ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Avant d’intégrer des appareils à Defender pour point de terminaison, assurez-vous que votre réseau est configuré pour se connecter au service, en autorisant la connexion sortante et en contournant l’inspection HTTPS pour les URL du service. La première étape de ce processus implique l’ajout d’URL à la liste des domaines autorisés si votre serveur proxy ou vos règles de pare-feu empêchent l’accès à Defender pour point de terminaison. Cet article contient également des informations sur les exigences de proxy et de pare-feu pour les versions antérieures du client Windows et de Windows Server.
Remarque
- Après le 8 mai 2024, vous avez la possibilité de conserver une connectivité simplifiée (ensemble consolidé d’URL) comme méthode d’intégration par défaut, ou de passer à la connectivité standard via (Paramètres > Points de terminaison Fonctionnalités avancées>). Pour l’intégration via Intune ou Microsoft Defender pour le cloud, vous devez activer l’option appropriée. Les appareils déjà intégrés ne sont pas réinsérés automatiquement. Dans ce cas, créez une stratégie dans Intune, où il est recommandé d’affecter d’abord la stratégie à un ensemble d’appareils de test pour vérifier que la connectivité réussit, puis d’étendre l’audience. Les appareils dans Defender pour le cloud peuvent être réinsérés à l’aide du script d’intégration approprié, tandis que les appareils nouvellement intégrés recevront automatiquement une intégration simplifiée.
- Le nouveau domaine consolidé *.endpoint.security.microsoft.com doit être accessible pour tous les appareils, pour les fonctionnalités actuelles et futures, que vous continuiez ou non à utiliser la connectivité Standard.
- Par défaut, les nouvelles régions auront une connectivité simplifiée et n’auront pas la possibilité de passer à la version Standard. Pour plus d’informations, consultez Intégration d’appareils à l’aide d’une connectivité simplifiée pour Microsoft Defender pour point de terminaison.
Activer l’accès aux URL de service Microsoft Defender pour point de terminaison dans le serveur proxy
La feuille de calcul téléchargeable suivante répertorie les services et leurs URL associées auxquelles les appareils de votre réseau doivent être en mesure de se connecter. Vérifiez qu’il n’existe aucune règle de pare-feu ou de filtrage réseau pour refuser l’accès à ces URL. Si vous le souhaitez, vous devrez peut-être créer une règle d’autorisation spécifique pour eux.
Feuille de calcul de la liste des domaines | Description |
---|---|
Microsoft Defender pour point de terminaison liste d’URL consolidée (simplifiée) | Feuille de calcul des URL consolidées. Téléchargez la feuille de calcul ici. Système d’exploitation applicable : Pour obtenir la liste complète, consultez Connectivité rationalisée. - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2, Windows Server 2016 R2 exécutant Defender pour point de terminaison solution unifiée moderne (nécessite l’installation via MSI). - versions prises en charge par macOS exécutant 101.23102.* + - Versions linux prises en charge exécutant 101.23102.* + Versions minimales des composants : - Client anti-programme malveillant : 4.18.2211.5 - Moteur : 1.1.19900.2 - Renseignement de sécurité : 1.391.345.0 - Version Xplat : 101.23102.* + - Sensor/ Kb version : >10.8040.*/ 8 mars 2022+ Si vous déplacez des appareils précédemment intégrés vers l’approche simplifiée, consultez Migration de la connectivité des appareils Windows 10 versions 1607, 1703, 1709, 1803 (RS1-RS4) sont prises en charge via le package d’intégration simplifié, mais nécessitent une liste d’URL plus longue (voir la feuille URL mise à jour). Ces versions ne prennent pas en charge le réinscriture (doivent être entièrement désintégrées en premier). Les appareils s’exécutant sur Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, serveurs non mis à niveau vers l’agent unifié (MMA) doivent continuer à utiliser la méthode d’intégration MMA. |
liste d’URL Microsoft Defender pour point de terminaison pour les clients commerciaux (Standard) | Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients commerciaux. Téléchargez la feuille de calcul ici. Microsoft Defender pour point de terminaison Plan 1 et Plan 2 partagent les mêmes URL de service proxy. Dans votre pare-feu, ouvrez toutes les URL où la colonne geography est WW. Pour les lignes où la colonne geography n’est pas WW, ouvrez les URL à votre emplacement de données spécifique. Pour vérifier votre paramètre d’emplacement des données, consultez Vérifier l’emplacement de stockage des données et mettre à jour les paramètres de conservation des données pour Microsoft Defender pour point de terminaison. N’excluez pas l’URL |
liste d’URL Microsoft Defender pour point de terminaison pour Gov/GCC/DoD | Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients Gov/GCC/DoD. Téléchargez la feuille de calcul ici. |
Importante
- Connections sont effectués à partir du contexte du système d’exploitation ou des services clients Defender et, par conséquent, les proxys ne doivent pas nécessiter d’authentification pour ces destinations ou effectuer une inspection (analyse HTTPS/inspection SSL) qui rompt le canal sécurisé.
- Microsoft ne fournit pas de serveur proxy. Ces URL sont accessibles via le serveur proxy que vous configurez.
- Conformément aux normes de sécurité et de conformité de Defender pour point de terminaison, vos données seront traitées et stockées conformément à l’emplacement physique de votre locataire. En fonction de l’emplacement du client, le trafic peut transiter par l’une des régions IP associées (qui correspondent aux régions du centre de données Azure). Pour plus d’informations, consultez Stockage et confidentialité des données.
Microsoft Monitoring Agent (MMA) : exigences supplémentaires relatives au proxy et au pare-feu pour les versions antérieures du client Windows ou de Windows Server
Les destinations suivantes sont requises pour autoriser les communications Defender pour point de terminaison via l’agent Log Analytics (souvent appelé Microsoft Monitoring Agent) sur Windows 7 SP1, Windows 8.1 et Windows Server 2008 R2.
Ressource d'agent | Ports | Direction | Contournement de l’inspection HTTPS |
---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Sortant | Oui |
*.oms.opinsights.azure.com |
Port 443 | Sortant | Oui |
*.blob.core.windows.net |
Port 443 | Sortant | Oui |
*.azure-automation.net |
Port 443 | Sortant | Oui |
Pour déterminer les destinations exactes utilisées pour votre abonnement dans les domaines répertoriés ci-dessus, consultez Connexions d’URL de service Microsoft Monitoring Agent (MMA).
Remarque
Les services utilisant des solutions MMA ne sont pas en mesure de tirer parti de la nouvelle solution de connectivité rationalisée (URL consolidée et option pour utiliser des adresses IP statiques). Pour Windows Server 2016 et Windows Server 2012 R2, vous devez effectuer une mise à jour vers la nouvelle solution unifiée. Les instructions pour intégrer ces systèmes d’exploitation à la nouvelle solution unifiée se trouvent dans Intégrer des serveurs Windows ou migrer des appareils déjà intégrés vers la nouvelle solution unifiée dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.
Pour les appareils sans accès à Internet / sans proxy
Pour les appareils sans connexion Internet directe, l’utilisation d’une solution proxy est l’approche recommandée. Dans des cas spécifiques, vous pouvez utiliser des appareils de pare-feu ou de passerelle qui autorisent l’accès aux plages d’adresses IP. Pour plus d’informations, consultez : Connectivité simplifiée des appareils.
Importante
- Microsoft Defender pour point de terminaison est une solution de sécurité cloud. « Intégrer des appareils sans accès à Internet » signifie que l’accès à Internet pour les points de terminaison doit être configuré via un proxy ou un autre périphérique réseau, et la résolution DNS est toujours requise. Microsoft Defender pour point de terminaison ne prend pas en charge les points de terminaison sans connectivité directe ou proxiée aux services cloud Defender. Une configuration de proxy à l’échelle du système est recommandée.
- Windows ou Windows Server dans des environnements déconnectés doivent être en mesure de mettre à jour l’approbation de certificat Listes hors connexion via un fichier interne ou un serveur web.
- Pour plus d’informations sur la mise à jour des listes CTL hors connexion, consultez Configurer un fichier ou un serveur web pour télécharger les fichiers CTL.