간소화된 연결 방법을 사용하도록 디바이스 마이그레이션

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

이 문서에서는 간소화된 디바이스 연결 방법을 사용하기 위해 이전에 엔드포인트용 Defender에 온보딩된 디바이스를 마이그레이션(다시 등록)하는 방법을 설명합니다. 간소화된 연결에 대한 자세한 내용은 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요. 디바이스는 간소화된 연결에 나열된 필수 조건을 충족해야 합니다.

대부분의 경우 다시 등록할 때 전체 디바이스 오프보딩이 필요하지 않습니다. 업데이트된 온보딩 패키지를 실행하고 디바이스를 다시 부팅하여 연결을 전환할 수 있습니다. 개별 운영 체제에 대한 자세한 내용은 다음 정보를 참조하세요.

중요

제한 사항 및 알려진 문제:

• 마이그레이션 진행률을 추적할 수 있도록 고급 헌팅에서 DeviceInfo table 의 열을 채우는 ConnectivityType 백 엔드 문제를 발견했습니다. 우리는 가능한 한 빨리이 문제를 resolve 것을 목표로합니다.
• 디바이스 마이그레이션(다시 등록): 오프보딩은 간소화된 연결 방법으로 전환할 필요가 없습니다. 업데이트된 온보딩 패키지가 실행되면 Windows 디바이스에 대해 전체 디바이스 재부팅이 필요하고 macOS 및 Linux에 대한 서비스가 다시 시작됩니다. 자세한 내용은 이 문서에 포함된 세부 정보를 참조하세요.
• Windows 10 버전 1607, 1703, 1709 및 1803은 다시 등록을 지원하지 않습니다. 먼저 오프보딩한 다음 업데이트된 패키지를 사용하여 온보딩합니다. 또한 이러한 버전에는 더 긴 URL 목록이 필요합니다.
• MMA 에이전트를 실행하는 디바이스는 지원되지 않으며 MMA 온보딩 방법을 계속 사용해야 합니다.

간소화된 방법을 사용하여 디바이스 마이그레이션

마이그레이션 권장 사항

• 작게 시작합니다. 먼저 작은 디바이스 집합으로 시작하는 것이 좋습니다. 지원되는 배포 도구를 사용하여 온보딩 Blob을 적용한 다음 연결을 모니터링합니다. 새 온보딩 정책을 사용하는 경우 충돌을 방지하려면 다른 기존 온보딩 정책에서 디바이스를 제외해야 합니다.

• 유효성을 검사하고 모니터링합니다. 작은 디바이스 집합을 온보딩한 후 디바이스가 성공적으로 온보딩되고 서비스와 통신하고 있는지 확인합니다.

• 마이그레이션을 완료합니다. 이 단계에서는 더 큰 디바이스 집합으로 마이그레이션을 점진적으로 롤아웃할 수 있습니다. 마이그레이션을 완료하려면 이전 온보딩 정책을 바꾸고 네트워크 디바이스에서 이전 URL을 제거할 수 있습니다.

마이그레이션을 계속하기 전에 디바이스 필수 구성 요소의 유효성을 검사합니다. 이 정보는 기존 디바이스 마이그레이션에 중점을 두어 이전 문서를 기반으로 합니다.

디바이스를 다시 등록하려면 간소화된 온보딩 패키지를 사용해야 합니다. 패키지에 액세스하는 방법에 대한 자세한 내용은 간소화된 연결을 참조하세요.

OS에 따라 온보딩 패키지가 적용되면 마이그레이션에 디바이스를 다시 부팅하거나 서비스를 다시 시작해야 할 수 있습니다.

• Windows: 디바이스 다시 부팅

• macOS: 다음을 실행하여 디바이스를 다시 부팅하거나 엔드포인트용 Defender 서비스를 다시 시작합니다.

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: 다음을 실행하여 엔드포인트용 Defender 서비스를 다시 시작합니다. sudo systemctl restart mdatp

다음 표에는 디바이스의 운영 체제를 기반으로 하는 사용 가능한 온보딩 도구에 대한 마이그레이션 지침이 나와 있습니다.

Windows 10 및 11

Windows 10 및 11

중요

Windows 10 버전 1607, 1703, 1709 및 1803은 다시 등록을 지원하지 않습니다. 기존 디바이스를 마이그레이션하려면 간소화된 온보딩 패키지를 사용하여 완전히 오프보딩하고 온보딩해야 합니다.

Windows 클라이언트 디바이스 온보딩에 대한 일반적인 내용은 Windows 클라이언트 온보딩을 참조하세요.

필수 구성 요소가 충족되는지 확인: 간소화된 메서드를 사용하기 위한 필수 구성 요소입니다.

로컬 스크립트

간소화된 온보딩 패키지를 사용하여 로컬 스크립트(최대 10개 디바이스) 의 지침을 따릅니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

그룹 정책

간소화된 온보딩 패키지를 사용하여 그룹 정책 의 지침을 따릅니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

Microsoft Intune

간소화된 온보딩 패키지를 사용하여 Intune 지침을 따릅니다. "커넥터에서 자동" 옵션을 사용할 수 있습니다. 그러나 이 옵션은 자동으로 온보딩 패키지를 다시 적용하지 않습니다. 새 온보딩 정책을 Create 먼저 테스트 그룹을 대상으로 지정합니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

Microsoft Configuration Manager

Configuration Manager 지침을 따릅니다.

Vdi

비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩의 지침을 사용합니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

Windows Server

Windows Server

Windows 서버 디바이스 온보딩에 대한 일반적인 내용은 엔드포인트용 Microsoft Defender 서비스에 Windows 서버 온보딩을 참조하세요.

필수 구성 요소가 충족되는지 확인: 간소화된 메서드에 대한 필수 구성 요소입니다.

Microsoft Defender for Cloud

이미 온보딩된 디바이스는 자동으로 다시 등록되지 않습니다. Microsoft Defender 포털(설정 > 엔드포인트 > 고급 기능)에서 다음 고급 기능 설정을 켜고 "Intune 및 클라우드용 Defender에서 관리하는 디바이스에 간소화된 연결 설정 적용" 옵션을 선택합니다. 새로 추가된 디바이스는 ~48시간 이내에 새 온보딩 정보를 사용하기 시작합니다. 기존 디바이스를 다시 등록하려면 온보딩 스크립트를 적용합니다. 엔드포인트용 Microsoft Defender 서비스에 Windows 서버 온보딩을 참조하세요.

Microsoft Configuration Manager

Configuration Manager 지침에 따라 새 정책을 배포합니다.

그룹 정책

간소화된 온보딩 패키지를 사용하여 그룹 정책 의 지침을 따릅니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

Vdi

비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩의 지침을 따릅니다. 단계를 완료한 후 디바이스 연결을 전환하려면 디바이스를 다시 시작해야 합니다.

macOS

macOS

macOS 디바이스 온보딩에 대한 일반적인 내용은 macOS에서 엔드포인트용 Microsoft Defender 참조하세요.

필수 구성 요소가 충족되는지 확인: 간소화된 메서드에 대한 필수 구성 요소입니다.

로컬 스크립트

간소화된 온보딩 패키지를 사용하여 macOS에서 엔드포인트용 Microsoft Defender 수동 배포의 지침을 따릅니다.

단계를 완료한 후 디바이스를 다시 부팅하거나 연결을 전환하려면 서비스를 다시 시작해야 합니다.

Microsoft Intune

1. Microsoft Intune 사용자 지정 구성 프로필을 사용하여 새 온보딩 정책을 만듭니다. 아직 할당하지 마세요. Mac에서 엔드포인트용 Microsoft Defender 대한 Intune 기반 배포의 지침을 따릅니다.

2. 기존 온보딩 정책에서 다시 등록하려는 macOS 디바이스를 제외합니다. 정책 할당에서 그룹을 제외하는 방법에 대한 자세한 내용은 정책 할당 에서 그룹 제외를 참조하세요.

3. 간소화된 온보딩 패키지를 사용하여 정책 할당을 추가합니다.

4. 디바이스를 다시 부팅합니다.

JAMF Pro

1. JAMF Pro의 기존 '온보딩' 정책에서 디바이스를 제외합니다.

2. 간소화된 연결 접근 방식을 위한 새로운 온보딩 정책을 Create.

3. 간소화된 새 온보딩 정책에 디바이스를 포함합니다.

4. 이전에 엔드포인트용 Defender에 온보딩된 경우 디바이스를 다시 부팅합니다. 또는 다음 명령을 사용하여 서비스를 다시 시작할 수 있습니다.

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

자세한 JAMF 지침은 JAMF Pro를 사용하여 macOS에 엔드포인트용 Microsoft Defender 배포를 참조하세요.

Linux

Linux

Linux 디바이스 온보딩에 대한 일반적인 내용은 Linux의 엔드포인트용 Microsoft Defender 참조하세요.

필수 구성 요소가 충족되는지 확인: 간소화된 메서드에 대한 필수 구성 요소입니다.

로컬 스크립트

간소화된 온보딩 패키지를 사용하여 수동으로 Linux에서 엔드포인트용 Microsoft Defender 배포의 지침을 사용합니다.

단계를 완료한 후 디바이스를 다시 부팅하거나 를 사용하여 sudo systemctl restart mdatp서비스를 다시 시작해야 합니다.

디바이스를 다시 부팅하지 않으면 간소화된 접근 방식에 대한 디바이스 연결이 시작되지 않습니다.

타사 Linux 배포 도구(Puppet, Ansible, Chef)

현재 배포 방법에서 온보딩 패키지 파일을 바꿉 수 있습니다.

마이그레이션된 디바이스에 대해 간소화된 방법으로 디바이스 연결 확인

다음 방법을 사용하여 Windows 디바이스를 성공적으로 연결한 검사 수 있습니다.

• 클라이언트 분석기
• Microsoft Defender XDR 고급 헌팅을 사용하여 추적
• 이벤트 뷰어 사용하여 로컬로 추적(Windows용)
• 테스트를 실행하여 엔드포인트용 Defender 서비스와의 연결 확인
• 레지스트리 편집기 확인
• PowerShell 검색 테스트

macOS 및 Linux의 경우 다음 방법을 사용할 수 있습니다.

• MDATP 연결 테스트
• Microsoft Defender XDR 고급 헌팅을 사용하여 추적
• 테스트를 실행하여 엔드포인트용 Defender 서비스와의 연결 확인

엔드포인트용 Defender 클라이언트 분석기(Windows)를 사용하여 마이그레이션된 엔드포인트에 대한 온보딩 후 연결 유효성 검사

온보딩되면 MDE Client Analyzer를 실행하여 디바이스가 적절한 업데이트된 URL에 연결되고 있는지 확인합니다.

엔드포인트용 Defender 센서가 실행 중인 엔드포인트용 Microsoft Defender Client Analyzer 도구를 다운로드합니다.

엔드포인트용 Microsoft Defender 서비스에 대한 클라이언트 연결 확인에서와 동일한 지침을 따를 수 있습니다. 스크립트는 디바이스에 구성된 온보딩 패키지를 자동으로 사용하여(버전 간소화되어야 함) 연결을 테스트합니다.

적절한 URL을 사용하여 연결이 설정되었는지 확인합니다.

Microsoft Defender XDR 고급 헌팅을 사용하여 추적

Microsoft Defender 포털에서 고급 헌팅을 사용하여 상태 연결 유형을 볼 수 있습니다.

이 정보는 DeviceInfo 테이블의 "ConnectivityType" 열 아래에 있습니다.

• 열 이름: ConnectivityType
• 가능한 값: <blank>, 간소화됨, 표준
• 데이터 형식: 문자열
• 설명: 디바이스에서 클라우드로의 연결 유형

간소화된 메서드를 사용하도록 디바이스를 마이그레이션하고 디바이스가 EDR 명령 & 제어 채널과의 성공적인 통신을 설정하면 값은 "약식"으로 표시됩니다.

디바이스를 다시 일반 메서드로 이동하면 값이 "표준"입니다.

아직 다시 등록을 시도하지 않은 디바이스의 경우 값은 비어 있습니다.

Windows 이벤트 뷰어 통해 디바이스에서 로컬로 추적

Windows 이벤트 뷰어 SENSE 운영 로그를 사용하여 새로운 간소화된 접근 방식을 사용하여 로컬로 연결의 유효성을 검사할 수 있습니다. SENSE 이벤트 ID 4는 성공적인 EDR 연결을 추적합니다.

다음 단계를 사용하여 엔드포인트용 Defender 서비스 이벤트 로그를 엽니다.

1. Windows 메뉴에서 시작을 선택한 다음, 이벤트 뷰어 입력합니다. 그런 다음, 이벤트 뷰어 선택합니다.

2. 로그 목록의 로그 요약에서 Microsoft-Windows-SENSE/Operational이 표시될 때까지 아래로 스크롤합니다. 항목을 두 번 클릭하여 로그를 엽니다.

   

   애플리케이션 및 서비스 로그 Microsoft>Windows>SENSE를 확장하고 작동을 선택하여 로그에> 액세스할 수도 있습니다.

3. 이벤트 ID 4는 엔드포인트용 Defender 명령 & 제어 채널과의 성공적인 연결을 추적합니다. 업데이트된 URL을 사용하여 성공적인 연결을 확인합니다. 예를 들면

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. 메시지 1에는 연락처 URL이 포함됩니다. 이벤트에 간소화된 URL(endpoint.security.microsoft, com)이 포함되어 있는지 확인합니다.

5. 이벤트 ID 5는 해당하는 경우 오류를 추적합니다.

참고

SENSE는 엔드포인트용 Microsoft Defender 구동하는 동작 센서를 참조하는 데 사용되는 내부 이름입니다.
서비스에서 기록한 이벤트는 로그에 표시됩니다.
자세한 내용은 이벤트 뷰어 사용하여 이벤트 및 오류 검토를 참조하세요.

테스트를 실행하여 엔드포인트용 Defender 서비스와의 연결 확인

디바이스가 엔드포인트용 Defender에 온보딩되면 디바이스 인벤토리에 계속 표시되는지 확인합니다. DeviceID는 동일하게 유지되어야 합니다.

디바이스 페이지 타임라인 탭을 확인하여 디바이스에서 이벤트가 흐르고 있는지 확인합니다.

라이브 응답

라이브 응답이 테스트 디바이스에서 작동하는지 확인합니다. 라이브 응답을 사용하여 디바이스에서 엔터티 조사의 지침을 따릅니다.

연결 후 몇 가지 기본 명령을 실행하여 연결(예: cd, 작업, 연결)을 확인해야 합니다.

자동화된 조사 및 응답

테스트 디바이스에서 자동 조사 및 응답이 작동하는지 확인합니다. 자동화된 조사 및 응답 기능 구성.

자동 IR 테스트 랩의 경우 Microsoft Defender XDR>Evaluations & 자습서>자습서 & 시뮬레이션> **자습서 >자동화된 조사 자습서로 이동합니다.

클라우드 제공 보호

1. 관리자 권한으로 명령 프롬프트를 엽니다.

2. 시작 메뉴에서 항목을 마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택한 다음 권한 프롬프트에서 예를 선택합니다.

3. Microsoft Defender 바이러스 백신 명령줄 유틸리티(mpcmdrun.exe)와 함께 다음 인수를 사용하여 네트워크가 Microsoft Defender 바이러스 백신 클라우드 서비스와 통신할 수 있는지 확인합니다.

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

참고

이 명령은 Windows 10, 버전 1703 이상 또는 Windows 11만 작동합니다. 자세한 내용은 mpcmdrun.exe 명령줄 도구를 사용하여 Microsoft Defender 바이러스 백신 관리를 참조하세요.

즉각적 테스트 블록

BAFS(즉각적 차단) 데모의 엔드포인트용 Microsoft Defender 지침을 따릅니다.

SmartScreen 테스트

Microsoft Defender SmartScreen 데모(msft.net)의 지침을 따릅니다.

PowerShell 검색 테스트

1. Windows 장치에서 C:\test-MDATP-test 폴더를 만듭니다.

2. 명령 프롬프트를 관리자로 엽니다.

3. 명령 프롬프트 창에서 다음 PowerShell 명령을 실행합니다.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

명령이 실행되면 명령 프롬프트 창이 자동으로 닫힙니다. 성공하면 검색 테스트가 완료된 것으로 표시됩니다.

macOS 및 Linux의 경우 다음 방법을 사용할 수 있습니다.

• MDATP 연결 테스트
• Microsoft Defender XDR 고급 헌팅을 사용하여 추적
• 테스트를 실행하여 엔드포인트용 Defender 서비스와의 연결 확인

MDATP 연결 테스트(macOS 및 Linux)

를 실행 mdatp health -details features 하여 simplified_connectivity 확인합니다. "enabled".

를 실행 mdatp health -details edr 하여 사용 가능한지 확인 edr_partner_geo_location 합니다. 값은 테넌트의 지리적 위치인 'geo'여야 합니다 GW_<geo> .

mdatp 연결 테스트를 실행합니다. 간소화된 URL 패턴이 있는지 확인합니다. '\storage'에 대해 2개, '\mdav'에 하나씩, '\xplat'에 하나씩, '/packages'에 대해 하나씩 예상해야 합니다.

예: https:mdav.us.endpoint.security.microsoft/com/storage

Microsoft Defender XDR 고급 헌팅을 사용하여 추적

Windows와 동일한 지침을 따릅니다.

엔드포인트용 Defender 클라이언트 분석기(플랫폼 간)를 사용하여 새로 마이그레이션된 엔드포인트에 대한 연결 유효성 검사

macOS 또는 Linux용 클라이언트 분석기를 다운로드하고 실행합니다. 자세한 내용은 클라이언트 분석기 다운로드 및 실행을 참조하세요.

1. MDEClientAnalyzer 폴더 내에서 를 실행 mdeclientanalyzer.cmd -o <path to cmd file> 합니다. 명령은 온보딩 패키지의 매개 변수를 사용하여 연결을 테스트합니다.

2. 실행 mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (여기서 매개 변수는 GW_US, GW_EU, GW_UK). GW는 간소화된 옵션을 나타냅니다. 해당 테넌트 지역에서 실행합니다.