使用简化的连接为Microsoft Defender for Endpoint加入设备
适用于:
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
注意
简化的载入方法目前以公共预览版提供。 请务必查看先决条件,以确认要求和支持的操作系统。
Microsoft Defender for Endpoint服务可能需要使用代理配置来报告诊断数据并将数据传达给服务。 在简化的连接方法可用之前,需要其他 URL,并且不支持 Defender for Endpoint 静态 IP 范围。 有关完整MDE连接过程的详细信息,请参阅步骤 1:配置网络环境以确保与 Defender for Endpoint 服务建立连接。
本文介绍简化的设备连接方法,以及如何载入新设备以使用更简单的 Defender for Endpoint 云连接服务的部署和管理。 有关迁移以前载入的设备的详细信息,请参阅 将设备迁移到简化的连接。
为了简化网络配置和管理,现在可以选择使用减少的 URL 集或静态 IP 范围将设备加入 Defender for Endpoint。 请参阅 简化的 URL 列表
Defender for Endpoint 识别的简化域: *.endpoint.security.microsoft.com 替换以下核心 Defender for Endpoint 服务:
- 云保护/MAPS
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令 & 控制
- EDR Cyberdata
若要支持没有主机名解析或通配符支持的网络设备,也可以使用专用 Defender for Endpoint 静态 IP 范围配置连接。 有关详细信息,请参阅 使用静态 IP 范围配置连接。
注意
简化的连接方法不会更改Microsoft Defender for Endpoint在设备上的工作方式,也不会更改最终用户体验。 只有设备用于连接到服务的 URL 或 IP 才会更改。
重要
预览限制和已知问题:
- 简化的连接不支持通过 API 载入 (包括 Microsoft Defender for Cloud 和 Intune) 。
- 此载入方法具有不适用于标准载入方法的特定先决条件。
合并的服务
如果 *.endpoint.security.microsoft.com 允许,并且使用简化的载入包加入设备,则不再需要合并在简化域下的以下 Defender for Endpoint URL 进行连接。 需要保持与组织相关的其他必需服务的连接, (例如 CRL、SmartScreen/Network Protection 和 WNS) 。
有关所需 URL 的更新列表,请参阅 在此处下载电子表格。
重要
如果使用 IP 范围进行配置,则需要单独配置 EDR 网络数据服务。 此服务不会在 IP 级别进行合并。 有关更多详细信息,请参阅下面的部分。
| 类别 | 合并 URL |
|---|---|
| MAPS:云提供的保护 | *.wdcp.microsoft.com *.wd.microsoft.com |
| 云保护 & 适用于 macOS 和 Linux 的安全智能更新 |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| 恶意软件示例提交存储 | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Defender for Endpoint 自动 IR 示例存储 | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Defender for Endpoint 命令和控制 | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
开始之前
设备必须满足特定的先决条件才能使用 Defender for Endpoint 的简化连接方法。 在继续加入之前,请确保满足先决条件。
先决条件
许可证:
- Microsoft Defender for Endpoint计划 1
- Microsoft Defender for Endpoint计划 2
- Microsoft Defender 商业版
- Microsoft Defender 漏洞管理
Windows) 最低 KB 更新 (
- SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更高版本 (请参阅表)
Microsoft Defender Windows) (防病毒版本
- 反恶意软件客户端: 4.18.2211.5
- 引擎: 1.1.19900.2
- 防病毒 (安全智能) : 1.391.345.0
(macOS/Linux) 的 Defender 防病毒版本
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- MDE产品版本 101.24022 的 Linux 支持版本。*+
支持的操作系统
- Windows 10版本 1809 或更高版本
- Windows 10简化的载入程序包支持版本 1607、1703、1709、1803,但需要其他 URL 列表,请参阅简化的 URL 表
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2、Server 2016 R2,完全更新了运行 Defender for Endpoint 新式统一解决方案 (通过 MSI) 安装。
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- MDE产品版本 101.24022 的 Linux 支持版本。*+
重要
- 简化的连接方法不支持在 MMA 代理上运行的设备,并且需要继续使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 R2 未升级到新式统一代理) 的标准 URL 集。
- Windows Server 2012 R2 和 Server 2016 R2 需要升级到统一代理才能利用新方法。
- Windows 10 1607、1703、1709、1803 可以利用新的载入选项,但将使用较长的列表。 有关详细信息,请参阅 简化的 URL 表。
| Windows OS | 最低 KB 要求 (2022 年 3 月 8 日) |
|---|---|
| Windows 11 | KB5011493 (2022 年 3 月 8 日) |
| Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
| Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
| Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
| Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
| Windows 10 1803* | < 服务结束 > |
| Windows 10 1709* | < 服务结束 > |
| Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
| Windows Server 2012 R2, 2016* | 统一代理 |
| Windows Server 2016 R2 | 统一代理 |
简化的连接过程
下图显示了简化的连接过程和相应的阶段:
阶段 1。 为云连接配置网络环境
确认满足先决条件后,请确保正确配置网络环境以支持简化的连接方法。 使用简化的方法 (预览) ,请按照 配置网络环境以确保与 Defender for Endpoint 服务的连接中所述的步骤进行操作。
连接不再需要在简化方法下合并的 Defender for Endpoint 服务。 但是,某些 URL 不包括在合并中。
简化的连接允许使用以下选项来配置云连接:
选项 1:使用简化的域配置连接
将环境配置为允许与简化的 Defender for Endpoint 域建立连接: *.endpoint.security.microsoft.com。 有关详细信息,请参阅 配置网络环境以确保与 Defender for Endpoint 服务的连接。
必须与 更新列表下列出的其余必需服务保持连接。 例如,认证吊销列表、Windows 更新、SmartScreen。
选项 2:使用静态 IP 范围配置连接
通过简化的连接,基于 IP 的解决方案可用作 URL 的替代方法。 这些 IP 涵盖以下服务:
- 地图
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令和控制
重要
如果使用 IP 方法,则必须单独配置 EDR 网络数据服务, (此服务仅在 URL 级别) 合并。还必须保持与其他所需服务(包括 SmartScreen、CRL、Windows 更新和其他服务)的连接。
为了及时了解 IP 范围,建议参考以下 Azure 服务标记来Microsoft Defender for Endpoint服务。 最新的 IP 范围将始终在服务标记中找到。 有关详细信息,请参阅 Azure IP 范围。
| 服务标记名称 | 包括 Defender for Endpoint 服务 |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS、恶意软件示例提交存储、自动 IR 示例存储、命令和控制。 |
| OneDsCollector | EDR Cyberdata 注意:此服务标记下的流量不限于 Defender for Endpoint,可能包括其他 Microsoft 服务的诊断数据流量。 |
下表列出了当前的静态 IP 范围。 有关最新列表,请参阅 Azure 服务标记。
| 地理位置 | IP 范围 |
|---|---|
| 美国 | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| 欧盟 | 4.208.13.0/24 20.8.195.0/24 |
| 英国 | 20.26.63.224/28 20.254.173.48/28 |
| 金 | 68.218.120.64/28 20.211.228.80/28 |
重要
根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经这些 IP 区域中的任何一个 (对应于 Azure 数据中心区域) 。 有关详细信息,请参阅 数据存储和隐私。
阶段 2。 将设备配置为连接到 Defender for Endpoint 服务
将设备配置为通过连接基础结构进行通信。 确保设备满足先决条件,并更新了传感器和Microsoft Defender防病毒版本。 有关详细信息,请参阅 配置设备代理和 Internet 连接设置 。
阶段 3。 验证客户端连接预载入
有关详细信息,请参阅 验证客户端连接。
可以在 Windows 和 Xplat MDE客户端分析器上运行以下预载入检查:下载Microsoft Defender for Endpoint客户端分析器。
若要测试尚未载入到 Defender for Endpoint 的设备的简化连接,可以使用以下命令使用适用于 Windows 的客户端分析器:
从 MDEClientAnalyzer 文件夹中运行
mdeclientanalyzer.cmd -o <path to cmd file>。 该命令使用载入包中的参数来测试连接性。运行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>,其中参数为 GW_US、GW_EU、GW_UK。 GW 是指简化的选项。 使用适用的租户地理位置运行。
作为补充检查,还可以使用客户端分析器测试设备是否符合先决条件:https://aka.ms/BetaMDEAnalyzer
注意
对于尚未载入到 Defender for Endpoint 的设备,客户端分析器将针对标准 URL 集进行测试。 若要测试简化的方法,需要使用本文前面列出的开关运行。
阶段 4. 应用简化连接所需的新载入包
将网络配置为与服务的完整列表通信后,可以使用简化的方法开始加入设备。 请注意,目前不支持通过 API 载入, (包括 Intune & Microsoft Defender for Cloud) 。
在继续操作之前,请确认设备满足先决条件,并已更新传感器和Microsoft Defender防病毒版本。
若要获取新包,请在“Microsoft Defender XDR”中选择“设置>终结点>设备管理>载入”。
选择适用的操作系统,然后从“连接类型”下拉菜单中选择“简化 (预览) ”。
对于 (未载入到此方法支持的 Defender for Endpoint) 的新设备,请使用已更新的载入包和首选部署方法执行前面部分中的载入步骤:
从任何使用标准载入包的现有载入策略中排除设备。
若要迁移已载入到 Defender for Endpoint 的设备,请参阅 将设备迁移到简化的连接。 必须重新启动设备并遵循此处的特定指南。
准备好将默认载入包设置为“简化”时,可以在 Microsoft Defender 门户中打开以下“高级功能”设置, (“设置>终结点>高级功能”) 。
注意
在继续使用此选项之前,请验证环境是否已准备就绪,并且所有设备都满足先决条件。
此设置将适用的操作系统的默认载入包设置为“简化”。 你仍然可以在载入页中使用标准载入包,但必须在下拉列表中专门选择它。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