Onboarding af enheder ved hjælp af strømlinet forbindelse til Microsoft Defender for Endpoint
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint-klienten kan kræve brug af forudsnisse forbindelser til relevante cloudtjenester. I denne artikel beskrives den strømlinede metode til enhedsforbindelse, forudsætningerne og yderligere oplysninger til bekræftelse af forbindelsen ved hjælp af den eller de nye destinationer.
For at forenkle netværkskonfigurationen og -administrationen har du nu mulighed for at onboarde nye enheder til Defender for Endpoint ved hjælp af et reduceret URL-sæt eller statiske IP-intervaller. Du kan få flere oplysninger om overførsel af tidligere onboardede enheder under Overflytte enheder til strømlinet forbindelse.
Det forenklede domæne, der genkendes af Defender for Endpoint: *.endpoint.security.microsoft.com konsoliderer forbindelsen til følgende centrale Defender for Endpoint-tjenester:
- Skybaseret beskyttelse
- Lagring af indsendelse af malwareeksempel
- Automatisk IR-eksempellager
- Defender for Endpoint-kommando & kontrolelement
- Defender for Endpoint cyber- og diagnosticeringsdata
Du kan finde flere oplysninger om, hvordan du forbereder dit miljø og den opdaterede liste over destinationer, i TRIN 1: Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Hvis du vil understøtte netværksenheder uden værtsnavnopløsning eller understøttelse af jokertegn, kan du alternativt konfigurere forbindelsen ved hjælp af dedikerede statiske IP-intervaller for Slutpunkt ved hjælp af Defender for Endpoint. Du kan få flere oplysninger under Konfigurer forbindelse ved hjælp af statiske IP-intervaller.
Bemærk!
- Den strømlinede forbindelsesmetode ændrer ikke den måde, som Microsoft Defender for Endpoint fungerer på en enhed på, og den ændrer heller ikke slutbrugeroplevelsen. Kun de URL-adresser eller IP-adresser, som en enhed bruger til at oprette forbindelse til tjenesten, ændres.
- Der er i øjeblikket ingen planer om at fraråde de gamle, konsoliderede tjeneste-URL-adresser. Enheder, der er onboardet med "standardforbindelse", vil fortsat fungere. Det er vigtigt at sikre, at forbindelsen til
*.endpoint.security.microsoft.comer og forbliver mulig, da fremtidige tjenester kræver det. Denne nye URL-adresse er inkluderet på alle påkrævede URL-lister. - Forbindelser til tjenesten udnytter fastgørelse af certifikater og TLS. Det understøttes ikke til at "afbryde og inspicere" trafik. Desuden startes forbindelser fra en enhedskontekst og ikke fra en brugerkontekst. Gennemtvingelse af proxygodkendelse (bruger) vil i de fleste tilfælde ikke tillade (afbryde) forbindelse.
Før du begynder
Enheder skal opfylde specifikke forudsætninger for at kunne bruge den strømlinede forbindelsesmetode for Defender for Endpoint. Sørg for, at forudsætningerne er opfyldt, før du fortsætter med onboarding.
Forudsætninger
Licens:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender Vulnerability Management
Minimum KB-opdatering (Windows)
- SENSE-version: 10.8040.*/ 8. marts 2022 eller nyere (se tabel)
Microsoft Defender Antivirus-versioner (Windows)
-
Antimalwareklient:
4.18.2211.5 -
Motor:
1.1.19900.2 -
Antivirus (Security Intelligence):
1.391.345.0
Defender Antivirus-versioner (macOS/Linux)
- macOS-understøttede versioner med MDE-produktversion 101.24022.*+
- Linux-understøttede versioner med MDE-produktversion 101.24022.*+
Understøttede operativsystemer
- Windows 10 version 1809 eller nyere. Windows 10 version 1607, 1703, 1709, 1803 understøttes på den strømlinede onboardingpakke, men kræver en anden URL-liste. Se strømlinet URL-ark
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fuldt opdateret, der kører Defender for Endpoint moderne unified løsning (installation via MSI).
- macOS-understøttede versioner med MDE-produktversion 101.24022.*+
- Linux-understøttede versioner med MDE-produktversion 101.24022.*+
Vigtigt!
- Enheder, der kører på MMA-agent, understøttes ikke på den strømlinede forbindelsesmetode og skal fortsætte med at bruge standard-URL-sættet (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 opgraderes ikke til moderne Unified Agent).
- Windows Server 2012 R2 og Server 2016 skal opgraderes til Unified Agent for at udnytte den nye metode.
- Windows 10 1607, 1703, 1709, 1803 kan udnytte den nye onboardingmulighed, men vil bruge en længere liste. Du kan få flere oplysninger i det strømlinede URL-ark.
| Windows OS | Minimum KB påkrævet (8. marts 2022) |
|---|---|
| Windows 11 | KB5011493 (8. marts 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8. marts 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8. marts 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8. marts 2022) |
| Windows 10 22H2 | KB5020953 (28. oktober 2022) |
| Windows 10 1803* | < slutningen af tjenesten > |
| Windows 10 1709* | < slutningen af tjenesten > |
| Windows Server 2022 | KB5011497 (8. marts 2022) |
| Windows Server 2012 R2, 2016* | Unified Agent |
Strømlinet forbindelsesproces
Følgende illustration viser den strømlinede forbindelsesproces og de tilsvarende faser:
Fase 1. Konfigurer dit netværksmiljø til cloudforbindelse
Når du har bekræftet, at forudsætningerne er opfyldt, skal du sikre, at dit netværksmiljø er konfigureret korrekt til at understøtte den strømlinede forbindelsesmetode. Følg de trin, der er beskrevet i Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Url-adresser til Defender for Endpoint Service, der er konsolideret under et forenklet domæne, bør ikke længere være påkrævet for at oprette forbindelse. Nogle URL-adresser er dog ikke inkluderet i konsolideringen.
Strømlinet forbindelse giver dig mulighed for at bruge følgende indstilling til at konfigurere cloudforbindelse:
Mulighed 1: Konfigurer forbindelse ved hjælp af det forenklede domæne
Konfigurer dit miljø for at tillade forbindelser til det forenklede Defender for Endpoint-domæne: *.endpoint.security.microsoft.com. Du kan finde flere oplysninger under Konfigurer dit netværksmiljø for at sikre forbindelse til Defender for Endpoint-tjenesten.
Du skal bevare forbindelsen til de resterende påkrævede tjenester, der er angivet under den opdaterede liste. Eksempelvis skal certificeringstilbagekaldelseslisten, Windows Update, SmartScreen-tjenester også være tilgængelige, afhængigt af din aktuelle netværksinfrastruktur og programrettelsestilgang.
Mulighed 2: Konfigurer forbindelse ved hjælp af statiske IP-områder
Med strømlinet forbindelse kan IP-baserede løsninger bruges som et alternativ til URL-adresser. Disse IP-adresser dækker følgende tjenester:
- KORT
- Lager til indsendelse af malwareeksempel
- Automatisk IR-eksempellager
- Defender for Endpoint Command and Control
Vigtigt!
EDR Cyber-datatjenesten (OneDsCollector) skal konfigureres separat, hvis du bruger IP-metoden (denne tjeneste er kun konsolideret på et URL-niveau). Du skal også bevare forbindelsen til andre påkrævede tjenester, herunder SmartScreen, CRL, Windows Update og andre tjenester.
For at holde dig opdateret om IP-intervaller anbefales det at se følgende Azure-tjenestekoder for Microsoft Defender for Endpoint-tjenester. De seneste IP-områder findes i tjenestekoden. Du kan få flere oplysninger under Azure IP-intervaller.
| Navn på tjenestekode | Defender for Endpoint-tjenester er inkluderet |
|---|---|
| MicrosoftDefenderForEndpoint | Skybaseret beskyttelse, lagring af indsendelse af malwareeksempler, lagring af eksempel på automatisk IR, kommandoen og styringen Defender for Endpoint. |
| OneDsCollector | Defender for Endpoint cyber- og diagnosticeringsdata Bemærk! Trafikken under denne tjenestekode er ikke begrænset til Defender for Endpoint og kan omfatte trafik til diagnosticeringsdata for andre Microsoft-tjenester. |
I følgende tabel vises de aktuelle statiske IP-områder, der er omfattet af tjenestekoden MicrosoftDefenderForEndpoint. Du kan finde den nyeste liste i dokumentationen til Azure Service Tags .
| Geo | IP-områder |
|---|---|
| OS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| UK | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Vigtigt!
I overensstemmelse med Defender for Endpoint-sikkerhed og overholdelse af angivne standarder behandles og gemmes dine data i overensstemmelse med din lejers fysiske placering. Baseret på klientens placering kan trafikken passere gennem et af disse IP-områder (som svarer til Azure-datacenterområder). Du kan få flere oplysninger under Datalagring og beskyttelse af personlige oplysninger.
Fase 2. Konfigurer dine enheder for at oprette forbindelse til Defender for Endpoint-tjenesten
Konfigurer enheder til at kommunikere via din forbindelsesinfrastruktur. Sørg for, at enhederne opfylder forudsætningerne, og at de har opdaterede sensor- og Microsoft Defender Antivirus-versioner. Du kan få flere oplysninger under Konfigurer indstillingerne for enhedsproxy og internetforbindelse .
Fase 3. Bekræft præonboarding for klientforbindelsen
Du kan finde flere oplysninger under Kontrollér klientforbindelsen.
Følgende preonboarding-kontroller kan køres på både Windows og Xplat MDE-klientanalyse: Download Microsoft Defender for Endpoint-klientanalysen.
Hvis du vil teste strømlinet forbindelse for enheder, der endnu ikke er onboardet til Defender for Endpoint, kan du bruge Klientanalyse til Windows ved hjælp af følgende kommandoer:
Kør
mdeclientanalyzer.cmd -o <path to cmd file>fra mappen MDEClientAnalyzer. Kommandoen bruger parametre fra onboardingpakken til at teste forbindelsen.Kør
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, hvor parameteren er af GW_US, GW_EU GW_UK. GW refererer til den strømlinede indstilling. Kør med relevant geografisk lejer.
Som en supplerende kontrol kan du også bruge klientanalysen til at teste, om en enhed opfylder forudsætningerne: https://aka.ms/BetaMDEAnalyzer
Bemærk!
For enheder, der endnu ikke er onboardet til Defender for Endpoint, tester klientanalysen i forhold til standardsættet af URL-adresser. Hvis du vil teste den strømlinede tilgang, skal du køre med de parametre, der er angivet tidligere i denne artikel.
Fase 4. Anvend den nye onboardingpakke, der kræves til strømlinede forbindelser
Når du har konfigureret dit netværk til at kommunikere med den komplette liste over tjenester, kan du begynde at onboarde enheder ved hjælp af den strømlinede metode.
Før du fortsætter, skal du bekræfte, at enhederne opfylder forudsætningerne , og have opdaterede sensor- og Microsoft Defender Antivirus-versioner.
Hvis du vil hente den nye pakke, skal du i Microsoft Defender XDR vælge Indstillinger > Slutpunkter > Onboarding af enhedshåndtering>.
Vælg det relevante operativsystem, og vælg "Strømlinet" i rullemenuen Forbindelsestype.
For nye enheder (ikke onboardet til Defender for Endpoint), der understøttes under denne metode, skal du følge onboardingtrinnene fra tidligere afsnit ved hjælp af den opdaterede onboardede pakke med din foretrukne udrulningsmetode:
- Windows-klient om bord
- Onboard Windows Server
- Onboard ikke-Windows-enheder
- Kør en registreringstest på en enhed for at bekræfte, at den er onboardet korrekt til Microsoft Defender for Endpoint
- Udelad enheder fra eksisterende onboardingpolitikker, der bruger standard onboardingpakken.
Hvis du vil overføre enheder, der allerede er onboardet til Defender for Endpoint, skal du se Overflytte enheder til den strømlinede forbindelse. Du skal genstarte din enhed og følge specifik vejledning her.