共用方式為

管理與更新 適用於身分識別的 Microsoft Defender 感測器

本文說明如何在 Microsoft Defender 全面偵測回應中配置與管理 適用於身分識別的 Microsoft Defender 感測器。

查看 Defender for Identity 感測器設定與狀態

  1. Microsoft Defender 全面偵測回應中,進入設定,然後進入身份。

    進入設定,然後是身份。

  2. 選擇 「感測器 」頁面,該頁面會顯示你所有的 Defender for Identity 感測器。 對於每個感測器,你會看到它的名稱、網域成員身份、版本號、更新是否應該延遲、服務狀態、感測器狀態、健康狀態、健康問題數量,以及感測器建立的時間。 關於每欄的詳細資訊,請參見 感測器詳情

    截圖顯示在 Microsoft Defender 入口網站中感測器頁面的位置。

  3. 選擇篩選器後,可以選擇可用的篩選器。 然後你可以選擇每個濾鏡要顯示哪些感測器。

    感測器過濾器。

    濾波感測器。

  4. 如果你選擇其中一個感測器,會顯示一個面板,顯示感測器及其健康狀態的資訊。

    感測器細節。

  5. 如果你選擇任何健康問題,會看到一個包含更多細節的窗格。 如果你選擇了已關閉的議題,可以從這裡重新開啟。

    問題細節。

  6. 如果你選擇 「管理感測器」,會跳出一個窗格,讓你可以設定感測器細節。

    管理感測器。

    設定感測器細節。

  7. 感測器 頁面,你可以選擇 匯出,將感測器清單匯出成 .csv 檔案。

    感測器匯出清單。

感測器細節

感測器頁面提供以下關於每個感測器的資訊:

  • 感測器:顯示感測器的 NetBIOS 電腦名稱。

  • 類型:顯示感測器的類型。 可能的值為:

    • 域控制器感測器

    • AD FS 感應器 (Active Directory 同盟服務)

    • 獨立感測器

    • Entra Connect 感應器。 如果你的感測器安裝在設定了 Entra Connect 的網域控制器伺服器上,例如在測試環境中,感測器類型會顯示為 網域控制器感測器

    • ADCS 感測器 (Active Directory 憑證服務) 。 如果你的感測器安裝在已設定 AD CS 的網域控制器伺服器上,例如在測試環境中,感測器類型會顯示為 網域控制器感測器

  • 網域:顯示感測器安裝的 Active Directory 網域的完整限定網域名稱。

  • 服務狀態:顯示伺服器上感測器服務的狀態。 可能的值為:

    • 運行中:感測器服務正在運行

    • 開始:感測器服務開始

    • 停用:感測器服務已停用

    • 停止:感測器服務已停止

    • 未知:感測器已斷線或無法聯繫

  • 感測器狀態:顯示感測器的整體狀態。 可能的值為:

    • 最新狀況:感測器運行的是最新版本的感測器。

    • 過時:感測器運行的軟體版本比目前版本慢至少三個版本。

    • 更新中:感測器軟體正在更新中。

    • 更新失敗:感測器未能更新到新版本。

    • 未設定:感測器需要更多設定才能完全運作。 這適用於安裝在 AD FS/AD CS 伺服器上的感測器,或是獨立感測器。

    • 啟動失敗:感測器超過 30 分鐘都沒拉取設定。

    • 同步:感測器設定更新待處理,但還沒拉出新設定。

    • 已斷線:Defender for Identity 服務已 10 分鐘內未接收到該感測器的任何通訊。

    • 無法存取:網域控制器已從 Active Directory 中刪除。 不過,感測器安裝並未在網域控制所退役前被移除或移除。 你可以放心刪除此條目。

  • 版本:顯示已安裝的感測器版本。

  • 延遲更新:顯示感測器延遲更新機制狀態。 可能的值為:

    • Enabled

    • 停用

      注意事項

      此功能僅支援 Defender for Identity 感測器 2.x 版本。

  • 健康狀態:以彩色圖示顯示感測器整體健康狀態,代表最高嚴重度的健康警示。 可能的值為:

    • 健康 (綠色圖示) :未開啟健康問題

    • 不健康 (黃色圖示) :開啟的健康問題最高嚴重度為低

    • 不健康 (橘色圖示) :最高嚴重的健康問題為中等

    • 不健康 (紅色圖示) :最高嚴重度開啟的健康問題為高

  • 健康問題:感測器顯示開啟健康問題的數量。

  • 建立:顯示感測器安裝日期

更新你的感測器

保持您的 適用於身分識別的 Microsoft Defender 感測器的最新,能為您的組織提供最佳的保護。

適用於身分識別的 Microsoft Defender 服務通常每月更新數次,新增偵測、功能及效能提升。 通常這些更新會包含對感測器的相應小幅更新。 感測器更新套件僅控制Defender for Identity感測器及感測器偵測功能。

Defender for Identity 感測器更新類型

Defender for Identity 感測器支援兩種更新:

  • 小版本更新:

    • 頻繁
    • 不需要安裝 MSI,也不需要更改登錄檔
    • 重新啟動:Defender for Identity sensor services

  • 主要版本更新:

    • 稀有
    • 包含重大變更
    • 重新啟動:Defender for Identity sensor services

注意事項

  • Defender for Identity 感測器總是保留至少 15% 的可用記憶體和 CPU 空間,安裝在網域控制器上。 若 Defender for Identity 服務佔用過多記憶體,該服務會被 Defender for Identity 感測器更新器自動停止並重新啟動。

感測器更新延遲

注意事項

此功能僅支援 Defender for Identity 感測器 2.x 版本。

鑑於 Defender for Identity 持續開發與更新的速度,你可能會決定將感測器的子群組定義為延遲更新環,允許感測器逐步更新。 Defender for Identity 讓你能選擇感測器的更新方式,並將每個感測器設為 延遲更新 候選。

未被選中延遲更新的感測器,每次 Defender for Identity 服務更新時都會自動更新。 感測器設定為 延遲更新 時,會在每次服務更新正式發布後延遲 72 小時內更新。

延遲更新選項允許你選擇特定感測器作為自動更新環,所有更新會自動推出,並設定其他感測器延遲更新,讓你有時間確認自動更新感測器是否成功。

注意事項

如果發生錯誤且感測器沒有更新,請開啟支援單。 若要進一步強化代理只與工作區通訊,請參閱 代理設定

你的感測器與 Azure 雲端服務之間的認證,使用強而有力的憑證互認證。 用戶端憑證於感測器安裝時建立為自簽憑證,有效期為2年。 感測器更新服務負責在現有憑證到期前產生新的自簽憑證。 憑證在後端經過兩階段驗證程序進行滾動,以避免捲入憑證導致認證破裂的情況。

每次更新都會在所有支援的作業系統上進行測試與驗證,以盡量減少對網路與營運的影響。

要設定感測器延遲更新:

  1. 感測器 頁面,選擇你想設定延遲更新的感測器。

  2. 選擇 啟用延遲更新 按鈕。

    啟用延遲更新。

  3. 在確認視窗中,選擇 啟用

要停用延遲更新,請選擇感測器,然後選擇 「停用延遲更新 」按鈕。

感測器更新流程

每隔幾分鐘,Defender for Identity 的感測器會檢查是否有最新版本。 當 Defender for Identity 雲端服務更新至新版本後,Defender for Identity 感測器服務會開始更新流程:

  1. Defender for Identity 雲端服務已更新至最新版本。

  2. Defender for Identity 感測器更新服務得知有更新版本。

  3. 未設定為 延遲更新 的感測器,則會依感測器開始更新流程:

    1. Defender for Identity 感測器更新服務會從雲端服務 (以 cab file 格式) 拉取更新版本。
    2. Defender for Identity sensor 更新器會驗證檔案簽章。
    3. Defender for Identity 感測器更新服務會將 cab 檔案解壓到感測器安裝資料夾的新資料夾。 預設情況下,它會被解壓到 C:\Program Files\Azure Advanced Threat Protection Sensor<版本號>
    4. Defender for Identity sensor 服務會指向從 cab 檔案中擷取的新檔案。
    5. Defender for Identity 感測器更新服務會重新啟動 Defender for Identity 感測器服務。

      注意事項

      小幅感測器更新後不會安裝 MSI,也不會更改登錄檔值或任何系統檔案。 即使正在重啟,也不會影響感測器更新。

    6. 感測器是根據新更新版本運作的。
    7. 感測器獲得 Azure 雲端服務的許可。 你可以在 感測器 頁面確認感測器狀態。
    8. 下一個感測器開始更新程序。

  4. 被選為 延遲更新 的感測器會在 Defender for Identity 雲端服務更新後 72 小時開始更新流程。 這些感測器將採用與自動更新感測器相同的更新流程。

    對於未完成更新程序的感測器,會觸發相關的 健康警示 並以通知形式發送。

    感測器更新失敗。

靜默更新 Defender for Identity 感測器

請使用以下指令靜默更新 Defender for Identity 感測器:

語法:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

安裝選項

名稱 語法 靜音安裝是強制的嗎? 描述
安靜 /quiet 執行安裝程式時沒有顯示任何介面或提示。
說明 /救命 提供協助和快速參考。 顯示設定指令的正確使用方式,包括所有選項與行為清單。
NetFrameworkCommandLineArguments=“/q” NetFrameworkCommandLineArguments=“/q” 指定 .Net Framework 安裝的參數。 必須設定為強制執行 .Net Framework 的靜默安裝。

範例

要靜默更新 Defender for Identity 感測器:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

設定 Proxy 設定

我們建議您在靜默安裝時 ,使用命令列交換器設定初始代理設定。 如果你之後需要更新代理設定,可以用 CLIPowerShell

如果你之前是透過 WinINet 或登錄檔金鑰設定代理設定,現在需要更新,那你就得 原本的方法。

更多資訊請參閱 「配置端點代理與網際網路連線設定」。

後續步驟

  • Last updated on