設定端點 Proxy 和因特網連線設定
每個 適用於身分識別的 Microsoft Defender 感測器都需要因特網連線到適用於身分識別的 Defender 雲端服務,以報告感測器數據並順利運作。
在某些組織中,域控制器不會直接連線到因特網,而是透過 Web Proxy 連線進行連線,而且基於安全性理由,不支援 SSL 檢查和攔截 Proxy。 在這種情況下,您的 Proxy 伺服器必須允許數據直接從適用於身分識別的 Defender 感測器傳遞至相關的 URL,而不需要攔截。
重要事項
Microsoft不提供 Proxy 伺服器。 本文說明如何確保透過您設定的 Proxy 伺服器可存取所需的 URL。
在 Proxy 伺服器中啟用適用於身分識別的 Defender 服務 URL 的存取
為了確保最大的安全性和數據隱私權,適用於身分識別的Defender會在每個適用於身分識別的Defender感測器與適用於身分識別的Defender雲端後端之間使用憑證式相互驗證。 不支援 SSL 檢查和攔截,因為它們會干擾驗證程式。
若要啟用適用於身分識別的 Defender 存取權,請務必使用下列語法來允許傳送至感測器 URL 的流量: <your-workspace-name>sensorapi.atp.azure.com。 例如,contoso-corpsensorapi.atp.azure.com。
如果您的 Proxy 或防火牆使用明確的允許清單,我們也建議您確保允許下列 URL:
crl.microsoft.comctldl.windowsupdate.comwww.microsoft.com/pkiops/*www.microsoft.com/pki/*
有時候,適用於身分識別的Defender服務IP位址可能會變更。 如果您手動設定IP位址,或您的 Proxy 會自動將 DNS 名稱解析為其IP位址並加以使用,建議您定期檢查已設定的IP位址是否仍為最新狀態。
如果您先前已使用舊版選項來設定 Proxy,包括WiniNet或登錄機碼更新,則必須使用原先使用的方法進行任何變更。 如需詳細資訊,請參閱 使用舊版方法變更 Proxy 設定。
使用服務標籤啟用存取
請下載 Azure IP 範圍和服務標籤 - 公用雲端,並使用 AzureAdvancedThreatProtection Azure 服務卷標的 IP 位址範圍,以啟用適用於身分識別的 Defender 的存取權,而不是手動啟用特定端點的存取。
如需詳細資訊,請參閱 虛擬網路服務標籤。 針對美國政府供應專案,請 參閱開始使用美國政府供應專案。
使用 CLI 變更 Proxy 組態
必要條件:找出 Microsoft.Tri.Sensor.Deployment.Deployer.exe 檔案。 此檔案與感測器安裝一起位於一起。 根據預設,此位置為 C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
若要變更目前感測器的 Proxy 設定:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
若要完全移除目前感測器的 Proxy 設定:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
使用 PowerShell 變更 Proxy 設定
必要條件:執行適用於身分識別的Defender PowerShell 命令之前,請確定您已下載 適用於身分識別的Defender PowerShell模組。
您可以使用 PowerShell 檢視及變更感測器的 Proxy 設定。 若要這樣做,請登入感測器伺服器並執行命令,如下列範例所示:
若要檢視目前感測器的 Proxy 組態:
Get-MDISensorProxyConfiguration
若要變更目前感測器的 Proxy 設定:
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
本範例會將適用於身分識別的 Defender 感測器的 Proxy 組態設定為使用指定的 Proxy 伺服器,而不需要任何認證。
若要完全移除目前感測器的 Proxy 設定:
Clear-MDISensorProxyConfiguration
如需詳細資訊,請參閱下列 DefenderForIdentity PowerShell 參考:
使用舊版方法變更 Proxy 設定
如果您先前已透過 WinINet 或登錄機碼來設定 Proxy 設定,而且需要加以更新,則必須使用原先使用的相同方法。
在安裝期間從命令行設定 Proxy 時,可確保只有適用於身分識別的 Defender 感測器服務會透過 Proxy 進行通訊,但使用 WinINet 或登錄可讓在內容中以本機系統或本地服務身分執行的其他服務,同時透過 Proxy 引導流量。
使用 WinINet 設定 Proxy 伺服器
使用 WinINet 設定 Proxy 時,請記住,適用於身分識別的內嵌 Defender 感測器服務會使用 LocalService 帳戶在系統內容中執行,而且適用於身分識別感測器的 Defender 更新程式服務會使用 LocalSystem 帳戶在系統內容中執行。
如果您使用 WinHTTP 進行 Proxy 設定,您仍然需要設定 Windows Internet (WinINet) 瀏覽器 Proxy 設定,以在感測器與適用於身分識別的 Defender 雲端服務之間進行通訊。
如果您在網路拓撲中使用透明 Proxy 或 WPAD,則不需要為 Proxy 設定 WinINet。
使用登錄設定 Proxy 伺服器
本節說明如何使用以登錄為基礎的靜態 Proxy 手動設定靜態 Proxy 伺服器。
重要事項
透過登錄設定 Proxy 會影響所有搭配 LocalService 和 LocalSystem 帳戶使用 WinINet 的應用程式,包括 Windows 服務。
只將登錄變更套用至 LocalService 和 LocalSystem 帳戶。
若要設定 Proxy,請將用戶內容中的 Proxy 設定複製到 LocalSystem 和 LocalService 帳戶,如下所示:
備份您的登錄機碼。
在登錄中,在登錄機碼底下
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings搜尋DefaultConnectionSettings值作為REG_BINARY,然後複製它。LocalSystem如果沒有正確的 Proxy 設定,請將 Proxy 設定從Current_User複製到LocalSystem登入機碼下的HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings。請務必將 登入機碼中的
Current_UserDefaultConnectionSettings值貼上為REG_BINARY。如果您的 Proxy 設定未設定,或它們與 不同
Current_User,就可能發生這種情況。LocalService如果沒有正確的 Proxy 設定,則將 Proxy 設定從Current_User複製到LocalService登入機碼下的HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings。請務必將 登入機碼中的
Current_UserDefaultConnectionSettings值貼上為REG_BINARY。
相關內容
如需詳細資訊,請參閱: