Cihazları kolaylaştırılmış bağlantı yöntemini kullanacak şekilde geçirme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Bu makalede, daha önce Uç Nokta için Defender'a eklenmiş cihazları kolaylaştırılmış cihaz bağlantı yöntemini kullanmak üzere geçirme (yeniden ekleme) açıklanmaktadır. Kolaylaştırılmış bağlantı hakkında daha fazla bilgi için bkz. Kolaylaştırılmış bağlantı kullanarak cihazları ekleme. Cihazlar , Kolaylaştırılmış bağlantı'da listelenen önkoşulları karşılamalıdır.
Çoğu durumda, yeniden ekleme sırasında tam cihaz çıkarma işlemi gerekmez. Güncelleştirilmiş ekleme paketini çalıştırabilir ve bağlantıyı değiştirmek için cihazınızı yeniden başlatabilirsiniz. Tek tek işletim sistemleriyle ilgili ayrıntılar için aşağıdaki bilgilere bakın.
Önemli
Sınırlamalar ve bilinen sorunlar:
- Geçiş ilerleme durumunu
ConnectivityType
izleyebilebilmeniz için gelişmiş avcılıktaDeviceInfo table
sütunu doldurmayla ilgili bir arka uç sorunu bulduk. Bu sorunu en kısa sürede çözmeyi amaçlıyoruz. - Cihaz geçişleri için (yeniden ekleme): Kolaylaştırılmış bağlantı yöntemine geçmek için çıkarma gerekmez. Güncelleştirilmiş ekleme paketi çalıştırıldıktan sonra, Windows cihazları için tam bir cihaz yeniden başlatması ve macOS ve Linux için hizmetin yeniden başlatılması gerekir. Daha fazla bilgi için bu makalede yer alan ayrıntılara bakın.
- Windows 10 sürüm 1607, 1703, 1709 ve 1803 yeniden eklemeyi desteklemez. Önce çıkar ve ardından güncelleştirilmiş paketi kullanarak ekleme yapın. Bu sürümler ayrıca daha uzun bir URL listesi gerektirir.
- MMA aracısını çalıştıran cihazlar desteklenmez ve MMA ekleme yöntemini kullanmaya devam etmelidir.
Kolaylaştırılmış yöntemi kullanarak cihazları geçirme
Geçiş önerisi
Küçük bir başlangıç. Öncelikle küçük bir cihaz kümesiyle başlamanızı öneririz. Desteklenen dağıtım araçlarından herhangi birini kullanarak ekleme blobunu uygulayın ve ardından bağlantıyı izleyin. Yeni bir ekleme ilkesi kullanıyorsanız, çakışmaları önlemek için cihazı diğer mevcut ekleme ilkelerinin dışında tutmayı unutmayın.
Doğrulama ve izleme. Küçük cihaz kümesini ekledikten sonra, cihazların başarıyla eklendiğini ve hizmetle iletişim kurduğunu doğrulayın.
Geçişi tamamlayın. Bu aşamada geçişi aşamalı olarak daha büyük bir cihaz kümesine dağıtabilirsiniz. Geçişi tamamlamak için önceki ekleme ilkelerini değiştirebilir ve eski URL'leri ağ cihazınızdan kaldırabilirsiniz.
Herhangi bir geçiş işlemine devam etmeden önce cihaz önkoşullarını doğrulayın. Bu bilgiler, mevcut cihazları geçirme konusuna odaklanarak önceki makaleye göre derlenmektedir.
Cihazları yeniden eklemek için kolaylaştırılmış ekleme paketini kullanmanız gerekir. Pakete erişme hakkında daha fazla bilgi için bkz . Kolaylaştırılmış bağlantı.
İşletim sistemine bağlı olarak, ekleme paketi uygulandıktan sonra geçişler için cihazın yeniden başlatılması veya hizmetin yeniden başlatılması gerekebilir:
Windows: Cihazı yeniden başlatın
macOS: Cihazı yeniden başlatın veya çalıştırarak Uç Nokta için Defender hizmetini yeniden başlatın:
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux: Aşağıdakini çalıştırarak Uç Nokta için Defender hizmetini yeniden başlatın:
sudo systemctl restart mdatp
Aşağıdaki tabloda, cihazın işletim sistemini temel alan kullanılabilir ekleme araçları için geçiş yönergeleri listelenir.
Windows 10 ve 11
Önemli
Windows 10 sürüm 1607, 1703, 1709 ve 1803 yeniden eklemeyi desteklemez. Mevcut cihazları geçirmek için, kolaylaştırılmış ekleme paketini kullanarak tamamen çıkarmanız ve ekleme yapmanız gerekir.
Windows istemci cihazlarını ekleme hakkında genel bilgi için bkz. Windows İstemcisi'ni ekleme.
Önkoşulların karşılandığını onaylayın: Kolaylaştırılmış yöntemi kullanmak için önkoşullar.
Yerel betik
Kolaylaştırılmış ekleme paketini kullanarak Yerel betikteki (en fazla 10 cihaz) yönergeleri izleyin. Adımları tamamladıktan sonra cihaz bağlantısının devredilmesi için cihazı yeniden başlatmanız gerekir.
Grup ilkesi
Kolaylaştırılmış ekleme paketini kullanarak Grup ilkesi'ndeki yönergeleri izleyin. Adımları tamamladıktan sonra cihaz bağlantısının devredilmesi için cihazı yeniden başlatmanız gerekir.
Microsoft Intune
Kolaylaştırılmış ekleme paketini kullanarak Intune yönergelerini izleyin. "Bağlayıcıdan otomatik" seçeneğini kullanabilirsiniz; ancak bu seçenek, ekleme paketini otomatik olarak yeniden uygulamaz. Yeni bir ekleme ilkesi İçerik Oluşturucu ve önce bir test grubunu hedefle. Adımları tamamladıktan sonra cihaz bağlantısının devredilmesi için cihazı yeniden başlatmanız gerekir.
Microsoft Configuration Manager
Configuration Manager'daki yönergeleri izleyin.
VDI
Kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını ekleme yönergelerini kullanın. Adımları tamamladıktan sonra cihaz bağlantısının devredilmesi için cihazı yeniden başlatmanız gerekir.
Geçirilen cihazlar için kolaylaştırılmış yöntemle cihaz bağlantısını doğrulama
Windows cihazlarını başarıyla bağlamış olup olmadığınızı denetlemek için aşağıdaki yöntemleri kullanabilirsiniz:
- İstemci çözümleyicisi
- Microsoft Defender XDR'de gelişmiş avcılık ile izleme
- Olay Görüntüleyicisi kullanarak yerel olarak izleme (Windows için)
- Uç Nokta için Defender hizmetleriyle bağlantıyı onaylamak için testler çalıştırma
- Kayıt defteri düzenleyicisini denetleme
- PowerShell algılama testi
macOS ve Linux için aşağıdaki yöntemleri kullanabilirsiniz:
- MDATP bağlantı testleri
- Microsoft Defender XDR'de gelişmiş avcılık ile izleme
- Uç Nokta için Defender hizmetleriyle bağlantıyı onaylamak için testler çalıştırma
Geçirilen uç noktaları ekledikten sonra bağlantıyı doğrulamak için Uç Nokta İstemci Çözümleyicisi için Defender'ı (Windows) kullanma
Eklendikten sonra, cihazınızın uygun güncelleştirilmiş URL'lere bağlanıp bağlanmayacağını onaylamak için MDE İstemci Çözümleyicisi'ni çalıştırın.
Uç Nokta için Defender algılayıcısının çalıştığı Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracını indirin.
