VAIHE 1: Verkkoympäristön määrittäminen varmistamaan, että yhteys Defender for Endpoint -palveluun varmistetaan

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoversioon, joka voi erota huomattavasti tuotteen kaupallisesta julkaisuversiosta. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Varmista ennen laitteiden liittämistä Defender for Endpointiin, että verkkosi on määritetty muodostamaan yhteys palveluun. Tämän prosessin ensimmäisessä vaiheessa lisätään URL-osoitteet sallittujen toimialueiden luetteloon, jos välityspalvelimen tai palomuurin säännöt estävät Defender for Endpointin käytön. Tässä artikkelissa on myös tietoja välityspalvelimen ja palomuurin vaatimuksista Windows-asiakasohjelman ja Windows Serverin vanhemmille versioille.

Microsoft Defender for Endpoint palvelun URL-osoitteiden käytön ottaminen käyttöön välityspalvelimessa

Jos välityspalvelin tai palomuuri estää oletusarvoisesti kaiken liikenteen ja sallii vain tietyt toimialueet, lisää ladattavassa taulukossa luetellut toimialueet sallittujen toimialueiden luetteloon.

Seuraavassa ladattavassa laskentataulukossa luetellaan palvelut ja niihin liittyvät URL-osoitteet, jotka verkkosi on voitava yhdistää. Varmista, että palomuurin tai verkon suodatussääntöjä ei ole näiden URL-osoitteiden käytön estämistä varten. Vaihtoehtoisesti sinun on ehkä luotava käyttöoikeussääntö erityisesti niitä varten.

Huomautus

(Koskee julkista esikatselua)

• Osana esikatselua tietyt Defender for Endpoint -palvelut yhdistetään URL-osoitteen taakse: *.endpoint.security.microsoft.com. Voit käyttää rajoitettua URL-osoitejoukkoa Microsoft Defender XDR Defender for Endpointissa. Voit myös määrittää sallitut luettelot käyttämällä staattista Defender for Endpointin varattua IP-osoitealuetta. Lisätietoja on kohdassa Laitteiden käyttöönotto virtaviivaistetun menetelmän avulla ja tarkista päivitetty luettelo edellisessä taulukossa.
  
• Jotta uutta perehdyttämismenetelmää voidaan käyttää, laitteiden on täytettävä tietyt edellytykset ja käytettävä uutta perehdytyspakettia. Lisätietoja on edellytyksistä. Voit siirtää aiemmin käyttöön otettuja laitteita. Katso kohta Laitteiden siirtäminen virtaviivaistettuun yhteyteen.
  
• Tietyt palvelut eivät sisälly tähän konsolidointiin. Sinun on varmistettava, että sinulla on yhteydet tarvittaviin palveluihin. Lisätietoja palveluista, jotka eivät sisälly koontinäyttöön, on kohdassa Virtaviivaistettu URL-laskentataulukko tai käyttöönottolaitteet virtaviivaistettua menetelmää käyttämällä.
• Mma-agenttia käyttäviä laitteita ei tueta virtaviivaistetussa ratkaisussa, ja ne on otettava käyttöön käyttämällä alatason menetelmää. Pakollisten URL-osoitteiden luettelo löytyy virtaviivaistetun URL-luettelon MMA-välilehdestä. Laitteet, joissa on vanha Windows-versio 1607, 1703, 1709 tai 1803, voivat käyttää uutta perehdytyspakettia, mutta ne edellyttävät silti pidempää URL-osoitteiden luetteloa. Lisätietoja on edellisessä taulukossa.

Toimialueluettelon laskentataulukko	Kuvaus
Microsoft Defender for Endpoint koottu URL-luettelo (UUSI – virtaviivaistettu)	TÄRKEÄÄ: Tällä hetkellä julkisessa esikatselussa. Yhdistettyjen URL-osoitteiden laskentataulukko laiteyhteyden sujuvoittamiseksi. Lataa laskentataulukko tästä. Soveltuva käyttöjärjestelmä: Täydellinen luettelo on kohdassa Virtaviivaistetut yhteydet. - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2, Windows Server 2016 R2, jossa Defender for Endpointin moderni yhdistetty ratkaisu (edellyttää asentamista MSI:n kautta). - macOS:n tukemat versiot, joissa on käytössä 101.23102.* + - Linuxin tukemat versiot, joissa on käytössä 101.23102.* + Komponenttien vähimmäisversiot: - Haittaohjelmien torjuntaohjelma: 4.18.2211.5 - Moottori: 1.1.19900.2 - Suojaustiedot: 1.391.345.0 - Xplat-versio: 101.23102.* + - Tunnistin/ KB-versio: >10.8040.*/ Maaliskuu 8, 2022+ Jos siirrät aiemmin perehdytetyt laitteet virtaviivaistettuun lähestymistapaan, katso Kohta Laiteyhteyden siirtäminen.
Microsoft Defender for Endpoint URL-osoiteluettelo kaupallisille asiakkaille (vakio)	Laskentataulukko tietyistä DNS-tietueista palvelusijainteja, maantieteellisiä sijainteja ja käyttöjärjestelmää varten kaupallisille asiakkaille. Lataa laskentataulukko tästä. Microsoft Defender for Endpoint palvelupaketti 1 ja palvelupaketti 2 jakavat samat välityspalvelimen URL-osoitteet.
Microsoft Defender for Endpoint URL-osoiteluettelo gov/GCC/DoD	Laskentataulukko tietyistä DNS-tietueista palvelusijainteja, maantieteellisiä sijainteja ja käyttöjärjestelmää varten Gov/GCC/DoD-asiakkaille. Lataa laskentataulukko tästä.

Huomautus

1. Windows 10 versioita 1607, 1703, 1709, 1803 (RS1-RS4) tuetaan perehdytyspaketissa, mutta ne edellyttävät pidempää URL-luetteloa (katso päivitetty URL-taulukko). Nämä versiot eivät tue uudelleenyksityistämistä (on ensin poistettava täysin käytöstä).
2. Laitteiden, joiden käyttöjärjestelmä on Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, palvelimien, joita ei ole päivitetty Unified Agentiksi (MMA), on käytettävä mma-käyttöönottomenetelmää.

Jos välityspalvelimessa tai palomuurissa on käytössä HTTPS-tarkistus (SSL-tarkastus), jätä yllä olevassa taulukossa luetellut toimialueet POIS HTTPS-tarkistuksesta. Avaa palomuurissa kaikki URL-osoitteet, joissa paikkatietosarake on WW. Jos rivin paikkatietosarake ei ole WW, avaa URL-osoitteet tietosijaintiin. Jos haluat tarkistaa tietojen sijaintiasetuksesi, katso Kohta Tietojen tallennussijainnin tarkistaminen ja Microsoft Defender for Endpoint tietojen säilytysasetusten päivittäminen. Älä sulje URL-osoitetta *.blob.core.windows.net pois minkääntyyppisestä verkkotarkastuksesta. Jätä sen sijaan pois vain blob-url-osoitteet, jotka koskevat MDE ja jotka on lueteltu toimialueluettelon laskentataulukossa.

Huomautus

Koskee url-osoitteiden vakiojoukkoa:
Windows-laitteet, joissa on versio 1803 tai aiempi versio, tarvitsevat .settings-win.data.microsoft.com

URL-osoitteita, joissa on v20, tarvitaan vain, jos Windows-laitteissa on käytössä versio 1803 tai uudempi. Tarvitaan esimerkiksi Windows-laitteessa, us-v20.events.data.microsoft.com jonka käyttöjärjestelmä on versio 1803 tai uudempi ja joka lisätään Yhdysvaltain tietojen tallennusalueelle.

Jos välityspalvelin tai palomuuri estää anonyymin liikenteen Defender for Endpoint -tunnistimesta ja se muodostaa yhteyden järjestelmäkontekstista, on tärkeää varmistaa, että aiemmin lueteltujen URL-osoitteiden anonyymi liikenne on sallittu välityspalvelimessa tai palomuurissa.

Huomautus

Microsoft ei anna välityspalvelinta. Näitä URL-osoitteita voi käyttää määrittämäsi välityspalvelimen kautta.

Tärkeää

Defender for Endpointin suojaus- ja yhteensopivuusstandardien mukaisesti tiedot käsitellään ja tallennetaan vuokraajasi fyysisen sijainnin mukaisesti. Asiakassijainnin perusteella liikenne voi kulkea minkä tahansa näiden IP-alueiden läpi (jotka vastaavat Azuren palvelinkeskusalueita). Lisätietoja on kohdassa Tietojen tallennus ja tietosuoja.

