Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Klient Defenderu for Endpoint může vyžadovat použití proxy připojení k relevantním cloudovým službám. Tento článek popisuje zjednodušenou metodu připojení zařízení, požadavky a poskytuje další informace pro ověření připojení pomocí nových cílů.
Kvůli zjednodušení konfigurace a správy sítě teď máte možnost onboardovat nová zařízení do Defenderu for Endpoint pomocí omezené sady adres URL nebo rozsahů statických IP adres. Další informace o migraci dříve nasazených zařízení najdete v tématu Migrace zařízení za účelem zjednodušeného připojení.
Zjednodušená doména rozpoznaná službou Defender for Endpoint: *.endpoint.security.microsoft.com konsoliduje připojení k následujícím základním službám Defenderu for Endpoint:
- Cloudová ochrana
- Úložiště pro odesílání ukázek malwaru
- Ukázkové úložiště automatického prostředí IR
- & řízení příkazů Defenderu for Endpoint
- Kybernetická a diagnostická data defenderu for Endpoint
Další informace o přípravě prostředí a aktualizovaném seznamu cílů najdete v tématu KROK 1: Konfigurace síťového prostředí k zajištění připojení ke službě Defender for Endpoint.
Pokud chcete podporovat síťová zařízení bez podpory překladu názvů hostitelů nebo zástupných znaků, můžete alternativně nakonfigurovat připojení pomocí vyhrazených statických rozsahů IP adres defenderu for Endpoint. Další informace najdete v tématu Konfigurace připojení pomocí statických rozsahů IP adres.
Poznámka
- Zjednodušená metoda připojení nezmění způsob fungování Microsoft Defenderu for Endpoint na zařízení ani nezmění prostředí koncového uživatele. Změní se jenom adresy URL nebo IP adresy, které zařízení používá pro připojení ke službě.
- V současné době neexistuje žádný plán vyřazení starých konsolidovaných adres URL služeb. Zařízení onboardovaná se standardním připojením budou dál fungovat. Je důležité zajistit, aby připojení k
*.endpoint.security.microsoft.comněmu bylo a zůstane možné, protože to budou vyžadovat budoucí služby. Tato nová adresa URL je zahrnutá ve všech seznamech požadovaných adres URL. - Připojení ke službě využívají připnutí certifikátu a TLS. Nepodporuje se přerušení a kontrola provozu. Připojení se navíc iniciují z kontextu zařízení, nikoli z kontextu uživatele. Vynucení ověřování proxy (uživatele) ve většině případů zakáže (přeruší) připojení.
Než začnete
Zařízení musí splňovat konkrétní požadavky, aby bylo možné používat zjednodušenou metodu připojení pro Defender for Endpoint. Než budete pokračovat v onboardingu, ujistěte se, že jsou splněné požadavky.
Požadavky
Licence:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Správa ohrožení zabezpečení v programu Microsoft Defender
Minimální aktualizace KB (Windows)
- Verze SENSE: 10.8040.*/ 8. března 2022 nebo novější (viz tabulka)
Verze antivirové ochrany v programu Microsoft Defender (Windows)
-
Antimalwarový klient:
4.18.2211.5 -
Motor:
1.1.19900.2 -
Antivirová ochrana (security intelligence):
1.391.345.0
Verze Antivirové ochrany v programu Defender (macOS/Linux)
- Podporované verze macOS s mde verze produktu 101.24022.*+
- Podporované verze Linuxu s produktem MDE verze 101.24022.*+
Podporované operační systémy
- Windows 10 verze 1809 nebo novější. Windows 10 verze 1607, 1703, 1709, 1803 jsou podporovány v zjednodušeném onboardingovém balíčku, ale vyžadují jiný seznam adres URL.
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 nebo Windows Server 2016, plně aktualizované moderní sjednocené řešení Defender for Endpoint (instalace prostřednictvím MSI).
- Podporované verze macOS s mde verze produktu 101.24022.*+
- Podporované verze Linuxu s produktem MDE verze 101.24022.*+
Důležité
- Zařízení s agentem MMA nejsou podporovaná zjednodušenou metodou připojení a budou muset dál používat standardní sadu adres URL (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 se neupgraduje na moderního sjednoceného agenta).
- Windows Server 2012 R2 a Server 2016 budou muset upgradovat na sjednoceného agenta, aby bylo možné využít novou metodu.
- Windows 10 1607, 1703, 1709, 1803 může využít novou možnost onboardingu, ale bude používat delší seznam. Další informace najdete v zjednodušeném seznamu adres URL.
| Operační systém Windows | Minimální povinné kB (8. března 2022) |
|---|---|
| Windows 11 | KB5011493 (8. března 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8. března 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8. března 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8. března 2022) |
| Windows 10 22H2 | KB5020953 (28. října 2022) |
| Windows 10 1803* | < ukončení služby > |
| Windows 10 1709* | < ukončení služby > |
| Windows Server 2022 | KB5011497 (8. března 2022) |
| Windows Server 2012 R2, 2016* | Sjednocený agent |
Zjednodušený proces připojení
Následující obrázek znázorňuje zjednodušený proces připojení a odpovídající fáze:
Fáze 1. Konfigurace síťového prostředí pro cloudové připojení
Jakmile ověříte splnění požadavků, ujistěte se, že je síťové prostředí správně nakonfigurované tak, aby podporovalo zjednodušenou metodu připojení. Postupujte podle kroků uvedených v tématu Konfigurace síťového prostředí a zajistěte připojení ke službě Defender for Endpoint.
Adresy URL služby Defender for Endpoint sloučené ve zjednodušené doméně by se už pro připojení neměly vyžadovat. Některé adresy URL ale nejsou součástí konsolidace.
Zjednodušené připojení umožňuje ke konfiguraci připojení ke cloudu použít následující možnost:
Možnost 1: Konfigurace připojení pomocí zjednodušené domény
Nakonfigurujte své prostředí tak, aby umožňovalo připojení ke zjednodušené doméně Defenderu for Endpoint: *.endpoint.security.microsoft.com. Další informace najdete v tématu Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint.
Musíte udržovat připojení se zbývajícími požadovanými službami uvedenými v aktualizovaném seznamu. Například seznam odvolaných certifikátů, služba Windows Update a služby SmartScreen mohou být také potřeba, aby byly přístupné v závislosti na vaší aktuální síťové infrastruktuře a přístupu k opravování.
Možnost 2: Konfigurace připojení pomocí statických rozsahů IP adres
Díky zjednodušenému připojení je možné jako alternativu k adresám URL použít řešení založená na protokolu IP. Tyto IP adresy zahrnují následující služby:
- MAPY
- Úložiště pro odesílání ukázek malwaru
- Ukázkové úložiště automatického prostředí IR
- Defender for Endpoint Command and Control
Důležité
Datová služba EDR Cyber (OneDsCollector) musí být nakonfigurovaná samostatně, pokud používáte metodu IP (tato služba je konsolidovaná pouze na úrovni adresy URL). Musíte také udržovat připojení k dalším požadovaným službám, včetně filtru SmartScreen, seznamu CRL, služby Windows Update a dalších služeb.
Pokud chcete mít přehled o rozsahech IP adres, doporučujeme použít následující značky služeb Azure pro služby Microsoft Defender for Endpoint. Nejnovější rozsahy IP adres najdete ve značce služby. Další informace najdete v tématu Rozsahy IP adres Azure.
| Název značky služby | Zahrnuté služby Defender for Endpoint |
|---|---|
| MicrosoftDefenderForEndpoint | Cloudová ochrana, úložiště ukázek malwaru, ukázkové úložiště automatického prostředí IR, příkaz a řízení Defenderu for Endpoint. |
| OneDsCollector | Kybernetická a diagnostická data defenderu for Endpoint Poznámka: Provoz pod touto značkou služby není omezen na Defender for Endpoint a může zahrnovat přenosy diagnostických dat pro jiné služby Microsoftu. |
Následující tabulka uvádí aktuální rozsahy statických IP adres, na které se vztahuje značka služby MicrosoftDefenderForEndpoint. Nejnovější seznam najdete v dokumentaci ke značkům služeb Azure .
| Geo | Rozsahy IP adres |
|---|---|
| US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| Evropská unie | 4.208.13.0/24 20.8.195.0/24 |
| Spojené království | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Důležité
V souladu se standardy zabezpečení a dodržování předpisů defenderu for Endpoint se vaše data zpracovávají a ukládají v souladu s fyzickým umístěním vašeho tenanta. V závislosti na umístění klienta může provoz procházet některou z těchto oblastí IP adres (které odpovídají oblastem datacentra Azure). Další informace najdete v tématu Ukládání dat a ochrana osobních údajů.
Fáze 2. Konfigurace zařízení pro připojení ke službě Defender for Endpoint
Nakonfigurujte zařízení tak, aby komunikovali prostřednictvím infrastruktury připojení. Ujistěte se, že zařízení splňují požadavky a mají aktualizované verze senzoru a antivirové ochrany v programu Microsoft Defender. Další informace najdete v tématu Konfigurace proxy serveru zařízení a nastavení připojení k internetu .
Fáze 3. Ověření předběžného zprovoznění připojení klienta
Další informace najdete v tématu Ověření připojení klienta.
Následující kontroly předběžného zprovoznění je možné spustit v analyzátoru klienta MDE ve Windows i na platformě Xplat: Stáhněte si analyzátor klienta Microsoft Defenderu for Endpoint.
Pokud chcete otestovat zjednodušené připojení pro zařízení, která ještě nejsou onboardovaná do programu Defender for Endpoint, můžete použít nástroj Client Analyzer pro Windows pomocí následujících příkazů:
Spusťte
mdeclientanalyzer.cmd -o <path to cmd file>ze složky MDEClientAnalyzer. Příkaz používá parametry z onboardingového balíčku k otestování připojení.Spusťte
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, kde parametr je GW_US, GW_EU GW_UK. GW odkazuje na zjednodušenou možnost. Spusťte s příslušnou geografickou geografickou hodnotou tenanta.
Jako dodatečnou kontrolu můžete také pomocí analyzátoru klienta otestovat, jestli zařízení splňuje požadavky: https://aka.ms/BetaMDEAnalyzer
Poznámka
U zařízení, která ještě nejsou onboardovaná do Defenderu for Endpoint, bude klientský analyzátor testovat na standardní sadě adres URL. Pokud chcete otestovat zjednodušený přístup, budete muset spustit přepínače uvedené výše v tomto článku.
Fáze 4. Použití nového balíčku pro zprovoznění požadovaného pro zjednodušené připojení
Jakmile nakonfigurujete síť tak, aby komunikovala s úplným seznamem služeb, můžete začít s onboardingem zařízení pomocí zjednodušené metody.
Než budete pokračovat, ověřte, že zařízení splňují požadavky a mají aktualizované verze senzoru a antivirové ochrany v programu Microsoft Defender.
Pokud chcete získat nový balíček, v Microsoft Defenderu XDR vyberte Nastavení > Koncové body > Onboarding správy> zařízení.
Vyberte příslušný operační systém a v rozevírací nabídce Typ připojení zvolte Zjednodušeno.
U nových zařízení (která nejsou onboardovaná do programu Defender for Endpoint) podporovaných v rámci této metody postupujte podle kroků pro onboarding z předchozích částí pomocí aktualizovaného onboardovaného balíčku s upřednostňovanou metodou nasazení:
- Onboarding klienta Windows
- Onboarding Windows Serveru
- Onboarding zařízení, která nepoužívají Windows
- Spusťte na zařízení test detekce a ověřte, že je správně onboardováno do Microsoft Defenderu for Endpoint.
- Vylučte zařízení z existujících zásad onboardingu, které používají standardní balíček onboardingu.
Informace o migraci zařízení, která jsou už nasazená do defenderu for Endpoint, najdete v tématu Migrace zařízení na zjednodušené připojení. Musíte restartovat zařízení a postupovat podle konkrétních pokynů.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro