PASO 1: Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión

Artículo
05/09/2024

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Antes de incorporar dispositivos a Defender para punto de conexión, asegúrese de que la red está configurada para conectarse al servicio. El primer paso de este proceso implica agregar direcciones URL a la lista de dominios permitidos si el servidor proxy o las reglas de firewall impiden el acceso a Defender para punto de conexión. En este artículo también se incluye información sobre los requisitos de proxy y firewall para versiones anteriores del cliente Windows y Windows Server.

Nota:

Los inquilinos creados en o antes del 8 de mayo de 2024 tendrán la opción de seleccionar la conectividad simplificada (conjunto consolidado de direcciones URL) como método de incorporación predeterminado o permanecer en el estándar a través de la configuración. Cuando haya comprobado que se cumplen los requisitos previos y está listo para establecer el paquete de incorporación predeterminado en simplificado, puede activar la siguiente configuración de características avanzadas en el portal de Microsoft Defender (Configuración > de las características avanzadas de los > puntos de conexión). Para la incorporación a través de Intune & Microsoft Defender for Cloud, deberá activar la opción correspondiente. Los dispositivos ya incorporados no se volverán a incorporar automáticamente; tendrá que crear una nueva directiva en Intune, donde se recomienda asignar primero la directiva a un conjunto de dispositivos de prueba para comprobar que la conectividad es correcta, antes de expandir la audiencia. Los dispositivos de Defender for Cloud se pueden volver a incorporar mediante el script de incorporación pertinente.
Si el inquilino ya tenía habilitada la conectividad simplificada como parte de la versión preliminar pública, permanecerá habilitada.
Los nuevos inquilinos creados después del 8 de mayo de 2024 tendrán como valor predeterminado una conectividad simplificada. Obtenga más información en Incorporación de dispositivos mediante conectividad simplificada para Microsoft Defender para punto de conexión

Habilitación del acceso a direcciones URL de servicio de Microsoft Defender para punto de conexión en el servidor proxy

En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas a las que los dispositivos de la red deben poder conectarse. Asegúrese de que no hay reglas de filtrado de red ni de firewall para denegar el acceso a estas direcciones URL. Opcionalmente, es posible que tenga que crear una regla de permiso específicamente para ellos.

Hoja de cálculo de la lista de dominios Descripción

Microsoft Defender para punto de conexión lista de direcciones URL consolidadas (simplificada) Hoja de cálculo de direcciones URL consolidadas.
Descargue la hoja de cálculo aquí.

Sistema operativo aplicable:
Para obtener una lista completa, consulte Conectividad simplificada.
- Windows 10 1809+
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Windows Server 2016 R2 que ejecuta la solución unificada moderna de Defender para punto de conexión (requiere la instalación a través de MSI).
- Versiones compatibles con macOS que ejecutan 101.23102.* +
- Versiones compatibles con Linux que ejecutan 101.23102.* +

Versiones mínimas de componentes:
- Cliente antimalware: 4.18.2211.5
- Motor: 1.1.19900.2
- Inteligencia de seguridad: 1.391.345.0
- Versión Xplat: 101.23102.* +
- Versión del sensor/ KB: >10.8040.*/ 8 de marzo de 2022+

Si va a mover dispositivos incorporados anteriormente al enfoque simplificado, consulte Migración de conectividad de dispositivos.

Windows 10 versión 1607, 1703, 1709, 1803 (RS1-RS4) se admiten a través del paquete de incorporación simplificada, pero requieren una lista de direcciones URL más larga (consulte la hoja de direcciones URL actualizada). Estas versiones no admiten la reonboarding (primero deben estar completamente fuera de la placa).

Los dispositivos que se ejecutan en Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Servidores no actualizados al Agente unificado (MMA) tendrán que seguir usando el método de incorporación de MMA.

Microsoft Defender para punto de conexión lista de direcciones URL para clientes comerciales (estándar)

Hoja de cálculo de la lista de dominios	Descripción
Microsoft Defender para punto de conexión lista de direcciones URL consolidadas (simplificada)	Hoja de cálculo de direcciones URL consolidadas. Descargue la hoja de cálculo aquí. Sistema operativo aplicable: Para obtener una lista completa, consulte Conectividad simplificada. - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2, Windows Server 2016 R2 que ejecuta la solución unificada moderna de Defender para punto de conexión (requiere la instalación a través de MSI). - Versiones compatibles con macOS que ejecutan 101.23102.* + - Versiones compatibles con Linux que ejecutan 101.23102.* + Versiones mínimas de componentes: - Cliente antimalware: 4.18.2211.5 - Motor: 1.1.19900.2 - Inteligencia de seguridad: 1.391.345.0 - Versión Xplat: 101.23102.* + - Versión del sensor/ KB: >10.8040.*/ 8 de marzo de 2022+ Si va a mover dispositivos incorporados anteriormente al enfoque simplificado, consulte Migración de conectividad de dispositivos. Windows 10 versión 1607, 1703, 1709, 1803 (RS1-RS4) se admiten a través del paquete de incorporación simplificada, pero requieren una lista de direcciones URL más larga (consulte la hoja de direcciones URL actualizada). Estas versiones no admiten la reonboarding (primero deben estar completamente fuera de la placa). Los dispositivos que se ejecutan en Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Servidores no actualizados al Agente unificado (MMA) tendrán que seguir usando el método de incorporación de MMA.
Microsoft Defender para punto de conexión lista de direcciones URL para clientes comerciales (estándar)	Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales. Descargue la hoja de cálculo aquí. Microsoft Defender para punto de conexión Plan 1 y Plan 2 comparten las mismas direcciones URL del servicio proxy. En el firewall, abra todas las direcciones URL donde la columna geography es WW. Para las filas en las que la columna geography no es WW, abra las direcciones URL a la ubicación de datos específica. Para comprobar la configuración de ubicación de datos, consulte Comprobación de la ubicación del almacenamiento de datos y actualización de la configuración de retención de datos para Microsoft Defender para punto de conexión. No excluya la dirección URL `*.blob.core.windows.net` de ningún tipo de inspección de red. En su lugar, excluya solo las direcciones URL de blob que son específicas de MDE y que aparecen en la lista de hojas de cálculo de dominios.
Microsoft Defender para punto de conexión lista de direcciones URL de Gov/GCC/DoD	Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD. Descargue la hoja de cálculo aquí.

Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales.

Descargue la hoja de cálculo aquí.

Microsoft Defender para punto de conexión Plan 1 y Plan 2 comparten las mismas direcciones URL del servicio proxy. En el firewall, abra todas las direcciones URL donde la columna geography es WW. Para las filas en las que la columna geography no es WW, abra las direcciones URL a la ubicación de datos específica. Para comprobar la configuración de ubicación de datos, consulte Comprobación de la ubicación del almacenamiento de datos y actualización de la configuración de retención de datos para Microsoft Defender para punto de conexión. No excluya la dirección URL *.blob.core.windows.net de ningún tipo de inspección de red. En su lugar, excluya solo las direcciones URL de blob que son específicas de MDE y que aparecen en la lista de hojas de cálculo de dominios.

Microsoft Defender para punto de conexión lista de direcciones URL de Gov/GCC/DoD Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD.
Descargue la hoja de cálculo aquí.

Importante

Connections se realizan desde el contexto del sistema operativo o los servicios cliente de Defender y, como tal, los servidores proxy no deben requerir autenticación para estos destinos ni realizar una inspección (examen HTTPS o inspección SSL) que interrumpa el canal seguro.
Microsoft no proporciona un servidor proxy. Estas direcciones URL son accesibles a través del servidor proxy que configure.
En cumplimiento con los estándares de cumplimiento y seguridad de Defender para punto de conexión, los datos se procesarán y almacenarán de acuerdo con la ubicación física del inquilino. En función de la ubicación del cliente, el tráfico puede fluir a través de cualquiera de las regiones IP asociadas (que corresponden a las regiones del centro de datos de Azure). Para obtener más información, consulte Almacenamiento de datos y privacidad.

Microsoft Monitoring Agent (MMA): requisitos adicionales de proxy y firewall para versiones anteriores del cliente Windows o Windows Server

Los siguientes destinos adicionales son necesarios para permitir las comunicaciones de Defender para punto de conexión a través del agente de Log Analytics (a menudo denominado Microsoft Monitoring Agent) en Windows 7 SP1, Windows 8.1 y Windows Server 2008 R2.

Recurso del agente	Puertos	Dirección	Omitir la inspección HTTP
`*.ods.opinsights.azure.com`	Puerto 443	Salida	Yes
`*.oms.opinsights.azure.com`	Puerto 443	Salida	Yes
`*.blob.core.windows.net`	Puerto 443	Salida	Yes
`*.azure-automation.net`	Puerto 443	Salida	Yes

Nota:

Los servicios que usan soluciones basadas en MMA no pueden aprovechar la nueva solución de conectividad simplificada (dirección URL consolidada y opción para usar direcciones IP estáticas). Para Windows Server 2016 y Windows Server 2012 R2, deberá actualizar a la nueva solución unificada. Las instrucciones para incorporar estos sistemas operativos con la nueva solución unificada se encuentran en Incorporación de servidores Windows o migración de dispositivos ya incorporados a la nueva solución unificada en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

Para dispositivos sin acceso a Internet o sin proxy

Para los dispositivos sin conexión directa a Internet, el uso de una solución de proxy es el enfoque recomendado. En casos específicos, puede aprovechar los dispositivos de firewall o puerta de enlace que permiten el acceso a intervalos IP. Para obtener más información, consulte: Conectividad simplificada de dispositivos.

Importante

Microsoft Defender para punto de conexión es una solución de seguridad en la nube. "Incorporar dispositivos sin acceso a Internet" significa que el acceso a Internet para los puntos de conexión debe configurarse a través de un proxy u otro dispositivo de red, y siempre se requiere la resolución DNS. Microsoft Defender para punto de conexión no admite puntos de conexión sin conectividad directa o proxy con los servicios en la nube de Defender. Se recomienda una configuración de proxy de todo el sistema.
Windows o Windows Server en entornos desconectados deben poder actualizar la confianza del certificado Listas sin conexión a través de un archivo interno o servidor web.
Para obtener más información sobre cómo actualizar las CTL sin conexión, consulte Configuración de un archivo o servidor web para descargar los archivos CTL.

Paso siguiente

PASO 2: Configurar los dispositivos para conectarse al servicio Defender para punto de conexión mediante un proxy

Compartir vía