KROK 1. Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Przed dołączeniem urządzeń do usługi Defender for Endpoint upewnij się, że sieć jest skonfigurowana do nawiązywania połączenia z usługą. Pierwszym krokiem tego procesu jest dodanie adresów URL do listy dozwolonych domen, jeśli serwer proxy lub reguły zapory uniemożliwiają dostęp do usługi Defender for Endpoint. Ten artykuł zawiera również informacje o wymaganiach dotyczących serwera proxy i zapory dla starszych wersji klienta systemu Windows i systemu Windows Server.
Uwaga
- Dzierżawy utworzone 8 maja 2024 r. lub przed 8 maja 2024 r. będą miały możliwość wybrania uproszczonej łączności (skonsolidowanego zestawu adresów URL) jako domyślnej metody dołączania lub pozostania w warstwie standardowej za pomocą ustawień. Po zweryfikowaniu spełnienia wymagań wstępnych i przygotowaniu domyślnego pakietu dołączania na uproszczony można włączyć następujące ustawienie funkcji zaawansowanych w portalu Microsoft Defender (Ustawienia > punktów końcowych > funkcje zaawansowane). W przypadku dołączania za pośrednictwem Intune & Microsoft Defender dla chmury należy aktywować odpowiednią opcję. Urządzenia, które zostały już dołączone, nie zostaną automatycznie ponownie dołączone; Należy utworzyć nowe zasady w Intune, gdzie zaleca się najpierw przypisanie zasad do zestawu urządzeń testowych w celu sprawdzenia, czy łączność zakończyła się pomyślnie, przed rozszerzeniem grupy odbiorców. Urządzenia w usłudze Defender for Cloud można ponownie dołączyć przy użyciu odpowiedniego skryptu dołączania.
- Jeśli dzierżawa miała już włączoną uproszczoną łączność w ramach publicznej wersji zapoznawczej, pozostanie włączona.
- Nowe dzierżawy utworzone po 8 maja 2024 r. domyślnie mają uproszczoną łączność. Dowiedz się więcej na temat dołączania urządzeń przy użyciu usprawnionej łączności dla Ochrona punktu końcowego w usłudze Microsoft Defender
Włączanie dostępu do adresów URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender na serwerze proxy
W poniższym arkuszu kalkulacyjnym do pobrania wymieniono usługi i skojarzone z nimi adresy URL, z którymi urządzenia w sieci muszą mieć możliwość nawiązywania połączenia. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, aby odmówić dostępu dla tych adresów URL. Opcjonalnie może być konieczne utworzenie reguły zezwalania specjalnie dla nich.
| Arkusz kalkulacyjny listy domen | Opis |
|---|---|
| Ochrona punktu końcowego w usłudze Microsoft Defender skonsolidowanej listy adresów URL (usprawnione) |
Arkusz kalkulacyjny skonsolidowanych adresów URL. Pobierz arkusz kalkulacyjny tutaj. Odpowiedni system operacyjny: Aby uzyskać pełną listę, zobacz usprawniona łączność. - Windows 10 1809+ - Windows 11 — Windows Server 2019 — Windows Server 2022 — Windows Server 2012 R2, Windows Server 2016 R2 z nowoczesnym ujednoliconym rozwiązaniem defender for Endpoint (wymaga instalacji za pośrednictwem msi). — obsługiwane wersje systemu macOS z systemem 101.23102.* + — Obsługiwane wersje systemu Linux z systemem 101.23102.* + Minimalne wersje składników: - Klient ochrony przed złośliwym kodem: 4.18.2211.5 - Silnik: 1.1.19900.2 - Analiza zabezpieczeń: 1.391.345.0 - Wersja Xplat: 101.23102.* + - Czujnik/ KB wersja: >10.8040.*/ 8 marca 2022 r. Jeśli przenosisz wcześniej dołączone urządzenia do uproszczonego podejścia, zobacz Migrowanie łączności urządzeń Windows 10 wersji 1607, 1703, 1709, 1803 (RS1-RS4) są obsługiwane przez uproszczony pakiet dołączania, ale wymagają dłuższej listy adresów URL (zobacz zaktualizowany arkusz adresów URL). Te wersje nie obsługują ponownego dołączania (najpierw muszą być całkowicie odłączone). Urządzenia z systemem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, serwery nie uaktualnione do programu Unified Agent (MMA) będą musiały nadal korzystać z metody dołączania mma. |
| lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów komercyjnych (Standardowa) | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych. Pobierz arkusz kalkulacyjny tutaj. Ochrona punktu końcowego w usłudze Microsoft Defender plan 1 i plan 2 mają te same adresy URL usługi serwera proxy. W zaporze otwórz wszystkie adresy URL, w których kolumna geografii to WW. W przypadku wierszy, w których kolumna geografii nie jest WW, otwórz adresy URL w określonej lokalizacji danych. Aby zweryfikować ustawienie lokalizacji danych, zobacz Weryfikowanie lokalizacji magazynu danych i aktualizowanie ustawień przechowywania danych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Nie wykluczaj adresu URL |
| Ochrona punktu końcowego w usłudze Microsoft Defender listy adresów URL dla gov/GCC/DoD | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD. Pobierz arkusz kalkulacyjny tutaj. |
Ważna
- Connections są wykonywane z kontekstu systemu operacyjnego lub usług klienckich usługi Defender i w związku z tym serwery proxy nie powinny wymagać uwierzytelniania dla tych miejsc docelowych ani przeprowadzać inspekcji (skanowanie HTTPS / inspekcja protokołu SSL), która przerywa bezpieczny kanał.
- Firma Microsoft nie udostępnia serwera proxy. Te adresy URL są dostępne za pośrednictwem skonfigurowanego serwera proxy.
- Zgodnie ze standardami zabezpieczeń i zgodności usługi Defender for Endpoint dane będą przetwarzane i przechowywane zgodnie z lokalizacją fizyczną dzierżawy. Na podstawie lokalizacji klienta ruch może przepływać przez dowolny ze skojarzonych regionów adresów IP (które odpowiadają regionom centrum danych platformy Azure). Aby uzyskać więcej informacji, zobacz Magazyn danych i prywatność.
Microsoft Monitoring Agent (MMA) — dodatkowe wymagania dotyczące serwera proxy i zapory dla starszych wersji klienta systemu Windows lub systemu Windows Server
Następujące dodatkowe miejsca docelowe są wymagane do umożliwienia komunikacji z usługą Defender for Endpoint za pośrednictwem agenta usługi Log Analytics (często nazywanego agentem monitorowania firmy Microsoft) w systemach Windows 7 z dodatkiem SP1, Windows 8.1 i Windows Server 2008 R2.
| Zasoby agenta | Porty | Kierunek | Pomijanie inspekcji HTTPS |
|---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.oms.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.blob.core.windows.net |
Port 443 | Wychodzące | Tak |
*.azure-automation.net |
Port 443 | Wychodzące | Tak |
Uwaga
Usługi korzystające z rozwiązań opartych na architekturze MMA nie mogą korzystać z nowego usprawnionego rozwiązania łączności (skonsolidowanego adresu URL i opcji użycia statycznych adresów IP). W przypadku Windows Server 2016 i Windows Server 2012 R2 należy zaktualizować je do nowego ujednoliconego rozwiązania. Instrukcje dotyczące dołączania tych systemów operacyjnych do nowego ujednoliconego rozwiązania znajdują się na stronie Dołączanie serwerów z systemem Windows lub migrowanie już dołączonych urządzeń do nowego ujednoliconego rozwiązania w scenariuszach migracji serwera w Ochrona punktu końcowego w usłudze Microsoft Defender.
W przypadku urządzeń bez dostępu do Internetu / bez serwera proxy
W przypadku urządzeń bez bezpośredniego połączenia internetowego zalecane jest użycie rozwiązania serwera proxy. W określonych przypadkach można korzystać z urządzeń zapory lub bramy, które zezwalają na dostęp do zakresów adresów IP. Aby uzyskać więcej informacji, zobacz: Usprawniona łączność urządzeń.
Ważna
- Ochrona punktu końcowego w usłudze Microsoft Defender jest rozwiązaniem w zakresie zabezpieczeń w chmurze. "Dołączanie urządzeń bez dostępu do Internetu" oznacza, że dostęp do Internetu dla punktów końcowych musi być skonfigurowany za pośrednictwem serwera proxy lub innego urządzenia sieciowego, a rozpoznawanie nazw DNS jest zawsze wymagane. Ochrona punktu końcowego w usłudze Microsoft Defender nie obsługuje punktów końcowych bez bezpośredniej lub proxied łączności z usługami w chmurze Defender. Zalecana jest konfiguracja serwera proxy dla całego systemu.
- System Windows lub Windows Server w środowiskach rozłączonych musi mieć możliwość aktualizowania zaufania certyfikatów Listy w trybie offline za pośrednictwem wewnętrznego pliku lub serwera sieci Web.
- Aby uzyskać więcej informacji na temat aktualizowania list CTL w trybie offline, zobacz Konfigurowanie pliku lub serwera internetowego w celu pobrania plików CTL.
Następny krok
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla