Подключение устройств с помощью упрощенного подключения для Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Примечание.
Упрощенный метод подключения в настоящее время доступен в общедоступной предварительной версии. Обязательно ознакомьтесь с предварительными требованиями, чтобы подтвердить требования и поддерживаемые операционные системы.
Службе Microsoft Defender для конечной точки может потребоваться использование конфигураций прокси-сервера для передачи диагностических данных и передачи данных в службу. До доступности упрощенного метода подключения требовались другие URL-адреса, а статические диапазоны IP-адресов Defender для конечной точки не поддерживались. Дополнительные сведения о MDE процессах подключения см. в разделе Шаг 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.
В этой статье описывается упрощенный метод подключения устройств и способы подключения новых устройств для использования более простого развертывания и управления облачными службами подключения Defender для конечной точки. Дополнительные сведения о переносе ранее подключенных устройств см. в статье Перенос устройств на упрощенное подключение.
Чтобы упростить настройку сети и управление, теперь можно подключить устройства к Defender для конечной точки с помощью ограниченного набора URL-адресов или статических диапазонов IP-адресов. См. упрощенный список URL-адресов
Упрощенный домен Defender для конечной точки: *.endpoint.security.microsoft.com заменяет следующие основные службы Defender для конечных точек:
- Облачная защита/MAPS
- Хранилище примеров отправки вредоносных программ
- Автоматическое хранилище примеров IR
- Управление & командой Defender для конечной точки
- EDR Cyberdata
Для поддержки сетевых устройств без разрешения имени узла или поддержки с подстановочными знаками можно также настроить подключение с помощью выделенных диапазонов статических IP-адресов Defender для конечной точки. Дополнительные сведения см. в разделе Настройка подключения с помощью статических диапазонов IP-адресов.
Примечание.
Упрощенный метод подключения не изменит способ работы Microsoft Defender для конечной точки на устройстве и не изменит взаимодействие с конечным пользователем. Изменятся только URL-адреса или IP-адреса, которые устройство использует для подключения к службе.
Важно!
Ограничения предварительной версии и известные проблемы:
- Упрощенное подключение не поддерживает подключение через API (включая Microsoft Defender для облака и Intune).
- Этот метод подключения имеет определенные предварительные требования, которые не применяются к стандартному методу подключения.
Объединенные службы
Следующие URL-адреса Defender для конечной точки, объединенные в упрощенный домен, больше не должны требоваться для подключения, если *.endpoint.security.microsoft.com это разрешено, и устройства подключаются с помощью упрощенного пакета подключения. Вам потребуется поддерживать подключение к другим необходимым службам, которые не объединены в вашу организацию (например, CRL, SmartScreen/Network Protection и WNS).
Обновленный список необходимых URL-адресов см . в разделе Скачивание электронной таблицы здесь.
Важно!
При настройке с помощью диапазонов IP-адресов необходимо отдельно настроить службу киберданных EDR. Эта служба не объединяется на уровне IP-адресов. Дополнительные сведения см. в разделе ниже.
| Категория | Объединенные URL-адреса |
|---|---|
| MAPS: облачная защита | *.wdcp.microsoft.com *.wd.microsoft.com |
| Защита облака & обновления аналитики безопасности для macOS и Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| Хранилище примеров отправки вредоносных программ | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| Автоматическое хранилище примеров IR в Defender для конечной точки | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| Команды и управление Defender для конечной точки | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Перед началом работы
Устройства должны соответствовать определенным предварительным требованиям, чтобы использовать упрощенный метод подключения для Defender для конечной точки. Убедитесь, что предварительные требования выполнены, прежде чем продолжить подключение.
Предварительные условия
Лицензии:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
- Управление уязвимостями в Microsoft Defender
Минимальное обновление базы знаний (Windows)
- SENSE версии: 10.8040.*/ 8 марта 2022 г. или выше (см. таблицу)
Microsoft Defender версии антивирусной программы (Windows)
- Клиент защиты от вредоносных программ: 4.18.2211.5
- Обработчик: 1.1.19900.2
- Антивирусная программа (аналитика безопасности): 1.391.345.0
Версии антивирусной программы Defender (macOS/Linux)
- Поддерживаемые версии macOS с MDE версии продукта 101.24022.*+
- Поддерживаемые версии Linux с MDE версии 101.24022.*+
Поддерживаемые операционные системы
- Windows 10 версии 1809 или более поздней
- Windows 10 версии 1607, 1703, 1709, 1803 поддерживаются в упрощенном пакете подключения, но требуют другого списка URL-адресов. См. упрощенный лист URL-адресов.
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, полностью обновлено современное унифицированное решение Defender для конечной точки (установка с помощью MSI).
- Поддерживаемые версии macOS с MDE версии продукта 101.24022.*+
- Поддерживаемые версии Linux с MDE версии 101.24022.*+
Важно!
- Устройства, работающие в агенте MMA, не поддерживаются упрощенным способом подключения и должны продолжать использовать стандартный набор URL-адресов (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2 не обновлены до современного единого агента).
- Windows Server 2012 R2 и Server 2016 R2 потребуется обновить до единого агента, чтобы использовать новый метод.
- Windows 10 1607, 1703, 1709, 1803 может использовать новый вариант подключения, но будет использовать более длинный список. Дополнительные сведения см. в статье Упрощенный лист URL-адресов.
| ОС Windows | Минимальный обязательный кб (8 марта 2022 г.) |
|---|---|
| Windows 11 | KB5011493 (8 марта 2022 г.) |
| Windows 10 1809, Windows Server 2019 | KB5011503 (8 марта 2022 г.) |
| Windows 10 19H2 (1909) | KB5011485 (8 марта 2022 г.) |
| Windows 10 20H2, 21H2 | KB5011487 (8 марта 2022 г.) |
| Windows 10 22H2 | KB5020953 (28 октября 2022 г.) |
| Windows 10 1803* | < окончание обслуживания > |
| Windows 10 1709* | < окончание обслуживания > |
| Windows Server 2022 | KB5011497 (8 марта 2022 г.) |
| Windows Server 2012 R2, 2016* | Единый агент |
| Windows Server 2016 R2 | Единый агент |
Упрощенный процесс подключения
На следующем рисунке показан упрощенный процесс подключения и соответствующие этапы.
Этап 1. Настройка сетевой среды для подключения к облаку
Убедившись, что предварительные требования выполнены, убедитесь, что сетевая среда правильно настроена для поддержки упрощенного метода подключения. Используя упрощенный метод (предварительная версия), выполните действия, описанные в разделе Настройка сетевой среды, чтобы обеспечить подключение к службе Defender для конечной точки.
Службы Defender для конечной точки, объединенные упрощенным методом, больше не должны требоваться для подключения. Однако некоторые URL-адреса не включаются в консолидацию.
Упрощенное подключение позволяет использовать следующий параметр для настройки подключения к облаку:
- Вариант 1. Использование упрощенного домена
- Вариант 2. Использование статических диапазонов IP-адресов
Вариант 1. Настройка подключения с помощью упрощенного домена
Настройте среду, чтобы разрешить подключения к упрощенному домену Defender для конечной точки: *.endpoint.security.microsoft.com. Дополнительные сведения см. в статье Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.
Необходимо поддерживать подключение с оставшимися необходимыми службами, перечисленными в обновленном списке. Например, Список отзыва сертификатов, Центр обновления Windows, SmartScreen.
Вариант 2. Настройка подключения с использованием статических диапазонов IP-адресов
Благодаря упрощению подключения решения на основе IP-адресов можно использовать в качестве альтернативы URL-адресам. Эти IP-адреса охватывают следующие службы:
- КАРТЫ
- Хранилище примеров отправки вредоносных программ
- Автоматическое хранилище примеров IR
- Команды и управление Defender для конечной точки
Важно!
Служба данных EDR Cyber должна быть настроена отдельно, если используется метод IP (эта служба объединяется только на уровне URL-адреса). Кроме того, необходимо поддерживать подключение к другим необходимым службам, включая SmartScreen, CRL, клиентский компонент Центра обновления Windows и другие службы.
Чтобы оставаться в курсе диапазонов IP-адресов, рекомендуется обращаться к следующим тегам служб Azure для Microsoft Defender для конечной точки служб. Последние диапазоны IP-адресов всегда будут находиться в теге службы. Дополнительные сведения см. в статье Диапазоны IP-адресов Azure.
| Имя тега службы | Включены службы Defender для конечных точек |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, хранилище примеров вредоносных программ, автоматическое хранилище примеров IR, команда и управление. |
| OneDsCollector | EDR Cyberdata Примечание. Трафик в этом теге службы не ограничивается Defender для конечной точки и может включать трафик диагностических данных для других служб Майкрософт. |
В следующей таблице перечислены текущие диапазоны статических IP-адресов. Последний список см. в тегах службы Azure.
| Геообъект | Диапазоны IP-адресов |
|---|---|
| Россия | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| ЕС | 4.208.13.0/24 20.8.195.0/24 |
| Соединенное Королевство | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
Важно!
В соответствии со стандартами безопасности и соответствия Defender для конечной точки ваши данные будут обрабатываться и храниться в соответствии с физическим расположением вашего клиента. В зависимости от расположения клиента трафик может проходить через любой из этих IP-регионов (которые соответствуют регионам центра обработки данных Azure). Дополнительные сведения см. в статье Хранение данных и конфиденциальность.
Этап 2. Настройка устройств для подключения к службе Defender для конечной точки
Настройте устройства для обмена данными через инфраструктуру подключения. Убедитесь, что устройства соответствуют предварительным требованиям и обновлены версии датчика и Microsoft Defender антивирусной программы. Дополнительные сведения см. в разделе Настройка параметров прокси-сервера устройства и подключения к Интернету .
Этап 3. Проверка предварительного подключения клиента
Дополнительные сведения см. в разделе Проверка подключения клиента.
В анализаторе клиента Windows и X MDE plat можно выполнить следующие проверки предварительного подключения: скачайте Microsoft Defender для конечной точки анализатор клиента.
Чтобы проверить упрощенное подключение для устройств, еще не подключенных к Defender для конечной точки, можно использовать анализатор клиента для Windows с помощью следующих команд:
Запустите
mdeclientanalyzer.cmd -o <path to cmd file>из папки MDEClientAnalyzer. Команда использует параметры из пакета подключения для проверки подключения.Выполните
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>, где параметр имеет значение GW_US, GW_EU, GW_UK. GW — это упрощенный вариант. Запустите с применимым географическим расположением клиента.
В качестве дополнительного проверка можно также использовать клиентский анализатор для проверки соответствия устройства предварительным требованиям:https://aka.ms/BetaMDEAnalyzer
Примечание.
Для устройств, еще не подключенных к Defender для конечной точки, клиентский анализатор будет тестировать стандартный набор URL-адресов. Чтобы протестировать упрощенный подход, необходимо запустить с параметрами, перечисленными ранее в этой статье.
Этап 4. Применение нового пакета подключения, необходимого для упрощения подключения
После настройки сети для взаимодействия с полным списком служб можно приступить к подключению устройств с помощью упрощенного метода. Обратите внимание, что подключение через API в настоящее время не поддерживается (включая Intune & Microsoft Defender для облака).
Прежде чем продолжить, убедитесь, что устройства соответствуют предварительным требованиям и обновили версии датчика и Microsoft Defender антивирусной программы.
Чтобы получить новый пакет, в Microsoft Defender XDR выберите Параметры > Конечные > точки Подключение управления устройствами>.
Выберите соответствующую операционную систему и выберите "Оптимизировано (предварительная версия)" в раскрывающемся меню Тип подключения.
Для новых устройств (не подключенных к Defender для конечной точки), поддерживаемых этим методом, выполните действия по подключению из предыдущих разделов с помощью обновленного подключенного пакета с помощью предпочтительного метода развертывания:
- Подключение клиента Windows
- Подключение Windows Server
- Подключение устройствах, отличных от Windows
- Выполните тест обнаружения на устройстве, чтобы убедиться, что оно правильно подключено к Microsoft Defender для конечной точки
Исключите устройства из существующих политик подключения, использующих стандартный пакет подключения.
Сведения о миграции устройств, уже подключенных к Defender для конечной точки, см. в статье Миграция устройств на упрощенное подключение. Необходимо перезагрузить устройство и следовать определенным инструкциям здесь.
Когда вы будете готовы настроить упрощенный пакет подключения по умолчанию, на портале Microsoft Defender можно включить следующий параметр Расширенный компонент (Параметры конечных > точек Расширенные > функции).
Примечание.
Прежде чем перейти к использованию этого параметра, убедитесь, что ваша среда готова и все устройства соответствуют предварительным требованиям.
Этот параметр задает для пакета подключения по умолчанию значение "оптимизировано" для применимых операционных систем. Стандартный пакет подключения по-прежнему можно использовать на странице подключения, но его необходимо выбрать в раскрывающемся списке.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по