通过

将服务器从 Microsoft 监视代理迁移到统一解决方案

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本文介绍如何将运行 Windows Server 2016 或 Windows Server 2012 R2 的服务器从 Microsoft Monitoring Agent (MMA) 迁移到新式统一解决方案。 在本文中,下层服务器是指旧版Windows Server,例如Windows Server 2016和Windows Server 2012 R2。

先决条件

  • Microsoft Configuration Manager高于 2207。
  • 环境中已加入Microsoft监视代理的下层 OS 设备。 若要确认,请验证是否 MsSenseS.exe 在任务管理器中运行。
  • 存在 MMA 代理。 可以通过检查 控制面板> Microsoft Monitoring Agent 中是否存在正确的工作区 ID 来验证它。
  • 已载入设备的活动Microsoft Defender门户。
  • 设备集合包含使用 MMA 代理的下层服务器(如 Windows Server 2012 R2 或Windows Server 2016)在 Configuration Manager 实例中设置。

有关安装列出的先决条件的详细信息,请参阅 相关文章 部分。

收集所需的文件

将统一解决方案包、载入脚本和迁移脚本复制到使用 Configuration Manager 部署其他应用的同一内容源。

  1. Microsoft Defender门户设置页下载载入脚本和统一解决方案。

    载入脚本和统一解决方案下载的屏幕截图

    注意

    必须从“部署方法”下拉列表中选择组策略才能获取.cmd文件。

  2. 从文档下载迁移脚本:基于 MMA 的先前Microsoft Defender for Endpoint解决方案中的服务器迁移方案。 也可以在 GitHub 上找到此脚本: GitHub - microsoft/mdefordownlevelserver

  3. 将Configuration Manager使用的共享文件夹中的所有三个文件保存为软件源。

    通过Configuration Manager保存共享文件夹的屏幕截图。

将包创建为应用程序

  1. 在Configuration Manager控制台中,转到“软件库>应用程序”>“创建应用程序”。

  2. 选择 “手动指定应用程序信息”。 手动指定应用程序信息选择的屏幕截图。

  3. 在向导的“软件中心”屏幕上选择“ 下一步 ”。

  4. 在“部署类型”上,选择“ 添加”。

  5. 选择“ 手动”以指定部署类型信息 ,然后选择“ 下一步”。

  6. 为脚本部署指定名称,然后选择“ 下一步”。

    指定脚本部署信息的屏幕截图。

  7. 复制内容所在的 UNC 路径。 示例:\\ServerName\h$\SOFTWARE_SOURCE\path

    显示 UNC 路径复制的屏幕截图。

  8. 使用以下命令设置安装程序:

     Powershell.exe -ExecutionPolicy ByPass -File install.ps1 -RemoveMMA <workspace ID> -OnboardingScript .\WindowsDefenderATPOnboardingScript.cmd

    选择“ 下一步”,并确保在本部分中添加自己的工作区 ID。

  9. 选择“ 下一步”,然后选择“ 添加子句”。

  10. 检测方法基于以下注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sense

    选择选项: 此注册表设置必须在目标系统上退出,以指示存在此应用程序。

    显示检测类型向导的屏幕截图

    提示

    注册表项值是在安装了统一解决方案的设备上运行以下 PowerShell 命令获取的。 也可以使用其他创造性的检测方法。 目标是确定是否已在特定设备上安装统一解决方案。 可以将“值”和“数据类型”字段保留为空。

    get-wmiobject Win32_Product | Sort-Object -Property Name |Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize

  11. “用户体验”部分中,检查屏幕截图中显示的建议设置。 可以选择适合你的环境的内容,然后选择“ 下一步”。

    对于 安装程序可见性,建议在阶段测试期间使用 Normal 进行安装,然后将其更改为 “最小化 ”,以便进行常规部署。

    提示

    允许的最大运行时数可以从 (默认) 120 分钟降低到 60 分钟。

    显示部署类型向导中的用户体验的屏幕截图。

  12. 添加任何其他要求,然后选择“ 下一步”。

  13. 在“依赖项”部分下,选择“ 下一步”。

  14. 选择“ 下一步 ,直到完成屏幕出现”,然后选择“ 关闭”。

  15. 继续选择 “下一步 ”,直到完成应用程序向导。 验证是否已选中所有绿色。

  16. 关闭向导,右键单击最近创建的应用程序,并将其部署到下层服务器集合。 在本地,可以在软件中心确认安装。 有关详细信息,请在 中检查 CM 日志C:\Windows\CCM\Logs\AppEnforce.log

    显示已创建应用程序的部署的屏幕截图。

  17. 转到“监视>部署”,验证 Configuration Manager 中的迁移状态。

  18. 故障 排除。ETL 文件创建并自动保存在位于此位置 C:\Windows\ccmcache\#\的每个服务器本地。 支持人员可以利用这些文件来排查载入问题。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区

  • Last updated on