使用简化的连接为Microsoft Defender for Endpoint加入设备
适用于:
Defender for Endpoint 客户端可能需要使用到相关云服务的代理连接。 本文介绍简化的设备连接方法、先决条件,并提供使用新目标 () 验证连接的其他信息。
为了简化网络配置和管理,现在可以选择使用减少的 URL 集或静态 IP 范围将新设备载入 Defender for Endpoint。 有关迁移以前载入的设备的详细信息,请参阅 将设备迁移到简化的连接。
Defender for Endpoint 识别的简化域: *.endpoint.security.microsoft.com
合并到以下核心 Defender for Endpoint 服务的连接:
- 云端保护
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令 & 控件
- Defender for Endpoint 网络和诊断数据
有关准备环境和更新的目标列表的详细信息,请参阅 步骤 1:配置网络环境以确保与 Defender for Endpoint 服务的连接。
若要支持没有主机名解析或通配符支持的网络设备,也可以使用专用 Defender for Endpoint 静态 IP 范围配置连接。 有关详细信息,请参阅 使用静态 IP 范围配置连接。
注意
- 简化的连接方法不会更改Microsoft Defender for Endpoint在设备上的工作方式,也不会更改最终用户体验。 只有设备用于连接到服务的 URL 或 IP 才会更改。
- 目前没有计划弃用旧的合并服务 URL。 加入“标准”连接的设备将继续正常运行。 请务必确保与
*.endpoint.security.microsoft.com
的连接是和保持可能,因为未来的服务将需要它。 此新 URL 包含在所有必需的 URL 列表中。 - Connections服务利用证书固定和 TLS。 不支持“中断和检查”流量。 此外,连接是从设备上下文启动的,而不是从用户上下文启动的。 在大多数情况下,强制 (用户) 身份验证将禁止 (中断) 连接。
开始之前
设备必须满足特定的先决条件才能使用 Defender for Endpoint 的简化连接方法。 在继续加入之前,请确保满足先决条件。
先决条件
许可证:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint计划 2
- Microsoft Defender 商业版
- Microsoft Defender 漏洞管理
Windows) 最低 KB 更新 (
- SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更高版本 (请参阅表)
Microsoft Defender Windows) (防病毒版本
-
反恶意软件客户端:
4.18.2211.5
-
发动机:
1.1.19900.2
-
防病毒 (安全智能) :
1.391.345.0
macOS/Linux) (Defender 防病毒 版本
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- MDE产品版本 101.24022 的 Linux 支持版本。*+
支持的操作系统
- Windows 10版本 1809 或更高版本。 Windows 10简化的载入程序包支持版本 1607、1703、1709、1803,但需要其他 URL 列表,请参阅简化的 URL 表
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 或 Windows Server 2016, (通过 MSI) 安装运行 Defender for Endpoint 新式统一解决方案的完全更新。
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- MDE产品版本 101.24022 的 Linux 支持版本。*+
重要
- 简化的连接方法不支持在 MMA 代理上运行的设备,并且需要继续使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 未升级到新式统一代理) 的标准 URL。
- Windows Server 2012 R2 和 Server 2016 需要升级到统一代理才能利用新方法。
- Windows 10 1607、1703、1709、1803 可以利用新的载入选项,但将使用较长的列表。 有关详细信息,请参阅 简化的 URL 表。
Windows OS | 最低 KB 要求 (2022 年 3 月 8 日) |
---|---|
Windows 11 | KB5011493 (2022 年 3 月 8 日) |
Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
Windows 10 1803* | < 服务结束 > |
Windows 10 1709* | < 服务结束 > |
Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
Windows Server 2012 R2, 2016* | 统一代理 |
简化的连接过程
下图显示了简化的连接过程和相应的阶段:
阶段 1。 为云连接配置网络环境
确认满足先决条件后,请确保正确配置网络环境以支持简化的连接方法。 按照 配置网络环境中概述的步骤操作,确保与 Defender for Endpoint 服务建立连接。
连接不再需要合并在简化域下的 Defender for Endpoint 服务 URL。 但是,某些 URL 不包括在合并中。
简化的连接允许使用以下选项来配置云连接:
选项 1:使用简化的域配置连接
将环境配置为允许连接到简化的 Defender for Endpoint 域: *.endpoint.security.microsoft.com
。 有关详细信息,请参阅 配置网络环境以确保与 Defender for Endpoint 服务的连接。
必须与 更新列表下列出的其余必需服务保持连接。 例如,认证吊销列表Windows 更新 SmartScreen 服务可能还需要根据当前的网络基础结构和修补方法进行访问。
选项 2:使用静态 IP 范围配置连接
通过简化的连接,基于 IP 的解决方案可用作 URL 的替代方法。 这些 IP 涵盖以下服务:
- 地图
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令和控制
重要
如果使用 IP 方法,则必须单独配置 EDR 网络数据服务 (OneDsCollector) , (此服务仅在 URL 级别) 合并。还必须保持与其他所需服务(包括 SmartScreen、CRL、Windows 更新和其他服务)的连接。
为了及时了解 IP 范围,建议参考以下 Azure 服务标记来Microsoft Defender for Endpoint服务。 最新的 IP 范围位于服务标记中。 有关详细信息,请参阅 Azure IP 范围。
服务标记名称 | 包括 Defender for Endpoint 服务 |
---|---|
MicrosoftDefenderForEndpoint | 云提供的保护、恶意软件示例提交存储、自动 IR 示例存储、Defender for Endpoint 命令和控制。 |
OneDsCollector | Defender for Endpoint 网络和诊断数据 注意:此服务标记下的流量不限于 Defender for Endpoint,可以包括其他Microsoft服务的诊断数据流量。 |
下表列出了 MicrosoftDefenderForEndpoint 服务标记涵盖的当前静态 IP 范围。 有关最新列表,请参阅 Azure 服务标记 文档。
地理位置 | IP 范围 |
---|---|
美国 | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
欧盟 | 4.208.13.0/24 20.8.195.0/24 |
英国 | 20.26.63.224/28 20.254.173.48/28 |
AU | 68.218.120.64/28 20.211.228.80/28 |
重要
根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经这些 IP 区域中的任何一个 (对应于 Azure 数据中心区域) 。 有关详细信息,请参阅 数据存储和隐私。
阶段 2。 将设备配置为连接到 Defender for Endpoint 服务
将设备配置为通过连接基础结构进行通信。 确保设备满足先决条件,并更新了传感器和Microsoft Defender防病毒版本。 有关详细信息,请参阅 配置设备代理和 Internet 连接设置 。
阶段 3。 验证客户端连接预载入
有关详细信息,请参阅 验证客户端连接。
可以在 Windows 和 Xplat MDE客户端分析器上运行以下预载入检查:下载Microsoft Defender for Endpoint客户端分析器。
若要测试尚未载入到 Defender for Endpoint 的设备的简化连接,可以使用以下命令使用适用于 Windows 的客户端分析器:
从 MDEClientAnalyzer 文件夹中运行
mdeclientanalyzer.cmd -o <path to cmd file>
。 该命令使用载入包中的参数来测试连接性。运行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
,其中参数为 GW_US、GW_EU、GW_UK。 GW 是指简化的选项。 使用适用的租户地理位置运行。
作为补充检查,还可以使用客户端分析器测试设备是否符合先决条件:https://aka.ms/MDEClientAnalyzerPreview
注意
对于尚未载入到 Defender for Endpoint 的设备,客户端分析器将针对标准 URL 集进行测试。 若要测试简化的方法,需要使用本文前面列出的开关运行。
阶段 4. 应用简化连接所需的新载入包
将网络配置为与服务的完整列表通信后,可以使用简化的方法开始加入设备。
在继续操作之前,请确认设备满足先决条件,并更新了传感器和Microsoft Defender防病毒版本。
若要获取新包,请在“Microsoft Defender XDR”中选择“设置>终结点>设备管理>载入”。
选择适用的操作系统,然后从“连接类型”下拉菜单中选择“简化”。
对于 (未载入到此方法支持的 Defender for Endpoint) 的新设备,请使用已更新的载入包和首选部署方法执行前面部分中的载入步骤:
- 从任何使用标准载入包的现有载入策略中排除设备。
若要迁移已载入到 Defender for Endpoint 的设备,请参阅 将设备迁移到简化的连接。 必须重新启动设备并遵循此处的特定指南。