檢視次數:
如果您的 Server & Workload Security保護 部署中有大量未與 Server & Workload Security保護 通訊的離線電腦,首先嘗試使用連接器(請參閱 將 Microsoft Azure 帳戶新增至 Server & Workload Security保護新增 Google 雲端平台帳戶)。使用連接器時,電腦的整個生命週期會自動管理,這意味著從您的雲端帳戶中刪除的電腦也會自動從 Server & Workload Security保護 中移除。如果您無法在環境中使用連接器,您可以使用非活動代理清理來自動移除非活動電腦。非活動代理清理會每小時檢查一次已離線且非活動達指定時間(從 2 週到 12 個月)的電腦並將其移除。
注意
注意
非活動代理清理將在每小時檢查時最多移除1000台離線電腦。如果離線電腦超過此數量,則每次連續檢查將移除1000台,直到所有離線電腦都被移除。
啟用非活動代理清理後,您還可以
注意
注意
停用代理清理不會移除由雲端連接器新增的離線電腦。

啟用非活動代理清理 上層主題

步驟

  1. 前往Administration頁面。
  2. System Settings Agents Inactive Agent Cleanup 下,選擇 Delete Agents that have been inactive for
  3. 從列表中選擇電腦防護必須處於非活動狀態才能被移除的時間段。
  4. 確保離線中的電腦可以重新連接到Server & Workload Security保護(可選,但建議這樣做)。
  5. 點選 儲存.

接下來需執行的動作

確保長時間離線的電腦仍然受到Server & Workload Security保護的保護 上層主題

如果您有離線電腦處於啟動狀態但與 Server & Workload Security保護 不定期通信,若它們在您定義的不活動期間內未通信,不活動代理清理將會移除它們。為確保這些電腦重新連接到 Server & Workload Security保護,我們建議啟用 Agent-Initiated ActivationReactivate unknown Agents。要這麼做,請在 System Settings Agents Agent Initiated Activation 下,先選擇 Allow Agent-Initiated Activation,然後選擇 Reactivate Unknown Agents
注意
注意
當移除的電腦防護重新連接時,將不會有政策,並將作為新電腦防護添加。任何指向該電腦防護的直接連結將從Server & Workload Security保護事件資料中移除。
秘訣
秘訣
您可以在代理啟動激活時,使用基於事件的任務自動指派指派給電腦防護的政策。

設定覆寫以防止特定電腦被移除 上層主題

您可以在電腦防護或政策層級設置覆蓋,以明確防止電腦防護被非活動代理清理移除。
設定覆蓋

步驟

  1. 打開您想要設置覆蓋的電腦防護或策略的電腦防護或策略編輯器。
  2. 前往 Settings General
  3. Inactive Agent Cleanup Override 下,選擇
  4. 點選 儲存.

接下來需執行的動作

檢查由非活動清理工作移除的電腦的審計追蹤 上層主題

當不活動的代理清理作業運行時,系統事件將會生成,您可以用來追蹤被移除的電腦。
您需要檢查以下系統事件:

搜尋系統事件 上層主題

要查看由非活動代理清理作業生成的系統事件,您需要創建一個篩選它們的搜索:

步驟

  1. 前往Events and Reports頁面。
  2. 在右上角,點選搜尋欄位清單並選擇Open Advanced Search
    advanced-search-filter=ac646ea4-ecbd-4b9f-8a3c-acbd51da1662.png
  3. 對於Period,從列表中選擇Custom Range
  4. 對於 From,請輸入非活動代理清理作業首次運行之前的日期和時間。對於 To,請輸入清理作業完成之後的日期和時間。
  5. 對於Search,選擇Event IDIn,然後輸入2953, 251。您可以選擇性地輸入716以及與電腦防護重新啟動相關的任何事件 ID (130, 790, 350, 250)。

接下來需執行的動作

這將顯示由非活動代理清理作業生成的所有系統事件。您可以通過點選相應的列按時間、事件 ID 或事件名稱對事件進行排序。然後,您可以雙擊事件以獲取有關它的詳細資訊,如下所述。

系統事件詳細資料 上層主題

2953 - 已成功完成非活動代理清理 上層主題

當非活動代理清理作業運行並成功移除電腦時,會生成此事件。此事件的描述將告訴您移除了多少台電腦。
注意
注意
如果需要多次檢查才能移除所有電腦,則每次檢查都會生成一個單獨的系統事件。

251 - 電腦防護已刪除 上層主題

除了已成功完成非活動代理清理事件外,還會為每個被移除的電腦防護生成一個單獨的電腦防護已刪除事件。

716 - 未知代理嘗試重新啟動 上層主題

如果重新啟動未知代理已啟動,當已啟動的電腦防護在嘗試重新連接到Server & Workload Security保護時,將會生成此事件。每個重新啟動的電腦防護還會生成以下系統事件:
  • 130 - 憑證已生成
  • 790 - 已請求代理啟動激活
  • 350 - 已建立原則(如果您已啟動分配原則的事件型任務)
  • 250 - 電腦防護已建立或 252 - 電腦防護已更新