1803, 2019 und 2022 ist das Boarding sehr simpel. Du muss dazu lediglich das entsprechende Onboarding Paket unter "Settings > Endpoints > Onboarding" herunterladen.

Defender for Business for Server, Onboarding

Ältere Server Versionen sind nicht immer zu 100 % unterstützt oder benötigen eine zusätzliche Installation. Dazu findest du hier (Onboard Windows servers to the Microsoft Defender for Endpoint service | Microsoft Docs) die entsprechenden Details.

Defender Policy für Server

Um auch die Konfiguration des Servers zentral zu verwalten, müssen Einstellungen im Defender Portal sowie Microsoft Endpoint Manager gemacht werden.

Voraussetzung, dass die MDE-Verwaltung funktioniert, ist das auf dem Azure AD Connect der "Hybrid Join" aktiviert ist und sich der Server in einer OU befindet, die mit dem Azure AD synchronisiert wird.

Konfiguration im Defender Portal

Im Defender Portal unter "Settings > Endpoints > Enforcement scope" aktivieren wir das Enforcement des "Security setting management" für Server. Damit haben wir im nächsten Schritt die Möglichkeit auch auf Server gewisse Richtlinien via Endpoint Manager zu verteilen.

Defender MDE, Security setting management

Sobald die Einstellung aktiv ist und das Onboarding des Servers stattgefunden hat, kann es bis zu 8 Stunden dauern, bis du den Server einerseits im Defender Portal wie auch im Endpoint Manager ersichtlich ist.

Geräte MDE
Geräte MDE
Geräte MEM
Geräte MEM

Konfiguration im Endpoint Manager

Im Endpoint Manager können folgende Richtlinien für MDE verwaltete Geräte erstellt werden:

  • Antivirus Policies
  • Firewall Policies
  • Firewall Rule Policies

Gruppe für Zuweisung

Als erstes erstellen wir eine dynamische Gruppe, in welche anschliessend automatisch die MDE verwalteten Geräte kommen werden.
Diese kannst du unter "Groups" erstellen. Ich habe dazu folgende dynamische Regel verwendet:

(device.systemLabels -contains "MDEmanaged")

Diese Gruppe kannst du nun in den Policies zuweisen und stellst so sicher, dass alle MDE verwalteten Geräte die Einstellungen erhalten.

Richtlinie - Beispiel Antivirus

Im Endpoint Manager kannst du die Policy identisch zu der der Windows 10/11 Geräte erstellen.
Ich empfehle dir aber zumindest eine Dedizierte für die Server zu verwenden, da die Konfiguration durchaus von der der Clients abweichen kann.
Die Policy erstellt du unter "Endpoint security > Antivirus" + Create Policy:

Create Defender Antivirus Policy

Der Regel geben wir einen aussagekräftigen Namen und stellen anschliessend die Optionen wie gewünscht ein. Im folgenden Screenshot eine Beispielkonfiguration, wie ich sie öfters verwende:

Ist die Richtlinie auf dem Server angewendet, wird dies auch schön angezeigt. Ebenfalls werden bei Fehlern diese aufgeschlüsselt und in den einzelnen Einstellungsoptionen angezeigt.

Policy report

Gleich wie diese Richtlinie kannst du auch Richtlinien für die Firewall sowie Firewall Regeln erstellen und auf Server anwenden.

TIPP: Du kannst bestehende Richtlinien auch einfach duplizieren und für ein neues Subset modifizieren.

Richtline duplizieren

Zusammenfassung

Mit der neuen Lösung gibt es endlich auf für "Business"-Kunden eine einfach Weise den Defender auf Server Umgebungen nutzen zu können. Damit muss kein Umweg via "Defender for Cloud" gemacht muss und die Einrichtung hat sich um einiges vereinfacht.
Die Richtlinien, die unterstützt werden, funktionieren gut und machen, was sie tun sollen. Ich erhoffe mir aber natürlich, dass hier auch bald weitere Richtlinien möglich sein werden, um beispielsweise die ASR (Attack Surface Reduction) Richtlinien verwalten zu können.