Beleid voor eindpuntdetectie en -respons implementeren met Intune

Wanneer u Microsoft Defender voor Eindpunt integreert met Intune, kunt u eindpuntbeveiligingsbeleid gebruiken voor eindpuntdetectie en -respons (EDR) om de EDR-instellingen te beheren en apparaten te onboarden voor Microsoft Defender voor Eindpunt.

Intune beleid voor EDR omvat platformspecifieke profielen die de onboarding (installatie) van Microsoft Defender voor Eindpunt beheren. Het gebruik van onboardingpakketten is hoe apparaten zijn geconfigureerd voor gebruik met Microsoft Defender voor Eindpunt. Onboarding naar Defender via Intune EDR-beleid configureert apparaten voor het verzenden van beveiligingstelemetrie naar Microsoft Defender voor Eindpunt, waardoor geavanceerde detectie, onderzoek en reactiemogelijkheden voor bedreigingen mogelijk zijn.

In dit artikel worden EDR-implementatiescenario's beschreven, van automatische implementatie op basis van connectors tot handmatige configuratie voor gespecialiseerde omgevingen.

Informatie over EDR-onboarding

EDR-onboarding configureert apparaten zodat ze beveiligingstelemetrie kunnen verzenden naar uw Defender voor Eindpunt-tenant. Het onboarding-pakket is een platformspecifiek configuratiebestand met:

• Tenantconfiguratie: identificeert uw specifieke Defender voor Eindpunt-organisatie.
• Service-eindpunten: URL's voor communicatie met Defender-services.
• Verificatiemateriaal: certificaten en tokens voor veilige communicatie tussen apparaten en services.
• Basisconfiguratie: Instellingen voor apparaatregistratie en initiële communicatieparameters.

Sleutelbegrippen:

• Apparaten worden kort na een geslaagde onboarding en eerste telemetrieverzending weergegeven in de Defender-portal.
• Onboarding maakt telemetriestroom mogelijk, maar configureert geen geavanceerde instellingen, zoals kwetsbaarheid voor aanvallen verminderen, firewall of antivirusbeleid.
• EDR-beleid beheert geen regels voor het opsporen van bedreigingen, aangepaste detectielogica, reactieautomatisering of onderzoekswerkstromen.

Zie Apparaten onboarden voor Microsoft Defender voor Eindpunt voor technische informatie.

Van toepassing op:

• Linux
• macOS
• Windows
• Windows Server 2012 R2 en hoger wordt ondersteund wanneer apparaten worden beheerd via een van de volgende opties:
  • Configuration Manager (tenantkoppeling)
  • beheer van Microsoft Defender voor Eindpunt beveiligingsinstellingen

Vereisten

Voordat u EDR-beleid implementeert, controleert u of uw organisatie voldoet aan de licentie- en machtigingsvereisten.

Licentie

• Microsoft Intune Plan 1

U hebt licenties nodig voor Microsoft Defender:

• Licentie voor Defender for Endpoint-abonnement 1 per gebruiker
• Microsoft 365 E5/A5/G5 (inclusief Defender voor Eindpunt abonnement 2)
• Microsoft Defender XDR (zelfstandig)

Zie voor gedetailleerde licentie-informatie:

• Microsoft Intune-licenties
• Microsoft Defender voor Eindpunt licenties

Toegangsbeheer op basis van rollen

Als u EDR-beleid wilt configureren, moet aan uw account een Intune rol worden toegewezen met voldoende RBAC-machtigingen (op rollen gebaseerd toegangsbeheer):

• Endpoint Security Manager: de rol Endpoint Security Manager bevat machtigingen voor het maken en beheren van eindpuntbeveiligingsbeleid.
• Aangepaste rol: minimaal machtigingen voorhetverwijderen vanleesupdates// maken / voor eindpuntbeveiliging.

U hebt ook machtigingen in Microsoft Defender voor Eindpunt nodig om de serviceverbinding tot stand te brengen:

• Rol beveiligingsbeheerder in Microsoft Entra ID, of
• Aangepaste rol met gelijkwaardige machtigingen: microsoft.directory/applications/create, microsoft.directory/applications/delete, microsoft.directory/servicePrincipals/create

Zie Op rollen gebaseerd toegangsbeheer voor eindpuntbeveiliging voor gedetailleerde richtlijnen voor machtigingen.

Ondersteunde platforms en profielen

Windows:

• Profiel: Eindpuntdetectie en -respons
  • Voorbeeld delen: kies hoe apparaten bestandsvoorbeelden verzenden naar Defender for Endpoint.
  • Onboardingopties: Automatisch van connector (beschikbaar wanneer de serviceverbinding is geconfigureerd) of handmatig een onboard- of offboard-pakket toevoegen.
    • Automatisch van connector (aanbevolen wanneer de service-naar-service-verbinding is geconfigureerd).
    • Handmatige onboarding met behulp van een Onboard - of Offboard-pakket vanuit de Defender-portal.
  • Beheer: Intune ingeschreven apparaten of niet-ingeschreven apparaten via Beheer van beveiligingsinstellingen van Defender voor Eindpunt.

Macos:

• Profiel: Eindpuntdetectie en -respons
  • Apparaattags: Apparaattags bevatten een naam - en waardepaar dat wordt gebruikt om apparaten in Defender for Endpoint te ordenen.
  • Beheermethoden:
    • Intune ingeschreven
    • Het beheer van beveiligingsinstellingen voor Defender voor Eindpunt

Linux:

• Profielen:
  • Detectie van en reactie op eindpunt
    • Apparaattags: Apparaattags bevatten een naam - en waardepaar dat wordt gebruikt om apparaten in Defender for Endpoint te ordenen.
    • Beheermethoden:
      • Intune ingeschreven
      • Het beheer van beveiligingsinstellingen voor Defender voor Eindpunt
  • Microsoft Defender algemene uitsluitingen (AV+EDR): zie Linux profiel voor globale uitsluitingen verderop in dit artikel.

Windows Server 2012 R2+:

• Profiel: Eindpuntdetectie en -respons (ConfigMgr)
  • Beheer:
    • tenantkoppeling Configuration Manager
    • Beheer van beveiligingsinstellingen voor Defender voor Eindpunt.
  • Verzamelingsdoel: wijs toe aan Configuration Manager verzamelingen in plaats van Entra id-groepen.
  • Vereisten:
    • hotfix voor KB4563473
    • Verzamelingen die zijn gesynchroniseerd met Intune voor toewijzingen
    • Toewijzingen worden toegepast op Configuration Manager verzamelingen, niet op Entra id-groepen

De verbinding Intune–Defender voor Eindpunt configureren

Intune vereist een verbinding met Microsoft Defender voor Eindpunt om automatisch onboardingpakketten op te halen en de implementatie van EDR-beleid te ondersteunen.

Wanneer de verbinding is ingeschakeld:

• Intune haalt het meest recente onboardingpakket op van Defender voor Eindpunt.
• Het maken van beleid maakt gebruik van de meest recente onboardingconfiguratie.
• U kunt Auto from connector gebruiken in EDR-profielen.

De verbinding configureren:

1. Ga in het Microsoft Intune-beheercentrum naar Tenantbeheerconnectors>en -tokens>Microsoft Defender voor Eindpunt.
2. Selecteer Verbinding maken Microsoft Defender voor Eindpunt met Intune.
3. Schakel de verbinding in en configureer voorkeuren voor het delen van gegevens.
4. Controleer of de verbindingsstatus Verbonden wordt weergegeven.

Zie Connect Microsoft Defender voor Eindpunt to Intune (Verbinding maken met Intune) voor gedetailleerde installatie-instructies.

