PASO 1: Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Antes de incorporar dispositivos a Defender para punto de conexión, asegúrese de que la red está configurada para conectarse al servicio. El primer paso de este proceso implica agregar direcciones URL a la lista de dominios permitidos si el servidor proxy o las reglas de firewall impiden el acceso a Defender para punto de conexión. En este artículo también se incluye información sobre los requisitos de proxy y firewall para versiones anteriores del cliente Windows y Windows Server.
Nota:
- Después del 8 de mayo de 2024, tiene la opción de mantener la conectividad simplificada (conjunto consolidado de direcciones URL) como método de incorporación predeterminado o cambiar a la conectividad estándar a través de (Configuración > de puntos de conexión características avanzadas>). Para la incorporación a través de Intune o Microsoft Defender for Cloud, debe activar la opción pertinente. Los dispositivos ya incorporados no se vuelven a incorporar automáticamente. En tales casos, cree una nueva directiva en Intune, donde se recomienda asignar primero la directiva a un conjunto de dispositivos de prueba para comprobar que la conectividad se realiza correctamente y, a continuación, expandir la audiencia. Los dispositivos de Defender for Cloud se pueden volver a incorporar mediante el script de incorporación pertinente, mientras que los dispositivos recién incorporados recibirán automáticamente la incorporación simplificada.
- El nuevo dominio consolidado *.endpoint.security.microsoft.com debe ser accesible para todos los dispositivos, para la funcionalidad actual y futura, independientemente de si sigue usando la conectividad estándar.
- Las nuevas regiones tendrán como valor predeterminado la conectividad simplificada y no tendrán la opción de cambiar a Estándar. Obtenga más información en Incorporación de dispositivos mediante conectividad simplificada para Microsoft Defender para punto de conexión.
Habilitación del acceso a las direcciones URL del servicio Microsoft Defender para punto de conexión en el servidor proxy
En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas a las que los dispositivos de la red deben poder conectarse. Asegúrese de que no hay reglas de filtrado de red ni de firewall para denegar el acceso a estas direcciones URL. Opcionalmente, es posible que tenga que crear una regla de permiso específicamente para ellos.
| Hoja de cálculo de la lista de dominios | Description |
|---|---|
| Lista de direcciones URL consolidadas de Microsoft Defender para punto de conexión (simplificada) | Hoja de cálculo de direcciones URL consolidadas. Descargue la hoja de cálculo aquí. Sistema operativo aplicable: Para obtener una lista completa, consulte Conectividad simplificada. - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2, Windows Server 2016 R2 que ejecuta la solución unificada moderna defender para punto de conexión (requiere la instalación a través de MSI). - Versiones compatibles con macOS que ejecutan 101.23102.* + - Versiones compatibles con Linux que ejecutan 101.23102.* + Versiones mínimas de componentes: - Cliente antimalware: 4.18.2211.5 - Motor: 1.1.19900.2 - Inteligencia de seguridad: 1.391.345.0 - Versión Xplat: 101.23102.* + - Versión del sensor/ KB: >10.8040.*/ 8 de marzo de 2022+ Si va a mover dispositivos incorporados anteriormente al enfoque simplificado, consulte Migración de conectividad de dispositivos Las versiones 1607, 1703, 1709, 1803 (RS1-RS4) de Windows 10 se admiten a través del paquete de incorporación simplificada, pero requieren una lista de direcciones URL más larga (consulte la hoja de direcciones URL actualizadas). Estas versiones no admiten la reonboarding (primero deben estar completamente fuera de la placa). Los dispositivos que se ejecutan en Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Servidores no actualizados al Agente unificado (MMA) deben seguir usando el método de incorporación de MMA. |
| Lista de direcciones URL de Microsoft Defender para punto de conexión para clientes comerciales (estándar) | Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales. Descargue la hoja de cálculo aquí. El plan 1 y el plan 2 de Microsoft Defender para punto de conexión comparten las mismas direcciones URL del servicio proxy. En el firewall, abra todas las direcciones URL donde la columna geography es WW. Para las filas en las que la columna geography no es WW, abra las direcciones URL a la ubicación de datos específica. Para comprobar la configuración de ubicación de datos, consulte Comprobación de la ubicación de almacenamiento de datos y actualización de la configuración de retención de datos para Microsoft Defender para punto de conexión. No excluya la dirección URL |
| Lista de direcciones URL de Microsoft Defender para punto de conexión para Gov/GCC/DoD | Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD. Descargue la hoja de cálculo aquí. |
Importante
- Las conexiones se realizan desde el contexto del sistema operativo o los servicios cliente de Defender y, como tal, los servidores proxy no deben requerir autenticación para estos destinos ni realizar una inspección (examen HTTPS/inspección SSL) que interrumpa el canal seguro.
- Microsoft no proporciona un servidor proxy. Estas direcciones URL son accesibles a través del servidor proxy que configure.
- En cumplimiento con los estándares de cumplimiento y seguridad de Defender para punto de conexión, los datos se procesarán y almacenarán de acuerdo con la ubicación física del inquilino. En función de la ubicación del cliente, el tráfico puede fluir a través de cualquiera de las regiones IP asociadas (que corresponden a las regiones del centro de datos de Azure). Para obtener más información, consulte Almacenamiento de datos y privacidad.
Microsoft Monitoring Agent (MMA): requisitos adicionales de proxy y firewall para versiones anteriores del cliente Windows o Windows Server
Los siguientes destinos son necesarios para permitir las comunicaciones de Defender para punto de conexión a través del agente de Log Analytics (a menudo denominado Microsoft Monitoring Agent) en Windows 7 SP1, Windows 8.1 y Windows Server 2008 R2.
| Recurso del agente | Puertos | Dirección | Omitir la inspección HTTP |
|---|---|---|---|
*.ods.opinsights.azure.com |
Puerto 443 | Salida | Yes |
*.oms.opinsights.azure.com |
Puerto 443 | Salida | Yes |
*.blob.core.windows.net |
Puerto 443 | Salida | Yes |
*.azure-automation.net |
Puerto 443 | Salida | Yes |
Para determinar los destinos exactos que se usan para su suscripción dentro de los dominios enumerados anteriormente, consulte Conexiones de dirección URL del servicio Microsoft Monitoring Agent (MMA).
Nota:
Los servicios que usan soluciones basadas en MMA no pueden aprovechar la nueva solución de conectividad simplificada (dirección URL consolidada y opción para usar direcciones IP estáticas). Para Windows Server 2016 y Windows Server 2012 R2, deberá actualizar a la nueva solución unificada. Las instrucciones para incorporar estos sistemas operativos con la nueva solución unificada se encuentran en Incorporación de servidores Windows o migración de dispositivos ya incorporados a la nueva solución unificada en escenarios de migración del servidor en Microsoft Defender para punto de conexión.
Para dispositivos sin acceso a Internet o sin proxy
Para los dispositivos sin conexión directa a Internet, el uso de una solución de proxy es el enfoque recomendado. En casos específicos, puede usar dispositivos de firewall o puerta de enlace que permitan el acceso a intervalos IP. Para obtener más información, consulte: Conectividad simplificada de dispositivos.
Importante
- Microsoft Defender para punto de conexión es una solución de seguridad en la nube. "Incorporar dispositivos sin acceso a Internet" significa que el acceso a Internet para los puntos de conexión debe configurarse a través de un proxy u otro dispositivo de red, y siempre se requiere la resolución DNS. Microsoft Defender para punto de conexión no admite puntos de conexión sin conectividad directa o proxy con los servicios en la nube de Defender. Se recomienda una configuración de proxy de todo el sistema.
- Windows o Windows Server en entornos desconectados deben poder actualizar listas de confianza de certificados sin conexión a través de un archivo interno o servidor web.
- Para obtener más información sobre cómo actualizar las CTL sin conexión, consulte Configuración de un archivo o servidor web para descargar los archivos CTL.
Paso siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de