Configurer les paramètres de connectivité Internet et de proxy du point de terminaison

  • Article

Chaque capteur Microsoft Defender pour Identity nécessite une connectivité Internet au service cloud Defender pour Identity pour signaler les données du capteur et fonctionner correctement.

Dans certaines organisations, les contrôleurs de domaine ne sont pas directement connectés à Internet, mais sont connectés via une connexion proxy web, et l’inspection SSL et l’interception des proxys ne sont pas pris en charge pour des raisons de sécurité. Dans ce cas, votre serveur proxy doit autoriser les données à passer directement des capteurs Defender pour Identity aux URL pertinentes sans interception.

Important

Microsoft ne fournit pas de serveur proxy. Cet article explique comment vous assurer que les URL requises sont accessibles via un serveur proxy que vous configurez.

Activer l’accès aux URL du service Defender pour Identity dans le serveur proxy

Pour garantir la sécurité maximale et la confidentialité des données, Defender pour Identity utilise l’authentification mutuelle basée sur des certificats entre chaque capteur Defender pour Identity et le back-end cloud Defender pour Identity. L’inspection et l’interception SSL ne sont pas prises en charge, car elles interfèrent dans le processus d’authentification.

Pour activer l’accès à Defender pour Identity, veillez à autoriser le trafic vers l’URL du capteur à l’aide de la syntaxe suivante : <your-workspace-name>sensorapi.atp.azure.com. Par exemple : contoso-corpsensorapi.atp.azure.com.

  • Si votre proxy ou pare-feu utilise des listes d’autorisations explicites, nous vous recommandons également de vous assurer que les URL suivantes sont autorisées :

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Parfois, les adresses IP du service Defender pour Identity peuvent changer. Si vous configurez manuellement des adresses IP ou si votre proxy résout automatiquement les noms DNS en adresse IP et les utilise, nous vous recommandons de vérifier régulièrement que les adresses IP configurées sont toujours à jour.

  • Si vous avez précédemment configuré votre proxy à l’aide d’options héritées, notamment WiniNet ou une mise à jour de clé de registre, vous devez apporter des modifications à l’aide de la méthode que vous avez utilisée à l’origine. Pour en savoir plus, consultez la section « Modifier la configuration du proxy à l'aide de méthodes traditionnelles ».

Activer l’accès avec une étiquette de service

Au lieu d’activer manuellement l’accès à des points de terminaison spécifiques, téléchargez les plages d’adresses IP Azure et les étiquettes de service : cloud public, puis utilisez les plages d’adresses IP dans l’étiquette de service AzureAdvancedThreatProtection Azure pour activer l’accès à Defender pour Identity.

Pour plus d’informations, consultez Étiquettes de service du réseau virtuel. Pour obtenir des offres du gouvernement des États-Unis, consultez Bien démarrer avec les offres du gouvernement des États-Unis.

Modifier la configuration du proxy à l'aide de la CLI

Prérequis : Localisez le fichier Microsoft.Tri.Sensor.Deployment.Deployer.exe. Ce fichier se trouve avec l'installation du capteur. Par défaut, l'emplacement est C:\Program Files\Azure Advanced Threat Protection Sensor\version number\.

Pour modifier la configuration du proxy du capteur actuel :

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Pour supprimer entièrement la configuration du proxy du capteur actuel :

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Modifier la configuration du proxy à l’aide de PowerShell

Prérequis : Avant d'exécuter les commandes PowerShell de Defender pour Identity, assurez-vous d'avoir téléchargé le module PowerShell de Defender pour Identity.

Vous pouvez afficher et modifier la configuration du proxy pour votre capteur à l'aide de PowerShell. Pour ce faire, connectez-vous à votre serveur de capteurs et exécutez les commandes comme indiqué dans les exemples suivants :

Pour visualiser la configuration du proxy du capteur actuel :

Get-MDISensorProxyConfiguration

Pour modifier la configuration du proxy du capteur actuel :

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Cet exemple définit la configuration du proxy pour le capteur Defender pour Identity afin d'utiliser le serveur proxy spécifié sans aucune information d'identification.

Pour supprimer entièrement la configuration du proxy du capteur actuel :

Clear-MDISensorProxyConfiguration

Pour plus d'informations, consultez les références PowerShell suivantes de DefenderForIdentity :

Modifier la configuration du proxy à l'aide de méthodes traditionnelles

Si vous avez précédemment configuré vos paramètres de proxy via WinINet ou une clé de registre et que vous devez les mettre à jour, vous devrez utiliser la même méthode qu'à l'origine.

Lors de la configuration de votre proxy à partir de la ligne de commande pendant l’installation, seuls les services de capteur Defender pour Identity communiquent via le proxy, à l’aide de WinINet ou d’un registre permettent à d’autres services s’exécutant dans le contexte en tant que système local ou service local de diriger le trafic via le proxy.

Configurer un serveur proxy à l’aide de WinINet

Lors de la configuration du proxy à l’aide de WinINet, gardez à l’esprit que le service de capteur Defender pour Identity incorporé s’exécute dans le contexte système à l’aide du compte LocalService et que le service de mise à jour defender pour identity Sensor s’exécute dans le contexte système à l’aide du compte LocalSystem.

  • Si vous utilisez WinHTTP pour la configuration du proxy, vous devez toujours configurer les paramètres de proxy de navigateur Windows Internet (WinINet) pour la communication entre le capteur et le service cloud Defender for Identity.

  • Si vous utilisez un proxy transparent ou WPAD dans votre topologie de réseau, vous n’avez pas besoin de configurer WinINet pour votre proxy.

Configurer un serveur proxy à l’aide du Registre

Cette section explique comment configurer manuellement un serveur proxy statique à l’aide d’un proxy statique basé sur le Registre.

Important

La configuration d’un proxy via le Registre affecte toutes les applications qui utilisent WinINet avec les comptes LocalService et LocalSystem, y compris les services Windows.

Appliquez uniquement les modifications de Registre aux comptes LocalService et LocalSystem.

Pour configurer votre proxy, copiez votre configuration de proxy dans le contexte utilisateur vers les comptes LocalSystem et LocalService comme suit :

  1. Sauvegardez vos clés de Registre.

  2. Dans le Registre, recherchez la valeur DefaultConnectionSettings en tant que REG_BINARY sous la clé de Registre HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings et copiez-la.

  3. Si le LocalSystem n’a pas les paramètres de proxy appropriés ne sont pas corrects, copiez le paramètre proxy du Current_User vers le LocalSystem, sous la clé de registre HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Veillez à coller la valeur de la clé de Registre Current_User de DefaultConnectionSettings en tant que REG_BINARY.

    Cela peut se produire si vos paramètres de proxy ne sont pas configurés, ou s’ils sont différents de ceux du Current_User.

  4. Si le LocalService n’a pas les paramètres de proxy appropriés ne sont pas corrects, puis copiez le paramètre proxy du Current_User vers le LocalService, sous la clé de registre HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Veillez à coller la valeur de la clé de Registre Current_User de DefaultConnectionSettings en tant que REG_BINARY.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

Étape suivante

Tester la connectivité de Microsoft Defender pour Identity »