Compartilhar via


Migrar dispositivos para usar o método de conectividade simplificada

Aplica-se a:

Este artigo descreve como migrar dispositivos (reonboard) que haviam sido previamente integrados ao Defender para Ponto de Extremidade para usar o método de conectividade simplificada do dispositivo. Para obter mais informações sobre conectividade simplificada, consulte Integração de dispositivos usando conectividade simplificada. Os dispositivos devem atender aos pré-requisitos listados na conectividade simplificada.

Na maioria dos casos, a integração completa do dispositivo não é necessária ao reonboarding. Você pode executar o pacote de integração atualizado e reiniciar seu dispositivo para alternar a conectividade. Confira as informações a seguir para obter detalhes sobre sistemas operacionais individuais.

Importante

Limitações e problemas conhecidos:

  • Encontramos um problema de back-end com a população da ConnectivityType coluna na caça avançada para que você possa acompanhar o DeviceInfo table progresso da migração. Nosso objetivo é resolve esse problema o mais rápido possível.
  • Para migrações de dispositivo (reonboarding): a integração não é necessária para alternar para o método de conectividade simplificada. Depois que o pacote de integração atualizado for executado, uma reinicialização completa do dispositivo é necessária para dispositivos Windows e uma reinicialização de serviço para macOS e Linux. Para obter mais informações, confira os detalhes incluídos neste artigo.
  • Windows 10 versões 1607, 1703, 1709 e 1803 não dão suporte à reonboarding. Insira primeiro e, em seguida, insira usando o pacote atualizado. Essas versões também exigem uma lista de URL mais longa.
  • Não há suporte para dispositivos que executam o agente MMA e devem continuar usando o método de integração do MMA.

Migrando dispositivos usando o método simplificado

Recomendação de migração

  • Comece pequeno. É recomendável começar com um pequeno conjunto de dispositivos primeiro. Aplique o blob de integração usando qualquer uma das ferramentas de implantação com suporte e monitore para conectividade. Se você estiver usando uma nova política de integração, para evitar conflitos, exclua o dispositivo de quaisquer outras políticas de integração existentes.

  • Validar e monitorar. Depois de integrar o pequeno conjunto de dispositivos, valide se os dispositivos estão integrados com êxito e se comunicando com o serviço.

  • Migração completa. Nesta fase, você pode implantar gradualmente a migração para um conjunto maior de dispositivos. Para concluir a migração, você pode substituir as políticas de integração anteriores e remover as URLs antigas do dispositivo de rede.

Valide os pré-requisitos do dispositivo antes de prosseguir com as migrações. Essas informações se baseiam no artigo anterior, focando na migração de dispositivos existentes.

Para reonboard de dispositivos, você precisa usar o pacote de integração simplificado. Para obter mais informações sobre como acessar o pacote, consulte Conectividade simplificada.

Dependendo do sistema operacional, as migrações podem exigir uma reinicialização do dispositivo ou uma reinicialização do serviço depois que o pacote de integração for aplicado:

  • Windows: reinicializar o dispositivo

  • macOS: Reinicialize o dispositivo ou reinicie o serviço Defender para Ponto de Extremidade executando:

    1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
    2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
  • Linux: reinicie o serviço Defender para Ponto de Extremidade executando: sudo systemctl restart mdatp

A tabela a seguir lista as instruções de migração para as ferramentas de integração disponíveis com base no sistema operacional do dispositivo.

Windows 10 e 11

Importante

Windows 10 versão 1607, 1703, 1709 e 1803 não dão suporte à reonboarding. Para migrar dispositivos existentes, você precisará integrar e integrar totalmente usando o pacote de integração simplificado.

Para obter informações gerais sobre como integrar dispositivos cliente Windows, consulte Integrando o Cliente Windows.

Confirme se os pré-requisitos são atendidos: Pré-requisitos para usar o método simplificado.

Script local

Siga as diretrizes no script local (até 10 dispositivos) usando o pacote de integração simplificado. Depois de concluir as etapas, você deve reiniciar o dispositivo para que a conectividade do dispositivo seja alternada.

Política de grupo

Siga as diretrizes na política de grupo usando o pacote de integração simplificado. Depois de concluir as etapas, você deve reiniciar o dispositivo para que a conectividade do dispositivo seja alternada.

