测试 Microsoft Defender for Identity 连接

Defender for Identity 传感器需要与 Defender for Identity 服务建立网络连接,大多数组织通过防火墙或代理控制对 Internet 的访问。 例如,使用代理时,可以允许通过单个 URL 访问端口 443。 有关详细信息,请参阅所需的端口

在准备好将用于 Microsoft Defender for Identity 传感器的服务器并根据需要配置代理设置后,建议测试连接,以确保服务器可以访问 Defender for Identity 云服务。 即使在部署之后,如果传感器服务器遇到连接问题,也可以使用本文中的过程。

有关详细信息,请参阅所需的端口

使用浏览器测试连接

  1. 打开浏览器。 如果你使用的是代理,请确保浏览器使用与传感器相同的代理设置。

    例如,如果为本地系统定义了代理设置,则需要使用 PSExec 以本地系统的身份打开会话,并从该会话打开浏览器。

  2. 浏览到以下 URL:https://<your_workspace_name>sensorapi.atp.azure.com/tri/sensor/api/ping。 将 <your_workspace_name> 替换为 Defender for Identity 工作区的名称。

    重要

    必须指定 HTTPS,而不是 HTTP,才能正确测试连接。

结果:你应该会看到显示了一条确定 消息(HTTP 状态 200),这表明你已成功路由到 Defender for Identity HTTPS 端点。 这是想要的结果。

对于一些较旧的工作区,发回的消息可能是错误 503 服务离线。 这是一种暂时的状态,仍然表示成功。 例如:

HTTP 200 状态代码(确定)的屏幕截图。

其他结果可能包括以下方案:

  • 若没有收到确定消息,则你的代理配置可能存在问题。 检查你的网络和代理设置。

  • 如果遇到证书错误,请确保安装了所要求的受信任的根证书,然后再继续。 有关更多信息,请参阅代理身份验证问题表现为连接错误。 证书详细信息应如下所示:

    所需证书路径的屏幕截图。

使用 PowerShell 测试服务连接

先决条件:在运行 Defender for Identity PowerShell 命令之前,请确保已下载 Defender for Identity PowerShell 模块

登录到服务器,并运行以下命令之一:

  • 若要使用当前服务器的设置,请运行:

    Test-MDISensorApiConnection
    
  • 若要测试计划使用但当前未在服务器上配置的设置,请使用以下语法运行该命令:

    Test-MDISensorApiConnection -BypassConfiguration -SensorApiUrl 'https://contososensorapi.atp.azure.com' -ProxyUrl 'https://myproxy.contoso.com:8080' -ProxyCredential $credential
    

    其中:

    • https://contososensorapi.atp.azure.com 是传感器 URL 的示例,其中 contososensor 是工作区的名称。
    • https://myproxy.contoso.com:8080 是代理 URL 的示例

有关详细信息,请参阅 MDI PowerShell 文档

下一步