ยุทธการเปลี่ยนไลเซนส์ Defender for Business กลับเป็น Defender for Endpoint P2

3 min readMay 19, 2023

😌เรื่องวุ่นๆ วัยรุ่นไลเซนส์ MDE😌

“เผลอ” กดซื้อ / ทดลองใช้ Defender for Endpoint P1 กับ P2 พร้อมกัน ยังกดสลับไลเซนส์เองได้

แต่ถ้ากด Defender for Business ซ้ำไปด้วย สลับกลับไป P2 เอง “ไม่ได้น้าค้า”

ต้องร้องขอความช่วยเหลือจากซัพพอร์ตไมโครซอฟท์สุดที่รักค่ะ ><

มาเหลาประสบการณ์เสียว ตั้งแต่ตะหงิดๆ ว่าตัวเองโดนให้ใช้ MDB แทนที่จะเป็น MDE P2 กับเรื่องงงๆ ของไลเซนส์ทั้งปลีก และผูกกับ M365 ที่น่ากลัวกัน

น่ากลัวตรงไหน? ก็ตรงเวลาคนไปกดทดลองใช้ หรือซื้อไลเซนส์ M365 “Premium” ที่อาจจะลืมว่ามันแถม MDB มาด้วยไงคะ 555555

🫣 Defender for Business คืออะไร?

ด้วยเป้าหมายของ MS ที่อยากให้ SME ได้ใช้ EDR อย่างทั่วถึง (เดา😌) ไม่ใช่พึ่งแต่ AV บนแต่ละเครื่องที่คุมจากศูนย์กลางได้ยาก

จึงทำ MDB ให้ราคาย่อมเยา (คุ้นๆ มันก็ 6 ดอลล์ต่อคนต่อเดือนเท่า MDE P1 หรือเปล่า) และเข้าถึงได้ง่าย

เช่น จากเดิมจะได้ใช้ MDE P1 ก็ต้องซื้อไลเซนส์มัดรวม M365 E3 (หรือ P2 พ่วงมาจาก E5) ซึ่งการโพซิชั่นระดับเอนเตอร์ไพรซ์ที่ปกติต้องมีดิสตรี้ / พาร์ทเนอร์คอยประกบ

***ทำให้เรากดซื้อ MDE P1/P2 ผ่านหน้าเว็บแอดมิน admin.microsoft.com “แบบปลีก” ไม่มัดพ่วงกับ M365 เองไม่ได้

แต่พอมี MDB นอกจากพ่วงกับ M365 Premium ที่ไม่ต้องไต่ถึงระดับ Enterprise (E3/E5) แล้ว ยังเปิดให้เรากดซื้อแบบแยกอิสระเองผ่านหน้าเว็บได้ ไม่ต้องง้อพาร์ทเนอร์แล้วววว

🥹 แต่ MDB มีฟีเจอร์เหมือนดึงจาก MDE P2 มาเกือบหมด ยิ่งใหญ่กว่า P1 ที่มี TVM ฟีลเหมือนได้ P2 กลายๆ

🥹🥹🥹 ยกเว้น Threat Hunting ค่ะ! ดูจากรูปข้างล่างจะรู้เลยว่าถ้าอี Defender “Endpoint” นางยึดไลเซนส์ MDB เป็นหลัก จะไม่ขึ้นชุดตาราง schema Device พวก DeviceInfo (ที่โคตรพ่อโคตรแม่จำเป็น) มาให้เราคุสโต้คิวรี่สนุกสนานได้ (นั่นหมายความว่าใช้ฟีเจอร์ที่ต่อยอดมาจาก KQL Threat Hunting อย่าง Custom Detection ฟีล Sentinel Rule กลายๆ ก็ไม่ได้ด้วย ><)

ปัญหาก็คือ ถ้าทะลึ่งเจอว่ามีไลเซนส์ MDB พร้อมกับ MDE P2 คิดว่ามันจะยึดเอาอันไหนเป็นหลักคะ

ใช่ค่ะ นางเห่อของใหม่ นางเอา MDB เป็นที่ตั้ง ไม่ให้เราใช้ Threat Hunting: Device schema แม้จะเห็นไลเซนส์ MDE P2 โชว์หราก็ตาม!!!!!

😎 และชั้นรู้ว่าใครโดนแบบนี้ก็จะลองไปหน้า admin.microsoft.com > active users ไปกดสลับไลเซนส์ของยูสโกลบอลแอดมินตั่งต่าง หาทางปิด MDB ให้เหลือแต่ MDE P2 กันชิมิ

😌😌😌 บอกเลย ไม่ได้ผลค่าาา!!!

ไลเซนส์ MDB / MDE หรือตระกูล 365 Defender / AAD / Intune พวกนึ้เป็นแบบ tenant wide หรือ honor system ที่ถึงลักไก่ซื้อแค่ไลเดียวแอสซายยูสเดียว ก็บังคับเปิดใช้ทั้งเทนแนนท์ค่ะ ที่เธอชอบลักไก่ไม่ซื้อตามจำนวนยูสที่เค้ากำหนดไว้น่ะ (ระวังนะเคอะ เผลอเปิดเคสไป แล้วเอนจิเนียร์นางถือโอกาสออดิทเจออาจจะโดนย้อนหลังฟีลสรรพากรได้😌)

แล้วในเมื่อกดสลับเองไม่ได้ ก็ต้องเปิดเคสค่ะ ความรู้สึกบวมๆ ก็จะมาหน่อยๆ กับประสบการณ์ที่ค้องคอยรับสายซัพพอร์ตภาษาอังกฤษสำเนียงตะรุกตุกตุ๋ย ที่จะโทรมาตอนกินข้าวบ้าง วันหยุดบ้างอะไรบ้าง

เลยเป็นที่มาของการรีวิวเปิดเคสแบบเลือกคุยผ่ายอีเมลเท่านั้นค่ะสาว ถนัดอ่านไม่ถนัดฟัง แม้จะรู้สึกดีเลย์นาน ดีลยุ่งยากนิดหน่อย

(แต่ชั้นว่าไม่ต่างจากโทรคุย เพราะถึงโทรสุดท้ายนางก็นี้ดให้ส่งเมลโต้ไปมายันตอบรับการปิดเคสอยู่ดีย์)

แถมพิสูจน์ได้ด้วยว่าสามารถใส่อีเมลส่วนตัว โดเมนอื่นนอกจากของ M365 ที่มีปัญหาอยู่ได้ด้วย

ถ้าเกิดปัญหาแบบเดียวกันแล้ว รออัลไล คลิกไอคอนหูฟังลอยๆ มุมล่างขวาหน้าแอดมิน แกล้งเสิร์ช FAQ ไม่เจอ แล้วคลิกยืนยันขอกรอกฟอร์มเปิดเคสกันเลย วิธีตามภาพพวกนี้ค่ะ ประสบกามตรง 😌

มาไล่ดูกันค่ะว่าตั้งแต่เปิดเคสไปวันที่ 27 เมษา จนมีเมลว่าเอนจิเนียร์เค้าสลับไลเซนส์ให้เรียบร้อยแล้วเมื่อวันพุธที่ผ่านมา ใช้เวลาและกระบวนการอย่างไรบ้าง นานขนาดไหน รอจน Trial หมดก่อนแล้วหรือเปล่า 55+