Freigeben über


SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung, um die Konnektivität mit dem Defender für Endpunkt-Dienst sicherzustellen

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Stellen Sie vor dem Onboarding von Geräten in Defender für Endpunkt sicher, dass Ihr Netzwerk für die Verbindung mit dem Dienst konfiguriert ist, indem Sie ausgehende Verbindungen zulassen und die HTTPS-Überprüfung für die Dienst-URLs umgehen. Der erste Schritt dieses Prozesses umfasst das Hinzufügen von URLs zur Liste zulässiger Domänen, wenn Ihr Proxyserver oder Ihre Firewallregeln den Zugriff auf Defender für Endpunkt verhindern. Dieser Artikel enthält auch Informationen zu Proxy- und Firewallanforderungen für ältere Versionen von Windows-Client und Windows Server.

Hinweis

  • Nach dem 8. Mai 2024 haben Sie die Möglichkeit, die optimierte Konnektivität (konsolidierte Gruppe von URLs) als Standard-Onboardingmethode beizubehalten oder ein Downgrade auf Standardkonnektivität über (Einstellungen > Endpunkte > Erweiterte Features) durchzuführen. Für das Onboarding über Intune oder Microsoft Defender für Cloud müssen Sie die entsprechende Option aktivieren. Bereits integrierte Geräte werden nicht automatisch neu gestartet. Erstellen Sie in solchen Fällen eine neue Richtlinie in Intune. Es wird empfohlen, die Richtlinie zunächst einer Gruppe von Testgeräten zuzuweisen, um zu überprüfen, ob die Konnektivität erfolgreich ist, und dann die Zielgruppe zu erweitern. Geräte in Defender für Cloud können mithilfe des entsprechenden Onboardingskripts erneut eingebunden werden, während neu integrierte Geräte automatisch ein optimiertes Onboarding erhalten.
  • Die neue konsolidierte Domäne *.endpoint.security.microsoft.com muss für alle Geräte erreichbar sein, für aktuelle und zukünftige Funktionen, unabhängig davon, ob Sie weiterhin Standardkonnektivität verwenden.
  • Neue Regionen verwenden standardmäßig optimierte Konnektivität und haben nicht die Möglichkeit, ein Downgrade auf Standard durchzuführen. Weitere Informationen finden Sie unter Onboarding von Geräten mit optimierter Konnektivität für Microsoft Defender for Endpoint.

Aktivieren Sie den Zugriff auf die URLs des Microsoft Defender für Endpunkt-Dienstes im Proxy-Server

Das folgende herunterladbare Arbeitsblatt enthält die Dienste und die zugehörigen URLs, mit denen Geräte in Ihrem Netzwerk eine Verbindung herstellen können müssen. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, um den Zugriff für diese URLs zu verweigern. Optional müssen Sie möglicherweise eine Zulassungsregel speziell für sie erstellen.

Kalkulationstabelle der Domänenliste Beschreibung
Microsoft Defender for Endpoint konsolidierte URL-Liste (optimiert) Tabelle der konsolidierten URLs.
Laden Sie die Tabelle hier herunter.

Anwendbares Betriebssystem:
Eine vollständige Liste finden Sie unter Optimierte Konnektivität.
- Windows 10 1809+
– Windows 11
– Windows Server 2019
– Windows Server 2022
– Windows Server 2012 R2, Windows Server 2016 R2 mit moderner einheitlicher Defender für Endpunkt-Lösung (installation über MSI erforderlich).
– macOS-unterstützte Versionen mit 101.23102.* +
– Von Linux unterstützte Versionen mit 101.23102.* +

Mindestkomponentenversionen:
- Antischadsoftware-Client: 4.18.2211.5
- Engine: 1.1.19900.2
- Sicherheitsintelligenz: 1.391.345.0
- Xplat-Version: 101.23102.* +
- Sensor/KB-Version: >10.8040.*/ 8. März 2022+

Wenn Sie zuvor integrierte Geräte auf den optimierten Ansatz umstellen, finden Sie weitere Informationen unter Migrieren der Gerätekonnektivität.

Windows 10 Versionen 1607, 1703, 1709, 1803 (RS1-RS4) werden über das optimierte Onboardingpaket unterstützt, erfordern jedoch eine längere URL-Liste (siehe aktualisiertes URL-Blatt). Diese Versionen unterstützen kein Erneutes Onboarding (muss zuerst vollständig offboarded werden).

Geräte, die unter Windows 7, Windows 8.1, Windows Server 2008 R2 MMA und Servern ausgeführt werden, die nicht auf Den einheitlichen Agent (MMA) aktualisiert wurden, müssen weiterhin die MMA-Onboardingmethode verwenden.
Microsoft Defender for Endpoint URL-Liste für gewerbliche Kunden (Standard) Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Microsoft Defender for Endpoint Plan 1 und Plan 2 verwenden dieselben Proxydienst-URLs. Öffnen Sie in Ihrer Firewall alle URLs, bei denen die Geografiespalte WW ist. Öffnen Sie für Zeilen, in denen die Geografiespalte nicht WW ist, die URLs für Ihren spezifischen Datenspeicherort. Um Ihre Einstellung für den Speicherplatz der Daten zu überprüfen, siehe Überprüfen des Speicherplatzes der Daten und Aktualisieren der Einstellungen für die Datenaufbewahrung für Microsoft Defender für Endpunkt . Schließen Sie die URL *.blob.core.windows.net nicht von einer Netzwerküberprüfung aus. Schließen Sie stattdessen nur die Blob-URLs aus, die für MDE spezifisch sind und in der Liste der Tabellenkalkulationsdomänen aufgeführt sind.

Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden.
Laden Sie das Arbeitsblatt hier herunter.

Wichtig

  • Connections aus dem Kontext des Betriebssystems oder der Defender-Clientdienste erstellt werden, sollten Proxys daher keine Authentifizierung für diese Ziele erfordern oder eine Überprüfung (HTTPS-Überprüfung/ SSL-Überprüfung) durchführen, die den sicheren Kanal unterbricht.
  • Microsoft stellt keinen Proxyserver bereit. Auf diese URLs kann über den von Ihnen konfigurierten Proxyserver zugegriffen werden.
  • In Übereinstimmung mit den Sicherheits- und Compliancestandards von Defender für Endpunkt werden Ihre Daten in Übereinstimmung mit dem physischen Standort Ihres Mandanten verarbeitet und gespeichert. Basierend auf dem Clientstandort kann der Datenverkehr durch eine der zugeordneten IP-Regionen fließen (die Azure-Rechenzentrumsregionen entsprechen). Weitere Informationen finden Sie unter Datenspeicherung und Datenschutz.

Microsoft Monitoring Agent (MMA): zusätzliche Proxy- und Firewallanforderungen für ältere Versionen von Windows-Client oder Windows Server

Die folgenden Ziele sind erforderlich, um die Defender für Endpunkt-Kommunikation über den Log Analytics-Agent (häufig als Microsoft Monitoring Agent bezeichnet) unter Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2 zu ermöglichen.

Agent-Ressource Ports Richtung HTTPS-Inspektion umgehen
*.ods.opinsights.azure.com Port 443 Ausgehend Ja
*.oms.opinsights.azure.com Port 443 Ausgehend Ja
*.blob.core.windows.net Port 443 Ausgehend Ja
*.azure-automation.net Port 443 Ausgehend Ja

Informationen zum Ermitteln der genauen Ziele, die für Ihr Abonnement innerhalb der oben aufgeführten Domänen verwendet werden, finden Sie unter Microsoft Monitoring Agent (MMA) Service URL Connections (Microsoft Monitoring Agent).

Hinweis

Dienste, die MMA-basierte Lösungen verwenden, können die neue optimierte Konnektivitätslösung (konsolidierte URL und Option zur Verwendung statischer IP-Adressen) nicht nutzen. Für Windows Server 2016 und Windows Server 2012 R2 müssen Sie auf die neue einheitliche Lösung aktualisieren. Anweisungen zum Onboarding dieser Betriebssysteme mit der neuen einheitlichen Lösung finden Sie unter Onboarding von Windows-Servern oder Migrieren von bereits integrierten Geräten zur neuen einheitlichen Lösung unter Servermigrationsszenarien in Microsoft Defender for Endpoint.

Für Geräte ohne Internetzugriff / ohne Proxy

Für Geräte ohne direkte Internetverbindung wird die Verwendung einer Proxylösung empfohlen. In bestimmten Fällen können Sie Firewall- oder Gatewaygeräte verwenden, die den Zugriff auf IP-Bereiche zulassen. Weitere Informationen finden Sie unter Optimierte Gerätekonnektivität.

Wichtig

  • Microsoft Defender for Endpoint ist eine Cloudsicherheitslösung. "Onboarding von Geräten ohne Internetzugriff" bedeutet, dass der Internetzugriff für die Endpunkte über einen Proxy oder ein anderes Netzwerkgerät konfiguriert werden muss, und die DNS-Auflösung ist immer erforderlich. Microsoft Defender for Endpoint unterstützt keine Endpunkte ohne direkte oder proxybasierte Konnektivität mit den Defender-Clouddiensten. Eine systemweite Proxykonfiguration wird empfohlen.
  • Windows oder Windows Server in nicht verbundenen Umgebungen müssen in der Lage sein, die Zertifikatvertrauensstellung Listen offline über eine interne Datei oder einen Webserver zu aktualisieren.
  • Weitere Informationen zum Offlineupdate von CTLs finden Sie unter Konfigurieren einer Datei oder eines Webservers zum Herunterladen der CTL-Dateien.

Nächster Schritt

SCHRITT 2: Konfigurieren Sie Ihre Geräte so, dass sie mithilfe eines Proxys eine Verbindung mit dem Defender für Endpunkt-Dienst herstellen.