步骤 1:配置网络环境以确保与 Defender for Endpoint 服务的连接
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
在将设备载入到 Defender for Endpoint 之前,请确保将网络配置为连接到服务。 如果代理服务器或防火墙规则阻止访问 Defender for Endpoint,此过程的第一步涉及将 URL 添加到允许的域列表。 本文还包括有关旧版 Windows 客户端和 Windows Server 的代理和防火墙要求的信息。
启用对代理服务器中Microsoft Defender for Endpoint服务 URL 的访问
默认情况下,如果代理或防火墙阻止所有流量并仅允许特定域,则将可下载表中列出的域添加到允许的域列表中。
以下可下载电子表格列出了网络必须能够连接的服务及其关联 URL。 确保没有防火墙或网络筛选规则来拒绝这些 URL 的访问。 (可选)可能需要专门为他们创建 允许 规则。
注意
(适用于公共预览版)
- 作为预览版的一部分,某些 Defender for Endpoint 服务合并在 URL 后面:
*.endpoint.security.microsoft.com。 可以选择在 Microsoft Defender XDR for Defender for Endpoint 中使用减少的 URL 集。 还可以使用静态 Defender for Endpoint 专用 IP 范围配置允许列表的新选项。 有关详细信息,请参阅 使用简化方法载入设备 ,并查看上表中的 更新列表 。 - 若要使用新的载入方法,设备必须满足特定的先决条件并使用新的载入包。 有关详细信息,请参阅 先决条件。 可以迁移以前加入的设备。 请参阅 将设备迁移到简化的连接。
- 某些服务不包括在此合并中。 必须验证是否与所需服务保持连接。 有关 合并中未 包含的服务的详细信息,请参阅 简化的 URL 表 或使用 简化方法加入设备。
- 简化的解决方案不支持运行 MMA 代理的设备,必须使用下层方法加入。 有关所需 URL 的列表,请参阅 简化 URL 列表中的 MMA 选项卡。 运行旧版 Windows 版本 1607、1703、1709 或 1803 的设备可以使用新的载入包加入,但仍需要更长的 URL 列表。 有关详细信息,请参阅上表。
| 域列表的电子表格 | 说明 |
|---|---|
| 新 (Microsoft Defender for Endpoint合并 URL 列表 - 简化) |
重要: 目前为公共预览版。 用于简化设备连接的合并 URL 的电子表格。 在此处下载电子表格。 适用的 OS: 有关完整列表,请参阅 简化连接。 - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2,Windows Server 2016运行 Defender for Endpoint 新式统一解决方案的 R2 (需要通过 MSI) 进行安装。 - macOS 支持的版本运行 101.23102.* + - 运行 101.23102.* 的 Linux 支持版本+ 最低组件版本: - 反恶意软件客户端:4.18.2211.5 - 引擎:1.1.19900.2 - 安全智能:1.391.345.0 - Xplat 版本:101.23102.* + - 传感器/KB 版本: >10.8040.*/ 2022 年 3 月 8 日+ 如果要将以前载入的设备移动到简化的方法,请参阅 迁移设备连接。 |
| 适用于标准) 商业客户的Microsoft Defender for Endpoint URL 列表 ( | 针对商业客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。 Microsoft Defender for Endpoint计划 1 和计划 2 共享相同的代理服务 URL。 |
| gov/GCC/DoD 的Microsoft Defender for Endpoint URL 列表 | 适用于 Gov/GCC/DoD 客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。 在此处下载电子表格。 |
注意
- Windows 10版本 1607、1703、1709、1803 (RS1-RS4) 在载入程序包上受支持,但需要更长的 URL 列表 (查看更新的 URL 表) 。 这些版本不支持重新载入 (必须首先) 完全卸载。
- 在 Windows 7、Windows 8.1、Windows Server 2008 R2 MMA 上运行的设备、未升级到统一代理 (MMA) 的设备将需要继续使用 MMA 载入方法。
如果代理或防火墙启用了 HTTPS 扫描(SSL 检查),则从 HTTPS 扫描中排除上表中列出的域。
在防火墙中,打开“geography”列为 WW 的所有 URL。 对于 geography 列不为 WW 的行,请打开特定数据位置的 URL。 若要验证数据位置设置,请参阅验证数据存储位置和更新Microsoft Defender for Endpoint的数据保留设置。 不要从任何类型的网络检查中排除 URL *.blob.core.windows.net 。 请仅排除特定于MDE并在域列表电子表格中列出的 Blob URL。
注意
适用于标准 URL 集:
运行版本 1803 或更低版本的 Windows 设备需要 settings-win.data.microsoft.com。
仅当运行版本 1803 或更高版本的 Windows 设备时,才需要其中包含 v20 的 URL。 例如, us-v20.events.data.microsoft.com 对于运行版本 1803 或更高版本并载入到美国数据存储区域的 Windows 设备,需要 。
如果代理或防火墙阻止了来自 Defender for Endpoint 传感器的匿名流量,并且它从系统上下文进行连接,请务必确保在代理或防火墙中允许针对前面列出的 URL 使用匿名流量。
注意
Microsoft 不提供代理服务器。 可以通过配置的代理服务器访问这些 URL。
重要
根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经这些 IP 区域中的任何一个 (对应于 Azure 数据中心区域) 。 有关详细信息,请参阅 数据存储和隐私。
Microsoft Monitoring Agent (MMA) - 旧版 Windows 客户端或 Windows Server 的代理和防火墙要求
注意
(适用于公共预览版)
使用基于 MMA 的解决方案的服务无法利用新的简化连接解决方案 (合并的 URL 和使用静态 IP) 的选项。 对于Windows Server 2016和Windows Server 2012 R2,需要更新到新的统一解决方案。
代理和防火墙配置信息列表中的信息需要与 Log Analytics 代理 (通常称为 Microsoft Monitoring Agent) (适用于以前版本的 Windows,例如 Windows 7 SP1、Windows 8.1 和 Windows Server 2008 R2*)进行通信。
| 代理资源 | 端口 | 方向 | 绕过 HTTPS 检查 |
|---|---|---|---|
*.ods.opinsights.azure.com |
端口 443 | 出站 | 是 |
*.oms.opinsights.azure.com |
端口 443 | 出站 | 是 |
*.blob.core.windows.net |
端口 443 | 出站 | 是 |
*.azure-automation.net |
端口 443 | 出站 | 是 |
注意
这些连接要求适用于以前的Windows Server 2016 Microsoft Defender for Endpoint,Windows Server 2012需要 MMA 的 R2。 有关使用新的统一解决方案载入这些操作系统的说明,请参阅载入 Windows 服务器,或者在 Microsoft Defender for Endpoint 中的服务器迁移方案中迁移到新的统一解决方案。
注意
作为基于云的解决方案,IP 范围可能会更改。 建议移动到 DNS 解析设置。
无需访问 Internet 载入设备
对于没有直接 Internet 连接的设备,建议使用代理解决方案。 对于使用之前基于 MMA 的解决方案加入的较旧 Windows 设备,使用 OMS 网关解决方案提供了一种替代方法。
注意
(适用于公共预览版)
在此预览版中,可以利用具有静态 IP 范围的防火墙设备。 有关详细信息,请参阅: 简化的设备连接 和 简化的 URL 列表。
有关载入方法的详细信息,请参阅以下文章:
重要
- Microsoft Defender for Endpoint是云安全解决方案。 “载入设备而不访问 Internet”意味着必须通过代理配置终结点的 Internet 访问。 Microsoft Defender for Endpoint不支持没有直接或代理 Internet 访问的终结点。 建议使用系统范围的代理配置。
- 断开连接环境中的 Windows 或 Windows Server 必须能够通过内部文件或 Web 服务器脱机更新证书信任Lists。
- 有关脱机更新 CTL 的详细信息,请参阅 配置文件或 Web 服务器以下载 CTL 文件。
运行 Windows 10 或更高版本、Windows Server 2012 R2 或更高版本、Linux 和 macOS 的设备
根据操作系统,可以自动配置用于Microsoft Defender for Endpoint的代理,通常通过使用自动发现或自动配置文件,或者静态专用于设备上运行的 Defender for Endpoint 服务。
- 对于 Windows 设备,请参阅 配置设备代理和 Internet 连接设置
- 对于 Linux 设备,请参阅在 Linux 上为静态代理发现配置 Microsoft Defender for Endpoint
- 对于 macOS 设备,请参阅 Mac 上的Microsoft Defender for Endpoint
运行以前基于 MMA 的解决方案的 Windows 设备
注意
- 通过“TelemetryProxyServer”注册表或 GPO 进行配置时,OMS 网关服务器不能用作断开连接的 Windows 或 Windows Server 设备的代理。
- 对于 Windows 或 Windows Server - 虽然可以使用 TelemetryProxyServer,但它必须指向标准代理设备或设备。
- 将 Azure Log Analytics (以前称为 OMS 网关) 设置为充当代理或中心:
- Azure Log Analytics 代理
- 安装和配置 Microsoft Monitoring Agent (MMA) 指向 Defender for Endpoint Workspace 密钥 & ID
注意
任何无法访问 Internet 的客户端都无法载入Microsoft Defender终结点。 客户端必须有权直接访问所需的 URL,或者必须通过代理或防火墙进行访问。
作为简化预览版的一部分,现在可以利用 IP 地址作为某些 Defender for Endpoint 服务 URL 的替代项。
确认 Microsoft Monitoring Agent (MMA) 服务 URL 要求
请参阅以下指南,以便在将 Microsoft Monitoring Agent (MMA) 用于早期版本的 Windows 时,消除特定环境的通配符 (*) 要求。
使用 Microsoft Monitoring Agent (MMA) 载入以前的操作系统到 Defender for Endpoint (有关详细信息,请参阅 在 Defender for Endpoint 上载入以前版本的 Windows 和 载入 Windows 服务器) 。
确保计算机已成功向Microsoft Defender门户报告。
从
C:\Program Files\Microsoft Monitoring Agent\Agent运行 TestCloudConnection.exe 工具以验证连接性,并获取特定工作区所需的 URL。查看Microsoft Defender for Endpoint URL 列表,了解区域要求的完整列表, (请参阅服务 URL 电子表格) 。
、 和 *.agentsvc.azure-automation.net URL 终结点中使用的*.ods.opinsights.azure.com*.oms.opinsights.azure.com通配符 (*) 可以替换为特定的工作区 ID。 工作区 ID 特定于环境和工作区。 可以在Microsoft Defender门户中租户的“载入”部分找到它。
*.blob.core.windows.net URL 终结点可以替换为测试结果的“防火墙规则:*.blob.core.windows.net”部分中显示的 URL。
注意
在通过 Microsoft Defender for Cloud 加入的情况下,可以使用多个工作区。 需要从每个工作区 (在载入的计算机上执行 TestCloudConnection.exe 过程,以确定工作区) 之间的 *.blob.core.windows.net URL 是否有任何更改。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