تكوين إعدادات وكيل نقطة النهاية والاتصال بالإنترنت
يتطلب كل مستشعر Microsoft Defender for Identity اتصالا بالإنترنت بخدمة Defender for Identity السحابية للإبلاغ عن بيانات المستشعر والعمل بنجاح.
في بعض المؤسسات، لا تكون وحدات التحكم بالمجال متصلة مباشرة بالإنترنت، ولكنها متصلة من خلال اتصال وكيل الويب، ولا يتم دعم فحص SSL واعتراض الوكلاء لأسباب أمنية. في مثل هذه الحالات، يجب أن يسمح الخادم الوكيل للبيانات بالمرور مباشرة من مستشعرات Defender for Identity إلى عناوين URL ذات الصلة دون اعتراض.
هام
لا توفر Microsoft خادم وكيل. توضح هذه المقالة كيفية التأكد من إمكانية الوصول إلى عناوين URL المطلوبة عبر خادم وكيل تقوم بتكوينه.
تمكين الوصول إلى عناوين URL لخدمة Defender for Identity في الخادم الوكيل
لضمان أقصى قدر من الأمان وخصوصية البيانات، يستخدم Defender for Identity المصادقة المتبادلة المستندة إلى الشهادة بين كل مستشعر Defender for Identity والواجهة الخلفية السحابية ل Defender for Identity. لا يتم دعم فحص SSL واعتراضه، لأنها تتداخل في عملية المصادقة.
لتمكين الوصول إلى Defender for Identity، تأكد من السماح بنسبة استخدام الشبكة إلى عنوان URL للمستشعر، باستخدام بناء الجملة التالي: <your-workspace-name>sensorapi.atp.azure.com
. على سبيل المثال، contoso-corpsensorapi.atp.azure.com
.
إذا كان الوكيل أو جدار الحماية يستخدم قوائم السماح الصريحة، نوصي أيضا بالتأكد من السماح بعناوين URL التالية:
crl.microsoft.com
ctldl.windowsupdate.com
www.microsoft.com/pkiops/*
www.microsoft.com/pki/*
في بعض الأحيان، قد تتغير عناوين IP لخدمة Defender for Identity. إذا قمت بتكوين عناوين IP يدويا، أو إذا قام الوكيل تلقائيا بحل أسماء DNS إلى عنوان IP الخاص بها واستخدامها، نوصي بالتحقق بشكل دوري من أن عناوين IP المكونة لا تزال محدثة.
إذا قمت مسبقا بتكوين الوكيل الخاص بك باستخدام الخيارات القديمة، بما في ذلك WiniNet أو تحديث مفتاح التسجيل، فستحتاج إلى إجراء أي تغييرات باستخدام الأسلوب الذي استخدمته في الأصل. لمزيد من المعلومات، راجع تغيير تكوين الوكيل باستخدام الأساليب القديمة.
تمكين الوصول باستخدام علامة خدمة
بدلا من تمكين الوصول إلى نقاط نهاية معينة يدويا، قم بتنزيل نطاقات IP Azure وعلامات الخدمة - السحابة العامة، واستخدم نطاقات عناوين IP في علامة خدمة AzureAdvancedThreatProtection Azure لتمكين الوصول إلى Defender for Identity.
لمزيد من المعلومات، راجع علامات خدمة الشبكة الظاهرية. للحصول على عروض حكومة الولايات المتحدة، راجع بدء استخدام عروض حكومة الولايات المتحدة.
تغيير تكوين الوكيل باستخدام CLI
المتطلبات الأساسية: حدد موقع Microsoft.Tri.Sensor.Deployment.Deployer.exe
الملف. يقع هذا الملف مع تثبيت أداة الاستشعار. بشكل افتراضي، يكون هذا الموقع C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
لتغيير تكوين وكيل المستشعر الحالي:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
لإزالة تكوين وكيل المستشعر الحالي بالكامل:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
تغيير تكوين الوكيل باستخدام PowerShell
المتطلبات الأساسية: قبل تشغيل أوامر Defender for Identity PowerShell، تأكد من تنزيل وحدة Defender for Identity PowerShell.
