Laitteiden siirtäminen käyttämään virtaviivaistettua yhteysmenetelmää

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Tässä artikkelissa kuvataan, miten aiemmin Defender for Endpointiin liitetyt laitteet siirretään (uudelleen käyttöön) virtaviivaistetun laiteyhteysmenetelmän käyttämistä varten. Lisätietoja virtaviivaistetun yhteyden lisäämisestä on kohdassa Laitteiden käyttöönotto virtaviivaistetun yhteyden avulla. Laitteiden on täytettävä kohdassa Virtaviivaistettu yhteys luetellut edellytykset.

Useimmissa tapauksissa koko laitteen käytöstä poistoa ei tarvita uudelleen käyttöönotettaessa. Voit suorittaa päivitetyn perehdytyspaketin ja käynnistää laitteen uudelleen vaihtaaksesi yhteyden. Katso lisätietoja yksittäisistä käyttöjärjestelmistä seuraavista tiedoista.

Tärkeää

Rajoitukset ja tunnetut ongelmat:

• Järjestelmä havaitsi taustaongelman lisämetsästyksen sarakkeen ConnectivityType täyttämisessä DeviceInfo table , jotta siirron etenemistä voidaan seurata. Pyrimme ratkaisemaan tämän ongelman mahdollisimman pian.
• Laitteiden siirroissa (uudelleen perehdytys): Käytöstä poistamisen ei tarvitse siirtyä virtaviivaistettuun yhteysmenetelmään. Kun päivitetty perehdytyspaketti on asennettu, Windows-laitteet on käynnistettävä koko laitteen uudelleen ja macOS- ja Linux-palvelut on käynnistettävä uudelleen. Lisätietoja on tämän artikkelin tiedoissa.
• Windows 10 versiot 1607, 1703, 1709 ja 1803 eivät tue uudelleen perehdytystä. Offboard ensin ja sitten perehdytys käyttämällä päivitettyä pakettia. Nämä versiot edellyttävät myös pidempää URL-luetteloa.
• MMA-agenttia käyttäviä laitteita ei tueta, ja niitä on käytettävä edelleen mma-perehdytysmenetelmällä.

Laitteiden siirtäminen virtaviivaistetun menetelmän avulla

Siirtosuositus

• Aloita pienestä. Suosittelemme aloittamaan ensin pienellä laitejoukolla. Ota käyttöön perehdyttämisen blob-objekti minkä tahansa tuetun käyttöönottotyökalun avulla ja seuraa sitten liitettävyyttä. Jos käytät uutta perehdyttämiskäytäntöä ristiriitojen välttämiseksi, varmista, että poistat laitteen muista olemassa olevista perehdytyskäytännöistä.

• Vahvista ja valvo. Kun olet asentanut pienen laitejoukon, varmista, että laitteet on otettu onnistuneesti käyttöön ja että ne kommunikoivat palvelun kanssa.

• Siirto on valmis. Tässä vaiheessa voit ottaa siirron vähitellen käyttöön suuremmassa laitejoukossa. Siirron viimeistelemiseksi voit korvata aiemmat käyttöönottokäytännöt ja poistaa vanhat URL-osoitteet verkkolaitteestasi.

Vahvista laitteen edellytykset ennen siirtojen jatkamista. Nämä tiedot perustuvat edelliseen artikkeliin keskittymällä olemassa olevien laitteiden siirtämiseen.

Jos haluat ottaa laitteet uudelleen käyttöön, sinun on käytettävä virtaviivaistettua perehdytyspakettia. Lisätietoja paketin käyttämisestä on kohdassa Virtaviivaistettu yhteys.

Käyttöjärjestelmästä riippuen siirrot saattavat edellyttää laitteen uudelleenkäynnistystä tai palvelun uudelleenkäynnistystä, kun perehdytyspaketti otetaan käyttöön:

• Windows: käynnistä laite uudelleen

• macOS: Käynnistä laite uudelleen tai käynnistä Defender for Endpoint -palvelu uudelleen suorittamalla:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: Käynnistä Defender for Endpoint -palvelu uudelleen suorittamalla: sudo systemctl restart mdatp

Seuraavassa taulukossa on luettelo käytettävissä olevien perehdytystyökalujen siirto-ohjeista laitteen käyttöjärjestelmän perusteella.

Windows 10 ja 11

Windows 10 ja 11

Tärkeää

Windows 10 versiot 1607, 1703, 1709 ja 1803 eivät tue uudelleenlaukosta. Olemassa olevien laitteiden siirtäminen edellyttää, että otat ne täysin käyttöön ja otat ne käyttöön virtaviivaistetun perehdytyspaketin avulla.

Lisätietoja Windows-asiakaslaitteiden käyttöönotosta on kohdassa Windows-asiakasohjelman käyttöönotto.

Varmista, että edellytykset täyttyvät: Edellytykset virtaviivaistetun menetelmän käyttämiselle.

Paikallinen komentosarja

Noudata Local-komentosarjan ohjeita (enintään 10 laitetta) käyttämällä virtaviivaistettua perehdytyspakettia. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

Ryhmäkäytäntö

Noudata ryhmäkäytännön ohjeita käyttämällä virtaviivaistettua perehdytyspakettia. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

Microsoft Intune

Noudata Intune ohjeita käyttämällä virtaviivaistettua perehdytyspakettia. Voit käyttää Automaattinen liittimestä -vaihtoehtoa. Tämä vaihtoehto ei kuitenkaan käytä perehdytyspakettia automaattisesti uudelleen. Create uuden perehdytyskäytännön ja kohdista ensin testiryhmälle. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

Microsoft Configuration Manager

Noudata ohjeita kohdassa Configuration Manager.

VDI

Käytä ohjeita onboard-näennäistyöpöydän infrastruktuurin (VDI) laitteissa. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

Windows Server

Windows Server

Lisätietoja Windows-palvelinlaitteiden käyttöönotosta on kohdassa Windows-palvelimien käyttöönotto Microsoft Defender for Endpoint palveluun.

Varmista, että edellytykset täyttyvät: Yksinkertaistetun menetelmän edellytykset.

Microsoft Defender for Cloud

Jo käyttöönotetut laitteet eivät tule uudelleen käyttöön automaattisesti. Ota seuraava lisäominaisuus käyttöön Microsoft Defender portaalissa (Asetukset > Päätepisteiden lisäominaisuudet>) ja valitse vaihtoehto "Käytä virtaviivaistettuja yhteysasetuksia laitteissa, joita Intune ja Defender for Cloud hallitsee". Uudet lisätyt laitteet aloittavat uusien perehdytystietojen käytön noin 48 tunnin kuluessa. Jos haluat ottaa aiemmin luodut laitteet uudelleen käyttöön, käytä käyttöönottokomentosarjaa – katso Windows-palvelimien käyttöönotto Microsoft Defender for Endpoint palvelussa.

Microsoft Configuration Manager

Ota uusi käytäntö käyttöön noudattamalla Configuration Manager ohjeita.

Ryhmäkäytäntö

Noudata ryhmäkäytännön ohjeita käyttämällä virtaviivaistettua perehdytyspakettia. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

VDI

Noudata ohjeita kohdassa Ei-pysyvä näennäistyöpöytäinfrastruktuuri (VDI) -laitteet. Kun olet suorittanut vaiheet, sinun on käynnistettävä laite uudelleen, jotta laiteyhteys voidaan vaihtaa.

Macos

Macos

Lisätietoja macOS-laitteiden käyttöönotosta on artikkelissa Microsoft Defender for Endpoint macOS:ssä.

Varmista, että edellytykset täyttyvät: Yksinkertaistetun menetelmän edellytykset.

Paikallinen komentosarja

Noudata macOS:n Microsoft Defender for Endpoint manuaalisen käyttöönoton ohjeita virtaviivaistetun perehdytyspaketin avulla.

Kun olet suorittanut vaiheet, sinun on joko käynnistettävä laite uudelleen tai käynnistettävä palvelu uudelleen, jotta yhteys voidaan vaihtaa.

Microsoft Intune

1. Luo Microsoft Intune uusi käyttöönottokäytäntö mukautetun määritysprofiilin avulla. Älä määritä sitä vielä. Noudata Intune-pohjaisen käyttöönoton ohjeita mac-Microsoft Defender for Endpoint varten.

2. Jätä pois macOS-laite, jonka perehdytät uudelleen sen olemassa olevasta käyttöönottokäytännöstä. Lisätietoja ryhmien jättämisestä pois käytäntötehtävien ulkopuolelle on artikkelissa Ryhmien jättäminen pois käytäntömäärityksestä.

3. Lisää käytännön määritys käyttämällä virtaviivaistettua perehdytyspakettia.

4. Käynnistä laite uudelleen.

JAMF Pro

1. Jätä laite pois jaMF Pron nykyisistä perehdytyskäytännöistä.

2. Create uuden perehdytyskäytännön virtaviivaistettua yhteystapaa varten.

3. Sisällytä laite uuteen virtaviivaistettuun käyttöönottokäytäntöön.

4. Käynnistä laite uudelleen, jos se on aiemmin otettu käyttöön Defender for Endpointissa. Vaihtoehtoisesti voit käynnistää palvelun uudelleen seuraavien komentojen avulla:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

Katso lisää JAMF-ohjeita artikkelista Microsoft Defender for Endpoint käyttöönotto macOS:ssä JAMF Pron avulla.

Linux

Linux

Lisätietoja Linux-laitteiden käyttöönotosta on kohdassa Microsoft Defender for Endpoint Linuxissa.

Varmista, että edellytykset täyttyvät: Yksinkertaistetun menetelmän edellytykset.

Paikallinen komentosarja

Käytä deploy Microsoft Defender for Endpoint on Linux -kohdan ohjeita manuaalisesti virtaviivaistetun perehdytyspaketin avulla.

Kun olet suorittanut vaiheet, sinun on joko käynnistettävä laite uudelleen tai käynnistettävä palvelu uudelleen käyttämällä -palvelua sudo systemctl restart mdatp.

Laiteyhteys virtaviivaistettuun lähestymistapaan ei käynnisty, jos et käynnistä laitetta uudelleen.

Kolmannen osapuolen Linux-käyttöönottotyökalut (Puppet, Ansible, Chef)

Korvaa käyttöönottopakettitiedosto nykyisessä käyttöönottomenetelmässä.

Tarkistetaan laitteiden liitettävyyttä virtaviivaistetun menetelmän avulla siirrettyjä laitteita varten

Seuraavien menetelmien avulla voit tarkistaa, että olet yhdistänyt Windows-laitteet onnistuneesti:

• Asiakasanalysaattori
• Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
• Seuraa paikallisesti Tapahtumienvalvonta avulla (Windowsille)
• Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä
• Tarkistetaan rekisterieditoria
• PowerShellin tunnistustesti

MacOS:ssä ja Linuxissa voit käyttää seuraavia menetelmiä:

• MDATP-yhteystestit
• Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
• Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä

Käytä Defender for Endpoint Client Analyzeria (Windows) yhteyksien vahvistamiseen siirrettyjen päätepisteiden käyttöönoton jälkeen

Kun olet perehdytty, suorita MDE Client Analyzer vahvistaaksesi, että laite muodostaa yhteyden asianmukaisiin päivitettyihin URL-osoitteisiin.

Lataa Microsoft Defender for Endpoint Client Analyzer -työkalu, jossa Defender for Endpoint -tunnistin on käynnissä.

Voit noudattaa samoja ohjeita kuin kohdassa Tarkista asiakasyhteys Microsoft Defender for Endpoint palveluun. Komentosarja käyttää automaattisesti laitteeseen määritettyä perehdytyspakettia (virtaviivaista versiota) yhteyksien testaamiseen.

Varmista, että yhteys muodostetaan asianmukaisilla URL-osoitteilla.

Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR

Voit tarkastella yhteystyypin tilaa Microsoft Defender portaalin kehittyneen metsästyksen avulla.

Nämä tiedot löytyvät DeviceInfo-taulukosta ConnectivityType-sarakkeen alta:

• Sarakkeen nimi: ConnectivityType
• Mahdolliset arvot: <blank>, Virtaviivaistettu, Vakio
• Tietotyyppi: Merkkijono
• Kuvaus: Yhteystyyppi laitteesta pilvipalveluun

Kun laite on siirretty käyttämään virtaviivaistettua menetelmää ja laite muodostaa onnistuneen tietoliikenteen EDR-komennon & hallintakanavan kanssa, arvo esitetään muodossa Virtaviivaistettu.

Jos siirrät laitteen takaisin tavalliseen menetelmään, arvo on "vakio".

Jos laitteessa ei ole vielä yritetty uudelleenlaukosta, arvo pysyy tyhjänä.

Seuranta paikallisesti laitteessa Windows Tapahtumienvalvonta:n kautta

Voit käyttää Windows Tapahtumienvalvonta SENSE-toimintalokia yhteyksien paikalliseen vahvistamiseen uudella virtaviivaistoidulla lähestymistavalla. SENSE Tapahtumatunnus 4 seuraa onnistuneita EDR-yhteyksiä.

Avaa Defender for Endpoint -palvelun tapahtumaloki seuraavien vaiheiden avulla:

1. Valitse Windows-valikosta Käynnistä ja kirjoita Tapahtumienvalvonta. Valitse sitten Tapahtumienvalvonta.

2. Vieritä lokiluettelon Lokiyhteenveto-kohdassa alaspäin, kunnes näkyviin tulee Microsoft-Windows-SENSE/Operational. Avaa loki kaksoisnapsauttamalla kohdetta.

   

   Voit myös käyttää lokia laajentamallaSovellukset ja palvelut -lokit>Microsoft>Windows>SENSE ja valitsemalla Toiminta.

3. Tapahtumatunnus 4 seuraa onnistuneita yhteyksiä Defender for Endpoint Command & Control -kanavaan. Tarkista onnistuneet yhteydet päivitetyllä URL-osoitteella. Esimerkki:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. Viesti 1 sisältää url-osoitteen, jossa on yhteys. Vahvista, että tapahtuma sisältää virtaviivaistetun URL-osoitteen (endpoint.security.microsoft, com).

5. Tapahtumatunnus 5 seuraa virheitä, jos käytettävissä.

Huomautus

SENSE on sisäinen nimi, jota käytetään viittaamaan Microsoft Defender for Endpoint käyttävään käyttäytymistunnistimeen.
Palvelun tallentamat tapahtumat näkyvät lokissa.
Lisätietoja on artikkelissa Tapahtumien ja virheiden tarkasteleminen Tapahtumienvalvonta avulla.

Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä

Kun laite on otettu käyttöön Defender for Endpointissa, varmista, että se näkyy edelleen laiteluettelossa. DeviceID-tunnuksen pitäisi pysyä samana.

Tarkista Laitteen sivun aikajana -välilehdeltä, että laitteesta virtaa tapahtumia.

Reaaliaikainen vastaus

Varmista, että reaaliaikainen vastaus toimii testilaitteessasi. Noudata ohjeita kohdassa Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla.

Varmista, että suoritat yhteyden muodostamisen jälkeen muutaman peruskomennon (kuten cd, jobs tai connect).

Automatisoitu tutkimus ja reagointi

Varmista, että automatisoitu tutkinta ja reagointi toimivat testilaitteessasi: Määritä automatisoidut tutkimus- ja vastausominaisuudet.

Jos kyseessä on auto-IR-testauslaboratorio, siirry Microsoft Defender XDR>Arviointien & Opetusohjelmat>& Simuloinnit> **Opetusohjelmat >Automatisoitu tutkimus opetusohjelmat.

Pilvipalveluun toimitettu suojaus

1. Avaa komentokehote järjestelmänvalvojana.

2. Napsauta kohdetta hiiren kakkospainikkeella Käynnistä-valikossa, valitse Suorita järjestelmänvalvojanaja valitse sitten kyllä käyttöoikeuskehotteesta.

3. Käytä seuraavaa argumenttia Microsoft Defender Antivirus -komentoriviapuohjelman (mpcmdrun.exe) kanssa varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntapilvipalveluun:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

Huomautus

Tämä komento toimii vain Windows 10 versiossa 1703 tai Windows 11. Lisätietoja on artikkelissa Microsoft Defender virustentorjunta mpcmdrun.exe komentorivityökalun avulla.

Testilohko ensi silmäyksellä

Noudata Microsoft Defender for Endpoint Block at First Sight (BAFS) -esittelyn ohjeita.

Testaa SmartScreen

Noudata Microsoft Defender SmartScreen -esittelyn (msft.net) ohjeita.

PowerShellin tunnistustesti

1. Luo Kansio Windows-laitteessa: C:\test-MDATP-test.

2. Avaa komentokehote järjestelmänvalvojana.

3. Suorita Komentokehote-ikkunassa seuraava PowerShell-komento:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Komennon suoritusten jälkeen Komentokehote-ikkuna sulkeutuu automaattisesti. Jos tämä onnistuu, tunnistustesti merkitään valmiiksi.

MacOS:ssä ja Linuxissa voit käyttää seuraavia menetelmiä:

• MDATP-yhteystestit
• Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR
• Tarkista liitettävyys Defender for Endpoint -palveluihin suorittamalla testejä

MDATP-yhteystesti (macOS ja Linux)

Vahvista mdatp health -details features suorittamalla simplified_connectivity: käytössä.

Vahvista, että edr_partner_geo_location se on käytettävissä suorittamallamdatp health -details edr. Arvon tulee olla GW_<geo> paikka, jossa 'geo' on vuokraajasi maantieteellinen sijainti.

Suorita mdatp-yhteystesti. Varmista, että virtaviivaistettu URL-malli on olemassa. "\storage"-parametrin pitäisi olla kaksi, toisen parametrille \mdav, toisen \xplatille ja toisen /packages-paketille.

Esimerkiksi: https:mdav.us.endpoint.security.microsoft/com/storage

Seuranta kehittyneellä metsästyksellä Microsoft Defender XDR

Noudata samoja ohjeita kuin Windowsille.

Käytä Defender for Endpoint Client Analyzeria (alustan välinen) uusien siirrettyjen päätepisteiden yhteyden vahvistamiseen

Lataa ja suorita asiakasanalysaattori macOS: lle tai Linuxille. Lisätietoja on kohdassa Asiakasanalysaattorin lataaminen ja suorittaminen.

1. Suorita mdeclientanalyzer.cmd -o <path to cmd file> MDEClientAnalyzer-kansiosta. Komento käyttää perehdytyspaketin parametreja yhteyksien testaamiseen.

2. Suorita mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (jossa parametrin arvo on GW_US, GW_EU GW_UK). GW tarkoittaa virtaviivaistettua vaihtoehtoa. Suorita soveltuvalla vuokraajan maantieteellisellä sijaintipalvelulla.