Compartir vía


PASO 1: Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Antes de incorporar dispositivos a Defender for Endpoint, asegúrese de que la red está configurada para conectarse al servicio, ya que permite la conexión saliente y omite la inspección HTTPS de las direcciones URL del servicio. El primer paso de este proceso implica agregar direcciones URL a la lista de dominios permitidos si el servidor proxy o las reglas de firewall impiden el acceso a Defender para punto de conexión. En este artículo también se incluye información sobre los requisitos de proxy y firewall para versiones anteriores del cliente Windows y Windows Server.

Nota:

  • Después del 8 de mayo de 2024, tiene la opción de mantener la conectividad simplificada (conjunto consolidado de direcciones URL) como método de incorporación predeterminado o cambiar a la conectividad estándar a través de (Configuración > de puntos de conexión características avanzadas>). Para la incorporación a través de Intune o Microsoft Defender for Cloud, debe activar la opción correspondiente. Los dispositivos ya incorporados no se vuelven a incorporar automáticamente. En tales casos, cree una nueva directiva en Intune, donde se recomienda asignar primero la directiva a un conjunto de dispositivos de prueba para comprobar que la conectividad se realiza correctamente y, a continuación, expandir la audiencia. Los dispositivos de Defender for Cloud se pueden volver a incorporar mediante el script de incorporación pertinente, mientras que los dispositivos recién incorporados recibirán automáticamente la incorporación simplificada.
  • El nuevo dominio consolidado *.endpoint.security.microsoft.com debe ser accesible para todos los dispositivos, para la funcionalidad actual y futura, independientemente de si sigue usando la conectividad estándar.
  • Las nuevas regiones tendrán como valor predeterminado la conectividad simplificada y no tendrán la opción de cambiar a Estándar. Obtenga más información en Incorporación de dispositivos mediante conectividad simplificada para Microsoft Defender para punto de conexión.

Habilitación del acceso a direcciones URL de servicio de Microsoft Defender para punto de conexión en el servidor proxy

En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas a las que los dispositivos de la red deben poder conectarse. Asegúrese de que no hay reglas de filtrado de red ni de firewall para denegar el acceso a estas direcciones URL. Opcionalmente, es posible que tenga que crear una regla de permiso específicamente para ellos.

Hoja de cálculo de la lista de dominios Descripción
Microsoft Defender para punto de conexión lista de direcciones URL consolidadas (simplificada) Hoja de cálculo de direcciones URL consolidadas.
Descargue la hoja de cálculo aquí.

Sistema operativo aplicable:
Para obtener una lista completa, consulte Conectividad simplificada.
- Windows 10 1809+
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Windows Server 2016 R2 que ejecuta la solución unificada moderna de Defender para punto de conexión (requiere la instalación a través de MSI).
- Versiones compatibles con macOS que ejecutan 101.23102.* +
- Versiones compatibles con Linux que ejecutan 101.23102.* +

Versiones mínimas de componentes:
- Cliente antimalware: 4.18.2211.5
- Motor: 1.1.19900.2
- Inteligencia de seguridad: 1.391.345.0
- Versión Xplat: 101.23102.* +
- Versión del sensor/ KB: >10.8040.*/ 8 de marzo de 2022+

Si va a mover dispositivos incorporados anteriormente al enfoque simplificado, consulte Migración de conectividad de dispositivos

Windows 10 versiones 1607, 1703, 1709, 1803 (RS1-RS4) se admiten a través del paquete de incorporación simplificada, pero requieren una lista de direcciones URL más larga (consulte la hoja de direcciones URL actualizada). Estas versiones no admiten la reonboarding (primero deben estar completamente fuera de la placa).

Los dispositivos que se ejecutan en Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Servidores no actualizados al Agente unificado (MMA) deben seguir usando el método de incorporación de MMA.
Microsoft Defender para punto de conexión lista de direcciones URL para clientes comerciales (estándar) Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales.

Descargue la hoja de cálculo aquí.

Microsoft Defender para punto de conexión Plan 1 y Plan 2 comparten las mismas direcciones URL del servicio proxy. En el firewall, abra todas las direcciones URL donde la columna geography es WW. Para las filas en las que la columna geography no es WW, abra las direcciones URL a la ubicación de datos específica. Para comprobar la configuración de ubicación de datos, consulte Comprobación de la ubicación del almacenamiento de datos y actualización de la configuración de retención de datos para Microsoft Defender para punto de conexión. No excluya la dirección URL *.blob.core.windows.net de ningún tipo de inspección de red. En su lugar, excluya solo las direcciones URL de blob que son específicas de MDE y que aparecen en la lista de hojas de cálculo de dominios.

Microsoft Defender para punto de conexión lista de direcciones URL de Gov/GCC/DoD Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD.
Descargue la hoja de cálculo aquí.

Importante

  • Connections se realizan desde el contexto del sistema operativo o los servicios cliente de Defender y, como tal, los servidores proxy no deben requerir autenticación para estos destinos ni realizar una inspección (examen HTTPS o inspección SSL) que interrumpa el canal seguro.
  • Microsoft no proporciona un servidor proxy. Estas direcciones URL son accesibles a través del servidor proxy que configure.
  • En cumplimiento con los estándares de cumplimiento y seguridad de Defender para punto de conexión, los datos se procesarán y almacenarán de acuerdo con la ubicación física del inquilino. En función de la ubicación del cliente, el tráfico puede fluir a través de cualquiera de las regiones IP asociadas (que corresponden a las regiones del centro de datos de Azure). Para obtener más información, consulte Almacenamiento de datos y privacidad.

Microsoft Monitoring Agent (MMA): requisitos adicionales de proxy y firewall para versiones anteriores del cliente Windows o Windows Server

Los siguientes destinos son necesarios para permitir las comunicaciones de Defender para punto de conexión a través del agente de Log Analytics (a menudo denominado Microsoft Monitoring Agent) en Windows 7 SP1, Windows 8.1 y Windows Server 2008 R2.

Recurso del agente Puertos Dirección Omitir la inspección HTTP
*.ods.opinsights.azure.com Puerto 443 Salida Yes
*.oms.opinsights.azure.com Puerto 443 Salida Yes
*.blob.core.windows.net Puerto 443 Salida Yes
*.azure-automation.net Puerto 443 Salida Yes

Para determinar los destinos exactos que se usan para su suscripción dentro de los dominios enumerados anteriormente, consulte Conexiones de dirección URL del servicio Microsoft Monitoring Agent (MMA).

Nota:

Los servicios que usan soluciones basadas en MMA no pueden aprovechar la nueva solución de conectividad simplificada (dirección URL consolidada y opción para usar direcciones IP estáticas). Para Windows Server 2016 y Windows Server 2012 R2, deberá actualizar a la nueva solución unificada. Las instrucciones para incorporar estos sistemas operativos con la nueva solución unificada se encuentran en Incorporación de servidores Windows o migración de dispositivos ya incorporados a la nueva solución unificada en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

Para dispositivos sin acceso a Internet o sin proxy

Para los dispositivos sin conexión directa a Internet, el uso de una solución de proxy es el enfoque recomendado. En casos específicos, puede usar dispositivos de firewall o puerta de enlace que permitan el acceso a intervalos IP. Para obtener más información, consulte: Conectividad simplificada de dispositivos.

Importante

  • Microsoft Defender para punto de conexión es una solución de seguridad en la nube. "Incorporar dispositivos sin acceso a Internet" significa que el acceso a Internet para los puntos de conexión debe configurarse a través de un proxy u otro dispositivo de red, y siempre se requiere la resolución DNS. Microsoft Defender para punto de conexión no admite puntos de conexión sin conectividad directa o proxy con los servicios en la nube de Defender. Se recomienda una configuración de proxy de todo el sistema.
  • Windows o Windows Server en entornos desconectados deben poder actualizar la confianza del certificado Listas sin conexión a través de un archivo interno o servidor web.
  • Para obtener más información sobre cómo actualizar las CTL sin conexión, consulte Configuración de un archivo o servidor web para descargar los archivos CTL.

Paso siguiente

PASO 2: Configure los dispositivos para conectarse al servicio Defender para punto de conexión mediante un proxy.