Incorporación de dispositivos mediante conectividad simplificada para Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Nota:
El método de incorporación simplificada está actualmente en versión preliminar pública. Asegúrese de revisar los requisitos previos para confirmar los requisitos y los sistemas operativos compatibles.
El servicio Microsoft Defender para punto de conexión puede requerir el uso de configuraciones de proxy para notificar datos de diagnóstico y comunicar datos al servicio. Antes de la disponibilidad del método de conectividad optimizado, se requerían otras direcciones URL y no se admitían los intervalos IP estáticos de Defender para punto de conexión. Para obtener más información sobre los procesos de conectividad MDE completos, consulte PASO 1: Configurar el entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión.
En este artículo se describe el método optimizado de conectividad de dispositivos y cómo incorporar nuevos dispositivos para usar una implementación y administración más sencillas de los servicios de conectividad en la nube de Defender para punto de conexión. Para obtener más información sobre la migración de dispositivos incorporados anteriormente, consulte Migración de dispositivos a conectividad simplificada.
Para simplificar la administración y la configuración de red, ahora tiene la opción de incorporar dispositivos a Defender para punto de conexión mediante un conjunto de direcciones URL reducido o intervalos IP estáticos. Consulte la lista de direcciones URL simplificada.
El dominio simplificado reconocido por Defender para punto de conexión: *.endpoint.security.microsoft.com reemplaza los siguientes servicios básicos de Defender para punto de conexión:
- Protección en la nube/MAPS
- Almacenamiento de envío de ejemplo de malware
- Almacenamiento de ejemplo de IR automático
- Control de & de comandos de Defender para punto de conexión
- EDR Cyberdata
Para admitir dispositivos de red sin resolución de nombre de host o compatibilidad con caracteres comodín, también puede configurar la conectividad mediante intervalos IP estáticos de Defender para punto de conexión dedicados. Para obtener más información, consulte Configuración de la conectividad mediante intervalos IP estáticos.
Nota:
El método de conectividad simplificado no cambiará la Microsoft Defender para punto de conexión funciones en un dispositivo ni cambiará la experiencia del usuario final. Solo cambiarán las direcciones URL o direcciones IP que usa un dispositivo para conectarse al servicio.
Importante
Limitaciones de la versión preliminar y problemas conocidos:
- La conectividad simplificada no admite la incorporación a través de la API (incluye Microsoft Defender para la nube y Intune).
- Este método de incorporación tiene requisitos previos específicos que no se aplican al método de incorporación estándar.
Servicios consolidados
Las siguientes direcciones URL de Defender para punto de conexión consolidadas en el dominio simplificado ya no deben ser necesarias para la conectividad si *.endpoint.security.microsoft.com se permite y los dispositivos se incorporan mediante el paquete de incorporación optimizado. Tendrá que mantener la conectividad con otros servicios necesarios no consolidados que sean relevantes para su organización (por ejemplo, CRL, SmartScreen/Network Protection y WNS).
Para obtener la lista actualizada de direcciones URL necesarias, consulte Descargar la hoja de cálculo aquí.
Importante
Si va a configurar mediante intervalos IP, deberá configurar por separado el servicio cyberdata de EDR. Este servicio no se consolida en un nivel de IP. Consulte la sección siguiente para obtener más detalles.
| Categoría | Direcciones URL consolidadas |
|---|---|
| MAPS: protección entregada en la nube | *.wdcp.microsoft.com *.wd.microsoft.com |
| Protección en la nube & actualizaciones de inteligencia de seguridad para macOS y Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| Almacenamiento de envío de ejemplo de malware | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Almacenamiento de ejemplo de Ir automático de Defender para punto de conexión | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Comando y control de Defender para punto de conexión | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Antes de empezar
Los dispositivos deben cumplir requisitos previos específicos para usar el método de conectividad optimizado para Defender para punto de conexión. Asegúrese de que se cumplen los requisitos previos antes de continuar con la incorporación.
Requisitos previos
Licencia:
- plan 1 de Microsoft Defender para punto de conexión
- plan 2 de Microsoft Defender para punto de conexión
- Microsoft Defender para Empresas
- Administración de vulnerabilidades de Microsoft Defender
Actualización mínima de KB (Windows)
- Versión de SENSE: 10.8040.*/ 8 de marzo de 2022 o posterior (consulte la tabla)
versiones Microsoft Defender Antivirus (Windows)
- Cliente antimalware: 4.18.2211.5
- Motor: 1.1.19900.2
- Antivirus (Inteligencia de seguridad): 1.391.345.0
Versiones del antivirus de Defender (macOS/Linux)
- Versiones compatibles con macOS con MDE versión del producto 101.24022.*+
- Versiones compatibles con Linux con MDE versión del producto 101.24022.*+
Sistemas operativos compatibles
- Windows 10 versión 1809 o posterior
- Windows 10 versiones 1607, 1703, 1709 y 1803 se admiten en el paquete de incorporación simplificada, pero requieren una lista de direcciones URL diferente, consulte la hoja de direcciones URL simplificada.
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, solución unificada moderna de Defender para punto de conexión totalmente actualizada (instalación mediante MSI).
- Versiones compatibles con macOS con MDE versión del producto 101.24022.*+
- Versiones compatibles con Linux con MDE versión del producto 101.24022.*+
Importante
- Los dispositivos que se ejecutan en el agente MMA no se admiten en el método de conectividad optimizado y tendrán que seguir usando el conjunto de direcciones URL estándar (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 no actualizado al agente unificado moderno).
- Windows Server 2012 R2 y Server 2016 R2 tendrán que actualizarse al agente unificado para aprovechar el nuevo método.
- Windows 10 1607, 1703, 1709, 1803 puede aprovechar la nueva opción de incorporación, pero usará una lista más larga. Para obtener más información, consulte hoja de direcciones URL simplificadas.
| Sistema operativo Windows | Kb mínimo requerido (8 de marzo de 2022) |
|---|---|
| Windows 11 | KB5011493 (8 de marzo de 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8 de marzo de 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8 de marzo de 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8 de marzo de 2022) |
| Windows 10 22H2 | KB5020953 (28 de octubre de 2022) |
| Windows 10 1803* | < fin del servicio > |
| Windows 10 1709* | < fin del servicio > |
| Windows Server 2022 | KB5011497 (8 de marzo de 2022) |
| Windows Server 2012 R2, 2016* | Agente unificado |
| Windows Server 2016 R2 | Agente unificado |
Proceso de conectividad optimizado
En la ilustración siguiente se muestra el proceso de conectividad optimizado y las fases correspondientes:
Fase 1. Configuración del entorno de red para la conectividad en la nube
Una vez que confirme que se cumplen los requisitos previos, asegúrese de que el entorno de red está configurado correctamente para admitir el método de conectividad optimizado. Con el método simplificado (versión preliminar), siga los pasos descritos en Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión.
Los servicios de Defender para punto de conexión consolidados en el método simplificado ya no deben ser necesarios para la conectividad. Sin embargo, algunas direcciones URL no se incluyen en la consolidación.
La conectividad simplificada permite usar la siguiente opción para configurar la conectividad en la nube:
Opción 1: Configurar la conectividad mediante el dominio simplificado
Configure el entorno para permitir conexiones con el dominio simplificado de Defender para punto de conexión: *.endpoint.security.microsoft.com. Para obtener más información, consulte Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión.
Debe mantener la conectividad con los servicios necesarios restantes que aparecen en la lista actualizada. Por ejemplo, Lista de revocación de certificación, Windows Update, SmartScreen.
Opción 2: Configurar la conectividad mediante intervalos IP estáticos
Con una conectividad simplificada, las soluciones basadas en IP se pueden usar como alternativa a las direcciones URL. Estas direcciones IP cubren los siguientes servicios:
- MAPAS
- Almacenamiento de envío de ejemplo de malware
- Almacenamiento de ejemplo de IR automático
- Comando y control de Defender para punto de conexión
Importante
El servicio de datos EDR Cyber debe configurarse por separado si usa el método IP (este servicio solo se consolida en un nivel de dirección URL). También debe mantener la conectividad con otros servicios necesarios, como SmartScreen, CRL, Windows Update y otros servicios.
Para mantenerse al día sobre los intervalos IP, se recomienda hacer referencia a las siguientes etiquetas de servicio de Azure para Microsoft Defender para punto de conexión servicios. Los intervalos IP más recientes siempre se encontrarán en la etiqueta de servicio. Para más información, consulte Intervalos IP de Azure.
| Nombre de etiqueta de servicio | Servicios de Defender para punto de conexión incluidos |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, Almacenamiento de envío de ejemplo de malware, Almacenamiento de ejemplo de Auto-IR, Comando y Control. |
| OneDsCollector | EDR Cyberdata Nota: El tráfico de esta etiqueta de servicio no se limita a Defender para punto de conexión y puede incluir tráfico de datos de diagnóstico para otros servicios de Microsoft. |
En la tabla siguiente se enumeran los intervalos IP estáticos actuales. Para obtener la lista más reciente, consulte las etiquetas de servicio de Azure.
| Geo | Intervalos IP |
|---|---|
| EE. UU. | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| UE | 4.208.13.0/24 20.8.195.0/24 |
| Reino Unido | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Importante
En cumplimiento con los estándares de cumplimiento y seguridad de Defender para punto de conexión, los datos se procesarán y almacenarán de acuerdo con la ubicación física del inquilino. En función de la ubicación del cliente, el tráfico puede fluir a través de cualquiera de estas regiones IP (que corresponden a las regiones del centro de datos de Azure). Para obtener más información, consulte Almacenamiento de datos y privacidad.
Fase 2. Configuración de los dispositivos para conectarse al servicio Defender para punto de conexión
Configure los dispositivos para que se comuniquen a través de la infraestructura de conectividad. Asegúrese de que los dispositivos cumplen los requisitos previos y que han actualizado las versiones del antivirus de Microsoft Defender y sensor. Para obtener más información, vea Configurar el proxy de dispositivo y las opciones de conexión a Internet .
Fase 3. Comprobación de la preonboarding de conectividad de cliente
Para obtener más información, consulte Comprobación de la conectividad de cliente.
Las siguientes comprobaciones de preonboarding se pueden ejecutar en Windows y Xplat MDE Analizador de cliente: Descargue el analizador de cliente de Microsoft Defender para punto de conexión.
Para probar la conectividad simplificada para los dispositivos que aún no están incorporados a Defender para punto de conexión, puede usar el Analizador de cliente para Windows mediante los siguientes comandos:
Ejecute
mdeclientanalyzer.cmd -o <path to cmd file>desde dentro de la carpeta MDEClientAnalyzer. El comando usa parámetros del paquete de incorporación para probar la conectividad.Ejecute
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, donde el parámetro es de GW_US, GW_EU, GW_UK. GW hace referencia a la opción simplificada. Ejecute con la geoárea de inquilino aplicable.
Como comprobación complementaria, también puede usar el analizador de cliente para probar si un dispositivo cumple los requisitos previos: https://aka.ms/BetaMDEAnalyzer
Nota:
En el caso de los dispositivos que aún no se han incorporado a Defender para punto de conexión, el analizador de cliente probará con un conjunto estándar de direcciones URL. Para probar el enfoque simplificado, tendrá que ejecutar con los modificadores enumerados anteriormente en este artículo.
Fase 4. Aplicación del nuevo paquete de incorporación necesario para una conectividad simplificada
Una vez configurada la red para comunicarse con la lista completa de servicios, puede empezar a incorporar dispositivos mediante el método simplificado. Tenga en cuenta que la incorporación a través de la API no se admite actualmente (incluye Intune & Microsoft Defender para la nube).
Antes de continuar, confirme que los dispositivos cumplen los requisitos previos y que han actualizado el sensor y Microsoft Defender versiones antivirus.
Para obtener el nuevo paquete, en Microsoft Defender XDR, seleccione Configuración > Puntos de conexión > Administración de> dispositivos Incorporación.
Seleccione el sistema operativo aplicable y elija "Simplificado (versión preliminar)" en el menú desplegable Tipo de conectividad.
Para los nuevos dispositivos (no incorporados a Defender para punto de conexión) compatibles con este método, siga los pasos de incorporación de las secciones anteriores mediante el paquete incorporado actualizado con el método de implementación preferido:
- Incorporación del cliente de Windows
- Incorporación de Windows Server
- Incorporar dispositivos que no tienen Windows
- Ejecute una prueba de detección en un dispositivo para comprobar que se ha incorporado correctamente a Microsoft Defender para punto de conexión
Excluir dispositivos de cualquier directiva de incorporación existente que use el paquete de incorporación estándar.
Para migrar dispositivos ya incorporados a Defender para punto de conexión, consulte Migración de dispositivos a la conectividad simplificada. Debe reiniciar el dispositivo y seguir instrucciones específicas aquí.
Cuando esté listo para establecer el paquete de incorporación predeterminado en simplificado, puede activar la siguiente configuración de características avanzadas en el portal de Microsoft Defender (Configuración > De puntos de conexión características avanzadas>).
Nota:
Antes de continuar con esta opción, valide que el entorno está listo y que todos los dispositivos cumplen los requisitos previos.
Esta configuración establece el paquete de incorporación predeterminado en "simplificado" para los sistemas operativos aplicables. Todavía puede usar el paquete de incorporación estándar dentro de la página de incorporación, pero debe seleccionarlo específicamente en la lista desplegable.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de