Onboarding di dispositivi con connettività semplificata per Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Il servizio Microsoft Defender per endpoint potrebbe richiedere l'uso di configurazioni proxy per segnalare i dati di diagnostica e comunicare i dati al servizio. Prima della disponibilità del metodo di connettività semplificata, erano necessari altri URL e gli intervalli IP statici di Defender per endpoint non erano supportati. Per altre informazioni sulla preparazione dell'ambiente, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Questo articolo descrive il metodo semplificato di connettività dei dispositivi e come eseguire l'onboarding di nuovi dispositivi per usare una distribuzione e una gestione più semplici dei servizi di connettività cloud di Defender per endpoint. Per altre informazioni sulla migrazione dei dispositivi di cui è stato eseguito l'onboarding in precedenza, vedere Migrazione dei dispositivi per semplificare la connettività.
Per semplificare la configurazione e la gestione della rete, è ora possibile eseguire l'onboarding dei dispositivi in Defender per endpoint usando un set di URL ridotto o intervalli IP statici. Vedere l'elenco degli URL semplificati.
Il dominio semplificato riconosciuto da Defender per endpoint: *.endpoint.security.microsoft.com sostituisce il seguente core Defender per Endpoint Services:
- Cloud Protection/MAPS
- Archiviazione di invio di esempi di malware
- Archiviazione di esempio del runtime di integrazione automatica
- Controllo & del comando di Defender per endpoint
- EDR Cyberdata
Per supportare i dispositivi di rete senza il supporto della risoluzione dei nomi host o dei caratteri jolly, è possibile configurare in alternativa la connettività usando intervalli IP statici dedicati di Defender per endpoint. Per altre informazioni, vedere Configurare la connettività usando intervalli IP statici.
Nota
- Il metodo di connettività semplificato non modificherà il funzionamento di Microsoft Defender per endpoint in un dispositivo né modificherà l'esperienza dell'utente finale. Verranno modificati solo gli URL o gli INDIRIZZI IP usati da un dispositivo per connettersi al servizio.
- Attualmente non è previsto di deprecato gli URL del servizio consolidati precedenti. I dispositivi caricati con connettività "standard" continueranno a funzionare. È importante garantire che la connettività sia
*.endpoint.security.microsoft.come rimanga possibile, in quanto i servizi futuri lo richiederanno. Questo nuovo URL è incluso in tutti gli elenchi di URL necessari.
Servizi consolidati
Gli URL di Defender per endpoint seguenti consolidati nel dominio semplificato non devono più essere necessari per la connettività se è consentito e i *.endpoint.security.microsoft.com dispositivi vengono caricati usando il pacchetto di onboarding semplificato. È necessario mantenere la connettività con altri servizi obbligatori non consolidati rilevanti per l'organizzazione, ad esempio CRL, SmartScreen/Network Protection e Windows Update.
Per l'elenco aggiornato degli URL necessari, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Importante
Se si sta configurando usando gli intervalli IP, sarà necessario configurare separatamente il servizio cyberdata EDR. Questo servizio non viene consolidato a livello IP.
| Categoria | URL consolidati |
|---|---|
| MAPS: protezione fornita dal cloud | *.wdcp.microsoft.com *.wd.microsoft.com |
| & di protezione del cloud aggiornamenti dell'intelligence per la sicurezza per macOS e Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| Archiviazione di invio di esempi di malware | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Archiviazione di esempio del runtime di integrazione automatica di Defender per endpoint | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Comando e controllo di Defender per endpoint | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Prima di iniziare
I dispositivi devono soddisfare prerequisiti specifici per usare il metodo di connettività semplificato per Defender per endpoint. Assicurarsi che i prerequisiti vengano soddisfatti prima di procedere con l'onboarding.
Prerequisiti
Licenza:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender for Business
- Gestione delle vulnerabilità di Microsoft Defender
Aggiornamento minimo KB (Windows)
- Versione SENSE: 10.8040.*/ 8 marzo 2022 o versione successiva (vedere la tabella)
Versioni di Microsoft Defender Antivirus (Windows)
- Client antimalware:
4.18.2211.5 - Motore:
1.1.19900.2 - Antivirus (Security Intelligence):
1.391.345.0
Versioni di Defender Antivirus (macOS/Linux)
- Versioni supportate di macOS con prodotto MDE versione 101.24022.*+
- Versioni supportate da Linux con prodotto MDE versione 101.24022.*+
Sistemi operativi supportati
- Windows 10 versione 1809 o successiva. Le versioni di Windows 10 1607, 1703, 1709 e 1803 sono supportate nel pacchetto di onboarding semplificato, ma richiedono un elenco di URL diverso, vedi foglio DI URL semplificato
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 o Windows Server 2016, completamente aggiornato con la soluzione unificata moderna defender per endpoint (installazione tramite MSI).
- Versioni supportate di macOS con prodotto MDE versione 101.24022.*+
- Versioni supportate da Linux con prodotto MDE versione 101.24022.*+
Importante
- I dispositivi in esecuzione nell'agente MMA non sono supportati nel metodo di connettività semplificata e dovranno continuare a usare il set di URL standard (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 non aggiornato all'agente unificato moderno).
- Windows Server 2012 R2 e Server 2016 dovranno eseguire l'aggiornamento all'agente unificato per sfruttare il nuovo metodo.
- Windows 10 1607, 1703, 1709, 1803 può sfruttare la nuova opzione di onboarding, ma userà un elenco più lungo. Per altre informazioni, vedere il foglio di URL semplificato.
| Sistema operativo Windows | KB minima richiesta (8 marzo 2022) |
|---|---|
| Windows 11 | KB5011493 (8 marzo 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8 marzo 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8 marzo 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8 marzo 2022) |
| Windows 10 22H2 | KB5020953 (28 ottobre 2022) |
| Windows 10 1803* | < fine del servizio > |
| Windows 10 1709* | < fine del servizio > |
| Windows Server 2022 | KB5011497 (8 marzo 2022) |
| Windows Server 2012 R2, 2016* | Agente unificato |
Processo di connettività semplificato
La figura seguente illustra il processo di connettività semplificata e le fasi corrispondenti:
Passaggio 1. Configurare l'ambiente di rete per la connettività cloud
Dopo aver verificato che i prerequisiti siano soddisfatti, assicurarsi che l'ambiente di rete sia configurato correttamente per supportare il metodo di connettività semplificato. Seguire i passaggi descritti in Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Gli URL del servizio Defender per endpoint consolidati in un dominio semplificato non devono più essere necessari per la connettività. Tuttavia, alcuni URL non sono inclusi nel consolidamento.
La connettività semplificata consente di usare l'opzione seguente per configurare la connettività cloud:
Opzione 1: Configurare la connettività usando il dominio semplificato
Configurare l'ambiente per consentire le connessioni con il dominio di Defender per endpoint semplificato: *.endpoint.security.microsoft.com. Per altre informazioni, vedere Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
È necessario mantenere la connettività con i servizi obbligatori rimanenti elencati nell'elenco aggiornato. Ad esempio, Elenco revoche di certificazione, Windows Update, SmartScreen.
Opzione 2: Configurare la connettività usando intervalli IP statici
Grazie alla connettività semplificata, le soluzioni basate su IP possono essere usate come alternativa agli URL. Questi INDIRIZZI IP coprono i servizi seguenti:
- MAPPE
- Archiviazione di invio di esempi di malware
- Archiviazione di esempio del runtime di integrazione automatica
- Comando e controllo di Defender per endpoint
Importante
Il servizio dati EDR Cyber (OneDsCollector) deve essere configurato separatamente se si usa il metodo IP (questo servizio viene consolidato solo a livello di URL). Devi anche mantenere la connettività con altri servizi necessari, tra cui SmartScreen, CRL, Windows Update e altri servizi.
Per rimanere aggiornati sugli intervalli IP, è consigliabile fare riferimento ai tag del servizio di Azure seguenti per Microsoft Defender per i servizi endpoint. Gli intervalli IP più recenti sono disponibili nel tag del servizio. Per altre informazioni, vedere Intervalli IP di Azure.
| Nome tag del servizio | Defender per endpoint services incluso |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, archiviazione di invio di esempi di malware, archiviazione di esempio a runtime di integrazione automatica, comando e controllo. |
| OneDsCollector | EDR Cyberdata Nota: il traffico sotto questo tag di servizio non è limitato a Defender per endpoint e può includere il traffico dati di diagnostica per altri servizi Microsoft. |
Nella tabella seguente sono elencati gli intervalli IP statici correnti coperti dal tag del servizio MicrosoftDefenderForEndpoint. Per l'elenco più recente, vedere i tag del servizio di Azure.
| Area geografica | Intervalli IP |
|---|---|
| IT | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| UE | 4.208.13.0/24 20.8.195.0/24 |
| Regno Unito | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Importante
In conformità con gli standard di sicurezza e conformità di Defender per endpoint, i dati verranno elaborati e archiviati in base alla posizione fisica del tenant. In base alla posizione del client, il traffico può scorrere attraverso una di queste aree IP (che corrispondono alle aree del data center di Azure). Per altre informazioni, vedere Archiviazione dei dati e privacy.
Passaggio 2. Configurare i dispositivi per la connessione al servizio Defender per endpoint
Configurare i dispositivi per comunicare tramite l'infrastruttura di connettività. Assicurarsi che i dispositivi soddisfino i prerequisiti e che siano state aggiornate le versioni dei sensori e di Microsoft Defender Antivirus. Per altre informazioni, vedere Configurare le impostazioni di connessione Internet e proxy del dispositivo .
Fase 3. Verificare il preonboarding della connettività client
Per altre informazioni, vedere Verificare la connettività client.
I controlli di preonboarding seguenti possono essere eseguiti sia in Windows che in Xplat MDE Client Analyzer: Scaricare l'analizzatore client di Microsoft Defender per endpoint.
Per testare la connettività semplificata per i dispositivi non ancora caricati in Defender per endpoint, è possibile usare Analizzatore client per Windows usando i comandi seguenti:
Eseguire
mdeclientanalyzer.cmd -o <path to cmd file>dall'interno della cartella MDEClientAnalyzer. Il comando usa i parametri del pacchetto di onboarding per testare la connettività.Eseguire
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, dove parametro è di GW_US, GW_EU, GW_UK. GW si riferisce all'opzione semplificata. Eseguire con l'area geografica del tenant applicabile.
Come controllo supplementare, è anche possibile usare l'analizzatore client per verificare se un dispositivo soddisfa i prerequisiti: https://aka.ms/BetaMDEAnalyzer
Nota
Per i dispositivi non ancora caricati in Defender per endpoint, l'analizzatore client eseguirà il test in base al set standard di URL. Per testare l'approccio semplificato, è necessario eseguire con i commutatori elencati in precedenza in questo articolo.
Fase 4. Applicare il nuovo pacchetto di onboarding necessario per semplificare la connettività
Dopo aver configurato la rete per comunicare con l'elenco completo dei servizi, è possibile iniziare l'onboarding dei dispositivi usando il metodo semplificato.
Prima di procedere, verificare che i dispositivi soddisfino i prerequisiti e che siano state aggiornate le versioni del sensore e di Microsoft Defender Antivirus.
Per ottenere il nuovo pacchetto, in Microsoft Defender XDR selezionare Impostazioni > Endpoint > Gestione> dispositivi Onboarding.
Selezionare il sistema operativo applicabile e scegliere "Semplificata" dal menu a discesa Tipo di connettività.
Per i nuovi dispositivi (non caricati in Defender per endpoint) supportati con questo metodo, seguire i passaggi di onboarding delle sezioni precedenti usando il pacchetto con onboarding aggiornato con il metodo di distribuzione preferito:
- Eseguire l'onboarding del client Windows
- Eseguire l'onboarding di Windows Server
- Aggiungere dispositivi non Windows
- Eseguire un test di rilevamento in un dispositivo per verificare che sia stato correttamente eseguito l'onboarding in Microsoft Defender per endpoint
- Escludere i dispositivi da eventuali criteri di onboarding esistenti che usano il pacchetto di onboarding standard.
Per la migrazione dei dispositivi già caricati in Defender per endpoint, vedere Migrazione dei dispositivi alla connettività semplificata. È necessario riavviare il dispositivo e seguire le indicazioni specifiche qui.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per