Миграция устройств для использования упрощенного метода подключения

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

В этой статье описывается, как перенести (повторно подключить) устройства, которые ранее были подключены к Defender для конечной точки, чтобы использовать упрощенный метод подключения устройств. Дополнительные сведения об упрощенном подключении см. в статье Подключение устройств с помощью упрощенных подключений. Устройства должны соответствовать предварительным требованиям, перечисленным в разделе Упрощенное подключение.

В большинстве случаев полное отключение устройства не требуется при повторном подключении. Вы можете запустить обновленный пакет подключения и перезагрузить устройство, чтобы переключить подключение. Дополнительные сведения об отдельных операционных системах см. в следующих сведениях.

Важно!

Ограничения и известные проблемы:

• Мы обнаружили проблему с заполнением столбца ConnectivityType в расширенной DeviceInfo table охоте, чтобы можно было отслеживать ход миграции. Мы стремимся устранить эту проблему как можно скорее.
• Для миграции устройств (повторного подключения): отключение не требуется для переключения на упрощенный метод подключения. После запуска обновленного пакета подключения требуется полная перезагрузка устройства для устройств с Windows и перезапуск службы для macOS и Linux. Дополнительные сведения см. в сведениях, приведенных в этой статье.
• Windows 10 версии 1607, 1703, 1709 и 1803 не поддерживают повторное подключение. Сначала отключите подключение, а затем включите с помощью обновленного пакета. Для этих версий также требуется более длинный список URL-адресов.
• Устройства, на которых работает агент MMA, не поддерживаются и должны продолжать использовать метод подключения MMA.

Миграция устройств с помощью упрощенного метода

Рекомендации по миграции

• Начните с малого. Рекомендуется сначала начать с небольшого набора устройств. Примените большой двоичный объект для подключения с помощью любого из поддерживаемых средств развертывания, а затем отслеживайте подключение. Если вы используете новую политику подключения, чтобы предотвратить конфликты, обязательно исключите устройство из любых других существующих политик подключения.

• Проверка и мониторинг. После подключения небольшого набора устройств убедитесь, что устройства успешно подключены и взаимодействуют со службой.

• Завершите миграцию. На этом этапе можно постепенно развертывать миграцию на более крупный набор устройств. Чтобы завершить миграцию, можно заменить предыдущие политики подключения и удалить старые URL-адреса с сетевого устройства.

Проверьте предварительные требования к устройству , прежде чем продолжить миграцию. Эта информация основана на предыдущей статье, в которой основное внимание уделяется переносу существующих устройств.

Чтобы повторно подключить устройства, необходимо использовать упрощенный пакет подключения. Дополнительные сведения о том, как получить доступ к пакету, см. в статье Упрощенное подключение.

В зависимости от операционной системы для миграции может потребоваться перезагрузка устройства или перезапуск службы после применения пакета подключения:

• Windows: перезагрузка устройства

• macOS: перезагрузите устройство или перезапустите службу Defender для конечной точки, выполнив следующую команду:

  1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
  2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

• Linux: перезапустите службу Defender для конечной точки, выполнив следующую команду: sudo systemctl restart mdatp

В следующей таблице перечислены инструкции по миграции доступных средств подключения на основе операционной системы устройства.

Windows 10 и 11

Windows 10 и 11

Важно!

Windows 10 версии 1607, 1703, 1709 и 1803 не поддерживают повторное подключение. Чтобы перенести существующие устройства, необходимо полностью отключить и подключиться с помощью упрощенного пакета подключения.

Общие сведения о подключении клиентских устройств Windows см. в разделе Подключение клиента Windows.

Убедитесь, что выполнены предварительные требования: предварительные требования для использования упрощенного метода.

Локальный сценарий

Следуйте указаниям в разделе Локальный сценарий (до 10 устройств) с помощью упрощенного пакета подключения. После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

Групповая политика

Следуйте указаниям в разделе Групповая политика с помощью упрощенного пакета подключения. После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

Microsoft Intune

Следуйте инструкциям в Intune с помощью упрощенного пакета подключения. Можно использовать параметр "auto from connector" (Авто из соединителя). однако этот параметр не использует автоматически повторное применение пакета подключения. Create новую политику подключения и сначала нацелимся на тестовую группу. После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

Microsoft Configuration Manager

Следуйте указаниям в Configuration Manager.

VDI

Воспользуйтесь рекомендациями в статье Подключение устройств инфраструктуры виртуальных рабочих столов (VDI) для непрекращающихся ресурсов. После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

Windows Server

Windows Server

Общие сведения о подключении устройств Windows Server см. в разделе Подключение серверов Windows к службе Microsoft Defender для конечной точки.

Убедитесь, что выполнены предварительные требования: предварительные требования для упрощенного метода.

Microsoft Defender для облака

Устройства, уже подключенные, не повторно подключены автоматически. Включите следующий параметр Расширенные функции на портале Microsoft Defender (Параметры > конечных > точек Расширенные функции) и выберите параметр "Применение упрощенных параметров подключения к устройствам, управляемым Intune и Defender для облака". Новые добавленные устройства начинают использовать новые сведения о подключении в течение ~48 часов. Чтобы повторно подключить существующие устройства, примените сценарий подключения. См. раздел Подключение серверов Windows к службе Microsoft Defender для конечной точки.

Microsoft Configuration Manager

Следуйте инструкциям в Configuration Manager, чтобы развернуть новую политику.

Групповая политика

Следуйте указаниям в разделе Групповая политика с помощью упрощенного пакета подключения. После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

VDI

Следуйте указаниям в разделе Подключение устройств инфраструктуры виртуальных рабочих столов (VDI). После выполнения действий необходимо перезапустить устройство, чтобы подключиться к устройству, чтобы переключиться.

macOS

macOS

Общие сведения о подключении устройств macOS см. в разделе Microsoft Defender для конечной точки в macOS.

Убедитесь, что выполнены предварительные требования: предварительные требования для упрощенного метода.

Локальный сценарий

Следуйте инструкциям в статье Развертывание Microsoft Defender для конечной точки в macOS вручную с помощью упрощенного пакета подключения.

После выполнения этих действий необходимо либо перезагрузить устройство, либо перезапустить службу для подключения для переключения.

Microsoft Intune

1. В Microsoft Intune создайте политику подключения с помощью профиля настраиваемой конфигурации. Пока не назначайте его. Следуйте инструкциям в разделе развертывание на основе Intune для Microsoft Defender для конечной точки на Mac.

2. Исключите устройство macOS, которое вы повторно выполняете подключение, из существующей политики подключения. Дополнительные сведения об исключении групп из назначений политик см. в статье Исключение групп из назначения политики.

3. Добавьте назначение политики с помощью упрощенного пакета подключения.

4. Перезапустите устройство.

JAMF Pro

1. Исключите устройство из существующих политик подключения в JAMF Pro.

2. Create новую политику подключения для упрощенного подхода к подключению.

3. Включите устройство в новую оптимизированную политику подключения.

4. Перезагрузите устройство, если оно ранее было подключено к Defender для конечной точки. Кроме того, можно перезапустить службу с помощью следующих команд:

   1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
   2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist

Дополнительные рекомендации по JAMF см. в статье Развертывание Microsoft Defender для конечной точки в macOS с помощью JAMF Pro.

Linux

Linux

Общие сведения о подключении устройств Linux см. в разделе Microsoft Defender для конечной точки в Linux.

Убедитесь, что выполнены предварительные требования: предварительные требования для упрощенного метода.

Локальный сценарий

Воспользуйтесь рекомендациями в статье Развертывание Microsoft Defender для конечной точки в Linux вручную с помощью упрощенного пакета подключения.

После выполнения этих действий необходимо либо перезагрузить устройство, либо перезапустить службу с помощью sudo systemctl restart mdatp.

Подключение устройства к упрощению не запускается, если вы не перезагрузите устройство.

Сторонние средства развертывания Linux (Puppet, Ansible, Chef)

Замените файл пакета подключения в текущем методе развертывания.

Проверка подключения устройства с помощью упрощенного метода для перенесенных устройств

Для проверка успешно подключенных устройств Windows можно использовать следующие методы:

• Анализатор клиента
• Отслеживание с помощью расширенной охоты в Microsoft Defender XDR
• Локальное отслеживание с помощью Просмотр событий (для Windows)
• Выполнение тестов для подтверждения подключения к службам Defender для конечных точек
• Проверка редактора реестра
• Тест обнаружения PowerShell

Для macOS и Linux можно использовать следующие методы:

• Тесты подключения MDATP
• Отслеживание с помощью расширенной охоты в Microsoft Defender XDR
• Выполнение тестов для подтверждения подключения к службам Defender для конечных точек

Использование клиентского анализатора Defender для конечной точки (Windows) для проверки подключения после подключения для перенесенных конечных точек

После подключения запустите анализатор клиента MDE, чтобы убедиться, что устройство подключается к соответствующим обновленным URL-адресам.

Скачайте средство Microsoft Defender для конечной точки клиентского анализатора, где работает датчик Defender для конечной точки.

Вы можете выполнить те же инструкции, что и в разделе Проверка подключения клиента к службе Microsoft Defender для конечной точки. Скрипт автоматически использует пакет подключения, настроенный на устройстве (должна быть оптимизирована версия) для проверки подключения.

Убедитесь, что установлено подключение с соответствующими URL-адресами.

Отслеживание с помощью расширенной охоты в Microsoft Defender XDR

Для просмотра состояния типа подключения можно использовать расширенный поиск на портале Microsoft Defender.

Эти сведения находятся в таблице DeviceInfo в столбце ConnectivityType:

• Имя столбца: ConnectivityType
• Возможные значения: <blank>, упрощенный, стандартный
• Тип данных: String
• Описание: тип подключения устройства к облаку

После миграции устройства для использования упрощенного метода и успешного взаимодействия с командой EDR & канале управления значение будет представлено как "Упрощенный".

При перемещении устройства обратно в обычный метод значение будет "стандартный".

Для устройств, которые еще не пытались повторно подключиться, значение остается пустым.

Отслеживание локально на устройстве через Windows Просмотр событий

Вы можете использовать операционный журнал SENSE Windows Просмотр событий для локальной проверки подключений с помощью нового упрощенного подхода. Событие SENSE с идентификатором 4 отслеживает успешные подключения EDR.

Откройте журнал событий службы Defender для конечной точки, выполнив следующие действия.

1. В меню Windows выберите Пуск, а затем введите Просмотр событий. Затем выберите Просмотр событий.

2. В списке журналов в разделе Сводка журнала прокрутите вниз, пока не увидите Microsoft-Windows-SENSE/Operational. Дважды щелкните элемент, чтобы открыть журнал.

   

   Вы также можете получить доступ к журналу, развернитераздел Журналы>приложений и служб Microsoft>Windows>SENSE и выберите Операционный.

3. Событие с идентификатором 4 отслеживает успешные подключения с помощью канала Управления Командой Defender для конечной точки &. Проверьте успешное подключение с обновленным URL-адресом. Например:

   Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
   <EventData>
    <Data Name="UInt1">6</Data>
    <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
   </EventData>
   

4. Сообщение 1 содержит URL-адрес контакта. Убедитесь, что событие содержит упрощенный URL-адрес (endpoint.security.microsoft, com).

5. Событие с идентификатором 5 отслеживает ошибки, если применимо.

Примечание.

SENSE — это внутреннее имя, используемое для обозначения датчика поведения, который обеспечивает Microsoft Defender для конечной точки.
События, записанные службой, будут отображаться в журнале.
Дополнительные сведения см. в разделе Просмотр событий и ошибок с помощью Просмотр событий.

Выполнение тестов для подтверждения подключения к службам Defender для конечных точек

После подключения устройства к Defender для конечной точки убедитесь, что оно по-прежнему отображается в разделе Инвентаризация устройств. Идентификатор устройства должен остаться прежним.

Перейдите на вкладку Временная шкала страницы устройства, чтобы убедиться, что события передаются с устройства.

Динамический ответ

Убедитесь, что live response работает на тестовом устройстве. Следуйте инструкциям в разделе Исследование сущностей на устройствах с помощью динамического ответа.

Обязательно выполните несколько основных команд после подключения, чтобы подтвердить подключение (например, cd, задания, подключение).

Автоматическое исследование и реагирование

Убедитесь, что автоматическое исследование и реагирование работают на тестовом устройстве. Настройте возможности автоматического исследования и реагирования.

Для лабораторий автоматического тестирования IR перейдите в раздел Microsoft Defender XDR>Оценки & Учебники>& имитации> **Учебники >по автоматизированным исследованиям.

Облачная защита

1. Откройте командную строку от имени администратора.

2. Щелкните правой кнопкой мыши элемент в меню Пуск, выберите Запуск от имени администратора , а затем выберите Да в запросе разрешений.

3. Используйте следующий аргумент со служебной программой командной строки антивирусной программы Microsoft Defender (mpcmdrun.exe), чтобы убедиться, что сеть может взаимодействовать с облачной службой антивирусной программы Microsoft Defender:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
   

Примечание.

Эта команда будет работать только в Windows 10 версии 1703 или более поздней или Windows 11. Дополнительные сведения см. в статье Управление антивирусной программой Microsoft Defender с помощью средства командной строки mpcmdrun.exe.

Тестовый блок при первом взгляде

Следуйте инструкциям в демонстрации Microsoft Defender для конечной точки block at first sight (BAFS).

Тестирование SmartScreen

Следуйте инструкциям в Microsoft Defender демонстрации SmartScreen (msft.net).

Тест обнаружения PowerShell

1. На устройстве с Windows создайте папку: C:\test-MDATP-test

2. Откройте окно командной строки от имени администратора.

3. В окне командной строки выполните следующую команду PowerShell:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

После выполнения команды окно командной строки автоматически закрывается. В случае успешного выполнения тест обнаружения помечается как завершенный.

Для macOS и Linux можно использовать следующие методы:

• Тесты подключения MDATP
• Отслеживание с помощью расширенной охоты в Microsoft Defender XDR
• Выполнение тестов для подтверждения подключения к службам Defender для конечных точек

Проверка подключения MDATP (macOS и Linux)

Выполните команду mdatp health -details features , чтобы подтвердить simplified_connectivity: "enabled".

Выполните команду mdatp health -details edr , чтобы подтвердить edr_partner_geo_location доступность. Значение должно быть, GW_<geo> где "geo" — это географическое расположение вашего клиента.

Выполните тест подключения mdatp. Убедитесь в наличии упрощенного шаблона URL-адреса. Следует ожидать два для "\storage", один для \mdav, один для "\xplat" и один для "/packages".

Пример: https:mdav.us.endpoint.security.microsoft/com/storage

Отслеживание с помощью расширенной охоты в Microsoft Defender XDR

Следуйте тем же инструкциям, что и для Windows.

Использование клиентского анализатора Defender для конечной точки (кроссплатформенный) для проверки подключения для недавно перенесенных конечных точек

Скачайте и запустите клиентский анализатор для macOS или Linux. Дополнительные сведения см. в статье Скачивание и запуск анализатора клиента.

1. Запустите mdeclientanalyzer.cmd -o <path to cmd file> из папки MDEClientAnalyzer. Команда использует параметры из пакета подключения для проверки подключения.

2. Выполнение mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (где параметр имеет значение GW_US, GW_EU, GW_UK). GW — это упрощенный вариант. Запустите с применимым географическим расположением клиента.