Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Poznámka
Zjednodušená metoda onboardingu je aktuálně ve verzi Public Preview. Nezapomeňte si projít požadavky a potvrdit požadavky a podporované operační systémy.
Služba Microsoft Defender for Endpoint může vyžadovat použití konfigurací proxy serveru k hlášení diagnostických dat a předávání dat službě. Před dostupností zjednodušené metody připojení se vyžadovaly další adresy URL a v Defenderu for Endpoint se nepodporovaly statické rozsahy IP adres. Další informace o úplných MDE procesech připojení najdete v tématu KROK 1: Konfigurace síťového prostředí k zajištění připojení ke službě Defender for Endpoint.
Tento článek popisuje zjednodušenou metodu připojení zařízení a postup při onboardingu nových zařízení, aby používala jednodušší nasazení a správu cloudových služeb připojení Defenderu for Endpoint. Další informace o migraci dříve nasazených zařízení najdete v tématu Migrace zařízení za účelem zjednodušeného připojení.
Kvůli zjednodušení konfigurace a správy sítě teď máte možnost připojit zařízení do Defenderu for Endpoint pomocí omezené sady adres URL nebo rozsahů statických IP adres. Viz zjednodušený seznam adres URL.
Zjednodušená doména defenderu for Endpoint rozpoznaná: *.endpoint.security.microsoft.com
nahrazuje následující základní služby Defender for Endpoint:
- Cloud Protection/MAPS
- Úložiště pro odesílání ukázek malwaru
- Ukázkové úložiště automatického prostředí IR
- Defender for Endpoint Command & Control
- EDR Cyberdata
Pokud chcete podporovat síťová zařízení bez podpory překladu názvů hostitelů nebo zástupných znaků, můžete alternativně nakonfigurovat připojení pomocí vyhrazených statických rozsahů IP adres defenderu for Endpoint. Další informace najdete v tématu Konfigurace připojení pomocí statických rozsahů IP adres.
Poznámka
Zjednodušená metoda připojení nezmění, jak funguje Microsoft Defender for Endpoint na zařízení, ani nezmění prostředí koncového uživatele. Změní se jenom adresy URL nebo IP adresy, které zařízení používá pro připojení ke službě.
Důležité
Omezení verze Preview a známé problémy:
- Zjednodušené připojení nepodporuje onboarding prostřednictvím rozhraní API (zahrnuje Microsoft Defender pro cloud a Intune).
- Tato metoda onboardingu má specifické požadavky, které se nevztahují na standardní metodu onboardingu.
Konsolidované služby
Následující adresy URL Defenderu for Endpoint sloučené pod zjednodušenou doménou by se už neměly vyžadovat pro připojení, pokud *.endpoint.security.microsoft.com
je povolené a zařízení se onboardují pomocí zjednodušeného balíčku onboardingu. Budete muset udržovat připojení k dalším požadovaným službám, které nejsou konsolidované a které jsou relevantní pro vaši organizaci (například seznam CRL, SmartScreen/Network Protection a WNS).
Aktualizovaný seznam požadovaných adres URL najdete v tématu Stažení tabulky tady.
Důležité
Pokud konfigurujete pomocí rozsahů IP adres, budete muset nakonfigurovat službu cyberdata EDR samostatně. Tato služba není konsolidovaná na úrovni IP. Další podrobnosti najdete v následující části.
Kategorie | Konsolidované adresy URL |
---|---|
MAPS: cloudová ochrana | *.wdcp.microsoft.com *.wd.microsoft.com |
& pro cloudovou ochranu aktualizace bezpečnostních funkcí pro macOS a Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Úložiště pro odesílání ukázek malwaru | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Ukázkové úložiště automatického prostředí IR v Defenderu for Endpoint | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Defender for Endpoint Command and Control | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Než začnete
Zařízení musí splňovat konkrétní požadavky, aby bylo možné používat zjednodušenou metodu připojení pro Defender for Endpoint. Než budete pokračovat v onboardingu, ujistěte se, že jsou splněné požadavky.
Požadavky
Licence:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Správa ohrožení zabezpečení v programu Microsoft Defender
Minimální aktualizace KB (Windows)
- Verze SENSE: 10.8040.*/ 8. března 2022 nebo novější (viz tabulka)
Microsoft Defender verze antivirové ochrany (Windows)
- Antimalwarový klient: 4.18.2211.5
- Motor: 1.1.19900.2
- Antivirová ochrana (security intelligence): 1.391.345.0
Verze Antivirové ochrany v programu Defender (macOS/Linux)
- Podporované verze macOS s produktem MDE verze 101.24022.*+
- Podporované verze Linuxu s produktem MDE verze 101.24022.*+
Podporované operační systémy
- Windows 10 verze 1809 nebo novější
- Windows 10 verze 1607, 1703, 1709, 1803 jsou podporovány v zjednodušeném onboardingovém balíčku, ale vyžadují jiný seznam adres URL, viz zjednodušený seznam adres URL.
