שתף באמצעות


העברת מכשירים לשימוש בשיטה יעילה יותר של קישוריות

חל על:

מאמר זה מתאר כיצד להעביר (לחבר מחדש) מכשירים שהיו מחוברים בעבר ל- Defender for Endpoint כדי להשתמש בשיטה יעילה יותר של קישוריות מכשירים. לקבלת מידע נוסף על קישוריות יעילה, ראה צירוף מכשירים באמצעות קישוריות יעילה. על המכשירים לעמוד בדרישות המוקדמות המפורטות בקישוריות יעילה יותר.

ברוב המקרים, ביטול קליטת מכשיר מלא אינו נדרש בעת קליטת המכשיר מחדש. באפשרותך להפעיל את חבילת הצירוף המעודכנת ולאתחל מחדש את המכשיר כדי להעביר את הקישוריות. עיין במידע הבא לקבלת פרטים על מערכות הפעלה בודדות.

חשוב

מגבלות ובעיות ידועות:

  • מצאנו בעיה בקצה האחורי של אכלוס ConnectivityType העמודה בשלבי הציד DeviceInfo table המתקדמות כדי שתוכל לעקוב אחר התקדמות ההעברה. אנו שואפים לפתור בעיה זו בהקדם האפשרי.
  • עבור העברות מכשירים (צירוף מחדש): הסרה אינה נדרשת כדי לעבור לשיטה יעילה יותר של קישוריות. לאחר הפעלת חבילת הצירוף המעודכנת, נדרש אתחול מחדש מלא של המכשיר עבור מכשירי Windows והפעלה מחדש של שירות עבור macOS ו- Linux. לקבלת מידע נוסף, עיין בפרטים הכלולים במאמר זה.
  • Windows 10 גירסאות 1607, 1703, 1709 ו- 1803 אינן תומכות בצירוף מחדש. תחילה, הורד ולאחר מכן קלוט באמצעות החבילה המעודכנת. גירסאות אלה דורשות גם רשימת כתובות URL ארוכה יותר.
  • מכשירים שבהם פועל סוכן MMA אינם נתמכים, ועלם להמשיך להשתמש בפעולת השירות MMA Onboarding.

העברת מכשירים באמצעות השיטה היייעית

המלצה להעברה

  • התחל בקטן. מומלץ להתחיל עם קבוצה קטנה של מכשירים תחילה. החל את ה- Blob של צירוף באמצעות כל אחד מכלי הפריסה הנתמכים ולאחר מכן נטר את הקישוריות. אם אתה משתמש במדיניות צירוף חדשה, כדי למנוע התנגשויות, הקפד לא לכלול מכשיר בכל מדיניות צירוף קיימת אחרת.

  • אימות וניטור. לאחר צירוף קבוצת ההתקנים הקטנה, ודא שהמכשירים מחוברים בהצלחה ולתקשר עם השירות.

  • השלם את ההעברה. בשלב זה, באפשרותך לפרוס בהדרגה את ההעברה לערכת התקנים גדולה יותר. כדי להשלים את ההעברה, באפשרותך להחליף מדיניות צירוף קודמת ולהסיר את כתובות ה- URL הקודמות ממכשיר הרשת שלך.

אמת את הדרישות המוקדמות של המכשיר לפני שתמשיך בהעברות. מידע זה מתבסס על המאמר הקודם על-ידי התמקדות בהעברת מכשירים קיימים.

כדי להוסיף מחדש מכשירים, עליך להשתמש בחבילה הצירוף היעומה. לקבלת מידע נוסף אודות אופן הגישה לחבילה, ראה קישוריות יעילה.

בהתאם מערכת ההפעלה, העברות עשויות לדרוש אתחול מחדש של המכשיר או הפעלה מחדש של השירות לאחר החלת חבילת הצירוף:

  • Windows: אתחל מחדש את המכשיר

  • macOS: אתחל מחדש את המכשיר או הפעל מחדש את שירות נקודת הקצה של Defender עבור על-ידי הפעלת:

    1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
    2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
  • Linux: הפעל מחדש את שירות Defender for Endpoint על-ידי הפעלת: sudo systemctl restart mdatp

הטבלה הבאה מפרטת הוראות העברה עבור כלי הצירוף הזמינים בהתבסס על מערכת ההפעלה של המכשיר.

Windows 10 ו- 11

חשוב

Windows 10 גירסה 1607, 1703, 1709 ו- 1803 אינן תומכות בצירוף מחדש. כדי להעביר מכשירים קיימים, יהיה עליך לקלוט ולקלוט באופן מלא באמצעות חבילת הצירוף היעומה.

לקבלת מידע כללי על צירוף מכשירי לקוח של Windows, ראה צירוף לקוח Windows.

אשר שהדרישות המוקדמות קיימות: דרישות מוקדמות לשימוש בשיטה יעילה יותר.

קובץ Script מקומי

פעל בהתאם להנחיות בקובץ Script מקומי (עד 10 מכשירים) באמצעות חבילת הצירוף היעילית. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

מדיניות קבוצתית

פעל בהתאם להנחיות במדיניות קבוצתית באמצעות חבילת הצירוף היעומה. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Microsoft Intune

פעל בהתאם להנחיות Intune באמצעות חבילת הצירוף היעומה. באפשרותך להשתמש באפשרות 'אוטומטי ממחבר'; עם זאת, אפשרות זו אינה החלה מחדש באופן אוטומטי של חבילת הצירוף. Create מדיניות צירוף חדשה ומקד קבוצת בדיקה תחילה. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Microsoft Configuration Manager

פעל בהתאם להנחיות Configuration Manager.

גירסה וירטואלית (VDI)

השתמש בהדרכה במכשירי תשתית שולחן עבודה וירטואלי (VDI) שאינם מתמידים. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

אימות קישוריות המכשיר באמצעות שיטה יעילה עבור מכשירים שהועברו

באפשרותך להשתמש בשיטות הבאות כדי לוודא שמחברת בהצלחה מכשירי Windows:

עבור macOS ו- Linux, באפשרותך להשתמש בשיטות הבאות:

  • בדיקות קישוריות MDATP
  • מעקב עם ציד מתקדם Microsoft Defender XDR
  • הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

השתמש ב- Defender for Endpoint Client Analyzer (Windows) כדי לאמת את הקישוריות לאחר צירוף עבור נקודות קצה שהועברו

לאחר הצירוף, הפעל את MDE Client Analyzer כדי לאשר שהמכשיר שלך מתחבר לכתובות ה- URL המעודכנת המתאימות.

הורד את הכלי Microsoft Defender עבור נקודת קצה Client Analyzer שבו פועל חיישן נקודת הקצה Defender for Endpoint.

באפשרותך לבצע את אותן הוראות המופיעות במאמר אימות קישוריות לקוח Microsoft Defender עבור נקודת קצה שלך. קובץ ה- Script משתמש באופן אוטומטי בחבילה הצירוף שהוגדרה במכשיר (יש לייעל את הגירסה) כדי לבדוק את הקישוריות.

ודא שהקישוריות נקבעת עם כתובות ה- URL המתאימות.

מעקב עם ציד מתקדם Microsoft Defender XDR

באפשרותך להשתמש בחיפוש מתקדם Microsoft Defender הפורטל כדי להציג את מצב סוג הקישוריות.

מידע זה נמצא בטבלה DeviceInfo תחת העמודה "ConnectivityType":

  • שם עמודה: ConnectivityType
  • ערכים אפשריים: <blank>, יעיל, רגיל
  • סוג נתונים: מחרוזת
  • תיאור: סוג הקישוריות מהמכשיר לענן

לאחר העברת מכשיר כדי להשתמש בשיטה היעילתית והמכשיר יוצר תקשורת מוצלחת עם פקודת EDR & בקרה, הערך מיוצג כ"יעיל".

אם תעביר את המכשיר בחזרה לשיטה הרגילה, הערך יהיה "רגיל".

עבור מכשירים שעדיין לא ניסו לצרף מחדש, הערך נשאר ריק.

מעקב מקומי במכשיר באמצעות Windows מציג האירועים

באפשרותך להשתמש ביומן התפעול מציג האירועים SENSE של Windows כדי לאמת באופן מקומי חיבורים עם הגישה היעימה החדשה. מזהה אירוע SENSE 4 עוקב אחר חיבורי EDR מוצלחים.

פתח את יומן האירועים של שירות Defender for Endpoint באמצעות השלבים הבאים:

  1. בתפריט Windows, בחר התחל ולאחר מכן הקלד מציג האירועים. לאחר מכן בחר מציג האירועים.

  2. ברשימת יומני הרישום, תחת סיכום יומן רישום, גלול מטה עד שתראה את Microsoft-Windows-SENSE/Operational. לחץ פעמיים על הפריט כדי לפתוח את יומן הרישום.

    צילום מסך של מציג האירועים עם מקטע סיכום יומן רישום

    באפשרותך גם לגשת ליומן הרישום על-ידי הרחבת יומני רישום שליישומים ושירותים של>Microsoft>Windows>SENSE ובחירה באפשרות תפעולית.

  3. מזהה אירוע 4 עוקב אחר חיבורים מוצלחים עם Defender for Endpoint Command & Control Channel. אמת חיבורים מוצלחים עם כתובת URL מעודכנת. לדוגמה:

    Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
    <EventData>
     <Data Name="UInt1">6</Data>
     <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
    </EventData>
    
  4. הודעה 1 מכילה את כתובת ה- URL ליצירת קשר. אשר שהאירוע כולל את כתובת ה- URL היייעית (endpoint.security.microsoft, com).

  5. מזהה אירוע 5 עוקב אחר שגיאות במידת הצורך.

