KROK 1. Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Przed dołączeniem urządzeń do usługi Defender for Endpoint upewnij się, że sieć jest skonfigurowana do nawiązywania połączenia z usługą. Pierwszym krokiem tego procesu jest dodanie adresów URL do listy dozwolonych domen, jeśli serwer proxy lub reguły zapory uniemożliwiają dostęp do usługi Defender for Endpoint. Ten artykuł zawiera również informacje o wymaganiach dotyczących serwera proxy i zapory dla starszych wersji klienta systemu Windows i systemu Windows Server.

Włączanie dostępu do adresów URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender na serwerze proxy

Domyślnie, jeśli serwer proxy lub zapora blokuje cały ruch i zezwala tylko na określone domeny, dodaj domeny wymienione w arkuszu do pobrania do listy dozwolonych domen.

W poniższym arkuszu kalkulacyjnym do pobrania wymieniono usługi i skojarzone z nimi adresy URL, z którymi sieć musi być w stanie nawiązać połączenie. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, aby odmówić dostępu dla tych adresów URL. Opcjonalnie może być konieczne utworzenie reguły zezwalania specjalnie dla nich.

Uwaga

(Dotyczy publicznej wersji zapoznawczej)

  • W ramach wersji zapoznawczej niektóre usługi Defender for Endpoint są konsolidowane za adresem URL: *.endpoint.security.microsoft.com. Masz możliwość użycia ograniczonego zestawu adresów URL w Microsoft Defender XDR dla usługi Defender dla punktu końcowego. Masz również nową opcję konfigurowania list dozwolonych przy użyciu statycznych zakresów adresów IP usługi Defender for Endpoint. Aby uzyskać więcej informacji, zobacz dołączanie urządzeń przy użyciu uproszczonej metody i przejrzyj zaktualizowaną listę w poprzedniej tabeli.
  • Aby użyć nowej metody dołączania, urządzenia muszą spełniać określone wymagania wstępne i używać nowego pakietu dołączania. Aby uzyskać więcej informacji, zobacz wymagania wstępne. Można migrować wcześniej dołączone urządzenia. Zobacz migrowanie urządzeń do usprawnionej łączności.
  • Niektóre usługi nie są uwzględnione w tej konsolidacji. Należy sprawdzić, czy utrzymujesz łączność z wymaganymi usługami. Aby uzyskać szczegółowe informacje na temat usług nieuwzględnianych w konsolidacji, zobacz uproszczony arkusz adresów URL lub urządzenia dołączające przy użyciu usprawnionej metody.
  • Urządzenia z agentem MMA nie są obsługiwane w ramach uproszczonego rozwiązania i muszą być dołączane przy użyciu metody niższego poziomu. Aby uzyskać listę wymaganych adresów URL, zobacz kartę MMA na uproszczonej liście adresów URL. Urządzenia ze starszą wersją systemu Windows w wersji 1607, 1703, 1709 lub 1803 mogą dołączać przy użyciu nowego pakietu dołączania, ale nadal wymagają dłuższej listy adresów URL. Aby uzyskać więcej informacji, zobacz poprzednią tabelę.

Arkusz kalkulacyjny listy domen Opis
Ochrona punktu końcowego w usłudze Microsoft Defender skonsolidowanej listy adresów URL (NOWA — usprawniona)
 WAŻNE: Obecnie w publicznej wersji zapoznawczej.
Arkusz kalkulacyjny ze skonsolidowanymi adresami URL w celu usprawnienia łączności urządzeń.
Pobierz arkusz kalkulacyjny tutaj.

