Del via

Overføre enheter for å bruke den strømlinjeformede tilkoblingsmetoden

  • Artikkel

Gjelder for:

Denne artikkelen beskriver hvordan du overfører (om border) enheter som tidligere var koblet til Defender for Endpoint, for å bruke den strømlinjeformede metoden for enhetstilkobling. Hvis du vil ha mer informasjon om strømlinjeformet tilkobling, kan du se Pålastingsenheter ved hjelp av strømlinjeformet tilkobling. Enheter må oppfylle forutsetningene som er oppført i strømlinjeformet tilkobling.

I de fleste tilfeller er ikke fullstendig enhets offboarding nødvendig når du er pålasting på nytt. Du kan kjøre den oppdaterte pålastingspakken og starte enheten på nytt for å bytte tilkobling. Se følgende informasjon for mer informasjon om individuelle operativsystemer.

Viktig

Begrensninger og kjente problemer:

  • Vi fant et bakproblem med utfylling av ConnectivityTypeDeviceInfo table kolonnen i avansert jakt, slik at du kan spore overføringsfremdriften. Vi tar sikte på å løse dette problemet så snart som mulig.
  • For enhetsoverføringer (omlasting): Avlasting kreves ikke for å bytte til strømlinjeformet tilkoblingsmetode. Når den oppdaterte pålastingspakken kjøres, kreves en fullstendig omstart av enheten for Windows-enheter, og en omstart av tjenesten for macOS og Linux. Hvis du vil ha mer informasjon, kan du se detaljene i denne artikkelen.
  • Windows 10 versjoner 1607, 1703, 1709 og 1803 støtter ikke omlasting. Offboard først og deretter ombord ved hjelp av den oppdaterte pakken. Disse versjonene krever også en lengre url-liste.
  • Enheter som kjører MMA-agenten støttes ikke og må fortsette å bruke MMA-pålastingsmetoden.

Overføre enheter ved hjelp av den strømlinjeformede metoden

Overføringsanbefaling

  • Begynn i det små. Det anbefales å starte med et lite sett med enheter først. Bruk pålastings-bloben ved hjelp av et av de støttede distribusjonsverktøyene, og overvåk deretter for tilkobling. Hvis du bruker en ny pålastingspolicy, må du sørge for å utelate enheter fra andre eksisterende pålastingspolicyer for å forhindre konflikter.

  • Valider og overvåk. Når du har pålastet det lille settet med enheter, må du validere at enhetene er pålastet og kommuniserer med tjenesten.

  • Fullfør overføringen. På dette stadiet kan du gradvis rulle ut overføringen til et større sett med enheter. Hvis du vil fullføre overføringen, kan du erstatte tidligere pålastingspolicyer og fjerne de gamle nettadressene fra nettverksenheten.

Valider forutsetninger for enheten før du fortsetter med overføringer. Denne informasjonen bygger på den forrige artikkelen ved å fokusere på overføring av eksisterende enheter.

Hvis du vil om borde enheter, må du bruke den strømlinjeformede pålastingspakken. Hvis du vil ha mer informasjon om hvordan du får tilgang til pakken, kan du se Strømlinjeformet tilkobling.

Overføringer kan kreve omstart eller omstart av en enhetstjeneste, avhengig av operativsystemet når pålastingspakken er brukt:

  • Windows: starte enheten på nytt

  • macOS: Start enheten på nytt, eller start Defender for Endpoint-tjenesten på nytt ved å kjøre:

    1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
    2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

  • Linux: Start Defender for Endpoint-tjenesten på nytt ved å kjøre: sudo systemctl restart mdatp

Tabellen nedenfor viser overføringsinstruksjoner for tilgjengelige pålastingsverktøy basert på enhetens operativsystem.

Windows 10 og 11

Viktig

Windows 10 versjon 1607, 1703, 1709 og 1803 støtter ikke omlasting. Hvis du vil overføre eksisterende enheter, må du gå om bord og om bord ved hjelp av den strømlinjeformede pålastingspakken.

Hvis du vil ha generell informasjon om pålasting av Windows-klientenheter, kan du se Onboarding Windows Client.

Bekreft at forutsetningene er oppfylt: Forutsetninger for bruk av strømlinjeformet metode.

Lokalt skript

Følg veiledningen i lokalt skript (opptil 10 enheter) ved hjelp av den strømlinjeformede pålastingspakken. Når du har fullført trinnene, må du starte enheten på nytt for at enhetstilkoblingen skal kunne byttes.

Gruppepolicy

Følg veiledningen i gruppepolicyen ved hjelp av den strømlinjeformede pålastingspakken. Når du har fullført trinnene, må du starte enheten på nytt for at enhetstilkoblingen skal kunne byttes.

Microsoft Intune

Følg veiledningen i Intune ved hjelp av den strømlinjeformede pålastingspakken. Du kan bruke alternativet «Automatisk fra kobling». Dette alternativet bruker imidlertid ikke pålastingspakken automatisk. Opprett en ny pålastingspolicy og målrette en testgruppe først. Når du har fullført trinnene, må du starte enheten på nytt for at enhetstilkoblingen skal kunne byttes.

Microsoft Configuration Manager

Følg veiledningen i Configuration Manager.

VDI

Bruk veiledningen i innebygde virtuelle skrivebordsinfrastrukturenheter (VDI). Når du har fullført trinnene, må du starte enheten på nytt for at enhetstilkoblingen skal kunne byttes.

Kontrollere enhetstilkobling med strømlinjeformet metode for overførte enheter

Du kan bruke følgende metoder for å kontrollere at du har koblet til Windows-enheter:

For macOS og Linux kan du bruke følgende metoder:

  • MDATP-tilkoblingstester
  • Sporing med avansert jakt i Microsoft Defender XDR
  • Kjør tester for å bekrefte tilkobling med Defender for Endpoint-tjenester

Bruk Defender for Endpoint Client Analyzer (Windows) til å validere tilkobling etter pålasting for overførte endepunkter

Når den er pålastet, kjører du MDE Client Analyzer for å bekrefte at enheten kobler til de aktuelle oppdaterte URL-adressene.

Last ned verktøyet Microsoft Defender for endepunkt Client Analyzer der Defender for Endpoint-sensoren kjører.

Du kan følge de samme instruksjonene som i Bekreft klienttilkobling til Microsoft Defender for endepunkt-tjenesten. Skriptet bruker automatisk pålastingspakken som er konfigurert på enheten (skal være strømlinjeformet versjon) til å teste tilkoblingen.

Kontroller at tilkoblingen er opprettet med de riktige URL-adressene.

Sporing med avansert jakt i Microsoft Defender XDR

Du kan bruke avansert jakt i Microsoft Defender portal for å vise status for tilkoblingstype.

Denne informasjonen finnes i DeviceInfo-tabellen under kolonnen ConnectivityType:

  • Kolonnenavn: ConnectivityType
  • Mulige verdier: <blank>, Strømlinjeformet, Standard
  • Datatype: Streng
  • Beskrivelse: Type tilkobling fra enheten til skyen

Når en enhet er overført for å bruke den strømlinjeformede metoden, og enheten etablerer vellykket kommunikasjon med EDR-kommandoen & kontrollkanal, representeres verdien som «Strømlinjeformet».

Hvis du flytter enheten tilbake til den vanlige metoden, er verdien «standard».

For enheter som ennå ikke har forsøkt å bli om bord, forblir verdien tom.

Spore lokalt på en enhet via Windows Hendelsesliste

Du kan bruke driftsloggen for Sense i Windows Hendelsesliste til lokalt å validere tilkoblinger med den nye strømlinjeformede tilnærmingen. SENSE-hendelses-ID 4 sporer vellykkede EDR-tilkoblinger.

Åpne hendelsesloggen for Defender for Endpoint-tjenesten ved hjelp av følgende trinn:

  1. Velg Start på Windows-menyen, og skriv deretter inn Hendelsesliste. Velg deretter Hendelsesliste.

  2. Bla nedover i logglisten under Loggsammendrag til du ser Microsoft-Windows-SENSE/Drift. Dobbeltklikk elementet for å åpne loggen.

    Skjermbilde av Hendelsesliste med loggsammendragsdel

    Du kan også få tilgang til loggen ved å utvideProgrammer og tjenestelogger>Microsoft>Windows>SENSE og velge Operasjonelt.

  3. Hendelses-ID 4 sporer vellykkede tilkoblinger med Defender for Endpoint Command & Control-kanal. Kontroller vellykkede tilkoblinger med oppdatert URL-adresse. Eksempel:

    Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
<EventData>
 <Data Name="UInt1">6</Data>
 <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
</EventData>

  4. Melding 1 inneholder den kontaktede URL-adressen. Bekreft at hendelsen inkluderer den strømlinjeformede nettadressen (endpoint.security.microsoft, com).

  5. Hendelses-ID 5 sporer feil hvis det er aktuelt.

Obs!

SENSE er det interne navnet som brukes til å referere til atferdssensoren som driver Microsoft Defender for endepunkt.
Hendelser som registreres av tjenesten, vises i loggen.
Hvis du vil ha mer informasjon, kan du se Se gjennom hendelser og feil ved hjelp av Hendelsesliste.

Kjør tester for å bekrefte tilkobling med Defender for Endpoint-tjenester

Når enheten er koblet til Defender for endepunkt, validerer du at den fortsetter å vises i enhetsbeholdningen. DeviceID skal forbli den samme.

Kontroller tidslinjefanen for enhetssiden for å bekrefte at hendelser flyter fra enheten.

Direkte svar

Sørg for at Live Response fungerer på testenheten. Følg instruksjonene i Undersøk enheter på enheter ved hjelp av direkte respons.

Pass på å kjøre et par grunnleggende kommandoer etter tilkobling for å bekrefte tilkobling (for eksempel CD, jobber, koble til).

Automatisert undersøkelse og svar

Sørg for at automatisert undersøkelse og respons fungerer på testenheten: Konfigurer automatiserte undersøkelses- og svarfunksjoner.

Gå til Microsoft Defender XDREvalueringer &>opplæringsopplæringer> & Simuleringer > **Opplæringer > for automatisert undersøkelse for testlaboratorier for automatisk ir-IR.

Skybasert beskyttelse

  1. Åpne en ledetekst som administrator.

  2. Høyreklikk på elementet på Start-menyen, velg Kjør som administrator , og velg Deretter Ja i tillatelsesledeteksten.

  3. Bruk følgende argument med kommandolinjeverktøyet Microsoft Defender Antivirus (mpcmdrun.exe) for å bekrefte at nettverket kan kommunisere med Microsoft Defender Antivirus-skytjenesten:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Obs!

Denne kommandoen fungerer bare på Windows 10, versjon 1703 eller nyere eller Windows 11. Hvis du vil ha mer informasjon, kan du se Behandle Microsoft Defender Antivirus med kommandolinjeverktøyet mpcmdrun.exe.

Testblokk ved første blikk

Følg instruksjonene i demonstrasjonen Microsoft Defender for endepunkt Block at First Sight (BAFS).

Test SmartScreen

Følg instruksjonene i Microsoft Defender SmartScreen-demonstrasjon (msft.net).

PowerShell-gjenkjenningstest

  1. Opprett en mappe på Windows-enheten: C:\test-MDATP-test.

  2. Åpne ledeteksten som administrator.

  3. Kjør følgende PowerShell-kommando i ledetekstvinduet:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

Når kommandoen kjøres, lukkes ledetekstvinduet automatisk. Hvis den lykkes, merkes gjenkjenningstesten som fullført.

For macOS og Linux kan du bruke følgende metoder:

  • MDATP-tilkoblingstester
  • Sporing med avansert jakt i Microsoft Defender XDR
  • Kjør tester for å bekrefte tilkobling med Defender for Endpoint-tjenester

MDATP-tilkoblingstest (macOS og Linux)

Kjør mdatp health -details features for å bekrefte simplified_connectivity: «aktivert».

Kjør mdatp health -details edr for å bekrefte edr_partner_geo_location at det er tilgjengelig. Verdien skal være GW_<geo> der geo er tenantens geografiske plassering.

Kjør mdatp-tilkoblingstest. Kontroller at det strømlinjeformede nettadressemønsteret finnes. Du bør forvente to for «\storage», én for «\mdav», én for «\xplat» og én for «/packages».

For eksempel: https:mdav.us.endpoint.security.microsoft/com/storage

Sporing med avansert jakt i Microsoft Defender XDR

Følg de samme instruksjonene som for Windows.

Bruk Defender for Endpoint Client Analyzer (på tvers av plattform) til å validere tilkobling for nylig overførte endepunkter

Last ned og kjør klientanalyse for macOS eller Linux. Hvis du vil ha mer informasjon, kan du se Laste ned og kjøre klientanalyse.

  1. Kjør mdeclientanalyzer.cmd -o <path to cmd file> fra MDEClientAnalyzer-mappen. Kommandoen bruker parametere fra pålastingspakken til å teste tilkoblingen.

  2. Kjør mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (der parameteren er av GW_US, GW_EU, GW_UK). GW refererer til det strømlinjeformede alternativet. Kjør med gjeldende geo-leier.