Partilhar via

Integração de dispositivos com conectividade simplificada para Microsoft Defender para Endpoint

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Vulnerability Management

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

O cliente do Defender para Endpoint pode exigir a utilização de ligações proxiadas a serviços cloud relevantes. Este artigo descreve o método de conectividade do dispositivo simplificado, os pré-requisitos e fornece informações adicionais para verificar a conectividade com os novos destinos.

Para simplificar a configuração e a gestão da rede, pode agora integrar novos dispositivos no Defender para Ponto Final com um conjunto de URLs reduzido ou intervalos de IP estáticos. Para obter mais informações, veja Migrar dispositivos para uma conectividade simplificada.

Domínio simplificado reconhecido pelo Defender para Endpoint

O domínio *.endpoint.security.microsoft.com simplificado reconhecido pelo Defender para Endpoint (para dispositivos comerciais) ou *.endpoint.security.microsoft.us* (para dispositivos governamentais dos EUA – Pré-visualização) consolida a conectividade aos seguintes serviços principais do Defender para Endpoint:

  • Proteção fornecida pela cloud
  • Armazenamento de submissão de exemplos de software maligno
  • Armazenamento de exemplo do IR Automático
  • Comando do Defender para Endpoint & controlo
  • Dados de diagnóstico e cibersegurança do Defender para Endpoint

Para obter mais informações sobre como preparar o seu ambiente e a lista atualizada de destinos, consulte STEP 1: Configure your network environment to ensure connectivity with Defender for Endpoint service (PASSO 1: Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint).

Para suportar dispositivos de rede sem resolução de nome de anfitrião ou suporte de carateres universais, pode, em alternativa, configurar a conectividade com intervalos de IP estáticos do Defender para Endpoint dedicados. Para obter mais informações, veja Configurar a conectividade com intervalos de IP estáticos.

Nota

  • O método de conectividade simplificado não altera a funcionalidade do Defender para Ponto Final nem a experiência do utilizador final. Apenas os URLs ou IPs utilizados para a conectividade do serviço foram alterados.
  • Não existem planos para preterir URLs de serviço antigos. Os dispositivos integrados com conectividade padrão continuam a funcionar. Garanta a conectividade contínua a *.endpoint.security.microsoft.com (para dispositivos comerciais) ou *.endpoint.security.microsoft.us (para dispositivos governamentais dos EUA – Pré-visualização) para serviços futuros.
  • As ligações de serviço utilizam afixação de certificados e TLS. A inspeção de tráfego não é suportada. Connections são iniciadas pelo dispositivo e não iniciadas pelo utilizador. A imposição da autenticação do proxy (utilizador) interrompe a conectividade.

Pré-requisitos

Os dispositivos têm de cumprir pré-requisitos específicos para utilizar o método de conectividade simplificado do Defender para Endpoint. Certifique-se de que os pré-requisitos são cumpridos antes de prosseguir com a integração.

Atualização mínima da BDC (Windows)

  • Versão SENSE: 10.8040.*/ 8 de março de 2022 ou superior (ver tabela)

Microsoft Defender versões do Antivírus (Windows)

  • Cliente Antimalware:4.18.2211.5
  • Motor:1.1.19900.2
  • Antivírus (Informações de Segurança):1.391.345.0

Sistemas operativos suportados

  • Windows 10 versão 1809 ou posterior.
  • Windows 10 versões 1607, 1703, 1709, 1803 são suportadas no pacote de inclusão simplificado, mas requerem uma lista de URLs diferente. Veja Folha de URL simplificada
  • Windows 11
  • Windows Server 2019 e posterior
  • Windows Server 2012 R2 ou Windows Server 2016, atualização completa da solução unificada moderna do Defender para Endpoint (instalação através de MSI).
  • Versões suportadas do macOS com a versão 101.24022 do produto MDE 101.24022.*+
  • Versões suportadas pelo Linux com a versão de produto MDE 101.24022.*+
  • SO do Azure Stack HCI, versão 23H2 e posterior.

Importante

  • Os dispositivos em execução no agente MMA não são suportados no método de conectividade simplificado e terão de continuar a utilizar o conjunto de URLs padrão (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 não atualizado para o agente unificado moderno).
  • Windows Server 2012 R2 e Server 2016 terão de atualizar para o agente unificado para tirar partido do novo método.
  • Windows 10 1607, 1703, 1709, 1803 podem tirar partido da nova opção de inclusão, mas utilizarão uma lista mais longa. Para obter mais informações, veja a folha de URL simplificada.
SO Windows BDC Mínima Necessária (8 de março de 2022)
Windows 11 KB5011493 (8 de março de 2022)
Windows 10 1809, Windows Server 2019 KB5011503 (8 de março de 2022)
Windows 10 19H2 (1909) KB5011485 (8 de março de 2022)
Windows 10 20H2, 21H2 KB5011487 (8 de março de 2022)
Windows 10 22H2 KB5020953 (28 de outubro de 2022)
Windows 10 1803* < fim do serviço >
Windows 10 1709* < fim do serviço >
Windows Server 2022 KB5011497 (8 de março de 2022)
Windows Server 2012 R2, 2016* Agente Unificado

Processo de conectividade simplificado

A ilustração seguinte mostra o processo de conectividade simplificado e as fases correspondentes:

Ilustração do processo de conectividade simplificado

Fase 1. Configurar o ambiente de rede para conectividade na cloud

Depois de confirmar que os pré-requisitos são cumpridos, certifique-se de que o ambiente de rede está configurado corretamente para suportar o método de conectividade simplificado. Siga os passos descritos em Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.

Os URLs de serviço do Defender para Endpoint consolidados em domínio simplificado já não devem ser necessários para conectividade. No entanto, alguns URLs não estão incluídos na consolidação.

A conectividade simplificada permite-lhe utilizar a seguinte opção para configurar a conectividade à cloud:

Opção 1: Configurar a conectividade com o domínio simplificado

Configure o seu ambiente para permitir ligações ao domínio simplificado do Defender para Endpoint:

  • Para dispositivos comerciais: *.endpoint.security.microsoft.com
  • Para dispositivos governamentais dos EUA (Pré-visualização): *.endpoint.security.microsoft.us

Para obter mais informações, veja Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint.

Tem de manter a conectividade com os restantes serviços necessários listados na lista de URL simplificado de dispositivos comerciais ou na lista de URLs simplificados de dispositivos governamentais (Pré-visualização). Por exemplo, a lista de revogação de certificação, Windows Update, os serviços SmartScreen também podem ter de estar acessíveis, dependendo da sua infraestrutura de rede atual e da abordagem de aplicação de patches.

Opção 2: Configurar a conectividade com intervalos de IP estáticos

Com a conectividade simplificada, as soluções baseadas em IP podem ser utilizadas como alternativa aos URLs. Estes IPs abrangem os seguintes serviços:

  • MAPAS
  • Armazenamento de Submissão de Exemplo de Software Maligno
  • Armazenamento de Exemplo de IR Automático
  • Comando e Controlo do Defender para Ponto Final

Importante

O serviço de dados EDR Cyber (OneDsCollector) tem de ser configurado separadamente se estiver a utilizar o método IP (este serviço só é consolidado ao nível do URL). Também tem de manter a conectividade com outros serviços necessários, incluindo SmartScreen, CRL, Windows Update e outros serviços.

Para se manter atualizado sobre os intervalos de IP, recomenda-se que consulte as seguintes etiquetas de serviço do Azure para serviços Microsoft Defender para Endpoint. Os intervalos de IP mais recentes encontram-se na etiqueta de serviço. Para obter mais informações, veja Intervalos de IP do Azure.

Nome da etiqueta de serviço Serviços do Defender para Endpoint incluídos
MicrosoftDefenderForEndpoint Proteção fornecida pela cloud, armazenamento de submissão de exemplo de software maligno, armazenamento de exemplo de IR Automático, comando e controlo do Defender para Endpoint.
OneDsCollector Dados de diagnóstico e cibersegurança do Defender para Endpoint

Nota: o tráfego nesta etiqueta de serviço não está limitado ao Defender para Endpoint e pode incluir tráfego de dados de diagnóstico para outros serviços Microsoft.

Para obter a lista de etiquetas de serviço mais recente, veja a documentação das etiquetas de serviço do Azure .

Importante

Em conformidade com as normas de conformidade e segurança do Defender para Endpoint, os seus dados serão processados e armazenados de acordo com a localização física do seu inquilino. Com base na localização do cliente, o tráfego pode fluir através de qualquer uma destas regiões IP (que correspondem às regiões do datacenter do Azure). Para obter mais informações, veja Armazenamento de dados e privacidade.

Fase 2. Configurar os seus dispositivos para ligar ao serviço Defender para Endpoint

Configure dispositivos para comunicar através da sua infraestrutura de conectividade. Certifique-se de que os dispositivos cumprem os pré-requisitos e atualizam o sensor e Microsoft Defender versões do Antivírus. Para obter mais informações, veja Configurar o proxy de dispositivos e as definições de ligação à Internet .

Fase 3. Verificar a pré-integração da conectividade do cliente

Para obter mais informações, veja Verificar a conectividade do cliente.

As seguintes verificações de pré-integração podem ser executadas no Analisador de Cliente windows e Xplat MDE: transfira o analisador de cliente Microsoft Defender para Endpoint.

Para testar a conectividade simplificada para dispositivos que ainda não estão integrados no Defender para Endpoint, pode utilizar o Client Analyzer para Windows com os seguintes comandos:

  • Execute mdeclientanalyzer.cmd -o <path to cmd file> a partir da pasta MDEClientAnalyzer. O comando utiliza parâmetros do pacote de inclusão para testar a conectividade.

  • Execute mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , em que o parâmetro é de GW_US, GW_EU, GW_UK. GW refere-se à opção simplificada. Execute com a área geográfica do inquilino aplicável.

Como verificação suplementar, também pode utilizar o analisador de cliente para testar se um dispositivo cumpre os pré-requisitos: [MDEClientAnalyzerPreview.zip]{https://aka.ms/MDEClientAnalyzerPreview}.

Nota

Para dispositivos que ainda não estão integrados no Defender para Endpoint, o analisador de cliente irá testar o conjunto padrão de URLs. Para testar a abordagem simplificada, terá de executar com os comutadores listados anteriormente neste artigo.

Fase 4. Aplicar o novo pacote de inclusão necessário para uma conectividade simplificada

Depois de configurar a rede para comunicar com a lista completa de serviços, pode começar a integrar dispositivos com o método simplificado.

Antes de continuar, confirme que os dispositivos cumprem os pré-requisitos e atualizaram o sensor e Microsoft Defender versões do Antivírus.

  1. Para obter o novo pacote, no Microsoft Defender XDR, selecione Definições Pontos Finais > Gestão de dispositivos > Integração>.

  2. Selecione o sistema operativo aplicável e escolha "Simplificado" no menu pendente Tipo de conectividade.

  3. Para novos dispositivos (não integrados no Defender para Endpoint) suportados neste método, siga os passos de inclusão das secções anteriores com o pacote integrado atualizado com o seu método de implementação preferencial:

  4. Exclua os dispositivos de quaisquer políticas de inclusão existentes que utilizem o pacote de inclusão padrão.

Para migrar dispositivos já integrados no Defender para Endpoint, veja Migrar dispositivos para a conectividade simplificada. Tem de reiniciar o dispositivo e seguir orientações específicas aqui.