Odpowiedni system operacyjny:
Aby uzyskać pełną listę, zobacz usprawniona łączność.
- Windows 10 1809+
- Windows 11
— Windows Server 2019
— Windows Server 2022
— Windows Server 2012 R2, Windows Server 2016 R2 z nowoczesnym ujednoliconym rozwiązaniem defender for Endpoint (wymaga instalacji za pośrednictwem msi).
— obsługiwane wersje systemu macOS z systemem 101.23102.* +
— Obsługiwane wersje systemu Linux z systemem 101.23102.* +

Minimalne wersje składników:
- Klient ochrony przed złośliwym kodem: 4.18.2211.5
- Silnik: 1.1.19900.2
- Analiza zabezpieczeń: 1.391.345.0
- Wersja Xplat: 101.23102.* +
- Czujnik/ KB wersja: >10.8040.*/ 8 marca 2022 r.

Jeśli przenosisz wcześniej dołączone urządzenia do uproszczonego podejścia, zobacz Migrowanie łączności urządzeń.
lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów komercyjnych (Standardowa) Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych.

Pobierz arkusz kalkulacyjny tutaj.

Ochrona punktu końcowego w usłudze Microsoft Defender plan 1 i plan 2 mają te same adresy URL usługi serwera proxy.
Ochrona punktu końcowego w usłudze Microsoft Defender listy adresów URL dla gov/GCC/DoD Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD.
Pobierz arkusz kalkulacyjny tutaj.

Uwaga

  1. Windows 10 wersji 1607, 1703, 1709, 1803 (RS1-RS4) są obsługiwane w pakiecie dołączania, ale wymagają dłuższej listy adresów URL (zobacz zaktualizowany arkusz adresów URL). Te wersje nie obsługują ponownego dołączania (najpierw muszą być całkowicie odłączone).
  2. Urządzenia z systemem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, serwery nie uaktualnione do programu Unified Agent (MMA) będą musiały nadal korzystać z metody dołączania mma.

Jeśli serwer proxy lub zapora ma włączone skanowanie HTTPS (inspekcja protokołu SSL), wyklucz domeny wymienione w powyższej tabeli ze skanowania HTTPS. W zaporze otwórz wszystkie adresy URL, w których kolumna geografii to WW. W przypadku wierszy, w których kolumna geografii nie jest WW, otwórz adresy URL w określonej lokalizacji danych. Aby zweryfikować ustawienie lokalizacji danych, zobacz Weryfikowanie lokalizacji magazynu danych i aktualizowanie ustawień przechowywania danych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Nie wykluczaj adresu URL *.blob.core.windows.net z jakiejkolwiek inspekcji sieci. Zamiast tego należy wykluczyć tylko adresy URL obiektów blob specyficzne dla MDE i wymienione na liście domen w arkuszu kalkulacyjnym.

Uwaga

Dotyczy standardowego zestawu adresów URL:
Urządzenia z systemem Windows z wersją 1803 lub starszą wymagają polecenia settings-win.data.microsoft.com.

Adresy URL, które zawierają w nich wersję 20, są potrzebne tylko wtedy, gdy masz urządzenia z systemem Windows w wersji 1803 lub nowszej. Na przykład us-v20.events.data.microsoft.com jest potrzebne dla urządzenia z systemem Windows w wersji 1803 lub nowszej i dołączone do regionu us Data Storage.

Jeśli serwer proxy lub zapora blokuje anonimowy ruch z czujnika usługi Defender for Endpoint i nawiązuje połączenie z kontekstu systemu, ważne jest, aby upewnić się, że ruch anonimowy jest dozwolony na serwerze proxy lub w zaporze dla wcześniej wymienionych adresów URL.

Uwaga

Firma Microsoft nie udostępnia serwera proxy. Te adresy URL są dostępne za pośrednictwem skonfigurowanego serwera proxy.

Ważna

Zgodnie ze standardami zabezpieczeń i zgodności usługi Defender for Endpoint dane będą przetwarzane i przechowywane zgodnie z lokalizacją fizyczną dzierżawy. Na podstawie lokalizacji klienta ruch może przepływać przez dowolny z tych regionów adresów IP (które odpowiadają regionom centrum danych platformy Azure). Aby uzyskać więcej informacji, zobacz Magazyn danych i prywatność.

Microsoft Monitoring Agent (MMA) — wymagania dotyczące serwera proxy i zapory dla starszych wersji klienta systemu Windows lub systemu Windows Server

Uwaga

(Dotyczy publicznej wersji zapoznawczej)
Usługi korzystające z rozwiązań opartych na architekturze MMA nie mogą korzystać z nowego usprawnionego rozwiązania łączności (skonsolidowanego adresu URL i opcji użycia statycznych adresów IP). W przypadku Windows Server 2016 i Windows Server 2012 R2 należy zaktualizować je do nowego ujednoliconego rozwiązania.

Informacje na liście informacji o konfiguracji serwera proxy i zapory są wymagane do komunikowania się z agentem usługi Log Analytics (często nazywanym agentem monitorowania firmy Microsoft) dla poprzednich wersji systemu Windows, takich jak Windows 7 z dodatkiem SP1, Windows 8.1 i Windows Server 2008 R2*.

Zasoby agenta Porty Kierunek Pomijanie inspekcji HTTPS
*.ods.opinsights.azure.com Port 443 Wychodzące Tak
*.oms.opinsights.azure.com Port 443 Wychodzące Tak
*.blob.core.windows.net Port 443 Wychodzące Tak
*.azure-automation.net Port 443 Wychodzące Tak

Uwaga

Te wymagania dotyczące łączności dotyczą poprzednich Ochrona punktu końcowego w usłudze Microsoft Defender Windows Server 2016 i Windows Server 2012 R2, które wymagają mma. Instrukcje dotyczące dołączania tych systemów operacyjnych do nowego ujednoliconego rozwiązania znajdują się w temacie Dołączanie serwerów z systemem Windows lub migrowanie do nowego ujednoliconego rozwiązania w scenariuszach migracji serwera w Ochrona punktu końcowego w usłudze Microsoft Defender.

Uwaga

Jako rozwiązanie oparte na chmurze zakres adresów IP może ulec zmianie. Zalecane jest przejście do ustawienia rozpoznawania dns.

Dołącz urządzenia bez dostępu do Internetu

W przypadku urządzeń bez bezpośredniego połączenia internetowego zalecane jest użycie rozwiązania serwera proxy. W przypadku starszych urządzeń z systemem Windows dołączonych przy użyciu poprzedniego rozwiązania opartego na architekturze MMA użycie rozwiązania bramy pakietu OMS zapewnia alternatywne podejście.

Uwaga

(Dotyczy publicznej wersji zapoznawczej)
W tej wersji zapoznawczej można korzystać z urządzeń zapory ze statycznymi zakresami adresów IP. Aby uzyskać więcej informacji, zobacz: Usprawniona łączność urządzenia i uproszczona lista adresów URL.

Aby uzyskać więcej informacji na temat metod dołączania, zobacz następujące artykuły:

Ważna

  • Ochrona punktu końcowego w usłudze Microsoft Defender jest rozwiązaniem w zakresie zabezpieczeń w chmurze. "Dołączanie urządzeń bez dostępu do Internetu" oznacza, że dostęp do Internetu dla punktów końcowych musi być skonfigurowany za pośrednictwem serwera proxy. Ochrona punktu końcowego w usłudze Microsoft Defender nie obsługuje punktów końcowych bez bezpośredniego lub proxy dostępu do Internetu. Zalecana konfiguracja serwera proxy w całym systemie.
  • System Windows lub Windows Server w środowiskach rozłączonych musi mieć możliwość aktualizowania zaufania certyfikatów Listy w trybie offline za pośrednictwem wewnętrznego pliku lub serwera sieci Web.
  • Aby uzyskać więcej informacji na temat aktualizowania list CTL w trybie offline, zobacz Konfigurowanie pliku lub serwera internetowego w celu pobrania plików CTL.

Urządzenia z systemem Windows 10 lub nowszym, Windows Server 2012 R2 lub nowszym, Linux i macOS

W zależności od systemu operacyjnego serwer proxy, który ma być używany do Ochrona punktu końcowego w usłudze Microsoft Defender, można skonfigurować automatycznie, zazwyczaj przy użyciu automatycznego wykrywania lub pliku autokonfiguracyjnego lub statycznie specyficznego dla usług Defender dla punktów końcowych uruchomionych na urządzeniu.

Urządzenia z systemem Windows z poprzednim rozwiązaniem opartym na programie MMA

Uwaga

  • Serwer bramy pakietu OMS nie może być używany jako serwer proxy dla odłączonych urządzeń z systemem Windows lub Windows Server po skonfigurowaniu za pośrednictwem rejestru TelemetryProxyServer lub obiektu zasad grupy.
  • W przypadku systemu Windows lub Windows Server — podczas korzystania z serwera TelemetryProxyServer musi on wskazywać standardowe urządzenie lub urządzenie proxy.

Dołącz poprzednią wersję systemu Windows

Uwaga

Do Microsoft Defender punktu końcowego nie można dołączyć żadnego klienta, który nie ma dostępu do Internetu. Klient musi mieć dostęp bezpośrednio do wymaganych adresów URL lub musi mieć dostęp za pośrednictwem serwera proxy lub zapory.
W ramach uproszczonej wersji zapoznawczej możesz teraz korzystać z adresów IP jako alternatywy dla niektórych adresów URL usługi Defender for Endpoint.

Potwierdzanie wymagań dotyczących adresu URL usługi programu Microsoft Monitoring Agent (MMA)

Zapoznaj się z poniższymi wskazówkami, aby wyeliminować wymagania dotyczące symboli wieloznacznych (*) dla określonego środowiska podczas korzystania z programu Microsoft Monitoring Agent (MMA) dla poprzednich wersji systemu Windows.

  1. Dołącz poprzedni system operacyjny z programem Microsoft Monitoring Agent (MMA) do usługi Defender for Endpoint (aby uzyskać więcej informacji, zobacz Dołączanie poprzednich wersji systemu Windows w usłudze Defender dla punktów końcowych i dołączanie serwerów z systemem Windows).

  2. Upewnij się, że maszyna pomyślnie zgłasza się do portalu Microsoft Defender.

  3. Uruchom narzędzie TestCloudConnection.exe, aby C:\Program Files\Microsoft Monitoring Agent\Agent zweryfikować łączność i uzyskać wymagane adresy URL dla określonego obszaru roboczego.

  4. Sprawdź listę adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać pełną listę wymagań dotyczących danego regionu (zapoznaj się z arkuszem kalkulacyjnym adresów URL usługi).

To jest administrator programu PowerShell.

Symbole wieloznaczne (*) używane w *.ods.opinsights.azure.compunktach końcowych , *.oms.opinsights.azure.comi *.agentsvc.azure-automation.net url można zastąpić określonym identyfikatorem obszaru roboczego. Identyfikator obszaru roboczego jest specyficzny dla środowiska i obszaru roboczego. Można go znaleźć w sekcji Dołączanie dzierżawy w portalu Microsoft Defender.

Punkt *.blob.core.windows.net końcowy adresu URL można zastąpić adresami URL wyświetlanymi w sekcji "Reguła zapory: *.blob.core.windows.net" wyników testu.

Uwaga

W przypadku dołączania za pośrednictwem Microsoft Defender dla chmury można użyć wielu obszarów roboczych. Należy wykonać procedurę TestCloudConnection.exe na dołączonym komputerze z każdego obszaru roboczego (aby ustalić, czy istnieją jakiekolwiek zmiany adresów URL *.blob.core.windows.net między obszarami roboczymi).

Następny krok

KROK 2. Konfigurowanie urządzeń w celu nawiązania połączenia z usługą Defender for Endpoint przy użyciu serwera proxy