Uç Nokta için Microsoft Defender hizmetine istemci bağlantısını doğrulama başlığındaki yönergelerin aynısını izleyebilirsiniz. Betik, bağlantıyı test etmek için cihazda yapılandırılan ekleme paketini otomatik olarak kullanır (kolaylaştırılmış sürüm olmalıdır).
Uygun URL'lerle bağlantı kurulduğundan emin olun.
Microsoft Defender XDR'de gelişmiş avcılık ile izleme
Bağlantı türü durumunu görüntülemek için Microsoft Defender portalında gelişmiş avcılığı kullanabilirsiniz.
Bu bilgiler DeviceInfo tablosunda "ConnectivityType" sütununun altında bulunur:
- Sütun Adı: ConnectivityType
- Olası Değerler:
<blank>
, Kolaylaştırılmış, Standart - Veri türü: Dize
- Açıklama: Cihazdan buluta bağlantı türü
Cihaz, kolaylaştırılmış yöntemi kullanacak şekilde geçirildikten ve cihaz denetim kanalı & EDR komutuyla başarılı bir iletişim kurduktan sonra, değer "Kolaylaştırılmış" olarak gösterilir.
Cihazı normal yönteme geri taşırsanız, değer "standart" olur.
Henüz yeniden eklemeye çalışmamış cihazlar için değer boş kalır.
Windows Olay Görüntüleyicisi aracılığıyla bir cihazda yerel olarak izleme
Yeni kolaylaştırılmış yaklaşımla bağlantıları yerel olarak doğrulamak için Windows Olay Görüntüleyicisi SENSE işletim günlüğünü kullanabilirsiniz. SENSE Olay Kimliği 4, başarılı EDR bağlantılarını izler.
Aşağıdaki adımları kullanarak Uç Nokta için Defender hizmeti olay günlüğünü açın:
Windows menüsünde Başlat'ı seçin ve Olay Görüntüleyicisi yazın. Ardından Olay Görüntüleyicisi'ı seçin.
Günlük listesinde, Günlük Özeti'nin altında Microsoft-Windows-SENSE/Operasyonel ifadesini görene kadar aşağı kaydırın. Günlüğü açmak için öğeye çift tıklayın.
AyrıcaMicrosoft Windows>SENSE Uygulama ve Hizmet Günlükleri'ni>> genişletip İşletimsel'i seçerek de günlüğe erişebilirsiniz.
Olay Kimliği 4, Uç Nokta için Defender Komutu & Denetim kanalıyla başarılı bağlantıları izler. Güncelleştirilmiş URL ile başarılı bağlantıları doğrulayın. Örneğin:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>
İleti 1, iletişim kuran URL'yi içerir. Olayın kolaylaştırılmış URL'yi (endpoint.security.microsoft, com) içerdiğini onaylayın.
Olay Kimliği 5, varsa hataları izler.
Not
SENSE, Uç Nokta için Microsoft Defender destekleyen davranış algılayıcısına başvurmak için kullanılan iç addır.
Hizmet tarafından kaydedilen olaylar günlükte görünür.
Daha fazla bilgi için bkz. Olay Görüntüleyicisi kullanarak olayları ve hataları gözden geçirme.
Uç Nokta için Defender hizmetleriyle bağlantıyı onaylamak için testler çalıştırma
Cihaz Uç Nokta için Defender'a eklendikten sonra Cihaz Envanteri'nde görünmeye devam ettiğini doğrulayın. DeviceID aynı kalmalıdır.
Olayların cihazdan aktığını onaylamak için Cihaz Sayfası Zaman Çizelgesi sekmesini denetleyin.
Canlı Yanıt
Test cihazınızda Canlı Yanıt'ın çalıştığından emin olun. Canlı yanıt kullanarak cihazlarda varlıkları araştırma başlığı altındaki yönergeleri izleyin.
Bağlantıyı onaylamak için bağlantı sonrası birkaç temel komut çalıştırdığınızdan emin olun (cd, işler, bağlantı gibi).