הערה

SENSE הוא השם הפנימי המשמש כדי להתייחס אל חיישן ההתנהגות שמונעת Microsoft Defender עבור נקודת קצה.
אירועים שתועדו על-ידי השירות יופיעו ביומן הרישום.
לקבלת מידע נוסף, ראה סקירת אירועים ושגיאה באמצעות מציג האירועים.

הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

לאחר שהמכשיר מחובר ל- Defender for Endpoint, ודא שהוא ממשיך להופיע ב'מלאי המכשירים'. מזהה המכשיר אמור להישאר זהה.

בדוק את הכרטיסיה ציר זמן של דף מכשיר כדי לאשר שהאירועים זורמים מהמכשיר.

תגובה חיה

ודא ש-Live Response פועל במכשיר הבדיקה שלך. בצע את ההוראות תחת בדוק ישויות במכשירים באמצעות תגובה חיה.

הקפד להפעיל כמה פקודות בסיסיות לאחר החיבור כדי לאשר את הקישוריות (כגון תקליטור, משימות, התחברות).

חקירה ותגובה אוטומטיים

ודא שהחקירה והתגובה האוטומטיות פועלות במכשיר הבדיקה שלך: קבע תצורה של יכולות חקירה ותגובה אוטומטיות.

עבור מעבדות בדיקות IR אוטומטי, נווט אל Microsoft Defender XDR>הערכות> & ערכותלימוד &> הדמיות ** > ערכות לימוד ערכות לימוד של חקירה אוטומטית.

הגנה מבוססת ענן

  1. פתח שורת פקודה כמנהל מערכת.

  2. לחץ באמצעות לחצן העכבר הימני על הפריט בתפריט התחלה, בחר הפעל כמנהל מערכת ולאחר מכן בחר כן בשורת ההרשאות.

  3. השתמש בארגומנט הבא עם כלי שורת הפקודה של האנטי Microsoft Defender Antivirus (mpcmdrun.exe) כדי לוודא שהרשת שלך יכולה לקיים תקשורת עם שירות הענן של אנטי Microsoft Defender Antivirus:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
    

הערה

פקודה זו תפעל רק בגירסה Windows 10, בגירסה 1703 ואילך או Windows 11. לקבלת מידע נוסף, ראה ניהול Microsoft Defender אנטי-וירוס באמצעות mpcmdrun.exe שורת הפקודה.

אבן בדיקה במבט ראשון

בצע את ההוראות Microsoft Defender עבור נקודת קצה הדגמה של 'ראייה ראשונה' (BAFS).

בדיקת SmartScreen

בצע את ההוראות Microsoft Defender הדגמה של SmartScreen (msft.net).

בדיקת זיהוי של PowerShell

  1. במכשיר Windows, צור תיקיה: C:\test-MDATP-test.

  2. פתח את שורת הפקודה כמנהל מערכת.

  3. בחלון שורת הפקודה, הפעל את הפקודה הבאה של PowerShell:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

לאחר הפעלת הפקודה, חלון שורת הפקודה נסגר באופן אוטומטי. אם הבדיקה הצליחה, בדיקת הזיהוי מסומנת כמשימה שהושלמה.

עבור macOS ו- Linux, באפשרותך להשתמש בשיטות הבאות:

  • בדיקות קישוריות MDATP
  • מעקב עם ציד מתקדם Microsoft Defender XDR
  • הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

בדיקת קישוריות MDATP (macOS ו- Linux)

הפעל mdatp health -details features כדי לאשר simplified_connectivity: "זמין".

הפעל mdatp health -details edr כדי לאשר edr_partner_geo_location שהוא זמין. הערך צריך להיות כאשר GW_<geo> 'geo' הוא המיקום הגיאוגרפי של הדייר שלך.

הפעל בדיקת קישוריות mdatp. ודא שדפוס כתובת ה- URL הייעול קיים. אתה אמור לצפות לשתיים עבור '\storage', אחת עבור '\mdav', אחת עבור '\xplat' וחבילה אחת עבור '/packages'.

לדוגמה: https:mdav.us.endpoint.security.microsoft/com/storage

מעקב עם ציד מתקדם Microsoft Defender XDR

בצע את אותן הוראות כמו עבור Windows.

השתמש ב- Defender for Endpoint Client Analyzer (חוצה פלטפורמות) כדי לאמת את הקישוריות עבור נקודות קצה חדשות שהועברו

הורד והפעל את מנתח הלקוח עבור macOS או Linux. לקבלת מידע נוסף, ראה הורדה והפעלה של מנתח הלקוח.

  1. הפעל mdeclientanalyzer.cmd -o <path to cmd file> מתוך התיקיה MDEClientAnalyzer. הפקודה משתמשת בפרמטרים מחבילה הצירוף כדי לבדוק את הקישוריות.

  2. הפעל mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (כאשר הפרמטר הוא GW_US, GW_EU, GW_UK). GW מתייחס לאפשרויות הייעול. הפעל עם גיאוגרפיית דיירים ישימה.