เอาเครื่องเข้าพวก! เจาะลึกวิธี Onboarding บน Microsoft Defender for Endpoint แบบ Step-by-Step

บทความนี้จะพาไปดูเบื้องหลังการ "รับน้อง" เครื่องคอมพิวเตอร์เข้าสู่ระบบความปลอดภัยระดับโลกอย่าง Microsoft Defender for Endpoint (MDE) หรือที่เราเรียกว่าการ Onboarding ครับ

การมี License Defender อยู่ในมือแต่ไม่เอาเครื่องเข้า Onboard ก็เหมือนซื้อกุญแจดิจิทัลมาแต่ไม่ยอมล็อกบ้านครับ! วันนี้ผมจะสรุปให้ฟังว่าเรามีกี่วิธีในการพาเครื่อง Windows (และผองเพื่อน) เข้ามาอยู่ภายใต้การดูแลของ MDE พร้อมตัวอย่างการใช้ Script แบบแมนนวลสำหรับสายลุยครับ
1. Onboarding มีกี่ท่า? เลือกใช้ให้ถูกงาน
Microsoft ออกแบบมาให้เราเลือกใช้ตามขนาดและความซับซ้อนขององค์กรครับ:
 * Local Script: เหมาะสำหรับเครื่องทดสอบ (Lab) หรือมีเครื่องแค่ 1-10 เครื่อง (เดี๋ยวเราจะดูตัวอย่างกัน)
 * Group Policy (GPO): ท่ายอดฮิตสำหรับองค์กรที่มี Active Directory (On-prem) เน้นสั่งการจากส่วนกลางทีเดียวหลักร้อยหลักพันเครื่อง
 * Microsoft Intune: ท่าที่ทันสมัยที่สุด (Modern Management) แค่กดคลิกไม่กี่ทีใน Cloud เครื่องที่ Join Entra ID ไว้ก็จะโดนจับ Onboard อัตโนมัติ
 * Microsoft Endpoint Configuration Manager (MECM/SCCM): สำหรับองค์กรขนาดใหญ่ที่มีการจัดการเครื่องแบบ Deep Configuration
 * VDI Onboarding: สำหรับพวกเครื่องเสมือน (Virtual Desktop) ที่มีการสร้างและทำลายบ่อยๆ
2. ตัวอย่างการ Onboard ด้วย Local Script (ฉบับมือโปร)
วิธีนี้ง่ายที่สุดสำหรับ Admin ที่ต้องการเทสระบบกับเครื่องตัวเองก่อน หรือเครื่องที่ไม่ได้ต่อ Domain ครับ
ขั้นตอนการทำ:
 * ไปที่ Microsoft Defender Portal (https://www.google.com/search?q=security.microsoft.com)
 * เลือก Settings > Endpoints > Onboarding
 * เลือกระบบปฏิบัติการ (เช่น Windows 10 or 11) และเลือก Deployment method เป็น Local Script
 * กด Download onboarding package คุณจะได้ไฟล์ .zip มา
วิธีรัน Script:
 * แตกไฟล์ .zip ออกมา คุณจะเจอไฟล์นามสกุล .cmd (เช่น WindowsDefenderATPOnboardingScript.cmd)
 * สำคัญมาก: ต้องคลิกขวาแล้วเลือก "Run as Administrator" เท่านั้น!
 * หน้าจอ Command Prompt จะเด้งขึ้นมา ให้กด Y เพื่อยืนยัน
 * รอประมาณ 1 นาที ถ้าขึ้นว่า "Successfully onboarded machine to Microsoft Defender for Endpoint" ก็เป็นอันฉลองได้ครับ!

Pro Tip: หลังจากรันเสร็จ เครื่องจะยังไม่โผล่ในหน้า Portal ทันทีนะครับ ต้องรอประมาณ 5-30 นาทีเพื่อให้ Agent ทำการคุยกับ Cloud ครั้งแรกก่อน

3. วิธีเช็คว่า Onboard สำเร็จหรือยัง? (แบบไม่ต้องรอ Portal)
ไม่อยากนั่งจ้องหน้าเว็บใช่ไหม? เปิด PowerShell ในเครื่องนั้นแล้วรันคำสั่งนี้ครับ:
Get-MpComputerStatus | select AMRunningMode
 * ถ้าขึ้นว่า Normal แสดงว่า Defender ทำงานเต็มตัวแล้ว (Active mode)
 * ถ้าขึ้นว่า Passive Mode แสดงว่าในเครื่องมี Antivirus ยี่ห้ออื่นอยู่ (MDE เลยยอมถอยให้ครึ่งก้าว)
สรุปเนื้อหา:
การ Onboarding คือจุดเริ่มต้นของการทำ XDR ครับ ไม่ว่าคุณจะใช้ท่าไหน ผลลัพธ์ที่ได้คือความอุ่นใจว่าเครื่องนั้นๆ จะมี "ตาทิพย์" คอยสอดส่องพฤติกรรมอันตรายส่งกลับมาให้ Admin ดูได้ตลอดเวลานั่นเอง
#MicrosoftDefender #MDE #Onboarding #CyberSecurity #ITAdmin #Windows11 #SystemEngineer

Comments

Post a Comment

Popular posts from this blog

Microsoft Sentinel: SIEM บน Azure ที่ IT Admin ไทยควรรู้จักในปี 2026

ในยุคที่ภัยคุกคามทางไซเบอร์ทวีความซับซ้อนขึ้นทุกวัน องค์กรในประเทศไทยต่างเผชิญกับความท้าทายในการตรวจจับและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างทันท่วงที ไม่ว่าจะเป็น Ransomware, Phishing, หรือการโจมตีแบบ Advanced Persistent Threat (APT) ที่มุ่งเป้าไปที่ระบบขององค์กรขนาดกลางถึงขนาดใหญ่ การมี Security Information and Event Management (SIEM) ที่ดีจึงไม่ใช่ทางเลือก แต่กลายเป็นความจำเป็นเร่งด่วน Microsoft Sentinel คือ Cloud-native SIEM และ SOAR (Security Orchestration, Automation and Response) ที่ทำงานบน Microsoft Azure ถูกออกแบบมาเพื่อรองรับการทำงานในยุค Hybrid และ Multi-cloud โดยเฉพาะ ต่างจาก SIEM แบบดั้งเดิมที่ต้องติดตั้ง Hardware เองและมีค่าใช้จ่ายด้าน Infrastructure สูง Sentinel ให้คุณจ่ายเฉพาะข้อมูลที่ใช้จริง และสามารถ Scale ได้ทันทีตามความต้องการขององค์กร บทความนี้จะพาคุณทำความรู้จักกับ Microsoft Sentinel อย่างละเอียด ตั้งแต่สถาปัตยกรรม การเชื่อมต่อข้อมูล ไปจนถึงเคล็ดลับจากประสบการณ์การใช้งานจริง เหมาะสำหรับ IT Admin และ Security Professional ที่กำลังพิจารณานำ Sentinel มาใช้ใน...
Read more

ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026)

  ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026) ในฐานะ IT Admin หรือ System Engineer การมี Tools ดีๆ อย่าง Microsoft Defender for Endpoint (MDE) อยู่ในมือก็เหมือนมีเกราะป้องกันชั้นยอด แต่จะใช้งานอย่างไรให้ "คุ้มค่า" และ "อุดช่องโหว่" ได้จริง? วันนี้ผมสรุปเทคนิคเด็ดๆ ที่จะช่วยให้การจัดการความปลอดภัยง่ายขึ้นและแม่นยำกว่าเดิมมาฝากครับ 1. เลิกเดาด้วย "Effective Settings" Tab (New!) ฟีเจอร์ใหม่ที่เพิ่ง GA (General Availability) เมื่อต้นปี 2026 นี้เลยครับ ปัญหาโลกแตกของ Admin คือ "เซ็ต Policy ไปแล้ว แต่มัน Apply จริงไหม?" Trick: ให้ไปที่หน้า Device Inventory > เลือกเครื่องที่ต้องการ > คลิกแถบ Configuration Management > Effective Settings * หน้าจอนี้จะบอกเลยว่า Setting ตัวไหน "ใช้งานจริง" อยู่ และมาจาก Source ไหน (Intune, GPO หรือ Local) ช่วยให้แก้ปัญหา Policy ตีกันได้ในพริบตา! 2. ยกระดับการป้องกันด้วย "EDR in Block Mode" หลายคนอาจยังใช้ Antivirus ยี่ห้ออื่นควบคู...
Read more

Azure Active Directory / Entra ID — แนวทางการจัดการ Identity อย่างมืออาชีพสำหรับองค์กรไทย

ในยุคที่องค์กรต่าง ๆ ในไทยกำลังเดินหน้าสู่การใช้งาน Cloud อย่างเต็มรูปแบบ หนึ่งในเสาหลักที่ขาดไม่ได้คือระบบจัดการ Identity และ Access Management (IAM) ซึ่ง Microsoft ได้พัฒนา Azure Active Directory หรือที่ปัจจุบันรู้จักในชื่อ Microsoft Entra ID ให้เป็นศูนย์กลางการยืนยันตัวตนสำหรับทุก Service ใน Ecosystem ของ Microsoft และ Third-party อีกหลายร้อยแอปพลิเคชัน การบริหารจัดการ Identity ที่ดีไม่ได้หมายถึงแค่การสร้าง User Account เท่านั้น แต่ยังครอบคลุมถึงการกำหนด Conditional Access , การป้องกันการโจมตีในรูปแบบต่าง ๆ เช่น Phishing และ Password Spray รวมถึงการดูแล Lifecycle ของผู้ใช้งานตั้งแต่วันแรกที่เข้าทำงานจนถึงวันที่ลาออก หากองค์กรละเลยจุดนี้ ความเสี่ยงด้าน Security จะสะสมอย่างเงียบ ๆ จนกลายเป็นปัญหาใหญ่ในภายหลัง บทความนี้รวบรวมแนวทางปฏิบัติที่ดีที่สุดสำหรับ IT Admin และ IT Pro ในองค์กรไทย เพื่อให้สามารถนำ Microsoft Entra ID ไปใช้งานได้อย่างมั่นคง ปลอดภัย และมีประสิทธิภาพสูงสุด 1. ทำความเข้าใจ Entra ID — มากกว่าแค่ Active Directory บน Cloud หลายคนยังเข้าใจผิดว่า Entra ID คือ A...
Read more