Microsoft Intune

Siga as diretrizes em Intune usando o pacote de integração simplificado. Você pode usar a opção "auto from connector"; no entanto, essa opção não reaplica automaticamente o pacote de integração. Create uma nova política de integração e direcione primeiro um grupo de teste. Depois de concluir as etapas, você deve reiniciar o dispositivo para que a conectividade do dispositivo seja alternada.

Microsoft Configuration Manager

Siga as diretrizes em Configuration Manager.

VDI

Use as diretrizes em Dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes. Depois de concluir as etapas, você deve reiniciar o dispositivo para que a conectividade do dispositivo seja alternada.

Verificando a conectividade do dispositivo com o método simplificado para dispositivos migrados

Você pode usar os seguintes métodos para marcar que conectou com êxito dispositivos Windows:

Para macOS e Linux, você pode usar os seguintes métodos:

  • Testes de conectividade MDATP
  • Acompanhamento com a caça avançada no Microsoft Defender XDR
  • Executar testes para confirmar a conectividade com os serviços do Defender para Ponto de Extremidade

Usar o Windows (Analisador de Clientes do Defender para Ponto de Extremidade) para validar a conectividade após a integração para pontos de extremidade migrados

Depois de integrado, execute o MDPE Analisador de Clientes para confirmar que seu dispositivo está se conectando às URLs atualizadas apropriadas.

Baixe a ferramenta Microsoft Defender para Ponto de Extremidade Analisador de Clientes em que o sensor defender para ponto de extremidade está em execução.

Você pode seguir as mesmas instruções que em Verificar conectividade do cliente com Microsoft Defender para Ponto de Extremidade serviço. O script usa automaticamente o pacote de integração configurado no dispositivo (deve ser versão simplificada) para testar a conectividade.

Verifique se a conectividade está estabelecida com as URLs apropriadas.

Acompanhamento com a caça avançada no Microsoft Defender XDR

Você pode usar a caça avançada em Microsoft Defender portal para exibir o tipo de conectividade status.

Essas informações são encontradas na tabela DeviceInfo na coluna "ConnectivityType":

  • Nome da coluna: ConnectivityType
  • Valores possíveis: <blank>, Simplificado, Standard
  • Tipo de dados: Cadeia de caracteres
  • Descrição: tipo de conectividade do dispositivo para a nuvem

Depois que um dispositivo é migrado para usar o método simplificado e o dispositivo estabelece uma comunicação bem-sucedida com o comando EDR & canal de controle, o valor é representado como "Simplificado".

Se você mover o dispositivo de volta para o método regular, o valor será "standard".

Para dispositivos que ainda não tentaram reonboard, o valor permanece em branco.

Acompanhamento local em um dispositivo por meio do Windows Visualizador de Eventos

Você pode usar o log operacional SENSE do Windows Visualizador de Eventos para validar localmente as conexões com a nova abordagem simplificada. A ID do Evento SENSE 4 rastreia conexões EDR bem-sucedidas.

Abra o log de eventos de serviço do Defender para Ponto de Extremidade usando as seguintes etapas:

  1. No menu Windows, selecione Iniciar e digite Visualizador de Eventos. Em seguida, selecione Visualizador de Eventos.

  2. Na lista de logs, em Resumo de Log, role para baixo até ver Microsoft-Windows-SENSE/Operational. Clique duas vezes no item para abrir o log.

    Captura de tela do Visualizador de Eventos com a seção resumo do log

    Você também pode acessar o log expandindoLogs de Aplicativos e Serviços>Microsoft>Windows>SENSE e selecionar Operacional.

  3. A ID do evento 4 rastreia conexões bem-sucedidas com o Canal de Controle de & de Comando do Defender para Ponto de Extremidade. Verifique conexões bem-sucedidas com a URL atualizada. Por exemplo:

    Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
    <EventData>
     <Data Name="UInt1">6</Data>
     <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
    </EventData>
    
  4. A mensagem 1 contém a URL contatada. Confirme se o evento inclui a URL simplificada (endpoint.security.microsoft.com).

  5. A ID do evento 5 rastreia erros, se aplicável.

Observação

SENSE é o nome interno usado para se referir ao sensor comportamental que alimenta Microsoft Defender para Ponto de Extremidade.
Os eventos registrados pelo serviço serão exibidos no log.
Para obter mais informações, consulte Revisar eventos e erros usando Visualizador de Eventos.

