Registrering av enheter med strömlinjeformad anslutning för Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Den Microsoft Defender för Endpoint tjänsten kan kräva användning av proxykonfigurationer för att rapportera diagnostikdata och kommunicera data till tjänsten. Innan tillgängligheten för den strömlinjeformade anslutningsmetoden krävdes andra URL:er och statiska IP-intervall för Defender för Endpoint stöddes inte. Mer information om hur du förbereder din miljö finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.
Den här artikeln beskriver den strömlinjeformade enhetsanslutningsmetoden och hur du registrerar nya enheter för att använda en enklare distribution och hantering av Defender för Endpoint-molnanslutningstjänster. Mer information om hur du migrerar tidigare registrerade enheter finns i Migrera enheter till strömlinjeformad anslutning.
För att förenkla nätverkskonfigurationen och hanteringen har du nu möjlighet att registrera enheter i Defender för Endpoint med hjälp av en reducerad URL-uppsättning eller statiska IP-intervall. Se listan över strömlinjeformade URL:ar.
Defender för Endpoint-identifierad förenklad domän: *.endpoint.security.microsoft.com
ersätter följande grundläggande Defender för Endpoint-tjänster:
- Molnskydd/MAPS
- Lagring av exempel på skadlig kod
- Automatisk IR-exempellagring
- Defender för Endpoint Command & Control
- EDR Cyberdata
Om du vill stödja nätverksenheter utan stöd för värdnamnsmatchning eller jokertecken kan du också konfigurera anslutningar med dedikerade statiska IP-intervall för Defender för Endpoint. Mer information finns i Konfigurera anslutning med statiska IP-intervall.
Obs!
- Den strömlinjeformade anslutningsmetoden ändrar inte hur Microsoft Defender för Endpoint fungerar på en enhet och den kommer inte heller att ändra slutanvändarupplevelsen. Endast de URL:er eller IP-adresser som en enhet använder för att ansluta till tjänsten ändras.
- Det finns för närvarande ingen plan för att fasa ut de gamla konsoliderade tjänst-URL:erna. Enheter som är registrerade med "standard"-anslutning fortsätter att fungera. Det är viktigt att se till att anslutningen till
*.endpoint.security.microsoft.com
är och förblir möjlig, eftersom framtida tjänster kommer att kräva det. Den här nya URL:en ingår i alla obligatoriska URL-listor.
Konsoliderade tjänster
Följande Defender för Endpoint-URL:er som konsolideras under den förenklade domänen bör inte längre krävas för anslutning om *.endpoint.security.microsoft.com
tillåts och enheter registreras med hjälp av det strömlinjeformade registreringspaketet. Du måste upprätthålla anslutningen till andra nödvändiga tjänster som inte är konsoliderade och som är relevanta för din organisation (till exempel CRL, SmartScreen/Network Protection och Windows Update).
Den uppdaterade listan över nödvändiga URL:er finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutningen med Defender för Endpoint-tjänsten.
Viktigt
Om du konfigurerar med IP-intervall måste du konfigurera EDR-cyberdatatjänsten separat. Den här tjänsten konsolideras inte på IP-nivå.
Kategori | Konsoliderade URL:er |
---|---|
MAPS: molnlevererad skydd | *.wdcp.microsoft.com *.wd.microsoft.com |
& för molnskydd säkerhetsinformationsuppdateringar för macOS och Linux |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.com x.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
Lagring av exempel på skadlig kod | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Exempellagring för Defender för Endpoint Auto-IR | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
Kommando och kontroll för Defender för Endpoint | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
Innan du börjar
Enheter måste uppfylla specifika krav för att använda den strömlinjeformade anslutningsmetoden för Defender för Endpoint. Se till att förutsättningarna uppfylls innan du fortsätter med onboarding.
Förutsättningar
Licens:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Hantering av hot och säkerhetsrisker för Microsoft Defender
Minsta KB-uppdatering (Windows)
- SENSE-version: 10.8040.*/ 8 mars 2022 eller senare (se tabell)
Microsoft Defender Antivirus-versioner (Windows)
- Klient för program mot skadlig kod:
4.18.2211.5
- Motor:
1.1.19900.2
- Antivirus (Säkerhetsinformation):
1.391.345.0
Defender Antivirus-versioner (macOS/Linux)
- macOS-versioner som stöds med MDE produktversion 101.24022.*+
- Linux-versioner som stöds med MDE produktversion 101.24022.*+
Operativsystem som stöds
- Windows 10 version 1809 eller senare. Windows 10 versionerna 1607, 1703, 1709, 1803 stöds på det strömlinjeformade registreringspaketet men kräver en annan URL-lista, se strömlinjeformad URL-blad
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 eller Windows Server 2016, fullständigt uppdaterad med modern enhetlig lösning för Defender för Endpoint (installation via MSI).
- macOS-versioner som stöds med MDE produktversion 101.24022.*+
- Linux-versioner som stöds med MDE produktversion 101.24022.*+
Viktigt
- Enheter som körs på MMA-agenten stöds inte på den strömlinjeformade anslutningsmetoden och måste fortsätta att använda standard-URL-uppsättningen (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 som inte har uppgraderats till modern enhetlig agent).
- Windows Server 2012 R2 och Server 2016 måste uppgradera till en enhetlig agent för att utnyttja den nya metoden.
- Windows 10 1607, 1703, 1709, 1803 kan utnyttja det nya registreringsalternativet men kommer att använda en längre lista. Mer information finns i det strömlinjeformade URL-bladet.
Windows OS | Minsta kB krävs (8 mars 2022) |
---|---|
Windows 11 | KB5011493 (8 mars 2022) |
Windows 10 1809, Windows Server 2019 | KB5011503 (8 mars 2022) |
Windows 10 19H2 (1909) | KB5011485 (8 mars 2022) |
Windows 10 20H2, 21H2 | KB5011487 (8 mars 2022) |
Windows 10 22H2 | KB5020953 (28 oktober 2022) |
Windows 10 1803* | < tjänstens slut > |
Windows 10 1709* | < tjänstens slut > |
Windows Server 2022 | KB5011497 (8 mars 2022) |
Windows Server 2012 R2, 2016* | Enhetlig agent |
Smidig anslutningsprocess
Följande bild visar den strömlinjeformade anslutningsprocessen och motsvarande steg:
Steg 1. Konfigurera din nätverksmiljö för molnanslutning
När du har bekräftat att kraven är uppfyllda kontrollerar du att nätverksmiljön är korrekt konfigurerad för att stödja den strömlinjeformade anslutningsmetoden. Följ stegen som beskrivs i Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten.
Url:er för Defender för Endpoint-tjänsten som konsoliderats under förenklad domän bör inte längre krävas för anslutning. Vissa URL:er ingår dock inte i konsolideringen.
Med strömlinjeformad anslutning kan du använda följande alternativ för att konfigurera molnanslutning:
Alternativ 1: Konfigurera anslutningen med hjälp av den förenklade domänen
Konfigurera din miljö för att tillåta anslutningar med den förenklade Defender för Endpoint-domänen: *.endpoint.security.microsoft.com
. Mer information finns i Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.
Du måste upprätthålla anslutningen med återstående nödvändiga tjänster som anges i den uppdaterade listan. Till exempel Listan över återkallade certifikat, Windows Update, SmartScreen.
Alternativ 2: Konfigurera anslutningen med statiska IP-intervall
Med strömlinjeformad anslutning kan IP-baserade lösningar användas som ett alternativ till URL:er. Dessa IP-adresser omfattar följande tjänster:
- KARTOR
- Lagring av exempel på skadlig kod
- Automatisk IR-exempellagring
- Kommando och kontroll för Defender för Endpoint
Viktigt
EDR Cyber-datatjänsten måste konfigureras separat om du använder IP-metoden (den här tjänsten konsolideras endast på URL-nivå). Du måste också upprätthålla anslutningen till andra nödvändiga tjänster, inklusive SmartScreen, CRL, Windows Update och andra tjänster.
För att hålla dig uppdaterad om IP-intervall rekommenderar vi att du läser följande Azure-tjänsttaggar för Microsoft Defender för Endpoint tjänster. De senaste IP-intervallen finns i tjänsttaggen. Mer information finns i Ip-intervall för Azure.
Namn på tjänsttagg | Defender för Endpoint-tjänster ingår |
---|---|
MicrosoftDefenderForEndpoint | MAPS, Malware Sample Submission Storage, Auto-IR Sample Storage, Command and Control. |
OneDsCollector | EDR Cyberdata Obs! Trafiken under den här tjänsttaggen är inte begränsad till Defender för Endpoint och kan innehålla diagnostikdatatrafik för andra Microsoft-tjänster. |
I följande tabell visas de aktuella statiska IP-intervallen. Den senaste listan finns i Azure-tjänsttaggar.
Geo | IP-intervall |
---|---|
OSS | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
STORBRITANNIEN | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
Viktigt
I enlighet med säkerhets- och efterlevnadsstandarderna för Defender för Endpoint bearbetas och lagras dina data i enlighet med din klientorganisations fysiska plats. Baserat på klientens plats kan trafiken flöda genom någon av dessa IP-regioner (som motsvarar Azures datacenterregioner). Mer information finns i Datalagring och sekretess.
Steg 2. Konfigurera dina enheter för att ansluta till Defender för Endpoint-tjänsten
Konfigurera enheter för att kommunicera via din anslutningsinfrastruktur. Se till att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner. Mer information finns i Konfigurera enhetsproxy och Inställningar för Internetanslutning .
Steg 3. Verifiera klientanslutningspreonboarding
Mer information finns i Verifiera klientanslutning.
Följande förregistreringskontroller kan köras på både Windows- och Xplat-MDE Client Analyzer: Ladda ned Microsoft Defender för Endpoint-klientanalys.
Om du vill testa en strömlinjeformad anslutning för enheter som ännu inte har registrerats i Defender för Endpoint kan du använda Client Analyzer för Windows med hjälp av följande kommandon:
Kör
mdeclientanalyzer.cmd -o <path to cmd file>
inifrån mappen MDEClientAnalyzer. Kommandot använder parametrar från onboarding-paketet för att testa anslutningen.Kör
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
, där parametern är av GW_US, GW_EU, GW_UK. GW refererar till det strömlinjeformade alternativet. Kör med tillämplig klientorganisationsgeo.
Som en kompletterande kontroll kan du också använda klientanalysen för att testa om en enhet uppfyller kraven: https://aka.ms/BetaMDEAnalyzer
Obs!
För enheter som ännu inte har registrerats i Defender för Endpoint testar klientanalyseraren mot standarduppsättningen med URL:er. Om du vill testa den strömlinjeformade metoden måste du köra med de växlar som angavs tidigare i den här artikeln.
Steg 4. Tillämpa det nya registreringspaketet som krävs för strömlinjeformad anslutning
När du har konfigurerat nätverket för att kommunicera med den fullständiga listan över tjänster kan du börja registrera enheter med hjälp av den strömlinjeformade metoden.
Innan du fortsätter bekräftar du att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner.
Om du vill hämta det nya paketet går du till Microsoft Defender XDR och väljer Inställningar > Slutpunkter > Enhetshantering> Registrering.
Välj tillämpligt operativsystem och välj "Strömlinjeformad" i listrutan Anslutningstyp.
För nya enheter (som inte har registrerats i Defender för Endpoint) som stöds under den här metoden följer du registreringsstegen från föregående avsnitt med det uppdaterade registrerade paketet med önskad distributionsmetod:
- Registrera Windows-klienten
- Registrera Windows Server
- Introducera icke-Windows-enheter
- Kör ett identifieringstest på en enhet för att kontrollera att den har registrerats korrekt för att Microsoft Defender för Endpoint
- Undanta enheter från alla befintliga registreringsprinciper som använder standardregistreringspaketet.
Information om hur du migrerar enheter som redan har registrerats till Defender för Endpoint finns i Migrera enheter till den strömlinjeformade anslutningen. Du måste starta om enheten och följa den specifika vägledningen här.
Steg 5. Ange standardregistreringspaketet till en strömlinjeformad anslutning
När du är redo att ställa in standardregistreringspaketet på strömlinjeformad kan du aktivera följande avancerade funktionsinställning i Microsoft Defender-portalen (Inställningar > Slutpunkter > Avancerade funktioner).
Den här inställningen anger standard onboarding-paketet till "strömlinjeformad" för tillämpliga operativsystem. Du kan fortfarande använda standard onboarding-paketet på registreringssidan, men du måste välja det specifikt i listrutan.
För registrering via Intune & Microsoft Defender för molnet måste du aktivera det relevanta alternativet. Enheter som redan har registrerats registreras inte automatiskt igen. du måste skapa en ny princip i Intune, där vi rekommenderar att du först tilldelar principen till en uppsättning testenheter för att verifiera att anslutningen lyckas innan målgruppen utökas. Enheter i Defender för molnet kan återanslutas med hjälp av relevant registreringsskript.
Obs!
- Endast klienter som skapats den 8 maj 2024 eller tidigare har möjlighet att växla mellan standard och strömlinjeformad anslutning. Nyare klienter stöder endast strömlinjeformad anslutning.
- Innan du går vidare med det här alternativet kontrollerar du att din miljö är klar och att alla enheter uppfyller kraven.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för