PASSAGGIO 1: Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Prima di eseguire l'onboarding dei dispositivi in Defender per endpoint, assicurarsi che la rete sia configurata per la connessione al servizio, consentendo la connessione in uscita e ignorando l'ispezione HTTPS per gli URL del servizio. Il primo passaggio di questo processo prevede l'aggiunta di URL all'elenco dei domini consentiti se le regole del server proxy o del firewall impediscono l'accesso a Defender per endpoint. Questo articolo include anche informazioni sui requisiti del proxy e del firewall per le versioni precedenti del client Windows e di Windows Server.
Nota
- Dopo l'8 maggio 2024, è possibile mantenere la connettività semplificata (set consolidato di URL) come metodo di onboarding predefinito o eseguire il downgrade alla connettività standard tramite (Funzionalità avanzate degli > endpoint delle impostazioni>). Per l'onboarding tramite Intune o Microsoft Defender per cloud, è necessario attivare l'opzione pertinente. I dispositivi già caricati non vengono ricaricati automaticamente. In questi casi, creare un nuovo criterio in Intune, in cui è consigliabile assegnare prima il criterio a un set di dispositivi di test per verificare che la connettività riesca e quindi espandere il gruppo di destinatari. I dispositivi in Defender per cloud possono essere ricaricati usando lo script di onboarding pertinente, mentre i dispositivi appena caricati riceveranno automaticamente l'onboarding semplificato.
- Il nuovo dominio consolidato *.endpoint.security.microsoft.com deve essere raggiungibile per tutti i dispositivi, per le funzionalità correnti e future, indipendentemente dal fatto che si continui a usare la connettività Standard.
- Per impostazione predefinita, le nuove aree avranno una connettività semplificata e non avranno la possibilità di eseguire il downgrade a Standard. Per altre informazioni, vedere Onboarding devices using streamlined connectivity for Microsoft Defender per endpoint (Onboarding di dispositivi con connettività semplificata per Microsoft Defender per endpoint).
Abilitare l'accesso agli URL del servizio Microsoft Defender per endpoint nel server proxy
Il foglio di calcolo scaricabile seguente elenca i servizi e gli URL associati a cui i dispositivi della rete devono essere in grado di connettersi. Assicurarsi che non siano presenti regole di filtro del firewall o di rete per negare l'accesso a questi URL. Facoltativamente, potrebbe essere necessario creare una regola di autorizzazione specifica.
Foglio di calcolo dell'elenco dei domini | Descrizione |
---|---|
Microsoft Defender per endpoint elenco di URL consolidati (semplificato) | Foglio di calcolo degli URL consolidati. Scaricare il foglio di calcolo qui. Sistema operativo applicabile: Per un elenco completo, vedere Connettività semplificata. - Windows 10 1809+ - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2, Windows Server 2016 R2 che esegue la soluzione unificata moderna defender per endpoint (richiede l'installazione tramite MSI). - Versioni supportate di macOS che eseguono 101.23102.* + - Versioni supportate da Linux che eseguono 101.23102.* + Versioni minime dei componenti: - Client antimalware: 4.18.2211.5 - Motore: 1.1.19900.2 - Intelligence per la sicurezza: 1.391.345.0 - Versione xplat: 101.23102.* + - Sensore/ versione KB: >10.8040.*/ 8 marzo 2022+ Se si sta spostando i dispositivi di cui è stato eseguito l'onboarding precedente nell'approccio semplificato, vedere Migrazione della connettività dei dispositivi Windows 10 versioni 1607, 1703, 1709, 1803 (RS1-RS4) sono supportate tramite il pacchetto di onboarding semplificato, ma richiedono un elenco di URL più lungo (vedere il foglio URL aggiornato). Queste versioni non supportano il reonboarding (deve essere prima completamente offboarding). I dispositivi in esecuzione in Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server non aggiornati all'agente unificato (MMA) devono continuare a usare il metodo di onboarding MMA. |
Microsoft Defender per endpoint elenco URL per i clienti commerciali (Standard) | Foglio di calcolo di record DNS specifici per le località di servizio, le posizioni geografiche e il sistema operativo per i clienti commerciali. Scaricare il foglio di calcolo qui. Microsoft Defender per endpoint Piano 1 e Piano 2 condividono gli stessi URL del servizio proxy. Nel firewall aprire tutti gli URL in cui la colonna geography è WW. Per le righe in cui la colonna geography non è WW, aprire gli URL nella posizione dei dati specifica. Per verificare l'impostazione della posizione dei dati, vedere Verificare il percorso di archiviazione dei dati e aggiornare le impostazioni di conservazione dei dati per Microsoft Defender per endpoint. Non escludere l'URL |
Microsoft Defender per endpoint elenco URL per Gov/GCC/DoD | Foglio di calcolo di record DNS specifici per località di servizio, posizioni geografiche e sistema operativo per i clienti Gov/GCC/DoD. Scaricare il foglio di calcolo qui. |
Importante
- Connections vengono effettuate dal contesto del sistema operativo o dai servizi client di Defender e, di conseguenza, i proxy non devono richiedere l'autenticazione per queste destinazioni o eseguire un'ispezione (analisi HTTPS/ispezione SSL) che interrompa il canale sicuro.
- Microsoft non fornisce un server proxy. Questi URL sono accessibili tramite il server proxy configurato.
- In conformità con gli standard di sicurezza e conformità di Defender per endpoint, i dati verranno elaborati e archiviati in base alla posizione fisica del tenant. In base alla posizione del client, il traffico può scorrere attraverso una qualsiasi delle aree IP associate (che corrispondono alle aree del data center di Azure). Per altre informazioni, vedere Archiviazione dei dati e privacy.
Microsoft Monitoring Agent (MMA) - Requisiti aggiuntivi per proxy e firewall per le versioni precedenti del client Windows o di Windows Server
Le destinazioni seguenti sono necessarie per consentire le comunicazioni di Defender per endpoint tramite l'agente di Log Analytics (spesso noto come Microsoft Monitoring Agent) in Windows 7 SP1, Windows 8.1 e Windows Server 2008 R2.
Risorsa all'agente | Porte | Direzione | Disabilita ispezione HTTP |
---|---|---|---|
*.ods.opinsights.azure.com |
Porta 443 | In uscita | Sì |
*.oms.opinsights.azure.com |
Porta 443 | In uscita | Sì |
*.blob.core.windows.net |
Porta 443 | In uscita | Sì |
*.azure-automation.net |
Porta 443 | In uscita | Sì |
Per determinare le destinazioni esatte in uso per la sottoscrizione all'interno dei domini elencati in precedenza, vedere Connessioni all'URL del servizio Microsoft Monitoring Agent (MMA).
Nota
I servizi che usano soluzioni basate su MMA non sono in grado di sfruttare la nuova soluzione di connettività semplificata (URL consolidato e opzione per l'uso di indirizzi IP statici). Per Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'aggiornamento alla nuova soluzione unificata. Le istruzioni per eseguire l'onboarding di questi sistemi operativi con la nuova soluzione unificata sono disponibili in Onboarding dei server Windows o eseguire la migrazione dei dispositivi già caricati nella nuova soluzione unificata negli scenari di migrazione server in Microsoft Defender per endpoint.
Per i dispositivi senza accesso a Internet / senza un proxy
Per i dispositivi senza connessione Internet diretta, l'uso di una soluzione proxy è l'approccio consigliato. In casi specifici, è possibile usare dispositivi firewall o gateway che consentono l'accesso agli intervalli IP. Per altre informazioni, vedere: Connettività semplificata dei dispositivi.
Importante
- Microsoft Defender per endpoint è una soluzione di sicurezza cloud. "Onboarding di dispositivi senza accesso a Internet" significa che l'accesso a Internet per gli endpoint deve essere configurato tramite un proxy o un altro dispositivo di rete e la risoluzione DNS è sempre necessaria. Microsoft Defender per endpoint non supporta gli endpoint senza connettività diretta o proxy ai servizi cloud di Defender. È consigliabile configurare un proxy a livello di sistema.
- Windows o Windows Server in ambienti disconnessi deve essere in grado di aggiornare l'attendibilità dei certificati Elenchi offline tramite un file interno o un server Web.
- Per altre informazioni sull'aggiornamento offline degli elenchi di controllo di accesso, vedere Configurare un file o un server Web per scaricare i file CTL.