KROK 1: Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Než zařízení připojíte do Defenderu for Endpoint, ujistěte se, že je vaše síť nakonfigurovaná tak, aby se připojovala ke službě, a to povolením odchozího připojení a obejitím kontroly HTTPS pro adresy URL služby. Prvním krokem tohoto procesu je přidání adres URL do seznamu povolených domén, pokud váš proxy server nebo pravidla brány firewall brání přístupu k Defenderu for Endpoint. Tento článek obsahuje také informace o požadavcích na proxy server a bránu firewall pro starší verze klienta Windows a Windows Serveru.
Poznámka
- Po 8. květnu 2024 máte možnost zachovat zjednodušené připojení (konsolidovaná sada adres URL) jako výchozí metodu onboardingu nebo downgradovat na standardní připojení prostřednictvím (Pokročilé funkce koncových bodů > nastavení>). Pro onboarding prostřednictvím Intune nebo Microsoft Defender for Cloud je potřeba aktivovat příslušnou možnost. Zařízení, která jsou už nasazená, se automaticky znovu nepřipojí. V takových případech vytvořte novou zásadu v Intune, kde doporučujeme nejprve zásadu přiřadit sadě testovacích zařízení, aby se ověřilo úspěšné připojení, a pak rozšířit cílovou skupinu. Zařízení v Defenderu for Cloud je možné znovu připojit pomocí příslušného onboardingového skriptu, zatímco nově nasazená zařízení automaticky získají jednodušší onboarding.
- Nová konsolidovaná doména *.endpoint.security.microsoft.com musí být dostupná pro všechna zařízení, pro aktuální a budoucí funkce bez ohledu na to, jestli budete dál používat standardní připojení.
- Nové oblasti budou mít ve výchozím nastavení zjednodušené připojení a nebudou mít možnost downgradovat na úroveň Standard. Další informace najdete v článku Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint.
Povolení přístupu k adresám URL služby Microsoft Defender for Endpoint na proxy serveru
Následující tabulka ke stažení obsahuje seznam služeb a jejich přidružených adres URL, ke kterým se zařízení ve vaší síti musí mít možnost připojit. Ujistěte se, že pro tyto adresy URL neexistují žádná pravidla firewallu nebo filtrování sítě, která by odepřela přístup. Volitelně může být potřeba vytvořit pravidlo povolení speciálně pro ně.
Tabulka seznamu domén | Popis |
---|---|
Microsoft Defender for Endpoint konsolidovaný seznam adres URL (zjednodušená) | Tabulka konsolidovaných adres URL Tabulku si můžete stáhnout tady. Použitelný operační systém: Úplný seznam najdete v článku o zjednodušeném připojení. - Windows 10 1809+ - Windows 11 – Windows Server 2019 – Windows Server 2022 – Windows Server 2012 R2, Windows Server 2016 R2 s moderním sjednoceným řešením Defender for Endpoint (vyžaduje instalaci prostřednictvím MSI). – podporované verze macOS se systémem 101.23102.* + – Podporované verze Linuxu se systémem 101.23102.* + Minimální verze komponent: - Antimalwarový klient: 4.18.2211.5 - Motor: 1.1.19900.2 – Bezpečnostní informace: 1.391.345.0 - Xplat verze: 101.23102.* + - Sensor/ KB verze: >10.8040.*/ 8. března 2022+ Pokud přesouváte dříve onboardovaná zařízení na zjednodušený přístup, přečtěte si téma Migrace připojení zařízení. Windows 10 verze 1607, 1703, 1709, 1803 (RS1-RS4) jsou podporovány prostřednictvím zjednodušeného onboardingového balíčku, ale vyžadují delší seznam adres URL (viz aktualizovaný list adres URL). Tyto verze nepodporují opětovné zprovoznění (napřed musí být plně offboarding). Zařízení se systémem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA a Servery, které nejsou upgradovány na sjednoceného agenta (MMA), musí dál používat metodu onboardingu MMA. |
Microsoft Defender for Endpoint seznam adres URL pro komerční zákazníky (Standard) | Tabulka konkrétních záznamů DNS pro umístění služeb, zeměpisné umístění a operační systém pro komerční zákazníky Tabulku si můžete stáhnout tady. Microsoft Defender for Endpoint Plán 1 a Plán 2 sdílejí stejné adresy URL proxy služby. V bráně firewall otevřete všechny adresy URL, ve kterých je sloupec zeměpisná oblast WW. Pro řádky, ve kterých sloupec geografie není WW, otevřete adresy URL pro konkrétní umístění dat. Pokud chcete ověřit nastavení umístění dat, přečtěte si téma Ověření umístění úložiště dat a aktualizace nastavení uchovávání dat pro Microsoft Defender for Endpoint. Nevylučujte adresu URL |
Microsoft Defender for Endpoint seznam adres URL pro Gov/GCC/DoD | Tabulka konkrétních záznamů DNS pro umístění služeb, geografická umístění a operační systém pro zákazníky se systémy Gov, GCC nebo DoD Tabulku si můžete stáhnout tady. |
Důležité
- Connections se provádí z kontextu operačního systému nebo klientských služeb Defenderu, a proto by proxy servery neměly vyžadovat ověřování pro tyto cíle ani provádět kontrolu (skenování HTTPS nebo ssl), která narušuje zabezpečený kanál.
- Společnost Microsoft neposkytuje proxy server. Tyto adresy URL jsou přístupné prostřednictvím proxy serveru, který nakonfigurujete.
- V souladu se standardy zabezpečení a dodržování předpisů defenderu for Endpoint se vaše data zpracovávají a ukládají v souladu s fyzickým umístěním vašeho tenanta. V závislosti na umístění klienta může provoz procházet některou z přidružených oblastí IP adres (které odpovídají oblastem datacentra Azure). Další informace najdete v tématu Ukládání dat a ochrana osobních údajů.
Microsoft Monitoring Agent (MMA) – další požadavky na proxy server a bránu firewall pro starší verze klienta Windows nebo Windows Serveru
Následující cíle jsou potřeba k povolení komunikace defenderu for Endpoint prostřednictvím agenta Log Analytics (často označovaného jako Microsoft Monitoring Agent) ve Windows 7 SP1, Windows 8.1 a Windows Serveru 2008 R2.
Prostředek agenta | Porty | Směr | Obejití kontroly HTTPS |
---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Odchozí | Ano |
*.oms.opinsights.azure.com |
Port 443 | Odchozí | Ano |
*.blob.core.windows.net |
Port 443 | Odchozí | Ano |
*.azure-automation.net |
Port 443 | Odchozí | Ano |
Pokud chcete zjistit přesné cíle používané pro vaše předplatné v rámci výše uvedených domén, přečtěte si téma Připojení url služby Microsoft Monitoring Agent (MMA).
Poznámka
Služby využívající řešení založené na MMA nemůžou využívat nové zjednodušené řešení připojení (konsolidovaná adresa URL a možnost použití statických IP adres). Pro Windows Server 2016 a Windows Server 2012 R2 budete muset aktualizovat na nové sjednocené řešení. Pokyny k onboardingu těchto operačních systémů pomocí nového sjednoceného řešení najdete v tématu Onboarding serverů s Windows nebo migrace již nasazených zařízení do nového sjednoceného řešení ve scénářích migrace serverů v Microsoft Defender for Endpoint.
Zařízení bez přístupu k internetu nebo bez proxy serveru
U zařízení bez přímého připojení k internetu je doporučeným přístupem použití řešení proxy. V konkrétních případech můžete použít bránu firewall nebo zařízení brány, která umožňují přístup k rozsahům IP adres. Další informace najdete v tématu : Zjednodušené připojení zařízení.
Důležité
- Microsoft Defender for Endpoint je cloudové řešení zabezpečení. "Onboarding zařízení bez přístupu k internetu" znamená, že přístup k internetu pro koncové body musí být nakonfigurovaný prostřednictvím proxy serveru nebo jiného síťového zařízení a vždy se vyžaduje překlad DNS. Microsoft Defender for Endpoint nepodporuje koncové body bez přímého nebo proxy připojení ke cloudovým službám Defenderu. Doporučuje se konfigurace proxy serveru pro celý systém.
- Systém Windows nebo Windows Server v odpojených prostředích musí být schopné aktualizovat důvěryhodnost certifikátu Seznamy offline prostřednictvím interního souboru nebo webového serveru.
- Další informace o offline aktualizaci seznamů CTL najdete v tématu Konfigurace souboru nebo webového serveru pro stažení souborů CTL.