Executar testes para confirmar a conectividade com os serviços do Defender para Ponto de Extremidade

Depois que o dispositivo estiver integrado ao Defender para Ponto de Extremidade, valide se ele continua a aparecer no Inventário de Dispositivos. O DeviceID deve permanecer o mesmo.

Verifique a guia Linha do Tempo da Página do Dispositivo para confirmar se os eventos estão fluindo do dispositivo.

Resposta Ao Vivo

Verifique se a Resposta Ao Vivo está funcionando em seu dispositivo de teste. Siga as instruções em Investigar entidades em dispositivos usando resposta ao vivo.

Execute alguns comandos básicos após a conexão para confirmar a conectividade (como cd, trabalhos, conexão).

Investigação e resposta automatizadas

Verifique se a investigação e a resposta automatizadas estão funcionando em seu dispositivo de teste: configure recursos automatizados de investigação e resposta.

Para laboratórios de teste do IR Automático, navegue até Microsoft Defender XDR tutoriais de> & Tutoriais >& Tutorials& Simulações> **Tutoriais > de Investigação Automatizada.

Proteção fornecida na nuvem

  1. Abra um Prompt de Comando como administrador.

  2. Clique com o botão direito do mouse no item no menu Iniciar, selecione Executar como administrador e selecione Sim no prompt de permissões.

  3. Use o seguinte argumento com o utilitário de linha de comando antivírus Microsoft Defender (mpcmdrun.exe) para verificar se sua rede pode se comunicar com o serviço de nuvem antivírus Microsoft Defender:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
    

Observação

Esse comando só funcionará em Windows 10, versão 1703 ou superior ou Windows 11. Para obter mais informações, consulte Gerenciar Microsoft Defender Antivírus com a ferramenta de linha de comando mpcmdrun.exe.

Bloco de teste à primeira vista

Siga as instruções na demonstração BAFS (Bloco de Microsoft Defender para Ponto de Extremidade à Primeira Vista).

Testar SmartScreen

Siga as instruções em Microsoft Defender Demonstração smartscreen (msft.net).

Teste de detecção do PowerShell

  1. No dispositivo Windows, crie uma pasta: C:\test-MDATP-test.

  2. Abra o Prompt de Comando como administrador.

  3. Na janela do Prompt de Comando, execute o seguinte comando do PowerShell:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

Depois que o comando é executado, a janela Prompt de Comando é fechada automaticamente. Se for bem-sucedido, o teste de detecção será marcado como concluído.

Para macOS e Linux, você pode usar os seguintes métodos:

  • Testes de conectividade MDATP
  • Acompanhamento com a caça avançada no Microsoft Defender XDR
  • Executar testes para confirmar a conectividade com os serviços do Defender para Ponto de Extremidade

Teste de conectividade MDATP (macOS e Linux)

Execute mdatp health -details features para confirmar simplified_connectivity: "habilitado".

Executar mdatp health -details edr para confirmar edr_partner_geo_location está disponível. O valor deve ser GW_<geo> onde 'geo' é a localização geográfica do locatário.

Execute o teste de conectividade mdatp. Verifique se o padrão de URL simplificado está presente. Você deve esperar dois para '\storage', um para '\mdav', um para '\xplat' e um para '/packages'.

Por exemplo: https:mdav.us.endpoint.security.microsoft/com/storage

Acompanhamento com a caça avançada no Microsoft Defender XDR

Siga as mesmas instruções do Windows.

Usar o Analisador de Clientes do Defender para Ponto de Extremidade (multiplataforma) para validar a conectividade para pontos de extremidade recém-migrados

Baixe e execute o analisador de clientes para macOS ou Linux. Para obter mais informações, consulte Baixar e executar o analisador de clientes.

  1. Execute mdeclientanalyzer.cmd -o <path to cmd file> de dentro da pasta MDEClientAnalyzer. O comando usa parâmetros do pacote de integração para testar a conectividade.

  2. Execute mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (onde o parâmetro é de GW_US, GW_EU, GW_UK). GW refere-se à opção simplificada. Execute com a geográfica de locatário aplicável.