Otomatik araştırma ve yanıt
Test cihazınızda Otomatik araştırma ve yanıtın çalıştığından emin olun: Otomatik araştırma ve yanıt özelliklerini yapılandırın.
Otomatik IR test laboratuvarları için Microsoft Defender XDR>Evaluations & Tutorials Tutorials>& Simulations> **Tutorials Automated Investigation öğreticileri'ne> gidin.
Bulut tabanlı koruma
Yönetici olarak bir Komut İstemi açın.
Başlat menüsünde öğeye sağ tıklayın, Yönetici olarak çalıştır'ı ve ardından izin isteminde Evet'i seçin.
Ağınızın Microsoft Defender Virüsten Koruma bulut hizmetiyle iletişim kurabildiğini doğrulamak için Microsoft Defender Virüsten Koruma komut satırı yardımcı programıyla (mpcmdrun.exe) aşağıdaki bağımsız değişkeni kullanın:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Not
Bu komut yalnızca Windows 10, sürüm 1703 veya üzeri ya da Windows 11 üzerinde çalışır. Daha fazla bilgi için bkz. mpcmdrun.exe komut satırı aracıyla Microsoft Defender Virüsten Koruma'yı yönetme.
İlk Bakışta Test Bloğu
İlk Bakışta Uç Nokta için Microsoft Defender Bloğu (BAFS) tanıtımındaki yönergeleri izleyin.
SmartScreen'i test edin
smartscreen tanıtımı (msft.net) Microsoft Defender yönergeleri izleyin.
PowerShell algılama testi
Windows cihazında bir klasör oluşturun:
C:\test-MDATP-test
.Yönetici olarak Komut İstemi'ni açın.
Komut İstemi penceresinde aşağıdaki PowerShell komutunu çalıştırın:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Komut çalıştırıldıktan sonra Komut İstemi penceresi otomatik olarak kapatılır. Başarılı olursa algılama testi tamamlandı olarak işaretlenir.
macOS ve Linux için aşağıdaki yöntemleri kullanabilirsiniz:
- MDATP bağlantı testleri
- Microsoft Defender XDR'de gelişmiş avcılık ile izleme
- Uç Nokta için Defender hizmetleriyle bağlantıyı onaylamak için testler çalıştırma
MDATP bağlantı testi (macOS ve Linux)
simplified_connectivity onaylamak için komutunu çalıştırın mdatp health -details features
: "enabled".
Kullanılabilir olduğunu onaylamak edr_partner_geo_location
için komutunu çalıştırınmdatp health -details edr
. Değer, kiracınızın coğrafi konumu olan 'coğrafi konum' olmalıdır GW_<geo>
.
mdatp bağlantı testlerini çalıştırın. Kolaylaştırılmış URL düzeninin mevcut olduğundan emin olun. '\storage' için iki, '\mdav' için bir, '\xplat' için bir ve '/packages' için bir tane bekleyebilirsiniz.
Örneğin: https:mdav.us.endpoint.security.microsoft/com/storage
Microsoft Defender XDR'de gelişmiş avcılık ile izleme
Windows ile aynı yönergeleri izleyin.
Yeni geçirilen uç noktaların bağlantısını doğrulamak için Uç Nokta İstemci Çözümleyicisi için Defender'ı (platformlar arası) kullanma
macOS veya Linux için istemci çözümleyicisini indirip çalıştırın. Daha fazla bilgi için bkz. İstemci çözümleyicisini indirme ve çalıştırma.
MDEClientAnalyzer klasörünün içinden komutunu çalıştırın
mdeclientanalyzer.cmd -o <path to cmd file>
. komutu, bağlantıyı test etmek için ekleme paketindeki parametreleri kullanır.komutunu çalıştırın
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
(burada parametre GW_US, GW_EU GW_UK). GW, kolaylaştırılmış seçeneği ifade eder. Geçerli kiracı coğrafi konumuyla komutunu çalıştırın.