使用简化的连接为Microsoft Defender for Endpoint加入设备

适用于:

Defender for Endpoint 客户端可能需要使用到相关云服务的代理连接。 本文介绍简化的设备连接方法、先决条件,并提供使用新目标 () 验证连接的其他信息。

为了简化网络配置和管理,现在可以选择使用减少的 URL 集或静态 IP 范围将新设备载入 Defender for Endpoint。 有关迁移以前载入的设备的详细信息,请参阅 将设备迁移到简化的连接

Defender for Endpoint 识别的简化域: *.endpoint.security.microsoft.com 合并到以下核心 Defender for Endpoint 服务的连接:

  • 云端保护
  • 恶意软件示例提交存储
  • 自动 IR 示例存储
  • Defender for Endpoint 命令 & 控件
  • Defender for Endpoint 网络和诊断数据

有关准备环境和更新的目标列表的详细信息,请参阅 步骤 1:配置网络环境以确保与 Defender for Endpoint 服务的连接

若要支持没有主机名解析或通配符支持的网络设备,也可以使用专用 Defender for Endpoint 静态 IP 范围配置连接。 有关详细信息,请参阅 使用静态 IP 范围配置连接

注意

  • 简化的连接方法不会更改Microsoft Defender for Endpoint在设备上的工作方式,也不会更改最终用户体验。 只有设备用于连接到服务的 URL 或 IP 才会更改。
  • 目前没有计划弃用旧的合并服务 URL。 加入“标准”连接的设备将继续正常运行。 请务必确保与 *.endpoint.security.microsoft.com 的连接是和保持可能,因为未来的服务将需要它。 此新 URL 包含在所有必需的 URL 列表中。
  • Connections服务利用证书固定和 TLS。 不支持“中断和检查”流量。 此外,连接是从设备上下文启动的,而不是从用户上下文启动的。 在大多数情况下,强制 (用户) 身份验证将禁止 (中断) 连接。

开始之前

设备必须满足特定的先决条件才能使用 Defender for Endpoint 的简化连接方法。 在继续加入之前,请确保满足先决条件。

先决条件

许可证:

  • Microsoft Defender for Endpoint 计划 1
  • Microsoft Defender for Endpoint计划 2
  • Microsoft Defender 商业版
  • Microsoft Defender 漏洞管理

Windows) 最低 KB 更新 (

  • SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更高版本 (请参阅表)

Microsoft Defender Windows) (防病毒版本

  • 反恶意软件客户端:4.18.2211.5
  • 发动机:1.1.19900.2
  • 防病毒 (安全智能) :1.391.345.0

macOS/Linux) (Defender 防病毒 版本

支持的操作系统

  • Windows 10版本 1809 或更高版本。 Windows 10简化的载入程序包支持版本 1607、1703、1709、1803,但需要其他 URL 列表,请参阅简化的 URL 表
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 或 Windows Server 2016, (通过 MSI) 安装运行 Defender for Endpoint 新式统一解决方案的完全更新。
  • 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
  • MDE产品版本 101.24022 的 Linux 支持版本。*+

重要

  • 简化的连接方法不支持在 MMA 代理上运行的设备,并且需要继续使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 未升级到新式统一代理) 的标准 URL。
  • Windows Server 2012 R2 和 Server 2016 需要升级到统一代理才能利用新方法。
  • Windows 10 1607、1703、1709、1803 可以利用新的载入选项,但将使用较长的列表。 有关详细信息,请参阅 简化的 URL 表
Windows OS 最低 KB 要求 (2022 年 3 月 8 日)
Windows 11 KB5011493 (2022 年 3 月 8 日)
Windows 10 1809、Windows Server 2019 KB5011503 (2022 年 3 月 8 日)
Windows 10 19H2 (1909) KB5011485 (2022 年 3 月 8 日)
Windows 10 20H2、21H2 KB5011487 (2022 年 3 月 8 日)
Windows 10 22H2 KB5020953 (2022 年 10 月 28 日)
Windows 10 1803* < 服务结束 >
Windows 10 1709* < 服务结束 >
Windows Server 2022 KB5011497 (2022 年 3 月 8 日)
Windows Server 2012 R2, 2016* 统一代理

简化的连接过程

下图显示了简化的连接过程和相应的阶段:

简化连接过程的插图

阶段 1。 为云连接配置网络环境

确认满足先决条件后,请确保正确配置网络环境以支持简化的连接方法。 按照 配置网络环境中概述的步骤操作,确保与 Defender for Endpoint 服务建立连接

连接不再需要合并在简化域下的 Defender for Endpoint 服务 URL。 但是,某些 URL 不包括在合并中。

简化的连接允许使用以下选项来配置云连接:

选项 1:使用简化的域配置连接

将环境配置为允许连接到简化的 Defender for Endpoint 域: *.endpoint.security.microsoft.com。 有关详细信息,请参阅 配置网络环境以确保与 Defender for Endpoint 服务的连接

必须与 更新列表下列出的其余必需服务保持连接。 例如,认证吊销列表Windows 更新 SmartScreen 服务可能还需要根据当前的网络基础结构和修补方法进行访问。

选项 2:使用静态 IP 范围配置连接

通过简化的连接,基于 IP 的解决方案可用作 URL 的替代方法。 这些 IP 涵盖以下服务:

  • 地图
  • 恶意软件示例提交存储
  • 自动 IR 示例存储
  • Defender for Endpoint 命令和控制

重要

如果使用 IP 方法,则必须单独配置 EDR 网络数据服务 (OneDsCollector) , (此服务仅在 URL 级别) 合并。还必须保持与其他所需服务(包括 SmartScreen、CRL、Windows 更新和其他服务)的连接。

为了及时了解 IP 范围,建议参考以下 Azure 服务标记来Microsoft Defender for Endpoint服务。 最新的 IP 范围位于服务标记中。 有关详细信息,请参阅 Azure IP 范围

服务标记名称 包括 Defender for Endpoint 服务
MicrosoftDefenderForEndpoint 云提供的保护、恶意软件示例提交存储、自动 IR 示例存储、Defender for Endpoint 命令和控制。
OneDsCollector Defender for Endpoint 网络和诊断数据

注意:此服务标记下的流量不限于 Defender for Endpoint,可以包括其他Microsoft服务的诊断数据流量。

下表列出了 MicrosoftDefenderForEndpoint 服务标记涵盖的当前静态 IP 范围。 有关最新列表,请参阅 Azure 服务标记 文档。

地理位置 IP 范围
美国 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
欧盟 4.208.13.0/24
20.8.195.0/24
英国 20.26.63.224/28
20.254.173.48/28
AU 68.218.120.64/28
20.211.228.80/28

重要

根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经这些 IP 区域中的任何一个 (对应于 Azure 数据中心区域) 。 有关详细信息,请参阅 数据存储和隐私

阶段 2。 将设备配置为连接到 Defender for Endpoint 服务

将设备配置为通过连接基础结构进行通信。 确保设备满足先决条件,并更新了传感器和Microsoft Defender防病毒版本。 有关详细信息,请参阅 配置设备代理和 Internet 连接设置

阶段 3。 验证客户端连接预载入

有关详细信息,请参阅 验证客户端连接

可以在 Windows 和 Xplat MDE客户端分析器上运行以下预载入检查:下载Microsoft Defender for Endpoint客户端分析器

若要测试尚未载入到 Defender for Endpoint 的设备的简化连接,可以使用以下命令使用适用于 Windows 的客户端分析器:

  • 从 MDEClientAnalyzer 文件夹中运行 mdeclientanalyzer.cmd -o <path to cmd file> 。 该命令使用载入包中的参数来测试连接性。

  • 运行 mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> ,其中参数为 GW_US、GW_EU、GW_UK。 GW 是指简化的选项。 使用适用的租户地理位置运行。

作为补充检查,还可以使用客户端分析器测试设备是否符合先决条件:https://aka.ms/MDEClientAnalyzerPreview

注意

对于尚未载入到 Defender for Endpoint 的设备,客户端分析器将针对标准 URL 集进行测试。 若要测试简化的方法,需要使用本文前面列出的开关运行。

阶段 4. 应用简化连接所需的新载入包

将网络配置为与服务的完整列表通信后,可以使用简化的方法开始加入设备。

在继续操作之前,请确认设备满足先决条件,并更新了传感器和Microsoft Defender防病毒版本。

  1. 若要获取新包,请在“Microsoft Defender XDR”中选择“设置>终结点>设备管理>载入”。

  2. 选择适用的操作系统,然后从“连接类型”下拉菜单中选择“简化”。

  3. 对于 (未载入到此方法支持的 Defender for Endpoint) 的新设备,请使用已更新的载入包和首选部署方法执行前面部分中的载入步骤:

  1. 从任何使用标准载入包的现有载入策略中排除设备。

若要迁移已载入到 Defender for Endpoint 的设备,请参阅 将设备迁移到简化的连接。 必须重新启动设备并遵循此处的特定指南。