Intégration d’appareils à l’aide d’une connectivité simplifiée pour Microsoft Defender pour point de terminaison

S’applique à :

Le client Defender pour point de terminaison peut nécessiter l’utilisation de connexions par proxy aux services cloud pertinents. Cet article décrit la méthode de connectivité d’appareil rationalisée, les prérequis et fournit des informations supplémentaires pour vérifier la connectivité à l’aide des nouvelles destinations.

Pour simplifier la configuration et la gestion du réseau, vous avez désormais la possibilité d’intégrer de nouveaux appareils à Defender pour point de terminaison à l’aide d’un ensemble d’URL réduite ou de plages d’adresses IP statiques. Pour plus d’informations sur la migration d’appareils précédemment intégrés, consultez Migration d’appareils vers une connectivité rationalisée.

Le domaine simplifié reconnu par Defender pour point de terminaison : *.endpoint.security.microsoft.com consolide la connectivité aux principaux services Defender pour point de terminaison suivants :

  • Protection fournie par le cloud
  • Stockage des exemples de soumission de programmes malveillants
  • Exemple de stockage d’intégration automatique
  • Commande defender pour point de terminaison & contrôle
  • Données de cyber et de diagnostic defender pour point de terminaison

Pour plus d’informations sur la préparation de votre environnement et la liste mise à jour des destinations, consultez ÉTAPE 1 : Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Pour prendre en charge les appareils réseau sans résolution de noms d’hôte ni prise en charge des caractères génériques, vous pouvez également configurer la connectivité à l’aide de plages d’adresses IP statiques Defender pour point de terminaison dédiées. Pour plus d’informations, consultez Configurer la connectivité à l’aide de plages d’adresses IP statiques.

Remarque

  • La méthode de connectivité simplifiée ne modifie pas le fonctionnement Microsoft Defender pour point de terminaison sur un appareil, ni l’expérience de l’utilisateur final. Seules les URL ou adresses IP qu’un appareil utilise pour se connecter au service changent.
  • Il n’existe actuellement aucun plan pour déprécier les anciennes URL de service consolidées. Les appareils intégrés avec une connectivité « standard » continueront de fonctionner. Il est important de s’assurer que la connectivité à *.endpoint.security.microsoft.com est et reste possible, car les services futurs en auront besoin. Cette nouvelle URL est incluse dans toutes les listes d’URL requises.
  • Connections au service tirent parti de l’épinglage de certificat et du protocole TLS. Il n’est pas pris en charge pour « interrompre et inspecter » le trafic. En outre, les connexions sont lancées à partir d’un contexte d’appareil, et non à partir d’un contexte utilisateur. L’application de l’authentification par proxy (utilisateur) interdit (interrompt) la connectivité dans la plupart des cas.

Avant de commencer

Les appareils doivent remplir des conditions préalables spécifiques pour utiliser la méthode de connectivité simplifiée pour Defender pour point de terminaison. Vérifiez que les conditions préalables sont remplies avant de poursuivre l’intégration.

Configuration requise

Licence:

  • Microsoft Defender for Endpoint (plan 1)
  • Microsoft Defender pour point de terminaison Plan 2
  • Microsoft Defender pour les PME
  • Gestion des vulnérabilités de Microsoft Defender

Mise à jour minimale de la base de connaissances (Windows)

  • VERSION DE SENSE : 10.8040.*/ 8 mars 2022 ou ultérieure (voir le tableau)

versions de l’antivirus Microsoft Defender (Windows)

  • Client anti-programme malveillant :4.18.2211.5
  • Moteur:1.1.19900.2
  • Antivirus (Security Intelligence) :1.391.345.0

versions Defender Antivirus (macOS/Linux)

Systèmes d’exploitation pris en charge

  • Windows 10 version 1809 ou ultérieure. Windows 10 versions 1607, 1703, 1709, 1803 sont prises en charge sur le package d’intégration simplifié, mais nécessitent une liste d’URL différente. Consultez la feuille d’URL simplifiée
  • Windows 11
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2012 R2 ou Windows Server 2016, entièrement mis à jour en exécutant la solution unifiée moderne Defender pour point de terminaison (installation via MSI).
  • Versions macOS prises en charge avec MDE version de produit 101.24022.*+
  • Versions linux prises en charge avec MDE version de produit 101.24022.*+

Importante

  • Les appareils s’exécutant sur l’agent MMA ne sont pas pris en charge sur la méthode de connectivité simplifiée et devront continuer à utiliser l’ensemble d’URL standard (Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 non mis à niveau vers l’agent unifié moderne).
  • Windows Server 2012 R2 et Server 2016 devront effectuer une mise à niveau vers l’agent unifié pour tirer parti de la nouvelle méthode.
  • Windows 10 1607, 1703, 1709, 1803 peuvent tirer parti de la nouvelle option d’intégration, mais utiliseront une liste plus longue. Pour plus d’informations, consultez la feuille d’URL simplifiée.
Système d’exploitation Windows Base de connaissances minimale requise (8 mars 2022)
Windows 11 KB5011493 (8 mars 2022)
Windows 10 1809, Windows Server 2019 KB5011503 (8 mars 2022)
Windows 10 19H2 (1909) KB5011485 (8 mars 2022)
Windows 10 20H2, 21H2 KB5011487 (8 mars 2022)
Windows 10 22H2 KB5020953 (28 octobre 2022)
Windows 10 1803* < fin de service >
Windows 10 1709* < fin de service >
Windows Server 2022 KB5011497 (8 mars 2022)
Windows Server 2012 R2, 2016* Agent unifié

Processus de connectivité simplifié

L’illustration suivante montre le processus de connectivité simplifié et les étapes correspondantes :

Illustration d’un processus de connectivité simplifié

Étape 1. Configurer votre environnement réseau pour la connectivité cloud

Une fois que vous avez vérifié que les conditions préalables sont remplies, vérifiez que votre environnement réseau est correctement configuré pour prendre en charge la méthode de connectivité simplifiée. Suivez les étapes décrites dans Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Les URL de service Defender pour point de terminaison consolidées sous un domaine simplifié ne doivent plus être requises pour la connectivité. Toutefois, certaines URL ne sont pas incluses dans la consolidation.

La connectivité simplifiée vous permet d’utiliser l’option suivante pour configurer la connectivité cloud :

Option 1 : Configurer la connectivité à l’aide du domaine simplifié

Configurez votre environnement pour autoriser les connexions au domaine Defender pour point de terminaison simplifié : *.endpoint.security.microsoft.com. Pour plus d’informations, consultez Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison.

Vous devez maintenir la connectivité avec les autres services requis répertoriés sous la liste mise à jour. Par exemple, la liste de révocation de certification, Windows Update, les services SmartScreen peuvent également devoir être accessibles en fonction de votre infrastructure réseau actuelle et de votre approche corrective.

Option 2 : Configurer la connectivité à l’aide de plages d’adresses IP statiques

Avec une connectivité simplifiée, les solutions basées sur IP peuvent être utilisées comme alternative aux URL. Ces adresses IP couvrent les services suivants :

  • CARTES
  • Stockage des exemples de soumission de programmes malveillants
  • Stockage d’exemples d’intégration automatique
  • Commande et contrôle Defender pour point de terminaison

Importante

Le service de données EDR Cyber (OneDsCollector) doit être configuré séparément si vous utilisez la méthode IP (ce service n’est consolidé qu’au niveau de l’URL). Vous devez également maintenir la connectivité avec d’autres services requis, notamment SmartScreen, CRL, Windows Update et d’autres services.

Pour rester à jour sur les plages d’adresses IP, il est recommandé de faire référence aux étiquettes de service Azure suivantes pour Microsoft Defender pour point de terminaison services. Les dernières plages d’adresses IP se trouvent dans l’étiquette de service. Pour plus d’informations, consultez Plages d’adresses IP Azure.

Nom de l’étiquette de service Services Defender pour point de terminaison inclus
MicrosoftDefenderForEndpoint Protection fournie par le cloud, stockage de soumission d’exemples de programmes malveillants, stockage d’exemples de runtime d’intégration automatique, commande et contrôle Defender pour point de terminaison.
OneDsCollector Données de cyber et de diagnostic defender pour point de terminaison

Remarque : le trafic sous cette étiquette de service n’est pas limité à Defender pour point de terminaison et peut inclure le trafic de données de diagnostic pour d’autres services Microsoft.

Le tableau suivant répertorie les plages d’adresses IP statiques actuelles couvertes par l’étiquette de service MicrosoftDefenderForEndpoint. Pour obtenir la liste la plus récente, consultez la documentation sur les étiquettes de service Azure .

Géo Plages IP
US 20.15.141.0/24
20.242.181.0/24
20.10.127.0/24
13.83.125.0/24
UE 4.208.13.0/24
20.8.195.0/24
Royaume-Uni 20.26.63.224/28
20.254.173.48/28
UA 68.218.120.64/28
20.211.228.80/28

Importante

Conformément aux normes de sécurité et de conformité de Defender pour point de terminaison, vos données seront traitées et stockées conformément à l’emplacement physique de votre locataire. En fonction de l’emplacement du client, le trafic peut transiter par l’une de ces régions IP (qui correspondent aux régions du centre de données Azure). Pour plus d’informations, consultez Stockage et confidentialité des données.

Étape 2. Configurer vos appareils pour se connecter au service Defender pour point de terminaison

Configurez les appareils pour qu’ils communiquent via votre infrastructure de connectivité. Vérifiez que les appareils remplissent les conditions préalables et disposent des versions de capteur et de Microsoft Defender antivirus mises à jour. Pour plus d’informations, consultez Configurer le proxy d’appareil et les paramètres de connexion Internet .

Étape 3. Vérifier la pré-intégration de la connectivité du client

Pour plus d’informations, consultez Vérifier la connectivité du client.

Les vérifications de pré-intégration suivantes peuvent être exécutées sur Windows et Xplat MDE Analyseur client : Téléchargez l’analyseur client Microsoft Defender pour point de terminaison.

Pour tester la connectivité simplifiée pour les appareils qui ne sont pas encore intégrés à Defender pour point de terminaison, vous pouvez utiliser l’analyseur client pour Windows à l’aide des commandes suivantes :

  • Exécutez mdeclientanalyzer.cmd -o <path to cmd file> à partir du dossier MDEClientAnalyzer. La commande utilise les paramètres du package d’intégration pour tester la connectivité.

  • Exécutez mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU> , où le paramètre est de GW_US, GW_EU GW_UK. GW fait référence à l’option simplifiée. Exécutez avec la zone géographique de locataire applicable.

Comme case activée supplémentaire, vous pouvez également utiliser l’analyseur client pour tester si un appareil répond aux conditions préalables :https://aka.ms/MDEClientAnalyzerPreview

Remarque

Pour les appareils qui ne sont pas encore intégrés à Defender pour point de terminaison, l’analyseur client effectue un test par rapport à un ensemble d’URL standard. Pour tester l’approche simplifiée, vous devez exécuter avec les commutateurs répertoriés plus haut dans cet article.

Étape 4. Appliquer le nouveau package d’intégration requis pour une connectivité simplifiée

Une fois que vous avez configuré votre réseau pour communiquer avec la liste complète des services, vous pouvez commencer à intégrer des appareils à l’aide de la méthode simplifiée.

Avant de continuer, vérifiez que les appareils remplissent les conditions préalables et qu’ils ont mis à jour le capteur et les versions Microsoft Defender Antivirus.

  1. Pour obtenir le nouveau package, dans Microsoft Defender XDR, sélectionnez Paramètres Points > de terminaison > Intégration de la gestion des> appareils.

  2. Sélectionnez le système d’exploitation applicable et choisissez « Simplifié » dans le menu déroulant Type de connectivité.

  3. Pour les nouveaux appareils (non intégrés à Defender pour point de terminaison) pris en charge sous cette méthode, suivez les étapes d’intégration des sections précédentes à l’aide du package intégré mis à jour avec votre méthode de déploiement préférée :

  1. Excluez les appareils de toutes les stratégies d’intégration existantes qui utilisent le package d’intégration standard.

Pour migrer des appareils déjà intégrés à Defender pour point de terminaison, consultez Migration d’appareils vers la connectivité simplifiée. Vous devez redémarrer votre appareil et suivre des instructions spécifiques ici.