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, plně aktualizované moderní sjednocené řešení Defender for Endpoint (instalace prostřednictvím MSI).
- Podporované verze macOS s produktem MDE verze 101.24022.*+
- Podporované verze Linuxu s produktem MDE verze 101.24022.*+
Důležité
- Zařízení s agentem MMA nejsou podporovaná zjednodušenou metodou připojení a budou muset dál používat standardní sadu adres URL (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 se neupgraduje na moderního sjednoceného agenta).
- Windows Server 2012 R2 a Server 2016 R2 budou muset upgradovat na sjednoceného agenta, aby bylo možné využít novou metodu.
- Windows 10 1607, 1703, 1709, 1803 můžou využít novou možnost onboardingu, ale budou používat delší seznam. Další informace najdete v článku o zjednodušeném seznamu adres URL.
Operační systém Windows | Minimální povinné kB (8. března 2022) |
---|---|
Windows 11 | KB5011493 (8. března 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8. března 2022) |
Windows 10 19H2 (1909) | KB5011485 (8. března 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8. března 2022) |
Windows 10 22H2 | KB5020953 (28. října 2022) |
Windows 10 1803* | < ukončení služby > |
Windows 10 1709* | < ukončení služby > |
Windows Server 2022 | KB5011497 (8. března 2022) |
Windows Server 2012 R2, 2016* | Sjednocený agent |
Windows Server 2016 R2 | Sjednocený agent |
Zjednodušený proces připojení
Následující obrázek znázorňuje zjednodušený proces připojení a odpovídající fáze:
Fáze 1. Konfigurace síťového prostředí pro cloudové připojení
Jakmile ověříte splnění požadavků, ujistěte se, že je síťové prostředí správně nakonfigurované tak, aby podporovalo zjednodušenou metodu připojení. Pomocí zjednodušené metody (Preview) postupujte podle kroků uvedených v tématu Konfigurace síťového prostředí k zajištění připojení ke službě Defender for Endpoint.
Služby Defender for Endpoint sloučené v rámci zjednodušené metody by už pro připojení neměly být vyžadovány. Některé adresy URL ale nejsou součástí konsolidace.
Zjednodušené připojení umožňuje ke konfiguraci připojení ke cloudu použít následující možnost:
Možnost 1: Konfigurace připojení pomocí zjednodušené domény
Nakonfigurujte prostředí tak, aby umožňovalo připojení se zjednodušenou doménou Defenderu for Endpoint: *.endpoint.security.microsoft.com
. Další informace najdete v tématu Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint.
Musíte udržovat připojení se zbývajícími požadovanými službami uvedenými v aktualizovaném seznamu. Například Seznam odvolaných certifikátů, Windows Update, Filtr SmartScreen.
Možnost 2: Konfigurace připojení pomocí statických rozsahů IP adres
Díky zjednodušenému připojení je možné jako alternativu k adresám URL použít řešení založená na protokolu IP. Tyto IP adresy zahrnují následující služby:
- MAPY
- Úložiště pro odesílání ukázek malwaru
- Ukázkové úložiště automatického prostředí IR
- Defender for Endpoint Command and Control
Důležité
Datová služba EDR Cyber musí být nakonfigurovaná samostatně, pokud používáte metodu IP (tato služba je konsolidovaná pouze na úrovni adresy URL). Musíte také udržovat připojení k dalším požadovaným službám, včetně filtru SmartScreen, seznamu CRL, služba Windows Update a dalších služeb.
Pokud chcete mít přehled o rozsahech IP adres, doporučujeme pro Microsoft Defender for Endpoint služby použít následující značky služeb Azure. Nejnovější rozsahy IP adres se vždy nacházejí ve značce služby. Další informace najdete v tématu Rozsahy IP adres Azure.
Název značky služby | Zahrnuté služby Defender for Endpoint |
---|---|
MicrosoftDefenderForEndpoint | MAPS, úložiště pro odesílání vzorků malwaru, ukázkové úložiště automatického prostředí IR, příkazy a řízení. |
OneDsCollector | EDR Cyberdata Poznámka: Provoz pod touto značkou služby není omezen na Defender for Endpoint a může zahrnovat přenosy diagnostických dat pro jiné služby Microsoftu. |
Následující tabulka uvádí aktuální rozsahy statických IP adres. Nejnovější seznam najdete ve značkách služeb Azure.