Microsoft monitoring Agent (MMA) – Välityspalvelin- ja palomuurivaatimukset Windows-asiakkaan tai Windows Serverin vanhemmille versioille

Huomautus

(Koskee julkista esikatselua)
Mma-pohjaisia ratkaisuja käyttävät palvelut eivät pysty hyödyntämään uutta virtaviivaistettua yhteysratkaisua (yhdistetty URL-osoite ja mahdollisuus käyttää staattisia IP-osoitteita). Windows Server 2016:ssa ja Windows Server 2012 R2:ssa sinun on päivitettävä uusi yhdistetty ratkaisu.

Välityspalvelimen ja palomuurin määritystietojen luettelon tietoja tarvitaan tiedonvälitykseen Log Analytics -agentin (jota kutsutaan usein nimellä Microsoft Monitoring Agent) kanssa Windowsin aiemmissa versioissa, kuten Windows 7 SP1, Windows 8.1 ja Windows Server 2008 R2*.

Edustajaresurssi	Portit	Suunta	Ohita HTTPS-tarkastus
*.ods.opinsights.azure.com	Sola 443	Lähtevän	Kyllä
*.oms.opinsights.azure.com	Sola 443	Lähtevän	Kyllä
*.blob.core.windows.net	Sola 443	Lähtevän	Kyllä
*.azure-automation.net	Sola 443	Lähtevän	Kyllä

Huomautus

Nämä yhteysvaatimukset koskevat Windows Server 2016:n aiempaa Microsoft Defender for Endpoint ja Windows Server 2012 R2:ta, joka edellyttää MMA:ta. Ohjeet näiden käyttöjärjestelmien käyttöönottoon uudella yhdistetyllä ratkaisulla ovat Käytössä-windows-palvelimilla tai uuteen yhtenäiseen ratkaisuun siirtymiseen palvelimen siirtoskenaarioissa Microsoft Defender for Endpoint.

Huomautus

Pilvipohjaisena ratkaisuna IP-alue voi muuttua. Suosittelemme, että siirryt DNS-selvitysasetukseen.

Ilman internet-yhteyttä olevien laitteiden käyttöönotto

Jos laitteessa ei ole suoraa Internet-yhteyttä, välityspalvelinratkaisun käyttäminen on suositeltavaa. Vanhemmissa Windows-laitteissa, jotka on otettu käyttöön aiemmassa MMA-pohjaisessa ratkaisussa, OMS-yhdyskäytäväratkaisun käyttö tarjoaa vaihtoehtoisen lähestymistavan.

Huomautus

(Koskee julkista esikatselua)
Tässä esikatselussa voit hyödyntää palomuurilaitteita, joissa on staattisia IP-osoitealueita. Lisätietoja on artikkelissa : Virtaviivaistettu laiteyhteys ja virtaviivaistettu URL-luettelo.

Lisätietoja perehdyttämismenetelmistä on seuraavissa artikkeleissa:

• Edellisten Windows-versioiden käyttöönotto
• Microsoft Defender for Endpoint palvelun laivapalvelimet

Tärkeää

• Microsoft Defender for Endpoint on pilvisuojausratkaisu. "Laitteet, joissa ei ole Internet-yhteyttä" tarkoittaa, että päätepisteiden Internet-yhteys on määritettävä välityspalvelimen kautta. Microsoft Defender for Endpoint ei tue päätepisteitä ilman suoraa tai välityspalvelimen Internet-yhteyttä. Järjestelmänlaajuista välityspalvelimen määritystä suositellaan.
• Windowsin tai Windows Serverin on pystyttävä päivittämään Certificate Trust Lists offline-tilassa sisäisen tiedoston tai verkkopalvelimen kautta.
• Lisätietoja CTL-tiedostojen päivittämisestä offline-tilassa on kohdassa Tiedoston tai verkkopalvelimen määrittäminen CTL-tiedostojen lataamista varten.

Laitteet, joissa on käytössä Windows 10 tai uudempi, Windows Server 2012 R2 tai uudempi, Linux ja macOS

Käyttöjärjestelmästä riippuen Microsoft Defender for Endpoint käytettävä välityspalvelin voidaan määrittää automaattisesti, yleensä automaattisen haun tai automaattisen määritystiedoston avulla tai staattisesti laitteessa suoritettavan Defender for Endpoint -palveluiden mukaan.

• Lisätietoja Windows-laitteista on artikkelissa Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen.
• Linux-laitteissa katso Microsoft Defender for Endpoint määrittäminen Linuxissa staattista välityspalvelimen etsintää varten
• MacOS-laitteille katso Microsoft Defender for Endpoint Macissa

Windows-laitteet, joissa on käytössä aiempi MMA-pohjainen ratkaisu

Huomautus

• OMS-yhdyskäytäväpalvelinta ei voi käyttää irrallisten Windows- tai Windows Server -laitteiden välityspalvelimena, kun se on määritetty TelemetryProxyServer-rekisterin tai GPO:n kautta.
• Windowsissa tai Windows Serverissa – vaikka käytätkin TelemetryProxyServer-palvelua, sen on osoitettava tavalliseen välityspalvelimeen tai -laitteeseen.

• Määritä Azure Log Analytics (tunnettiin aiemmin nimellä OMS Gateway) toimimaan välityspalvelimena tai keskittimenä:
• Azure Log Analytics Agent
• Asenna ja määritä Microsoftin valvonta-agentin (MMA) osoitin Defender for Endpoint Workspace -avaimeen &-tunnus

Edellisten Windows-versioiden käyttöönotto

Huomautus

Asiakasta, jolla ei ole Internet-yhteyttä, ei voi lisätä Microsoft Defender päätepisteeseen. Asiakkaalla on oltava pääsy pakollisiin URL-osoitteisiin suoraan, tai asiakkaalla on oltava käyttöoikeus välityspalvelimen tai palomuurin kautta.
Osana virtaviivaistettua esikatselua voit nyt hyödyntää IP-osoitteita vaihtoehtoina tietyille Defender for Endpoint -palvelun URL-osoitteille.

Microsoftin valvonta-agentin (MMA) palvelun URL-vaatimusten vahvistaminen

Katso seuraavista ohjeista, miten voit poistaa yleismerkkivaatimuksen (*) tietystä ympäristöstäsi käyttäessäsi Microsoftin valvonta-agenttia (MMA) Windowsin aiemmissa versioissa.

1. Lisää aiempi käyttöjärjestelmä Microsoft Monitoring Agentin (MMA) kanssa Defender for Endpointiin (lisätietoja on artikkelissa Windowsin aiempien versioiden käyttöönotto Defender for Endpointissa ja Onboard Windows -palvelimilla).

2. Varmista, että tietokone raportoi Microsoft Defender portaaliin.

3. Suorita TestCloudConnection.exe-työkalu kohteesta C:\Program Files\Microsoft Monitoring Agent\Agent yhteyden vahvistamiseksi ja tarvittavien URL-osoitteiden saamiseksi tietylle työtilalle.

4. Tarkista alueesi täydellinen luettelo Microsoft Defender for Endpoint URL-osoitteiden luettelosta (katso palvelun URL-osoitteiden laskentataulukko).

-, - ja *.agentsvc.azure-automation.net URL-päätepisteissä *.ods.opinsights.azure.com*.oms.opinsights.azure.comkäytetyt yleismerkit (*) voidaan korvata tietyllä työtilatunnuksella. Työtilan tunnus liittyy ympäristöösi ja työtilaasi. Se löytyy vuokraajan Perehdytys-osasta Microsoft Defender-portaalista.

*.blob.core.windows.net URL-päätepiste voidaan korvata testitulosten palomuurisäännön *.blob.core.windows.net URL-osoitteilla.

Huomautus

Jos kyseessä on perehdytys Microsoft Defender kautta pilvipalvelulle, voit käyttää useita työtiloja. Sinun on suoritettava TestCloudConnection.exe toimintosarja jokaisen työtilan perehdytetyssä tietokoneessa (selvittääksesi, onko työtilojen välisiin *.blob.core.windows.net URL-osoitteisiin tehty muutoksia).

Seuraavat vaiheet

VAIHE 2: Määritä laitteet muodostamaan yhteys Defender for Endpoint -palveluun välityspalvelimen avulla