Laitteiden siirtäminen käyttämään virtaviivaistettua yhteysmenetelmää
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Tässä artikkelissa kuvataan, miten aiemmin Defender for Endpointiin liitetyt laitteet siirretään (uudelleen käyttöön) virtaviivaistetun laiteyhteysmenetelmän käyttämistä varten. Lisätietoja virtaviivaistetun yhteyden lisäämisestä on kohdassa Laitteiden käyttöönotto virtaviivaistetun yhteyden avulla. Laitteiden on täytettävä kohdassa Virtaviivaistettu yhteys luetellut edellytykset.
Useimmissa tapauksissa koko laitteen käytöstä poistoa ei tarvita uudelleen käyttöönotettaessa. Voit suorittaa päivitetyn perehdytyspaketin ja käynnistää laitteen uudelleen vaihtaaksesi yhteyden. Katso lisätietoja yksittäisistä käyttöjärjestelmistä seuraavista tiedoista.
Tärkeää
Rajoitukset ja tunnetut ongelmat:
- Järjestelmä havaitsi taustaongelman lisämetsästyksen sarakkeen
ConnectivityType
täyttämisessäDeviceInfo table
, jotta siirron etenemistä voidaan seurata. Pyrimme ratkaisemaan tämän ongelman mahdollisimman pian. - Laitteiden siirroissa (uudelleen perehdytys): Käytöstä poistamisen ei tarvitse siirtyä virtaviivaistettuun yhteysmenetelmään. Kun päivitetty perehdytyspaketti on asennettu, Windows-laitteet on käynnistettävä koko laitteen uudelleen ja macOS- ja Linux-palvelut on käynnistettävä uudelleen. Lisätietoja on tämän artikkelin tiedoissa.
- Windows 10 versiot 1607, 1703, 1709 ja 1803 eivät tue uudelleen perehdytystä. Offboard ensin ja sitten perehdytys käyttämällä päivitettyä pakettia. Nämä versiot edellyttävät myös pidempää URL-luetteloa.
- MMA-agenttia käyttäviä laitteita ei tueta, ja niitä on käytettävä edelleen mma-perehdytysmenetelmällä.
Laitteiden siirtäminen virtaviivaistetun menetelmän avulla
Siirtosuositus
Aloita pienestä. Suosittelemme aloittamaan ensin pienellä laitejoukolla. Ota käyttöön perehdyttämisen blob-objekti minkä tahansa tuetun käyttöönottotyökalun avulla ja seuraa sitten liitettävyyttä. Jos käytät uutta perehdyttämiskäytäntöä ristiriitojen välttämiseksi, varmista, että poistat laitteen muista olemassa olevista perehdytyskäytännöistä.
Vahvista ja valvo. Kun olet asentanut pienen laitejoukon, varmista, että laitteet on otettu onnistuneesti käyttöön ja että ne kommunikoivat palvelun kanssa.
Siirto on valmis. Tässä vaiheessa voit ottaa siirron vähitellen käyttöön suuremmassa laitejoukossa. Siirron viimeistelemiseksi voit korvata aiemmat käyttöönottokäytännöt ja poistaa vanhat URL-osoitteet verkkolaitteestasi.
Vahvista laitteen edellytykset ennen siirtojen jatkamista. Nämä tiedot perustuvat edelliseen artikkeliin keskittymällä olemassa olevien laitteiden siirtämiseen.
Jos haluat ottaa laitteet uudelleen käyttöön, sinun on käytettävä virtaviivaistettua perehdytyspakettia. Lisätietoja paketin käyttämisestä on kohdassa Virtaviivaistettu yhteys.
Käyttöjärjestelmästä riippuen siirrot saattavat edellyttää laitteen uudelleenkäynnistystä tai palvelun uudelleenkäynnistystä, kun perehdytyspaketti otetaan käyttöön:
Windows: käynnistä laite uudelleen
macOS: Käynnistä laite uudelleen tai käynnistä Defender for Endpoint -palvelu uudelleen suorittamalla:
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux: Käynnistä Defender for Endpoint -palvelu uudelleen suorittamalla:
sudo systemctl restart mdatp
Seuraavassa taulukossa on luettelo käytettävissä olevien perehdytystyökalujen siirto-ohjeista laitteen käyttöjärjestelmän perusteella.
Windows 10 ja 11
Tärkeää
Windows 10 versiot 1607, 1703, 1709 ja 1803 eivät tue uudelleenlaukosta. Olemassa olevien laitteiden siirtäminen edellyttää, että otat ne täysin käyttöön ja otat ne käyttöön virtaviivaistetun perehdytyspaketin avulla.
Lisätietoja Windows-asiakaslaitteiden käyttöönotosta on kohdassa Windows-asiakasohjelman käyttöönotto.
Varmista, että edellytykset täyttyvät: Edellytykset virtaviivaistetun menetelmän käyttämiselle.
Paikallinen komentosarja
Noudata Local-komentosarjan ohjeita (enintään 10 laitetta) käyttämällä virtaviivaistettua perehdytyspakettia. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.
Ryhmäkäytäntö
Noudata ryhmäkäytännön ohjeita käyttämällä virtaviivaistettua perehdytyspakettia. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.
Microsoft Intune
Noudata Intune ohjeita käyttämällä virtaviivaistettua perehdytyspakettia. Voit käyttää Automaattinen liittimestä -vaihtoehtoa. Tämä vaihtoehto ei kuitenkaan käytä perehdytyspakettia automaattisesti uudelleen. Create uuden perehdytyskäytännön ja kohdista ensin testiryhmälle. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.
Microsoft Configuration Manager
Noudata ohjeita kohdassa Configuration Manager.
VDI
Käytä ohjeita onboard-näennäistyöpöydän infrastruktuurin (VDI) laitteissa. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.
Tarkistetaan laitteiden liitettävyyttä virtaviivaistetun menetelmän avulla siirrettyjä laitteita varten
Seuraavien menetelmien avulla voit tarkistaa, että olet yhdistänyt Windows-laitteet onnistuneesti:
- Asiakasanalysaattori
- Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
- Seuraa paikallisesti Tapahtumienvalvonta avulla (Windowsille)
- Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä
- Tarkistetaan rekisterieditoria
- PowerShellin tunnistustesti
MacOS:ssä ja Linuxissa voit käyttää seuraavia menetelmiä:
- MDATP-yhteystestit
- Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
- Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä
Käytä Defender for Endpoint Client Analyzeria (Windows) yhteyksien vahvistamiseen siirrettyjen päätepisteiden käyttöönoton jälkeen
Kun olet perehdytty, suorita MDE Client Analyzer vahvistaaksesi, että laite muodostaa yhteyden asianmukaisiin päivitettyihin URL-osoitteisiin.
Lataa Microsoft Defender for Endpoint Client Analyzer -työkalu, jossa Defender for Endpoint -tunnistin on käynnissä.
Voit noudattaa samoja ohjeita kuin kohdassa Tarkista asiakasyhteys Microsoft Defender for Endpoint palveluun. Komentosarja käyttää automaattisesti laitteeseen määritettyä perehdytyspakettia (virtaviivaista versiota) yhteyksien testaamiseen.
Varmista, että yhteys muodostetaan asianmukaisilla URL-osoitteilla.
Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
Voit tarkastella yhteystyypin tilaa Microsoft Defender portaalin kehittyneen metsästyksen avulla.
Nämä tiedot löytyvät DeviceInfo-taulukosta ConnectivityType-sarakkeen alta:
- Sarakkeen nimi: ConnectivityType
- Mahdolliset arvot:
<blank>
, Virtaviivaistettu, Vakio - Tietotyyppi: Merkkijono
- Kuvaus: Yhteystyyppi laitteesta pilvipalveluun
Kun laite on siirretty käyttämään virtaviivaistettua menetelmää ja laite muodostaa onnistuneen tietoliikenteen EDR-komennon & hallintakanavan kanssa, arvo esitetään muodossa Virtaviivaistettu.
Jos siirrät laitteen takaisin tavalliseen menetelmään, arvo on "vakio".
Jos laitteessa ei ole vielä yritetty uudelleenlaukosta, arvo pysyy tyhjänä.
Seuranta paikallisesti laitteessa Windows Tapahtumienvalvonta:n kautta
Voit käyttää Windows Tapahtumienvalvonta SENSE-toimintalokia yhteyksien paikalliseen vahvistamiseen uudella virtaviivaistoidulla lähestymistavalla. SENSE Tapahtumatunnus 4 seuraa onnistuneita EDR-yhteyksiä.
Avaa Defender for Endpoint -palvelun tapahtumaloki seuraavien vaiheiden avulla:
Valitse Windows-valikosta Käynnistä ja kirjoita Tapahtumienvalvonta. Valitse sitten Tapahtumienvalvonta.
Vieritä lokiluettelon Lokiyhteenveto-kohdassa alaspäin, kunnes näkyviin tulee Microsoft-Windows-SENSE/Operational. Avaa loki kaksoisnapsauttamalla kohdetta.
Voit myös käyttää lokia laajentamallaSovellukset ja palvelut -lokit>Microsoft>Windows>SENSE ja valitsemalla Toiminta.
Tapahtumatunnus 4 seuraa onnistuneita yhteyksiä Defender for Endpoint Command & Control -kanavaan. Tarkista onnistuneet yhteydet päivitetyllä URL-osoitteella. Esimerkki:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>
Viesti 1 sisältää url-osoitteen, jossa on yhteys. Vahvista, että tapahtuma sisältää virtaviivaistetun URL-osoitteen (endpoint.security.microsoft, com).
Tapahtumatunnus 5 seuraa virheitä, jos käytettävissä.
Huomautus
SENSE on sisäinen nimi, jota käytetään viittaamaan Microsoft Defender for Endpoint käyttävään käyttäytymistunnistimeen.
Palvelun tallentamat tapahtumat näkyvät lokissa.
Lisätietoja on artikkelissa Tapahtumien ja virheiden tarkasteleminen Tapahtumienvalvonta avulla.
Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä
Kun laite on otettu käyttöön Defender for Endpointissa, varmista, että se näkyy edelleen laiteluettelossa. DeviceID-tunnuksen pitäisi pysyä samana.
Tarkista Laitteen sivun aikajana -välilehdeltä, että laitteesta virtaa tapahtumia.
Reaaliaikainen vastaus
Varmista, että reaaliaikainen vastaus toimii testilaitteessasi. Noudata ohjeita kohdassa Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla.
Varmista, että suoritat yhteyden muodostamisen jälkeen muutaman peruskomennon (kuten cd, jobs tai connect).
Automatisoitu tutkimus ja reagointi
Varmista, että automatisoitu tutkinta ja reagointi toimivat testilaitteessasi: Määritä automatisoidut tutkimus- ja vastausominaisuudet.
Jos kyseessä on auto-IR-testauslaboratorio, siirry Microsoft Defender XDR>Arviointien & Opetusohjelmat>& Simuloinnit> **Opetusohjelmat >Automatisoitu tutkimus opetusohjelmat.
Pilvipalveluun toimitettu suojaus
Avaa komentokehote järjestelmänvalvojana.
Napsauta kohdetta hiiren kakkospainikkeella Käynnistä-valikossa, valitse Suorita järjestelmänvalvojanaja valitse sitten kyllä käyttöoikeuskehotteesta.
Käytä seuraavaa argumenttia Microsoft Defender Antivirus -komentoriviapuohjelman (mpcmdrun.exe) kanssa varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntapilvipalveluun:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Huomautus
Tämä komento toimii vain Windows 10 versiossa 1703 tai Windows 11. Lisätietoja on artikkelissa Microsoft Defender virustentorjunta mpcmdrun.exe komentorivityökalun avulla.
Testilohko ensi silmäyksellä
Noudata Microsoft Defender for Endpoint Block at First Sight (BAFS) -esittelyn ohjeita.
Testaa SmartScreen
Noudata Microsoft Defender SmartScreen -esittelyn (msft.net) ohjeita.
PowerShellin tunnistustesti
Luo Kansio Windows-laitteessa:
C:\test-MDATP-test
.Avaa komentokehote järjestelmänvalvojana.
Suorita Komentokehote-ikkunassa seuraava PowerShell-komento:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Komennon suoritusten jälkeen Komentokehote-ikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi.
MacOS:ssä ja Linuxissa voit käyttää seuraavia menetelmiä:
- MDATP-yhteystestit
- Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
- Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä
MDATP-yhteystesti (macOS ja Linux)
Vahvista mdatp health -details features
suorittamalla simplified_connectivity: käytössä.
Vahvista, että edr_partner_geo_location
se on käytettävissä suorittamallamdatp health -details edr
. Arvon tulee olla GW_<geo>
paikka, jossa 'geo' on vuokraajasi maantieteellinen sijainti.
Suorita mdatp-yhteystesti. Varmista, että virtaviivaistettu URL-malli on olemassa. "\storage"-parametrin pitäisi olla kaksi, toisen parametrille \mdav, toisen \xplatille ja toisen /packages-paketille.
Esimerkiksi: https:mdav.us.endpoint.security.microsoft/com/storage
Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
Noudata samoja ohjeita kuin Windowsille.
Käytä Defender for Endpoint Client Analyzeria (alustan välinen) uusien siirrettyjen päätepisteiden yhteyden vahvistamiseen
Lataa ja suorita asiakasanalysaattori macOS: lle tai Linuxille. Lisätietoja on kohdassa Asiakasanalysaattorin lataaminen ja suorittaminen.
Suorita
mdeclientanalyzer.cmd -o <path to cmd file>
MDEClientAnalyzer-kansiosta. Komento käyttää perehdytyspaketin parametreja yhteyksien testaamiseen.Suorita
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
(jossa parametrin arvo on GW_US, GW_EU GW_UK). GW tarkoittaa virtaviivaistettua vaihtoehtoa. Suorita soveltuvalla vuokraajan maantieteellisellä sijaintipalvelulla.