Configurare Microsoft Defender per la distribuzione degli endpoint

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

La distribuzione di Defender per Endpoint è un processo in tre fasi:

fase di distribuzione- preparare.
Fase 1: preparazione
fase di distribuzione - installazione
Fase 2: configurazione
fase di distribuzione - onboard
Phase 3: onboarding
Sei qui!

Si è attualmente in fase di configurazione.

In questo scenario di distribuzione verrà illustrata la procedura seguente:

  • Convalida delle licenze
  • Configurazione tenant
  • Configurazione di rete

Nota

Allo scopo di guidare l'utente attraverso una distribuzione tipica, questo scenario copre solo l'uso di Microsoft Endpoint Configuration Manager. Defender for Endpoint supporta l'uso di altri strumenti di onboarding, ma non copre questi scenari nella guida alla distribuzione. Per altre informazioni, vedi Onboard dei dispositivi a Microsoft Defender per Endpoint.

Controllare lo stato della licenza

Il controllo dello stato della licenza e del provisioning corretto può essere eseguito tramite l'interfaccia di amministrazione o tramite il portale Microsoft Azure .

  1. Per visualizzare le licenze, accedere al portale Microsoft Azure e passare alla sezione Microsoft Azure licenza del portale.

    Immagine della pagina Licenze di Azure.

  2. In alternativa, nell'interfaccia di amministrazione passare a Fatturazione > Abbonamenti.

    Sullo schermo verranno visualizzate tutte le licenze di cui è stato eseguito il provisioning e il relativo stato corrente.

    Immagine delle licenze di fatturazione.

Convalida del provider di servizi cloud

Per ottenere l'accesso alle licenze di cui viene eseguito il provisioning per l'azienda e per controllare lo stato delle licenze, passare all'interfaccia di amministrazione.

  1. Nel portale per i partner selezionare Amministra servizi > Office 365.

  2. Facendo clic sul collegamento Portale per i partner verrà aperta l'opzione Amministratore per conto di e si avrà accesso all'interfaccia di amministrazione del cliente.

    Immagine del portale di amministrazione di O365.

Configurazione tenant

L'onboarding in Microsoft Defender per Endpoint è facile. Dal menu di spostamento seleziona qualsiasi elemento nella sezione Endpoint o qualsiasi funzionalità di Microsoft 365 Defender, ad esempio Eventi imprevisti, Ricerca, Centro notifiche o Analisi delle minacce per avviare il processo di onboarding.

Da un Web browser, accedere al Centro sicurezza Microsoft 365 sicurezza.

Configurazione di rete

Se l'organizzazione non richiede agli endpoint di utilizzare un proxy per accedere a Internet, ignorare questa sezione.

Il sensore Microsoft Defender per endpoint richiede che Microsoft Windows HTTP (WinHTTP) segnali dati dei sensori e comunichi con il servizio Microsoft Defender per endpoint. Il sensore incorporato di Microsoft Defender for Endpoint viene eseguito nel contesto di sistema usando l'account LocalSystem. Il sensore usa i servizi HTTP di Microsoft Windows (WinHTTP) per abilitare le comunicazioni con il servizio cloud Microsoft Defender per endpoint. L'impostazione di configurazione WinHTTP è indipendente dalle impostazioni del proxy di esplorazione Internet di Windows Internet (WinINet) e può individuare un server proxy solo utilizzando i metodi di individuazione seguenti:

  • Metodi di individuazione automatica:

    • Proxy trasparente
    • Protocollo Web Proxy Auto-discovery (WPAD)

    Se nella topologia di rete è stato implementato un proxy Trasparente o WPAD, non è necessario disporre di impostazioni di configurazione speciali. Per ulteriori informazioni sulle esclusioni di URL di Microsoft Defender for Endpoint nel proxy, vedere la sezione URL del servizio proxy in questo documento per l'elenco URL consentiti o in Configurare le impostazioni di connettività Internet e proxy del dispositivo.

  • Configurazione manuale del proxy statico:

    • Configurazione basata sul registro

    • WinHTTP configurato con il comando netsh

      Adatto solo per i desktop in una topologia stabile(ad esempio, un desktop in una rete aziendale dietro lo stesso proxy).

Configurare manualmente il server proxy con un proxy statico basato sul registro

Configurare un proxy statico basato sul Registro di sistema per consentire solo al sensore Microsoft Defender for Endpoint di segnalare i dati di diagnostica e comunicare con Microsoft Defender per i servizi endpoint se un computer non è autorizzato a connettersi a Internet. Il proxy statico è configurabile tramite Criteri di gruppo. I criteri di gruppo sono disponibili in:

  • Modelli amministrativi Windows componenti di raccolta dati e build di anteprima Configurare l'utilizzo del proxy autenticato per il servizio Esperienza > > utente connesso e > telemetria
  • Impostarlo su Abilitato e selezionare Disabilita utilizzo proxy autenticato
  1. Avviare la Console Gestione Criteri di gruppo.

  2. Crea un criterio o modifica un criterio esistente in base alle procedure dell'organizzazione.

  3. Modificare i Criteri di gruppo e passare a Modelli amministrativi Windows Componenti Raccolta dati e build di anteprima Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connesso > e > > telemetria.

    Immagine della configurazione di Criteri di gruppo.

  4. Selezionare Abilitato.

  5. Selezionare Disabilita utilizzo proxy autenticato.

  6. Passare a Modelli amministrativi Windows componenti Raccolta dati e Build di anteprima Configurare esperienze utente connesse e > > > telemetria.

    Immagine dell'impostazione di configurazione di Criteri di gruppo.

  7. Selezionare Abilitato.

  8. Immettere il nome del server proxy.

Il criterio imposta due valori di registroTelemetryProxyServer come REG_SZ e DisableEnterpriseAuthProxy REG_DWORD nella chiave di registroHKLM\Software\Policies\Microsoft\Windows\DataCollection.

Il valore del Registro TelemetryProxyServer di sistema assume il formato stringa seguente:

<server name or ip>:<port>

Ad esempio: 10.0.0.6:8080

Il valore del registro DisableEnterpriseAuthProxy deve essere impostato su 1.

Configurare manualmente il server proxy utilizzando il comando netsh

Usare netsh per configurare un proxy statico a livello di sistema.

Nota

  • Questa operazione avrà effetto su tutte le applicazioni, inclusi i servizi di Windows che usano WinHTTP con proxy predefinito.
  • I portatili che cambiano topologia (ad esempio, da ufficio a casa) non funzionano correttamente con netsh. È consigliabile usare la configurazione del proxy statico basata sul registro.
  1. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
  2. Immettere il comando indicato di seguito e premere INVIO:

    netsh winhttp set proxy <proxy>:<port>
    

    Ad esempio: netsh winhttp set proxy 10.0.0.6:8080

Configurazione proxy per i dispositivi di livello inferiore

i dispositivi Down-Level includono workstation Windows 7 SP1 e Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e versioni di Windows Server 2016 precedenti Windows Server CB 1803. Questi sistemi operativi avranno il proxy configurato come parte di Microsoft Management Agent per gestire le comunicazioni dall'endpoint ad Azure. Per informazioni sulla configurazione di un proxy in questi dispositivi, fare riferimento alla Guida alla distribuzione rapida di Microsoft Management Agent.

URL del servizio proxy

Gli URL che includono v20 in essi sono necessari solo se hai dispositivi Windows 10 versione 1803 o successiva. Ad esempio, è necessario solo se il dispositivo è us-v20.events.data.microsoft.com Windows 10 versione 1803 o successiva.

Se un proxy o un firewall blocca il traffico anonimo, poiché il sensore Microsoft Defender for Endpoint si connette dal contesto di sistema, assicurati che il traffico anonimo sia consentito negli URL elencati.

Nel seguente foglio di calcolo scaricabile sono elencati i servizi e gli URL associati a cui la rete deve essere in grado di connettersi. Verificare che non siano presenti regole di filtro di rete o firewall che negherebbero l'accesso a questi URL oppure potrebbe essere necessario creare una regola di autorizzazione specifica per tali URL.



Foglio di calcolo dell'elenco dei domini Descrizione
Immagine di scorrimento per il foglio di calcolo degli URL di Microsoft Defender for Endpoint. Foglio di calcolo di record DNS specifici per le posizioni dei servizi, le posizioni geografiche e il sistema operativo.

Scaricare il foglio di calcolo qui.

Intervalli IP back-end di Microsoft Defender for Endpoint Service

Se i dispositivi di rete non supportano le regole basate su DNS, usa invece intervalli IP.

Defender for Endpoint è creato nel cloud di Azure, distribuito nelle aree geografiche seguenti:

  • AzureCloud.eastus
  • AzureCloud.eastus2
  • AzureCloud.westcentralus
  • AzureCloud.northeurope
  • AzureCloud.westeurope
  • AzureCloud.uksouth
  • AzureCloud.ukwest

Gli intervalli IP di Azure sono disponibili in Intervalli IP di Azure e tag di servizio - Cloud pubblico.

Nota

Come soluzione basata sul cloud, gli intervalli di indirizzi IP possono cambiare. È consigliabile passare a regole basate su DNS.

If you are a US Government customer, please see the corresponding section in the Defender for Endpoint for US Government page.

Passaggio successivo

Fase 3: onboard.
Fase 3: onboard: onboardarei dispositivi al servizio in modo che il servizio Microsoft Defender for Endpoint possa ottenere i dati del sensore da essi.