Подключение устройств к Microsoft Defender для конечных точек с использованием оптимизированного подключения

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Клиенту Defender для конечной точки может потребоваться использовать прокси-подключения к соответствующим облачным службам. В этой статье описываются упрощенный способ подключения устройства, предварительные требования и приводятся дополнительные сведения о проверке подключения с использованием новых конечных точек.

Чтобы упростить настройку сети и управление, теперь можно подключить новые устройства к Defender для конечной точки с помощью ограниченного набора URL-адресов или статических диапазонов IP-адресов. Дополнительные сведения см. в статье Перенос устройств на упрощенное подключение.

Общие сведения о Defender для распознаваемого конечными точками упрощенного домена

Упрощённый домен *.endpoint.security.microsoft.com, распознаваемый Defender for Endpoint (для коммерческих устройств), или *.endpoint.security.microsoft.us (для устройств государственных учреждений США — предварительная версия) обеспечивает единое подключение к следующим основным службам Defender for Endpoint:

  • Облачная защита
  • Хранилище для отправки образцов вредоносных программ
  • Автоматическое хранилище примеров IR
  • Управление и контроль Defender для конечной точки
  • Данные о киберугрозах и диагностике Microsoft Defender for Endpoint

Дополнительные сведения о подготовке среды и обновленном списке назначений см. в разделе Шаг 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.

Для сетевых устройств, не поддерживающих разрешение имён узлов и подстановочные знаки, можно также настроить подключение с помощью выделенных диапазонов статических IP-адресов Microsoft Defender for Endpoint. Дополнительные сведения см. в разделе Настройка подключения с помощью статических диапазонов IP-адресов.

Примечание.

  • Упрощенный метод подключения не изменяет функциональные возможности Defender для конечной точки или взаимодействие с конечными пользователями. Изменены только URL-адреса или IP-адреса, используемые для подключения к службе.
  • Нет планов отказываться от использования старых URL-адресов службы. Устройства, подключенные к стандартному подключению, продолжают работать. Обеспечьте постоянное подключение к *.endpoint.security.microsoft.com (для коммерческих устройств) или *.endpoint.security.microsoft.us (для устройств государственных организаций США — предварительная версия) для будущих служб.
  • Подключения служб используют TLS и пиннинг сертификатов. Проверка трафика не поддерживается. Подключения инициируются устройством, а не пользователем. Применение проверки подлинности прокси-сервера (пользователя) прерывает подключение.

Предварительные условия

Устройства должны соответствовать определенным предварительным требованиям, чтобы использовать упрощенный метод подключения для Defender для конечной точки. Убедитесь, что предварительные требования выполнены, прежде чем продолжить подключение.

Минимальное обновление KB (Windows)

  • SENSE версии 10.8040.*/ от 8 марта 2022 г. или более поздней (см. таблицу)

Версии антивирусной программы Microsoft Defender (Windows)

  • Клиент защиты от вредоносных программ:4.18.2211.5
  • Двигателя:1.1.19900.2
  • Антивирусная программа (аналитика безопасности):1.391.345.0

Поддерживаемые операционные системы

Следующие операционные системы поддерживают упрощенное подключение:

Важно!

  • Устройства, работающие в агенте MMA, не поддерживаются упрощенным способом подключения и должны продолжать использовать стандартный набор URL-адресов (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 не обновлен до современного единого агента).
  • Windows Server 2012 R2 и Server 2016 потребуется обновить до единого агента, чтобы использовать новый метод.
  • Windows 10 1607, 1703, 1709, 1803 может использовать новый вариант подключения, но будет использовать более длинный список. Дополнительные сведения см. в статье Оптимизированные URL-адреса для подключения Microsoft Defender для конечных точек — коммерческая версия
ОС Windows Минимально необходимый объём КБ (8 марта 2022 г.)
Windows 11 KB5011493 (8 марта 2022 г.)
Windows 10 1809, Windows Server 2019 г. KB5011503 (8 марта 2022 г.)
Windows 10 19H2 (1909) KB5011485 (8 марта 2022 г.)
Windows 10 20H2, 21H2 KB5011487 (8 марта 2022 г.)
Windows 10 22H2 KB5020953 (28 октября 2022 г.)
Windows 10 1803* < окончание обслуживания >
Windows 10 1709* < окончание обслуживания >
Windows Server 2022 KB5011497 (8 марта 2022 г.)
Windows Server 2012 R2, 2016* Единый агент

Упрощенный процесс подключения

На следующем рисунке показан упрощенный процесс подключения и соответствующие этапы.

Иллюстрация упрощенного процесса подключения

Этап 1. Настройка сетевой среды для подключения к облаку

Убедившись, что предварительные требования выполнены, убедитесь, что сетевая среда правильно настроена для поддержки упрощенного метода подключения. Выполните действия, описанные в разделе Настройка сетевой среды, чтобы обеспечить подключение к службе Defender для конечной точки.

URL-адреса службы Defender для конечной точки, объединенные в упрощенном домене, больше не должны требоваться для подключения. Однако некоторые URL-адреса не включаются в консолидацию.

Упрощенное подключение позволяет использовать следующий параметр для настройки подключения к облаку:

Вариант 1. Настройка подключения с помощью упрощенного домена

Настройте среду для разрешения подключений к упрощённому домену Microsoft Defender for Endpoint:

  • Для коммерческих устройств: *.endpoint.security.microsoft.com
  • Для государственных устройств США (предварительная версия): *.endpoint.security.microsoft.us

Дополнительные сведения см. в статье Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки.

Необходимо сохранять подключение к остальным требуемым службам, указанным в списке стандартных URL-адресов подключения Microsoft Defender для конечной точки — коммерческая версия или списке стандартных URL-адресов подключения Microsoft Defender для конечной точки — для государственных организаций США. Например, список отозванных сертификатов, Центр обновления Windows и службы SmartScreen также могут требовать доступности в зависимости от текущей сетевой инфраструктуры и подхода к установке обновлений.

Вариант 2. Настройка подключения с использованием статических диапазонов IP-адресов

Благодаря упрощению подключения решения на основе IP-адресов можно использовать в качестве альтернативы URL-адресам. Эти IP-адреса охватывают следующие службы:

  • Служба активной защиты Microsoft (MAPS)
  • Хранилище отправленных образцов вредоносных программ
  • Хранилище образцов Auto-IR
  • Командование и контроль в Defender для конечных точек

Важно!

Служба киберданных EDR (OneDsCollector) должна быть настроена отдельно, если используется метод IP (эта служба объединяется только на уровне URL-адреса). Кроме того, необходимо поддерживать подключение к другим необходимым службам, включая SmartScreen, CRL, клиентский компонент Центра обновления Windows и другие службы.

Чтобы получать актуальные сведения о диапазонах IP-адресов, рекомендуется обращаться к следующим тегам служб Azure для Microsoft Defender для конечных точек. Последние диапазоны IP-адресов находятся в теге службы. Дополнительные сведения см. в статье Диапазоны IP-адресов Azure.

Имя тега службы Включены сервисы Microsoft Defender для конечной точки
MicrosoftDefenderForEndpoint Облачная защита, хранилище отправленных образцов вредоносных программ, хранилище образцов Auto-IR, управление и контроль Defender для конечных точек.
OneDsCollector Данные кибербезопасности и диагностики Defender for Endpoint

Примечание. Трафик в этом теге службы не ограничивается Defender для конечной точки и может включать трафик диагностических данных для других служб Майкрософт.

Список последних тегов служб см. в документации по тегам служб Azure.

Важно!

В соответствии со стандартами безопасности и соответствия нормативным требованиям Defender for Endpoint ваши данные будут обрабатываться и храниться согласно физическому расположению вашего тенанта. В зависимости от расположения клиента трафик может проходить через любой из этих IP-регионов (которые соответствуют Azure регионам центра обработки данных). Дополнительные сведения см. в статье Хранение данных и конфиденциальность.

Этап 2. Настройте ваши устройства для подключения к службе Defender for Endpoint

Настройте устройства для обмена данными через инфраструктуру подключения. Убедитесь, что устройства соответствуют предварительным требованиям и обновлены версии датчика и Microsoft Defender антивирусной программы. Дополнительные сведения см. в разделе Настройка параметров прокси-сервера устройства и подключения к Интернету .

Этап 3. Проверка подключения клиента перед подключением

Дополнительные сведения см. в разделе Проверка подключения клиента.

Следующие предварительные проверки перед подключением можно выполнить как в Windows, так и в анализаторе клиента Xplat MDE: Скачайте анализатор клиента Microsoft Defender для конечной точки.

Чтобы проверить упрощенное подключение для устройств, еще не подключенных к Defender для конечной точки, можно использовать анализатор клиента для Windows с помощью следующих команд:

  • Запустите mdeclientanalyzer.cmd -o <path to cmd file> из папки MDEClientAnalyzer. Команда использует параметры из упрощённого пакета подключения Defender for Endpoint для проверки подключения.

  • Выполните mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , где параметр имеет значение GW_US, GW_EU, GW_UK. GW — это упрощенный вариант. Запустите с применимым географическим расположением клиента.

В качестве дополнительной проверки можно также использовать клиентский анализатор, чтобы проверить, соответствует ли устройство предварительным требованиям: MDEClientAnalyzerPreview.zip.

Примечание.

Для устройств, еще не подключенных к Defender для конечной точки, клиентский анализатор будет тестировать стандартный набор URL-адресов. Чтобы протестировать упрощенный подход, необходимо запустить с ключом -o (чтобы использовать параметры пакета подключения) или с ключом -g (чтобы указать географический регион арендатора, например GW_US, GW_EU или GW_UK).

Этап 4. Примените новый пакет первичной настройки, необходимый для упрощенного подключения

После настройки сети для взаимодействия с полным списком служб можно приступить к подключению устройств с помощью упрощенного метода.

Прежде чем продолжить, убедитесь, что устройства соответствуют предварительным требованиям для упрощённого подключения и что на них установлены актуальные версии датчика и Microsoft Defender Antivirus.

  1. Чтобы получить новый пакет, в Microsoft Defender XDR выберите Параметры > Конечные точки > Управление устройствами> Подключение.

  2. Выберите соответствующую операционную систему и в раскрывающемся меню «Тип подключения» выберите «Упрощённый».

  3. Для новых устройств (не подключенных к Defender для конечной точки), поддерживаемых в этом методе, следуйте связанным статьям о подключении, приведенным ниже, используя обновленный пакет подключения с предпочитаемым методом развертывания:

  4. Исключите устройства из существующих политик подключения, использующих стандартный пакет подключения.

Сведения о миграции устройств, уже подключенных к Defender для конечной точки, см. в статье Миграция устройств на упрощенное подключение. Необходимо перезагрузить устройство и следовать определенным инструкциям в этой статье о миграции.