使用適用於端點的 Microsoft Defender 的簡化連線將裝置上線
適用於:
適用於端點的 Defender 用戶端可能需要使用相關雲端服務的 Proxy 連線。 本文說明簡化的裝置連線方法、必要條件,並提供使用新目的地 () 驗證連線的其他資訊。
為了簡化網路設定和管理,您現在可以選擇使用減少的 URL 集或靜態 IP 範圍,將新裝置上線至適用於端點的 Defender。 如需移轉先前上線裝置的詳細資訊,請參閱 將裝置移轉至簡化的連線。
適用於端點的 Defender 可辨識的簡化網域: *.endpoint.security.microsoft.com 合併下列適用於端點的 Defender 核心服務的連線能力:
- 雲端提供的保護
- 惡意代碼範例提交記憶體
- Auto-IR 範例記憶體
- 適用於端點的Defender命令 & 控件
- 適用於端點的 Defender 網路和診斷數據
如需有關準備環境和更新目的地清單的詳細資訊,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線。
若要支持沒有主機名解析或通配符支援的網路裝置,您也可以使用專用的適用於端點的 Defender 靜態 IP 範圍來設定連線能力。 如需詳細資訊, 請參閱使用靜態 IP 範圍設定連線。
注意事項
- 簡化的連線方法 不會變更Microsoft適用於端點的Defender在裝置上的運作方式,也不會變更用戶體驗。 只有裝置用來連線到服務的 URL 或 IP 會變更。
- 目前沒有計劃要取代舊的合併服務 URL。 已上線且具有「標準」連線能力的裝置將會繼續運作。 請務必確保連線
*.endpoint.security.microsoft.com能力是,而且仍然可行,因為未來的服務將會要求連線。 這個新的 URL 會包含在所有必要的 URL 清單中。 - 與服務的聯機會利用憑證釘選和 TLS。 不支援「中斷和檢查」流量。 此外,連線是從裝置內容起始,而不是從用戶內容起始。 在大部分情況下,強制執行 Proxy (使用者) 驗證將不允許 (中斷) 連線。
開始之前
裝置必須符合特定必要條件,才能使用適用於端點的 Defender 的簡化連線方法。 在繼續上線之前,請先確定符合必要條件。
先決條件
許可證:
- Microsoft適用於端點的 Defender 方案 1
- Microsoft適用於端點的 Defender 方案 2
- 適用於企業的 Microsoft Defender
- Microsoft Defender 弱點管理
Windows) (KB 更新下限
- SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更新版本 (請參閱數據表)
Microsoft Windows) (Defender 防病毒軟體版本
-
反惡意代碼用戶端:
4.18.2211.5 -
發動機:
1.1.19900.2 -
防病毒軟體 (資訊安全情報) :
1.391.345.0
(macOS/Linux) 的 Defender 防病毒軟體版本
- 使用 MDE 產品版本 101.24022.*+ 的 macOS 支援版本
- MDE 產品版本為 101.24022.*+ 的 Linux 支援版本
支援的作業系統
- Windows 10 版本 1809 或更新版本。 簡化的上線套件支援 Windows 10 版本 1607、1703、1709、1803,但需要不同的 URL 清單,請參閱 簡化的 URL 工作表
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 或 Windows Server 2016,已完整更新執行適用於端點的 Defender 新式整合解決方案, (透過 MSI) 進行安裝。
- 使用 MDE 產品版本 101.24022.*+ 的 macOS 支援版本
- MDE 產品版本為 101.24022.*+ 的 Linux 支援版本
重要事項
- 簡化的連線方法不支援在 MMA 代理程式上執行的裝置,而且必須繼續使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 的標準 URL 集合,而不會升級至新式的整合代理程式) 。
- Windows Server 2012 R2 和 Server 2016 必須升級為整合代理程式,才能利用新方法。
- Windows 10 1607、1703、1709、1803 可以利用新的上線選項,但會使用較長的清單。 如需詳細資訊,請參閱 簡化的URL工作表。
| Windows OS | 2022 年 3 月 8 日 (所需的最小 KB) |
|---|---|
| Windows 11 | KB5011493 (2022 年 3 月 8 日) |
| Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
| Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
| Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
| Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
| Windows 10 1803* | < 服務結束 > |
| Windows 10 1709* | < 服務結束 > |
| Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
| Windows Server 2012 R2, 2016* | 整合代理程式 |
簡化的連線程式
下圖顯示簡化的連線程式和對應的階段:
階段 1。 設定您的網路環境以進行雲端連線
確認符合必要條件之後,請確定您的網路環境已正確設定,以支援簡化的連線方法。 請遵循設定網路環境中所述的步驟 ,以確保與適用於端點的 Defender 服務連線。
在簡化的網域下合併的適用於端點的 Defender 服務 URL,應該不再需要連線。 不過,某些 URL 不會包含在合併中。
簡化的連線可讓您使用下列選項來設定雲端連線能力:
選項 1:使用簡化的網域設定連線能力
設定您的環境以允許連線到簡化的適用於端點的Defender網域: *.endpoint.security.microsoft.com。 如需詳細資訊, 請參閱設定網路環境以確保與適用於端點的 Defender 服務連線。
您必須與 更新清單下所列的其餘必要服務保持連線。 例如,根據您目前的網路基礎結構和修補方法,可能也需要存取證書吊銷清單、Windows Update、SmartScreen 服務。
選項 2:使用靜態 IP 範圍設定連線能力
透過簡化的連線能力,以IP為基礎的解決方案可以作為URL的替代方案。 這些IP涵蓋下列服務:
- 地圖
- 惡意代碼範例提交記憶體
- Auto-IR 範例記憶體
- 適用於端點的Defender命令和控制
重要事項
如果您使用IP方法, (OneDsCollector) 的EDR網路資料服務 必須 個別設定, (此服務只會在URL層級) 上合併。您也必須與其他必要服務保持連線,包括 SmartScreen、CRL、Windows Update 和其他服務。
若要隨時掌握IP範圍,建議您參閱適用於端點的 Microsoft Defender 服務的下列 Azure 服務標籤。 最新的IP範圍位於服務標籤中。 如需詳細資訊,請參閱 Azure IP 範圍。
| 服務標籤名稱 | 包含適用於端點的 Defender 服務 |
|---|---|
| MicrosoftDefenderForEndpoint | 雲端提供的保護、惡意代碼範例提交記憶體、Auto-IR 範例記憶體、適用於端點的Defender命令和控制。 |
| OneDsCollector | 適用於端點的 Defender 網路和診斷數據 注意:此服務標籤下的流量不限於適用於端點的 Defender,而且可以包含其他Microsoft服務的診斷數據流量。 |
下表列出 MicrosoftDefenderForEndpoint 服務標籤涵蓋的目前靜態 IP 範圍。 如需最新清單,請參閱 Azure 服務標籤 檔。
| 地理位置 | IP 範圍 |
|---|---|
| 美國 | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| 歐盟 | 4.208.13.0/24 20.8.195.0/24 |
| 英國 | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
重要事項
為了符合適用於端點的 Defender 安全性與合規性標準,將會根據租用戶的實體位置來處理和儲存您的數據。 根據用戶端位置,流量可能會流經對應至 Azure 資料中心區域) 的任何 IP 區域 (。 如需詳細資訊,請 參閱數據儲存和隱私權。
階段 2。 設定您的裝置以連線到適用於端點的 Defender 服務
設定裝置以透過連線基礎結構進行通訊。 確定裝置符合必要條件,並已更新感測器和Microsoft Defender 防病毒軟體版本。 如需詳細資訊, 請參閱設定裝置 Proxy 和因特網連線設定 。
階段3。 確認客戶端連線前置
如需詳細資訊,請 參閱驗證用戶端連線能力。
下列前置檢查可以在 Windows 和 Xplat MDE 用戶端分析器上執行: 下載適用於端點的 Microsoft Defender 用戶端分析器。
若要測試尚未上線至適用於端點的 Defender 之裝置的簡化連線能力,您可以使用下列命令使用適用於 Windows 的用戶端分析器:
mdeclientanalyzer.cmd -o <path to cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用來自上線套件的參數來測試連線能力。執行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>,其中參數為 GW_US、GW_EU、GW_UK。 GW 指的是簡化的選項。 使用適用的租使用者地理位置執行。
作為補充檢查,您也可以使用用戶端分析器來測試裝置是否符合必要條件: https://aka.ms/BetaMDEAnalyzer
注意事項
對於尚未上線至適用於端點的Defender的裝置,用戶端分析器會針對一組標準URL進行測試。 若要測試簡化的方法,您必須使用本文稍早所列的參數來執行 。
階段 4. 套用簡化連線所需的新上線套件
設定網路以與完整的服務清單通訊之後,您就可以使用簡化的方法開始將裝置上線。
繼續之前,請確認裝置符合 必要條件 ,並已更新感測器和Microsoft Defender 防病毒軟體版本。
若要取得新的套件,請在 [Microsoft Defender XDR] 中,選取 [ 設定 > 端點 > 裝置管理> 上線]。
選取適用的作業系統,然後從 [連線類型] 下拉功能表中選擇 [簡化]。
若新裝置 (未上線至此方法所支援的適用於端點的 Defender) ,請遵循先前各節中的上線步驟,搭配您慣用的部署方法使用已更新的上線套件:
- 將 Windows 用戶端上線
- 將 Windows Server 上線
- 將非 Windows 裝置上線
- 在裝置上執行偵測測試,以確認裝置已正確上線至 Microsoft Defender for Endpoint
- 從任何使用標準上線套件的現有上線原則中排除裝置。
如需將已上線的裝置移轉至適用於端點的Defender,請參閱將 裝置移轉至簡化的連線。 您必須重新啟動裝置,並遵循此處的特定指引。