EDR-beleid implementeren

Over het knooppunt Eindpuntdetectie en -antwoord:

In het Intune-beheercentrum bevat het knooppunt Eindpuntdetectie en -antwoord de volgende tabbladen:

• Samenvatting : geeft een overzicht van alle EDR-beleidsregels, de status van de connector en bevat de grafiek 'Windows-apparaten onboarded to Defender for Endpoint' en de optie Beleid maken .
• EDR-onboardingstatus : toont het overzichtsdiagram voor onboarding, de lijst met apparaten met gedetailleerde status en bevat de optie Vooraf geconfigureerd beleid implementeren . Zie EDR-onboardingstatusrapport voor gedetailleerde richtlijnen voor het gebruik van dit tabblad.

Elk apparaat dat beveiligingstelemetrie rapporteert aan Microsoft Defender voor Eindpunt, moet worden onboarded met behulp van een configuratiepakket (een 'blob' voor onboarding genoemd). Dit pakket bevat:

• Tenantspecifieke configuratie: hiermee wordt het apparaat aangegeven aan welke Defender for Endpoint-organisatie moet worden gerapporterd.
• Verificatiecertificaten: maakt beveiligde communicatie met Defender-services mogelijk.
• Rapportage-instellingen: hiermee configureert u welke gegevens moeten worden verzonden en hoe vaak.

Of u nu automatische of handmatige implementatie gebruikt, Intune dezelfde onboardingconfiguratie toepast op apparaten. Het verschil is hoe Intune die configuratie verkrijgt:

• Automatisch (aanbevolen): Intune haalt het onboardingpakket op van Defender voor Eindpunt via de geconfigureerde serviceverbinding.
• Handmatig : gebruik een onboardingpakket dat is gedownload vanuit de Defender-portal wanneer automatisch ophalen niet beschikbaar is.

Uw implementatiemethode kiezen:

Een automatisch EDR-beleid maken

Geschikt voor omgevingen met standaard Intune + Defender-integratie en één Defender voor Eindpunt-tenant.

Voorwaarden: Actieve service-naar-service-verbinding tussen Intune en Defender voor Eindpunt.

Het vooraf geconfigureerde Windows EDR-beleid implementeren

De snelste manier om EDR-onboarding te implementeren op alle Windows-apparaten is met behulp van de vooraf geconfigureerde beleidsoptie die beschikbaar is op het tabblad EDR-onboardingstatus. Deze methode maakt automatisch gebruik van het nieuwste onboardingpakket van uw Defender voor Eindpunt-tenant en wordt geïmplementeerd met aanbevolen instellingen.

Zie Snelle implementatie met vooraf geconfigureerd beleid in de sectie EDR-onboardingstatusrapport voor gedetailleerde stapsgewijze instructies.

Aangepast EDR-beleid maken (alle platforms)

Wanneer u EDR-beleid moet implementeren op specifieke groepen of platforms met aangepaste instellingen, gebruikt u de optie Beleid maken op het tabblad Samenvatting. Deze benadering geeft u volledige controle over platformselectie, configuratie-instellingen en groepstoewijzingen.

Belangrijke configuratieopties zijn:

• Microsoft Defender voor Eindpunt clientconfiguratiepakkettype: Selecteer Automatisch van connector indien beschikbaar
• Voorbeeld delen: kies op basis van uw vereisten voor gegevensgevoeligheid
• Apparaattags (macOS en Linux): configureren voor het filteren en groeperen van apparaten

Zie Targeted remediation in de sectie EDR Onboarding Status report voor gedetailleerde richtlijnen voor het maken van beleid.

Handmatig EDR-beleid maken

Gebruik deze methode wanneer uw organisatie de serviceverbinding (meerdere tenants, air-gapped-omgevingen of strikte wijzigingsbeheer) niet kan gebruiken.

Download het onboarding-pakket:

1. Ga in de Microsoft Defender-portal naar Instellingen>Eindpunten>Apparaatbeheer>Onboarding.
2. Selecteer het besturingssysteem en kies Mobiel Apparaatbeheer/Microsoft Intune.
3. Selecteer Pakket downloaden.

Maak het beleid:

1. Ga in Intune naar Eindpuntbeveiliging>Eindpuntdetectie en -antwoord>Beleid maken.
2. Selecteer het platform en profiel.
3. Voor Pakkettype kiest u Onboard of Offboard.
4. Plak de inhoud van het gedownloade onboardingbestand.
5. Configureer de resterende instellingen en wijs het beleid toe en maak het.

Aanvullende profielen voor Linux-apparaten

Nadat u uw kern-EDR-beleid hebt gemaakt, kunt u extra gespecialiseerde profielen implementeren voor verbeterd beveiligingsbeheer.

Een Linux globaal uitsluitingsbeleid maken

1. Ga naar Eindpuntbeveiliging>Eindpuntdetectie en -respons>Beleid maken.
2. Selecteer Linux voor platform en Microsoft Defender algemene uitsluitingen (AV+EDR) voor profiel.
3. Uitsluitingen configureren door vermeldingen toe te voegen met:
   • Pad: uit te sluiten bestand of mappad (geen jokertekens ondersteund).
   • Procesnaam: procesnaam die moet worden uitgesloten van EDR-bewaking (er worden geen jokertekens ondersteund).
4. Wijs toe aan Linux apparaatgroepen die worden beheerd via MDE beheer van beveiligingsinstellingen.

Configuration Manager implementatie

Tenantkoppeling

Met tenantkoppeling kunt Intune EDR-beleid implementeren op Configuration Manager beheerde Windows-apparaten.

Configuration Manager vereisten:

• Current Branch 2002 of hoger
• Voor 2002installeert u KB4563473 (hotfix)

Configuratie van tenantkoppeling:

• Synchroniseer apparaatverzamelingen met Intune (Cloud Sync).
• Zorg ervoor dat Alle bureaublad- en serverclient is ingeschakeld en gesynchroniseerd (vereist voor vooraf geconfigureerd Windows EDR-beleid).

Machtigingen:

• Intune servicebeheerder Entra ingebouwde id-rol of gelijkwaardige rol voor tenantkoppeling en beheer van eindpuntbeveiligingsbeleid.

Configuration Manager instellen voor EDR

1. Installeer Configuration Manager update: Pas KB4563473 hotfix voor Configuration Manager 2002 toe.
2. Tenantkoppeling configureren: synchroniseer Configuration Manager verzamelingen met Intune.
3. Connectiviteit controleren: controleer of verzamelingen worden weergegeven in zowel Configuration Manager als Intune beheercentrum.

EDR-beleid implementeren in Configuration Manager verzamelingen

1. Ga in het Intune-beheercentrum naar Eindpuntbeveiliging>Eindpuntdetectie en -antwoord>Beleid maken.
2. Selecteer Windows-platform (ConfigMgr) en Profiel voor eindpuntdetectie en -respons (ConfigMgr).
3. Configureer dezelfde beleidsinstellingen die beschikbaar zijn voor Intune beheerde apparaten.
4. Selecteer bij Toewijzingen Configuration Manager verzamelingen in plaats van Entra id-groepen.
5. Maak en implementeer het beleid.

Nadat u het beleid hebt geïmplementeerd, moet u tijd hebben voor Intune-ConfigMgr synchronisatie en Configuration Manager evaluatie van clientbeleid voordat apparaten worden weergegeven als onboarded.

Zie Tenantkoppeling configureren ter ondersteuning van beleid voor eindpuntbeveiliging voor gedetailleerde configuratie van tenantkoppelingen.

EDR-onboardingstatusrapport

Het rapport EDR Onboarding Status biedt beheerders een uitgebreid overzicht van de voortgang van het onboarden van apparaten in uw organisatie. Dit rapport helpt u bij te houden welke apparaten met succes zijn ge onboardd om te Microsoft Defender voor Eindpunt en apparaten te identificeren die mogelijk aandacht nodig hebben.

Het EDR-onboardingstatusrapport openen

1. Ga in het Microsoft Intune-beheercentrum naar Eindpuntbeveiliging>Eindpuntdetectie en -antwoord.
2. Selecteer het tabblad EDR-onboardingstatus .

Inzicht in het rapport

Het tabblad EDR-onboardingstatus bevat het volgende:

• Overzichtsgrafiek voor onboarding: Windows-apparaten die zijn toegevoegd aan Defender for Endpoint : in deze grafiek worden aantallen apparaten weergegeven waarop onboarding is geïnstalleerd en apparaten die niet zijn onboarded.

• Lijst met apparaten met gedetailleerde informatie: deze apparatenlijst bevat de volgende kolommen met details:

  • Apparaatnaam: de naam van elk apparaat in uw organisatie
  • Beheerd door: hoe het apparaat wordt beheerd (Intune, Configuration Manager via tenantkoppeling of MDE Beheer van beveiligingsinstellingen)
  • Defender-sensorstatus: huidige status van de Defender voor Eindpunt-sensor.
    • Actief: Sensor wordt uitgevoerd en communiceert normaal
    • Inactief: sensor heeft onlangs niet gerapporteerd
    • Met beperking: sensor ondervindt problemen
  • Onboardingstatus: Huidige onboardingstatus voor elk apparaat.
    • Onboarded: het apparaat verzendt telemetrie naar Defender voor Eindpunt
    • Niet onboarded: het apparaat heeft het onboardingproces niet voltooid
    • In behandeling: Het apparaat wordt momenteel onboarding uitgevoerd
    • Laatste check-in: de tijd en datum van de meest recente communicatie van het apparaat naar Intune
    • Primaire UPN: de primaire user principal name die is gekoppeld aan het apparaat

Het rapport gebruiken voor EDR-implementatie

Snelle implementatie met vooraf geconfigureerd beleid

Voor snelle implementatie op alle in aanmerking komende Windows-apparaten, rechtstreeks vanaf het tabblad EDR-onboardingstatus:

1. Selecteer op het tabblad EDR-onboardingstatusde optie Vooraf geconfigureerd beleid implementeren.

   

2. Kies uw implementatiebereik:

   • Detectie en respons van Windows + Eindpunt: voor Intune beheerde apparaten
   • Windows (ConfigMgr) + Eindpuntdetectie en -respons (ConfigMgr): voor Configuration Manager-verzamelingen

3. Geef een beleidsnaam en optionele beschrijving op.

4. Selecteer Maken om direct te implementeren.

Dit vooraf geconfigureerde beleid is automatisch:

• Maakt gebruik van het nieuwste onboardingpakket van uw Defender voor Eindpunt-tenant
• Wordt geïmplementeerd op alle toepasselijke apparaten in uw organisatie
• Aanbevolen beveiligingsinstellingen toepassen

Het rapport gebruiken voor gericht herstel

Het rapport EDR-onboardingstatus helpt bij het identificeren van apparaten die aandacht nodig hebben, die u vervolgens kunt aanpakken met gerichte beleidsimplementatie:

Probleemapparaten identificeren

Gebruik de apparatenlijst op het tabblad EDR-onboardingstatus om specifieke apparaten te identificeren die aandacht vereisen:

1. Apparaten filteren op status: focus op 'Niet-onboarded' of 'In behandeling' apparaten
2. Beheermethoden controleren: controleren of apparaten worden beheerd via het juiste kanaal
3. Sensorstatus controleren: apparaten met inactieve of verminderde sensoren identificeren

Gericht beleid maken

Zodra u apparaten met problemen hebt geïdentificeerd, maakt u specifiek EDR-beleid met behulp van de optie Beleid maken op het tabblad Samenvatting:

Bewakingsscenario's

Het rapport EDR Onboarding Status ondersteunt verschillende belangrijke beheerscenario's:

Initiële implementatievalidatie

Na het implementeren van EDR-beleid:

• Het overzichtsdiagram voor onboarding bewaken voor het verhogen van het aantal 'onboarding'-aantallen
• De voortgang van afzonderlijke apparaten controleren in de lijst met apparaten
• Apparaten identificeren die niet binnen de verwachte tijdsperioden onboarden

Doorlopende nalevingscontrole

Voor doorlopend beheer van beveiligingspostuur:

• Stel regelmatig beoordelingen van de onboardingstatus in.
• Houd de sensorstatus in uw apparaatpark bij.
• Identificeer apparaten die in de loop van de tijd inactief of verstoord raken.

Implementatieproblemen oplossen

Wanneer het onboarden van apparaten mislukt:

• Gebruik de apparatenlijst om problematische apparaten te identificeren.
• Controleer de beheermethoden om ervoor te zorgen dat de juiste beleidstargeting wordt toegepast.
• Controleer de sensorstatus voor apparaten met de status Niet-onboarding.
• Kruisverwijzing met EDR-beleidsnalevingsrapporten.

Aanbevolen procedures voor het gebruik van het rapport

• Regelmatige bewaking: Bekijk het EDR-rapport Over de onboardingstatus wekelijks om ervoor te zorgen dat de beveiliging continu wordt gedekt.
• Proactief herstel: schakel 'Niet-onboarding'-apparaten onmiddellijk in om de beveiligingspostuur te handhaven.
• Correlatie met andere rapporten: gebruik naast afzonderlijke EDR-beleidsnalevingsrapporten voor uitgebreide zichtbaarheid van implementaties.
• Metrische basislijngegevens documenteren: Volg de succespercentages van onboarding in de loop van de tijd om trends te identificeren.

Extra zichtbaarheid van onboarding

Naast het speciale EDR Onboarding Status-rapport kunt u ook de onboardingstatus van apparaten bekijken via de Microsoft Defender Antivirus-rapporten van Intune. Deze rapporten bevatten informatie over de onboardingstatus voor Windows MDM-apparaten en bieden een andere manier om de defender voor eindpuntimplementatie van uw organisatie te bewaken:

• Statusrapport van antivirusagent: bevat uitgebreide apparaatstatus, inclusief de onboardingstatus van Defender voor Eindpunt
• Rapport beschadigde eindpunten: geeft apparaten weer met gedetecteerde problemen, waaronder problemen met onboarding

Deze rapporten zijn beschikbaar in het beheercentrum op de volgende punten:

• Ga naar de tegel Rapporten>Eindpuntbeveiliging>Microsoft Defender Antivirusrapporten>>Status van antivirusagent.
• Ga naar het tabblad Eindpuntbeveiliging>Antivirus>Beschadigde eindpunten .

EDR-implementatie bewaken en valideren

Intune rapportage:

U kunt de implementatie- en onboardingresultaten bekijken in het Intune-beheercentrum opEindpuntdetectie en -respons voor eindpuntbeveiliging>:

• Beleidsnaleving: op het tabblad Samenvatting kunt u uw beleid selecteren om de implementatiestatus ervan weer te geven.
• Apparaatdetails: op het tabblad OnboardingStatus van EDR bekijkt u een eenvoudig rapport met het aantal apparaten, bekijkt u een lijst met apparaten met details voor hun onboardingstatus en sensorstatus en selecteert u vervolgens apparaten om verder in te zoomen voor meer informatie.

Gebruik het EDR-onboardingstatusrapport voor uitgebreid overzicht van onboarding van apparaten.

Microsoft Defender portalvalidatie:

In de Defender-portal:

1. Apparaatinventaris (Activaapparaten>) vermeldt onboarded apparaten kort nadat de telemetrie is ontvangen.

2. Sensorstatus geeft de laatst geziene tijd, sensorversie en communicatiestatus weer.

3. De risicobeoordeling begint nadat apparaten hun eerste telemetrie hebben verzonden.

Doorlopende bewaking

Bekijk het volgende om ervoor te zorgen dat de onboarding blijft slagen:

• Slagingspercentages voor beleidsimplementatie
• Onboardingstatus van apparaat
• Sensorstatus en communicatie
• Mislukte implementaties waarvoor herstel is vereist

Problemen oplossen

Apparaten worden niet weergegeven in de Defender-portal

• Controleer of het apparaat de vereiste eindpunten kan bereiken (bijvoorbeeld *.securitycenter.windows.com en *.protection.outlook.com).
• Controleer de nalevingsstatus van het EDR-beleid in Intune en bekijk apparaatspecifieke details in het rapport EDR-onboardingstatus.
• Zorg ervoor dat de Microsoft Defender voor Eindpunt-service wordt uitgevoerd op het apparaat.

De optie 'Automatisch van connector' is niet beschikbaar

• Controleer of de Defender-verbinding Verbonden weergeeft onder Tenantbeheer>Connectors en tokens.
• Het duurt maximaal 15 minuten nadat de verbinding is ingeschakeld voordat de optie wordt weergegeven.
• Zorg ervoor dat uw account de juiste beheerdersmachtigingen heeft.

Zie Problemen met Microsoft Defender voor Eindpunt onboarding oplossen voor meer informatie.

Offboarden apparaten

Intune EDR-beleid ondersteunt de optie om een offboarding-blob te gebruiken voor offboard-apparaten. Offboarding van apparaten van Defender voor Eindpunt is meestal een ongebruikelijk, maar gepland proces. Sommige situaties waarvoor offboarding is vereist, zijn onder andere het verplaatsen van een apparaat uit een testlab, onderdeel van het levenscyclusbeheer van apparaten of vereist tijdens tenantconsolidatie.

Een offboardingbeleid maken:

1. Download een nieuw offboarding-pakket vanuit de Microsoft Defender-portal door naar Instellingen>Eindpunten>Apparaatbeheer>Offboarding te gaan.
2. Selecteer het besturingssysteem en kies Mobiel Apparaatbeheer/Microsoft Intune.
3. Selecteer Pakket downloaden.
4. Maak een nieuw EDR-beleid met Pakkettype ingesteld op Offboard en plak de inhoud van de offboarding-blob, of werk een bestaand offboarding-beleid bij door de blobinhoud te vervangen.

Bij het implementeren van een offboarding-EDR-beleid in Intune:

• Om veiligheidsredenen verloopt de offboarding-blob of het pakket van Defender zeven dagen na het downloaden. Verlopen offboardingpakketten die naar apparaten worden verzonden, worden geweigerd.
• Wanneer de offboarding-blob op een apparaat is geïmplementeerd, wordt de Defender voor Eindpunt-sensor uitgeschakeld, maar wordt de Defender voor Eindpunt-client niet verwijderd.
• Apparaten stoppen met het verzenden van telemetrie naar de Defender for Endpoint-portal.
• Apparaten worden na zeven dagen weergegeven als 'inactief' in Defender.
• De Intune nalevingsstatus van het EDR-beleid moet een geslaagde implementatie weergeven.
• Historische gegevens blijven in Defender totdat het bewaarbeleid deze verwijdert.

Wanneer u een apparaat offboardt vanuit Defender for Endpoint:

• Telemetriestops: er worden geen nieuwe detecties, beveiligingsproblemen of beveiligingsgegevens verzonden naar de Microsoft Defender-portal.
• Apparaatstatuswijzigingen: zeven dagen na offboarding verandert de status van het apparaat in 'inactief'.
• Gegevensretentie: Eerdere gegevens (waarschuwingen, beveiligingsproblemen, tijdlijn van het apparaat) blijven in de Defender-portal totdat de geconfigureerde bewaarperiode is verstreken.
• Zichtbaarheid van apparaten: het apparaatprofiel (zonder gegevens) blijft maximaal 180 dagen zichtbaar in de apparaatinventaris.
• Blootstellingsscore: apparaten die meer dan 30 dagen inactief zijn, houden geen rekening met de blootstellingsscore van uw organisatie.

Zie de volgende onderwerpen in de Microsoft Defender voor Eindpunt-documentatie voor meer informatie:

• Offboard-apparaten met mobile Apparaatbeheer-hulpprogramma's
• Offboard-apparaten

Verwante onderwerpen

Na het onboarden van apparaten met EDR-beleid, kunt u overwegen om aanvullende besturingselementen voor eindpuntbeveiliging te implementeren:

• Regels voor het verminderen van kwetsbaarheid voor aanvallen
• Anti-malwarebeleid
• Firewallbeleid
• Nalevingsbeleid voor apparaten