Dela via


Registrering av enheter med strömlinjeformad anslutning för Microsoft Defender för Endpoint

Gäller för:

Defender för Endpoint-klienten kan kräva användning av proxierade anslutningar till relevanta molntjänster. Den här artikeln beskriver den strömlinjeformade enhetsanslutningsmetoden, kraven och innehåller ytterligare information för att verifiera anslutningen med hjälp av de nya destinationerna.

För att förenkla nätverkskonfigurationen och hanteringen har du nu möjlighet att registrera nya enheter i Defender för Endpoint med hjälp av en reducerad URL-uppsättning eller statiska IP-intervall. Mer information om hur du migrerar tidigare registrerade enheter finns i Migrera enheter till strömlinjeformad anslutning.

Defender för Endpoint-identifierad förenklad domän: *.endpoint.security.microsoft.com konsoliderar anslutningen till följande grundläggande Defender för Endpoint-tjänster:

  • Molnbaserat skydd
  • Lagring av exempel på skadlig kod
  • Automatisk IR-exempellagring
  • Defender för Endpoint-kommando & kontroll
  • Cyber- och diagnostikdata för Defender för Endpoint

Mer information om hur du förbereder din miljö och den uppdaterade listan över mål finns i STEG 1: Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten.

Om du vill stödja nätverksenheter utan stöd för värdnamnsmatchning eller jokertecken kan du också konfigurera anslutningar med dedikerade statiska IP-intervall för Defender för Endpoint. Mer information finns i Konfigurera anslutning med statiska IP-intervall.

Obs!

  • Den strömlinjeformade anslutningsmetoden ändrar inte hur Microsoft Defender för Endpoint fungerar på en enhet och den kommer inte heller att ändra slutanvändarupplevelsen. Endast de URL:er eller IP-adresser som en enhet använder för att ansluta till tjänsten ändras.
  • Det finns för närvarande ingen plan för att fasa ut de gamla konsoliderade tjänst-URL:erna. Enheter som är registrerade med "standard"-anslutning fortsätter att fungera. Det är viktigt att se till att anslutningen till *.endpoint.security.microsoft.com är och förblir möjlig, eftersom framtida tjänster kommer att kräva det. Den här nya URL:en ingår i alla obligatoriska URL-listor.
  • Connections till tjänsten utnyttjar certifikatanslutning och TLS. Det stöds inte för att "bryta och inspektera" trafik. Dessutom initieras anslutningar från en enhetskontext, inte en användarkontext. Tvingande proxyautentisering (användare) tillåter i de flesta fall inte (avbrott) anslutning.

Innan du börjar

Enheter måste uppfylla specifika krav för att använda den strömlinjeformade anslutningsmetoden för Defender för Endpoint. Se till att förutsättningarna uppfylls innan du fortsätter med onboarding.

Förhandskrav

Licens:

  • Microsoft Defender för Endpoint Abonnemang 1
  • Microsoft Defender för Endpoint Abonnemang 2
  • Microsoft Defender för företag
  • Hantering av hot och säkerhetsrisker för Microsoft Defender

Minsta KB-uppdatering (Windows)

  • SENSE-version: 10.8040.*/ 8 mars 2022 eller senare (se tabell)

Microsoft Defender Antivirus-versioner (Windows)

  • Klient för program mot skadlig kod:4.18.2211.5
  • Motor:1.1.19900.2
  • Antivirus (Säkerhetsinformation):1.391.345.0

Defender Antivirus versioner (macOS/Linux)

Operativsystem som stöds

  • Windows 10 version 1809 eller senare. Windows 10 versionerna 1607, 1703, 1709, 1803 stöds på det strömlinjeformade registreringspaketet men kräver en annan URL-lista, se strömlinjeformad URL-blad
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 eller Windows Server 2016, fullständigt uppdaterad med modern enhetlig lösning för Defender för Endpoint (installation via MSI).
  • macOS-versioner som stöds med MDE produktversion 101.24022.*+
  • Linux-versioner som stöds med MDE produktversion 101.24022.*+

Viktigt

  • Enheter som körs på MMA-agenten stöds inte på den strömlinjeformade anslutningsmetoden och måste fortsätta att använda standard-URL-uppsättningen (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 som inte har uppgraderats till modern enhetlig agent).
  • Windows Server 2012 R2 och Server 2016 måste uppgradera till en enhetlig agent för att utnyttja den nya metoden.
  • Windows 10 1607, 1703, 1709, 1803 kan utnyttja det nya registreringsalternativet men kommer att använda en längre lista. Mer information finns i det strömlinjeformade URL-bladet.
Windows OS Minsta kB krävs (8 mars 2022)
Windows 11 KB5011493 (8 mars 2022)
Windows 10 1809, Windows Server 2019 KB5011503 (8 mars 2022)
Windows 10 19H2 (1909) KB5011485 (8 mars 2022)
Windows 10 20H2, 21H2 KB5011487 (8 mars 2022)
Windows 10 22H2 KB5020953 (28 oktober 2022)
Windows 10 1803* < tjänstens slut >
Windows 10 1709* < tjänstens slut >
Windows Server 2022 KB5011497 (8 mars 2022)
Windows Server 2012 R2, 2016* Enhetlig agent

Smidig anslutningsprocess

Följande bild visar den strömlinjeformade anslutningsprocessen och motsvarande steg:

Bild av strömlinjeformad anslutningsprocess

Steg 1. Konfigurera din nätverksmiljö för molnanslutning

När du har bekräftat att kraven är uppfyllda kontrollerar du att nätverksmiljön är korrekt konfigurerad för att stödja den strömlinjeformade anslutningsmetoden. Följ stegen som beskrivs i Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten.

Url:er för Defender för Endpoint-tjänsten som konsoliderats under förenklad domän bör inte längre krävas för anslutning. Vissa URL:er ingår dock inte i konsolideringen.

Med strömlinjeformad anslutning kan du använda följande alternativ för att konfigurera molnanslutning:

Alternativ 1: Konfigurera anslutningen med hjälp av den förenklade domänen

Konfigurera din miljö för att tillåta anslutningar till den förenklade Defender för Endpoint-domänen: *.endpoint.security.microsoft.com. Mer information finns i Konfigurera din nätverksmiljö för att säkerställa anslutning med Defender för Endpoint-tjänsten.

Du måste upprätthålla anslutningen med återstående nödvändiga tjänster som anges i den uppdaterade listan. Till exempel kan listan över återkallade certifikat, Windows Update, SmartScreen-tjänster också behöva vara tillgängliga beroende på din nuvarande nätverksinfrastruktur och korrigeringsmetod.

Alternativ 2: Konfigurera anslutningen med statiska IP-intervall

Med strömlinjeformad anslutning kan IP-baserade lösningar användas som ett alternativ till URL:er. Dessa IP-adresser omfattar följande tjänster:

  • KARTOR
  • Lagring av exempel på skadlig kod
  • Automatisk IR-exempellagring
  • Kommando och kontroll för Defender för Endpoint

Viktigt

EDR Cyber Data Service (OneDsCollector) måste konfigureras separat om du använder IP-metoden (den här tjänsten konsolideras endast på URL-nivå). Du måste också upprätthålla anslutningen till andra nödvändiga tjänster, inklusive SmartScreen, CRL, Windows Update och andra tjänster.

För att hålla dig uppdaterad om IP-intervall rekommenderar vi att du läser följande Azure-tjänsttaggar för Microsoft Defender för Endpoint tjänster. De senaste IP-intervallen finns i tjänsttaggen. Mer information finns i Ip-intervall för Azure.

Namn på tjänsttagg Defender för Endpoint-tjänster ingår
MicrosoftDefenderForEndpoint Molnbaserat skydd, lagring av exempel på skadlig kod, automatisk IR-exempellagring, Defender för Endpoint-kommando och kontroll.
OneDsCollector Cyber- och diagnostikdata för Defender för Endpoint

Obs! Trafiken under den här tjänsttaggen är inte begränsad till Defender för Endpoint och kan innehålla diagnostikdatatrafik för andra Microsoft-tjänster.

I följande tabell visas de aktuella statiska IP-intervall som omfattas av tjänsttaggen MicrosoftDefenderForEndpoint. Den senaste listan finns i dokumentationen om Azure-tjänsttaggar .

Geo IP-intervall
OSS 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
EU 4.208.13.0/24
20.8.195.0/24
STORBRITANNIEN 20.26.63.224/28
20.254.173.48/28
AU 68.218.120.64/28
20.211.228.80/28

Viktigt

I enlighet med säkerhets- och efterlevnadsstandarderna för Defender för Endpoint bearbetas och lagras dina data i enlighet med din klientorganisations fysiska plats. Baserat på klientens plats kan trafiken flöda genom någon av dessa IP-regioner (som motsvarar Azures datacenterregioner). Mer information finns i Datalagring och sekretess.

Steg 2. Konfigurera dina enheter för att ansluta till Defender för Endpoint-tjänsten

Konfigurera enheter för att kommunicera via din anslutningsinfrastruktur. Se till att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner. Mer information finns i Konfigurera enhetsproxy och Inställningar för Internetanslutning .

Steg 3. Verifiera klientanslutningspreonboarding

Mer information finns i Verifiera klientanslutning.

Följande förregistreringskontroller kan köras på både Windows- och Xplat-MDE Client Analyzer: Ladda ned Microsoft Defender för Endpoint-klientanalys.

Om du vill testa en strömlinjeformad anslutning för enheter som ännu inte har registrerats i Defender för Endpoint kan du använda Client Analyzer för Windows med hjälp av följande kommandon:

  • Kör mdeclientanalyzer.cmd -o <path to cmd file> inifrån mappen MDEClientAnalyzer. Kommandot använder parametrar från onboarding-paketet för att testa anslutningen.

  • Kör mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , där parametern är av GW_US, GW_EU, GW_UK. GW refererar till det strömlinjeformade alternativet. Kör med tillämplig klientorganisationsgeo.

Som en kompletterande kontroll kan du också använda klientanalysen för att testa om en enhet uppfyller kraven: https://aka.ms/MDEClientAnalyzerPreview

Obs!

För enheter som ännu inte har registrerats i Defender för Endpoint testar klientanalyseraren mot standarduppsättningen med URL:er. Om du vill testa den strömlinjeformade metoden måste du köra med de växlar som angavs tidigare i den här artikeln.

Steg 4. Tillämpa det nya registreringspaketet som krävs för strömlinjeformad anslutning

När du har konfigurerat nätverket för att kommunicera med den fullständiga listan över tjänster kan du börja registrera enheter med hjälp av den strömlinjeformade metoden.

Innan du fortsätter bekräftar du att enheterna uppfyller kraven och har uppdaterade sensor- och Microsoft Defender Antivirus-versioner.

  1. Om du vill hämta det nya paketet går du till Microsoft Defender XDR och väljer Inställningar > Slutpunkter > Enhetshantering> Registrering.

  2. Välj tillämpligt operativsystem och välj "Strömlinjeformad" i listrutan Anslutningstyp.

  3. För nya enheter (som inte har registrerats i Defender för Endpoint) som stöds under den här metoden följer du registreringsstegen från föregående avsnitt med det uppdaterade registrerade paketet med önskad distributionsmetod:

  1. Undanta enheter från alla befintliga registreringsprinciper som använder standardregistreringspaketet.

Information om hur du migrerar enheter som redan har registrerats till Defender för Endpoint finns i Migrera enheter till den strömlinjeformade anslutningen. Du måste starta om enheten och följa den specifika vägledningen här.