Onboarding di dispositivi con connettività semplificata per Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Nota
Il metodo di onboarding semplificato è attualmente disponibile in anteprima pubblica. Assicurarsi di esaminare i prerequisiti per confermare i requisiti e i sistemi operativi supportati.
Il servizio Microsoft Defender per endpoint può richiedere l'uso di configurazioni proxy per segnalare i dati di diagnostica e comunicare i dati al servizio. Prima della disponibilità del metodo di connettività semplificata, erano necessari altri URL e gli intervalli IP statici di Defender per endpoint non erano supportati. Per altre informazioni sui processi di connettività MDE completi, vedere PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Questo articolo descrive il metodo semplificato di connettività dei dispositivi e come eseguire l'onboarding di nuovi dispositivi per usare una distribuzione e una gestione più semplici dei servizi di connettività cloud di Defender per endpoint. Per altre informazioni sulla migrazione dei dispositivi di cui è stato eseguito l'onboarding in precedenza, vedere Migrazione dei dispositivi per semplificare la connettività.
Per semplificare la configurazione e la gestione della rete, è ora possibile eseguire l'onboarding dei dispositivi in Defender per endpoint usando un set di URL ridotto o intervalli IP statici. Vedere l'elenco degli URL semplificati
Il dominio semplificato riconosciuto da Defender per endpoint: *.endpoint.security.microsoft.com
sostituisce il seguente core Defender per Endpoint Services:
- Cloud Protection/MAPS
- Archiviazione di invio di esempi di malware
- Archiviazione di esempio del runtime di integrazione automatica
- Controllo & del comando di Defender per endpoint
- EDR Cyberdata
Per supportare i dispositivi di rete senza il supporto della risoluzione dei nomi host o dei caratteri jolly, è possibile configurare in alternativa la connettività usando intervalli IP statici dedicati di Defender per endpoint. Per altre informazioni, vedere Configurare la connettività usando intervalli IP statici.
Nota
Il metodo di connettività semplificato non modificherà il modo in cui funziona Microsoft Defender per endpoint in un dispositivo né modificherà l'esperienza dell'utente finale. Verranno modificati solo gli URL o gli INDIRIZZI IP usati da un dispositivo per connettersi al servizio.
Importante
Limitazioni di anteprima e problemi noti:
- La connettività semplificata non supporta l'onboarding tramite API (include Microsoft Defender per cloud e Intune).
- Questo metodo di onboarding presenta prerequisiti specifici che non si applicano al metodo di onboarding standard.
Servizi consolidati
Gli URL di Defender per endpoint seguenti consolidati nel dominio semplificato non devono più essere necessari per la connettività se è consentito e i *.endpoint.security.microsoft.com
dispositivi vengono caricati usando il pacchetto di onboarding semplificato. Sarà necessario mantenere la connettività con altri servizi obbligatori non consolidati rilevanti per l'organizzazione, ad esempio CRL, SmartScreen/Network Protection e WNS.
Per l'elenco aggiornato degli URL necessari, vedere Scaricare il foglio di calcolo qui.
Importante
Se si sta configurando usando gli intervalli IP, sarà necessario configurare separatamente il servizio cyberdata EDR. Questo servizio non viene consolidato a livello IP. Per altri dettagli, vedere la sezione seguente.
Categoria | URL consolidati |
---|---|
MAPS: protezione fornita dal cloud | *.wdcp.microsoft.com *.wd.microsoft.com |
& di protezione del cloud aggiornamenti dell'intelligence per la sicurezza per macOS e Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Archiviazione di invio di esempi di malware | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Archiviazione di esempio del runtime di integrazione automatica di Defender per endpoint | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Comando e controllo di Defender per endpoint | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Prima di iniziare
I dispositivi devono soddisfare prerequisiti specifici per usare il metodo di connettività semplificato per Defender per endpoint. Assicurarsi che i prerequisiti vengano soddisfatti prima di procedere con l'onboarding.
Prerequisiti
Licenza:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint piano 2
- Microsoft Defender for Business
- Gestione delle vulnerabilità di Microsoft Defender
Aggiornamento minimo KB (Windows)
- Versione SENSE: 10.8040.*/ 8 marzo 2022 o versione successiva (vedere la tabella)
Microsoft Defender versioni di Antivirus (Windows)
- Client antimalware: 4.18.2211.5
- Motore: 1.1.19900.2
- Antivirus (Security Intelligence): 1.391.345.0
Versioni di Defender Antivirus (macOS/Linux)
- Versioni supportate di macOS con MDE versione del prodotto 101.24022.*+
- Versioni supportate da Linux con MDE versione del prodotto 101.24022.*+
Sistemi operativi supportati
- Windows 10 versione 1809 o successiva
- Windows 10 versioni 1607, 1703, 1709 e 1803 sono supportate nel pacchetto di onboarding semplificato, ma richiedono un elenco di URL diverso, vedere il foglio degli URL semplificato
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, completamente aggiornato con la soluzione unificata moderna defender per endpoint (installazione tramite MSI).
- Versioni supportate di macOS con MDE versione del prodotto 101.24022.*+
- Versioni supportate da Linux con MDE versione del prodotto 101.24022.*+
Importante
- I dispositivi in esecuzione nell'agente MMA non sono supportati nel metodo di connettività semplificata e dovranno continuare a usare il set di URL standard (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 non aggiornato all'agente unificato moderno).
- Windows Server 2012 R2 e Server 2016 R2 dovranno eseguire l'aggiornamento all'agente unificato per sfruttare il nuovo metodo.
- Windows 10 1607, 1703, 1709, 1803 può sfruttare la nuova opzione di onboarding, ma userà un elenco più lungo. Per altre informazioni, vedere foglio di URL semplificato.
Sistema operativo Windows | KB minima richiesta (8 marzo 2022) |
---|---|
Windows 11 | KB5011493 (8 marzo 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8 marzo 2022) |
Windows 10 19H2 (1909) | KB5011485 (8 marzo 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8 marzo 2022) |
Windows 10 22H2 | KB5020953 (28 ottobre 2022) |
Windows 10 1803* | < fine del servizio > |
Windows 10 1709* | < fine del servizio > |
Windows Server 2022 | KB5011497 (8 marzo 2022) |
Windows Server 2012 R2, 2016* | Agente unificato |
Windows Server 2016 R2 | Agente unificato |
Processo di connettività semplificato
La figura seguente illustra il processo di connettività semplificata e le fasi corrispondenti:
Passaggio 1. Configurare l'ambiente di rete per la connettività cloud
Dopo aver verificato che i prerequisiti siano soddisfatti, assicurarsi che l'ambiente di rete sia configurato correttamente per supportare il metodo di connettività semplificato. Usando il metodo semplificato (anteprima), seguire i passaggi descritti in Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
Defender per Endpoint Services consolidato con il metodo semplificato non deve più essere necessario per la connettività. Tuttavia, alcuni URL non sono inclusi nel consolidamento.
La connettività semplificata consente di usare l'opzione seguente per configurare la connettività cloud:
Opzione 1: Configurare la connettività usando il dominio semplificato
Configurare l'ambiente per consentire le connessioni con il dominio di Defender per endpoint semplificato: *.endpoint.security.microsoft.com
. Per altre informazioni, vedere Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint.
È necessario mantenere la connettività con i servizi obbligatori rimanenti elencati nell'elenco aggiornato. Ad esempio, Elenco revoche di certificazione, Windows Update, SmartScreen.
Opzione 2: Configurare la connettività usando intervalli IP statici
Grazie alla connettività semplificata, le soluzioni basate su IP possono essere usate come alternativa agli URL. Questi INDIRIZZI IP coprono i servizi seguenti:
- MAPPE
- Archiviazione di invio di esempi di malware
- Archiviazione di esempio del runtime di integrazione automatica
- Comando e controllo di Defender per endpoint
Importante
Il servizio dati EDR Cyber deve essere configurato separatamente se si usa il metodo IP (questo servizio viene consolidato solo a livello di URL). È anche necessario mantenere la connettività con altri servizi necessari, tra cui SmartScreen, CRL, Windows Update e altri servizi.
Per rimanere aggiornati sugli intervalli IP, è consigliabile fare riferimento ai tag del servizio di Azure seguenti per i servizi Microsoft Defender per endpoint. Gli intervalli IP più recenti verranno sempre trovati nel tag del servizio. Per altre informazioni, vedere Intervalli IP di Azure.
Nome tag del servizio | Defender per endpoint services incluso |
---|---|
MicrosoftDefenderForEndpoint | MAPS, archiviazione di invio di esempi di malware, archiviazione di esempio a runtime di integrazione automatica, comando e controllo. |
OneDsCollector | EDR Cyberdata Nota: il traffico con questo tag di servizio non è limitato a Defender per endpoint e può includere il traffico dati di diagnostica per altri servizi Microsoft. |
Nella tabella seguente sono elencati gli intervalli IP statici correnti. Per l'elenco più recente, vedere i tag del servizio di Azure.
Area geografica | Intervalli IP |
---|---|
IT | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
UE | 4.208.13.0/24 20.8.195.0/24 |
Regno Unito | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Importante
In conformità con gli standard di sicurezza e conformità di Defender per endpoint, i dati verranno elaborati e archiviati in base alla posizione fisica del tenant. In base alla posizione del client, il traffico può scorrere attraverso una di queste aree IP (che corrispondono alle aree del data center di Azure). Per altre informazioni, vedere Archiviazione dei dati e privacy.
Passaggio 2. Configurare i dispositivi per la connessione al servizio Defender per endpoint
Configurare i dispositivi per comunicare tramite l'infrastruttura di connettività. Assicurarsi che i dispositivi soddisfino i prerequisiti e che siano state aggiornate le versioni di sensore e Microsoft Defender Antivirus. Per altre informazioni, vedere Configurare le impostazioni di connessione Internet e proxy del dispositivo .
Fase 3. Verificare il preonboarding della connettività client
Per altre informazioni, vedere Verificare la connettività client.
I controlli di preonboarding seguenti possono essere eseguiti sia in Windows che in Xplat MDE Analizzatore client: scaricare l'analizzatore client Microsoft Defender per endpoint.
Per testare la connettività semplificata per i dispositivi non ancora caricati in Defender per endpoint, è possibile usare Analizzatore client per Windows usando i comandi seguenti:
Eseguire
mdeclientanalyzer.cmd -o <path to cmd file>
dall'interno della cartella MDEClientAnalyzer. Il comando usa i parametri del pacchetto di onboarding per testare la connettività.Eseguire
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, dove parametro è di GW_US, GW_EU, GW_UK. GW si riferisce all'opzione semplificata. Eseguire con l'area geografica del tenant applicabile.
Come controllo supplementare, è anche possibile usare l'analizzatore client per verificare se un dispositivo soddisfa i prerequisiti: https://aka.ms/BetaMDEAnalyzer
Nota
Per i dispositivi non ancora caricati in Defender per endpoint, l'analizzatore client eseguirà il test in base al set standard di URL. Per testare l'approccio semplificato, è necessario eseguire con i commutatori elencati in precedenza in questo articolo.
Fase 4. Applicare il nuovo pacchetto di onboarding necessario per semplificare la connettività
Dopo aver configurato la rete per comunicare con l'elenco completo dei servizi, è possibile iniziare l'onboarding dei dispositivi usando il metodo semplificato. Si noti che l'onboarding tramite API non è attualmente supportato (include Intune & Microsoft Defender per il cloud).
Prima di procedere, verificare che i dispositivi soddisfino i prerequisiti e abbiano aggiornato le versioni del sensore e Microsoft Defender Antivirus.
Per ottenere il nuovo pacchetto, in Microsoft Defender XDR selezionare Impostazioni > Endpoint > Gestione> dispositivi Onboarding.
Selezionare il sistema operativo applicabile e scegliere "Semplificata (anteprima)" dal menu a discesa Tipo di connettività.
Per i nuovi dispositivi (non caricati in Defender per endpoint) supportati con questo metodo, seguire i passaggi di onboarding delle sezioni precedenti usando il pacchetto con onboarding aggiornato con il metodo di distribuzione preferito:
- Eseguire l'onboarding del client Windows
- Eseguire l'onboarding di Windows Server
- Aggiungere dispositivi non Windows
- Eseguire un test di rilevamento in un dispositivo per verificare che sia stato eseguito correttamente l'onboarding in Microsoft Defender per endpoint
Escludere i dispositivi da eventuali criteri di onboarding esistenti che usano il pacchetto di onboarding standard.
Per la migrazione dei dispositivi già caricati in Defender per endpoint, vedere Migrazione dei dispositivi alla connettività semplificata. È necessario riavviare il dispositivo e seguire le indicazioni specifiche qui.
Quando si è pronti per impostare il pacchetto di onboarding predefinito su semplificato, è possibile attivare l'impostazione Funzionalità avanzate seguente nel portale di Microsoft Defender (Funzionalità avanzate degli > endpoint delle impostazioni>).
Nota
Prima di procedere con questa opzione, verificare che l'ambiente sia pronto e che tutti i dispositivi soddisfino i prerequisiti.
Questa impostazione imposta il pacchetto di onboarding predefinito su "semplificato" per i sistemi operativi applicabili. È comunque possibile usare il pacchetto di onboarding standard all'interno della pagina di onboarding, ma è necessario selezionarlo in modo specifico nell'elenco a discesa.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per