Configurer les paramètres de proxy de point de terminaison et de connectivité Internet
Chaque capteur Microsoft Defender pour Identity nécessite une connectivité Internet au service cloud Defender pour Identity pour signaler les données du capteur et fonctionner correctement.
Dans certaines organisations, les contrôleurs de domaine ne sont pas directement connectés à Internet, mais ils sont connectés via une connexion de proxy web, et l’inspection SSL et l’interception des proxys ne sont pas pris en charge pour des raisons de sécurité. Dans ce cas, votre serveur proxy doit autoriser les données à passer directement des capteurs Defender pour Identity aux URL appropriées sans interception.
Importante
Microsoft ne fournit pas de serveur proxy. Cet article explique comment s’assurer que les URL requises sont accessibles via un serveur proxy que vous configurez.
Activer l’accès aux URL du service Defender pour Identity dans le serveur proxy
Pour garantir une sécurité et une confidentialité maximales des données, Defender pour Identity utilise l’authentification mutuelle basée sur les certificats entre chaque capteur Defender pour Identity et le back-end cloud Defender pour Identity. L’inspection et l’interception SSL ne sont pas prises en charge, car elles interfèrent dans le processus d’authentification.
Pour activer l’accès à Defender pour Identity, veillez à autoriser le trafic vers l’URL du capteur, à l’aide de la syntaxe suivante : <your-workspace-name>sensorapi.atp.azure.com. Par exemple : contoso-corpsensorapi.atp.azure.com.
Si votre proxy ou pare-feu utilise des listes d’autorisation explicites, nous vous recommandons également de vérifier que les URL suivantes sont autorisées :
crl.microsoft.comctldl.windowsupdate.comwww.microsoft.com/pkiops/*www.microsoft.com/pki/*
Parfois, les adresses IP du service Defender pour Identity peuvent changer. Si vous configurez manuellement des adresses IP, ou si votre proxy résout automatiquement les noms DNS en leur adresse IP et les utilise, nous vous recommandons de case activée régulièrement que les adresses IP configurées sont toujours à jour.
Si vous avez précédemment configuré votre proxy à l’aide d’options héritées, notamment WiniNet ou une mise à jour de clé de Registre, vous devez apporter des modifications à l’aide de la méthode que vous avez utilisée à l’origine. Pour plus d’informations, consultez Modifier la configuration du proxy à l’aide de méthodes héritées.
Activer l’accès avec une étiquette de service
Au lieu d’activer manuellement l’accès à des points de terminaison spécifiques, téléchargez les plages d’adresses IP azure et les étiquettes de service - Cloud public, puis utilisez les plages d’adresses IP dans l’étiquette de service Azure AzureAdvancedThreatProtection pour permettre l’accès à Defender pour Identity.
Pour plus d’informations, consultez Balises de service de réseau virtuel. Pour les offres du gouvernement des États-Unis, consultez Bien démarrer avec les offres du gouvernement des États-Unis.
Modifier la configuration du proxy à l’aide de l’interface CLI
Conditions préalables : recherchez le Microsoft.Tri.Sensor.Deployment.Deployer.exe fichier. Ce fichier se trouve avec l’installation du capteur. Par défaut, cet emplacement est C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
Pour modifier la configuration du proxy du capteur actuel :
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
Pour supprimer entièrement la configuration du proxy du capteur actuel :
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
Modifier la configuration du proxy à l’aide de PowerShell
Conditions préalables : avant d’exécuter les commandes PowerShell Defender pour Identity, vérifiez que vous avez téléchargé le module PowerShell Defender pour Identity.
Vous pouvez afficher et modifier la configuration du proxy pour votre capteur à l’aide de PowerShell. Pour ce faire, connectez-vous à votre serveur de capteur et exécutez les commandes comme indiqué dans les exemples suivants :
Pour afficher la configuration du proxy du capteur actuel :
Get-MDISensorProxyConfiguration
Pour modifier la configuration du proxy du capteur actuel :
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
Cet exemple montre comment définir la configuration du proxy pour que le capteur Defender pour Identity utilise le serveur proxy spécifié sans informations d’identification.
Pour supprimer entièrement la configuration du proxy du capteur actuel :
Clear-MDISensorProxyConfiguration
Pour plus d’informations, consultez les références PowerShell DefenderForIdentity suivantes :
Modifier la configuration du proxy à l’aide de méthodes héritées
Si vous avez précédemment configuré vos paramètres de proxy via WinINet ou une clé de Registre et que vous devez les mettre à jour, vous devez utiliser la même méthode que celle utilisée à l’origine.
Lors de la configuration de votre proxy à partir de la ligne de commande pendant l’installation, seuls les services de capteur Defender pour Identity communiquent via le proxy, l’utilisation de WinINet ou d’un registre permet à d’autres services s’exécutant dans le contexte en tant que système local ou service local de diriger également le trafic via le proxy.
Configurer un serveur proxy à l’aide de WinINet
Lorsque vous configurez le proxy à l’aide de WinINet, gardez à l’esprit que le service de capteur Defender pour Identity incorporé s’exécute dans le contexte système à l’aide du compte LocalService et que le service de mise à jour du capteur Defender pour Identity s’exécute dans le contexte système à l’aide du compte LocalSystem .
Si vous utilisez WinHTTP pour la configuration du proxy, vous devez toujours configurer les paramètres de proxy de navigateur Windows Internet (WinINet) pour la communication entre le capteur et le service cloud Defender pour Identity.
Si vous utilisez le proxy transparent ou WPAD dans votre topologie de réseau, vous n’avez pas besoin de configurer WinINet pour votre proxy.
Configurer un serveur proxy à l’aide du Registre
Cette section explique comment configurer manuellement un serveur proxy statique à l’aide d’un proxy statique basé sur le Registre.
Importante
La configuration d’un proxy via le registre affecte toutes les applications qui utilisent WinINet avec les comptes LocalService et LocalSystem , y compris les services Windows.
Appliquez les modifications du Registre uniquement aux comptes LocalService et LocalSystem .
Pour configurer votre proxy, copiez votre configuration de proxy dans le contexte utilisateur sur les comptes LocalSystem et LocalService comme suit :
Sauvegardez vos clés de Registre.
Dans le Registre, recherchez la
DefaultConnectionSettingsvaleur en tant queREG_BINARY, sous la clé de Registre, puis copiez-laHKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.Si le
LocalSystemn’a pas les paramètres de proxy corrects, copiez le paramètre de proxy duCurrent_Uservers leLocalSystem, sous la clé deHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsRegistre.Veillez à coller la valeur de la
Current_UsercléREG_BINARYde Registre de .DefaultConnectionSettingsCela peut se produire si vos paramètres de proxy ne sont pas configurés ou s’ils sont différents de .
Current_UserSi le
LocalServicen’a pas les paramètres de proxy corrects, copiez le paramètre de proxy duCurrent_Uservers ,LocalServicesous la clé deHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsRegistre.Veillez à coller la valeur de la
Current_UsercléREG_BINARYde Registre de .DefaultConnectionSettings
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Exécuter une installation sans assistance avec une configuration de proxy
- Tester la connectivité Microsoft Defender pour Identity