Sdílet prostřednictvím


Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint

Platí pro:

Klient Defenderu for Endpoint může vyžadovat použití proxy připojení k relevantním cloudovým službám. Tento článek popisuje zjednodušenou metodu připojení zařízení, požadavky a poskytuje další informace pro ověření připojení pomocí nových cílů.

Kvůli zjednodušení konfigurace a správy sítě teď máte možnost onboardovat nová zařízení do Defenderu for Endpoint pomocí omezené sady adres URL nebo rozsahů statických IP adres. Další informace o migraci dříve nasazených zařízení najdete v tématu Migrace zařízení za účelem zjednodušeného připojení.

Zjednodušená doména rozpoznaná službou Defender for Endpoint: *.endpoint.security.microsoft.com konsoliduje připojení k následujícím základním službám Defenderu for Endpoint:

  • Cloudová ochrana
  • Úložiště pro odesílání ukázek malwaru
  • Ukázkové úložiště automatického prostředí IR
  • & řízení příkazů Defenderu for Endpoint
  • Kybernetická a diagnostická data defenderu for Endpoint

Další informace o přípravě prostředí a aktualizovaném seznamu cílů najdete v tématu KROK 1: Konfigurace síťového prostředí k zajištění připojení ke službě Defender for Endpoint.

Pokud chcete podporovat síťová zařízení bez podpory překladu názvů hostitelů nebo zástupných znaků, můžete alternativně nakonfigurovat připojení pomocí vyhrazených statických rozsahů IP adres defenderu for Endpoint. Další informace najdete v tématu Konfigurace připojení pomocí statických rozsahů IP adres.

Poznámka

  • Zjednodušená metoda připojení nezmění způsob, jakým Microsoft Defender for Endpoint funguje na zařízení, ani nezmění prostředí koncového uživatele. Změní se jenom adresy URL nebo IP adresy, které zařízení používá pro připojení ke službě.
  • V současné době neexistuje žádný plán vyřazení starých konsolidovaných adres URL služeb. Zařízení onboardovaná se standardním připojením budou dál fungovat. Je důležité zajistit, aby připojení k *.endpoint.security.microsoft.com němu bylo a zůstane možné, protože to budou vyžadovat budoucí služby. Tato nová adresa URL je zahrnutá ve všech seznamech požadovaných adres URL.
  • Connections do služby využijte připnutí certifikátu a TLS. Nepodporuje se přerušení a kontrola provozu. Připojení se navíc iniciují z kontextu zařízení, nikoli z kontextu uživatele. Vynucení ověřování proxy (uživatele) ve většině případů zakáže (přeruší) připojení.

Než začnete

Zařízení musí splňovat konkrétní požadavky, aby bylo možné používat zjednodušenou metodu připojení pro Defender for Endpoint. Než budete pokračovat v onboardingu, ujistěte se, že jsou splněné požadavky.

Požadavky

Licence:

  • Plán 1 pro Microsoft Defender for Endpoint
  • Plán 2 pro Microsoft Defender pro koncový bod
  • Microsoft Defender pro firmy
  • Správa ohrožení zabezpečení v programu Microsoft Defender

Minimální aktualizace KB (Windows)

  • Verze SENSE: 10.8040.*/ 8. března 2022 nebo novější (viz tabulka)

Microsoft Defender verze antivirové ochrany (Windows)

  • Antimalwarový klient:4.18.2211.5
  • Motor:1.1.19900.2
  • Antivirová ochrana (security intelligence):1.391.345.0

Antivirová ochrana v programu Defender verze (macOS/Linux)

Podporované operační systémy

  • Windows 10 verze 1809 nebo novější. Windows 10 verze 1607, 1703, 1709, 1803 jsou podporovány v zjednodušeném onboardingovém balíčku, ale vyžadují jiný seznam adres URL, viz zjednodušený seznam adres URL.
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 nebo Windows Server 2016 plně aktualizované moderní sjednocené řešení Defender for Endpoint (instalace prostřednictvím MSI).
  • Podporované verze macOS s produktem MDE verze 101.24022.*+
  • Podporované verze Linuxu s produktem MDE verze 101.24022.*+

Důležité

  • Zařízení s agentem MMA nejsou podporovaná zjednodušenou metodou připojení a budou muset dál používat standardní sadu adres URL (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 se neupgraduje na moderního sjednoceného agenta).
  • Windows Server 2012 R2 a Server 2016 budou muset upgradovat na sjednoceného agenta, aby bylo možné využít novou metodu.
  • Windows 10 1607, 1703, 1709, 1803 můžou využít novou možnost onboardingu, ale budou používat delší seznam. Další informace najdete v zjednodušeném seznamu adres URL.
Operační systém Windows Minimální povinné kB (8. března 2022)
Windows 11 KB5011493 (8. března 2022)
Windows 10 1809, Windows Server 2019 KB5011503 (8. března 2022)
Windows 10 19H2 (1909) KB5011485 (8. března 2022)
Windows 10 20H2, 21H2 KB5011487 (8. března 2022)
Windows 10 22H2 KB5020953 (28. října 2022)
Windows 10 1803* < ukončení služby >
Windows 10 1709* < ukončení služby >
Windows Server 2022 KB5011497 (8. března 2022)
Windows Server 2012 R2, 2016* Sjednocený agent

Zjednodušený proces připojení

Následující obrázek znázorňuje zjednodušený proces připojení a odpovídající fáze:

Obrázek zjednodušeného procesu připojení

Fáze 1. Konfigurace síťového prostředí pro cloudové připojení

Jakmile ověříte splnění požadavků, ujistěte se, že je síťové prostředí správně nakonfigurované tak, aby podporovalo zjednodušenou metodu připojení. Postupujte podle kroků uvedených v tématu Konfigurace síťového prostředí a zajistěte připojení ke službě Defender for Endpoint.

Adresy URL služby Defender for Endpoint sloučené ve zjednodušené doméně by se už pro připojení neměly vyžadovat. Některé adresy URL ale nejsou součástí konsolidace.

Zjednodušené připojení umožňuje ke konfiguraci připojení ke cloudu použít následující možnost:

Možnost 1: Konfigurace připojení pomocí zjednodušené domény

Nakonfigurujte své prostředí tak, aby umožňovalo připojení ke zjednodušené doméně Defenderu for Endpoint: *.endpoint.security.microsoft.com. Další informace najdete v tématu Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint.

Musíte udržovat připojení se zbývajícími požadovanými službami uvedenými v aktualizovaném seznamu. Například seznam odvolaných certifikátů, služba Windows Update služby SmartScreen, může být také potřeba, aby byly přístupné v závislosti na vaší aktuální síťové infrastruktuře a přístupu k opravování.

Možnost 2: Konfigurace připojení pomocí statických rozsahů IP adres

Díky zjednodušenému připojení je možné jako alternativu k adresám URL použít řešení založená na protokolu IP. Tyto IP adresy zahrnují následující služby:

  • MAPY
  • Úložiště pro odesílání ukázek malwaru
  • Ukázkové úložiště automatického prostředí IR
  • Defender for Endpoint Command and Control

Důležité

Datová služba EDR Cyber (OneDsCollector) musí být nakonfigurovaná samostatně, pokud používáte metodu IP (tato služba je konsolidovaná pouze na úrovni adresy URL). Musíte také udržovat připojení k dalším požadovaným službám, včetně filtru SmartScreen, seznamu CRL, služba Windows Update a dalších služeb.

Pokud chcete mít přehled o rozsahech IP adres, doporučujeme pro Microsoft Defender for Endpoint služby použít následující značky služeb Azure. Nejnovější rozsahy IP adres najdete ve značce služby. Další informace najdete v tématu Rozsahy IP adres Azure.

Název značky služby Zahrnuté služby Defender for Endpoint
MicrosoftDefenderForEndpoint Cloudová ochrana, úložiště ukázek malwaru, ukázkové úložiště automatického prostředí IR, příkaz a řízení Defenderu for Endpoint.
OneDsCollector Kybernetická a diagnostická data defenderu for Endpoint

Poznámka: Provoz pod touto značkou služby není omezen na Defender for Endpoint a může zahrnovat přenosy diagnostických dat pro jiné služby Microsoftu.

Následující tabulka uvádí aktuální rozsahy statických IP adres, na které se vztahuje značka služby MicrosoftDefenderForEndpoint. Nejnovější seznam najdete v dokumentaci ke značkům služeb Azure .

Geo Rozsahy IP adres
US 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
Evropská unie 4.208.13.0/24
20.8.195.0/24
Spojené království 20.26.63.224/28
20.254.173.48/28
AU 68.218.120.64/28
20.211.228.80/28

Důležité

V souladu se standardy zabezpečení a dodržování předpisů defenderu for Endpoint se vaše data zpracovávají a ukládají v souladu s fyzickým umístěním vašeho tenanta. V závislosti na umístění klienta může provoz procházet některou z těchto oblastí IP adres (které odpovídají oblastem datacentra Azure). Další informace najdete v tématu Ukládání dat a ochrana osobních údajů.

Fáze 2. Konfigurace zařízení pro připojení ke službě Defender for Endpoint

Nakonfigurujte zařízení tak, aby komunikovali prostřednictvím infrastruktury připojení. Ujistěte se, že zařízení splňují požadavky a mají aktualizované verze senzoru a Microsoft Defender Antivirové ochrany. Další informace najdete v tématu Konfigurace proxy serveru zařízení a nastavení připojení k internetu .

Fáze 3. Ověření předběžného zprovoznění připojení klienta

Další informace najdete v tématu Ověření připojení klienta.

V nástroji MDE Client Analyzer pro Windows i Xplat lze spustit následující kontroly předběžného zprovoznění: Stáhněte Microsoft Defender for Endpoint analyzátor klienta.

Pokud chcete otestovat zjednodušené připojení pro zařízení, která ještě nejsou onboardovaná do programu Defender for Endpoint, můžete použít nástroj Client Analyzer pro Windows pomocí následujících příkazů:

  • Spusťte mdeclientanalyzer.cmd -o <path to cmd file> ze složky MDEClientAnalyzer. Příkaz používá parametry z onboardingového balíčku k otestování připojení.

  • Spusťte mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , kde parametr je GW_US, GW_EU GW_UK. GW odkazuje na zjednodušenou možnost. Spusťte s příslušnou geografickou geografickou hodnotou tenanta.

Jako dodatečnou kontrolu můžete také pomocí analyzátoru klienta otestovat, jestli zařízení splňuje požadavky: https://aka.ms/MDEClientAnalyzerPreview

Poznámka

U zařízení, která ještě nejsou onboardovaná do Defenderu for Endpoint, bude klientský analyzátor testovat na standardní sadě adres URL. Pokud chcete otestovat zjednodušený přístup, budete muset spustit přepínače uvedené výše v tomto článku.

Fáze 4. Použití nového balíčku pro zprovoznění požadovaného pro zjednodušené připojení

Jakmile nakonfigurujete síť tak, aby komunikovala s úplným seznamem služeb, můžete začít s onboardingem zařízení pomocí zjednodušené metody.

Než budete pokračovat, ověřte, že zařízení splňují požadavky a mají aktualizované verze senzoru a Microsoft Defender Antivirové ochrany.

  1. Pokud chcete získat nový balíček, v Microsoft Defender XDR vyberte Nastavení > Koncové body > Onboarding správy> zařízení.

  2. Vyberte příslušný operační systém a v rozevírací nabídce Typ připojení zvolte Zjednodušeno.

  3. U nových zařízení (která nejsou onboardovaná do programu Defender for Endpoint) podporovaných v rámci této metody postupujte podle kroků pro onboarding z předchozích částí pomocí aktualizovaného onboardovaného balíčku s upřednostňovanou metodou nasazení:

  1. Vylučte zařízení z existujících zásad onboardingu, které používají standardní balíček onboardingu.

Informace o migraci zařízení, která jsou už nasazená do defenderu for Endpoint, najdete v tématu Migrace zařízení na zjednodušené připojení. Musíte restartovat zařízení a postupovat podle konkrétních pokynů.