本文介绍如何在 Microsoft Defender 门户中查看、管理和更新 Defender for Identity 传感器。
查看传感器设置和状态
- 在Microsoft Defender门户中,转到“设置>标识”。
- 在左侧边栏中的 “部署”下,选择“ 本地”。
- 选择“ 传感器 ”选项卡。
“ 传感器 ”选项卡显示环境中部署的所有 Defender for Identity 传感器。 在此选项卡中,可以:
- 按类型、域、延迟更新、服务状态、传感器状态、迁移状态或运行状况筛选传感器。
- 将传感器列表导出到 .csv 文件。
- 使用“+ 添加传感器”选项加入传感器。
- 自定义列 以显示或隐藏特定字段。
- 按名称搜索特定传感器。
选择传感器行以打开详细信息窗格,其中包含有关传感器及其运行状况的信息。 在详细信息窗格中,可以选择“ 管理传感器 ”以更新传感器配置,或选择运行状况问题以查看更多详细信息并重新打开已关闭的问题。
传感器详细信息
“ 传感器 ”选项卡显示以下列。 对于具有多个可能值的列,请参阅下表。
- 传感器:传感器的 NetBIOS 计算机名称。
- 类型:传感器类型。 有关可能的值,请参阅 类型。
- 域:安装传感器的 Active Directory 域的完全限定域名。
- 迁移状态:指示传感器是否有资格 从 v2.x 迁移到 v3.x。 有关可能的值,请参阅 迁移状态。
- 服务状态:服务器上的传感器服务的当前状态。 有关可能的值,请参阅 服务状态。
- 传感器状态:传感器软件的当前更新和配置状态。 有关可能的值,请参阅 传感器状态。
- 版本:安装的传感器版本。
- 延迟更新:是启用或禁用延迟更新。 传感器版本 2 支持延迟更新。 有关详细信息,请参阅 延迟的传感器更新。
- 运行状况问题:传感器上未解决的运行状况问题计数。
- 运行状况状态:基于最高严重性打开运行状况问题的传感器总体运行状况。 有关可能的值,请参阅 运行状况状态。
- 创建日期:安装传感器的日期。
类型
类型列根据安装传感器的服务器角色指示传感器类型。 如果传感器安装在同时运行 Entra Connect 或 AD CS 的域控制器上,则类型显示为域控制器传感器。
| 类型 | 说明 |
|---|---|
| 域控制器传感器 | 安装在 Active Directory 域控制器上。 |
| AD FS 传感器 | 安装在 Active Directory 联合身份验证服务 (AD FS) 服务器上。 |
| 独立传感器 | 安装在通过端口镜像监视域控制器流量的专用服务器上。 |
| Entra Connect 传感器 | 安装在 Microsoft Entra Connect 服务器上。 |
| ADCS 传感器 | 安装在 Active Directory 证书服务 (AD CS) 服务器上。 |
迁移状态
迁移状态列显示传感器是否有资格 从 v2.x 迁移到 v3.x。
要使服务器符合迁移条件,它必须是:
- 域控制器,无需运行其他标识角色
- 运行 Defender for Identity 传感器 v2.x。
- 运行 Windows Server 2019 或更高版本。
- 包括 2026 年 3 月或更高版本 的累积更新。
- 已部署Microsoft Defender for Endpoint。
有关 v3.x 要求的完整列表,请参阅 Defender for Identity 传感器 v3.x 先决条件。
| 状态 | 说明 |
|---|---|
| 准备好进行迁移 | 服务器满足所有先决条件,可以迁移。 |
| 未准备好迁移 | 服务器不符合一个或多个先决条件。 |
| 迁移 | 迁移正在进行中。 |
| 最新的 | 迁移已成功完成。 服务器正在运行传感器 v3.x。 |
| 迁移失败 | 迁移遇到错误。 可以重试迁移。 |
服务状态
服务状态列指示服务器上的传感器服务的当前操作状态。
| 状态 | 说明 |
|---|---|
| 正在运行 | 传感器服务正在运行。 |
| 即将开始 | 传感器服务正在启动。 |
| Disabled | 传感器服务已禁用。 |
| 已停止 | 传感器服务已停止。 |
| Unknown | 传感器已断开连接或无法访问。 |
传感器状态
传感器状态列指示传感器软件的当前更新和配置状态。
| 状态 | 说明 |
|---|---|
| 最新的 | 传感器正在运行当前版本。 |
| 过时 | 传感器运行的版本至少比当前版本落后三个版本。 |
| 更新 | 传感器软件正在更新。 |
| 更新失败 | 传感器无法更新到新版本。 |
| 未配置 | 传感器在完全运行之前需要进行更多配置。 这适用于 AD FS、AD CS 或独立服务器上的传感器。 |
| 启动失败 | 传感器超过 30 分钟未拉取配置。 |
| 正在同步 | 传感器的配置更新挂起,但尚未拉取新配置。 |
| 已断开连接 | 10 分钟内没有来自此传感器的通信。 |
| 遥 不可 及 | 域控制器已从 Active Directory 中删除,但在解除授权之前未卸载传感器。 可以安全地删除此项。 |
运行状况状态
运行状况状态列根据任何未解决的运行状况问题的严重性指示传感器的整体运行状况。
| 状态 | 说明 |
|---|---|
| 正常 (绿色图标) | 没有打开的运行状况问题。 |
| 黄色图标) 不正常 ( | 最高严重性开放运行状况问题较低。 |
| 不正常的 (橙色图标) | 最高严重性开放运行状况问题为中等。 |
| 红色 图标) 不正常 ( | 最高严重性开放运行状况问题较高。 |
更新传感器
Defender for Identity 传感器 v3.x 作为 Microsoft Defender for Endpoint 的组件提供,并通过 Windows 汇报自动更新。 v3.x 传感器不需要手动传感器更新过程。
本部分的其余部分仅适用于 Defender for Identity 传感器 v2.x。
Defender for Identity 传感器 v2.x 更新类型
Defender for Identity 服务通常每月更新几次,其中包含新的检测、功能和性能改进。 这些更新通常包括传感器的相应次要更新。
Defender for Identity 传感器 v2.x 支持两种类型的更新:
次要版本更新:
- 频繁
- 无需安装 MSI,也无需更改注册表
- 已重启:Defender for Identity 传感器服务
主要版本更新:
- 罕见
- 包含重大更改
- 已重启:Defender for Identity 传感器服务
注意
Defender for Identity 传感器 v2.x 始终在安装传感器的域控制器上保留至少 15% 的可用内存和 CPU。 如果服务占用过多内存,传感器更新程序服务会自动停止并重启该服务。
传感器 v2.x 的延迟更新
可以将传感器的子集定义为延迟更新环。 每次更新服务时,不在延迟环中的传感器都会自动更新。 设置为 “延迟更新”的 传感器将在 72 小时后更新,让你有时间确认自动更新的传感器是否正常工作。
注意
如果发生错误且传感器未更新,请开具支持票证。 若要进一步强化代理以仅与工作区通信,请参阅 代理配置。
传感器与Azure云服务之间的身份验证使用基于证书的相互身份验证。 自签名客户端证书在传感器安装期间创建,有效期为 2 年。 传感器更新程序服务在现有证书过期之前生成新证书,并使用两阶段验证过程来避免滚动更新期间身份验证中断。
若要将传感器设置为延迟更新,请执行以下操作:
- 在 “传感器 ”页中,选择要为延迟更新设置的传感器。
- 选择 “启用延迟更新 ”按钮。
- 在确认窗口中,选择“ 启用”。
若要禁用延迟更新,请选择传感器,然后选择 “禁用延迟更新 ”按钮。
传感器 v2.x 更新过程
每隔几分钟,v2.x 传感器检查是否有较新版本可用。 更新云服务后,传感器将启动更新过程:
云服务将更新到最新版本。
传感器更新程序服务检测新版本。
未设置为 “延迟更新 ”的传感器一次启动一个更新过程:
- 传感器更新程序服务以 .cab 文件格式) 从云服务 (拉取更新的版本。
- 传感器更新程序验证文件签名。
- 传感器更新程序将 cab 文件提取到传感器安装文件夹中的新文件夹。 默认情况下,它提取到 C:\Program Files\Azure高级威胁防护传感器<版本号>
- 传感器服务指向从 cab 文件提取的新文件。
- 传感器更新程序重启传感器服务。
注意
次要传感器更新不安装 MSI、不更改注册表值或任何系统文件。 挂起的重启不会影响传感器更新。
- 传感器运行新更新的版本。
- 传感器从云服务接收许可。 可以在“传感器”选项卡上验证 传感器 状态。
- 下一个传感器启动更新过程。
选择“ 延迟更新” 的传感器在 Defender for Identity 云服务更新 72 小时后启动更新过程。 然后,这些传感器将使用与自动更新的传感器相同的更新过程。
对于无法完成更新过程的任何传感器,将触发相关的 运行状况警报 ,并作为通知发送。
以无提示方式更新 Defender for Identity v2.x 传感器
使用以下命令以无提示方式更新 Defender for Identity v2.x 传感器:
语法:
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]
安装选项:
| 名称 | 语法 | 对于无提示安装是必需的? | 说明 |
|---|---|---|---|
| 安静 | /quiet | 是 | 运行安装程序,不显示 UI 和提示。 |
| 帮助 | /帮助 | 否 | 提供帮助和快速参考。 显示安装程序命令的正确用法,包括所有选项和行为的列表。 |
| NetFrameworkCommandLineArguments=“/q” | NetFrameworkCommandLineArguments=“/q” | 是 | 指定 .Net Framework 安装的参数。 必须设置为强制 .Net Framework 的无提示安装。 |
示例:
以无提示方式更新 Defender for Identity 传感器:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"
配置代理设置
建议在无提示安装期间 使用命令行开关配置初始代理设置。 如果需要稍后更新代理设置,请使用 CLI 或 PowerShell。
如果以前通过 WinINet 或注册表项配置了代理设置,并且需要更新它们,则需要使用最初使用的 相同方法 。
有关详细信息,请参阅 配置终结点代理和 Internet 连接设置。