Overfør enheder for at bruge den strømlinede forbindelsesmetode
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
I denne artikel beskrives det, hvordan du overfører (om bord) enheder, der tidligere er onboardet til Defender for Endpoint, for at bruge den strømlinede metode til enhedsforbindelse. Du kan få flere oplysninger om strømlinet forbindelse under Onboarding-enheder ved hjælp af strømlinet forbindelse. Enheder skal opfylde de forudsætninger, der er angivet i Strømlinet forbindelse.
I de fleste tilfælde kræves der ikke fuld enheds offboarding, når der om bord igen. Du kan køre den opdaterede onboardingpakke og genstarte enheden for at skifte forbindelse. Se følgende oplysninger for at få oplysninger om individuelle operativsystemer.
Vigtigt!
Begrænsninger og kendte problemer:
- Vi fandt et back end-problem med at udfylde kolonnen
ConnectivityType
iDeviceInfo table
avanceret jagt, så du kan spore status for migrering. Vi tilstræber at løse dette problem så hurtigt som muligt. - Ved enhedsoverførsel (reonboarding): Offboarding er ikke påkrævet for at skifte til strømlinet forbindelsesmetode. Når den opdaterede onboarding-pakke er kørt, kræves der en komplet genstart af enheden til Windows-enheder og en genstart af tjenesten til macOS og Linux. Du kan finde flere oplysninger i de oplysninger, der er inkluderet i denne artikel.
- Windows 10 version 1607, 1703, 1709 og 1803 understøtter ikke om bord. Offboard først og derefter onboarde ved hjælp af den opdaterede pakke. Disse versioner kræver også en længere URL-liste.
- Enheder, der kører MMA-agenten, understøttes ikke og skal fortsætte med at bruge MMA-onboardingmetoden.
Overførsel af enheder ved hjælp af den strømlinede metode
Anbefaling af migrering
Start i det små. Det anbefales, at du starter med et lille sæt enheder først. Anvend onboarding-blob ved hjælp af et af de understøttede udrulningsværktøjer, og overvåg derefter forbindelsen. Hvis du bruger en ny onboardingpolitik, skal du sørge for at udelukke enheder fra andre eksisterende onboardingpolitikker for at forhindre konflikter.
Valider og overvåg. Når du har onboardet det lille sæt enheder, skal du validere, at enhederne er onboardet korrekt og kommunikerer med tjenesten.
Fuldfør migreringen. På dette tidspunkt kan du gradvist udrulle migreringen til et større sæt enheder. For at fuldføre overførslen kan du erstatte tidligere onboardingpolitikker og fjerne de gamle URL-adresser fra din netværksenhed.
Valider enhedsforudsætninger, før du fortsætter med nogen migreringer. Disse oplysninger bygger på den forrige artikel ved at fokusere på overførsel af eksisterende enheder.
Hvis du vil om bord på enheder igen, skal du bruge den strømlinede onboardingpakke. Du kan få flere oplysninger om, hvordan du får adgang til pakken, under Strømlinet forbindelse.
Afhængigt af operativsystemet kan migreringer kræve genstart af enheden eller tjenesten, når onboardingpakken er anvendt:
Windows: Genstart enheden
macOS: Genstart enheden, eller genstart Defender for Endpoint-tjenesten ved at køre:
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux: Genstart Defender for Endpoint-tjenesten ved at køre:
sudo systemctl restart mdatp
I følgende tabel vises overførselsvejledningen for de tilgængelige onboardingværktøjer, der er baseret på enhedens operativsystem.
Windows 10 og 11
Vigtigt!
Windows 10 version 1607, 1703, 1709 og 1803 understøtter ikke om bord. Hvis du vil overføre eksisterende enheder, skal du være helt ombord ved hjælp af den strømlinede onboardingpakke.
Du kan få generelle oplysninger om onboarding af Windows-klientenheder under Onboarding af Windows-klient.
Bekræft, at forudsætninger er opfyldt: Forudsætninger for brug af en strømlinet metode.
Lokalt script
Følg vejledningen i Lokalt script (op til 10 enheder) ved hjælp af den strømlinede onboardingpakke. Når du har fuldført trinnene, skal du genstarte enheden, for at enhedsforbindelsen kan skifte over.
Gruppepolitik
Følg vejledningen i Gruppepolitik ved hjælp af den strømlinede onboardingpakke. Når du har fuldført trinnene, skal du genstarte enheden, for at enhedsforbindelsen kan skifte over.
Microsoft Intune
Følg vejledningen i Intune ved hjælp af den strømlinede onboardingpakke. Du kan bruge indstillingen "Automatisk fra connector". Denne indstilling anvender dog ikke onboardingpakken automatisk igen. Create en ny onboardingpolitik og målrette en testgruppe først. Når du har fuldført trinnene, skal du genstarte enheden, for at enhedsforbindelsen kan skifte over.
Microsoft Configuration Manager
Følg vejledningen i Configuration Manager.
VDI
Brug vejledningen i Onboard-VDI-enheder (Ikke-vedvarende virtuel skrivebordsinfrastruktur). Når du har fuldført trinnene, skal du genstarte enheden, for at enhedsforbindelsen kan skifte over.
Kontrollerer enhedsforbindelse med strømlinet metode for migrerede enheder
Du kan bruge følgende metoder til at kontrollere, at du har oprettet forbindelse til Windows-enheder:
- Klientanalyse
- Sporing med avanceret jagt i Microsoft Defender XDR
- Spor lokalt ved hjælp af Logbog (til Windows)
- Kør test for at bekræfte forbindelsen til Defender for Endpoint-tjenester
- Kontrollerer registreringseditoren
- PowerShell-registreringstest
Til macOS og Linux kan du bruge følgende metoder:
- MDATP-forbindelsestest
- Sporing med avanceret jagt i Microsoft Defender XDR
- Kør test for at bekræfte forbindelsen til Defender for Endpoint-tjenester
Brug Defender for Endpoint Client Analyzer (Windows) til at validere forbindelsen efter onboarding for migrerede slutpunkter
Når du er onboardet, skal du køre MDE-klientanalysen for at bekræfte, at enheden opretter forbindelse til de relevante opdaterede URL-adresser.
Download værktøjet Microsoft Defender for Endpoint Klientanalyse, hvor Defender for Endpoint-sensoren kører.
Du kan følge de samme instruktioner som i Bekræft klientforbindelsen for at Microsoft Defender for Endpoint tjeneste. Scriptet bruger automatisk den onboardingpakke, der er konfigureret på enheden (skal strømlines version) til at teste forbindelsen.
Sørg for, at der er oprettet forbindelse til de relevante URL-adresser.
Sporing med avanceret jagt i Microsoft Defender XDR
Du kan bruge avanceret jagt i Microsoft Defender portal til at få vist status for forbindelsestypen.
Disse oplysninger findes i tabellen DeviceInfo under kolonnen "ConnectivityType":
- Kolonnenavn: ConnectivityType
- Mulige værdier:
<blank>
, Strømlinet, Standard - Datatype: Streng
- Beskrivelse: Typen af forbindelse fra enheden til skyen
Når en enhed migreres for at bruge den strømlinede metode, og enheden etablerer en vellykket kommunikation med EDR-kommandoen & kontrolkanal, repræsenteres værdien som "Strømlinet".
Hvis du flytter enheden tilbage til den almindelige metode, er værdien "standard".
Værdien forbliver tom for enheder, der endnu ikke har forsøgt at om bord.
Lokal sporing på en enhed via Windows Logbog
Du kan bruge Driftslog for Sense i Windows Logbog til lokalt at validere forbindelser med den nye strømlinede tilgang. SENSE Hændelses-id 4 sporer vellykkede EDR-forbindelser.
Åbn hændelsesloggen for Defender for Endpoint-tjenesten ved hjælp af følgende trin:
Vælg Start i Windows-menuen, og skriv derefter Logbog. Vælg derefter Logbog.
Rul ned på listen over logfiler under Logoversigt, indtil du ser Microsoft-Windows-SENSE/Operational. Dobbeltklik på elementet for at åbne logfilen.
Du kan også få adgang til logfilen ved at udvideProgram- og tjenestelogfiler>Microsoft>Windows>SENSE og vælge Drift.
Hændelses-id 4 sporer vellykkede forbindelser med Defender for Endpoint Command & Control-kanalen. Kontrollér vellykkede forbindelser med opdateret URL-adresse. Det kan f.eks. være:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>
Meddelelse 1 indeholder den kontaktede URL-adresse. Bekræft, at hændelsen indeholder den strømlinede URL-adresse (endpoint.security.microsoft, com).
Hændelses-id 5 sporer fejl, hvis det er relevant.
Bemærk!
SENSE er det interne navn, der bruges til at referere til den adfærdssensor, der driver Microsoft Defender for Endpoint.
Hændelser, der er registreret af tjenesten, vises i logfilen.
Du kan få flere oplysninger under Gennemse hændelser og fejl ved hjælp af Logbog.
Kør test for at bekræfte forbindelsen til Defender for Endpoint-tjenester
Når enheden er onboardet til Defender for Endpoint, skal du validere, at den fortsat vises i Enhedslager. DeviceID skal forblive den samme.
Kontrollér fanen Tidslinje for enhedens side for at bekræfte, at hændelserne flyder fra enheden.
Live-svar
Sørg for , at Live Response fungerer på din testenhed. Følg instruktionerne i Undersøg enheder på enheder, der bruger live-svar.
Sørg for at køre et par grundlæggende kommandoer efter forbindelsen for at bekræfte forbindelsen (f.eks. cd, job, opret forbindelse).
Automatiseret undersøgelse og svar
Sørg for, at automatiseret undersøgelse og svar fungerer på din testenhed: Konfigurer automatiserede undersøgelses- og svarfunktioner.
I forbindelse med testlaboratorier med automatisk IR skal du navigere til Microsoft Defender XDR>Evalueringer & Selvstudier Selvstudier>Selvstudier & Simuleringer> **Selvstudier >Automatiserede undersøgelses selvstudier.
Skybaseret beskyttelse
Åbn en kommandoprompt som administrator.
Højreklik på elementet i menuen Start, vælg Kør som administrator , og vælg derefter Ja i tilladelsesprompten.
Brug følgende argument sammen med kommandolinjeværktøjet Microsoft Defender Antivirus (mpcmdrun.exe) til at kontrollere, at netværket kan kommunikere med cloudtjenesten Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Bemærk!
Denne kommando fungerer kun på Windows 10, version 1703 eller nyere eller Windows 11. Du kan få flere oplysninger under Administrer Microsoft Defender Antivirus med kommandolinjeværktøjet mpcmdrun.exe.
Testblok ved første øjekast
Følg vejledningen i Microsoft Defender for Endpoint BAFS-demonstration (Block at First Sight).
Test SmartScreen
Følg vejledningen i Microsoft Defender SmartScreen Demo (msft.net).
PowerShell-registreringstest
Opret en mappe på Windows-enheden:
C:\test-MDATP-test
.Åbn kommandoprompt som administrator.
Kør følgende PowerShell-kommando i vinduet Kommandoprompt:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Når kommandoen er kørt, lukkes kommandopromptvinduet automatisk. Hvis det lykkes, markeres registreringstesten som fuldført.
Til macOS og Linux kan du bruge følgende metoder:
- MDATP-forbindelsestest
- Sporing med avanceret jagt i Microsoft Defender XDR
- Kør test for at bekræfte forbindelsen til Defender for Endpoint-tjenester
MDATP-forbindelsestest (macOS og Linux)
Kør mdatp health -details features
for at bekræfte simplified_connectivity: "enabled".
Kør mdatp health -details edr
for at bekræfte edr_partner_geo_location
er tilgængelig. Værdien skal være GW_<geo>
det sted, hvor 'geo' er din lejers geo-placering.
Kør mdatp-forbindelsestest. Sørg for, at det strømlinede URL-mønster er til stede. Du bør forvente to for '\storage', én for '\mdav', en for '\xplat' og en for '/packages'.
For eksempel: https:mdav.us.endpoint.security.microsoft/com/storage
Sporing med avanceret jagt i Microsoft Defender XDR
Følg de samme instruktioner som for Windows.
Brug Defender for Endpoint Client Analyzer (på tværs af platforme) til at validere forbindelsen til nyligt migrerede slutpunkter
Download og kør klientanalysen til macOS eller Linux. Du kan få flere oplysninger under Download og kør klientanalysen.
Kør
mdeclientanalyzer.cmd -o <path to cmd file>
fra mappen MDEClientAnalyzer. Kommandoen bruger parametre fra onboardingpakken til at teste forbindelsen.Kør
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
(hvor parameteren er af GW_US, GW_EU, GW_UK). GW refererer til den strømlinede indstilling. Kør med relevant geografisk lejer.