Pålastingsenheter som bruker strømlinjeformet tilkobling for Microsoft Defender for Endpoint

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Defender for Endpoint-klienten kan kreve bruk av utsatte tilkoblinger til relevante skytjenester. Denne artikkelen beskriver metoden for strømlinjeformet enhetstilkobling, forutsetningene og gir tilleggsinformasjon for å bekrefte tilkoblingen ved hjelp av de nye destinasjonene.

For å forenkle nettverkskonfigurasjon og administrasjon har du nå muligheten til å pålaste nye enheter til Defender for Endpoint ved hjelp av et redusert nettadressesett eller statiske IP-områder. Hvis du vil ha mer informasjon om overføring av tidligere innebygde enheter, kan du se Overføre enheter til strømlinjeformet tilkobling.

Defender for endepunktanerkjent forenklet domene: *.endpoint.security.microsoft.com konsoliderer tilkobling til følgende kjernetjenester for Defender for Endpoint:

• Skybasert beskyttelse
• Lagringsplass for eksempel på innsending av skadelig programvare
• Auto-IR-eksempellagring
• Kommandoen Defender for endepunkt & kontroll
• Defender for nett- og diagnosedata for endepunkt

Hvis du vil ha mer informasjon om hvordan du klargjør miljøet og den oppdaterte listen over mål, kan du se TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling til Defender for Endpoint-tjenesten.

Hvis du vil støtte nettverksenheter uten vertsnavnoppløsning eller jokertegnstøtte, kan du alternativt konfigurere tilkobling ved hjelp av dedikerte statiske IP-områder for Defender for Endpoint. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkobling ved hjelp av statiske IP-områder.

Obs!

• Den strømlinjeformede tilkoblingsmetoden endrer ikke hvordan Microsoft Defender for Endpoint fungerer på en enhet, og det vil heller ikke endre sluttbrukeropplevelsen. Bare nettadressene eller IP-ene som en enhet bruker til å koble til tjenesten, endres.
• Det finnes for øyeblikket ingen plan for å avskrive de gamle, konsoliderte url-adressene for tjenesten. Enheter som er pålastet med «standard»-tilkobling, fortsetter å fungere. Det er viktig å sikre at tilkoblingen *.endpoint.security.microsoft.com er og forblir mulig, da fremtidige tjenester vil kreve det. Denne nye URL-adressen er inkludert i alle nødvendige URL-adresselister.
• Tilkoblinger til tjenesten drar nytte av sertifikat festing og TLS. Det støttes ikke for å «bryte og inspisere» trafikk. I tillegg startes tilkoblinger fra en enhetskontekst, ikke en brukerkontekst. Aktivering av proxy-godkjenning (bruker) vil i de fleste tilfeller ikke tillate tilkobling til (brudd).

Før du starter

Enheter må oppfylle bestemte forutsetninger for å bruke den strømlinjeformede tilkoblingsmetoden for Defender for Endpoint. Sørg for at forutsetningene er oppfylt før du fortsetter med pålasting.

Forutsetninger

Lisens:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business
• Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender

Minimum KB-oppdatering (Windows)

• SENSE-versjon: 10.8040.*/ 8. mars 2022 eller nyere (se tabell)

Microsoft Defender Antivirus-versjoner (Windows)

• Klient for beskyttelse mot skadelig programvare:4.18.2211.5
• Motor:1.1.19900.2
• Antivirus (sikkerhetsintelligens):1.391.345.0

Defender Antivirus-versjoner (macOS/Linux)

• macOS-støttede versjoner med MDE-produktversjon 101.24022.*+
• Linux-støttede versjoner med MDE-produktversjon 101.24022.*+

Operativsystemer som støttes

• Windows 10 versjon 1809 eller nyere. Windows 10 versjoner 1607, 1703, 1709, 1803 støttes på den strømlinjeformede pålastingspakken, men krever en annen nettadresseliste, se strømlinjeformet nettadresseark
• Windows 11
• Windows Server 2022
• Windows Server 2019
• Windows Server 2012 R2 eller Windows Server 2016, fullstendig oppdatert kjører Defender for Endpoint moderne enhetlig løsning (installasjon gjennom MSI).
• macOS-støttede versjoner med MDE-produktversjon 101.24022.*+
• Linux-støttede versjoner med MDE-produktversjon 101.24022.*+

Viktig

• Enheter som kjører på MMA-agent, støttes ikke på den strømlinjeformede tilkoblingsmetoden, og må fortsette å bruke standard nettadressesett (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 ikke oppgradert til moderne enhetlig agent).
• Windows Server 2012 R2 og Server 2016 må oppgradere til enhetlig agent for å dra nytte av den nye metoden.
  
• Windows 10 1607, 1703, 1709, 1803 kan dra nytte av det nye pålastingsalternativet, men vil bruke en lengre liste. Hvis du vil ha mer informasjon, kan du se det strømlinjeformede nettadressearket.

Windows OS	Minimum kb obligatorisk (8. mars 2022)
Windows 11	KB5011493 (8. mars 2022)
Windows 10 1809, Windows Server 2019	KB5011503 (8. mars 2022)
Windows 10 19H2 (1909)	KB5011485 (8. mars 2022)
Windows 10 20H2, 21H2	KB5011487 (8. mars 2022)
Windows 10 22H2	KB5020953 (28. oktober 2022)
Windows 10 1803*	< slutt på tjenesten >
Windows 10 1709*	< slutt på tjenesten >
Windows Server 2022	KB5011497 (8. mars 2022)
Windows Server 2012 R2, 2016*	Enhetlig agent

Strømlinjeformet tilkoblingsprosess

Illustrasjonen nedenfor viser den strømlinjeformede tilkoblingsprosessen og tilsvarende faser:

Trinn 1. Konfigurer nettverksmiljøet for skytilkobling

Når du bekrefter at forutsetningene er oppfylt, må du sørge for at nettverksmiljøet er riktig konfigurert for å støtte den strømlinjeformede tilkoblingsmetoden. Følg trinnene som er beskrevet i Konfigurer nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.

Url-adresser for Defender for Endpoint-tjenesten som er konsolidert under forenklet domene, må ikke lenger være nødvendig for tilkobling. Noen nettadresser er imidlertid ikke inkludert i konsolideringen.

Strømlinjeformet tilkobling lar deg bruke følgende alternativ for å konfigurere skytilkobling:

• Alternativ 1: Bruk det forenklede domenet
• Alternativ 2: Bruk statiske IP-områder

Alternativ 1: Konfigurere tilkobling ved hjelp av det forenklede domenet

Konfigurer miljøet til å tillate tilkoblinger til det forenklede Defender for Endpoint-domenet: *.endpoint.security.microsoft.com. Hvis du vil ha mer informasjon, kan du se Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten.

Du må opprettholde tilkoblingen med gjenstående nødvendige tjenester som er oppført under den oppdaterte listen. Sertifiseringsopphevelseslisten, Windows Update, SmartScreen-tjenester må for eksempel også være tilgjengelig avhengig av gjeldende nettverksinfrastruktur og oppdateringstilnærming.

Alternativ 2: Konfigurere tilkobling ved hjelp av statiske IP-områder

Med strømlinjeformet tilkobling kan IP-baserte løsninger brukes som et alternativ til nettadresser. Disse IP-ene dekker følgende tjenester:

• KART
• Lagringsplass for eksempel på innsending av skadelig programvare
• Automatisk IR-eksempellagring
• Kommando og kontroll for Defender for endepunkt

Viktig

EDR Cyber data service (OneDsCollector) må konfigureres separat hvis du bruker IP-metoden (denne tjenesten er bare konsolidert på et NETT-nivå). Du må også opprettholde tilkoblingen til andre nødvendige tjenester, inkludert SmartScreen, CRL, Windows Update og andre tjenester.

For å holde deg oppdatert på IP-områder, anbefales det å referere til følgende Azure-tjenestekoder for Microsoft Defender for Endpoint-tjenester. De nyeste IP-områdene finnes i tjenestekoden. Hvis du vil ha mer informasjon, kan du se Azure IP-områder.

Navn på tjenestekode	Defender for endepunkttjenester inkludert
MicrosoftDefenderForEndpoint	Skybasert beskyttelse, lagringsplass for eksempel på innsending av skadelig programvare, auto-IR-eksempellagring, Defender for endepunkt-kommando og -kontroll.
OneDsCollector	Defender for nett- og diagnosedata for endepunkt Obs! Trafikken under denne tjenestekoden er ikke begrenset til Defender for Endpoint og kan inkludere diagnosedatatrafikk for andre Microsoft-tjenester.

Tabellen nedenfor viser gjeldende statiske IP-områder som dekkes av MicrosoftDefenderForEndpoint-tjenestekoden. Hvis du vil ha den nyeste listen, kan du se dokumentasjonen for Azure-tjenestekoder .

Geo	IP-områder
OSS	20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24
EU	4.208.13.0/24 20.8.195.0/24
STORBRITANNIA	20.26.63.224/28 20.254.173.48/28
AU	68.218.120.64/28 20.211.228.80/28

Viktig

I samsvar med Defender for sikkerhets- og samsvarsstandarder for endepunkt, behandles og lagres dataene i samsvar med leierens fysiske plassering. Basert på klientplassering kan trafikken flyte gjennom noen av disse IP-områdene (som tilsvarer Azure-datasenterområder). Hvis du vil ha mer informasjon, kan du se Datalagring og personvern.

Trinn 2. Konfigurer enhetene til å koble til Defender for Endpoint-tjenesten

Konfigurer enheter til å kommunisere gjennom tilkoblingsinfrastrukturen. Sørg for at enhetene oppfyller forutsetningene og har oppdatert sensor og Microsoft Defender Antivirus-versjoner. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for enhetsproxy og Internett-tilkobling .

Trinn 3. Bekreft forhåndsinnlasting av klienttilkobling

Hvis du vil ha mer informasjon, kan du se Kontrollere klienttilkobling.

Følgende preonboarding-kontroller kan kjøres på både Windows og Xplat MDE Client Analyzer: Last ned Microsoft Defender for Endpoint Client Analyzer.

Hvis du vil teste strømlinjeformet tilkobling for enheter som ennå ikke er innebygd i Defender for Endpoint, kan du bruke Klientanalyse for Windows ved hjelp av følgende kommandoer:

• Kjør mdeclientanalyzer.cmd -o <path to cmd file> fra MDEClientAnalyzer-mappen. Kommandoen bruker parametere fra pålastingspakken til å teste tilkoblingen.

• Kjør mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , der parameteren er av GW_US, GW_EU GW_UK. GW refererer til det strømlinjeformede alternativet. Kjør med gjeldende geo-leier.

Som en ekstra kontroll kan du også bruke klientanalysen til å teste om en enhet oppfyller forutsetninger: https://aka.ms/BetaMDEAnalyzer

Obs!

Klientanalyse tester mot standardsett med nettadresser for enheter som ennå ikke er koblet til Defender for endepunkt. Hvis du vil teste den strømlinjeformede tilnærmingen, må du kjøre med bryterne som er oppført tidligere i denne artikkelen.

Trinn 4. Bruk den nye pålastingspakken som kreves for strømlinjeformet tilkobling

Når du konfigurerer nettverket til å kommunisere med den fullstendige listen over tjenester, kan du begynne pålastingsenheter ved hjelp av den strømlinjeformede metoden.

Bekreft at enhetene oppfyller forutsetningene før du fortsetter, og har oppdatert sensor- og Microsoft Defender Antivirus-versjoner.

1. Hvis du vil ha den nye pakken, velger du Pålasting for enhetsbehandling >> for innstillinger >i Microsoft Defender XDR.

2. Velg det aktuelle operativsystemet, og velg «Strømlinjeformet» fra rullegardinmenyen tilkoblingstype.

3. For nye enheter (ikke innebygd i Defender for endepunkt) som støttes under denne metoden, følger du pålastingstrinn fra tidligere inndelinger ved hjelp av den oppdaterte innebygde pakken med den foretrukne distribusjonsmetoden:

• Innebygd Windows-klient
• Windows Server på bord
• Innebygde enheter som ikke er Windows-enheter
• Kjør en gjenkjenningstest på en enhet for å bekrefte at den er riktig innlastet til Microsoft Defender for endepunkt

4. Utelat enheter fra eksisterende pålastingspolicyer som bruker standard pålastingspakke.

Hvis du vil overføre enheter som allerede er koblet til Defender for endepunkt, kan du se Overføre enheter til den strømlinjeformede tilkoblingen. Du må starte enheten på nytt og følge spesifikk veiledning her.