管理及更新適用於身分識別的 Microsoft Defender感應器

本文說明如何在 Microsoft 365 Defender 中設定和管理適用於身分識別的 Microsoft Defender感應器。

檢視適用于身分識別的 Defender 感應器設定和狀態

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    移至 [設定],然後移至 [身分識別]。

  2. 選取 [ 感應器 ] 頁面,其會顯示適用于身分識別的所有 Defender 感應器。 對於每個感應器,您會看到其名稱、其網域成員資格、版本號碼、如果應該延遲更新、服務狀態、感應器狀態、健康狀態、健康情況狀態、健康情況問題數目,以及建立感應器的時間。 如需每個資料行的詳細資訊,請參閱 感應器詳細資料

    感應器頁面。

  3. 如果您選取 [ 篩選],您可以選擇可用的篩選。 然後使用每個篩選,您可以選擇要顯示的感應器。

    感應器篩選準則。

    篩選的感應器。

  4. 如果您選取其中一個感應器,窗格會顯示感應器及其健康狀態的相關資訊。

    感應器詳細資料。

  5. 如果您選取任何健康情況問題,您將會收到一個窗格,其中包含其詳細資料。 如果您選擇已關閉的問題,您可以從這裡重新開啟。

    問題詳細資料。

  6. 如果您選取 [管理感應器],將會開啟窗格,您可以在其中設定感應器詳細資料。

    管理感應器。

    設定感應器詳細資料。

  7. 在 [ 感應器 ] 頁面中,您可以選取 [ 匯出],將您的感應器清單匯出至.csv檔案。

    匯出感應器清單。

感應器詳細資料

感應器頁面提供每個感應器的下列資訊:

  • 感應器:顯示感應器的 NetBIOS 電腦名稱稱。

  • 類型:顯示感應器的類型。 可能的值包括:

    • 網域控制站感應器

    • AD FS 感應器

    • 獨立感應器

  • 網域:顯示安裝感應器之 Active Directory 網域的完整功能變數名稱。

  • 服務狀態:顯示伺服器上的感應器服務狀態。 可能的值包括:

    • 執行中:感應器服務正在執行

    • 啟動:感應器服務正在啟動

    • 已停用:感應器服務已停用

    • 已停止:感應器服務已停止

    • 未知:感應器已中斷連線或無法連線

  • 感應器狀態:顯示感應器的整體狀態。 可能的值包括:

    • 最新狀態:感應器正在執行目前版本的感應器。

    • 過時:感應器正在執行目前版本後至少三個版本的軟體版本。

    • 更新:正在更新感應器軟體。

    • 更新失敗:感應器無法更新為新版本。

    • 未設定:感應器需要更多設定,才能完全運作。 這適用于安裝在 AD FS 伺服器或獨立感應器上的感應器。

    • 啟動失敗:感應器未提取設定超過 30 分鐘。

    • 同步處理:感應器已擱置組態更新,但尚未提取新的設定。

    • 已中斷連線:適用于身分識別的 Defender 服務在 10 分鐘內未看到來自此感應器的任何通訊。

    • 無法連線:網域控制站已從 Active Directory 中刪除。 不過,在解除委任之前,感應器安裝不會從網域控制站卸載並移除。 您可以安全地刪除這個專案。

  • 版本:顯示已安裝的感應器版本。

  • 延遲更新:顯示感應器的延遲更新機制狀態。 可能的值包括:

    • 啟用

    • 已停用

  • 健康狀態:顯示感應器的整體健康情況狀態,並顯示代表最高嚴重性開啟健康狀態警示的彩色圖示。 可能的值包括:

    • 狀況良好的 (綠色圖示) :沒有開啟的健康情況問題

    • 狀況不良 (黃色圖示) :最高嚴重性開啟的健康情況問題很低

    • 橙色圖示) 狀況不良 (:最高嚴重性開啟的健康情況問題為中度

    • 狀況不良 (紅色圖示) :最高嚴重性開啟的健康情況問題很高

  • 健康情況問題:顯示感應器上已開啟的健康情況問題計數。

  • 已建立:顯示已安裝感應器的日期

更新感應器

讓您的適用於身分識別的 Microsoft Defender感應器保持最新狀態,為您的組織提供最佳保護。

適用於身分識別的 Microsoft Defender服務通常會在一個月更新數次,並具有新的偵測、功能和效能改善。 這些更新通常包括與感應器對應的次要更新。 適用于身分識別的 Defender 感應器和對應的更新永遠不會有網域控制站的寫入權限。 感應器更新套件只會控制適用于身分識別的 Defender 感應器和感應器偵測功能。

適用于身分識別的 Defender 感應器更新類型

適用于身分識別的 Defender 感應器支援兩種更新:

  • 次要版本更新:

    • 經常
    • 不需要 MSI 安裝,而且不會變更登錄
    • 已重新開機:適用于身分識別感應器服務的 Defender
  • 主要版本更新:

    • 罕見
    • 包含重大變更
    • 已重新開機:適用于身分識別感應器服務的 Defender

注意

  • 適用于身分識別的 Defender 感應器一律保留至少 15% 的可用記憶體,以及安裝在其中網域控制站上的 CPU。 如果適用于身分識別的 Defender 服務耗用太多記憶體,則適用于身分識別的 Defender 感應器更新程式服務會自動停止並重新啟動服務。

延遲感應器更新

假設身分識別開發與發行更新的 Defender 快速速度,您可能會決定將感應器的子集群組定義為延遲更新通道,以允許漸進式感應器更新程式。 適用于身分識別的 Defender 可讓您選擇感應器的更新方式,並將每個感應器設定為 延遲更新 候選項目。

每次更新適用于身分識別的 Defender 服務時,未選取延遲更新的感應器都會自動更新。 設定為延遲更新的感應器會在每個服務更新正式推出後,延遲 72 小時進行更新。

延遲更新選項可讓您選取特定感應器作為自動更新通道,它們會在更新推出時自動更新,而您的其他感應器可以設定成延遲更新,讓您有時間確認自動更新的感應器都更新成功。

注意

如果發生錯誤,而且未更新感應器,則請開啟支援票證。 若要進一步強化 Proxy 以僅和您的執行個體通訊,請參閱 Proxy 設定

系統會使用強式的憑證式相互驗證,來進行感應器和 Azure 雲端服務之間的驗證。 用戶端憑證會在感應器安裝建立為自我簽署憑證,有效期為 2 年。 感應器更新程式服務負責在現有憑證到期之前產生新的自我簽署憑證。 憑證會針對後端使用 2 階段驗證程式進行復原,以避免輪流憑證中斷驗證的情況。

每個更新都會在所有支援的作業系統上測試和驗證,將對網路和作業的影響降至最低。

將感應器設定為延遲更新:

  1. 在 [ 感應器] 頁面中,選取您想要針對延遲更新設定的感應器。

  2. 選取 [ 已啟用延遲更新] 按鈕。

    啟用延遲更新。

  3. 在確認視窗中,選取 [ 啟用]。

若要停用延遲更新,請選取感應器,然後選取 [已停用延遲更新 ] 按鈕。

感應器更新程序

每幾分鐘,適用于身分識別的 Defender 感應器會檢查其是否有最新版本。 在適用于身分識別的 Defender 雲端服務更新為較新版本之後,適用于身分識別的 Defender 感應器服務會啟動更新程式:

  1. 適用于身分識別的 Defender 雲端服務更新為最新版本。

  2. 適用于身分識別的 Defender 感應器更新程式服務會瞭解有更新的版本。

  3. 未設定為 [延遲更新 ] 的感應器會根據感應器啟動更新程式:

    1. 適用于身分識別的 Defender 感應器更新程式服務會從雲端服務提取更新版本, (cab 檔案格式) 。
    2. 適用于身分識別的 Defender 感應器更新程式會驗證檔案簽章。
    3. 適用于身分識別的 Defender 感應器更新程式服務會將 cab 檔案擷取至感應器安裝資料夾中的新資料夾。 預設會擷取至C:\Program Files\Azure 進階威脅防護感應器 < 版本號碼 >
    4. 適用于身分識別的 Defender 感應器服務會指向從 cab 檔案擷取的新檔案。
    5. 適用于身分識別的 Defender 感應器更新程式服務會重新開機適用于身分識別的 Defender 感應器服務。

      注意

      次要感應器更新不會安裝 MSI、變更任何登錄值或任何系統檔案。 即使有擱置的重新啟動也不影響感應器更新。

    6. 感應器會根據新的已更新版本執行。
    7. 感應器收到 Azure 雲端服務的許可。 您可以在 [感應器 ] 頁面中確認感應器狀態。
    8. 下一個感應器啟動更新程序。
  4. 針對 [延遲更新 ] 選取的感應器會在更新適用于身分識別的 Defender 雲端服務之後 72 小時啟動其更新程式。 這些感應器接著會使用與自動更新感應器相同的更新程式。

對於無法完成更新程式的任何感應器,會觸發相關的 健康情況警示 ,並以通知的形式傳送。

感應器更新失敗。

以無訊息方式更新適用于身分識別的 Defender 感應器

使用下列命令以無訊息方式更新適用于身分識別的 Defender 感應器:

語法

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安裝選項

Name 語法 對無訊息安裝而言是否為必要? 說明
Quiet /quiet 執行安裝程式,但不顯示任何 UI 和提示。
[說明] /help 提供說明和快速參考。 顯示安裝程式命令的正確用法,包括所有選項和行為清單。
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" 指定 .Net Framework 安裝的參數。 必須設定,才能強制執行 .Net Framework 的無訊息安裝。

範例

若要以無訊息方式更新適用于身分識別的 Defender 感應器:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

另請參閱