يمكنك عرض تكوين الوكيل للمستشعر وتغييره باستخدام PowerShell. للقيام بذلك، قم بتسجيل الدخول إلى خادم المستشعر وتشغيل الأوامر كما هو موضح في الأمثلة التالية:
لعرض تكوين وكيل المستشعر الحالي:
Get-MDISensorProxyConfiguration
لتغيير تكوين وكيل المستشعر الحالي:
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
يعين هذا المثال تكوين الوكيل لمستشعر Defender for Identity لاستخدام خادم الوكيل المحدد دون أي بيانات اعتماد.
لإزالة تكوين وكيل المستشعر الحالي بالكامل:
Clear-MDISensorProxyConfiguration
لمزيد من المعلومات، راجع مراجع DefenderForIdentity PowerShell التالية:
تغيير تكوين الوكيل باستخدام الأساليب القديمة
إذا قمت مسبقا بتكوين إعدادات الوكيل عبر WinINet أو مفتاح تسجيل وتحتاج إلى تحديثها، فستحتاج إلى استخدام نفس الطريقة التي استخدمتها في الأصل.
أثناء تكوين الوكيل الخاص بك من سطر الأوامر أثناء التثبيت يضمن أن خدمات مستشعر Defender for Identity فقط تتصل من خلال الوكيل، باستخدام WinINet أو سجل يسمح للخدمات الأخرى التي تعمل في السياق كنظام محلي أو خدمة محلية بتوجيه نسبة استخدام الشبكة أيضا من خلال الوكيل.
تكوين خادم وكيل باستخدام WinINet
عند تكوين الوكيل باستخدام WinINet، ضع في اعتبارك أن خدمة مستشعر Defender for Identity المضمنة تعمل في سياق النظام باستخدام حساب LocalService ، وأن خدمة تحديث Defender for Identity Sensor تعمل في سياق النظام باستخدام حساب LocalSystem .
إذا كنت تستخدم WinHTTP لتكوين الوكيل، فلا تزال بحاجة إلى تكوين إعدادات وكيل متصفح Windows Internet (WinINet) للاتصال بين أداة الاستشعار وخدمة سحابة Defender for Identity.
إذا كنت تستخدم وكيلا شفافا أو WPAD في مخطط الشبكة، فلن تحتاج إلى تكوين WinINet للوكيل الخاص بك.
تكوين خادم وكيل باستخدام السجل
يصف هذا القسم كيفية تكوين خادم وكيل ثابت يدويا باستخدام وكيل ثابت يستند إلى السجل.
هام
يؤثر تكوين وكيل عبر السجل على جميع التطبيقات التي تستخدم WinINet مع حسابات LocalService و LocalSystem ، بما في ذلك خدمات Windows.
تطبيق تغييرات السجل فقط على حسابات LocalService و LocalSystem .
لتكوين الوكيل الخاص بك، انسخ تكوين الوكيل في سياق المستخدم إلى حسابات LocalSystem و LocalService كما يلي:
قم بنسخ مفاتيح التسجيل احتياطيا.
في السجل، ابحث
DefaultConnectionSettings
عن القيمة كREG_BINARY
، ضمنHKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
مفتاح التسجيل، وانسخها.LocalSystem
إذا لم يكن لديه إعدادات الوكيل الصحيحة، فانسخ إعداد الوكيل منCurrent_User
إلىLocalSystem
، ضمنHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
مفتاح التسجيل.تأكد من لصق القيمة من
Current_User
DefaultConnectionSettings
مفتاح التسجيل كREG_BINARY
.قد يحدث هذا إذا لم يتم تكوين إعدادات الوكيل، أو إذا كانت مختلفة عن
Current_User
.LocalService
إذا لم يكن لديه إعدادات الوكيل الصحيحة، فانسخ إعداد الوكيل منCurrent_User
إلىLocalService
، ضمنHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
مفتاح التسجيل.تأكد من لصق القيمة من
Current_User
DefaultConnectionSettings
مفتاح التسجيل كREG_BINARY
.
المحتويات ذات الصلة
لمزيد من المعلومات، اطلع على: