Avregistrera eller avinstallera Microsoft Defender för Endpoint på Linux

Den här artikeln är avsedd för IT-administratörer och säkerhetspersonal som behöver avregistrera eller avinstallera Microsoft Defender för Endpoint från Linux servrar. Den förklarar skillnaden mellan avregistrering och avinstallation, hjälper dig att avgöra vilket alternativ som passar bäst för ditt scenario och innehåller stegvisa instruktioner för varje metod. Den beskriver också hur avregistrerade och avinstallerade enheter visas i Microsoft Defender-portalen.

Översikt

När du avregistrerar en enhet från Defender för Endpoint eller avinstallerar Defender-programmet skickas inga nya identifieringar, säkerhetsrisker eller säkerhetsdata till Microsoft Defender-portalen. Sju dagar efter avregistreringen av en enhet ändras sensorhälsotillståndet till inaktivt. Tidigare data, till exempel aviseringar, sårbarheter och enhetens tidslinje, för en avregistrerad eller avinstallerad enhet förblir synliga i Microsoft Defender-portalen tills den konfigurerade kvarhållningsperioden upphör att gälla. Du ser även enhetsprofilen (utan data) i enhetsinventeringen i upp till 180 dagar. Enheter som inte varit aktiva under de senaste 30 dagarna räknas inte in i organisationens exponeringspoäng.

Om du bara vill visa data för aktiva enheter kan du använda filter, till exempel sensorhälsotillstånd, enhetstaggar eller enhetsgrupper.

Vad är skillnaden mellan avregistrering och avinstallation?

Det finns viktiga skillnader mellan avregistrering och avinstallation:

  • Avregistrering kopplar från en enhet från Defender-tjänsten så att den slutar skicka säkerhetsdata medan agenten är installerad.
  • Avinstallationen tar bort defender för Endpoint-programvaran och -tjänsterna från enheten helt och slutar skicka säkerhetsdata.

Så här väljer du mellan avregistrering och avinstallation

  • Avregistrera dig när du tillfälligt vill hindra Defender från att kommunicera med Defender-tjänsten samtidigt som Defender-programmet är installerat på Linux-servern. Det här alternativet rekommenderas om du planerar att återaktivera Defender senare utan att installera om agenten. Du kanske till exempel vill avregistrera dig om du behöver felsöka ett problem med Defender-programmet, eller om du tillfälligt vill stoppa Defender när du utför underhåll på servern.

  • Avinstallera när du vill ta bort Defender-programmet helt från Linux-servern, till exempel när du ändrar installationsringen (Prod/Insider Slow/Insider Fast) eller när du inte längre planerar att använda Microsoft Defender på enheten.

Hur fungerar avregistrerade och avinstallerade enheter?

När en enhet har avregistrerats eller avinstallerats fungerar Defender-programmet på följande sätt:

  • Den slutar skicka telemetri (till exempel aviseringar och sårbarheter) till Microsoft Defender-portalen.
  • Den blir olicensierad och icke-funktionell.
  • Säkerhetsprinciper som tillämpas via Microsoft Defender tas bort.

Hur visas avregistrerade och avinstallerade enheter i Defender-portalen?

  • Sensorns hälsotillstånd för den avregistrerade eller avinstallerade enheten ändras till Inaktiv efter sju dagar utan telemetri.
  • Avregistrerade och avinstallerade enheter förblir synliga i upp till 180 dagar. Mer information om datakvarhållning finns i Microsoft Defender för Endpoint datalagring och sekretess.
  • Historiska data (aviseringar, tidslinjer, programvaruinventering) förblir tillgängliga under kvarhållningsperioden.
  • Ingen explicit avregistrerad eller avinstallerad etikett visas i portalen. För att skilja mellan avregistrerade eller avinstallerade enheter och enheter som bara är frånkopplade eller inaktiva rekommenderar vi att du lägger till en tagg på enheten innan du avregistrerar eller avinstallerar den. Det gör det enklare att identifiera och filtrera enheterna senare.

Avregistrera en enhet

Det finns två metoder för att avregistrera en Linux-server från Microsoft Defender för Endpoint:

  • Avregistrera med hjälp av ett skript
  • Avregistrera med en avregistrerings-JSON-fil.

Båda metoderna uppnår samma resultat, så att du kan välja den som passar bäst för ditt scenario.

Avregistrera med hjälp av ett skript

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.

  2. I navigeringsfönstret, under System, väljer du Inställningar>Slutpunkter. Under Enhetshantering väljer du sedan Avregistrering.

  3. Välj Linux Server som operativsystem och välj sedan Lokalt skript i avsnittet Distributionsmetod.

  4. Välj Ladda ned paket och välj sedan Ladda ned. Den komprimerade mappen som laddas ned heter WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (där ÅÅÅÅÅ-MM-DD är paketets förfallodatum).

  5. Extrahera innehållet i ZIP-filen till en lokal katalog på Linux-servern.

  6. Öppna en terminal och gå till katalogen där MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD-filen finns.

  7. Skriv sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py i terminalen. Då körs offboarding-skriptet, som avregistrerar enheten från Microsoft Defender för Endpoint.

Avregistrera med en JSON-fil som avregistreras

Obs!

Den här metoden kan utföras antingen manuellt eller automatiskt med hjälp av önskat Linux konfigurationshanteringsverktyg.

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
  2. I navigeringsfönstret, under System, väljer du Inställningar>Slutpunkter. Under Enhetshantering väljer du sedan Avregistrering.
  3. Välj Linux Server som operativsystem och välj sedan önskat Linux konfigurationshanteringsverktyg i avsnittet Distributionsmetod.
  4. Välj Ladda ned paket och välj sedan Ladda ned. Den zippade mappen heter WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (där ÅÅÅÅÅ-MM-DD är paketets förfallodatum).
  5. Extrahera innehållet i ZIP-filen och leta upp den mdatp_offboard.json filen.
  6. Kopiera mdatp_offboard.json till följande plats på Linux-servern:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Avinstallera Defender-programmet från en Linux-server

Det finns två metoder för att avinstallera Defender-programmet från en Linux server: Avinstallera med hjälp av Defender-distributionsverktyget (rekommenderas) eller manuell avinstallation. Båda metoderna uppnår samma resultat, så att du kan välja den som passar bäst för ditt scenario.

Det här är den rekommenderade metoden eftersom du kan avinstallera Defender-programmet i ett enda steg.

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.

  2. I navigeringsfönstret, under System, väljer du Inställningar>Slutpunkter och sedan, under Enhetshantering, väljer du Registrering.

  3. Välj Linux Server som operativsystem.

  4. Gå till Distributionsverktyget för Defender som distributionsmetod och välj Ladda ned paket (en ZIP-fil laddas ned).

  5. Extrahera paketet och kör följande kommando. Detta tar bort Defender-programmet och rensar lagringsplatsen:

    ./defender_deployment_tool.sh --remove --clean

Manuell avinstallation

Om du vill ta bort Defender-programmet manuellt och rensa lagringsplatsen kör du något av följande kommandon (beroende på vad som är lämpligt beroende på din Linux distribution):

Red Hat Enterprise Linux (RHEL) och varianter (CentOS och Oracle Linux)

sudo yum remove mdatp

eller

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) och varianter

sudo zypper remove mdatp

Ubuntu och Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Så här verifierar du en enhets avregistreringstillstånd

Kontrollera avregistreringstillståndet för en enhet genom att köra följande kommando:

mdatp health --field health_issues

Förväntade utdata

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Defender-programmet förblir installerat på enheten om det inte avinstalleras manuellt.

Relaterat innehåll

  • Last updated on