Registrera enheter med strömlinjeformad anslutning för Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Defender för Endpoint-klienten kan kräva användning av proxierade anslutningar till relevanta molntjänster. Den här artikeln beskriver den strömlinjeformade enhetsanslutningsmetoden, kraven och innehåller ytterligare information för att verifiera anslutningen med hjälp av de nya destinationerna.
För att förenkla nätverkskonfigurationen och hanteringen har du nu möjlighet att registrera nya enheter i Defender för Endpoint med hjälp av en reducerad URL-uppsättning eller statiska IP-intervall. Mer information om hur du migrerar tidigare registrerade enheter finns i Migrera enheter till strömlinjeformad anslutning.
Defender för Endpoint-identifierad förenklad domän: *.endpoint.security.microsoft.com konsoliderar anslutningen till följande grundläggande Defender för Endpoint-tjänster:
- Molnbaserat skydd
- Lagring av exempel på skadlig kod
- Automatisk IR-exempellagring
- Defender för Endpoint-kommando & kontroll
- Cyber- och diagnostikdata för Defender för Endpoint
Mer information om hur du förbereder din miljö och den uppdaterade listan över mål finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten.
Om du vill stödja nätverksenheter utan stöd för värdnamnsmatchning eller jokertecken kan du också konfigurera anslutningar med dedikerade statiska IP-intervall för Defender för Endpoint. Mer information finns i Konfigurera anslutning med statiska IP-intervall.
Obs!
- Den strömlinjeformade anslutningsmetoden ändrar inte hur Microsoft Defender för Endpoint fungerar på en enhet och den kommer inte heller att ändra slutanvändarupplevelsen. Endast de URL:er eller IP-adresser som en enhet använder för att ansluta till tjänsten ändras.
- Det finns för närvarande ingen plan för att fasa ut de gamla konsoliderade tjänst-URL:erna. Enheter som är registrerade med "standard"-anslutning fortsätter att fungera. Det är viktigt att se till att anslutningen till
*.endpoint.security.microsoft.comär och förblir möjlig, eftersom framtida tjänster kommer att kräva det. Den här nya URL:en ingår i alla obligatoriska URL-listor. - Anslutningar till tjänsten utnyttjar certifikatanslutning och TLS. Det stöds inte för att "bryta och inspektera" trafik. Dessutom initieras anslutningar från en enhetskontext, inte en användarkontext. Tvingande proxyautentisering (användare) tillåter i de flesta fall inte (avbrott) anslutning.
Innan du börjar
Enheter måste uppfylla specifika krav för att använda den strömlinjeformade anslutningsmetoden för Defender för Endpoint. Se till att förutsättningarna uppfylls innan du fortsätter med onboarding.
Förhandskrav
Licens:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Hantering av hot och säkerhetsrisker för Microsoft Defender
Minsta KB-uppdatering (Windows)
- SENSE-version: 10.8040.*/ 8 mars 2022 eller senare (se tabell)
Microsoft Defender Antivirus-versioner (Windows)
-
Klient för program mot skadlig kod:
4.18.2211.5 -
Motor:
1.1.19900.2 -
Antivirus (Säkerhetsinformation):
1.391.345.0
Defender Antivirus-versioner (macOS/Linux)
- macOS-versioner som stöds med MDE-produktversion 101.24022.*+
- Linux-versioner som stöds med MDE-produktversion 101.24022.*+
Operativsystem som stöds
- Windows 10 version 1809 eller senare. Windows 10-versionerna 1607, 1703, 1709, 1803 stöds på det strömlinjeformade registreringspaketet men kräver en annan URL-lista, se strömlinjeformad URL-blad
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fullständigt uppdaterad med modern enhetlig lösning för Defender för Endpoint (installation via MSI).
- macOS-versioner som stöds med MDE-produktversion 101.24022.*+
- Linux-versioner som stöds med MDE-produktversion 101.24022.*+
Viktigt
- Enheter som körs på MMA-agenten stöds inte med den strömlinjeformade anslutningsmetoden och måste fortsätta använda standard-URL-uppsättningen (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 som inte har uppgraderats till modern enhetlig agent).
- Windows Server 2012 R2 och Server 2016 måste uppgradera till unified agent för att utnyttja den nya metoden.
- Windows 10 1607, 1703, 1709, 1803 kan utnyttja det nya registreringsalternativet men kommer att använda en längre lista. Mer information finns i det strömlinjeformade URL-bladet.
| Windows OS | Minsta kB krävs (8 mars 2022) |
|---|---|
| Windows 11 | KB5011493 (8 mars 2022) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8 mars 2022) |
| Windows 10 19H2 (1909) | KB5011485 (8 mars 2022) |
| Windows 10 20H2, 21H2 | KB5011487 (8 mars 2022) |
| Windows 10 22H2 | KB5020953 (28 oktober 2022) |
| Windows 10 1803* | < tjänstens slut > |
| Windows 10 1709* | < tjänstens slut > |
| Windows Server 2022 | KB5011497 (8 mars 2022) |
| Windows Server 2012 R2, 2016* | Enhetlig agent |
Smidig anslutningsprocess
Följande bild visar den strömlinjeformade anslutningsprocessen och motsvarande steg:
Steg 1. Konfigurera din nätverksmiljö för molnanslutning
När du har bekräftat att kraven är uppfyllda kontrollerar du att nätverksmiljön är korrekt konfigurerad för att stödja den strömlinjeformade anslutningsmetoden. Följ stegen som beskrivs i Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten.
Url:er för Defender för Endpoint-tjänsten som konsoliderats under förenklad domän bör inte längre krävas för anslutning. Vissa URL:er ingår dock inte i konsolideringen.
Med strömlinjeformad anslutning kan du använda följande alternativ för att konfigurera molnanslutning:
Alternativ 1: Konfigurera anslutningen med hjälp av den förenklade domänen
Konfigurera din miljö för att tillåta anslutningar till den förenklade Defender för Endpoint-domänen: *.endpoint.security.microsoft.com. Mer information finns i Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.
Du måste upprätthålla anslutningen med återstående nödvändiga tjänster som anges i den uppdaterade listan. Till exempel kan listan över återkallade certifikat, Windows Update, SmartScreen-tjänster också behöva vara tillgängliga beroende på din aktuella nätverksinfrastruktur och korrigeringsmetod.
Alternativ 2: Konfigurera anslutningen med statiska IP-intervall
Med strömlinjeformad anslutning kan IP-baserade lösningar användas som ett alternativ till URL:er. Dessa IP-adresser omfattar följande tjänster:
- KARTOR
- Lagring av exempel på skadlig kod
- Automatisk IR-exempellagring
- Kommando och kontroll för Defender för Endpoint
Viktigt
EDR Cyber Data Service (OneDsCollector) måste konfigureras separat om du använder IP-metoden (den här tjänsten konsolideras endast på URL-nivå). Du måste också upprätthålla anslutningen till andra nödvändiga tjänster, inklusive SmartScreen, CRL, Windows Update och andra tjänster.
För att hålla dig uppdaterad om IP-intervall rekommenderar vi att du läser följande Azure-tjänsttaggar för Microsoft Defender för Endpoint-tjänster. De senaste IP-intervallen finns i tjänsttaggen. Mer information finns i Ip-intervall för Azure.
| Namn på tjänsttagg | Defender för Endpoint-tjänster ingår |
|---|---|
| MicrosoftDefenderForEndpoint | Molnbaserat skydd, lagring av exempel på skadlig kod, automatisk IR-exempellagring, Defender för Endpoint-kommando och kontroll. |
| OneDsCollector | Cyber- och diagnostikdata för Defender för Endpoint Obs! Trafiken under den här tjänsttaggen är inte begränsad till Defender för Endpoint och kan innehålla diagnostikdatatrafik för andra Microsoft-tjänster. |
I följande tabell visas de aktuella statiska IP-intervall som omfattas av tjänsttaggen MicrosoftDefenderForEndpoint. Den senaste listan finns i dokumentationen om Azure-tjänsttaggar .
| Geo | IP-intervall |
|---|---|
| OSS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| EU | 4.208.13.0/24 20.8.195.0/24 |
| STORBRITANNIEN | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Viktigt
I enlighet med säkerhets- och efterlevnadsstandarderna för Defender för Endpoint bearbetas och lagras dina data i enlighet med din klientorganisations fysiska plats. Baserat på klientens plats kan trafiken flöda genom någon av dessa IP-regioner (som motsvarar Azures datacenterregioner). Mer information finns i Datalagring och sekretess.
Steg 2. Konfigurera dina enheter för att ansluta till Defender för Endpoint-tjänsten
Konfigurera enheter för att kommunicera via din anslutningsinfrastruktur. Se till att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner. Mer information finns i Konfigurera enhetsproxy och Inställningar för Internetanslutning .
Steg 3. Verifiera klientanslutningspreonboarding
Mer information finns i Verifiera klientanslutning.
Följande förregistreringskontroller kan köras på både Windows- och Xplat MDE-klientanalyseraren: Ladda ned Microsoft Defender för Endpoint-klientanalys.
Om du vill testa en strömlinjeformad anslutning för enheter som ännu inte har registrerats i Defender för Endpoint kan du använda Client Analyzer för Windows med hjälp av följande kommandon:
Kör
mdeclientanalyzer.cmd -o <path to cmd file>inifrån mappen MDEClientAnalyzer. Kommandot använder parametrar från onboarding-paketet för att testa anslutningen.Kör
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, där parametern är av GW_US, GW_EU, GW_UK. GW refererar till det strömlinjeformade alternativet. Kör med tillämplig klientorganisationsgeo.
Som en kompletterande kontroll kan du också använda klientanalysen för att testa om en enhet uppfyller kraven: https://aka.ms/BetaMDEAnalyzer
Obs!
För enheter som ännu inte har registrerats i Defender för Endpoint testar klientanalyseraren mot standarduppsättningen med URL:er. Om du vill testa den strömlinjeformade metoden måste du köra med de växlar som angavs tidigare i den här artikeln.
Steg 4. Tillämpa det nya registreringspaketet som krävs för strömlinjeformad anslutning
När du har konfigurerat nätverket för att kommunicera med den fullständiga listan över tjänster kan du börja registrera enheter med hjälp av den strömlinjeformade metoden.
Innan du fortsätter bekräftar du att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner.
Om du vill hämta det nya paketet går du till Microsoft Defender XDR och väljer Inställningar > Slutpunkter > Enhetshantering> Registrering.
Välj tillämpligt operativsystem och välj "Strömlinjeformad" i listrutan Anslutningstyp.
För nya enheter (som inte har registrerats i Defender för Endpoint) som stöds under den här metoden följer du registreringsstegen från föregående avsnitt med det uppdaterade registrerade paketet med önskad distributionsmetod:
- Registrera Windows-klienten
- Registrera Windows Server
- Introducera icke-Windows-enheter
- Kör ett identifieringstest på en enhet för att verifiera att den har registrerats korrekt i Microsoft Defender för Endpoint
- Undanta enheter från alla befintliga registreringsprinciper som använder standardregistreringspaketet.
Information om hur du migrerar enheter som redan har registrerats till Defender för Endpoint finns i Migrera enheter till den strömlinjeformade anslutningen. Du måste starta om enheten och följa den specifika vägledningen här.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för