Configurar o Microsoft Defender para implantação do Ponto de ExtremidadeSet up Microsoft Defender for Endpoint deployment

Aplica-se a:Applies to:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade?Want to experience Microsoft Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Implantar o Defender para Ponto de Extremidade é um processo de três fases:Deploying Defender for Endpoint is a three-phase process:

fase de implantação - preparardeployment phase - prepare
Fase 1: PrepararPhase 1: Prepare
fase de implantação - instalação
Fase 2: ConfigurarPhase 2: Setup
fase de implantação - onboarddeployment phase - onboard
Fase 3: IntegrarPhase 3: Onboard
Você está aqui!You are here!

No momento, você está na fase de configuração.You are currently in the set-up phase.

Neste cenário de implantação, você será orientado pelas etapas em:In this deployment scenario, you'll be guided through the steps on:

  • Validação de licenciamentoLicensing validation
  • Configuração de locatárioTenant configuration
  • Configuração da redeNetwork configuration

Observação

Para orientar você por meio de uma implantação típica, esse cenário só abrange o uso de Microsoft Endpoint Configuration Manager.For the purpose of guiding you through a typical deployment, this scenario will only cover the use of Microsoft Endpoint Configuration Manager. O Defender for Endpoint dá suporte ao uso de outras ferramentas de integração, mas não abrange esses cenários no guia de implantação.Defender for Endpoint supports the use of other onboarding tools but won't cover those scenarios in the deployment guide. Para obter mais informações, consulte Onboard devices to Microsoft Defender for Endpoint.For more information, see Onboard devices to Microsoft Defender for Endpoint.

Verificar o estado da licençaCheck license state

Verificar o estado da licença e se ele foi provisionado corretamente, pode ser feito por meio do centro de administração ou por meio do portal Microsoft Azure .Checking for the license state and whether it got properly provisioned, can be done through the admin center or through the Microsoft Azure portal.

  1. Para exibir suas licenças, vá para o portal de Microsoft Azure e navegue até a seção de licença Microsoft Azure portal.To view your licenses, go to the Microsoft Azure portal and navigate to the Microsoft Azure portal license section.

    Imagem da página Licenciamento do Azure

  2. Como alternativa, no centro de administração, navegue até Cobrança > de Assinaturas.Alternately, in the admin center, navigate to Billing > Subscriptions.

    Na tela, você verá todas as licenças provisionadas e seu Status atual.On the screen, you'll see all the provisioned licenses and their current Status.

    Imagem das licenças de cobrança

Validação do Provedor de Serviços na NuvemCloud Service Provider validation

Para obter acesso a quais licenças são provisionadas para sua empresa e verificar o estado das licenças, vá para o centro de administração.To gain access into which licenses are provisioned to your company, and to check the state of the licenses, go to the admin center.

  1. No portal parceiro, selecione Administrar serviços > Office 365.From the Partner portal, select Administer services > Office 365.

  2. Clicar no link portal do Parceiro abrirá a opção Administrador em nome e lhe dará acesso ao centro de administração do cliente.Clicking on the Partner portal link will open the Admin on behalf option and will give you access to the customer admin center.

    Imagem do portal de administração do O365

Configuração do LocatárioTenant Configuration

A integração com o Microsoft Defender para Ponto de Extremidade é fácil.Onboarding to Microsoft Defender for Endpoint is easy. No menu de navegação, selecione qualquer item na seção Pontos de Extremidade ou qualquer recurso Microsoft 365 Defender, como Incidentes, Busca, Centro de Ações ou Análise de Ameaças para iniciar o processo de integração.From the navigation menu, select any item under the Endpoints section, or any Microsoft 365 Defender feature such as Incidents, Hunting, Action center, or Threat analytics to initiate the onboarding process.

Em um navegador da Web, navegue até a Central Microsoft 365 Segurança.From a web browser, navigate to the Microsoft 365 Security Center.

Configuração da redeNetwork configuration

Se a organização não exigir que os pontos de extremidade usem um Proxy para acessar a Internet, ignore esta seção.If the organization doesn't require the endpoints to use a Proxy to access the Internet, skip this section.

O sensor Microsoft Defender ATP requer o Microsoft Windows HTTP (WinHTTP) para relatar os dados do sensor e se comunicar com o serviço Microsoft Defender ATP.The Microsoft Defender for Endpoint sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Microsoft Defender for Endpoint service. O sensor incorporado do Microsoft Defender para Ponto de Extremidade é executado no contexto do sistema usando a conta LocalSystem.The embedded Microsoft Defender for Endpoint sensor runs in the system context using the LocalSystem account. O sensor usa o Microsoft Windows HTTP Services (WinHTTP) para permitir a comunicação com o serviço de nuvem Microsoft Defender ATP.The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Microsoft Defender for Endpoint cloud service. A configuração winhttp é independente das configurações de proxy de navegação na Internet (WinINet) Windows internet e só pode descobrir um servidor proxy usando os seguintes métodos de descoberta:The WinHTTP configuration setting is independent of the Windows Internet (WinINet) internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

Métodos de Descoberta Automática:Autodiscovery methods:

  • Proxy transparenteTransparent proxy

  • Protocolo de Descoberta Automática de Proxy da Web (WPAD)Web Proxy Autodiscovery Protocol (WPAD)

Se um proxy transparente ou WPAD tiver sido implementado na topologia de rede, não será necessário definir configurações especiais.If a Transparent proxy or WPAD has been implemented in the network topology, there is no need for special configuration settings. Para obter mais informações sobre as exclusões de URL do Microsoft Defender para Ponto de Extremidade no proxy, consulte a seção URLs do Serviço proxy neste documento para a lista de URLs permitir ou em Configurar configurações de proxy de dispositivo e conectividade com a Internet.For more information on Microsoft Defender for Endpoint URL exclusions in the proxy, see the Proxy Service URLs section in this document for the URLs allow list or on Configure device proxy and Internet connectivity settings.

Configuração manual de proxy estático:Manual static proxy configuration:

  • Configuração baseada em registroRegistry-based configuration

  • WinHTTP configurado usando o comando netshWinHTTP configured using netsh command
    Adequado apenas para áreas de trabalho em uma topologia estável (por exemplo: uma área de trabalho em uma rede corporativa por trás do mesmo proxy)Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

Configure o servidor proxy manualmente usando um proxy estático baseado no registroConfigure the proxy server manually using a registry-based static proxy

Configure um proxy estático baseado no Registro para permitir que apenas o microsoft Defender para sensor de ponto de extremidade reporte dados de diagnóstico e se comunique com o Microsoft Defender para serviços de Ponto de Extremidade se um computador não tiver permissão para se conectar à Internet.Configure a registry-based static proxy to allow only Microsoft Defender for Endpoint sensor to report diagnostic data and communicate with Microsoft Defender for Endpoint services if a computer isn't permitted to connect to the Internet. O proxy estático é configurável por meio da Política de Grupo (GP).The static proxy is configurable through Group Policy (GP). A política do grupo pode ser encontrada em:The group policy can be found under:

  • Modelos Administrativos Windows Componentes Coleta de Dados e Builds de Visualização > > Configure > Authenticated Proxy usage for the Connected User Experience and Telemetry ServiceAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service
    • De defini-lo como Habilitado e selecione Desabilitar o uso de Proxy AutenticadoSet it to Enabled and select Disable Authenticated Proxy usage
  1. Abra o Console de Gerenciamento de Política de Grupo.Open the Group Policy Management Console.

  2. Crie uma política ou edite uma política existente com base nas práticas organizacionais.Create a policy or edit an existing policy based off the organizational practices.

  3. Edite a Política de Grupo e navegue até Modelos Administrativos Windows Componentes Coleta de Dados e Builds de Visualização > Configure > > Authenticated Proxy usage for the Connected User Experience and Telemetry Service.Edit the Group Policy and navigate to Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service. Imagem da configuração da Política de GrupoImage of Group Policy configuration

  4. Selecione Habilitado.Select Enabled.

  5. Selecione Desabilitar o uso de Proxy Autenticado.Select Disable Authenticated Proxy usage.

  6. Navegue até Modelos Administrativos Windows Componentes Coleta de Dados e Builds de Visualização Configure connected user experiences and > > > telemetry.Navigate to Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry. Imagem da configuração da Política de GrupoImage of Group Policy configuration setting

  7. Selecione Habilitado.Select Enabled.

  8. Insira o Nome do Servidor Proxy.Enter the Proxy Server Name.

A política define dois valores de registro TelemetryProxyServer como REG_SZ e DisableEnterpriseAuthProxy como REG_DWORD na chave de registro HKLM\Software\Policies\Microsoft\Windows\DataCollection.The policy sets two registry values TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

O valor do Registro TelemetryProxyServer assume o seguinte formato de cadeia de caracteres:The registry value TelemetryProxyServer takes the following string format:

<server name or ip>:<port>

Por exemplo: 10.0.0.6:8080For example: 10.0.0.6:8080

O valor de registro DisableEnterpriseAuthProxy deve ser definido como 1.The registry value DisableEnterpriseAuthProxy should be set to 1.

Configurar o servidor proxy manualmente usando o comando netshConfigure the proxy server manually using netsh command

Use netsh para configurar um proxy estático de todo o sistema.Use netsh to configure a system-wide static proxy.

Observação

  • Isso afetará todos os aplicativos, incluindo serviços do Windows que usam WinHTTP com proxy padrão.This will affect all applications including Windows services which use WinHTTP with default proxy.
  • Laptops que estão alterando a topologia (por exemplo: do office para o home) não funcionarão com netsh.Laptops that are changing topology (for example: from office to home) will malfunction with netsh. Use a configuração de proxy estático com base no registro.Use the registry-based static proxy configuration.
  1. Abra uma linha de comando com privilégios elevados:Open an elevated command line:

    1. Vá para Iniciar e digite cmd.Go to Start and type cmd.

    2. Clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.Right-click Command prompt and select Run as administrator.

  2. Insira o seguinte comando e pressione Enter:Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    Por exemplo: netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

Configuração de Proxy para dispositivos de nível inferiorProxy Configuration for down-level devices

Down-Level dispositivos incluem estações de trabalho Windows 7 SP1 e Windows 8.1, bem como o Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e versões do Windows Server 2016 antes do Windows Server CB 1803.Down-Level devices include Windows 7 SP1 and Windows 8.1 workstations as well as Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and versions of Windows Server 2016 prior to Windows Server CB 1803. Esses sistemas operacionais terão o proxy configurado como parte do Agente de Gerenciamento da Microsoft para manipular a comunicação do ponto de extremidade para o Azure.These operating systems will have the proxy configured as part of the Microsoft Management Agent to handle communication from the endpoint to Azure. Consulte o Guia de Implantação Rápida do Agente de Gerenciamento da Microsoft para obter informações sobre como um proxy é configurado nesses dispositivos.Refer to the Microsoft Management Agent Fast Deployment Guide for information on how a proxy is configured on these devices.

URLs do Serviço proxyProxy Service URLs

UrLs que incluem v20 neles são necessárias apenas se você tiver Windows 10, versão 1803 ou dispositivos posteriores.URLs that include v20 in them are only needed if you have Windows 10, version 1803 or later devices. Por exemplo, us-v20.events.data.microsoft.com só será necessário se o dispositivo estiver Windows 10, versão 1803 ou posterior.For example, us-v20.events.data.microsoft.com is only needed if the device is on Windows 10, version 1803 or later.

Se um proxy ou firewall estiver bloqueando o tráfego anônimo, como o sensor do Microsoft Defender para Ponto de Extremidade está se conectando do contexto do sistema, certifique-se de que o tráfego anônimo seja permitido nas URLs listadas.If a proxy or firewall is blocking anonymous traffic, as Microsoft Defender for Endpoint sensor is connecting from system context, make sure anonymous traffic is permitted in the listed URLs.

A planilha baixável a seguir lista os serviços e as URLs associadas às quais sua rede deve ser capaz de se conectar.The following downloadable spreadsheet lists the services and their associated URLs that your network must be able to connect to. Verifique se não há regras de filtragem de rede ou firewall que negariam o acesso a essas URLs, ou talvez seja necessário criar uma regra de autorização especificamente para elas.Ensure there are no firewall or network filtering rules that would deny access to these URLs, or you may need to create an allow rule specifically for them.

Planilha de lista de domíniosSpreadsheet of domains list DescriçãoDescription
Imagem em miniatura da planilha URLs do Microsoft Defender para Endpoint
Planilha de registros DNS específicos para locais de serviço, localizações geográficas e sistema operacional.Spreadsheet of specific DNS records for service locations, geographic locations, and OS.

Baixe a planilha aqui.Download the spreadsheet here.

Intervalos de IP de back-end do Serviço do Microsoft Defender para Ponto de ExtremidadeMicrosoft Defender for Endpoint service backend IP ranges

Se seus dispositivos de rede não suportam regras baseadas em DNS, use intervalos IP.If your network devices don't support DNS-based rules, use IP ranges instead.

O Defender para Ponto de Extremidade é criado na nuvem do Azure, implantado nas seguintes regiões:Defender for Endpoint is built in Azure cloud, deployed in the following regions:

  • AzureCloud.eastusAzureCloud.eastus
  • AzureCloud.eastus2AzureCloud.eastus2
  • AzureCloud.westcentralusAzureCloud.westcentralus
  • AzureCloud.northeuropeAzureCloud.northeurope
  • AzureCloud.westeuropeAzureCloud.westeurope
  • AzureCloud.uksouthAzureCloud.uksouth
  • AzureCloud.ukwestAzureCloud.ukwest

Você pode encontrar os intervalos de IP do Azure em Intervalos IP do Azure e Marcas de Serviço – Nuvem Pública.You can find the Azure IP ranges in Azure IP Ranges and Service Tags – Public Cloud.

Observação

Como uma solução baseada em nuvem, os intervalos de endereços IP podem mudar.As a cloud-based solution, the IP address ranges can change. É recomendável mover para regras baseadas em DNS.It's recommended you move to DNS-based rules.

Observação

Se você for um cliente do Governo dos EUA, consulte a seção correspondente na página Defender for Endpoint for US Government.If you are a US Government customer, please see the corresponding section in the Defender for Endpoint for US Government page.

Próxima etapaNext step

Fase 3: OnboardPhase 3: Onboard
Fase 3: Integração: Integração de dispositivos ao serviço para que o serviço do Microsoft Defender para Ponto de Extremidade possa obter dados do sensor a partir deles.Phase 3: Onboard: Onboard devices to the service so that the Microsoft Defender for Endpoint service can get sensor data from them.