TRINN 1: Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint-tjenesten
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Før du setter enheter på bord i Defender for Endpoint, må du kontrollere at nettverket er konfigurert til å koble til tjenesten, ved å tillate utgående tilkobling og omgå HTTPS-inspeksjon for nettadressene for tjenesten. Det første trinnet i denne prosessen innebærer å legge til nettadresser i listen over tillatte domener hvis proxy-serveren eller brannmurreglene hindrer tilgang til Defender for endepunkt. Denne artikkelen inneholder også informasjon om proxy- og brannmurkrav for eldre versjoner av Windows-klienten og Windows Server.
Obs!
- Etter 8. mai 2024 har du muligheten til å beholde strømlinjeformet tilkobling (konsolidert sett med nettadresser) som standard pålastingsmetode, eller nedgradere til standard tilkobling gjennom (Innstillinger > endepunkter > Avanserte funksjoner). Hvis du vil ha pålasting gjennom Intune eller Microsoft Defender for Cloud, må du aktivere det relevante alternativet. Enheter som allerede er pålastet, blir ikke automatisk omlastet. I slike tilfeller kan du opprette en ny policy i Intune, der det anbefales først å tilordne policyen til et sett med testenheter for å bekrefte at tilkoblingen er vellykket, og deretter utvide målgruppen. Enheter i Defender for Cloud kan omlastes ved hjelp av det relevante pålastingsskriptet, mens nylig pålastede enheter automatisk mottar strømlinjeformet pålasting.
- Det nye konsoliderte *.endpoint.security.microsoft.com-domenet må kunne nås for alle enheter, for gjeldende og fremtidig funksjonalitet, uavhengig av om du fortsetter å bruke standard tilkobling.
- Nye områder vil som standard bruke strømlinjeformet tilkobling og har ikke mulighet til å nedgradere til Standard. Les mer på pålastingsenheter ved hjelp av strømlinjeformet tilkobling for Microsoft Defender for endepunkt.
Aktiver tilgang til url-adresser for Microsoft Defender for endepunkt-tjenesten på proxy-serveren
Følgende nedlastbare regneark viser tjenestene og de tilknyttede nettadressene som enhetene i nettverket må kunne koble til. Kontroller at det ikke finnes noen regler for brannmur eller nettverksfiltrering for å nekte tilgang for disse URL-adressene. Du må kanskje opprette en tillatelsesregel spesielt for dem.
| Regneark med domeneliste | Beskrivelse |
|---|---|
| Microsoft Defender for endepunkt konsolidert url-liste (strømlinjeformet) | Regneark med konsoliderte URL-adresser. Last ned regnearket her. Gjeldende operativsystem: Hvis du vil ha en fullstendig liste, kan du se strømlinjeformet tilkobling. - Windows 10 1809+ - Windows 11 – Windows Server 2019 – Windows Server 2022 – Windows Server 2012 R2, Windows Server 2016 R2 kjører Defender for Endpoint moderne enhetlig løsning (krever installasjon via MSI). – macOS-støttede versjoner som kjører 101.23102.* + – Linux-støttede versjoner som kjører 101.23102.* + Minimumsversjoner av komponenter: - Klient for beskyttelse mot skadelig programvare: 4.18.2211.5 - Motor: 1.1.19900.2 - Sikkerhetsintelligens: 1.391.345.0 - Xplat versjon: 101.23102.* + - Sensor/ KB-versjon: >10.8040.*/ 8. mars 2022+ Hvis du flytter tidligere innebygde enheter til den strømlinjeformede tilnærmingen, kan du se Overføre enhetstilkobling Windows 10 versjoner 1607, 1703, 1709, 1803 (RS1-RS4) støttes via den strømlinjeformede pålastingspakken, men krever en lengre nettadresseliste (se oppdatert nettadresseark). Disse versjonene støtter ikke ny pålasting (må være helt avlastet først). Enheter som kjører på Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, servere som ikke oppgraderes til Unified Agent (MMA), må fortsette å bruke MMA-pålastingsmetode. |
| Microsoft Defender for endepunkt URL-adresseliste for kommersielle kunder (Standard) | Regneark med bestemte DNS-poster for tjenesteplasseringer, geografiske plasseringer og operativsystemet for kommersielle kunder. Microsoft Defender for endepunkt Plan 1 og Plan 2 deler de samme URL-adressene for proxy-tjenesten. Åpne alle nettadressene der geografikolonnen er WW i brannmuren. Åpne nettadressene til den bestemte dataplasseringen for rader der geografikolonnen ikke er WW. Hvis du vil bekrefte dataplasseringsinnstillingen, kan du se Kontrollere datalagringsplassering og oppdatere innstillinger for dataoppbevaring for Microsoft Defender for endepunkt. Ikke utelat nettadressen |
| Microsoft Defender for endepunkt URL-adresseliste for Gov/GCC/DoD | Regneark med bestemte DNS-poster for tjenesteplasseringer, geografiske plasseringer og OS for Gov/GCC/DoD-kunder. Last ned regnearket her. |
Viktig
- Connections er laget fra konteksten til operativsystemet eller Defender-klienttjenestene, og derfor bør proxyer ikke kreve godkjenning for disse destinasjonene eller utføre inspeksjon (HTTPS-skanning / SSL-inspeksjon) som bryter den sikre kanalen.
- Microsoft tilbyr ikke en proxy-server. Disse URL-adressene er tilgjengelige via proxy-serveren du konfigurerer.
- I samsvar med Defender for sikkerhets- og samsvarsstandarder for endepunkt, behandles og lagres dataene i samsvar med leierens fysiske plassering. Basert på klientplassering kan trafikken flyte gjennom alle tilknyttede IP-områder (som tilsvarer Azure-datasenterområder). Hvis du vil ha mer informasjon, kan du se Datalagring og personvern.
Microsoft Monitoring Agent (MMA) – ytterligere proxy- og brannmurkrav for eldre versjoner av Windows-klienten eller Windows Server
Følgende mål kreves for å tillate Defender for endepunktkommunikasjon gjennom Log Analytics-agenten (ofte kalt Microsoft Monitoring Agent) på Windows 7 SP1, Windows 8.1 og Windows Server 2008 R2.
| Agentressurs | Porter | Retning | Omgå HTTPS-inspeksjon |
|---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Utgående | Ja |
*.oms.opinsights.azure.com |
Port 443 | Utgående | Ja |
*.blob.core.windows.net |
Port 443 | Utgående | Ja |
*.azure-automation.net |
Port 443 | Utgående | Ja |
Hvis du vil finne ut hvilke mål som er i bruk for abonnementet ditt i domenene som er oppført ovenfor, kan du se URL-tilkoblinger for Microsoft Monitoring Agent (MMA).
Obs!
Tjenester som bruker MMA-baserte løsninger, kan ikke dra nytte av den nye strømlinjeformede tilkoblingsløsningen (konsolidert nettadresse og alternativ for å bruke statiske IP-er). For Windows Server 2016 og Windows Server 2012 R2 må du oppdatere til den nye enhetlige løsningen. Instruksjoner for å ta i bruk disse operativsystemene med den nye enhetlige løsningen er på Windows-servere på bord, eller overfør allerede innebygde enheter til den nye enhetlige løsningen ved serveroverføringsscenarioer i Microsoft Defender for endepunkt.
For enheter uten Internett-tilgang / uten proxy
For enheter uten direkte Internett-tilkobling er bruken av en proxy-løsning den anbefalte tilnærmingen. I bestemte tilfeller kan du bruke brannmur- eller gateway-enheter som gir tilgang til IP-områder. Hvis du vil ha mer informasjon, kan du se: Strømlinjeformet enhetstilkobling.
Viktig
- Microsoft Defender for endepunkt er en skysikkerhetsløsning. «Innebygde enheter uten Internett-tilgang» betyr at Internett-tilgang for endepunktene må konfigureres via en proxy eller en annen nettverksenhet, og DNS-oppløsning er alltid nødvendig. Microsoft Defender for endepunkt støtter ikke endepunkter uten direkte eller utsatt tilkobling til Defender-skytjenestene. En systemomfattende proxy-konfigurasjon anbefales.
- Windows eller Windows Server i frakoblede miljøer må kunne oppdatere sertifikatklarering Lister frakoblet via en intern fil eller nettserver.
- Hvis du vil ha mer informasjon om hvordan du oppdaterer CTLer i frakoblet modus, kan du se Konfigurere en fil eller nettserver til å laste ned CTL-filene.