Configurer le déploiement Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
La première étape lors du déploiement de Microsoft Defender pour point de terminaison consiste à configurer votre environnement Defender pour point de terminaison.
Dans ce scénario de déploiement, vous allez suivre les étapes suivantes :
- Validation des licences
- Configuration du locataire
- Configuration réseau
Remarque
Pour vous guider dans un déploiement classique, ce scénario couvre uniquement l’utilisation de Microsoft Configuration Manager. Defender pour point de terminaison prend en charge l’utilisation d’autres outils d’intégration, mais nous n’aborderons pas ces scénarios dans le guide de déploiement. Pour plus d’informations, consultez Identifier l’architecture et la méthode de déploiement de Defender pour point de terminaison.
Vérifier l’état de la licence
La vérification de l’état de la licence et si elle a été correctement approvisionnée peut être effectuée via le centre d’administration ou via microsoft Portail Azure.
Pour afficher vos licences, accédez au Portail Azure Microsoft et accédez à la section Licence Microsoft Portail Azure.
Vous pouvez également accéder à Abonnements de facturation> dans le Centre d’administration.
Sur l’écran, vous verrez toutes les licences approvisionnées et leur état actuel.
Validation du fournisseur de services cloud
Pour accéder aux licences approvisionnées dans votre entreprise et pour case activée l’état des licences, accédez au centre d’administration.
Dans le portail partenaire, sélectionnez Administrer les services > Office 365.
Cliquez sur le lien Portail des partenaires pour ouvrir l’option Administration de la part et vous donne accès au Centre d’administration client.
Configuration du locataire
L’intégration à Microsoft Defender pour point de terminaison est facile. Dans le menu de navigation, sélectionnez n’importe quel élément sous la section Points de terminaison, ou n’importe quelle fonctionnalité Microsoft Defender XDR telle que Incidents, Chasse, Centre de notifications ou Analyse des menaces pour lancer le processus d’intégration.
À partir d’un navigateur web, accédez au portail Microsoft Defender.
Emplacement du centre de données
Microsoft Defender pour point de terminaison stockez et traitez les données au même emplacement que celui utilisé par Microsoft Defender XDR. Si Microsoft Defender XDR n’a pas encore été activé, l’intégration à Microsoft Defender pour point de terminaison active également Microsoft Defender XDR et un nouvel emplacement de centre de données est automatiquement sélectionné en fonction de l’emplacement de la sécurité Microsoft 365 active Services. L’emplacement du centre de données sélectionné s’affiche à l’écran.
Configuration réseau
Si le organization ne nécessite pas que les points de terminaison utilisent un proxy pour accéder à Internet, ignorez cette section.
Le capteur Microsoft Defender pour point de terminaison requiert Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Microsoft Defender pour point de terminaison. Le capteur Microsoft Defender pour point de terminaison incorporé s’exécute dans le contexte système à l’aide du compte LocalSystem. Le capteur utilise les services Microsoft Windows HTTP Services (WinHTTP) pour activer la communication avec le service Cloud Microsoft Defender pour point de terminaison. Le paramètre de configuration WinHTTP est indépendant des paramètres de proxy de navigation Internet Windows (WinINet) et ne peut découvrir un serveur proxy qu’à l’aide des méthodes de découverte suivantes :
Méthodes de découverte automatique :
- Proxy transparent
- Protocole WPAD (Web Proxy Auto-Discovery Protocol)
Si un proxy transparent ou WPAD a été implémenté dans la topologie de réseau, il n’est pas nécessaire d’utiliser des paramètres de configuration spéciaux. Pour plus d’informations sur les exclusions d’URL Microsoft Defender pour point de terminaison dans le proxy, consultez la section URL du service proxy dans ce document pour la liste verte des URL ou sur Configurer les paramètres de proxy d’appareil et de connectivité Internet.
Configuration manuelle du proxy statique :
Configuration basée sur le registre
WinHTTP configuré à l’aide de la commande netsh
Convient uniquement aux bureaux dans une topologie stable (par exemple , un bureau dans un réseau d’entreprise derrière le même proxy).
Configurer le serveur proxy manuellement en utilisant un proxy statique basé sur le registre
Configurez un proxy statique basé sur le Registre pour autoriser uniquement Microsoft Defender pour point de terminaison capteur à signaler les données de diagnostic et à communiquer avec Microsoft Defender pour point de terminaison services si un ordinateur n’est pas autorisé à se connecter à Internet. Le proxy statique est configurable via une stratégie de groupe. La stratégie de groupe se trouve sous :
- Modèles > d’administration Composants > Windows Collecte de données et builds > en préversion Configurer l’utilisation du proxy authentifié pour l’expérience utilisateur connectée et le service de télémétrie
- Définissez-le sur Activé et sélectionnez Désactiver l’utilisation du proxy authentifié
Ouvrez la console de gestion des stratégies de groupe.
Create une stratégie ou modifier une stratégie existante en fonction des pratiques de l’organisation.
Modifiez le stratégie de groupe et accédez à Modèles > d’administration Composants > Windows Collecte de données et préversion Builds > Configurer l’utilisation du proxy authentifié pour le service Expérience utilisateur connectée et télémétrie.
Sélectionnez Activé.
Sélectionnez Désactiver l’utilisation du proxy authentifié.
Accédez à Modèles > d’administration Composants > Windows Collecte de données et préversion Builds > Configurer les expériences utilisateur connectées et la télémétrie.
Sélectionnez Activé.
Entrez le nom du serveur proxy.
La stratégie définit deux valeurs de registre TelemetryProxyServer comme REG_SZ et DisableEnterpriseAuthProxy comme REG_DWORD sous la clé de registre HKLM\Software\Policies\Microsoft\Windows\DataCollection.
La valeur TelemetryProxyServer de Registre prend le format de chaîne suivant :
<server name or ip>:<port>
Par exemple, 10.0.0.6:8080
Cette valeur de registre DisableEnterpriseAuthProxy doit être égale à 1.
Configurer le serveur proxy manuellement à l’aide de la commande netsh
Utiliser netsh pour configurer un proxy statique à l’échelle du système.
Remarque
- Cela affectera toutes les applications, y compris les services Windows qui utilisent WinHTTP avec un proxy par défaut.
- Les ordinateurs portables qui changent de topologie (par exemple, du bureau à la maison) ne fonctionnent pas correctement avec netsh. Utiliser la configuration statique du proxy basée sur le registre.
Ouvrez une invite de commandes avec élévation de privilèges :
- Accéder à Démarrer et taper cmd.
- Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.
Entrez la commande suivante et appuyez sur Entrée :
netsh winhttp set proxy <proxy>:<port>Par exemple : netsh winhttp initialiser proxy 10.0.0.6:8080
Configuration du proxy pour les appareils de bas niveau
Down-Level appareils incluent Les stations de travail Windows 7 SP1 et Windows 8.1, ainsi que Windows Server 2008 R2 et d’autres systèmes d’exploitation serveur qui ont été intégrés précédemment à l’aide de Microsoft Monitoring Agent. Pour ces systèmes d’exploitation, le proxy est configuré dans le cadre de Microsoft Management Agent pour gérer la communication entre le point de terminaison et Azure. Pour plus d’informations sur la configuration d’un proxy sur ces appareils, reportez-vous au Guide de déploiement rapide de Microsoft Management Agent.
URL du service proxy
Les URL qui incluent v20 sont nécessaires uniquement si vous disposez d’appareils Windows 10, version 1803 ou Windows 11. Par exemple, us-v20.events.data.microsoft.com est nécessaire uniquement si l’appareil est sur Windows 10, version 1803 ou Windows 11.
Si un proxy ou un pare-feu bloque le trafic anonyme, comme Microsoft Defender pour point de terminaison capteur se connecte à partir du contexte système, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées.
La feuille de calcul téléchargeable suivante répertorie les services et leurs URL associées auxquelles votre réseau doit être en mesure de se connecter. Vérifiez qu’il n’existe aucune règle de pare-feu ou de filtrage réseau qui refuserait l’accès à ces URL, ou vous devrez peut-être créer une règle d’autorisation spécifique pour celles-ci.
| Feuille de calcul de la liste des domaines | Description |
|---|---|
| liste d’URL Microsoft Defender pour point de terminaison pour les clients commerciaux | Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients commerciaux. Téléchargez la feuille de calcul ici. |
| liste d’URL Microsoft Defender pour point de terminaison pour Gov/GCC/DoD | Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients Gov/GCC/DoD. Téléchargez la feuille de calcul ici. |
Étape suivante
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour