步骤 1:配置网络环境以确保与 Defender for Endpoint 服务的连接

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

在将设备载入到 Defender for Endpoint 之前,请确保网络配置为连接到服务,方法是允许出站连接并绕过服务 URL 的 HTTPS 检查。 如果代理服务器或防火墙规则阻止访问 Defender for Endpoint,此过程的第一步涉及将 URL 添加到允许的域列表。 本文还包括有关旧版 Windows 客户端和 Windows Server 的代理和防火墙要求的信息。

注意

  • 2024 年 5 月 8 日之后,可以选择将简化的连接 (合并的 URL 集) 作为默认载入方法,或者通过 (设置 > 终结点 > 高级功能) 降级到标准连接。 若要通过 Intune 或 Microsoft Defender for Cloud 加入,需要激活相关选项。 已载入的设备不会自动重新加入。 在这种情况下,请在 Intune 创建新策略,建议首先将策略分配给一组测试设备,以验证连接是否成功,然后扩展受众。 可以使用相关的载入脚本重新加入 Defender for Cloud 中的设备,而新加入的设备将自动接收简化的载入。
  • 无论是否继续使用标准连接,都需要对所有设备访问新的 *.endpoint.security.microsoft.com 合并域,以便获得当前和将来的功能。
  • 新区域将默认使用简化的连接,并且无法选择降级到标准。 有关详细信息,请参阅使用简化的连接为Microsoft Defender for Endpoint载入设备

启用对代理服务器中Microsoft Defender for Endpoint服务 URL 的访问

以下可下载电子表格列出了网络中设备必须能够连接到的服务及其关联 URL。 确保没有防火墙或网络筛选规则来拒绝这些 URL 的访问。 (可选)可能需要专门为他们创建 允许 规则。

域列表的电子表格 说明
Microsoft Defender for Endpoint简化) (合并 URL 列表 合并 URL 的电子表格。
在此处下载电子表格

适用的 OS:
有关完整列表,请参阅 简化连接
- Windows 10 1809+
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2,Windows Server 2016运行 Defender for Endpoint 新式统一解决方案的 R2 (需要通过 MSI) 进行安装。
- macOS 支持的版本运行 101.23102.* +
- 运行 101.23102.* 的 Linux 支持版本+

最低组件版本:
- 反恶意软件客户端:4.18.2211.5
- 引擎:1.1.19900.2
- 安全智能:1.391.345.0
- Xplat 版本:101.23102.* +
- 传感器/KB 版本: >10.8040.*/ 2022 年 3 月 8 日+

如果要将以前载入的设备移动到简化的方法,请参阅 迁移设备连接

Windows 10版本 1607、1703、1709、1803 (RS1-RS4) 通过简化的载入包支持,但需要更长的 URL 列表 (请参阅更新的 URL 表) 。 这些版本不支持重新载入 (必须先完全卸载) 。

在 Windows 7、Windows 8.1、Windows Server 2008 R2 MMA 上运行的设备、未升级到统一代理 (MMA) 的设备必须继续使用 MMA 载入方法。
适用于标准) 商业客户的Microsoft Defender for Endpoint URL 列表 ( 针对商业客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。

在此处下载电子表格。

Microsoft Defender for Endpoint计划 1 和计划 2 共享相同的代理服务 URL。 在防火墙中,打开“geography”列为 WW 的所有 URL。 对于 geography 列不为 WW 的行,请打开特定数据位置的 URL。 若要验证数据位置设置,请参阅验证数据存储位置和更新Microsoft Defender for Endpoint的数据保留设置。 不要从任何类型的网络检查中排除 URL *.blob.core.windows.net 。 请仅排除特定于MDE并在域列表电子表格中列出的 Blob URL。

gov/GCC/DoD 的Microsoft Defender for Endpoint URL 列表 适用于 Gov/GCC/DoD 客户的服务位置、地理位置和 OS 的特定 DNS 记录的电子表格。
在此处下载电子表格。

重要

  • Connections是从操作系统或 Defender 客户端服务的上下文生成的,因此,代理不应要求对这些目标进行身份验证,也不应 (破坏安全通道的 HTTPS 扫描/SSL 检查) 执行检查。
  • Microsoft不提供代理服务器。 可以通过配置的代理服务器访问这些 URL。
  • 根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经与 Azure 数据中心区域) 对应的任何关联 IP 区域 (。 有关详细信息,请参阅 数据存储和隐私

Microsoft Monitoring Agent (MMA) - 旧版 Windows 客户端或 Windows Server 的其他代理和防火墙要求

需要以下目标才能允许 Defender for Endpoint 通过 Log Analytics 代理 (通常称为 Windows 7 SP1、Windows 8.1 和 Windows Server 2008 R2 上的 Microsoft Monitoring Agent) 。

代理资源 端口 方向 绕过 HTTPS 检查
*.ods.opinsights.azure.com 端口 443 出站
*.oms.opinsights.azure.com 端口 443 出站
*.blob.core.windows.net 端口 443 出站
*.azure-automation.net 端口 443 出站

若要确定上面列出的域中订阅使用的确切目标,请参阅 Microsoft Monitoring Agent (MMA) 服务 URL 连接

注意

使用基于 MMA 的解决方案的服务无法利用新的简化连接解决方案 (合并的 URL 和使用静态 IP) 的选项。 对于Windows Server 2016和Windows Server 2012 R2,需要更新到新的统一解决方案。 有关使用新的统一解决方案载入这些操作系统的说明,请参阅载入 Windows 服务器,或在 Microsoft Defender for Endpoint 中的服务器迁移方案中将已载入的设备迁移到新的统一解决方案。

对于没有 Internet 访问/没有代理的设备

对于没有直接 Internet 连接的设备,建议使用代理解决方案。 在特定情况下,可以使用允许访问 IP 范围的防火墙或网关设备。 有关详细信息,请参阅: 简化的设备连接

重要

  • Microsoft Defender for Endpoint是云安全解决方案。 “载入设备而不访问 Internet”意味着必须通过代理或其他网络设备配置终结点的 Internet 访问,并且始终需要 DNS 解析。 Microsoft Defender for Endpoint不支持没有与 Defender 云服务建立直接或代理连接的终结点。 建议使用系统范围的代理配置。
  • 断开连接环境中的 Windows 或 Windows Server 必须能够通过内部文件或 Web 服务器脱机更新证书信任Lists。
  • 有关脱机更新 CTL 的详细信息,请参阅 配置文件或 Web 服务器以下载 CTL 文件

后续步骤

步骤 2:将设备配置为使用代理连接到 Defender for Endpoint 服务