1단계: 엔드포인트용 Defender 서비스와 연결되도록 네트워크 환경 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender에 디바이스를 온보딩하기 전에 네트워크가 서비스에 연결하도록 구성되어 있는지 확인합니다. 이 프로세스의 첫 번째 단계는 프록시 서버 또는 방화벽 규칙이 엔드포인트용 Defender에 대한 액세스를 차단하는 경우 허용된 도메인 목록에 URL을 추가하는 것입니다. 이 문서에는 이전 버전의 Windows 클라이언트 및 Windows Server에 대한 프록시 및 방화벽 요구 사항에 대한 정보도 포함되어 있습니다.

참고

• 2024년 5월 8일 이후에는 기본 온보딩 방법으로 간소화된 연결(통합 URL 집합)을 유지하거나 (설정 > 엔드포인트 고급 기능)을 통해 표준 연결로 다운그레이드할 수 있습니다>. Intune 또는 클라우드용 Microsoft Defender를 통해 온보딩하려면 관련 옵션을 활성화해야 합니다. 이미 온보딩된 디바이스는 자동으로 다시 등록되지 않습니다. 이러한 경우 Intune에서 새 정책을 만듭니다. 여기서 먼저 연결이 성공했는지 확인하기 위해 테스트 디바이스 집합에 정책을 할당한 다음 대상 그룹을 확장하는 것이 좋습니다. Defender for Cloud의 디바이스는 관련 온보딩 스크립트를 사용하여 다시 등록할 수 있으며, 새로 온보딩된 디바이스는 자동으로 간소화된 온보딩을 받습니다.
• 표준 연결을 계속 사용하는지 여부에 관계없이 현재 및 향후 기능을 위해 모든 디바이스에서 새로운 *.endpoint.security.microsoft.com 통합 도메인에 연결할 수 있어야 합니다.
• 새 지역은 기본적으로 간소화된 연결로 설정되며 표준으로 다운그레이드할 수 있는 옵션이 없습니다. 엔드포인트용 Microsoft Defender에 대한 간소화된 연결을 사용하여 디바이스 온보딩에서 자세히 읽어보세요.

프록시 서버에서 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용

다음 다운로드 가능한 스프레드시트에는 네트워크의 디바이스가 연결할 수 있어야 하는 서비스 및 관련 URL이 나열되어 있습니다. 이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인합니다. 필요에 따라 특별히 허용 규칙을 만들어야 할 수 있습니다.

도메인 목록의 스프레드시트	설명
엔드포인트용 Microsoft Defender 통합 URL 목록(간소화됨)	통합 URL의 스프레드시트입니다. 여기에서 스프레드시트를 다운로드합니다. 적용 가능한 OS: 전체 목록은 간소화된 연결을 참조하세요. - Windows 10 1809 이상 - Windows 11 - Windows Server 2019 - Windows Server 2022 - 엔드 포인트용 Defender 최신 통합 솔루션을 실행하는 Windows Server 2012 R2, Windows Server 2016 R2(MSI를 통해 설치 필요). - 101.23102를 실행하는 macOS 지원 버전* + - 101.23102를 실행하는 Linux 지원 버전* + 최소 구성 요소 버전: - 맬웨어 방지 클라이언트: 4.18.2211.5 - 엔진: 1.1.19900.2 - 보안 인텔리전스: 1.391.345.0 - Xplat 버전: 101.23102.* + - 센서/KB 버전: >10.8040.*/ 2022년 3월 8일 이상 이전에 온보딩된 디바이스를 간소화된 접근 방식으로 이동하는 경우 디바이스 연결 마이그레이션을 참조하세요. Windows 10 버전 1607, 1703, 1709, 1803(RS1-RS4)은 간소화된 온보딩 패키지를 통해 지원되지만 더 긴 URL 목록이 필요합니다(업데이트된 URL 시트 참조). 이러한 버전은 다시 등록을 지원하지 않습니다(먼저 완전히 오프보딩되어야 함). Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, MMA(통합 에이전트)로 업그레이드되지 않은 서버에서 실행되는 디바이스는 MMA 온보딩 방법을 계속 사용해야 합니다.
상용 고객을 위한 엔드포인트용 Microsoft Defender URL 목록(표준)	상용 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다. 여기에서 스프레드시트를 다운로드합니다. 엔드포인트용 Microsoft Defender 플랜 1 및 플랜 2는 동일한 프록시 서비스 URL을 공유합니다. 방화벽에서 geography 열이 WW인 모든 URL을 엽니다. geography 열이 WW가 아닌 행의 경우 특정 데이터 위치에 대한 URL을 엽니다. 데이터 위치 설정을 확인하려면 엔드포인트용 Microsoft Defender에 대한 데이터 스토리지 위치 확인 및 데이터 보존 설정 업데이트를 참조하세요. 모든 종류의 네트워크 검사에서 URL *.blob.core.windows.net 을 제외하지 마세요. 대신 MDE와 관련이 있고 도메인 목록의 스프레드시트에 나열된 Blob URL만 제외합니다.
Gov/GCC/DoD용 엔드포인트용 Microsoft Defender URL 목록	Gov/GCC/DoD 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다. 여기에서 스프레드시트를 다운로드합니다.

중요

• 연결은 운영 체제 또는 Defender 클라이언트 서비스의 컨텍스트에서 수행되며, 따라서 프록시는 이러한 대상에 대한 인증을 요구하거나 보안 채널을 중단하는 검사(HTTPS 검사/SSL 검사)를 수행해서는 안 됩니다.
• Microsoft는 프록시 서버를 제공하지 않습니다. 이러한 URL은 구성하는 프록시 서버를 통해 액세스할 수 있습니다.
• 엔드포인트용 Defender 보안 및 규정 준수 표준을 준수하면 데이터가 테넌트의 물리적 위치에 따라 처리되고 저장됩니다. 클라이언트 위치에 따라 트래픽은 연결된 IP 지역(Azure 데이터 센터 지역에 해당)을 통해 흐를 수 있습니다. 자세한 내용은 데이터 스토리지 및 개인 정보를 참조하세요.

MMA(Microsoft Monitoring Agent) - 이전 버전의 Windows 클라이언트 또는 Windows Server에 대한 추가 프록시 및 방화벽 요구 사항

Windows 7 SP1, Windows 8.1 및 Windows Server 2008 R2에서 Log Analytics 에이전트(Microsoft Monitoring Agent라고도 함)를 통해 엔드포인트용 Defender 통신을 허용하려면 다음 대상이 필요합니다.

에이전트 리소스	포트	방향	HTTP 검사 바이패스
*.ods.opinsights.azure.com	포트 443	아웃바운드	예
*.oms.opinsights.azure.com	포트 443	아웃바운드	예
*.blob.core.windows.net	포트 443	아웃바운드	예
*.azure-automation.net	포트 443	아웃바운드	예

위에 나열된 도메인 내에서 구독에 사용할 정확한 대상을 확인하려면 MMA(Microsoft Monitoring Agent) 서비스 URL 연결을 참조하세요.

참고

MMA 기반 솔루션을 사용하는 서비스는 새로운 간소화된 연결 솔루션(통합 URL 및 정적 IP를 사용하는 옵션)을 활용할 수 없습니다. Windows Server 2016 및 Windows Server 2012 R2의 경우 새 통합 솔루션으로 업데이트해야 합니다. 이러한 운영 체제를 새 통합 솔루션으로 온보딩하는 지침은 온보딩 Windows 서버에 있거나 이미 온보딩된 디바이스를 엔드포인트용 Microsoft Defender의 서버 마이그레이션 시나리오에서 새 통합 솔루션으로 마이그레이션하는 것입니다.

인터넷에 액세스하지 않고/프록시가 없는 디바이스의 경우

직접 인터넷 연결이 없는 디바이스의 경우 프록시 솔루션을 사용하는 것이 좋습니다. 특정 경우 IP 범위에 대한 액세스를 허용하는 방화벽 또는 게이트웨이 디바이스를 사용할 수 있습니다. 자세한 내용은 간소화된 디바이스 연결을 참조하세요.

중요

• 엔드포인트용 Microsoft Defender는 클라우드 보안 솔루션입니다. "인터넷에 액세스할 수 없는 디바이스 온보딩"은 엔드포인트에 대한 인터넷 액세스가 프록시 또는 다른 네트워크 디바이스를 통해 구성되어야 하며 DNS 확인이 항상 필요하다는 것을 의미합니다. 엔드포인트용 Microsoft Defender는 Defender 클라우드 서비스에 대한 직접 또는 프록시 연결 없이 엔드포인트를 지원하지 않습니다. 시스템 전체 프록시 구성을 사용하는 것이 좋습니다.
• 연결이 끊긴 환경의 Windows 또는 Windows Server는 내부 파일 또는 웹 서버를 통해 오프라인으로 인증서 신뢰 목록을 업데이트할 수 있어야 합니다.
• 오프라인으로 CTL을 업데이트하는 방법에 대한 자세한 내용은 CTL 파일을 다운로드하도록 파일 또는 웹 서버 구성을 참조하세요.

다음 단계

2단계: 프록시를 사용하여 엔드포인트용 Defender 서비스에 연결하도록 디바이스를 구성합니다.