Configurer les paramètres de proxy du dispositif et de connectivité InternetConfigure device proxy and Internet connectivity settings

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Le capteur Defender pour point de terminaison nécessite que Microsoft Windows HTTP (WinHTTP) signale les données du capteur et communique avec le service Defender for Endpoint.The Defender for Endpoint sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Defender for Endpoint service.

Le capteur Defender for Endpoint incorporé s’exécute dans le contexte système à l’aide du compte LocalSystem.The embedded Defender for Endpoint sensor runs in system context using the LocalSystem account. Le capteur utilise Microsoft Windows HTTP Services (WinHTTP) pour permettre la communication avec le service cloud Defender for Endpoint.The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Defender for Endpoint cloud service.

Conseil

Pour les organisations qui utilisent des proxies de transfert comme passerelle vers l'Internet, vous pouvez utiliser la protection du réseau pour enquêter derrière un proxy.For organizations that use forward proxies as a gateway to the Internet, you can use network protection to investigate behind a proxy. Pour plus d'informations, voir Enquêter sur les événements de connexion qui se produisent derrière les procurations.For more information, see Investigate connection events that occur behind forward proxies.

Le paramètre de configuration WinHTTP est indépendant des paramètres proxy de navigation Internet Windows Internet (WinINet) et ne peut découvrir un serveur proxy qu’à l’aide des méthodes de découverte suivantes :The WinHTTP configuration setting is independent of the Windows Internet (WinINet) Internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

  • Méthodes de découverte automatique :Auto-discovery methods:

    • Proxy transparentTransparent proxy

    • Protocole WPAD (Web Proxy Auto-Discovery Protocol)Web Proxy Auto-discovery Protocol (WPAD)

      Notes

      Si vous utilisez un proxy transparent ou WPAD dans votre topologie réseau, vous n’avez pas besoin de paramètres de configuration spéciaux.If you're using Transparent proxy or WPAD in your network topology, you don't need special configuration settings. Pour plus d’informations sur les exclusions d’URL defender pour point de terminaison dans le proxy, voir Activer l’accès à Defender pour les URL de service de point de terminaison dans le serveur proxy.For more information on Defender for Endpoint URL exclusions in the proxy, see Enable access to Defender for Endpoint service URLs in the proxy server.

  • Configuration manuelle du proxy statique :Manual static proxy configuration:

    • Configuration basée sur le registreRegistry based configuration

    • WinHTTP configuré à l'aide de la commande netsh – Convient uniquement aux ordinateurs de bureau à topologie stable (par exemple : un ordinateur de bureau dans un réseau d'entreprise derrière le même proxy)WinHTTP configured using netsh command – Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

Configurer le serveur proxy manuellement en utilisant un proxy statique basé sur le registreConfigure the proxy server manually using a registry-based static proxy

Configurez un proxy statique basé sur le Registre pour autoriser uniquement le capteur Defender for Endpoint à signaler les données de diagnostic et à communiquer avec Defender pour les services Endpoint si un ordinateur n’est pas autorisé à se connecter à Internet.Configure a registry-based static proxy to allow only Defender for Endpoint sensor to report diagnostic data and communicate with Defender for Endpoint services if a computer is not permitted to connect to the Internet.

Notes

Lorsque vous utilisez cette option sur Windows 10 ou Windows Server 2019, il est recommandé d’avoir la version suivante (ou ultérieure) et le cumul des mises à jour cumulatives :When using this option on Windows 10 or Windows Server 2019, it is recommended to have the following (or later) build and cumulative update rollup:

Ces mises à jour améliorent la connectivité et la fiabilité du canal CnC (Commande et contrôle).These updates improve the connectivity and reliability of the CnC (Command and Control) channel.

