Migrowanie urządzeń w celu użycia uproszczonej metody łączności

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

W tym artykule opisano sposób migrowania (ponownego dołączania) urządzeń, które zostały wcześniej dołączone do usługi Defender for Endpoint w celu użycia uproszczonej metody łączności urządzeń. Aby uzyskać więcej informacji na temat usprawnionej łączności, zobacz Dołączanie urządzeń przy użyciu usprawnionej łączności. Urządzenia muszą spełniać wymagania wstępne wymienione w temacie Usprawniona łączność.

W większości przypadków podczas ponownego dołączania nie jest wymagane pełne odłączanie urządzenia. Możesz uruchomić zaktualizowany pakiet dołączania i ponownie uruchomić urządzenie, aby przełączyć łączność. Aby uzyskać szczegółowe informacje na temat poszczególnych systemów operacyjnych, zobacz następujące informacje.

Ważna

Ograniczenia i znane problemy:

• Znaleźliśmy problem z zapleczem podczas wypełniania ConnectivityType kolumny w zaawansowanym środowisku DeviceInfo table wyszukiwania zagrożeń, dzięki czemu można śledzić postęp migracji. Staramy się rozwiązać ten problem tak szybko, jak to możliwe.
• W przypadku migracji urządzeń (ponowne dołączanie): odłączanie nie jest wymagane do przełączenia się na usprawnioną metodę łączności. Po uruchomieniu zaktualizowanego pakietu dołączania dla urządzeń z systemem Windows wymagany jest pełny ponowny rozruch urządzenia i ponowne uruchomienie usługi dla systemów macOS i Linux. Aby uzyskać więcej informacji, zobacz szczegóły zawarte w tym artykule.
• Windows 10 wersje 1607, 1703, 1709 i 1803 nie obsługują ponownego dołączania. Najpierw odłącz, a następnie dołącz przy użyciu zaktualizowanego pakietu. Te wersje wymagają również dłuższej listy adresów URL.
• Urządzenia z agentem MMA nie są obsługiwane i muszą nadal korzystać z metody dołączania mma.

Migrowanie urządzeń przy użyciu uproszczonej metody

Zalecenie dotyczące migracji

• Rozpocznij od małego. Zaleca się, aby najpierw zacząć od małego zestawu urządzeń. Zastosuj obiekt blob dołączania przy użyciu dowolnego z obsługiwanych narzędzi wdrażania, a następnie monitoruj pod kątem łączności. Jeśli używasz nowych zasad dołączania, aby zapobiec konfliktom, pamiętaj o wykluczeniu urządzenia z innych istniejących zasad dołączania.

• Weryfikowanie i monitorowanie. Po dołączeniu małego zestawu urządzeń sprawdź, czy urządzenia zostały pomyślnie dołączone i komunikują się z usługą.

• Zakończ migrację. Na tym etapie można stopniowo wdrażać migrację do większego zestawu urządzeń. Aby ukończyć migrację, można zastąpić poprzednie zasady dołączania i usunąć stare adresy URL z urządzenia sieciowego.

Przed kontynuowaniem migracji zweryfikuj wymagania wstępne dotyczące urządzeń . Te informacje są bazowane na poprzednim artykule, koncentrując się na migrowaniu istniejących urządzeń.

Aby ponownie zapisać urządzenia, należy użyć uproszczonego pakietu dołączania. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do pakietu, zobacz Usprawniona łączność.

W zależności od systemu operacyjnego migracje mogą wymagać ponownego uruchomienia urządzenia lub ponownego uruchomienia usługi po zastosowaniu pakietu dołączania:

• Windows: ponowne uruchamianie urządzenia

• macOS: uruchom ponownie urządzenie lub uruchom ponownie usługę Defender for Endpoint, uruchamiając następujące polecenie:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: uruchom ponownie usługę Defender for Endpoint, uruchamiając następujące polecenie: sudo systemctl restart mdatp

W poniższej tabeli wymieniono instrukcje migracji dostępnych narzędzi dołączania w oparciu o system operacyjny urządzenia.

Windows 10 i 11

Windows 10 i 11

Ważna

Windows 10 wersji 1607, 1703, 1709 i 1803 nie obsługują ponownego dołączania. Aby przeprowadzić migrację istniejących urządzeń, należy całkowicie odłączyć i dołączyć je przy użyciu uproszczonego pakietu dołączania.

Aby uzyskać ogólne informacje na temat dołączania urządzeń klienckich z systemem Windows, zobacz Dołączanie klienta systemu Windows.

Upewnij się, że zostały spełnione wymagania wstępne: wymagania wstępne dotyczące korzystania z uproszczonej metody.

Skrypt lokalny

Postępuj zgodnie ze wskazówkami w temacie Skrypt lokalny (maksymalnie 10 urządzeń) przy użyciu uproszczonego pakietu dołączania. Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

Zasady grupy

Postępuj zgodnie ze wskazówkami w temacie Zasady grupy , korzystając z uproszczonego pakietu dołączania. Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

Microsoft Intune

Postępuj zgodnie ze wskazówkami w Intune przy użyciu uproszczonego pakietu dołączania. Możesz użyć opcji "automatycznie z łącznika"; Jednak ta opcja nie powoduje automatycznego ponownego zastosowania pakietu dołączania. Twórca nowe zasady dołączania i najpierw należy kierować grupę testową. Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

Microsoft Configuration Manager

Postępuj zgodnie ze wskazówkami w Configuration Manager.

VDI

Skorzystaj ze wskazówek w temacie Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI). Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

Serwer z systemem Windows

Serwer z systemem Windows

Aby uzyskać ogólne informacje na temat dołączania urządzeń z systemem Windows Server, zobacz Dołączanie serwerów z systemem Windows do usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

Upewnij się, że zostały spełnione wymagania wstępne: wymagania wstępne dotyczące usprawnianej metody.

Microsoft Defender for Cloud

Urządzenia, które zostały już dołączone, nie są automatycznie dołączane ponownie. Włącz następujące ustawienie Funkcji zaawansowane w portalu Microsoft Defender (Ustawienia > punkty końcowe > funkcje zaawansowane) i wybierz opcję "Zastosuj uproszczone ustawienia łączności do urządzeń zarządzanych przez Intune i usługę Defender for Cloud". Nowo dodane urządzenia zaczynają korzystać z nowych informacji o dołączaniu w ciągu około 48 godzin. Aby ponownie dołączyć istniejące urządzenia, zastosuj skrypt dołączania — zobacz Dołączanie serwerów z systemem Windows do usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

Microsoft Configuration Manager

Postępuj zgodnie ze wskazówkami w Configuration Manager, aby wdrożyć nowe zasady.

Zasady grupy

Postępuj zgodnie ze wskazówkami w temacie Zasady grupy , korzystając z uproszczonego pakietu dołączania. Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

VDI

Postępuj zgodnie ze wskazówkami w temacie Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI). Po wykonaniu tych kroków należy ponownie uruchomić urządzenie, aby można było przełączyć się na urządzenie.

macOS

macOS

Aby uzyskać ogólne informacje na temat dołączania urządzeń z systemem macOS, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Upewnij się, że zostały spełnione wymagania wstępne: wymagania wstępne dotyczące usprawnianej metody.

Skrypt lokalny

Postępuj zgodnie ze wskazówkami w temacie Ręczne wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu uproszczonego pakietu dołączania.

Po wykonaniu tych kroków należy ponownie uruchomić urządzenie lub ponownie uruchomić usługę w celu przełączenia się.

Microsoft Intune

1. W Microsoft Intune utwórz nowe zasady dołączania przy użyciu profilu konfiguracji niestandardowej. Nie przypisz go jeszcze. Postępuj zgodnie z instrukcjami w sekcji wdrażanie oparte na Intune dla Ochrona punktu końcowego w usłudze Microsoft Defender na komputerach Mac.

2. Wyklucz ponownie dołączane urządzenie z systemem macOS z istniejących zasad dołączania. Aby dowiedzieć się więcej na temat wykluczania grup z przypisań zasad, zobacz Wykluczanie grup z przypisania zasad.

3. Dodaj przypisanie zasad przy użyciu uproszczonego pakietu dołączania.

4. Uruchom ponownie urządzenie.

JAMF Pro

1. Wyklucz urządzenie z istniejących zasad dołączania w narzędziu JAMF Pro.

2. Twórca nowe zasady dołączania w celu usprawnionego podejścia do łączności.

3. Dołącz urządzenie do nowych usprawnionych zasad dołączania.

4. Ponowne uruchomienie urządzenia, jeśli zostało wcześniej dołączone do usługi Defender for Endpoint. Alternatywnie można ponownie uruchomić usługę przy użyciu następujących poleceń:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

Aby uzyskać więcej wytycznych jamf, zobacz Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu narzędzia JAMF Pro.

Linux

Linux

Aby uzyskać ogólne informacje na temat dołączania urządzeń z systemem Linux, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Upewnij się, że zostały spełnione wymagania wstępne: wymagania wstępne dotyczące usprawnianej metody.

Skrypt lokalny

Skorzystaj ze wskazówek w temacie Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux ręcznie, korzystając z uproszczonego pakietu dołączania.

Po wykonaniu tych kroków należy ponownie uruchomić urządzenie lub ponownie uruchomić usługę przy użyciu polecenia sudo systemctl restart mdatp.

Łączność urządzenia z usprawnionym podejściem nie jest uruchamiana, jeśli urządzenie nie zostanie ponownie uruchomione.

Narzędzia wdrażania systemu Linux innych firm (Puppet, Ansible, Chef)

Zastąp plik pakietu dołączania w bieżącej metodzie wdrażania.

Weryfikowanie łączności urządzeń za pomocą usprawnionej metody dla zmigrowanych urządzeń

Aby sprawdzić, czy urządzenia z systemem Windows zostały pomyślnie połączone, można użyć następujących metod:

• Analizator klienta
• Śledzenie z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR
• Śledzenie lokalnie przy użyciu Podgląd zdarzeń (dla systemu Windows)
• Uruchamianie testów w celu potwierdzenia łączności z usługą Defender for Endpoint Services
• Sprawdzanie edytora rejestru
• Test wykrywania programu PowerShell

W systemach macOS i Linux można użyć następujących metod:

• Testy łączności MDATP
• Śledzenie z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR
• Uruchamianie testów w celu potwierdzenia łączności z usługą Defender for Endpoint Services

Użyj usługi Defender for Endpoint Client Analyzer (Windows), aby zweryfikować łączność po dołączeniu do zmigrowanych punktów końcowych

Po dołączeniu uruchom MDE Client Analyzer, aby potwierdzić, że urządzenie łączy się z odpowiednimi zaktualizowanymi adresami URL.

Pobierz narzędzie Ochrona punktu końcowego w usłudze Microsoft Defender Client Analyzer, w którym działa czujnik usługi Defender for Endpoint.

Możesz postępować zgodnie z tymi samymi instrukcjami, co w temacie Weryfikowanie łączności klienta z usługą Ochrona punktu końcowego w usłudze Microsoft Defender. Skrypt automatycznie używa pakietu dołączania skonfigurowanego na urządzeniu (powinna być uproszczona wersja) do testowania łączności.

Upewnij się, że nawiązano łączność przy użyciu odpowiednich adresów URL.

Śledzenie z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR

Możesz użyć zaawansowanego wyszukiwania zagrożeń w portalu Microsoft Defender, aby wyświetlić stan typu łączności.

Te informacje znajdują się w tabeli DeviceInfo w kolumnie "ConnectivityType":

• Nazwa kolumny: Typ łączności
• Możliwe wartości: <blank>, Usprawnione, Standardowe
• Typ danych: Ciąg
• Opis: Typ łączności z urządzenia do chmury

Po przeprowadzeniu migracji urządzenia w celu użycia uproszczonej metody i nawiązaniu przez urządzenie pomyślnej komunikacji z kanałem sterowania & EDR wartość jest reprezentowana jako "Usprawniona".

Jeśli przeniesiesz urządzenie z powrotem do zwykłej metody, wartość to "standardowa".

W przypadku urządzeń, które nie zostały jeszcze ponownie dołączone, wartość pozostaje pusta.

Śledzenie lokalnie na urządzeniu za pośrednictwem systemu Windows Podgląd zdarzeń

Dziennik operacyjny SENSE systemu Windows Podgląd zdarzeń umożliwia lokalne weryfikowanie połączeń przy użyciu nowego usprawnionego podejścia. Sense Event ID 4 śledzi pomyślne połączenia EDR.

Otwórz dziennik zdarzeń usługi Defender for Endpoint, wykonując następujące kroki:

1. W menu Systemu Windows wybierz pozycję Start, a następnie wpisz Podgląd zdarzeń. Następnie wybierz pozycję Podgląd zdarzeń.

2. Na liście dzienników w obszarze Podsumowanie dziennika przewiń w dół, aż zobaczysz pozycję Microsoft-Windows-SENSE/Operational. Kliknij dwukrotnie element, aby otworzyć dziennik.

   

   Dostęp do dziennika można również uzyskać, rozwijając pozycjęDzienniki>aplikacji i usług Microsoft>Windows>SENSE i wybierając pozycję Operacje.

3. Zdarzenie o identyfikatorze 4 śledzi pomyślne połączenia z kanałem & kontroli poleceń usługi Defender for Endpoint. Sprawdź pomyślne połączenia ze zaktualizowanym adresem URL. Przykład:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. Komunikat 1 zawiera kontaktowany adres URL. Potwierdź, że zdarzenie zawiera usprawniony adres URL (endpoint.security.microsoft, com).

5. Identyfikator zdarzenia 5 śledzi błędy, jeśli ma to zastosowanie.

Uwaga

SENSE to nazwa wewnętrzna używana do odwoływania się do czujnika behawioralnego, który obsługuje Ochrona punktu końcowego w usłudze Microsoft Defender.
Zdarzenia zarejestrowane przez usługę będą wyświetlane w dzienniku.
Aby uzyskać więcej informacji, zobacz Przeglądanie zdarzeń i błędów przy użyciu Podgląd zdarzeń.

