KROK 1: Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Před onboardingem zařízení do Defenderu for Endpoint se ujistěte, že je vaše síť nakonfigurovaná pro připojení ke službě. Prvním krokem tohoto procesu je přidání adres URL do seznamu povolených domén, pokud váš proxy server nebo pravidla brány firewall brání přístupu k Defenderu for Endpoint. Tento článek obsahuje také informace o požadavcích na proxy server a bránu firewall pro starší verze klienta Windows a Windows Serveru.

Poznámka

• Tenanti, kteří se vytvořili 8. května 2024 nebo dříve, budou mít možnost vybrat zjednodušené připojení (konsolidovaná sada adres URL) jako výchozí metodu onboardingu nebo zůstat ve standardu prostřednictvím nastavení. Jakmile ověříte, že jsou splněné požadavky a jste připravení nastavit výchozí balíček pro připojování na zjednodušení, můžete na portálu Microsoft Defender zapnout následující nastavení Upřesnit funkce (Pokročilé funkce koncových bodů > nastavení>). Pro onboarding prostřednictvím Intune & Microsoft Defender for Cloud budete muset aktivovat příslušnou možnost. Zařízení, která jsou už nasazená, se automaticky znovu nepřipoužijí. Budete muset vytvořit novou zásadu v Intune, kde se před rozšířením cílové skupiny doporučuje nejprve zásadu přiřadit sadě testovacích zařízení, abyste ověřili, že připojení proběhlo úspěšně. Zařízení v Defenderu for Cloud je možné znovu onboardovat pomocí příslušného skriptu pro onboarding.
• Pokud už má váš tenant v rámci verze Public Preview povolené zjednodušené připojení, zůstane povolené.
• U nových tenantů vytvořených po 8. květnu 2024 se ve výchozím nastavení zjednoduší možnosti připojení. Další informace najdete v tématu Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint

Povolení přístupu k adresám URL služby Microsoft Defender for Endpoint na proxy serveru

Následující tabulka ke stažení obsahuje seznam služeb a jejich přidružených adres URL, ke kterým se zařízení ve vaší síti musí mít možnost připojit. Ujistěte se, že pro tyto adresy URL neexistují žádná pravidla firewallu nebo filtrování sítě, která by odepřela přístup. Volitelně možná budete muset vytvořit pravidlo povolení speciálně pro ně.

Tabulka seznamu domén	Popis
Microsoft Defender for Endpoint konsolidovaný seznam adres URL (zjednodušená)	Tabulka konsolidovaných adres URL Tabulku si můžete stáhnout tady. Použitelný operační systém: Úplný seznam najdete v článku o zjednodušeném připojení. - Windows 10 1809+ - Windows 11 – Windows Server 2019 – Windows Server 2022 – Windows Server 2012 R2, Windows Server 2016 R2 s moderním sjednoceným řešením Defender for Endpoint (vyžaduje instalaci prostřednictvím MSI). – podporované verze macOS se systémem 101.23102.* + – Podporované verze Linuxu se systémem 101.23102.* + Minimální verze komponent: - Antimalwarový klient: 4.18.2211.5 - Motor: 1.1.19900.2 – Bezpečnostní informace: 1.391.345.0 - Xplat verze: 101.23102.* + - Sensor/ KB verze: >10.8040.*/ 8. března 2022+ Pokud přesouváte dříve nasazená zařízení na zjednodušený přístup, přečtěte si téma Migrace připojení zařízení. Windows 10 verze 1607, 1703, 1709, 1803 (RS1-RS4) jsou podporovány prostřednictvím zjednodušeného onboardingového balíčku, ale vyžadují delší seznam adres URL (viz aktualizovaný seznam adres URL). Tyto verze nepodporují opětovné zprovoznění (napřed musí být plně offboarding). Zařízení se systémem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA a Servery, které nejsou upgradovány na sjednoceného agenta (MMA), budou muset dál používat metodu onboardingu MMA.
Microsoft Defender for Endpoint seznam adres URL pro komerční zákazníky (Standard)	Tabulka konkrétních záznamů DNS pro umístění služeb, zeměpisné umístění a operační systém pro komerční zákazníky Tabulku si můžete stáhnout tady. Microsoft Defender for Endpoint Plán 1 a Plán 2 sdílejí stejné adresy URL proxy služby. V bráně firewall otevřete všechny adresy URL, ve kterých je sloupec zeměpisná oblast WW. Pro řádky, ve kterých sloupec geografie není WW, otevřete adresy URL pro konkrétní umístění dat. Pokud chcete ověřit nastavení umístění dat, přečtěte si téma Ověření umístění úložiště dat a aktualizace nastavení uchovávání dat pro Microsoft Defender for Endpoint. Nevylučujte adresu URL *.blob.core.windows.net z jakéhokoli druhu kontroly sítě. Místo toho vylučte pouze adresy URL objektů blob, které jsou specifické pro MDE a uvedené v seznamu domén v tabulce.
Microsoft Defender for Endpoint seznam adres URL pro Gov/GCC/DoD	Tabulka konkrétních záznamů DNS pro umístění služeb, geografická umístění a operační systém pro zákazníky se systémy Gov, GCC nebo DoD Tabulku si můžete stáhnout tady.

Důležité

• Connections se provádí z kontextu operačního systému nebo klientských služeb Defenderu, a proto by proxy servery neměly vyžadovat ověřování pro tyto cíle ani provádět kontrolu (skenování HTTPS nebo ssl), která narušuje zabezpečený kanál.
• Společnost Microsoft neposkytuje proxy server. Tyto adresy URL jsou přístupné prostřednictvím proxy serveru, který nakonfigurujete.
• V souladu se standardy zabezpečení a dodržování předpisů defenderu for Endpoint se vaše data zpracovávají a ukládají v souladu s fyzickým umístěním vašeho tenanta. V závislosti na umístění klienta může provoz procházet některou z přidružených oblastí IP adres (které odpovídají oblastem datacentra Azure). Další informace najdete v tématu Ukládání dat a ochrana osobních údajů.

Microsoft Monitoring Agent (MMA) – další požadavky na proxy server a bránu firewall pro starší verze klienta Windows nebo Windows Serveru

Následující další cíle jsou potřeba k povolení komunikace Defenderu for Endpoint prostřednictvím agenta Log Analytics (často označovaného jako Microsoft Monitoring Agent) ve Windows 7 SP1, Windows 8.1 a Windows Serveru 2008 R2.

Prostředek agenta	Porty	Směr	Obejití kontroly HTTPS
*.ods.opinsights.azure.com	Port 443	Odchozí	Ano
*.oms.opinsights.azure.com	Port 443	Odchozí	Ano
*.blob.core.windows.net	Port 443	Odchozí	Ano
*.azure-automation.net	Port 443	Odchozí	Ano

Poznámka

Služby využívající řešení založené na MMA nemůžou využívat nové zjednodušené řešení připojení (konsolidovaná adresa URL a možnost použití statických IP adres). Pro Windows Server 2016 a Windows Server 2012 R2 budete muset aktualizovat na nové sjednocené řešení. Pokyny k onboardingu těchto operačních systémů pomocí nového sjednoceného řešení najdete v tématu Onboarding serverů s Windows nebo migrace již nasazených zařízení do nového sjednoceného řešení ve scénářích migrace serverů v Microsoft Defender for Endpoint.

Zařízení bez přístupu k internetu nebo bez proxy serveru

U zařízení bez přímého připojení k internetu je doporučeným přístupem použití řešení proxy. V konkrétních případech můžete využít bránu firewall nebo zařízení brány, která umožňují přístup k rozsahům IP adres. Další informace najdete v tématu : Zjednodušené připojení zařízení.

Důležité

• Microsoft Defender for Endpoint je cloudové řešení zabezpečení. "Onboarding zařízení bez přístupu k internetu" znamená, že přístup k internetu pro koncové body musí být nakonfigurovaný prostřednictvím proxy serveru nebo jiného síťového zařízení a vždy se vyžaduje překlad DNS. Microsoft Defender for Endpoint nepodporuje koncové body bez přímého nebo proxy připojení ke cloudovým službám Defenderu. Doporučuje se konfigurace proxy serveru pro celý systém.
• Systém Windows nebo Windows Server v odpojených prostředích musí být schopné aktualizovat důvěryhodnost certifikátu Seznamy offline prostřednictvím interního souboru nebo webového serveru.
• Další informace o offline aktualizaci seznamů CTL najdete v tématu Konfigurace souboru nebo webového serveru pro stažení souborů CTL.

Další krok

KROK 2: Konfigurace zařízení pro připojení ke službě Defender for Endpoint pomocí proxy serveru