使用 Microsoft Defender for Endpoint 的简化连接载入设备
适用于:
Defender for Endpoint 客户端可能需要使用到相关云服务的代理连接。 本文介绍简化的设备连接方法、先决条件,并提供使用新目标 () 验证连接的其他信息。
为了简化网络配置和管理,现在可以选择使用减少的 URL 集或静态 IP 范围将新设备载入 Defender for Endpoint。 有关迁移以前载入的设备的详细信息,请参阅 将设备迁移到简化的连接。
Defender for Endpoint 识别的简化域: *.endpoint.security.microsoft.com 合并到以下核心 Defender for Endpoint 服务的连接:
- 云端保护
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令 & 控件
- Defender for Endpoint 网络和诊断数据
有关准备环境和更新的目标列表的详细信息,请参阅 步骤 1:配置网络环境以确保与 Defender for Endpoint 服务的连接。
若要支持没有主机名解析或通配符支持的网络设备,也可以使用专用 Defender for Endpoint 静态 IP 范围配置连接。 有关详细信息,请参阅 使用静态 IP 范围配置连接。
注意
- 简化的连接方法 不会更改 Microsoft Defender for Endpoint 在设备上的工作方式,也不会更改最终用户体验。 只有设备用于连接到服务的 URL 或 IP 才会更改。
- 目前没有计划弃用旧的合并服务 URL。 加入“标准”连接的设备将继续正常运行。 请务必确保与
*.endpoint.security.microsoft.com的连接是和保持可能,因为未来的服务将需要它。 此新 URL 包含在所有必需的 URL 列表中。 - 与服务的连接利用证书固定和 TLS。 不支持“中断和检查”流量。 此外,连接是从设备上下文启动的,而不是从用户上下文启动的。 在大多数情况下,强制 (用户) 身份验证将禁止 (中断) 连接。
开始之前
设备必须满足特定的先决条件才能使用 Defender for Endpoint 的简化连接方法。 在继续加入之前,请确保满足先决条件。
先决条件
许可证:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
- Microsoft Defender 漏洞管理
Windows) 最低 KB 更新 (
- SENSE 版本:10.8040.*/ 2022 年 3 月 8 日或更高版本 (请参阅表)
Microsoft Windows) (Defender 防病毒版本
-
反恶意软件客户端:
4.18.2211.5 -
发动机:
1.1.19900.2 -
防病毒 (安全智能) :
1.391.345.0
(macOS/Linux) 的 Defender 防病毒版本
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- 具有 MDE 产品版本 101.24022 的 Linux 支持版本。*+
支持的操作系统
- Windows 10 版本 1809 或更高版本。 简化的载入程序包支持 Windows 10 版本 1607、1703、1709、1803,但需要其他 URL 列表,请参阅 简化的 URL 表
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 或 Windows Server 2016,完全更新了运行 Defender for Endpoint 新式统一解决方案 (通过 MSI) 进行安装。
- 具有 MDE 产品版本 101.24022 的 macOS 支持版本。*+
- 具有 MDE 产品版本 101.24022 的 Linux 支持版本。*+
重要
- 简化的连接方法不支持在 MMA 代理上运行的设备,并且需要继续使用 (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 未升级到新式统一代理) 的标准 URL 集。
- Windows Server 2012 R2 和 Server 2016 需要升级到统一代理才能利用新方法。
- Windows 10 1607、1703、1709、1803 可以利用新的载入选项,但将使用更长的列表。 有关详细信息,请参阅 简化的 URL 表。
| Windows OS | 最低 KB 要求 (2022 年 3 月 8 日) |
|---|---|
| Windows 11 | KB5011493 (2022 年 3 月 8 日) |
| Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
| Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
| Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
| Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
| Windows 10 1803* | < 服务结束 > |
| Windows 10 1709* | < 服务结束 > |
| Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
| Windows Server 2012 R2,2016* | 统一代理 |
简化的连接过程
下图显示了简化的连接过程和相应的阶段:
阶段 1。 为云连接配置网络环境
确认满足先决条件后,请确保正确配置网络环境以支持简化的连接方法。 按照 配置网络环境中概述的步骤操作,确保与 Defender for Endpoint 服务建立连接。
连接不再需要合并在简化域下的 Defender for Endpoint 服务 URL。 但是,某些 URL 不包括在合并中。
简化的连接允许使用以下选项来配置云连接:
选项 1:使用简化的域配置连接
将环境配置为允许连接到简化的 Defender for Endpoint 域: *.endpoint.security.microsoft.com。 有关详细信息,请参阅 配置网络环境以确保与 Defender for Endpoint 服务的连接。
必须与 更新列表下列出的其余必需服务保持连接。 例如,可能还需要访问认证吊销列表、Windows 更新、SmartScreen 服务,具体取决于当前的网络基础结构和修补方法。
选项 2:使用静态 IP 范围配置连接
通过简化的连接,基于 IP 的解决方案可用作 URL 的替代方法。 这些 IP 涵盖以下服务:
- 地图
- 恶意软件示例提交存储
- 自动 IR 示例存储
- Defender for Endpoint 命令和控制
重要
如果使用 IP 方法, 则必须 单独配置 EDR 网络数据服务 (OneDsCollector) , (此服务仅在 URL 级别) 合并。还必须保持与其他所需服务(包括 SmartScreen、CRL、Windows 更新和其他服务)的连接。
为了及时了解 IP 范围,建议参考以下 Azure 服务标记来Microsoft Defender for Endpoint 服务。 最新的 IP 范围位于服务标记中。 有关详细信息,请参阅 Azure IP 范围。
| 服务标记名称 | 包括 Defender for Endpoint 服务 |
|---|---|
| MicrosoftDefenderForEndpoint | 云提供的保护、恶意软件示例提交存储、自动 IR 示例存储、Defender for Endpoint 命令和控制。 |
| OneDsCollector | Defender for Endpoint 网络和诊断数据 注意:此服务标记下的流量不限于 Defender for Endpoint,可以包括其他Microsoft服务的诊断数据流量。 |
下表列出了 MicrosoftDefenderForEndpoint 服务标记涵盖的当前静态 IP 范围。 有关最新列表,请参阅 Azure 服务标记 文档。
| 地理位置 | IP 范围 |
|---|---|
| 美国 | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| 欧盟 | 4.208.13.0/24 20.8.195.0/24 |
| 英国 | 20.26.63.224/28 20.254.173.48/28 |
| AU | 68.218.120.64/28 20.211.228.80/28 |
重要
根据 Defender for Endpoint 安全性和合规性标准,将根据租户的物理位置处理和存储数据。 根据客户端位置,流量可能会流经这些 IP 区域中的任何一个 (对应于 Azure 数据中心区域) 。 有关详细信息,请参阅 数据存储和隐私。
阶段 2。 将设备配置为连接到 Defender for Endpoint 服务
将设备配置为通过连接基础结构进行通信。 确保设备满足先决条件,并更新了传感器和 Microsoft Defender 防病毒版本。 有关详细信息,请参阅 配置设备代理和 Internet 连接设置 。
阶段 3。 验证客户端连接预载入
有关详细信息,请参阅 验证客户端连接。
可以在 Windows 和 Xplat MDE 客户端分析器上运行以下预载入检查: 下载 Microsoft Defender for Endpoint 客户端分析器。
若要测试尚未载入到 Defender for Endpoint 的设备的简化连接,可以使用以下命令使用适用于 Windows 的客户端分析器:
从 MDEClientAnalyzer 文件夹中运行
mdeclientanalyzer.cmd -o <path to cmd file>。 该命令使用载入包中的参数来测试连接性。运行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>,其中参数为 GW_US、GW_EU、GW_UK。 GW 是指简化的选项。 使用适用的租户地理位置运行。
作为补充检查,还可以使用客户端分析器测试设备是否满足先决条件: https://aka.ms/BetaMDEAnalyzer
注意
对于尚未载入到 Defender for Endpoint 的设备,客户端分析器将针对标准 URL 集进行测试。 若要测试简化的方法,需要使用本文前面列出的开关运行。
阶段 4. 应用简化连接所需的新载入包
将网络配置为与服务的完整列表通信后,可以使用简化的方法开始加入设备。
在继续操作之前,请确认设备满足 先决条件 ,并更新了传感器和 Microsoft Defender 防病毒版本。
若要获取新包,请在 Microsoft Defender XDR 中,选择 “设置 > 终结点 > 设备管理> 载入”。
选择适用的操作系统,然后从“连接类型”下拉菜单中选择“简化”。
对于 (未载入到此方法支持的 Defender for Endpoint) 的新设备,请使用已更新的载入包和首选部署方法执行前面部分中的载入步骤:
- 载入 Windows 客户端
- 载入 Windows Server
- 载入非 Windows 设备
- 在设备上运行检测测试,验证是否已正确载入 Microsoft Defender for Endpoint
- 从任何使用标准载入包的现有载入策略中排除设备。
若要迁移已载入到 Defender for Endpoint 的设备,请参阅 将设备迁移到简化的连接。 必须重新启动设备并遵循此处的特定指南。