Geo | Rozsahy IP adres |
---|---|
US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
UK | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Důležité
V souladu se standardy zabezpečení a dodržování předpisů defenderu for Endpoint se vaše data zpracovávají a ukládají v souladu s fyzickým umístěním vašeho tenanta. V závislosti na umístění klienta může provoz procházet některou z těchto oblastí IP adres (které odpovídají oblastem datacentra Azure). Další informace najdete v tématu Ukládání dat a ochrana osobních údajů.
Fáze 2. Konfigurace zařízení pro připojení ke službě Defender for Endpoint
Nakonfigurujte zařízení tak, aby komunikovali prostřednictvím infrastruktury připojení. Ujistěte se, že zařízení splňují požadavky a mají aktualizované verze senzoru a Microsoft Defender Antivirové ochrany. Další informace najdete v tématu Konfigurace proxy serveru zařízení a nastavení připojení k internetu .
Fáze 3. Ověření předběžného zprovoznění připojení klienta
Další informace najdete v tématu Ověření připojení klienta.
V nástroji MDE Client Analyzer pro Windows i Xplat lze spustit následující kontroly předběžného zprovoznění: Stáhněte Microsoft Defender for Endpoint analyzátor klienta.
Pokud chcete otestovat zjednodušené připojení pro zařízení, která ještě nejsou onboardovaná do programu Defender for Endpoint, můžete použít nástroj Client Analyzer pro Windows pomocí následujících příkazů:
Spusťte
mdeclientanalyzer.cmd -o <path to cmd file>
ze složky MDEClientAnalyzer. Příkaz používá parametry z onboardingového balíčku k otestování připojení.Spusťte
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, kde parametr je GW_US, GW_EU GW_UK. GW odkazuje na zjednodušenou možnost. Spusťte s příslušnou geografickou geografickou hodnotou tenanta.
Jako dodatečnou kontrolu můžete také pomocí analyzátoru klienta otestovat, jestli zařízení splňuje požadavky: https://aka.ms/BetaMDEAnalyzer
Poznámka
U zařízení, která ještě nejsou onboardovaná do Defenderu for Endpoint, bude klientský analyzátor testovat na standardní sadě adres URL. Pokud chcete otestovat zjednodušený přístup, budete muset spustit přepínače uvedené výše v tomto článku.
Fáze 4. Použití nového balíčku pro zprovoznění požadovaného pro zjednodušené připojení
Jakmile nakonfigurujete síť tak, aby komunikovala s úplným seznamem služeb, můžete začít s onboardingem zařízení pomocí zjednodušené metody. Upozorňujeme, že onboarding přes rozhraní API se v současné době nepodporuje (zahrnuje Intune & Microsoft Defender for Cloud).
Než budete pokračovat, ověřte, že zařízení splňují požadavky a aktualizovala senzor a Microsoft Defender verze antivirové ochrany.
Pokud chcete získat nový balíček, v Microsoft Defender XDR vyberte Nastavení > Koncové body > Onboarding správy> zařízení.
Vyberte příslušný operační systém a v rozevírací nabídce Typ připojení zvolte Zjednodušeno (Preview).
U nových zařízení (která nejsou onboardovaná do programu Defender for Endpoint) podporovaných v rámci této metody postupujte podle kroků pro onboarding z předchozích částí pomocí aktualizovaného onboardovaného balíčku s upřednostňovanou metodou nasazení:
- Onboarding klienta Windows
- Onboarding Windows Serveru
- Onboarding zařízení, která nepoužívají Windows
- Spusťte na zařízení test detekce a ověřte, jestli je zařízení správně nasazené do Microsoft Defender for Endpoint
Vylučte zařízení z existujících zásad onboardingu, které používají standardní balíček onboardingu.
Informace o migraci zařízení, která jsou už nasazená do defenderu for Endpoint, najdete v tématu Migrace zařízení na zjednodušené připojení. Musíte restartovat zařízení a postupovat podle konkrétních pokynů.
Až budete chtít nastavit výchozí balíček pro zprovoznění, můžete na portálu Microsoft Defender zapnout následující nastavení Upřesňující > funkce (Pokročilé funkce nastavení > koncových bodů).
Poznámka
Než budete pokračovat s touto možností, ověřte, že je vaše prostředí připravené a že všechna zařízení splňují požadavky.
Toto nastavení nastaví výchozí balíček pro připojování na "zjednodušené" pro příslušné operační systémy. Na stránce onboardingu můžete dál používat standardní balíček onboardingu, ale musíte ho konkrétně vybrat v rozevíracím seznamu.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro