העברת מכשירים לשימוש בשיטה יעילה יותר של קישוריות

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

מאמר זה מתאר כיצד להעביר (לחבר מחדש) מכשירים שהיו מחוברים בעבר ל- Defender for Endpoint כדי להשתמש בשיטה יעילה יותר של קישוריות מכשירים. לקבלת מידע נוסף על קישוריות יעילה, ראה צירוף מכשירים באמצעות קישוריות יעילה. על המכשירים לעמוד בדרישות המוקדמות המפורטות בקישוריות יעילה יותר.

ברוב המקרים, ביטול קליטת מכשיר מלא אינו נדרש בעת קליטת המכשיר מחדש. באפשרותך להפעיל את חבילת הצירוף המעודכנת ולאתחל מחדש את המכשיר כדי להעביר את הקישוריות. עיין במידע הבא לקבלת פרטים על מערכות הפעלה בודדות.

חשוב

מגבלות ובעיות ידועות:

• מצאנו בעיה בקצה האחורי של אכלוס ConnectivityType העמודה בשלבי הציד DeviceInfo table המתקדמות כדי שתוכל לעקוב אחר התקדמות ההעברה. אנו שואפים לפתור בעיה זו בהקדם האפשרי.
• עבור העברות מכשירים (צירוף מחדש): הסרה אינה נדרשת כדי לעבור לשיטה יעילה יותר של קישוריות. לאחר הפעלת חבילת הצירוף המעודכנת, נדרש אתחול מחדש מלא של המכשיר עבור מכשירי Windows והפעלה מחדש של שירות עבור macOS ו- Linux. לקבלת מידע נוסף, עיין בפרטים הכלולים במאמר זה.
• Windows 10 גירסאות 1607, 1703, 1709 ו- 1803 אינן תומכות בצירוף מחדש. תחילה, הורד ולאחר מכן קלוט באמצעות החבילה המעודכנת. גירסאות אלה דורשות גם רשימת כתובות URL ארוכה יותר.
• מכשירים שבהם פועל סוכן MMA אינם נתמכים, ועלם להמשיך להשתמש בפעולת השירות MMA Onboarding.

העברת מכשירים באמצעות השיטה היייעית

המלצה להעברה

• התחל בקטן. מומלץ להתחיל עם קבוצה קטנה של מכשירים תחילה. החל את ה- Blob של צירוף באמצעות כל אחד מכלי הפריסה הנתמכים ולאחר מכן נטר את הקישוריות. אם אתה משתמש במדיניות צירוף חדשה, כדי למנוע התנגשויות, הקפד לא לכלול מכשיר בכל מדיניות צירוף קיימת אחרת.

• אימות וניטור. לאחר צירוף קבוצת ההתקנים הקטנה, ודא שהמכשירים מחוברים בהצלחה ולתקשר עם השירות.

• השלם את ההעברה. בשלב זה, באפשרותך לפרוס בהדרגה את ההעברה לערכת התקנים גדולה יותר. כדי להשלים את ההעברה, באפשרותך להחליף מדיניות צירוף קודמת ולהסיר את כתובות ה- URL הקודמות ממכשיר הרשת שלך.

אמת את הדרישות המוקדמות של המכשיר לפני שתמשיך בהעברות. מידע זה מתבסס על המאמר הקודם על-ידי התמקדות בהעברת מכשירים קיימים.

כדי להוסיף מחדש מכשירים, עליך להשתמש בחבילה הצירוף היעומה. לקבלת מידע נוסף אודות אופן הגישה לחבילה, ראה קישוריות יעילה.

בהתאם מערכת ההפעלה, העברות עשויות לדרוש אתחול מחדש של המכשיר או הפעלה מחדש של השירות לאחר החלת חבילת הצירוף:

• Windows: אתחל מחדש את המכשיר

• macOS: אתחל מחדש את המכשיר או הפעל מחדש את שירות נקודת הקצה של Defender עבור על-ידי הפעלת:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: הפעל מחדש את שירות Defender for Endpoint על-ידי הפעלת: sudo systemctl restart mdatp

הטבלה הבאה מפרטת הוראות העברה עבור כלי הצירוף הזמינים בהתבסס על מערכת ההפעלה של המכשיר.

Windows 10 ו- 11

Windows 10 ו- 11

חשוב

Windows 10 גירסה 1607, 1703, 1709 ו- 1803 אינן תומכות בצירוף מחדש. כדי להעביר מכשירים קיימים, יהיה עליך לקלוט ולקלוט באופן מלא באמצעות חבילת הצירוף היעומה.

לקבלת מידע כללי על צירוף מכשירי לקוח של Windows, ראה צירוף לקוח Windows.

אשר שהדרישות המוקדמות קיימות: דרישות מוקדמות לשימוש בשיטה יעילה יותר.

קובץ Script מקומי

פעל בהתאם להנחיות בקובץ Script מקומי (עד 10 מכשירים) באמצעות חבילת הצירוף היעילית. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

מדיניות קבוצתית

פעל בהתאם להנחיות במדיניות קבוצתית באמצעות חבילת הצירוף היעומה. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Microsoft Intune

פעל בהתאם להנחיות Intune באמצעות חבילת הצירוף היעומה. באפשרותך להשתמש באפשרות 'אוטומטי ממחבר'; עם זאת, אפשרות זו אינה החלה מחדש באופן אוטומטי של חבילת הצירוף. Create מדיניות צירוף חדשה ומקד קבוצת בדיקה תחילה. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Microsoft Configuration Manager

פעל בהתאם להנחיות Configuration Manager.

גירסה וירטואלית (VDI)

השתמש בהדרכה במכשירי תשתית שולחן עבודה וירטואלי (VDI) שאינם מתמידים. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Windows Server

שרת Windows

לקבלת מידע כללי על צירוף מכשירי שרת Windows, ראה צירוף שרתי Windows לשירות Microsoft Defender עבור נקודת קצה שלך.

אשר שהדרישות המוקדמות קיימות: דרישות מוקדמות עבור שיטה יעילה יותר.

Microsoft Defender עבור ענן

מכשירים שכבר קלוט לא יתחברו מחדש באופן אוטומטי. הפעל את ההגדרה הבאה של התכונה המתקדם בפורטל Microsoft Defender (>> הגדרות נקודות קצה של תכונות מתקדמות) ובחר באפשרות "החל הגדרות קישוריות יעילות על מכשירים המנוהלים על-ידי Intune ו- Defender for Cloud". מכשירים חדשים שנוספו מתחילים להשתמש במידע הצירוף החדש בתוך כ- 48 שעות. כדי להוסיף מחדש מכשירים קיימים, החל את קובץ ה- Script של הצירוף - ראה צירוף שרתי Windows על Microsoft Defender עבור נקודת קצה שלך.

Microsoft Configuration Manager

פעל בהתאם להנחיות Configuration Manager כדי לפרוס מדיניות חדשה.

מדיניות קבוצתית

פעל בהתאם להנחיות במדיניות קבוצתית באמצעות חבילת הצירוף היעומה. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

גירסה וירטואלית (VDI)

פעל לפי ההנחיות במכשירי תשתית שולחן עבודה וירטואלי (VDI) שאינם מתמידים. לאחר השלמת השלבים, עליך להפעיל מחדש את המכשיר כדי שקישוריות המכשיר תעבור.

Macos

Macos

לקבלת מידע כללי על צירוף מכשירי macOS, ראה Microsoft Defender עבור נקודת קצה ב- macOS.

אשר שהדרישות המוקדמות קיימות: דרישות מוקדמות עבור שיטה יעילה יותר.

קובץ Script מקומי

בצע את ההנחיות בנושא פריסה ידנית עבור Microsoft Defender עבור נקודת קצה macOS באמצעות חבילת הצירוף היעומה.

לאחר השלמת השלבים, עליך לאתחל מחדש את המכשיר או להפעיל מחדש את השירות כדי שהקישוריות תעבור.

Microsoft Intune

1. ב- Microsoft Intune, צור מדיניות צירוף חדשה באמצעות פרופיל תצורה מותאמת אישית. אל תקצה אותו עדיין. בצע את ההוראות תחת Intune מבוססת-ענן עבור Microsoft Defender עבור נקודת קצה ב- Mac.

2. אל תכלול את מכשיר ה- macOS שאתה מקליט מחדש במדיניות הצירוף הקיימת שלו. לקבלת מידע נוסף על אי-הכללת קבוצות בהקצאות מדיניות, ראה אי-הכללת קבוצות בהקצאת מדיניות.

3. הוסף את הקצאת המדיניות באמצעות חבילת צירוף יעילה.

4. אתחל מחדש את המכשיר.

JAMF Pro

1. אל תכלול מכשירים במדיניות 'צירוף' קיימת ב- JAMF Pro.

2. Create מדיניות צירוף חדשה עבור גישה יעילה יותר לקישוריות.

3. כלול מכשיר במדיניות הצירוף החדשה והיעילה.

4. אתחל מחדש את המכשיר אם היה מחובר בעבר ל- Defender for Endpoint. לחלופין, באפשרותך להפעיל מחדש את השירות באמצעות הפקודות הבאות:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

לקבלת הנחיות נוספות בנושא JAMF, ראה פריסת Microsoft Defender עבור נקודת קצה ב- macOS עם JAMF Pro.

לינוקס

לינוקס

לקבלת מידע כללי על צירוף מכשירי Linux, ראה Microsoft Defender עבור נקודת קצה ב- Linux.

אשר שהדרישות המוקדמות קיימות: דרישות מוקדמות עבור שיטה יעילה יותר.

קובץ Script מקומי

השתמש בהנחיות במאמר פריסת Microsoft Defender עבור נקודת קצה ב- Linux באופן ידני באמצעות חבילת הצירוף היעומה.

לאחר השלמת השלבים, עליך לאתחל מחדש את המכשיר או להפעיל מחדש את השירות באמצעות sudo systemctl restart mdatp.

קישוריות המכשיר לגישה יעילה אינה תיפעל אם לא תאתחל מחדש את המכשיר.

כלי פריסה של צד שלישי של Linux (Puppet, Ansible, Chef)

החלף את קובץ חבילת הצירוף בפעולת השירות הנוכחית של הפריסה.

אימות קישוריות המכשיר באמצעות שיטה יעילה עבור מכשירים שהועברו

באפשרותך להשתמש בשיטות הבאות כדי לוודא שמחברת בהצלחה מכשירי Windows:

• מנתח לקוח
• מעקב עם ציד מתקדם Microsoft Defender XDR
• מעקב מקומי באמצעות מציג האירועים (עבור Windows)
• הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint
• בודק את עורך הרישום
• בדיקת זיהוי של PowerShell

עבור macOS ו- Linux, באפשרותך להשתמש בשיטות הבאות:

• בדיקות קישוריות MDATP
• מעקב עם ציד מתקדם Microsoft Defender XDR
• הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

השתמש ב- Defender for Endpoint Client Analyzer (Windows) כדי לאמת את הקישוריות לאחר צירוף עבור נקודות קצה שהועברו

לאחר הצירוף, הפעל את MDE Client Analyzer כדי לאשר שהמכשיר שלך מתחבר לכתובות ה- URL המעודכנת המתאימות.

הורד את הכלי Microsoft Defender עבור נקודת קצה Client Analyzer שבו פועל חיישן נקודת הקצה Defender for Endpoint.

באפשרותך לבצע את אותן הוראות המופיעות במאמר אימות קישוריות לקוח Microsoft Defender עבור נקודת קצה שלך. קובץ ה- Script משתמש באופן אוטומטי בחבילה הצירוף שהוגדרה במכשיר (יש לייעל את הגירסה) כדי לבדוק את הקישוריות.

ודא שהקישוריות נקבעת עם כתובות ה- URL המתאימות.

מעקב עם ציד מתקדם Microsoft Defender XDR

באפשרותך להשתמש בחיפוש מתקדם Microsoft Defender הפורטל כדי להציג את מצב סוג הקישוריות.

מידע זה נמצא בטבלה DeviceInfo תחת העמודה "ConnectivityType":

• שם עמודה: ConnectivityType
• ערכים אפשריים: <blank>, יעיל, רגיל
• סוג נתונים: מחרוזת
• תיאור: סוג הקישוריות מהמכשיר לענן

לאחר העברת מכשיר כדי להשתמש בשיטה היעילתית והמכשיר יוצר תקשורת מוצלחת עם פקודת EDR & בקרה, הערך מיוצג כ"יעיל".

אם תעביר את המכשיר בחזרה לשיטה הרגילה, הערך יהיה "רגיל".

עבור מכשירים שעדיין לא ניסו לצרף מחדש, הערך נשאר ריק.

מעקב מקומי במכשיר באמצעות Windows מציג האירועים

באפשרותך להשתמש ביומן התפעול מציג האירועים SENSE של Windows כדי לאמת באופן מקומי חיבורים עם הגישה היעימה החדשה. מזהה אירוע SENSE 4 עוקב אחר חיבורי EDR מוצלחים.

פתח את יומן האירועים של שירות Defender for Endpoint באמצעות השלבים הבאים:

1. בתפריט Windows, בחר התחל ולאחר מכן הקלד מציג האירועים. לאחר מכן בחר מציג האירועים.

2. ברשימת יומני הרישום, תחת סיכום יומן רישום, גלול מטה עד שתראה את Microsoft-Windows-SENSE/Operational. לחץ פעמיים על הפריט כדי לפתוח את יומן הרישום.

   

   באפשרותך גם לגשת ליומן הרישום על-ידי הרחבת יומני רישום שליישומים ושירותים של>Microsoft>Windows>SENSE ובחירה באפשרות תפעולית.

3. מזהה אירוע 4 עוקב אחר חיבורים מוצלחים עם Defender for Endpoint Command & Control Channel. אמת חיבורים מוצלחים עם כתובת URL מעודכנת. לדוגמה:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. הודעה 1 מכילה את כתובת ה- URL ליצירת קשר. אשר שהאירוע כולל את כתובת ה- URL היייעית (endpoint.security.microsoft, com).

5. מזהה אירוע 5 עוקב אחר שגיאות במידת הצורך.

הערה

SENSE הוא השם הפנימי המשמש כדי להתייחס אל חיישן ההתנהגות שמונעת Microsoft Defender עבור נקודת קצה.
אירועים שתועדו על-ידי השירות יופיעו ביומן הרישום.
לקבלת מידע נוסף, ראה סקירת אירועים ושגיאה באמצעות מציג האירועים.

הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

לאחר שהמכשיר מחובר ל- Defender for Endpoint, ודא שהוא ממשיך להופיע ב'מלאי המכשירים'. מזהה המכשיר אמור להישאר זהה.

בדוק את הכרטיסיה ציר זמן של דף מכשיר כדי לאשר שהאירועים זורמים מהמכשיר.

תגובה חיה

ודא ש-Live Response פועל במכשיר הבדיקה שלך. בצע את ההוראות תחת בדוק ישויות במכשירים באמצעות תגובה חיה.

הקפד להפעיל כמה פקודות בסיסיות לאחר החיבור כדי לאשר את הקישוריות (כגון תקליטור, משימות, התחברות).

חקירה ותגובה אוטומטיים

ודא שהחקירה והתגובה האוטומטיות פועלות במכשיר הבדיקה שלך: קבע תצורה של יכולות חקירה ותגובה אוטומטיות.

עבור מעבדות בדיקות IR אוטומטי, נווט אל Microsoft Defender XDR>הערכות> & ערכותלימוד &> הדמיות ** > ערכות לימוד ערכות לימוד של חקירה אוטומטית.

הגנה מבוססת ענן

1. פתח שורת פקודה כמנהל מערכת.

2. לחץ באמצעות לחצן העכבר הימני על הפריט בתפריט התחלה, בחר הפעל כמנהל מערכת ולאחר מכן בחר כן בשורת ההרשאות.

3. השתמש בארגומנט הבא עם כלי שורת הפקודה של האנטי Microsoft Defender Antivirus (mpcmdrun.exe) כדי לוודא שהרשת שלך יכולה לקיים תקשורת עם שירות הענן של אנטי Microsoft Defender Antivirus:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

הערה

פקודה זו תפעל רק בגירסה Windows 10, בגירסה 1703 ואילך או Windows 11. לקבלת מידע נוסף, ראה ניהול Microsoft Defender אנטי-וירוס באמצעות mpcmdrun.exe שורת הפקודה.

אבן בדיקה במבט ראשון

בצע את ההוראות Microsoft Defender עבור נקודת קצה הדגמה של 'ראייה ראשונה' (BAFS).

בדיקת SmartScreen

בצע את ההוראות Microsoft Defender הדגמה של SmartScreen (msft.net).

בדיקת זיהוי של PowerShell

1. במכשיר Windows, צור תיקיה: C:\test-MDATP-test.

2. פתח את שורת הפקודה כמנהל מערכת.

3. בחלון שורת הפקודה, הפעל את הפקודה הבאה של PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

לאחר הפעלת הפקודה, חלון שורת הפקודה נסגר באופן אוטומטי. אם הבדיקה הצליחה, בדיקת הזיהוי מסומנת כמשימה שהושלמה.

עבור macOS ו- Linux, באפשרותך להשתמש בשיטות הבאות:

• בדיקות קישוריות MDATP
• מעקב עם ציד מתקדם Microsoft Defender XDR
• הפעל בדיקות כדי לאשר את הקישוריות עם שירותי Defender for Endpoint

בדיקת קישוריות MDATP (macOS ו- Linux)

הפעל mdatp health -details features כדי לאשר simplified_connectivity: "זמין".

הפעל mdatp health -details edr כדי לאשר edr_partner_geo_location שהוא זמין. הערך צריך להיות כאשר GW_<geo> 'geo' הוא המיקום הגיאוגרפי של הדייר שלך.

הפעל בדיקת קישוריות mdatp. ודא שדפוס כתובת ה- URL הייעול קיים. אתה אמור לצפות לשתיים עבור '\storage', אחת עבור '\mdav', אחת עבור '\xplat' וחבילה אחת עבור '/packages'.

לדוגמה: https:mdav.us.endpoint.security.microsoft/com/storage

מעקב עם ציד מתקדם Microsoft Defender XDR

בצע את אותן הוראות כמו עבור Windows.

השתמש ב- Defender for Endpoint Client Analyzer (חוצה פלטפורמות) כדי לאמת את הקישוריות עבור נקודות קצה חדשות שהועברו

הורד והפעל את מנתח הלקוח עבור macOS או Linux. לקבלת מידע נוסף, ראה הורדה והפעלה של מנתח הלקוח.

1. הפעל mdeclientanalyzer.cmd -o <path to cmd file> מתוך התיקיה MDEClientAnalyzer. הפקודה משתמשת בפרמטרים מחבילה הצירוף כדי לבדוק את הקישוריות.

2. הפעל mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (כאשר הפרמטר הוא GW_US, GW_EU, GW_UK). GW מתייחס לאפשרויות הייעול. הפעל עם גיאוגרפיית דיירים ישימה.