Configurare le impostazioni di connettività Internet e proxy dell'endpoint
Ogni sensore Microsoft Defender per identità richiede la connettività Internet al servizio cloud Defender per identità per segnalare i dati dei sensori e funzionare correttamente.
In alcune organizzazioni, i controller di dominio non sono direttamente connessi a Internet, ma sono connessi tramite una connessione proxy Web e l'ispezione SSL e l'intercettazione dei proxy non sono supportati per motivi di sicurezza. In questi casi, il server proxy deve consentire ai dati di passare direttamente dai sensori defender per identità agli URL pertinenti senza intercettare.
Importante
Microsoft non fornisce un server proxy. Questo articolo descrive come assicurarsi che gli URL necessari siano accessibili tramite un server proxy configurato.
Abilitare l'accesso agli URL del servizio Defender per identità nel server proxy
Per garantire la massima sicurezza e privacy dei dati, Defender per identità usa l'autenticazione reciproca basata su certificati tra ogni sensore defender per identità e il back-end cloud defender per identità. L'ispezione SSL e l'intercettazione non sono supportate perché interferiscono nel processo di autenticazione.
Per abilitare l'accesso a Defender per identità, assicurarsi di consentire il traffico verso l'URL del sensore usando la sintassi seguente: <your-workspace-name>sensorapi.atp.azure.com
. Ad esempio: contoso-corpsensorapi.atp.azure.com
.
Se il proxy o il firewall usa elenchi consentiti espliciti, è anche consigliabile assicurarsi che siano consentiti gli URL seguenti:
crl.microsoft.com
ctldl.windowsupdate.com
www.microsoft.com/pkiops/*
www.microsoft.com/pki/*
In alcuni casi, gli indirizzi IP del servizio Defender per identità possono cambiare. Se si configurano manualmente gli indirizzi IP o se il proxy risolve automaticamente i nomi DNS nel relativo indirizzo IP e li usa, è consigliabile verificare periodicamente che gli indirizzi IP configurati siano ancora aggiornati.
Se il proxy è stato configurato in precedenza usando le opzioni legacy, tra cui WiniNet o un aggiornamento della chiave del Registro di sistema, sarà necessario apportare modifiche usando il metodo usato originariamente. Per altre informazioni, vedere Modificare la configurazione del proxy usando metodi legacy.
Abilitare l'accesso con un tag di servizio
Invece di abilitare manualmente l'accesso a endpoint specifici, scaricare gli intervalli IP di Azure e i tag di servizio - Cloud pubblico e usare gli intervalli di indirizzi IP nel tag del servizio Azure AzureAdvancedThreatProtection per abilitare l'accesso a Defender per identità.
Per altre informazioni, vedere Tag del servizio di rete virtuale. Per le offerte del governo degli Stati Uniti, vedere Introduzione alle offerte del governo degli Stati Uniti.
Modificare la configurazione del proxy usando l'interfaccia della riga di comando
Prerequisiti: individuare il Microsoft.Tri.Sensor.Deployment.Deployer.exe
file. Questo file si trova insieme all'installazione del sensore. Per impostazione predefinita, questo percorso è C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
Per modificare la configurazione proxy del sensore corrente:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
Per rimuovere completamente la configurazione proxy del sensore corrente:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
Modificare la configurazione del proxy con PowerShell
Prerequisiti: prima di eseguire i comandi di PowerShell di Defender per identità, assicurarsi di aver scaricato il modulo PowerShell defender per identità.
È possibile visualizzare e modificare la configurazione del proxy per il sensore usando PowerShell. A tale scopo, accedere al server del sensore ed eseguire comandi come illustrato negli esempi seguenti:
Per visualizzare la configurazione proxy del sensore corrente:
Get-MDISensorProxyConfiguration
Per modificare la configurazione proxy del sensore corrente:
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
In questo esempio viene impostata la configurazione proxy per il sensore defender per identità per l'uso del server proxy specificato senza credenziali.
Per rimuovere completamente la configurazione proxy del sensore corrente:
Clear-MDISensorProxyConfiguration
Per altre informazioni, vedere i riferimenti a PowerShell di DefenderForIdentity seguenti:
Modificare la configurazione del proxy usando metodi legacy
Se le impostazioni proxy sono state configurate in precedenza tramite WinINet o una chiave del Registro di sistema ed è necessario aggiornarle, sarà necessario usare lo stesso metodo usato in origine.
Durante la configurazione del proxy dalla riga di comando durante l'installazione, solo i servizi del sensore Defender per identità comunicano tramite il proxy, usando WinINet o un Registro di sistema consentono ad altri servizi in esecuzione nel contesto come sistema locale o servizio locale di indirizzare anche il traffico attraverso il proxy.
Configurare un server proxy tramite WinINet
Quando si configura il proxy tramite WinINet, tenere presente che il servizio sensore di Defender per identità incorporato viene eseguito nel contesto di sistema usando l'account LocalService e che il servizio di aggiornamento del sensore di identità Defender per identità viene eseguito nel contesto di sistema usando l'account LocalSystem .
Se si usa WinHTTP per la configurazione proxy, è comunque necessario configurare le impostazioni proxy del browser Windows Internet (WinINet) per la comunicazione tra il sensore e il servizio cloud Defender per identità.
Se si usa transparent proxy o WPAD nella topologia di rete, non è necessario configurare WinINet per il proxy.
Configurare un server proxy usando il Registro di sistema
Questa sezione descrive come configurare manualmente un server proxy statico usando un proxy statico basato sul Registro di sistema.
Importante
La configurazione di un proxy tramite il Registro di sistema influisce su tutte le applicazioni che usano WinINet con gli account LocalService e LocalSystem , inclusi i servizi di Windows.
Applicare le modifiche del Registro di sistema solo agli account LocalService e LocalSystem .
Per configurare il proxy, copiare la configurazione proxy nel contesto utente negli account LocalSystem e LocalService come indicato di seguito:
Eseguire il backup delle chiavi del Registro di sistema.
Nel Registro di sistema cercare il
DefaultConnectionSettings
valore comeREG_BINARY
, sotto laHKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
chiave del Registro di sistema e copiarlo.LocalSystem
Se non dispone delle impostazioni proxy corrette, copiare l'impostazione proxy daCurrent_User
aLocalSystem
, sotto la chiave delHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
Registro di sistema.Assicurarsi di incollare il valore dalla
Current_User
chiave del Registro di sistema comeREG_BINARY
DefaultConnectionSettings
.Questa situazione può verificarsi se le impostazioni proxy non sono configurate o se sono diverse da
Current_User
.Se non
LocalService
dispone delle impostazioni proxy corrette, copiare l'impostazione proxy daCurrent_User
aLocalService
, sotto la chiave delHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
Registro di sistema.Assicurarsi di incollare il valore dalla
Current_User
chiave del Registro di sistema comeREG_BINARY
DefaultConnectionSettings
.
Contenuto correlato
Per altre informazioni, vedi:
- Eseguire un'installazione invisibile all'utente con una configurazione proxy
- Testare la connettività Microsoft Defender per identità