Uruchamianie testów w celu potwierdzenia łączności z usługą Defender for Endpoint Services

Po dołączeniu urządzenia do usługi Defender for Endpoint sprawdź, czy nadal jest ono wyświetlane w spisie urządzeń. Identyfikator DeviceID powinien pozostać taki sam.

Sprawdź kartę Oś czasu strony urządzenia, aby potwierdzić, że zdarzenia przepływają z urządzenia.

Odpowiedź na żywo

Upewnij się , że odpowiedź na żywo działa na urządzeniu testowym. Postępuj zgodnie z instrukcjami w temacie Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo.

Upewnij się, że po połączeniu uruchomisz kilka podstawowych poleceń, aby potwierdzić łączność (np. cd, jobs, connect).

Zautomatyzowane badanie i reagowanie

Upewnij się, że automatyczne badanie i reagowanie działa na urządzeniu testowym: Konfigurowanie funkcji zautomatyzowanego badania i reagowania.

W przypadku laboratoriów testowania automatycznego środowiska IR przejdź do Microsoft Defender XDR>Samouczki samouczków & samouczków>& symulacji> **Samouczki samouczków >z automatycznym badaniem.

Ochrona dostarczana przez chmurę

1. Otwórz wiersz polecenia jako administrator.

2. Kliknij prawym przyciskiem myszy element w menu Start, wybierz pozycję Uruchom jako administrator , a następnie wybierz pozycję Tak w wierszu polecenia uprawnień.

3. Użyj następującego argumentu z narzędziem wiersza polecenia programu antywirusowego Microsoft Defender (mpcmdrun.exe), aby sprawdzić, czy sieć może komunikować się z usługą w chmurze programu antywirusowego Microsoft Defender:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

Uwaga

To polecenie będzie działać tylko w Windows 10, wersji 1703 lub nowszej lub Windows 11. Aby uzyskać więcej informacji, zobacz Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool (Zarządzanie programem antywirusowym Microsoft Defender przy użyciu narzędzia wiersza polecenia mpcmdrun.exe).

Blok testowy od pierwszego wejrzenia

Postępuj zgodnie z instrukcjami w pokazie Ochrona punktu końcowego w usłudze Microsoft Defender Blokuj od pierwszego wejrzenia (BAFS).

Testowanie filtru SmartScreen

Postępuj zgodnie z instrukcjami w Microsoft Defender Pokaz SmartScreen (msft.net).

Test wykrywania programu PowerShell

1. Na urządzeniu z systemem Windows utwórz folder: C:\test-MDATP-test.

2. Otwórz wiersz polecenia jako administrator.

3. W oknie wiersza polecenia uruchom następujące polecenie programu PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Po uruchomieniu polecenia okno wiersza polecenia zostanie zamknięte automatycznie. Jeśli test wykrywania zakończy się pomyślnie, zostanie oznaczony jako ukończony.

W systemach macOS i Linux można użyć następujących metod:

• Testy łączności MDATP
• Śledzenie z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR
• Uruchamianie testów w celu potwierdzenia łączności z usługą Defender for Endpoint Services

Test łączności MDATP (macOS i Linux)

Uruchom polecenie mdatp health -details features , aby potwierdzić, simplified_connectivity: "włączone".

Uruchom polecenie mdatp health -details edr , aby potwierdzić, że edr_partner_geo_location jest dostępna. Wartość powinna być GW_<geo> tam, gdzie "geo" jest lokalizacją geograficzną dzierżawy.

Uruchom test łączności mdatp. Upewnij się, że istnieje uproszczony wzorzec adresu URL. Należy spodziewać się dwóch dla "\storage", jednego dla "\mdav", jednego dla "\xplat" i jednego dla "/packages".

Przykład: https:mdav.us.endpoint.security.microsoft/com/storage

Śledzenie z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR

Postępuj zgodnie z tymi samymi instrukcjami, co w przypadku systemu Windows.

Weryfikowanie łączności dla nowo zmigrowanych punktów końcowych za pomocą analizatora klienta usługi Defender for Endpoint (między platformami)

Pobierz i uruchom analizator klienta dla systemu macOS lub Linux. Aby uzyskać więcej informacji, zobacz Pobieranie i uruchamianie analizatora klienta.

1. Uruchom polecenie mdeclientanalyzer.cmd -o <path to cmd file> z poziomu folderu MDEClientAnalyzer. Polecenie używa parametrów z pakietu dołączania do testowania łączności.

2. Uruchom mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> polecenie (gdzie parametr ma wartość GW_US, GW_EU, GW_UK). Gw odnosi się do uproszczonej opcji. Uruchom polecenie z odpowiednim obszarem geograficznym dzierżawy.