엔드포인트용 Microsoft Defender 대한 간소화된 연결을 사용하여 디바이스 온보딩
적용 대상:
엔드포인트용 Defender 클라이언트는 관련 클라우드 서비스에 프록시된 연결을 사용해야 할 수 있습니다. 이 문서에서는 간소화된 디바이스 연결 방법, 필수 구성 요소에 대해 설명하고 새 대상을 사용하여 연결을 확인하기 위한 추가 정보를 제공합니다.
네트워크 구성 및 관리를 간소화하기 위해 이제 감소된 URL 집합 또는 고정 IP 범위를 사용하여 엔드포인트용 Defender에 새 디바이스를 온보딩할 수 있습니다. 이전에 온보딩된 디바이스를 마이그레이션하는 방법에 대한 자세한 내용은 디바이스를 간소화된 연결로 마이그레이션을 참조하세요.
엔드포인트용 Defender 인식 간소화된 도메인: *.endpoint.security.microsoft.com
엔드포인트용 Defender의 핵심 서비스에 대한 연결을 통합합니다.
- 클라우드 제공 보호
- 맬웨어 샘플 제출 스토리지
- 자동 IR 샘플 스토리지
- 엔드포인트용 Defender 명령 & 제어
- 엔드포인트용 Defender 사이버 및 진단 데이터
환경 준비 및 업데이트된 대상 목록에 대한 자세한 내용은 1단계: 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.
호스트 이름 확인 또는 와일드카드 지원 없이 네트워크 디바이스를 지원하려면 엔드포인트용 전용 Defender 고정 IP 범위를 사용하여 연결을 구성할 수도 있습니다. 자세한 내용은 고정 IP 범위를 사용하여 연결 구성을 참조하세요.
참고
- 간소화된 연결 방법은 디바이스에서 엔드포인트용 Microsoft Defender 작동하는 방식을 변경하지 않으며 최종 사용자 환경을 변경하지 않습니다. 디바이스가 서비스에 연결하는 데 사용하는 URL 또는 IP만 변경됩니다.
- 현재 이전 통합 서비스 URL을 더 이상 사용하지 않을 계획은 없습니다. "표준" 연결로 온보딩된 디바이스는 계속 작동합니다. 향후 서비스에는 연결이 필요하므로 에 대한
*.endpoint.security.microsoft.com
연결이 가능하고 계속 가능하도록 하는 것이 중요합니다. 이 새 URL은 모든 필수 URL 목록에 포함됩니다. - 서비스에 Connections 인증서 고정 및 TLS를 활용합니다. 트래픽을 "중단 및 검사"하는 것은 지원되지 않습니다. 또한 연결은 사용자 컨텍스트가 아닌 디바이스 컨텍스트에서 시작됩니다. 프록시(사용자) 인증을 적용하면 대부분의 경우 연결이 허용되지 않습니다.
시작하기 전에
엔드포인트용 Defender에 대해 간소화된 연결 방법을 사용하려면 디바이스가 특정 필수 조건을 충족해야 합니다. 온보딩을 계속하기 전에 필수 구성 요소가 충족되는지 확인합니다.
필수 구성 요소
면허:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- 비즈니스용 Microsoft Defender
- Microsoft Defender 취약성 관리
최소 KB 업데이트(Windows)
- SENSE 버전: 10.8040.*/ 2022년 3월 8일 이상(표 참조)
Microsoft Defender 바이러스 백신 버전(Windows)
-
맬웨어 방지 클라이언트:
4.18.2211.5
-
엔진:
1.1.19900.2
-
바이러스 백신(보안 인텔리전스):
1.391.345.0
Defender 바이러스 백신 버전(macOS/Linux)
- MDE 제품 버전 101.24022.*+를 사용하여 macOS 지원 버전
- MDE 제품 버전 101.24022.*+를 사용한 Linux 지원 버전
지원되는 운영 체제
- Windows 10 버전 1809 이상. Windows 10 버전 1607, 1703, 1709, 1803은 간소화된 온보딩 패키지에서 지원되지만 다른 URL 목록이 필요합니다. 간소화된 URL 시트를 참조하세요.
- Windows 11
- Windows Server 2022
- Windows Server 2019
- R2 또는 Windows Server 2016 Windows Server 2012 완전히 업데이트된 엔드포인트용 Defender 최신 통합 솔루션(MSI를 통해 설치).
- MDE 제품 버전 101.24022.*+를 사용하여 macOS 지원 버전
- MDE 제품 버전 101.24022.*+를 사용한 Linux 지원 버전
중요
- MMA 에이전트에서 실행되는 디바이스는 간소화된 연결 방법에서 지원되지 않으며 표준 URL 집합을 계속 사용해야 합니다(Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016은 최신 통합 에이전트로 업그레이드되지 않음).
- Windows Server 2012 R2 및 Server 2016은 새 메서드를 활용하기 위해 통합 에이전트로 업그레이드해야 합니다.
- Windows 10 1607, 1703, 1709, 1803은 새 온보딩 옵션을 활용할 수 있지만 더 긴 목록을 사용합니다. 자세한 내용은 간소화된 URL 시트를 참조하세요.
Windows OS | 최소 KB 필요(2022년 3월 8일) |
---|---|
Windows 11 | KB5011493(2022년 3월 8일) |
Windows 10 1809, Windows Server 2019 | KB5011503(2022년 3월 8일) |
Windows 10 19H2 (1909) | KB5011485(2022년 3월 8일) |
Windows 10 20H2, 21H2 | KB5011487(2022년 3월 8일) |
Windows 10 22H2 | KB5020953(2022년 10월 28일) |
Windows 10 1803* | < 서비스 종료 > |
Windows 10 1709* | < 서비스 종료 > |
Windows Server 2022 | KB5011497(2022년 3월 8일) |
Windows Server 2012 R2, 2016* | 통합 에이전트 |
간소화된 연결 프로세스
다음 그림에서는 간소화된 연결 프로세스 및 해당 단계를 보여 줍니다.
1단계. 클라우드 연결을 위한 네트워크 환경 구성
필수 구성 요소가 충족되었는지 확인하면 네트워크 환경이 간소화된 연결 방법을 지원하도록 올바르게 구성되어 있는지 확인합니다. 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성에 설명된 단계를 수행합니다.
간소화된 도메인에 통합된 엔드포인트용 Defender 서비스 URL은 더 이상 연결에 필요하지 않습니다. 그러나 일부 URL은 통합에 포함되지 않습니다.
간소화된 연결을 사용하면 다음 옵션을 사용하여 클라우드 연결을 구성할 수 있습니다.
옵션 1: 간소화된 도메인을 사용하여 연결 구성
간소화된 엔드포인트용 Defender 도메인 *.endpoint.security.microsoft.com
에 대한 연결을 허용하도록 환경을 구성합니다. 자세한 내용은 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.
업데이트된 목록에 나열된 나머지 필수 서비스와의 연결을 유지해야 합니다. 예를 들어 인증 해지 목록인 Windows 업데이트 SmartScreen 서비스는 현재 네트워킹 인프라 및 패치 접근 방식에 따라 액세스할 수 있어야 할 수도 있습니다.
옵션 2: 고정 IP 범위를 사용하여 연결 구성
간소화된 연결을 통해 IP 기반 솔루션을 URL 대신 사용할 수 있습니다. 이러한 IP는 다음 서비스를 다룹니다.
- 지도
- 맬웨어 샘플 제출 스토리지
- 자동 IR 샘플 스토리지
- 엔드포인트용 Defender 명령 및 제어
중요
IP 메서드를 사용하는 경우 EDR 사이버 데이터 서비스(OneDsCollector)를 별도로 구성해야 합니다(이 서비스는 URL 수준에서만 통합됨). 또한 SmartScreen, CRL, Windows 업데이트 및 기타 서비스를 비롯한 다른 필수 서비스와의 연결을 유지해야 합니다.
IP 범위를 최신 상태로 유지하려면 엔드포인트용 Microsoft Defender 서비스에 대해 다음 Azure 서비스 태그를 참조하는 것이 좋습니다. 최신 IP 범위는 서비스 태그에 있습니다. 자세한 내용은 Azure IP 범위를 참조하세요.
서비스 태그 이름 | 엔드포인트용 Defender 서비스 포함 |
---|---|
MicrosoftDefenderForEndpoint | 클라우드 제공 보호, 맬웨어 샘플 제출 스토리지, 자동 IR 샘플 스토리지, 엔드포인트용 Defender 명령 및 제어 |
OneDsCollector | 엔드포인트용 Defender 사이버 및 진단 데이터 참고: 이 서비스 태그 아래의 트래픽은 엔드포인트용 Defender로 제한되지 않으며 다른 Microsoft 서비스에 대한 진단 데이터 트래픽을 포함할 수 있습니다. |
다음 표에서는 MicrosoftDefenderForEndpoint 서비스 태그에서 다루는 현재 고정 IP 범위를 나열합니다. 최신 목록은 Azure 서비스 태그 설명서를 참조하세요.
지역 | IP 범위 |
---|---|
US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
영국 | 20.26.63.224/28 20.254.173.48/28 |
AU(AU) | 68.218.120.64/28 20.211.228.80/28 |
중요
엔드포인트용 Defender 보안 및 규정 준수 표준을 준수하면 데이터가 테넌트의 물리적 위치에 따라 처리되고 저장됩니다. 클라이언트 위치에 따라 트래픽은 이러한 IP 지역(Azure 데이터 센터 지역에 해당)을 통해 흐를 수 있습니다. 자세한 내용은 데이터 스토리지 및 개인 정보를 참조하세요.
2단계. 엔드포인트용 Defender 서비스에 연결하도록 디바이스 구성
연결 인프라를 통해 통신하도록 디바이스를 구성합니다. 디바이스가 필수 조건을 충족하고 센서 및 Microsoft Defender 바이러스 백신 버전을 업데이트해야 합니다. 자세한 내용은 디바이스 프록시 및 인터넷 연결 설정 구성 을 참조하세요.
3단계. 클라이언트 연결 사전 등록 확인
자세한 내용은 클라이언트 연결 확인을 참조하세요.
Windows 및 Xplat MDE 클라이언트 분석기 모두에서 다음 사전 등록 검사를 실행할 수 있습니다. 엔드포인트용 Microsoft Defender 클라이언트 분석기를 다운로드합니다.
엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스에 대한 간소화된 연결을 테스트하려면 다음 명령을 사용하여 Windows용 클라이언트 분석기를 사용할 수 있습니다.
MDEClientAnalyzer 폴더 내에서 를 실행
mdeclientanalyzer.cmd -o <path to cmd file>
합니다. 명령은 온보딩 패키지의 매개 변수를 사용하여 연결을 테스트합니다.를 실행
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
합니다. 여기서 매개 변수는 GW_US, GW_EU, GW_UK. GW는 간소화된 옵션을 나타냅니다. 해당 테넌트 지역에서 실행합니다.
추가 검사 클라이언트 분석기를 사용하여 디바이스가 필수 구성 요소를 충족하는지 여부를 테스트할 수도 있습니다.https://aka.ms/MDEClientAnalyzerPreview
참고
엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스의 경우 클라이언트 분석기는 표준 URL 집합에 대해 테스트합니다. 간소화된 방법을 테스트하려면 이 문서의 앞부분에 나열된 스위치를 사용하여 실행해야 합니다.
4단계. 간소화된 연결에 필요한 새 온보딩 패키지 적용
전체 서비스 목록과 통신하도록 네트워크를 구성한 후에는 간소화된 방법을 사용하여 디바이스 온보딩을 시작할 수 있습니다.
계속하기 전에 디바이스가 필수 조건을 충족하고 센서를 업데이트하고 바이러스 백신 버전을 Microsoft Defender 확인합니다.
새 패키지를 얻으려면 Microsoft Defender XDR 설정 > 엔드포인트 > 디바이스 관리> 온보딩을 선택합니다.
해당 운영 체제를 선택하고 연결 유형 드롭다운 메뉴에서 "간소화됨"을 선택합니다.
이 메서드에서 지원되는 새 디바이스(엔드포인트용 Defender에 온보딩되지 않음)의 경우 기본 배포 방법으로 업데이트된 온보딩된 패키지를 사용하여 이전 섹션의 온보딩 단계를 따릅니다.
- Windows 클라이언트 온보딩
- Windows Server 온보딩
- Windows가 아닌 장치 온보딩
- 디바이스에서 검색 테스트를 실행하여 엔드포인트용 Microsoft Defender 제대로 온보딩되었는지 확인합니다.
- 표준 온보딩 패키지를 사용하는 기존 온보딩 정책에서 디바이스를 제외합니다.
엔드포인트용 Defender에 이미 온보딩된 디바이스를 마이그레이션하는 경우 간소화된 연결로 디바이스 마이그레이션을 참조하세요. 디바이스를 다시 부팅하고 여기에서 특정 지침을 따라야 합니다.