SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung, um die Konnektivität mit dem Defender für Endpunkt-Dienst sicherzustellen
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Stellen Sie vor dem Onboarding von Geräten in Defender für Endpunkt sicher, dass Ihr Netzwerk für die Verbindung mit dem Dienst konfiguriert ist. Der erste Schritt dieses Prozesses umfasst das Hinzufügen von URLs zur Liste zulässiger Domänen, wenn Ihr Proxyserver oder Ihre Firewallregeln den Zugriff auf Defender für Endpunkt verhindern. Dieser Artikel enthält auch Informationen zu Proxy- und Firewallanforderungen für ältere Versionen von Windows-Client und Windows Server.
Hinweis
- Nach dem 8. Mai 2024 haben Sie die Möglichkeit, die optimierte Konnektivität (konsolidierte Gruppe von URLs) als Standard-Onboardingmethode beizubehalten oder ein Downgrade auf Standardkonnektivität über (Einstellungen > Endpunkte > Erweiterte Features) durchzuführen. Für das Onboarding über Intune oder Microsoft Defender für Cloud müssen Sie die entsprechende Option aktivieren. Bereits integrierte Geräte werden nicht automatisch neu gestartet. Erstellen Sie in solchen Fällen eine neue Richtlinie in Intune, wobei empfohlen wird, die Richtlinie zunächst einer Gruppe von Testgeräten zuzuweisen, um zu überprüfen, ob die Konnektivität erfolgreich ist, und dann die Zielgruppe zu erweitern. Geräte in Defender für Cloud können mithilfe des entsprechenden Onboardingskripts erneut eingebunden werden, während neu integrierte Geräte automatisch ein optimiertes Onboarding erhalten.
- Die neue konsolidierte Domäne *.endpoint.security.microsoft.com muss für alle Geräte erreichbar sein, für aktuelle und zukünftige Funktionen, unabhängig davon, ob Sie weiterhin Standardkonnektivität verwenden.
- Neue Regionen verwenden standardmäßig optimierte Konnektivität und haben nicht die Möglichkeit, ein Downgrade auf Standard durchzuführen. Weitere Informationen finden Sie unter Onboarding von Geräten mit optimierter Konnektivität für Microsoft Defender für Endpunkt.
Aktivieren Sie den Zugriff auf die URLs des Microsoft Defender für Endpunkt-Dienstes im Proxy-Server
Das folgende herunterladbare Arbeitsblatt enthält die Dienste und die zugehörigen URLs, mit denen Geräte in Ihrem Netzwerk eine Verbindung herstellen können müssen. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, um den Zugriff für diese URLs zu verweigern. Optional müssen Sie möglicherweise eine Zulassungsregel speziell für sie erstellen.
| Kalkulationstabelle der Domänenliste | Beschreibung |
|---|---|
| Konsolidierte URL-Liste von Microsoft Defender für Endpunkt (optimiert) | Tabelle der konsolidierten URLs. Laden Sie die Tabelle hier herunter. Anwendbares Betriebssystem: Eine vollständige Liste finden Sie unter Optimierte Konnektivität. – Windows 10 1809 und höher – Windows 11 – Windows Server 2019 – Windows Server 2022 – Windows Server 2012 R2, Windows Server 2016 R2 mit moderner einheitlicher Defender für Endpunkt-Lösung (installation über MSI erforderlich). – macOS-unterstützte Versionen mit 101.23102.* + – Von Linux unterstützte Versionen mit 101.23102.* + Mindestkomponentenversionen: - Antischadsoftware-Client: 4.18.2211.5 - Engine: 1.1.19900.2 - Sicherheitsintelligenz: 1.391.345.0 - Xplat-Version: 101.23102.* + - Sensor/KB-Version: >10.8040.*/ 8. März 2022+ Wenn Sie zuvor integrierte Geräte auf den optimierten Ansatz umstellen, finden Sie weitere Informationen unter Migrieren der Gerätekonnektivität. Windows 10 Versionen 1607, 1703, 1709, 1803 (RS1-RS4) werden über das optimierte Onboardingpaket unterstützt, erfordern jedoch eine längere URL-Liste (siehe aktualisiertes URL-Blatt). Diese Versionen unterstützen kein Erneutes Onboarding (muss zuerst vollständig offboarded werden). Geräte, die unter Windows 7, Windows 8.1, Windows Server 2008 R2 MMA und Servern ausgeführt werden, die nicht auf den einheitlichen Agent (MMA) aktualisiert wurden, müssen weiterhin die MMA-Onboardingmethode verwenden. |
| Microsoft Defender für Endpunkt-URL-Liste für kommerzielle Kunden (Standard) | Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden. Laden Sie das Arbeitsblatt hier herunter. Microsoft Defender für Endpunkt Plan 1 und Plan 2 verwenden dieselben Proxydienst-URLs. Öffnen Sie in Ihrer Firewall alle URLs, bei denen die Geografiespalte WW ist. Öffnen Sie für Zeilen, in denen die Geografiespalte nicht WW ist, die URLs für Ihren spezifischen Datenspeicherort. Um Ihre Einstellung für den Speicherplatz der Daten zu überprüfen, siehe Überprüfen des Speicherplatzes der Daten und Aktualisieren der Einstellungen für die Datenaufbewahrung für Microsoft Defender für Endpunkt . Schließen Sie die URL |
| Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD | Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden. Laden Sie das Arbeitsblatt hier herunter. |
Wichtig
- Verbindungen werden aus dem Kontext des Betriebssystems oder der Defender-Clientdienste hergestellt. Daher sollten Proxys keine Authentifizierung für diese Ziele erfordern oder eine Überprüfung (HTTPS-Überprüfung/SSL-Überprüfung) durchführen, die den sicheren Kanal unterbricht.
