共用方式為


使用適用於端點的 Microsoft Defender 的簡化連線將裝置上線

適用於:

適用於端點的 Defender 用戶端可能需要使用相關雲端服務的 Proxy 連線。 本文說明簡化的裝置連線方法、必要條件,並提供使用新目的地 () 驗證連線的其他資訊。

為了簡化網路設定和管理,您現在可以選擇使用減少的 URL 集或靜態 IP 範圍,將新裝置上線至適用於端點的 Defender。 如需移轉先前上線裝置的詳細資訊,請參閱 將裝置移轉至簡化的連線

適用於端點的 Defender 可辨識的簡化網域: *.endpoint.security.microsoft.com 合併下列適用於端點的 Defender 核心服務的連線能力:

  • 雲端提供的保護
  • 惡意代碼範例提交記憶體
  • Auto-IR 範例記憶體
  • 適用於端點的Defender命令 & 控件
  • 適用於端點的 Defender 網路和診斷數據

如需有關準備環境和更新目的地清單的詳細資訊,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線

若要支持沒有主機名解析或通配符支援的網路裝置,您也可以使用專用的適用於端點的 Defender 靜態 IP 範圍來設定連線能力。 如需詳細資訊, 請參閱使用靜態 IP 範圍設定連線

注意事項

  • 簡化的連線方法 不會變更Microsoft適用於端點的Defender在裝置上的運作方式,也不會變更用戶體驗。 只有裝置用來連線到服務的 URL 或 IP 會變更。
  • 目前沒有計劃要取代舊的合併服務 URL。 已上線且具有「標準」連線能力的裝置將會繼續運作。 請務必確保連線 *.endpoint.security.microsoft.com 能力是,而且仍然可行,因為未來的服務將會要求連線。 這個新的 URL 會包含在所有必要的 URL 清單中。
  • 與服務的聯機會利用憑證釘選和 TLS。 不支援「中斷和檢查」流量。 此外,連線是從裝置內容起始,而不是從用戶內容起始。 在大部分情況下,強制執行 Proxy (使用者) 驗證將不允許 (中斷) 連線。

開始之前

裝置必須符合特定必要條件,才能使用適用於端點的 Defender 的簡化連線方法。 在繼續上線之前,請先確定符合必要條件。

先決條件

許可證:

  • Microsoft適用於端點的 Defender 方案 1
  • Microsoft適用於端點的 Defender 方案 2
  • 適用於企業的 Microsoft Defender
  • Microsoft Defender 弱點管理

Windows) (KB 更新下限

  • SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更新版本 (請參閱數據表)

Microsoft Windows) (Defender 防病毒軟體版本

  • 反惡意代碼用戶端:4.18.2211.5
  • 發動機:1.1.19900.2
  • 防病毒軟體 (資訊安全情報) :1.391.345.0

(macOS/Linux) 的 Defender 防病毒軟體版本

支援的作業系統

  • Windows 10 版本 1809 或更新版本。 簡化的上線套件支援 Windows 10 版本 1607、1703、1709、1803,但需要不同的 URL 清單,請參閱 簡化的 URL 工作表
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 或 Windows Server 2016,已完整更新執行適用於端點的 Defender 新式整合解決方案, (透過 MSI) 進行安裝。
  • 使用 MDE 產品版本 101.24022.*+ 的 macOS 支援版本
  • MDE 產品版本為 101.24022.*+ 的 Linux 支援版本

重要事項

  • 簡化的連線方法不支援在 MMA 代理程式上執行的裝置,而且必須繼續使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 的標準 URL 集合,而不會升級至新式的整合代理程式) 。
  • Windows Server 2012 R2 和 Server 2016 必須升級為整合代理程式,才能利用新方法。
  • Windows 10 1607、1703、1709、1803 可以利用新的上線選項,但會使用較長的清單。 如需詳細資訊,請參閱 簡化的URL工作表
Windows OS 2022 年 3 月 8 日 (所需的最小 KB)
Windows 11 KB5011493 (2022 年 3 月 8 日)
Windows 10 1809、Windows Server 2019 KB5011503 (2022 年 3 月 8 日)
Windows 10 19H2 (1909) KB5011485 (2022 年 3 月 8 日)
Windows 10 20H2、21H2 KB5011487 (2022 年 3 月 8 日)
Windows 10 22H2 KB5020953 (2022 年 10 月 28 日)
Windows 10 1803* < 服務結束 >
Windows 10 1709* < 服務結束 >
Windows Server 2022 KB5011497 (2022 年 3 月 8 日)
Windows Server 2012 R2, 2016* 整合代理程式

簡化的連線程式

下圖顯示簡化的連線程式和對應的階段:

簡化連線程式的圖例

階段 1。 設定您的網路環境以進行雲端連線

確認符合必要條件之後,請確定您的網路環境已正確設定,以支援簡化的連線方法。 請遵循設定網路環境中所述的步驟 ,以確保與適用於端點的 Defender 服務連線

在簡化的網域下合併的適用於端點的 Defender 服務 URL,應該不再需要連線。 不過,某些 URL 不會包含在合併中。

簡化的連線可讓您使用下列選項來設定雲端連線能力:

選項 1:使用簡化的網域設定連線能力

設定您的環境以允許連線到簡化的適用於端點的Defender網域: *.endpoint.security.microsoft.com。 如需詳細資訊, 請參閱設定網路環境以確保與適用於端點的 Defender 服務連線

您必須與 更新清單下所列的其餘必要服務保持連線。 例如,根據您目前的網路基礎結構和修補方法,可能也需要存取證書吊銷清單、Windows Update、SmartScreen 服務。

選項 2:使用靜態 IP 範圍設定連線能力

透過簡化的連線能力,以IP為基礎的解決方案可以作為URL的替代方案。 這些IP涵蓋下列服務:

  • 地圖
  • 惡意代碼範例提交記憶體
  • Auto-IR 範例記憶體
  • 適用於端點的Defender命令和控制

重要事項

如果您使用IP方法, (OneDsCollector) 的EDR網路資料服務 必須 個別設定, (此服務只會在URL層級) 上合併。您也必須與其他必要服務保持連線,包括 SmartScreen、CRL、Windows Update 和其他服務。

若要隨時掌握IP範圍,建議您參閱適用於端點的 Microsoft Defender 服務的下列 Azure 服務標籤。 最新的IP範圍位於服務標籤中。 如需詳細資訊,請參閱 Azure IP 範圍

服務標籤名稱 包含適用於端點的 Defender 服務
MicrosoftDefenderForEndpoint 雲端提供的保護、惡意代碼範例提交記憶體、Auto-IR 範例記憶體、適用於端點的Defender命令和控制。
OneDsCollector 適用於端點的 Defender 網路和診斷數據

注意:此服務標籤下的流量不限於適用於端點的 Defender,而且可以包含其他Microsoft服務的診斷數據流量。

下表列出 MicrosoftDefenderForEndpoint 服務標籤涵蓋的目前靜態 IP 範圍。 如需最新清單,請參閱 Azure 服務標籤 檔。

地理位置 IP 範圍
美國 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
歐盟 4.208.13.0/24
20.8.195.0/24
英國 20.26.63.224/28
20.254.173.48/28
AU 68.218.120.64/28
20.211.228.80/28

重要事項

為了符合適用於端點的 Defender 安全性與合規性標準,將會根據租用戶的實體位置來處理和儲存您的數據。 根據用戶端位置,流量可能會流經對應至 Azure 資料中心區域) 的任何 IP 區域 (。 如需詳細資訊,請 參閱數據儲存和隱私權

階段 2。 設定您的裝置以連線到適用於端點的 Defender 服務

設定裝置以透過連線基礎結構進行通訊。 確定裝置符合必要條件,並已更新感測器和Microsoft Defender 防病毒軟體版本。 如需詳細資訊, 請參閱設定裝置 Proxy 和因特網連線設定

階段3。 確認客戶端連線前置

如需詳細資訊,請 參閱驗證用戶端連線能力

下列前置檢查可以在 Windows 和 Xplat MDE 用戶端分析器上執行: 下載適用於端點的 Microsoft Defender 用戶端分析器

若要測試尚未上線至適用於端點的 Defender 之裝置的簡化連線能力,您可以使用下列命令使用適用於 Windows 的用戶端分析器:

  • mdeclientanalyzer.cmd -o <path to cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用來自上線套件的參數來測試連線能力。

  • 執行 mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> ,其中參數為 GW_US、GW_EU、GW_UK。 GW 指的是簡化的選項。 使用適用的租使用者地理位置執行。

作為補充檢查,您也可以使用用戶端分析器來測試裝置是否符合必要條件: https://aka.ms/BetaMDEAnalyzer

注意事項

對於尚未上線至適用於端點的Defender的裝置,用戶端分析器會針對一組標準URL進行測試。 若要測試簡化的方法,您必須使用本文稍早所列的參數來執行 。

階段 4. 套用簡化連線所需的新上線套件

設定網路以與完整的服務清單通訊之後,您就可以使用簡化的方法開始將裝置上線。

繼續之前,請確認裝置符合 必要條件 ,並已更新感測器和Microsoft Defender 防病毒軟體版本。

  1. 若要取得新的套件,請在 [Microsoft Defender XDR] 中,選取 [ 設定 > 端點 > 裝置管理> 上線]

  2. 選取適用的作業系統,然後從 [連線類型] 下拉功能表中選擇 [簡化]。

  3. 若新裝置 (未上線至此方法所支援的適用於端點的 Defender) ,請遵循先前各節中的上線步驟,搭配您慣用的部署方法使用已更新的上線套件:

  1. 從任何使用標準上線套件的現有上線原則中排除裝置。

如需將已上線的裝置移轉至適用於端點的Defender,請參閱將 裝置移轉至簡化的連線。 您必須重新啟動裝置,並遵循此處的特定指引。