Intégration d’appareils à l’aide d’une connectivité rationalisée pour Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Le client Defender pour point de terminaison peut nécessiter l’utilisation de connexions par proxy aux services cloud pertinents. Cet article décrit la méthode de connectivité d’appareil rationalisée, les prérequis et fournit des informations supplémentaires pour vérifier la connectivité à l’aide des nouvelles destinations.
Pour simplifier la configuration et la gestion du réseau, vous avez désormais la possibilité d’intégrer de nouveaux appareils à Defender pour point de terminaison à l’aide d’un ensemble d’URL réduite ou de plages d’adresses IP statiques. Pour plus d’informations sur la migration d’appareils précédemment intégrés, consultez Migration d’appareils vers une connectivité rationalisée.
Le domaine simplifié reconnu par Defender pour point de terminaison : *.endpoint.security.microsoft.com
consolide la connectivité aux principaux services Defender pour point de terminaison suivants :
- Protection fournie par le cloud
- Stockage des exemples de soumission de programmes malveillants
- Exemple de stockage d’intégration automatique
- Commande defender pour point de terminaison & contrôle
- Données de cyber et de diagnostic defender pour point de terminaison
Pour plus d’informations sur la préparation de votre environnement et la liste mise à jour des destinations, consultez ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Pour prendre en charge les appareils réseau sans résolution de noms d’hôte ni prise en charge des caractères génériques, vous pouvez également configurer la connectivité à l’aide de plages d’adresses IP statiques Defender pour point de terminaison dédiées. Pour plus d’informations, consultez Configurer la connectivité à l’aide de plages d’adresses IP statiques.
Remarque
- La méthode de connectivité simplifiée ne modifie pas le fonctionnement de Microsoft Defender pour point de terminaison sur un appareil, ni l’expérience de l’utilisateur final. Seules les URL ou adresses IP qu’un appareil utilise pour se connecter au service changent.
- Il n’existe actuellement aucun plan pour déprécier les anciennes URL de service consolidées. Les appareils intégrés avec une connectivité « standard » continueront de fonctionner. Il est important de s’assurer que la connectivité à
*.endpoint.security.microsoft.com
est et reste possible, car les services futurs en auront besoin. Cette nouvelle URL est incluse dans toutes les listes d’URL requises. - Les connexions au service tirent parti de l’épinglage de certificat et du protocole TLS. Il n’est pas pris en charge pour « interrompre et inspecter » le trafic. En outre, les connexions sont lancées à partir d’un contexte d’appareil, et non à partir d’un contexte utilisateur. L’application de l’authentification par proxy (utilisateur) interdit (interrompt) la connectivité dans la plupart des cas.
Avant de commencer
Les appareils doivent remplir des conditions préalables spécifiques pour utiliser la méthode de connectivité simplifiée pour Defender pour point de terminaison. Vérifiez que les conditions préalables sont remplies avant de poursuivre l’intégration.
Configuration requise
Licence:
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
- Gestion des vulnérabilités de Microsoft Defender
Mise à jour minimale de la base de connaissances (Windows)
- VERSION DE SENSE : 10.8040.*/ 8 mars 2022 ou ultérieure (voir le tableau)
Versions de l’Antivirus Microsoft Defender (Windows)
-
Client anti-programme malveillant :
4.18.2211.5
-
Moteur:
1.1.19900.2
-
Antivirus (Security Intelligence) :
1.391.345.0
Versions de l’antivirus Defender (macOS/Linux)
- Versions macOS prises en charge avec la version du produit MDE 101.24022.*+
- Versions linux prises en charge avec la version du produit MDE 101.24022.*+
Systèmes d’exploitation pris en charge
- Windows 10 version 1809 ou ultérieure. Windows 10 versions 1607, 1703, 1709, 1803 sont prises en charge sur le package d’intégration simplifié, mais nécessitent une liste d’URL différente. Consultez la feuille d’URL simplifiée
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 ou Windows Server 2016, solution unifiée moderne entièrement mise à jour exécutant Defender pour point de terminaison (installation via MSI).
- Versions macOS prises en charge avec la version du produit MDE 101.24022.*+
- Versions linux prises en charge avec la version du produit MDE 101.24022.*+
Importante
- Les appareils s’exécutant sur l’agent MMA ne sont pas pris en charge sur la méthode de connectivité simplifiée et devront continuer à utiliser l’ensemble d’URL standard (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 non mis à niveau vers l’agent unifié moderne).
- Windows Server 2012 R2 et Server 2016 devront être mis à niveau vers l’agent unifié pour tirer parti de la nouvelle méthode.
- Windows 10 1607, 1703, 1709, 1803 peut tirer parti de la nouvelle option d’intégration, mais utilise une liste plus longue. Pour plus d’informations, consultez la feuille d’URL simplifiée.
Système d’exploitation Windows | Base de connaissances minimale requise (8 mars 2022) |
---|---|
Windows 11 | KB5011493 (8 mars 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8 mars 2022) |
Windows 10 19H2 (1909) | KB5011485 (8 mars 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8 mars 2022) |
Windows 10 22H2 | KB5020953 (28 octobre 2022) |
Windows 10 1803* | < fin de service > |
Windows 10 1709* | < fin de service > |
Windows Server 2022 | KB5011497 (8 mars 2022) |
Windows Server 2012 R2, 2016* | Agent unifié |
Processus de connectivité simplifié
L’illustration suivante montre le processus de connectivité simplifié et les étapes correspondantes :
Étape 1. Configurer votre environnement réseau pour la connectivité cloud
Une fois que vous avez vérifié que les conditions préalables sont remplies, vérifiez que votre environnement réseau est correctement configuré pour prendre en charge la méthode de connectivité simplifiée. Suivez les étapes décrites dans Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Les URL de service Defender pour point de terminaison consolidées sous un domaine simplifié ne doivent plus être requises pour la connectivité. Toutefois, certaines URL ne sont pas incluses dans la consolidation.
La connectivité simplifiée vous permet d’utiliser l’option suivante pour configurer la connectivité cloud :
Option 1 : Configurer la connectivité à l’aide du domaine simplifié
Configurez votre environnement pour autoriser les connexions au domaine Defender pour point de terminaison simplifié : *.endpoint.security.microsoft.com
. Pour plus d’informations, consultez Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.
Vous devez maintenir la connectivité avec les autres services requis répertoriés sous la liste mise à jour. Par exemple, la liste de révocation de certification, Windows Update et les services SmartScreen peuvent également être accessibles en fonction de votre infrastructure réseau actuelle et de votre approche corrective.
Option 2 : Configurer la connectivité à l’aide de plages d’adresses IP statiques
Avec une connectivité simplifiée, les solutions basées sur IP peuvent être utilisées comme alternative aux URL. Ces adresses IP couvrent les services suivants :
- CARTES
- Stockage des exemples de soumission de programmes malveillants
- Stockage d’exemples d’intégration automatique
- Commande et contrôle Defender pour point de terminaison
Importante
Le service de données EDR Cyber (OneDsCollector) doit être configuré séparément si vous utilisez la méthode IP (ce service n’est consolidé qu’au niveau de l’URL). Vous devez également maintenir la connectivité avec d’autres services requis, notamment SmartScreen, CRL, Windows Update et d’autres services.
Pour rester à jour sur les plages d’adresses IP, il est recommandé de faire référence aux balises de service Azure suivantes pour les services Microsoft Defender pour point de terminaison. Les dernières plages d’adresses IP se trouvent dans l’étiquette de service. Pour plus d’informations, consultez Plages d’adresses IP Azure.
Nom de l’étiquette de service | Services Defender pour point de terminaison inclus |
---|---|
MicrosoftDefenderForEndpoint | Protection fournie par le cloud, stockage de soumission d’exemples de programmes malveillants, stockage d’exemples de runtime d’intégration automatique, commande et contrôle Defender pour point de terminaison. |
OneDsCollector | Données de cyber et de diagnostic defender pour point de terminaison Remarque : le trafic sous cette étiquette de service n’est pas limité à Defender pour point de terminaison et peut inclure le trafic de données de diagnostic pour d’autres services Microsoft. |
Le tableau suivant répertorie les plages d’adresses IP statiques actuelles couvertes par l’étiquette de service MicrosoftDefenderForEndpoint. Pour obtenir la liste la plus récente, consultez la documentation sur les étiquettes de service Azure .
Géo | Plages IP |
---|---|
US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
UE | 4.208.13.0/24 20.8.195.0/24 |
Royaume-Uni | 20.26.63.224/28 20.254.173.48/28 |
UA | 68.218.120.64/28 20.211.228.80/28 |
Importante
Conformément aux normes de sécurité et de conformité de Defender pour point de terminaison, vos données seront traitées et stockées conformément à l’emplacement physique de votre locataire. En fonction de l’emplacement du client, le trafic peut transiter par l’une de ces régions IP (qui correspondent aux régions du centre de données Azure). Pour plus d’informations, consultez Stockage et confidentialité des données.
Étape 2. Configurer vos appareils pour se connecter au service Defender pour point de terminaison
Configurez les appareils pour qu’ils communiquent via votre infrastructure de connectivité. Vérifiez que les appareils remplissent les conditions préalables et disposent des versions mises à jour du capteur et de l’Antivirus Microsoft Defender. Pour plus d’informations, consultez Configurer le proxy d’appareil et les paramètres de connexion Internet .
Étape 3. Vérifier la pré-intégration de la connectivité du client
Pour plus d’informations, consultez Vérifier la connectivité du client.
Les vérifications de pré-intégration suivantes peuvent être exécutées sur l’analyseur client MDE Windows et Xplat : Téléchargez l’analyseur client Microsoft Defender pour point de terminaison.
Pour tester la connectivité simplifiée pour les appareils qui ne sont pas encore intégrés à Defender pour point de terminaison, vous pouvez utiliser l’analyseur client pour Windows à l’aide des commandes suivantes :
Exécutez
mdeclientanalyzer.cmd -o <path to cmd file>
à partir du dossier MDEClientAnalyzer. La commande utilise les paramètres du package d’intégration pour tester la connectivité.Exécutez
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, où le paramètre est de GW_US, GW_EU GW_UK. GW fait référence à l’option simplifiée. Exécutez avec la zone géographique de locataire applicable.
En guise de vérification supplémentaire, vous pouvez également utiliser l’analyseur client pour tester si un appareil remplit les conditions préalables : https://aka.ms/BetaMDEAnalyzer
Remarque
Pour les appareils qui ne sont pas encore intégrés à Defender pour point de terminaison, l’analyseur client effectue un test par rapport à un ensemble d’URL standard. Pour tester l’approche simplifiée, vous devez exécuter avec les commutateurs répertoriés plus haut dans cet article.
Étape 4. Appliquer le nouveau package d’intégration requis pour une connectivité simplifiée
Une fois que vous avez configuré votre réseau pour communiquer avec la liste complète des services, vous pouvez commencer à intégrer des appareils à l’aide de la méthode simplifiée.
Avant de continuer, vérifiez que les appareils remplissent les conditions préalables et disposent des versions mises à jour du capteur et de l’Antivirus Microsoft Defender.
Pour obtenir le nouveau package, dans Microsoft Defender XDR, sélectionnez Paramètres Points > de terminaison > Intégration de la gestion des> appareils.
Sélectionnez le système d’exploitation applicable et choisissez « Simplifié » dans le menu déroulant Type de connectivité.
Pour les nouveaux appareils (non intégrés à Defender pour point de terminaison) pris en charge sous cette méthode, suivez les étapes d’intégration des sections précédentes à l’aide du package intégré mis à jour avec votre méthode de déploiement préférée :
- Intégrer le client Windows
- Intégrer Windows Server
- Intégrer des appareils non Windows
- Exécuter un test de détection sur un appareil pour vérifier qu’il a été correctement intégré à Microsoft Defender pour point de terminaison
- Excluez les appareils de toutes les stratégies d’intégration existantes qui utilisent le package d’intégration standard.
Pour migrer des appareils déjà intégrés à Defender pour point de terminaison, consultez Migration d’appareils vers la connectivité simplifiée. Vous devez redémarrer votre appareil et suivre des instructions spécifiques ici.