使用簡化的 適用於端點的 Microsoft Defender 連線將裝置上線
適用於:
適用於端點的 Microsoft Defender 服務可能需要使用 Proxy 組態來報告診斷數據,並將數據傳達給服務。 在簡化連線方法可用之前,需要其他 URL,而且不支援適用於端點的 Defender 靜態 IP 範圍。 如需準備環境的詳細資訊,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線。
本文說明簡化的裝置連線方法,以及如何將新裝置上線,以使用適用於端點的 Defender 雲端連線服務更簡單的部署和管理。 如需移轉先前上線裝置的詳細資訊,請參閱 將裝置移轉至簡化的連線。
為了簡化網路設定和管理,您現在可以選擇使用減少的 URL 集或靜態 IP 範圍,將裝置上線至適用於端點的 Defender。 請參閱 簡化的 URL 清單。
適用於端點的 Defender 可辨識的簡化網域: *.endpoint.security.microsoft.com 取代下列適用於端點的核心 Defender 服務:
- 雲端保護/地圖
- 惡意代碼範例提交記憶體
- Auto-IR 範例記憶體
- 適用於端點的Defender命令 & 控件
- EDR Cyberdata
若要支持沒有主機名解析或通配符支援的網路裝置,您也可以使用專用的適用於端點的 Defender 靜態 IP 範圍來設定連線能力。 如需詳細資訊, 請參閱使用靜態 IP 範圍設定連線。
注意事項
- 簡化的連線方法不會變更 適用於端點的 Microsoft Defender 在裝置上的運作方式,也不會變更用戶體驗。 只有裝置用來連線到服務的 URL 或 IP 會變更。
- 目前沒有計劃要取代舊的合併服務 URL。 已上線且具有「標準」連線能力的裝置將會繼續運作。 請務必確保連線
*.endpoint.security.microsoft.com能力是,而且仍然可行,因為未來的服務將會要求連線。 這個新的 URL 會包含在所有必要的 URL 清單中。
合併服務
如果 *.endpoint.security.microsoft.com 允許並使用簡化的上線套件將裝置上線,則在簡化網域下合併的下列適用於端點的 Defender URL 應該不再需要連線。 您必須與其他未合並且與貴組織 (相關的必要服務保持連線,例如 CRL、SmartScreen/網路保護和 Windows Update) 。
如需必要 URL 的更新清單,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線。
重要事項
如果您要使用IP範圍進行設定,則必須個別設定EDR cyberdata服務。 此服務不會在IP層級上合併。
| 類別 | 合併 URL |
|---|---|
| MAPS:雲端式保護 | *.wdcp.microsoft.com *.wd.microsoft.com |
| 雲端保護 & macOS 和 Linux 的安全情報更新 |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| 惡意代碼範例提交記憶體 | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| 適用於端點的Defender Auto-IR 範例記憶體 | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| 適用於端點的Defender命令和控制 | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
開始之前
裝置必須符合特定必要條件,才能使用適用於端點的 Defender 的簡化連線方法。 在繼續上線之前,請先確定符合必要條件。
必要條件
許可證:
- 適用於端點的 Microsoft Defender方案 1
- 適用於端點的 Microsoft Defender方案 2
- 適用於企業的 Microsoft Defender
- Microsoft Defender 弱點管理
Windows) (KB 更新下限
- SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更新版本 (請參閱數據表)
Microsoft Defender Windows) (防病毒軟體版本
- 反惡意代碼用戶端:
4.18.2211.5 - 發動機:
1.1.19900.2 - 防病毒軟體 (資訊安全情報) :
1.391.345.0
(macOS/Linux) 的 Defender 防病毒軟體版本
- macOS 支援的版本,MDE 產品版本 101.24022.*+
- 具有 MDE 產品版本 101.24022.*+ 的 Linux 支援版本
支援的作業系統
- Windows 10 1809 版或更新版本。 簡化的上線套件支援 Windows 10 版本 1607、1703、1709、1803,但需要不同的 URL 清單,請參閱簡化的 URL 工作表
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 或 Windows Server 2016,已透過 MSI) 完全更新執行適用於端點的 Defender 新式整合解決方案 (安裝。
- macOS 支援的版本,MDE 產品版本 101.24022.*+
- 具有 MDE 產品版本 101.24022.*+ 的 Linux 支援版本
重要事項
- 簡化的連線方法不支援在 MMA 代理程式上執行的裝置,而且必須繼續使用 Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 (的標準 URL 集合,而不會升級為新式的整合代理程式) 。
- Windows Server 2012 R2 和 Server 2016 必須升級為整合代理程式,才能利用新方法。
- Windows 10 1607、1703、1709、1803 可以利用新的上線選項,但會使用較長的清單。 如需詳細資訊,請參閱 簡化的URL工作表。
| Windows OS | 2022 年 3 月 8 日 (所需的最小 KB) |
|---|---|
| Windows 11 | KB5011493 (2022 年 3 月 8 日) |
| Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
| Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
| Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
| Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
| Windows 10 1803* | < 服務結束 > |
| Windows 10 1709* | < 服務結束 > |
| Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
| Windows Server 2012 R2, 2016* | 整合代理程式 |
簡化的連線程式
下圖顯示簡化的連線程式和對應的階段:
階段 1。 設定您的網路環境以進行雲端連線
確認符合必要條件之後,請確定您的網路環境已正確設定,以支援簡化的連線方法。 請遵循設定網路環境中所述的步驟 ,以確保與適用於端點的 Defender 服務連線。
在簡化的網域下合併的適用於端點的 Defender 服務 URL,應該不再需要連線。 不過,某些 URL 不會包含在合併中。
簡化的連線可讓您使用下列選項來設定雲端連線能力:
選項 1:使用簡化的網域設定連線能力
設定您的環境以允許使用簡化的適用於端點的Defender網域進行連線: *.endpoint.security.microsoft.com。 如需詳細資訊, 請參閱設定網路環境以確保與適用於端點的 Defender 服務連線。
您必須與 更新清單下所列的其餘必要服務保持連線。 例如,證書吊銷清單、Windows Update、SmartScreen。
選項 2:使用靜態 IP 範圍設定連線能力
透過簡化的連線能力,以IP為基礎的解決方案可以作為URL的替代方案。 這些IP涵蓋下列服務:
- 地圖
- 惡意代碼範例提交記憶體
- Auto-IR 範例記憶體
- 適用於端點的Defender命令和控制
重要事項
如果您使用IP方法,則必須個別設定EDR網路數據服務 (此服務只會在URL層級) 上合併。您也必須與其他必要服務保持連線,包括 SmartScreen、CRL、Windows Update 和其他服務。
若要隨時掌握IP範圍,建議您參閱下列適用於 適用於端點的 Microsoft Defender服務的 Azure 服務標籤。 最新的IP範圍位於服務標籤中。 如需詳細資訊,請參閱 Azure IP 範圍。
| 服務標籤名稱 | 包含適用於端點的 Defender 服務 |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS、惡意代碼範例提交記憶體、自動 IR 範例記憶體、命令和控制。 |
| OneDsCollector | EDR Cyberdata 注意:此服務標籤下的流量不限於適用於端點的Defender,而且可以包含其他 Microsoft 服務的診斷數據流量。 |
下表列出目前的靜態IP範圍。 如需最新清單,請參閱 Azure 服務標籤。
| 地理位置 | IP 範圍 |
|---|---|
| 美國 | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| 歐盟 | 4.208.13.0/24 20.8.195.0/24 |
| 英國 | 20.26.63.224/28 20.254.173.48/28 |
| 金 | 68.218.120.64/28 20.211.228.80/28 |
重要事項
為了符合適用於端點的 Defender 安全性與合規性標準,將會根據租用戶的實體位置來處理和儲存您的數據。 根據用戶端位置,流量可能會流經對應至 Azure 資料中心區域) 的任何 IP 區域 (。 如需詳細資訊,請 參閱數據儲存和隱私權。
階段 2。 設定您的裝置以連線到適用於端點的 Defender 服務
設定裝置以透過連線基礎結構進行通訊。 確定裝置符合必要條件,並已更新感測器和 Microsoft Defender 防病毒軟體版本。 如需詳細資訊, 請參閱設定裝置 Proxy 和因特網連線設定 。
階段3。 確認客戶端連線前置
如需詳細資訊,請 參閱驗證用戶端連線能力。
您可以在 Windows 和 Xplat MDE 用戶端分析器上執行下列前置檢查:下載 適用於端點的 Microsoft Defender 用戶端分析器。
若要測試尚未上線至適用於端點的 Defender 之裝置的簡化連線能力,您可以使用下列命令使用適用於 Windows 的用戶端分析器:
mdeclientanalyzer.cmd -o <path to cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用來自上線套件的參數來測試連線能力。執行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>,其中參數為 GW_US、GW_EU、GW_UK。 GW 指的是簡化的選項。 使用適用的租使用者地理位置執行。
作為補充檢查,您也可以使用用戶端分析器來測試裝置是否符合必要條件: https://aka.ms/BetaMDEAnalyzer
注意事項
對於尚未上線至適用於端點的Defender的裝置,用戶端分析器會針對一組標準URL進行測試。 若要測試簡化的方法,您必須使用本文稍早所列的參數來執行 。
階段 4. 套用簡化連線所需的新上線套件
設定網路以與完整的服務清單通訊之後,您就可以使用簡化的方法開始將裝置上線。
繼續之前,請確認裝置符合必要條件,並已更新感測器和 Microsoft Defender 防病毒軟體版本。
若要取得新的套件,請在 [Microsoft Defender 全面偵測回應] 中選取 [設定>端點>裝置管理>上線]。
選取適用的作業系統,然後從 [連線類型] 下拉功能表中選擇 [簡化]。
若新裝置 (未上線至此方法所支援的適用於端點的 Defender) ,請遵循先前各節中的上線步驟,搭配您慣用的部署方法使用已更新的上線套件:
- 將 Windows 用戶端上線
- 將 Windows Server 上線
- 將非 Windows 裝置上線
- 在裝置上執行偵測測試,以確認裝置已正確上線以 適用於端點的 Microsoft Defender
- 從任何使用標準上線套件的現有上線原則中排除裝置。
如需將已上線的裝置移轉至適用於端點的Defender,請參閱將 裝置移轉至簡化的連線。 您必須重新啟動裝置,並遵循此處的特定指引。
階段 5。 將預設上線套件設定為簡化連線
當您準備好將預設上線套件設定為簡化時,可以在 Microsoft Defender 入口網站中開啟下列進階功能設定 (> 設定端點>進階功能) 。
此設定會將適用作業系統的預設上線套件設定為「簡化」。 您仍然可以在上線頁面內使用標準上線套件,但必須在下拉式清單中特別選取它。
若要透過雲端 Intune & Microsoft Defender 上線,您必須啟用相關選項。 已上線的裝置不會自動重新上線;您必須在 Intune 中建立新原則,建議您先將原則指派給一組測試裝置,以確認連線成功,再擴充物件。 適用於雲端的Defender中的裝置可以使用相關的上線腳本重新上線。
注意事項
- 只有在 2024 年 5 月 8 日或之前建立的租使用者可以選擇在標準和簡化連線之間切換。 較新的租使用者僅支持簡化的連線。
- 繼續使用此選項之前,請先驗證您的環境已就緒,且所有裝置都符合必要條件。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應