KROK 1. Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Przed dołączeniem urządzeń do usługi Defender for Endpoint upewnij się, że sieć jest skonfigurowana do nawiązywania połączenia z usługą. Pierwszym krokiem tego procesu jest dodanie adresów URL do listy dozwolonych domen, jeśli serwer proxy lub reguły zapory uniemożliwiają dostęp do usługi Defender for Endpoint. Ten artykuł zawiera również informacje o wymaganiach dotyczących serwera proxy i zapory dla starszych wersji klienta systemu Windows i systemu Windows Server.
Uwaga
- Po 8 maja 2024 r. masz możliwość zachowania uproszczonej łączności (skonsolidowanego zestawu adresów URL) jako domyślnej metody dołączania lub przejścia na starszą wersję do standardowej łączności za pośrednictwem (Funkcje zaawansowane ustawień > punktów końcowych>). W przypadku dołączania za pośrednictwem usługi Intune lub usługi Microsoft Defender for Cloud należy aktywować odpowiednią opcję. Urządzenia, które zostały już dołączone, nie są automatycznie dołączane ponownie. W takich przypadkach utwórz nowe zasady w usłudze Intune, gdzie zaleca się najpierw przypisanie zasad do zestawu urządzeń testowych w celu sprawdzenia, czy łączność zakończyła się pomyślnie, a następnie rozwiń grupę odbiorców. Urządzenia w usłudze Defender for Cloud mogą zostać ponownie dołączone przy użyciu odpowiedniego skryptu dołączania, podczas gdy nowo dołączone urządzenia będą automatycznie otrzymywać usprawnione dołączanie.
- Nowa domena skonsolidowana *.endpoint.security.microsoft.com musi być dostępna dla wszystkich urządzeń, dla bieżących i przyszłych funkcji, niezależnie od tego, czy nadal używasz łączności standardowej.
- Nowe regiony domyślnie mają uproszczoną łączność i nie będą miały możliwości obniżenia poziomu do warstwy Standardowa. Dowiedz się więcej na temat dołączania urządzeń przy użyciu usprawnionej łączności dla usługi Microsoft Defender for Endpoint.
Włączanie dostępu do adresów URL usługi Microsoft Defender for Endpoint na serwerze proxy
W poniższym arkuszu kalkulacyjnym do pobrania wymieniono usługi i skojarzone z nimi adresy URL, z którymi urządzenia w sieci muszą mieć możliwość nawiązywania połączenia. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, aby odmówić dostępu dla tych adresów URL. Opcjonalnie może być konieczne utworzenie reguły zezwalania specjalnie dla nich.
| Arkusz kalkulacyjny listy domen | Opis |
|---|---|
| Skonsolidowana lista adresów URL usługi Microsoft Defender dla punktów końcowych (usprawniona) | Arkusz kalkulacyjny skonsolidowanych adresów URL. Pobierz arkusz kalkulacyjny tutaj. Odpowiedni system operacyjny: Aby uzyskać pełną listę, zobacz usprawniona łączność. — Windows 10 1809+ — Windows 11 — Windows Server 2019 — Windows Server 2022 — Windows Server 2012 R2, Windows Server 2016 R2 z systemem Defender for Endpoint nowoczesne ujednolicone rozwiązanie (wymaga instalacji za pośrednictwem msi). — obsługiwane wersje systemu macOS z systemem 101.23102.* + — Obsługiwane wersje systemu Linux z systemem 101.23102.* + Minimalne wersje składników: - Klient ochrony przed złośliwym kodem: 4.18.2211.5 - Silnik: 1.1.19900.2 - Analiza zabezpieczeń: 1.391.345.0 - Wersja Xplat: 101.23102.* + - Czujnik/ KB wersja: >10.8040.*/ 8 marca 2022 r. Jeśli przenosisz wcześniej dołączone urządzenia do uproszczonego podejścia, zobacz Migrowanie łączności urządzeń Systemy Windows 10 w wersjach 1607, 1703, 1709, 1803 (RS1-RS4) są obsługiwane przez uproszczony pakiet dołączania, ale wymagają dłuższej listy adresów URL (zobacz zaktualizowany arkusz adresów URL). Te wersje nie obsługują ponownego dołączania (najpierw muszą być całkowicie odłączone). Urządzenia z systemem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, serwery nie uaktualnione do programu Unified Agent (MMA) muszą nadal używać metody dołączania mma. |
| Lista adresów URL usługi Microsoft Defender dla punktów końcowych dla klientów komercyjnych (Standardowa) | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych. Pobierz arkusz kalkulacyjny tutaj. Usługi Microsoft Defender for Endpoint Plan 1 i Plan 2 mają te same adresy URL usługi serwera proxy. W zaporze otwórz wszystkie adresy URL, w których kolumna geografii to WW. W przypadku wierszy, w których kolumna geografii nie jest WW, otwórz adresy URL w określonej lokalizacji danych. Aby zweryfikować ustawienie lokalizacji danych, zobacz Weryfikowanie lokalizacji magazynu danych i aktualizowanie ustawień przechowywania danych dla usługi Microsoft Defender dla punktu końcowego. Nie wykluczaj adresu URL |
| Lista adresów URL punktu końcowego usługi Microsoft Defender dla gov/GCC/DoD | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD. Pobierz arkusz kalkulacyjny tutaj. |
Ważna
- Połączenia są nawiązywane z kontekstu systemu operacyjnego lub usług klienckich usługi Defender i w związku z tym serwery proxy nie powinny wymagać uwierzytelniania dla tych miejsc docelowych ani przeprowadzać inspekcji (skanowanie HTTPS / inspekcja SSL), która przerywa bezpieczny kanał.
- Firma Microsoft nie udostępnia serwera proxy. Te adresy URL są dostępne za pośrednictwem skonfigurowanego serwera proxy.
- Zgodnie ze standardami zabezpieczeń i zgodności usługi Defender for Endpoint dane będą przetwarzane i przechowywane zgodnie z lokalizacją fizyczną dzierżawy. Na podstawie lokalizacji klienta ruch może przepływać przez dowolny ze skojarzonych regionów adresów IP (które odpowiadają regionom centrum danych platformy Azure). Aby uzyskać więcej informacji, zobacz Magazyn danych i prywatność.
Microsoft Monitoring Agent (MMA) — dodatkowe wymagania dotyczące serwera proxy i zapory dla starszych wersji klienta systemu Windows lub systemu Windows Server
Następujące miejsca docelowe są wymagane, aby umożliwić usłudze Defender komunikację punktów końcowych za pośrednictwem agenta usługi Log Analytics (często nazywanego agentem monitorowania firmy Microsoft) w systemach Windows 7 z dodatkiem SP1, Windows 8.1 i Windows Server 2008 R2.
| Zasoby agenta | Porty | Kierunek | Pomijanie inspekcji HTTPS |
|---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.oms.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.blob.core.windows.net |
Port 443 | Wychodzące | Tak |
*.azure-automation.net |
Port 443 | Wychodzące | Tak |
Aby określić dokładne miejsca docelowe używane dla subskrypcji w domenach wymienionych powyżej, zobacz Połączenia adresu URL usługi programu Microsoft Monitoring Agent (MMA).
Uwaga
Usługi korzystające z rozwiązań opartych na architekturze MMA nie mogą korzystać z nowego usprawnionego rozwiązania łączności (skonsolidowanego adresu URL i opcji użycia statycznych adresów IP). W systemach Windows Server 2016 i Windows Server 2012 R2 należy zaktualizować je do nowego ujednoliconego rozwiązania. Instrukcje dotyczące dołączania tych systemów operacyjnych do nowego ujednoliconego rozwiązania znajdują się na stronie Dołączanie serwerów z systemem Windows lub migrowanie już dołączonych urządzeń do nowego ujednoliconego rozwiązania w scenariuszach migracji serwera w usłudze Microsoft Defender for Endpoint.
W przypadku urządzeń bez dostępu do Internetu / bez serwera proxy
W przypadku urządzeń bez bezpośredniego połączenia internetowego zalecane jest użycie rozwiązania serwera proxy. W określonych przypadkach można użyć urządzeń zapory lub bramy, które zezwalają na dostęp do zakresów adresów IP. Aby uzyskać więcej informacji, zobacz: Usprawniona łączność urządzeń.
Ważna
- Usługa Microsoft Defender dla punktu końcowego to rozwiązanie zabezpieczeń w chmurze. "Dołączanie urządzeń bez dostępu do Internetu" oznacza, że dostęp do Internetu dla punktów końcowych musi być skonfigurowany za pośrednictwem serwera proxy lub innego urządzenia sieciowego, a rozpoznawanie nazw DNS jest zawsze wymagane. Usługa Microsoft Defender dla punktu końcowego nie obsługuje punktów końcowych bez bezpośredniej lub proxied łączności z usługami w chmurze Defender. Zalecana jest konfiguracja serwera proxy dla całego systemu.
- System Windows lub Windows Server w środowiskach rozłączonych musi mieć możliwość aktualizowania list zaufania certyfikatów w trybie offline za pośrednictwem wewnętrznego pliku lub serwera internetowego.
- Aby uzyskać więcej informacji na temat aktualizowania list CTL w trybie offline, zobacz Konfigurowanie pliku lub serwera internetowego w celu pobrania plików CTL.
Następny krok
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla