Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen forklarer hvordan du viser, administrerer og oppdaterer Defender for identitetssensorer i Microsoft Defender-portalen.
Vis sensorinnstillinger og -status
- Gå til Innstillinger-identiteter>i Microsoft Defender-portalen.
- Velg Lokal under Distribusjon i venstre sidestolpe.
- Velg Sensorer-fanen .
Sensorer-fanen viser alle Defender for Identity-sensorer som er distribuert i miljøet ditt. Fra denne fanen kan du:
- Filtrer sensorer etter type, domene, forsinket oppdatering, tjenestestatus, sensorstatus, overføringstilstand eller tilstandsstatus.
- Eksporter sensorlisten til en .csv-fil.
- Ta en sensor om bord ved hjelp av alternativet + Legg til sensor .
- Tilpass kolonner for å vise eller skjule bestemte felt.
- Søk etter en bestemt sensor etter navn.
Velg en sensorrad for å åpne en detaljrute med informasjon om sensoren og tilstandsstatusen. Fra detaljruten kan du velge Administrer sensor for å oppdatere sensorkonfigurasjonen, eller velge et helseproblem for å se flere detaljer og åpne lukkede problemer på nytt.
Sensordetaljer
Sensorer-fanen viser følgende kolonner. Se tabellene nedenfor for kolonner med flere mulige verdier.
- Sensor: Sensorens NetBIOS-datamaskinnavn.
- Type: Sensortypen. Hvis du vil ha mulige verdier, kan du se Type.
- Domene: Det fullstendige domenenavnet for Active Directory-domenet der sensoren er installert.
- Overføringstilstand: Angir om sensorer er kvalifisert for overføring fra v2.x til v3.x. Hvis du vil ha mulige verdier, kan du se Overføringstilstand.
- Tjenestestatus: Den gjeldende tilstanden til sensortjenesten på serveren. Hvis du vil ha mulige verdier, kan du se Tjenestestatus.
- Sensorstatus: Den gjeldende oppdaterings- og konfigurasjonstilstanden til sensorprogramvaren. Hvis du vil ha mulige verdier, kan du se Sensorstatus.
- Versjon: Sensorversjonen er installert.
- Forsinket oppdatering: Om forsinkede oppdateringer er aktivert eller deaktivert. Forsinkede oppdateringer støttes av versjon 2 av sensoren. Hvis du vil ha mer informasjon, kan du se Forsinket sensoroppdatering.
- Helseproblemer: Antall åpne helseproblemer på sensoren.
- Tilstandsstatus: Sensorens generelle helse basert på det høyeste åpne helseproblemet med alvorlighetsgrad. Hvis du vil ha mulige verdier, kan du se Tilstandsstatus.
- Opprettet: Datoen sensoren ble installert.
Type:
Typekolonnen angir sensortypen basert på serverrollen der sensoren er installert. Hvis en sensor er installert på en domenekontroller som også kjører Entra Connect eller AD CS, vises typen som domenekontrollersensor.
| Type: | Beskrivelse |
|---|---|
| Sensor for domenekontroller | Installert på en Active Directory-domenekontroller. |
| AD FS-sensor | Installert på en Active Directory Federation Services (AD FS)-server. |
| Frittstående sensor | Installert på en dedikert server som overvåker domenekontrollertrafikk via portspeiling. |
| Entra Tilkoblingssensor | Installert på en Microsoft Entra Connect-server. |
| ADCS-sensor | Installert på en Active Directory Certificate Services (AD CS)-server. |
Overføringstilstand
Kolonnen for overføringstilstand viser om sensoren er kvalifisert for overføring fra v2.x til v3.x.
For at en server skal være kvalifisert for overføring, må det være:
- En domenekontroller uten at flere identitetsroller kjører
- Kjører en Defender for Identitetssensor v2.x.
- Kjører Windows Server 2019 eller nyere.
- Inkluderer den kumulative oppdateringen for mars 2026 eller nyere .
- Har Microsoft Defender for endepunkt distribuert.
Hvis du vil ha en fullstendig liste over v3.x-krav, kan du se Forutsetninger for Defender for identitetssensor v3.x.
| Tilstand | Beskrivelse |
|---|---|
| Klar for overføring | Serveren oppfyller alle forutsetninger og kan overføres. |
| Ikke klar for overføring | Serveren oppfyller ikke én eller flere forutsetninger. |
| Migrere | Overføringen pågår. |
| Oppdatert | Overføringen er fullført. Serveren kjører sensor v3.x. |
| Overføring mislyktes | Det oppstod en feil under overføringen. Du kan prøve overføringen på nytt. |
Tjenestestatus
Kolonnen for tjenestestatus angir den gjeldende driftstilstanden til sensortjenesten på serveren.
| Status | Beskrivelse |
|---|---|
| Kjører | Sensortjenesten kjører. |
| Starter | Sensortjenesten starter. |
| Deaktivert | Sensortjenesten er deaktivert. |
| Stoppet | Sensortjenesten er stoppet. |
| Ukjent | Sensoren er frakoblet eller kan ikke nås. |
Sensorstatus
Sensorstatuskolonnen angir den gjeldende oppdaterings- og konfigurasjonstilstanden til sensorprogramvaren.
| Status | Beskrivelse |
|---|---|
| Oppdatert | Sensoren kjører gjeldende versjon. |
| Utdatert | Sensoren kjører en versjon som er minst tre versjoner bak den gjeldende versjonen. |
| Oppdatere | Sensorprogramvaren oppdateres. |
| Oppdateringen mislyktes | Sensoren kan ikke oppdateres til en ny versjon. |
| Ikke konfigurert | Sensoren krever mer konfigurasjon før den er i full drift. Dette gjelder sensorer på AD FS, AD CS eller frittstående servere. |
| Start mislyktes | Sensoren trakk ikke konfigurasjon på mer enn 30 minutter. |
| Synkroniserer | Sensoren har konfigurasjonsoppdateringer som venter, men trakk ikke den nye konfigurasjonen ennå. |
| Frakoblet | Ingen kommunikasjon fra denne sensoren på 10 minutter. |
| Unreachable | Domenekontrolleren ble slettet fra Active Directory, men sensoren ble ikke avinstallert før den ble avviklet. Du kan trygt slette denne oppføringen. |
Tilstandsstatus
Tilstandsstatuskolonnen angir sensorens generelle helse basert på alvorlighetsgraden av eventuelle åpne helseproblemer.
| Status | Beskrivelse |
|---|---|
| Sunt (grønt ikon) | Ingen åpne helseproblemer. |
| Ikke sunt (gult ikon) | Det høyeste problemet med åpen alvorlighetsgrad er lav. |
| Ikke sunt (oransje ikon) | Det høyeste problemet med åpen alvorlighetsgrad er middels. |
| Ikke sunt (rødt ikon) | Det høyeste problemet med åpen alvorlighetsgrad er høy. |
Oppdater sensorer
Defender for Identity sensor v3.x leveres som en komponent i Microsoft Defender for endepunkt og oppdateres automatisk via Windows Oppdateringer. Det kreves ingen manuell sensoroppdateringsprosess for v3.x-sensorer.
Resten av denne delen gjelder bare defender for identitetssensor v2.x.
Oppdateringstyper for Defender for identity sensor v2.x
Defender for Identity-tjenesten oppdateres vanligvis et par ganger i måneden med nye oppdagelser, funksjoner og ytelsesforbedringer. Disse oppdateringene inkluderer vanligvis en tilsvarende mindre oppdatering av sensorene.
Defender for Identity-sensorer v2.x støtter to typer oppdateringer:
Oppdateringer for underordnede versjoner:
- Hyppige
- Krever ingen MSI-installasjon, og ingen registerendringer
- Startet på nytt: Defender for identitetssensortjenester
Viktige versjonsoppdateringer:
- Sjeldne
- Inneholder betydelige endringer
- Startet på nytt: Defender for identitetssensortjenester
Obs!
Defender for Identity-sensorer v2.x reserverer alltid minst 15 % av det tilgjengelige minnet og CPU-en på domenekontrolleren der sensoren er installert. Hvis tjenesten bruker for mye minne, stoppes den automatisk og startes på nytt av sensoroppdateringstjenesten.
Forsinket oppdatering for sensor v2.x
Du kan definere et delsett av sensorene som en forsinket oppdateringsring. Sensorer som ikke er i den forsinkede ringen, oppdateres automatisk hver gang tjenesten oppdateres. Sensorer satt til forsinket oppdatering oppdateres 72 timer senere, noe som gir deg tid til å bekrefte at de automatisk oppdaterte sensorene fungerer som de skal.
Obs!
Hvis det oppstår en feil og en sensor ikke oppdateres, åpner du en støtteforespørsel. Hvis du vil herde proxyen ytterligere for bare å kommunisere med arbeidsområdet, kan du se Proxy-konfigurasjonen.
Godkjenning mellom sensorene og Azure skytjeneste bruker sertifikatbasert gjensidig godkjenning. Et selvsignert klientsertifikat opprettes under sensorinstallasjon og er gyldig i 2 år. Sensoroppdateringstjenesten genererer et nytt sertifikat før det eksisterende utløper, ved hjelp av en 2-faset valideringsprosess for å unngå godkjenningsavbrudd under utrullingen.
Slik angir du en sensor til forsinket oppdatering:
- Velg sensoren du vil angi for forsinkede oppdateringer, på Sensorer-siden .
- Velg knappen Aktivert forsinket oppdatering .
- Velg Aktiver i bekreftelsesvinduet.
Hvis du vil deaktivere forsinkede oppdateringer, velger du sensoren og velger knappen Deaktivert forsinket oppdatering .
Oppdateringsprosess for sensor v2.x
Med noen få minutter sjekker v2.x-sensorer om en nyere versjon er tilgjengelig. Når skytjenesten oppdateres, starter sensorer oppdateringsprosessen:
Skytjenesten oppdateres til den nyeste versjonen.
Sensoroppdateringstjenesten oppdager den nye versjonen.
Sensorer som ikke er satt til Forsinket oppdatering , starter oppdateringsprosessen én om gangen:
- Sensoroppdateringstjenesten henter den oppdaterte versjonen fra skytjenesten (i .cab filformat).
- Sensoroppdateringsbryteren validerer filsignaturen.
- Sensoroppdateringsprogrammet pakker ut cab-filen til en ny mappe i sensorens installasjonsmappe. Som standard pakkes den ut til C:\Program Files\Azure versjonsnummeret> til Advanced Threat Protection Sensor<
- Sensortjenesten peker til de nye filene som er pakket ut fra cab-filen.
- Sensoroppdateringsapparatet starter sensortjenesten på nytt.
Obs!
Mindre sensoroppdateringer installerer ingen MSI, endrer ingen registerverdier eller systemfiler. En ventende omstart påvirker ikke en sensoroppdatering.
- Sensoren kjører den nylig oppdaterte versjonen.
- Sensoren mottar klarering fra skytjenesten. Du kan bekrefte sensorstatus på Sensorer-fanen .
- Den neste sensoren starter oppdateringsprosessen.
Sensorer valgt for forsinket oppdatering starter oppdateringsprosessen 72 timer etter at Defender for Identity-skytjenesten er oppdatert. Disse sensorene vil deretter bruke samme oppdateringsprosess som automatisk oppdaterte sensorer.
For enhver sensor som ikke fullfører oppdateringsprosessen, utløses et relevant tilstandsvarsel , og sendes som et varsel.
Oppdater Defender for Identity v2.x-sensoren stille
Bruk følgende kommando til stille oppdatering av Defender for Identity v2.x-sensoren:
Syntaks:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
Installasjonsalternativer:
| Navn | Syntaks | Obligatorisk for stille installasjon? | Beskrivelse |
|---|---|---|---|
| Rolig | /Rolig | Ja | Kjører installasjonsprogrammet som viser ingen brukergrensesnitt og ingen ledetekster. |
| Hjelp | /hjelp | Nei | Gir hjelp og hurtigreferanse. Viser riktig bruk av installasjonskommandoen, inkludert en liste over alle alternativer og virkemåter. |
| NetFrameworkCommandLineArguments="/q" | NetFrameworkCommandLineArguments="/q" | Ja | Angir parameterne for .Net Framework-installasjonen. Må angis for å fremtvinge stille installasjon av .Net Framework. |
Eksempler:
Slik oppdaterer du Defender for Identity-sensoren stille:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
Konfigurer proxy-innstillinger
Vi anbefaler at du konfigurerer innledende proxy-innstillinger under stille installasjon ved hjelp av kommandolinjebrytere. Hvis du må oppdatere proxy-innstillingene senere, kan du bruke enten CLI eller PowerShell.
Hvis du tidligere hadde konfigurert proxy-innstillingene via WinINet eller en registernøkkel og må oppdatere dem, må du bruke samme metode som du opprinnelig brukte.
Hvis du vil ha mer informasjon, kan du se Konfigurere proxy- og Internett-tilkoblingsinnstillinger for endepunkt.