Le proxy statique est configurable via une stratégie de groupe.The static proxy is configurable through Group Policy (GP). La stratégie de groupe se trouve sous :The group policy can be found under:

  • Modèles d’administration > Windows composants > collecte de données et builds d’aperçu > Configurer l’utilisation du proxy authentifié pour le service Expériences des utilisateurs connectés et télémétrieAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service

    Définissez-le sur Activé et sélectionnez Désactiver l’utilisation du proxy authentifié.Set it to Enabled and select Disable Authenticated Proxy usage.

    Image du paramètre de stratégie de groupe1

  • Modèles d’administration > Windows composants > collecte de données et builds d’aperçu > configurer les expériences des utilisateurs connectés et la télémétrie :Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry:

    Configurer le proxyConfigure the proxy

    Image du paramètre de stratégie de groupe2

    La stratégie définit deux valeurs de Registre, comme REG_SZ et comme REG_DWORD, sous TelemetryProxyServer la clé de Registre DisableEnterpriseAuthProxy HKLM\Software\Policies\Microsoft\Windows\DataCollection .The policy sets two registry values, TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD, under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

    La valeur de Registre TelemetryProxyServer prend le format de chaîne suivant :The registry value TelemetryProxyServer takes the following string format:

    <server name or ip>:<port>
    

    Par exemple, 10.0.0.6:8080For example: 10.0.0.6:8080

    Cette valeur de registre DisableEnterpriseAuthProxy doit être égale à 1.The registry value DisableEnterpriseAuthProxy should be set to 1.

Configurer le serveur proxy manuellement à l’aide de la commande netshConfigure the proxy server manually using netsh command

Utiliser netsh pour configurer un proxy statique à l’échelle du système.Use netsh to configure a system-wide static proxy.

Notes

  • Cela affectera toutes les applications, y compris les services Windows qui utilisent WinHTTP avec un proxy par défaut.This will affect all applications including Windows services which use WinHTTP with default proxy.
  • Les ordinateurs portables qui changent de topologie (par exemple, de bureau à domicile) ne fonctionnent pas correctement avec netsh.Laptops that are changing topology (for example: from office to home) will malfunction with netsh. Utiliser la configuration statique du proxy basée sur le registre.Use the registry-based static proxy configuration.
  1. Ouvrir une ligne de commandes avec élévation de privilèges :Open an elevated command-line:

    1. Accéder à Démarrer et taper cmd.Go to Start and type cmd.

    2. Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.Right-click Command prompt and select Run as administrator.

  2. Entrez la commande suivante et appuyez sur Entrée :Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    Par exemple : netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

Pour réinitialiser le proxy winhttp, entrez la commande suivante et appuyez sur Entrée :To reset the winhttp proxy, enter the following command and press Enter:

netsh winhttp reset proxy

Pour plus d’informations, voir la syntaxe, les contextes et le formatage de la commande Netsh.See Netsh Command Syntax, Contexts, and Formatting to learn more.

Activer l’accès aux URL du service Microsoft Defender pour les points de terminaison dans le serveur proxyEnable access to Microsoft Defender for Endpoint service URLs in the proxy server

Si un proxy ou un pare-feu bloque tout le trafic par défaut et n'autorise le passage que de domaines spécifiques, ajoutez les domaines énumérés dans la feuille téléchargeable à la liste des domaines autorisés.If a proxy or firewall is blocking all traffic by default and allowing only specific domains through, add the domains listed in the downloadable sheet to the allowed domains list.

La feuille de calcul téléchargeable suivante répertorie les services et les URL associées à qui votre réseau doit pouvoir se connecter.The following downloadable spreadsheet lists the services and their associated URLs that your network must be able to connect to. Vous devez vous assurer qu’il n’existe aucune règle de pare-feu ou de filtrage réseau qui refuserait l’accès à ces URL, ou que vous devrez peut-être créer une règle d’autoriser spécifiquement pour eux.You should ensure that there are no firewall or network filtering rules that would deny access to these URLs, or you may need to create an allow rule specifically for them.

Liste de feuilles de calcul de domainesSpreadsheet of domains list DescriptionDescription
Image miniature de la feuille de calcul DES URL de Microsoft Defender pour les points de terminaison
Feuille de calcul d’enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation.Spreadsheet of specific DNS records for service locations, geographic locations, and OS.

Téléchargez la feuille de calcul ici.Download the spreadsheet here.

Si l’analyse HTTPS (inspection SSL) est activée pour un proxy ou un pare-feu, excluez les domaines répertoriés dans le tableau ci-dessus de l’analyse HTTPS.If a proxy or firewall has HTTPS scanning (SSL inspection) enabled, exclude the domains listed in the above table from HTTPS scanning.

Notes

settings-win.data.microsoft.com est nécessaire uniquement si vous avez des Windows 10 exécutant la version 1803 ou une version antérieure.settings-win.data.microsoft.com is only needed if you have Windows 10 devices running version 1803 or earlier.

Notes

Les URL qui incluent la version 20 sont nécessaires uniquement si vous avez des Windows 10 exécutant la version 1803 ou ultérieure.URLs that include v20 in them are only needed if you have Windows 10 devices running version 1803 or later. Par exemple, est nécessaire pour un appareil Windows 10 exécutant la version 1803 ou ultérieure et intégré à la région Stockage us-v20.events.data.microsoft.com données américaines.For example, us-v20.events.data.microsoft.com is needed for a Windows 10 device running version 1803 or later and onboarded to US Data Storage region.

Notes

Si vous utilisez Antivirus Microsoft Defender dans votre environnement, voir Configurer les connexions réseau au service cloud Antivirus Microsoft Defender.If you are using Microsoft Defender Antivirus in your environment, see Configure network connections to the Microsoft Defender Antivirus cloud service.

Si un proxy ou un pare-feu bloque le trafic anonyme, comme le capteur Defender for Endpoint se connecte à partir du contexte système, assurez-vous que le trafic anonyme est autorisé dans les URL répertoriées précédemment.If a proxy or firewall is blocking anonymous traffic, as Defender for Endpoint sensor is connecting from system context, make sure anonymous traffic is permitted in the previously listed URLs.

Microsoft Monitoring Agent (MMA) : exigences relatives au proxy et au pare-feu pour les versions antérieures Windows client ou Windows ServerMicrosoft Monitoring Agent (MMA) - proxy and firewall requirements for older versions of Windows client or Windows Server

Les informations ci-dessous répentent les informations de configuration du proxy et du pare-feu requises pour communiquer avec l’agent d’analyse des journaux (souvent appelé Microsoft Monitoring Agent) pour les versions précédentes de Windows telles que Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 et Windows Server 2016.The information below list the proxy and firewall configuration information required to communicate with Log Analytics agent (often referred to as Microsoft Monitoring Agent) for the previous versions of Windows such as Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, and Windows Server 2016.

Ressource AgentAgent Resource PortsPorts DirectionDirection Contourner l’inspection HTTPSBypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com Port 443Port 443 SortantOutbound OuiYes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com Port 443Port 443 SortantOutbound OuiYes
*.blob.core.windows.net*.blob.core.windows.net Port 443Port 443 SortantOutbound OuiYes
*.azure-automation.net*.azure-automation.net Port 443Port 443 SortantOutbound OuiYes

Notes

En tant que solution informatique, la plage d’adresses IP peut changer.As a cloud-based solution, the IP range can change. Il est recommandé de passer au paramètre de résolution DNS.It's recommended you move to DNS resolving setting.

Confirmer la Microsoft Monitoring Agent’URL du service (MMA)Confirm Microsoft Monitoring Agent (MMA) Service URL Requirements

Consultez les instructions suivantes pour éliminer les caractères génériques (*) requis pour votre environnement spécifique lors de l’utilisation de la Microsoft Monitoring Agent (MMA) pour les versions précédentes de Windows.Please see the following guidance to eliminate the wildcard (*) requirement for your specific environment when using the Microsoft Monitoring Agent (MMA) for previous versions of Windows.

  1. Intégrer un système d’exploitation précédent avec l’Microsoft Monitoring Agent (MMA) dans Defender pour endpoint (pour plus d’informations, voir Intégrer les versions précédentes de Windows sur les serveurs Defender for Endpoint et Onboard Windows.Onboard a previous operating system with the Microsoft Monitoring Agent (MMA) into Defender for Endpoint (for more information, see Onboard previous versions of Windows on Defender for Endpoint and Onboard Windows servers.

  2. Assurez-vous que l’ordinateur est correctement signalé dans le Centre de sécurité Microsoft Defender web.Ensure the machine is successfully reporting into the Microsoft Defender Security Center portal.

  3. Exécutez l’outil TestCloudConnection.exe à partir de « C:\Program Files\Microsoft Monitoring Agent\Agent » pour valider la connectivité et voir les URL requises pour votre espace de travail spécifique.Run the TestCloudConnection.exe tool from “C:\Program Files\Microsoft Monitoring Agent\Agent” to validate the connectivity and to see the required URLs for your specific workspace.

  4. Consultez la liste des URL de point de terminaison Microsoft Defender pour obtenir la liste complète des conditions requises pour votre région (reportez-vous à la feuille de calcul URL deservice).Check the Microsoft Defender for Endpoint URLs list for the complete list of requirements for your region (please refer to the Service URLs Spreadsheet).

    Image de l’administrateur dans Windows PowerShell

Les caractères génériques (*) utilisés dans les points de terminaison d’URL *.ods.opinsights.azure.com, *.oms.opinsights.azure.com et *.agentsvc.azure-automation.net peuvent être remplacés par votre ID d’espace de travail spécifique.The wildcards (*) used in *.ods.opinsights.azure.com, *.oms.opinsights.azure.com, and *.agentsvc.azure-automation.net URL endpoints can be replaced with your specific Workspace ID. L’ID d’espace de travail est spécifique à votre environnement et à votre espace de travail et se trouve dans la section Intégration de votre client dans le portail Centre de sécurité Microsoft Defender.The Workspace ID is specific to your environment and workspace and can be found in the Onboarding section of your tenant within the Microsoft Defender Security Center portal.

Le point de terminaison d’URL *.blob.core.windows.net peut être remplacé par les URL affichées dans la section « Règle de pare-feu : *.blob.core.windows.net » des résultats du test.The *.blob.core.windows.net URL endpoint can be replaced with the URLs shown in the “Firewall Rule: *.blob.core.windows.net” section of the test results.

Notes

Dans le cas de l’intégration via Azure Defender, plusieurs espaces de travail peuvent être utilisés.In the case of onboarding via Azure Defender, multiple workspaces maybe used. Vous devrez effectuer la procédure TestCloudConnection.exe ci-dessus sur un ordinateur intégré à partir de chaque espace de travail (pour déterminer s’il existe des modifications apportées aux URL *.blob.core.windows.net entre les espaces de travail).You will need to perform the TestCloudConnection.exe procedure above on an onboarded machine from each workspace (to determine if there are any changes to the *.blob.core.windows.net URLs between the workspaces).

Vérifier la connectivité du client aux URL du service Microsoft Defender pour les points de terminaisonVerify client connectivity to Microsoft Defender for Endpoint service URLs

Vérifier que la configuration du proxy a été effectuée avec succès, que WinHTTP peut découvrir et communiquer par le biais du serveur proxy dans votre environnement, et que le serveur proxy permet le trafic vers les URL du service Defender for Endpoint.Verify the proxy configuration completed successfully, that WinHTTP can discover and communicate through the proxy server in your environment, and that the proxy server allows traffic to the Defender for Endpoint service URLs.

  1. Téléchargez l MDATP’analyseur client sur le PC sur lequel le capteur Defender for Endpoint est en cours d’exécution.Download the MDATP Client Analyzer tool to the PC where Defender for Endpoint sensor is running on.

  2. Extraire le contenu de MDATPClientAnalyzer.zip sur l’appareil.Extract the contents of MDATPClientAnalyzer.zip on the device.

  3. Ouvrir une ligne de commandes avec élévation de privilèges :Open an elevated command-line:

    1. Accéder à Démarrer et taper cmd.Go to Start and type cmd.

    2. Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.Right-click Command prompt and select Run as administrator.

  4. Entrez la commande suivante et appuyez sur Entrée :Enter the following command and press Enter:

    HardDrivePath\MDATPClientAnalyzer.cmd
    

    Remplacez HardDrivePath par le chemin d’accès où l’outil MDATPClientAnalyzer a été téléchargé, par exemple :Replace HardDrivePath with the path where the MDATPClientAnalyzer tool was downloaded to, for example:

    C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd
    
  5. ExtrayezMDATPClientAnalyzerResult.zip fichier créé par l’outil dans le dossier utilisé dans HardDrivePath.Extract the MDATPClientAnalyzerResult.zip file created by tool in the folder used in the HardDrivePath.

  6. Open MDATPClientAnalyzerResult.txt et vérifiez que vous avez effectué les étapes de configuration du proxy pour permettre la découverte du serveur et l'accès aux URL des services.Open MDATPClientAnalyzerResult.txt and verify that you have performed the proxy configuration steps to enable server discovery and access to the service URLs.

    L'outil vérifie la connectivité des URL du service Defender for Endpoint avec lesquelles le client Defender for Endpoint est configuré pour interagir.The tool checks the connectivity of Defender for Endpoint service URLs that Defender for Endpoint client is configured to interact with. Il imprime ensuite les résultats dans le fichier MDATPClientAnalyzerResult.txt pour chaque URL pouvant être utilisée pour communiquer avec Defender pour les services Endpoint.It then prints the results into the MDATPClientAnalyzerResult.txt file for each URL that can potentially be used to communicate with the Defender for Endpoint services. Par exemple :For example:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Si au moins une des options de connectivité renvoie un état (200), le client Defender pour le point de terminaison peut communiquer avec l’URL testée correctement à l’aide de cette méthode de connectivité.If at least one of the connectivity options returns a (200) status, then the Defender for Endpoint client can communicate with the tested URL properly using this connectivity method.

Toutefois, si les résultats du contrôle de la connectivité indiquent un échec, une erreur HTTP est affichée (voir Codes d'état HTTP).However, if the connectivity check results indicate a failure, an HTTP error is displayed (see HTTP Status Codes). Vous pouvez ensuite utiliser les URL dans le tableau indiqué dans Activer l’accès aux URL de service Defender for Endpoint dans le serveur proxy.You can then use the URLs in the table shown in Enable access to Defender for Endpoint service URLs in the proxy server. Les URL que vous utiliserez dépendent de la région sélectionnée au cours de la procédure d’intégration.The URLs you'll use will depend on the region selected during the onboarding procedure.

Notes

L’outil Analyseur de connectivité n’est pas compatible avec la règle ASR Bloquer les créations de processus en provenance des commandes PSExec et WMI.The Connectivity Analyzer tool is not compatible with ASR rule Block process creations originating from PSExec and WMI commands. Vous devrez désactiver temporairement cette règle pour exécuter l’outil connectivité.You will need to temporarily disable this rule to run the connectivity tool.

Notes

Lorsque telemetryProxyServer est défini, dans le Registre ou via la stratégie de groupe, Defender pour le point de terminaison revient à direct s’il ne peut pas accéder au proxy défini.When the TelemetryProxyServer is set, in Registry or via Group Policy, Defender for Endpoint will fall back to direct if it can't access the defined proxy.