- Microsoft stellt keinen Proxyserver bereit. Auf diese URLs kann über den von Ihnen konfigurierten Proxyserver zugegriffen werden.
- In Übereinstimmung mit den Sicherheits- und Compliancestandards von Defender für Endpunkt werden Ihre Daten in Übereinstimmung mit dem physischen Standort Ihres Mandanten verarbeitet und gespeichert. Basierend auf dem Clientstandort kann der Datenverkehr durch eine der zugeordneten IP-Regionen fließen (die Azure-Rechenzentrumsregionen entsprechen). Weitere Informationen finden Sie unter Datenspeicherung und Datenschutz.
Microsoft Monitoring Agent (MMA): zusätzliche Proxy- und Firewallanforderungen für ältere Versionen von Windows-Client oder Windows Server
Die folgenden Ziele sind erforderlich, um die Defender für Endpunkt-Kommunikation über den Log Analytics-Agent (häufig als Microsoft Monitoring Agent bezeichnet) unter Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2 zu ermöglichen.
| Agent-Ressource | Ports | Richtung | HTTPS-Inspektion umgehen |
|---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Ausgehend | Ja |
*.oms.opinsights.azure.com |
Port 443 | Ausgehend | Ja |
*.blob.core.windows.net |
Port 443 | Ausgehend | Ja |
*.azure-automation.net |
Port 443 | Ausgehend | Ja |
Informationen zum Ermitteln der genauen Ziele, die für Ihr Abonnement innerhalb der oben aufgeführten Domänen verwendet werden, finden Sie unter Microsoft Monitoring Agent (MMA) Service URL Connections (Microsoft Monitoring Agent).
Hinweis
Dienste, die MMA-basierte Lösungen verwenden, können die neue optimierte Konnektivitätslösung (konsolidierte URL und Option zur Verwendung statischer IP-Adressen) nicht nutzen. Für Windows Server 2016 und Windows Server 2012 R2 müssen Sie auf die neue einheitliche Lösung aktualisieren. Anweisungen zum Onboarding dieser Betriebssysteme mit der neuen einheitlichen Lösung finden Sie unter Onboarding von Windows-Servern oder Migrieren von bereits integrierten Geräten zur neuen einheitlichen Lösung unter Servermigrationsszenarien in Microsoft Defender für Endpunkt.
Für Geräte ohne Internetzugriff / ohne Proxy
Für Geräte ohne direkte Internetverbindung wird die Verwendung einer Proxylösung empfohlen. In bestimmten Fällen können Sie Firewall- oder Gatewaygeräte verwenden, die den Zugriff auf IP-Bereiche zulassen. Weitere Informationen finden Sie unter Optimierte Gerätekonnektivität.
Wichtig
- Microsoft Defender für Endpunkt ist eine Cloudsicherheitslösung. "Onboarding von Geräten ohne Internetzugriff" bedeutet, dass der Internetzugriff für die Endpunkte über einen Proxy oder ein anderes Netzwerkgerät konfiguriert werden muss, und die DNS-Auflösung ist immer erforderlich. Microsoft Defender für Endpunkt unterstützt keine Endpunkte ohne direkte oder per Proxy verbundene Konnektivität mit den Defender-Clouddiensten. Eine systemweite Proxykonfiguration wird empfohlen.
- Windows oder Windows Server in nicht verbundenen Umgebungen müssen Zertifikatvertrauenslisten offline über eine interne Datei oder einen webserver aktualisieren können.
- Weitere Informationen zum Offlineupdate von CTLs finden Sie unter Konfigurieren einer Datei oder eines Webservers zum Herunterladen der CTL-Dateien.
Nächster Schritt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für