Migrer des appareils pour utiliser la méthode de connectivité simplifiée
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Cet article explique comment migrer (réinscrire) des appareils précédemment intégrés à Defender pour point de terminaison afin d’utiliser la méthode de connectivité d’appareil simplifiée. Pour plus d’informations sur la connectivité simplifiée, consultez Intégration d’appareils à l’aide d’une connectivité simplifiée. Les appareils doivent respecter les conditions préalables répertoriées dans Connectivité simplifiée.
Dans la plupart des cas, la désintégrage complet de l’appareil n’est pas nécessaire lors de la réinscrire. Vous pouvez exécuter le package d’intégration mis à jour et redémarrer votre appareil pour basculer la connectivité. Pour plus d’informations sur les systèmes d’exploitation individuels, consultez les informations suivantes.
Importante
Limitations et problèmes connus :
- Nous avons trouvé un problème de serveur principal lié au remplissage de la
ConnectivityTypecolonne dans laDeviceInfo tablechasse avancée afin que vous puissiez suivre la progression de la migration. Nous visons à résoudre ce problème dès que possible. - Pour les migrations d’appareils (réinsérer) : la désintégration n’est pas nécessaire pour basculer vers la méthode de connectivité rationalisée. Une fois le package d’intégration mis à jour exécuté, un redémarrage complet de l’appareil est nécessaire pour les appareils Windows et un redémarrage du service pour macOS et Linux. Pour plus d’informations, consultez les détails inclus dans cet article.
- Windows 10 versions 1607, 1703, 1709 et 1803 ne prennent pas en charge la réinscrire. Désintégez d’abord, puis intégrez à l’aide du package mis à jour. Ces versions nécessitent également une liste d’URL plus longue.
- Les appareils exécutant l’agent MMA ne sont pas pris en charge et doivent continuer à utiliser la méthode d’intégration MMA.
Migration d’appareils à l’aide de la méthode simplifiée
Recommandation de migration
Commencez petit. Il est recommandé de commencer par un petit ensemble d’appareils. Appliquez l’objet blob d’intégration à l’aide de l’un des outils de déploiement pris en charge, puis surveillez la connectivité. Si vous utilisez une nouvelle stratégie d’intégration, pour éviter les conflits, veillez à exclure l’appareil de toute autre stratégie d’intégration existante.
Valider et surveiller. Après avoir intégré le petit ensemble d’appareils, vérifiez que les appareils sont correctement intégrés et communiquent avec le service.
Terminez la migration. À ce stade, vous pouvez déployer progressivement la migration vers un plus grand ensemble d’appareils. Pour terminer la migration, vous pouvez remplacer les stratégies d’intégration précédentes et supprimer les anciennes URL de votre appareil réseau.
Validez les prérequis de l’appareil avant de poursuivre les migrations. Ces informations s’appuient sur l’article précédent en se concentrant sur la migration d’appareils existants.
Pour réinscrire des appareils, vous devez utiliser le package d’intégration simplifié. Pour plus d’informations sur l’accès au package, consultez Connectivité simplifiée.
Selon le système d’exploitation, les migrations peuvent nécessiter un redémarrage de l’appareil ou un redémarrage du service une fois le package d’intégration appliqué :
Windows : redémarrer l’appareil
macOS : Redémarrez l’appareil ou redémarrez le service Defender pour point de terminaison en exécutant :
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plistsudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux : Redémarrez le service Defender pour point de terminaison en exécutant :
sudo systemctl restart mdatp
Le tableau suivant répertorie les instructions de migration pour les outils d’intégration disponibles en fonction du système d’exploitation de l’appareil.
Windows 10 et 11
Importante
Windows 10 versions 1607, 1703, 1709 et 1803 ne prennent pas en charge la réinscrire. Pour migrer des appareils existants, vous devez complètement désactiver et intégrer à l’aide du package d’intégration simplifié.
Pour obtenir des informations générales sur l’intégration d’appareils clients Windows, consultez Intégration du client Windows.
Vérifiez que les conditions préalables sont remplies : Prérequis pour l’utilisation de la méthode simplifiée.
Script local
Suivez les instructions fournies dans Script local (jusqu’à 10 appareils) à l’aide du package d’intégration simplifié. Une fois les étapes terminées, vous devez redémarrer l’appareil pour que la connectivité de l’appareil bascule.
Stratégie de groupe
Suivez les instructions fournies dans Stratégie de groupe à l’aide du package d’intégration simplifié. Une fois les étapes terminées, vous devez redémarrer l’appareil pour que la connectivité de l’appareil bascule.
Microsoft Intune
Suivez les instructions de Intune l’utilisation du package d’intégration simplifié. Vous pouvez utiliser l’option « auto à partir du connecteur » ; Toutefois, cette option ne réapplique pas automatiquement le package d’intégration. Create une nouvelle stratégie d’intégration et ciblez d’abord un groupe de test. Une fois les étapes terminées, vous devez redémarrer l’appareil pour que la connectivité de l’appareil bascule.
Microsoft Configuration Manager
Suivez les instructions de Configuration Manager.
VDI
Suivez les instructions fournies dans Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants. Une fois les étapes terminées, vous devez redémarrer l’appareil pour que la connectivité de l’appareil bascule.
Vérification de la connectivité des appareils avec une méthode simplifiée pour les appareils migrés
Vous pouvez utiliser les méthodes suivantes pour case activée que vous avez correctement connecté des appareils Windows :
- Analyseur client
- Suivi avec repérage avancé en Microsoft Defender XDR
- Suivre localement l’utilisation de observateur d'événements (pour Windows)
- Exécuter des tests pour confirmer la connectivité avec les services Defender pour point de terminaison
- Vérification de l’éditeur du Registre
- Test de détection PowerShell
Pour macOS et Linux, vous pouvez utiliser les méthodes suivantes :
- Tests de connectivité MDATP
- Suivi avec repérage avancé en Microsoft Defender XDR
- Exécuter des tests pour confirmer la connectivité avec les services Defender pour point de terminaison
Utiliser l’analyseur client Defender pour point de terminaison (Windows) pour valider la connectivité après l’intégration des points de terminaison migrés
Une fois l’intégration effectuée, exécutez l’analyseur client MDE pour confirmer que votre appareil se connecte aux URL mises à jour appropriées.
Téléchargez l’outil Analyseur de client Microsoft Defender pour point de terminaison dans lequel le capteur Defender pour point de terminaison est en cours d’exécution.
Vous pouvez suivre les mêmes instructions que dans Vérifier la connectivité du client à Microsoft Defender pour point de terminaison service. Le script utilise automatiquement le package d’intégration configuré sur l’appareil (version simplifiée) pour tester la connectivité.
Vérifiez que la connectivité est établie avec les URL appropriées.
Suivi avec repérage avancé en Microsoft Defender XDR
Vous pouvez utiliser la chasse avancée dans Microsoft Defender portail pour afficher le type de connectivité status.
Ces informations se trouvent dans la table DeviceInfo sous la colonne « ConnectivityType » :
- Nom de la colonne : ConnectivityType
- Valeurs possibles :
<blank>, Rationald, Standard - Type de données : Chaîne
- Description : Type de connectivité de l’appareil au cloud
Une fois qu’un appareil est migré pour utiliser la méthode simplifiée et qu’il établit une communication réussie avec la commande EDR & canal de contrôle, la valeur est représentée comme « Rationalisée ».
Si vous déplacez l’appareil vers la méthode normale, la valeur est « standard ».
Pour les appareils qui n’ont pas encore tenté de se réinscrire, la valeur reste vide.
Suivi local sur un appareil via Windows observateur d'événements
Vous pouvez utiliser le journal opérationnel SENSE de Windows observateur d'événements pour valider localement les connexions avec la nouvelle approche simplifiée. L’ID d’événement SENSE 4 effectue le suivi des connexions EDR réussies.
Ouvrez le journal des événements du service Defender pour point de terminaison en procédant comme suit :
Dans le menu Windows, sélectionnez Démarrer, puis tapez observateur d'événements. Sélectionnez ensuite observateur d'événements.
Dans la liste des journaux, sous Résumé du journal, faites défiler vers le bas jusqu’à ce que vous voyiez Microsoft-Windows-SENSE/Operational. Double-cliquez sur l’élément pour ouvrir le journal.
Vous pouvez également accéder au journal en développantJournaux>des applications et des services Microsoft>Windows>SENSE et en sélectionnant Opérationnel.
L’ID d’événement 4 suit les connexions réussies avec la commande Defender pour point de terminaison & canal de contrôle. Vérifiez les connexions réussies avec l’URL mise à jour. Par exemple :
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>Le message 1 contient l’URL contactée. Vérifiez que l’événement inclut l’URL simplifiée (endpoint.security.microsoft, com).
L’ID d’événement 5 effectue le suivi des erreurs, le cas échéant.
Remarque
SENSE est le nom interne utilisé pour faire référence au capteur comportemental qui alimente Microsoft Defender pour point de terminaison.
Les événements enregistrés par le service s’affichent dans le journal.
Pour plus d’informations, consultez Examiner les événements et les erreurs à l’aide de observateur d'événements.
Exécuter des tests pour confirmer la connectivité avec les services Defender pour point de terminaison
Une fois l’appareil intégré à Defender pour point de terminaison, vérifiez qu’il continue d’apparaître dans l’inventaire des appareils. DeviceID doit rester le même.
Vérifiez l’onglet Chronologie de la page de l’appareil pour confirmer que les événements circulent à partir de l’appareil.
Réponse en direct
Vérifiez que Live Response fonctionne sur votre appareil de test. Suivez les instructions fournies dans Examiner les entités sur les appareils à l’aide de la réponse en direct.
Veillez à exécuter quelques commandes de base après la connexion pour confirmer la connectivité (par exemple, cd, travaux, connexion).
Enquêtes et réponses automatisées
Vérifiez que l’investigation et la réponse automatisées fonctionnent sur votre appareil de test : Configurez les fonctionnalités d’investigation et de réponse automatisées.
Pour les laboratoires de test auto-IR, accédez à Microsoft Defender XDR>Évaluations & Tutoriels Tutoriels>& Simulations> **Tutoriels Tutoriels >Investigation automatisée.
Protection fournie par le cloud
Ouvrez une invite de commandes en tant qu’administrateur.
Cliquez avec le bouton droit sur l’élément dans le menu Démarrer, sélectionnez Exécuter en tant qu’administrateur , puis sélectionnez Oui à l’invite d’autorisations.
Utilisez l’argument suivant avec l’utilitaire de ligne de commande Microsoft Defender Antivirus (mpcmdrun.exe) pour vérifier que votre réseau peut communiquer avec le service cloud antivirus Microsoft Defender :
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Remarque
Cette commande fonctionne uniquement sur Windows 10, version 1703 ou ultérieure, ou Windows 11. Pour plus d’informations, consultez Gérer l’antivirus Microsoft Defender avec l’outil en ligne de commande mpcmdrun.exe.
Bloc de test à la première consultation
Suivez les instructions de la démonstration Microsoft Defender pour point de terminaison Block at First Sight (BAFS).
Tester SmartScreen
Suivez les instructions de Microsoft Defender Démonstration SmartScreen (msft.net).
Test de détection PowerShell
Sur l’appareil Windows, créez un dossier :
C:\test-MDATP-test.Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur.
Dans la fenêtre d’invite de commandes, exécutez la commande PowerShell suivante :
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Une fois la commande exécutée, la fenêtre d’invite de commandes se ferme automatiquement. En cas de réussite, le test de détection est marqué comme terminé.
Pour macOS et Linux, vous pouvez utiliser les méthodes suivantes :
- Tests de connectivité MDATP
- Suivi avec repérage avancé en Microsoft Defender XDR
- Exécuter des tests pour confirmer la connectivité avec les services Defender pour point de terminaison
Test de connectivité MDATP (macOS et Linux)
Exécutez mdatp health -details features pour confirmer simplified_connectivity : « enabled ».
Exécutez mdatp health -details edr pour confirmer que edr_partner_geo_location est disponible. La valeur doit être GW_<geo> l’emplacement géographique de votre locataire.
Exécutez le test de connectivité mdatp. Vérifiez que le modèle d’URL simplifié est présent. Vous devez vous attendre à deux pour « \storage », un pour « \mdav », un pour « \xplat » et un pour « /packages ».
Par exemple : https:mdav.us.endpoint.security.microsoft/com/storage
Suivi avec repérage avancé en Microsoft Defender XDR
Suivez les mêmes instructions que pour Windows.
Utiliser l’analyseur client Defender pour point de terminaison (multiplateforme) pour valider la connectivité pour les points de terminaison nouvellement migrés
Téléchargez et exécutez l’analyseur client pour macOS ou Linux. Pour plus d’informations, consultez Télécharger et exécuter l’analyseur client.
Exécutez
mdeclientanalyzer.cmd -o <path to cmd file>à partir du dossier MDEClientAnalyzer. La commande utilise les paramètres du package d’intégration pour tester la connectivité.Exécuter
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>(où le paramètre est de GW_US, GW_EU GW_UK). GW fait référence à l’option simplifiée. Exécutez avec la zone géographique de locataire applicable.