共用方式為


設定端點 Proxy 和因特網連線設定

每個 適用於身分識別的 Microsoft Defender 感測器都需要因特網連線到適用於身分識別的 Defender 雲端服務,才能報告感測器數據並成功運作。

在某些組織中,域控制器不會直接連線到因特網,而是透過 Web Proxy 連線進行連線,而且基於安全性考慮,不支援 SSL 檢查和攔截 Proxy。 在這種情況下,您的 Proxy 伺服器必須允許數據直接從適用於身分識別的 Defender 感測器傳遞至相關的 URL,而不需要攔截。

重要

Microsoft不提供 Proxy 伺服器。 本文說明如何確保您設定的 Proxy 伺服器可以存取所需的 URL。

啟用 Proxy 伺服器中適用於身分識別的 Defender 服務 URL 的存取權

為了確保最大安全性和數據隱私權,適用於身分識別的Defender會在每個適用於身分識別的Defender感測器與適用於身分識別的Defender雲端後端之間使用憑證式相互驗證。 不支援 SSL 檢查和攔截,因為它們會干擾驗證程式。

若要啟用適用於身分識別的 Defender 存取權,請務必使用下列語法允許傳送至感測器 URL 的流量: <your-workspace-name>sensorapi.atp.azure.com。 例如: contoso-corpsensorapi.atp.azure.com

  • 如果您的 Proxy 或防火牆使用明確的允許清單,我們也建議您確保允許下列 URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • 有時候,適用於身分識別的Defender服務IP位址可能會變更。 如果您手動設定IP位址,或 Proxy會自動將 DNS 名稱解析為其IP位址並使用它們,建議您定期檢查已設定的IP位址是否仍然為最新狀態。

  • 如果您先前已使用舊版選項來設定 Proxy,包括WiniNet或登錄機碼更新,則必須使用原本使用的方法進行任何變更。 如需詳細資訊,請參閱 使用舊版方法變更 Proxy 設定

使用服務標籤啟用存取

請下載 Azure IP 範圍和服務標籤 - 公用雲端,並使用 AzureAdvancedThreatProtection Azure 服務卷標的 IP 位址範圍,以啟用對適用於身分識別的 Defender 的存取,而不是手動啟用存取特定端點。

如需詳細資訊,請參閱虛擬網路服務標籤。 如需美國政府供應專案,請參閱 開始使用美國政府供應專案

使用 CLI 變更 Proxy 設定

必要條件:找出 Microsoft.Tri.Sensor.Deployment.Deployer.exe 檔案。 此檔案與感測器安裝一起。 根據預設,此位置為 C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

若要變更目前感測器的 Proxy 組態

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

若要完全移除目前感測器的 Proxy 設定:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

使用 PowerShell 變更 Proxy 設定

必要條件:在執行適用於身分識別的Defender PowerShell命令之前,請確定您已下載適用於身分識別的 Defender PowerShell模組

您可以使用 PowerShell 來檢視和變更感測器的 Proxy 設定。 若要這樣做,請登入您的感測器伺服器並執行命令,如下列範例所示:

若要檢視目前感測器的 Proxy 組態

Get-MDISensorProxyConfiguration

若要變更目前感測器的 Proxy 組態

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

本範例會將適用於身分識別的 Defender 感測器的 Proxy 組態設定設定為使用指定的 Proxy 伺服器,而不需要任何認證。

若要完全移除目前感測器的 Proxy 設定:

Clear-MDISensorProxyConfiguration

如需詳細資訊,請參閱下列 DefenderForIdentity PowerShell 參考

使用舊版方法變更 Proxy 設定

如果您先前已透過 WinINet 或登錄機碼設定 Proxy 設定,而且需要更新它們,則必須使用原本使用的相同方法。

在安裝期間從命令行設定 Proxy 時,確保只有適用於身分識別的 Defender 感測器服務會透過 Proxy 進行通訊,使用 WinINet 或登錄可讓內容中執行的其他服務作為本機系統或本地服務,以引導流量通過 Proxy。

使用 WinINet 設定 Proxy 伺服器

使用 WinINet 設定 Proxy 時,請記住,適用於身分識別的內嵌 Defender 感測器服務會使用 LocalService 帳戶在系統內容中執行,而適用於身分識別的 Defender 感測器更新程式服務則會使用 LocalSystem 帳戶在系統內容中執行。

  • 如果您使用 WinHTTP 進行 Proxy 設定,您仍然需要設定 Windows 因特網 (WinINet) 瀏覽器 Proxy 設定,以在感測器與適用於身分識別的 Defender 雲端服務之間進行通訊。

  • 如果您在網路拓撲中使用透明 Proxy 或 WPAD,就不需要為 Proxy 設定 WinINet。

使用登錄設定 Proxy 伺服器

本節說明如何使用以登錄為基礎的靜態 Proxy 手動設定靜態 Proxy 伺服器。

重要

透過登錄設定 Proxy 會影響所有搭配 LocalService 和 LocalSystem 帳戶使用 WinINet 的應用程式,包括 Windows 服務。

僅將登錄變更套用至 LocalServiceLocalSystem 帳戶。

若要設定 Proxy,請將用戶內容 中的 Proxy 設定複製到 LocalSystemLocalService 帳戶,如下所示:

  1. 備份您的登錄機碼。

  2. 在登錄中,在登錄機碼下HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings搜尋 DefaultConnectionSettings 值,REG_BINARY然後複製它。

  3. LocalSystem如果沒有正確的 Proxy 設定,請將 Proxy 設定從 Current_User LocalSystem複製到 登入機碼下的 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    請務必將 登入機碼中的值Current_UserDefaultConnectionSettings貼上為 REG_BINARY

    如果未設定 Proxy 設定,或與 不同 Current_User,就可能會發生這種情況。

  4. LocalService如果沒有正確的 Proxy 設定,請將 Proxy 設定從 Current_User LocalService複製到 登入機碼下的 HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    請務必將 登入機碼中的值Current_UserDefaultConnectionSettings貼上為 REG_BINARY

如需詳細資訊,請參閱

後續步驟