Onboarding von Geräten mit optimierter Konnektivität für Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Der Microsoft Defender for Endpoint-Dienst kann die Verwendung von Proxykonfigurationen erfordern, um Diagnosedaten zu melden und Daten an den Dienst zu übermitteln. Vor der Verfügbarkeit der optimierten Verbindungsmethode waren andere URLs erforderlich, und statische IP-Bereiche von Defender für Endpunkt wurden nicht unterstützt. Weitere Informationen zur Vorbereitung Ihrer Umgebung finden Sie unter SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit dem Defender für Endpunkt-Dienst.
In diesem Artikel werden die optimierte Gerätekonnektivitätsmethode und das Onboarding neuer Geräte beschrieben, um eine einfachere Bereitstellung und Verwaltung von Cloudkonnektivitätsdiensten von Defender für Endpunkt zu verwenden. Weitere Informationen zum Migrieren von zuvor integrierten Geräten finden Sie unter Migrieren von Geräten zu optimierter Konnektivität.
Um die Netzwerkkonfiguration und -verwaltung zu vereinfachen, haben Sie jetzt die Möglichkeit, Geräte mithilfe eines reduzierten URL-Satzes oder statischer IP-Adressbereiche in Defender für Endpunkt zu integrieren. Weitere Informationen finden Sie in der Optimierten URL-Liste.
Die von Defender für Endpunkt anerkannte vereinfachte Domäne ersetzt *.endpoint.security.microsoft.com die folgenden Defender für Endpunkt-Kerndienste:
- Cloudschutz/MAPS
- Übermittlungsspeicher für Schadsoftwarebeispiele
- Auto-IR-Beispielspeicher
- Defender for Endpoint Command & Control
- EDR-Cyberdaten
Um Netzwerkgeräte ohne Hostnamenauflösung oder Wildcardunterstützung zu unterstützen, können Sie die Konnektivität alternativ mit dedizierten statischen Defender für Endpunkt-IP-Adressbereichen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Konnektivität mit statischen IP-Adressbereichen.
Hinweis
- Die optimierte Konnektivitätsmethode ändert weder die Funktionsweise Microsoft Defender for Endpoint auf einem Gerät noch die Endbenutzererfahrung. Nur die URLs oder IP-Adressen, die ein Gerät zum Herstellen einer Verbindung mit dem Dienst verwendet, ändern sich.
- Es ist derzeit nicht geplant, die alten, konsolidierten Dienst-URLs als veraltet zu kennzeichnen. Geräte, die mit "Standard"-Konnektivität integriert sind, funktionieren weiterhin. Es ist wichtig sicherzustellen, dass die Konnektivität mit
*.endpoint.security.microsoft.commöglich ist und bleibt, da zukünftige Dienste dies erfordern. Diese neue URL ist in allen erforderlichen URL-Listen enthalten.
Konsolidierte Dienste
Die folgenden Defender für Endpunkt-URLs, die unter der vereinfachten Domäne konsolidiert sind, sollten für die Konnektivität nicht mehr erforderlich sein, wenn *.endpoint.security.microsoft.com dies zulässig ist und Geräte mithilfe des optimierten Onboardingpakets integriert werden. Sie müssen die Konnektivität mit anderen erforderlichen Diensten aufrechterhalten, die nicht konsolidiert sind und für Ihre organization relevant sind (z. B. CRL, SmartScreen/Netzwerkschutz und Windows Update).
Die aktualisierte Liste der erforderlichen URLs finden Sie unter SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit dem Defender für Endpunkt-Dienst.
Wichtig
Wenn Sie ip-Adressbereiche konfigurieren, müssen Sie den EDR-Cyberdatendienst separat konfigurieren. Dieser Dienst ist nicht auf IP-Ebene konsolidiert.
| Kategorie | Konsolidierte URLs |
|---|---|
| MAPS: Von der Cloud bereitgestellter Schutz | *.wdcp.microsoft.com *.wd.microsoft.com |
| cloud protection & Security Intelligence-Updates für macOS und Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| Übermittlungsspeicher für Schadsoftwarebeispiele | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Defender für Endpunkt– Auto-IR-Beispielspeicher | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Befehl und Steuerung von Defender für Endpunkt | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR-Cyberdaten | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Bevor Sie beginnen:
Geräte müssen bestimmte Voraussetzungen erfüllen, um die optimierte Konnektivitätsmethode für Defender für Endpunkt verwenden zu können. Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie mit dem Onboarding fortfahren.
Voraussetzungen
Lizenz:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender für Unternehmen
- Microsoft Defender Sicherheitsrisikomanagement
Minimales KB-Update (Windows)
- SENSE-Version: 10.8040.*/ 8. März 2022 oder höher (siehe Tabelle)
Microsoft Defender Antivirus-Versionen (Windows)
- Antischadsoftware-Client:
4.18.2211.5 - Motor:
1.1.19900.2 - Antivirus (Security Intelligence):
1.391.345.0
Defender Antivirus-Versionen (macOS/Linux)
- macOS-unterstützte Versionen mit MDE Produktversion 101.24022.*+
- Von Linux unterstützte Versionen mit MDE Produktversion 101.24022.*+
Unterstützte Betriebssysteme
- Windows 10 Version 1809 oder höher. Windows 10 Versionen 1607, 1703, 1709, 1803 werden für das optimierte Onboardingpaket unterstützt, erfordern jedoch eine andere URL-Liste. Weitere Informationen finden Sie im Blatt zu optimierten URLs.
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 oder Windows Server 2016, vollständig aktualisiert, die moderne einheitliche Defender für Endpunkt-Lösung (Installation über MSI) ausführt.
- macOS-unterstützte Versionen mit MDE Produktversion 101.24022.*+
- Von Linux unterstützte Versionen mit MDE Produktversion 101.24022.*+
Wichtig
- Geräte, die auf dem MMA-Agent ausgeführt werden, werden bei der optimierten Konnektivitätsmethode nicht unterstützt und müssen weiterhin den Standard-URL-Satz verwenden (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 nicht auf modernen einheitlichen Agent aktualisiert).
- Windows Server 2012 R2 und Server 2016 müssen auf den einheitlichen Agent aktualisiert werden, um die neue Methode nutzen zu können.
- Windows 10 1607, 1703, 1709, 1803 können die neue Onboardingoption nutzen, verwenden jedoch eine längere Liste. Weitere Informationen finden Sie im Blatt "Optimierte URL".
| Windows-Betriebssystem | Mindestens erforderliche KB (8. März 2022) |
|---|---|
| Windows 11 | KB5011493 (8. März 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8. März 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8. März 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8. März 2022) |
| Windows 10 22H2 | KB5020953 (28. Oktober 2022) |
| Windows 10 1803* | < Ende des Diensts > |
| Windows 10 1709* | < Ende des Diensts > |
| Windows Server 2022 | KB5011497 (8. März 2022) |
| Windows Server 2012 R2, 2016* | Einheitlicher Agent |
Optimierter Konnektivitätsprozess
Die folgende Abbildung zeigt den optimierten Konnektivitätsprozess und die entsprechenden Phasen:
Phase 1. Konfigurieren Ihrer Netzwerkumgebung für Cloudkonnektivität
Nachdem Sie sich vergewissert haben, dass die Voraussetzungen erfüllt sind, stellen Sie sicher, dass Ihre Netzwerkumgebung ordnungsgemäß für die Unterstützung der optimierten Konnektivitätsmethode konfiguriert ist. Führen Sie die unter Konfigurieren Ihrer Netzwerkumgebung beschriebenen Schritte aus, um die Konnektivität mit dem Defender für Endpunkt-Dienst sicherzustellen.
Defender für Endpunkt-Dienst-URLs, die unter einer vereinfachten Domäne konsolidiert wurden, sollten für die Konnektivität nicht mehr erforderlich sein. Einige URLs sind jedoch nicht in der Konsolidierung enthalten.
Mit der optimierten Konnektivität können Sie die folgende Option verwenden, um die Cloudkonnektivität zu konfigurieren:
Option 1: Konfigurieren der Konnektivität mithilfe der vereinfachten Domäne
Konfigurieren Sie Ihre Umgebung so, dass Verbindungen mit der vereinfachten Defender für Endpunkt-Domäne zugelassen werden: *.endpoint.security.microsoft.com. Weitere Informationen finden Sie unter Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit dem Defender für Endpunkt-Dienst.
Sie müssen die Konnektivität mit den verbleibenden erforderlichen Diensten aufrechterhalten, die in der aktualisierten Liste aufgeführt sind. Beispiel: Zertifizierungssperrliste, Windows Update, SmartScreen.
Option 2: Konfigurieren der Konnektivität mit statischen IP-Adressbereichen
Dank optimierter Konnektivität können IP-basierte Lösungen als Alternative zu URLs verwendet werden. Diese IP-Adressen decken die folgenden Dienste ab:
- KARTEN
- Übermittlungsspeicher für Schadsoftwarebeispiele
- Auto-IR-Beispielspeicher
- Befehl und Steuerung von Defender für Endpunkt
Wichtig
Der EDR Cyber-Datendienst muss separat konfiguriert werden, wenn Sie die IP-Methode verwenden (dieser Dienst wird nur auf URL-Ebene konsolidiert). Sie müssen auch die Konnektivität mit anderen erforderlichen Diensten wie SmartScreen, CRL, Windows Update und anderen Diensten aufrechterhalten.
Um über IP-Bereiche auf dem neuesten Stand zu bleiben, wird empfohlen, die folgenden Azure-Diensttags für Microsoft Defender for Endpoint-Dienste zu verwenden. Die neuesten IP-Adressbereiche finden Sie im Diensttag. Weitere Informationen finden Sie unter Azure-IP-Adressbereiche.
| Diensttagname | Defender für Endpunkt-Dienste enthalten |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, Malware Sample Submission Storage, Auto-IR Sample Storage, Command and Control. |
| OneDsCollector | EDR-Cyberdaten Hinweis: Der Datenverkehr unter diesem Diensttag ist nicht auf Defender für Endpunkt beschränkt und kann Diagnosedatenverkehr für andere Microsoft-Dienste enthalten. |
In der folgenden Tabelle sind die aktuellen statischen IP-Adressbereiche aufgeführt. Eine aktuelle Liste finden Sie unter Azure-Diensttags.
| Standort | IP-Adressbereiche |
|---|---|
| US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| GB | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Wichtig
In Übereinstimmung mit den Sicherheits- und Compliancestandards von Defender für Endpunkt werden Ihre Daten in Übereinstimmung mit dem physischen Standort Ihres Mandanten verarbeitet und gespeichert. Basierend auf dem Clientstandort kann der Datenverkehr durch eine dieser IP-Regionen fließen (die Azure-Rechenzentrumsregionen entsprechen). Weitere Informationen finden Sie unter Datenspeicherung und Datenschutz.
Phase 2. Konfigurieren Ihrer Geräte für die Verbindung mit dem Defender für Endpunkt-Dienst
Konfigurieren Sie Geräte für die Kommunikation über Ihre Konnektivitätsinfrastruktur. Stellen Sie sicher, dass Geräte die Voraussetzungen erfüllen und über aktualisierte Sensor- und Microsoft Defender Antivirus-Versionen verfügen. Weitere Informationen finden Sie unter Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen .
Phase 3. Überprüfen des Vorabboardings der Clientkonnektivität
Weitere Informationen finden Sie unter Überprüfen der Clientkonnektivität.
Die folgenden Vorabboardingprüfungen können sowohl unter Windows als auch auf Xplat MDE Client Analyzer ausgeführt werden: Laden Sie die Microsoft Defender for Endpoint Clientanalyse herunter.
Um die optimierte Konnektivität für Geräte zu testen, die noch nicht in Defender für Endpunkt integriert sind, können Sie client Analyzer für Windows mit den folgenden Befehlen verwenden:
Führen Sie
mdeclientanalyzer.cmd -o <path to cmd file>im Ordner MDEClientAnalyzer aus. Der Befehl verwendet Parameter aus dem Onboardingpaket, um die Konnektivität zu testen.Führen Sie aus
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, wobei parameter von GW_US, GW_EU GW_UK ist. GW bezieht sich auf die optimierte Option. Führen Sie mit dem entsprechenden geografischen Mandanten aus.
Als zusätzliche Überprüfung können Sie auch das Clientanalysetool verwenden, um zu testen, ob ein Gerät die Voraussetzungen erfüllt: https://aka.ms/BetaMDEAnalyzer
Hinweis
Für Geräte, die noch nicht in Defender für Endpunkt integriert sind, testet die Clientanalyse anhand von Standard-URLs. Um den optimierten Ansatz zu testen, müssen Sie mit den weiter oben in diesem Artikel aufgeführten Switches ausführen.
Phase 4. Anwenden des neuen Onboardingpakets, das für optimierte Konnektivität erforderlich ist
Nachdem Sie Ihr Netzwerk für die Kommunikation mit der vollständigen Liste der Dienste konfiguriert haben, können Sie mit dem Onboarding von Geräten mit der optimierten Methode beginnen.
Bevor Sie fortfahren, vergewissern Sie sich, dass Geräte die Voraussetzungen erfüllen und über aktualisierte Sensor- und Microsoft Defender Antivirus-Versionen verfügen.
Um das neue Paket zu erhalten, wählen Sie in Microsoft Defender XDR Einstellungen > Endpunkte > Geräteverwaltung> Onboarding aus.
Wählen Sie das entsprechende Betriebssystem aus, und wählen Sie im Dropdownmenü Konnektivitätstyp die Option "Optimiert" aus.
Führen Sie für neue Geräte (nicht in Defender für Endpunkt integriert) die unter dieser Methode unterstützten Onboardingschritte aus den vorherigen Abschnitten aus, indem Sie das aktualisierte integrierte Paket mit Ihrer bevorzugten Bereitstellungsmethode verwenden:
- Integrieren des Windows-Clients
- Integrieren von Windows Server
- Onboarding von Nicht-Windows-Geräten
- Führen Sie einen Erkennungstest auf einem Gerät aus, um zu überprüfen, ob es ordnungsgemäß in Microsoft Defender for Endpoint
- Schließen Sie Geräte aus allen vorhandenen Onboardingrichtlinien aus, die das Standardmäßige Onboardingpaket verwenden.
Informationen zum Migrieren von Geräten, die bereits in Defender für Endpunkt integriert sind, finden Sie unter Migrieren von Geräten zur optimierten Konnektivität. Sie müssen Ihr Gerät neu starten und die anweisungen hier befolgen.
Phase 5. Festlegen des Standard-Onboardingpakets auf optimierte Konnektivität
Wenn Sie bereit sind, das Standard-Onboardingpaket auf optimiert festzulegen, können Sie die folgende Einstellung für erweiterte Features im Microsoft Defender-Portal aktivieren (Einstellungen > Endpunkte > Erweiterte Features).
Diese Einstellung legt das Standard-Onboardingpaket für anwendbare Betriebssysteme auf "optimiert" fest. Sie können weiterhin das Standard-Onboardingpaket auf der Onboardingseite verwenden, müssen es jedoch in der Dropdownliste ausdrücklich auswählen.
Für das Onboarding über Intune & Microsoft Defender für Cloud müssen Sie die entsprechende Option aktivieren. Bereits integrierte Geräte werden nicht automatisch neu gestartet. Sie müssen eine neue Richtlinie in Intune erstellen. Es wird empfohlen, die Richtlinie zunächst einer Gruppe von Testgeräten zuzuweisen, um zu überprüfen, ob die Konnektivität erfolgreich ist, bevor die Zielgruppe erweitert wird. Geräte in Defender für Cloud können mithilfe des entsprechenden Onboardingskripts neu eingebunden werden.
Hinweis
- Nur Mandanten, die am oder vor dem 8. Mai 2024 erstellt wurden, haben die Möglichkeit, zwischen standardisierter und optimierter Konnektivität zu wechseln. Neuere Mandanten unterstützen nur optimierte Konnektivität.
- Bevor Sie mit dieser Option fortfahren, überprüfen Sie, ob Ihre Umgebung bereit ist und alle Geräte die Voraussetzungen erfüllen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für