Zásady antivirové ochrany pro zabezpečení koncových bodů v Intune

Zásady antivirové ochrany koncového bodu Intune můžou správcům zabezpečení pomoct soustředit se na správu diskrétní skupiny nastavení antivirové ochrany pro spravovaná zařízení.

Antivirové zásady zahrnují několik profilů. Každý profil obsahuje jenom nastavení, která jsou relevantní pro antivirovou ochranu v programu Microsoft Defender for Endpoint pro zařízení s macOS a Windows nebo pro uživatelské prostředí v aplikaci Zabezpečení Windows na zařízeních s Windows.

Zásady antivirové ochrany najdete v části Spravovat v uzlu Zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

Antivirové zásady zahrnují stejná nastavení jako nalezená ochrana koncových bodů nebo šablony omezení zařízení pro zásady konfigurace zařízení . Tyto typy zásad ale zahrnují další kategorie nastavení, které nesouvisejí s antivirovou sadou. Další nastavení můžou komplikovat konfiguraci úlohy antivirové ochrany. Nastavení v zásadách antivirové ochrany pro macOS navíc nejsou dostupná prostřednictvím jiných typů zásad. Profil antivirové ochrany pro macOS nahrazuje nutnost konfigurovat nastavení pomocí .plist souborů.

Platí pro:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (prostřednictvím scénáře správy nastavení Zabezpečení koncového bodu v programu Microsoft Defender for Endpoint Security )

Požadavky na zásady antivirové ochrany

Podpora zařízení zaregistrovaných v Microsoft Intune (MDM):

• macOS

  • Libovolná podporovaná verze macOS
  • Aby intune na zařízení spravoval nastavení antivirové ochrany, musí být na daném zařízení nainstalovaný Microsoft Defender for Endpoint. Vidět. Microsoft Defender for Endpoint pro macOS (V dokumentaci k Microsoft Defenderu for Endpoint)

• Windows 10, Windows 11 a Windows Server

  • Nejsou vyžadovány žádné další požadavky.

Podpora pro klienty nástroje Configuration Manager:

Tento scénář je ve verzi Preview a vyžaduje použití aktuální větve nástroje Configuration Manager verze 2006 nebo novější.

• Nastavení připojení tenanta pro zařízení Nástroje Configuration Manager – Pokud chcete podporovat nasazení zásad antivirové ochrany do zařízení spravovaných nástrojem Configuration Manager, nakonfigurujte připojení tenanta. Nastavení připojení tenanta zahrnuje konfiguraci kolekcí zařízení Configuration Manageru tak, aby podporovaly zásady zabezpečení koncových bodů z Intune.

  Informace o nastavení připojení tenanta najdete v tématu Konfigurace připojení tenanta pro podporu zásad ochrany koncových bodů.

Podpora klientů Microsoft Defenderu for Endpoint:

• Správa nastavení zabezpečení v Defenderu for Endpoint – Pokud chcete nakonfigurovat podporu nasazení antivirových zásad na zařízení, která jsou spravovaná defenderem, ale nejsou zaregistrovaná v Intune, přečtěte si téma Správa Microsoft Defenderu for Endpoint na zařízeních s Microsoft Intune. Tento článek obsahuje také informace o platformách podporovaných touto funkcí a zásadách a profilech, které tyto platformy podporují.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě antivirových zásad Intune najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Požadavky na ochranu před falšováním

Ochrana před falšováním je k dispozici pro zařízení s jedním z následujících operačních systémů:

• macOS (libovolná podporovaná verze)
• Windows 10 a 11 (včetně Enterprise pro více relací)
• Windows Server verze 1803 nebo novější, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 a Windows Server 2016 (s využitím moderního sjednoceného řešení)

Poznámka

Zařízení musí být onboardována do Microsoft Defenderu for Endpoint (P1 nebo P2). Pokud zařízení dříve nebyla onboardována do Microsoft Defenderu for Endpoint, může se zobrazit zpoždění umožňující ochranu před falšováním. Ochrana před falšováním povolí první přihlášení zařízení po onboardingu do Microsoft Defenderu for Endpoint.

Intune můžete použít ke správě ochrany před falšováním na zařízeních s Windows jako součást profilu Prostředí zabezpečení Windows (zásady antivirové ochrany). To zahrnuje jak zařízení spravovaná pomocí Intune, tak zařízení, která spravujete pomocí Configuration Manageru prostřednictvím scénáře připojení tenanta. Ochrana před falšováním je teď k dispozici také pro Službu Azure Virtual Desktop.

Zařízení spravovaná v Intune

Požadavky na podporu ochrany před falšováním u zařízení spravovaných pomocí Intune:

• Vaše prostředí musí splňovat požadavky na správu ochrany před falšováním pomocí Intune.
• Zařízení jsou onboardována do Microsoft Defenderu for Endpoint (P1 nebo P2).

Profily zásad antivirové ochrany , které podporují ochranu před falšováním u zařízení spravovaných službou Microsoft Intune:

• Platforma: Windows 10, Windows 11 a Windows Server

  • Profil: Prostředí Zabezpečení Windows

  Poznámka

  Od 5. dubna 2022 byla platforma Windows 10 a novější nahrazena platformou Windows 10, Windows 11 a Windows Server .

  Platforma Windows 10, Windows 11 a Windows Server podporuje zařízení komunikující s Intune prostřednictvím Microsoft Intune nebo Microsoft Defenderu for Endpoint. Tyto profily také přidávají podporu pro platformu Windows Server, která není nativně podporována prostřednictvím Microsoft Intune.

  Profily pro tuto novou platformu používají formát nastavení, který najdete v katalogu nastavení. Každá nová šablona profilu pro tuto novou platformu obsahuje stejná nastavení jako starší šablona profilu, která nahrazuje. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.

Profil ochrany koncového bodu pro zásady konfigurace zařízení můžete také použít ke konfiguraci ochrany před falšováním pro zařízení spravovaná službou Intune.

Klienti nástroje Configuration Manager spravovaní prostřednictvím scénáře připojení tenanta

Požadavky na podporu správy ochrany před falšováním pomocí těchto profilů:

• Vaše prostředí musí splňovat požadavky na správu ochrany před falšováním v Intune, jak je podrobně popsáno v dokumentaci k Windows.
• Musíte použít aktuální větev nástroje Configuration Manager 2006 nebo novější.
• Připojení tenanta musíte nakonfigurovat tak, aby podporovalo zásady ochrany koncových bodů. To zahrnuje konfiguraci kolekcí zařízení Configuration Manageru pro synchronizaci s Intune.
• Zařízení jsou onboardována do Microsoft Defenderu for Endpoint (P1 nebo P2).

Profily zásad antivirové ochrany , které podporují ochranu zařízení spravovaných nástrojem Configuration Manager:

• Platforma: Windows 10, Windows 11 a Windows Server (ConfigMgr)
  • Profil: Prostředí zabezpečení Windows (Preview)

Antivirové profily

Zařízení spravovaná v Microsoft Intune

Následující profily jsou podporované pro zařízení, která spravujete pomocí Intune:

macOS:

• Platforma: macOS

  • Profil: Antivirus – Správa nastavení zásad antivirové ochrany pro macOS.

    Když používáte Microsoft Defender for Endpoint for Mac, můžete nastavení antivirové ochrany nakonfigurovat a nasadit na spravovaná zařízení s macOS prostřednictvím Intune místo toho, abyste tato nastavení konfigurovali pomocí .plist souborů.

Windows:

• Platforma: Windows 10, Windows 11 a Windows Server
  Profily pro tuto platformu je možné použít se zařízeními zaregistrovanými v Intune a zařízeními spravovanými prostřednictvím správy zabezpečení pro Microsoft Defender for Endpoint.

  Poznámka

  Od 5. dubna 2022 byla platforma Windows 10 a novější nahrazena platformou Windows 10, Windows 11 a Windows Server .

  Platforma Windows 10, Windows 11 a Windows Server podporuje zařízení komunikující s Intune prostřednictvím Microsoft Intune nebo Microsoft Defenderu for Endpoint. Tyto profily také přidávají podporu pro platformu Windows Server, která není nativně podporována prostřednictvím Microsoft Intune.

  Profily pro tuto novou platformu používají formát nastavení, který najdete v katalogu nastavení. Každá nová šablona profilu pro tuto novou platformu obsahuje stejná nastavení jako starší šablona profilu, která nahrazuje. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.

  • Profil: Antivirová ochrana v programu Microsoft Defender – Správa nastavení zásad antivirové ochrany pro zařízení s Windows.

    Antivirová ochrana v programu Defender je součást ochrany nové generace microsoft defenderu for Endpoint. Ochrana nové generace spojuje technologie, jako je strojové učení a cloudová infrastruktura, a chrání tak zařízení ve vaší podnikové organizaci.

    Antivirová ochrana v programu Microsoft Defender je samostatná instance nastavení antivirové ochrany, která se nachází v zásadách Profil omezení zařízení pro konfiguraci zařízení.

    Na rozdíl od nastavení antivirového softwaru v profilu omezení zařízení můžete tato nastavení použít u zařízení, která jsou společně spravovaná. Pokud chcete tato nastavení použít, musí být posuvník úloh spolusprávy pro Endpoint Protection nastavený na Intune.

  • Profil: Vyloučení antivirové ochrany v programu Microsoft Defender – Umožňuje spravovat nastavení zásad jenom pro vyloučení antivirové ochrany.

    Pomocí této zásady můžete spravovat nastavení pro následující poskytovatele konfiguračních služeb antivirové ochrany v programu Microsoft Defender, kteří definují vyloučení antivirové ochrany:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Tyto poskytovatele CSP pro vyloučení antivirové ochrany jsou také spravovány zásadami Antivirové ochrany v programu Microsoft Defender , které zahrnují identická nastavení pro vyloučení. Nastavení z obou typů zásad (vyloučení antivirové ochrany a antivirové ochrany) podléhají sloučení zásad a vytvoří super sadu vyloučení pro příslušná zařízení a uživatele.

  • Profil: Prostředí Zabezpečení Windows – Umožňuje spravovat nastavení aplikace Zabezpečení Windows, která můžou koncoví uživatelé zobrazit v Centru zabezpečení v programu Microsoft Defender, a oznámení, která dostanou.

    Aplikaci Zabezpečení Windows používá řada funkcí zabezpečení Windows k poskytování oznámení o stavu a zabezpečení počítače. Mezi oznámení aplikací zabezpečení patří brány firewall, antivirové produkty, filtr SmartScreen v programu Windows Defender a další.

  • Profil: Ovládací prvky aktualizace defenderu – Správa nastavení aktualizací pro Microsoft Defender, včetně následujících nastavení převzatých přímo z programu Defender CSP:

    • Kanál aktualizací modulu
    • Kanál aktualizací platformy
    • Kanál aktualizací analýzy zabezpečení

Zařízení spravovaná nástrojem Configuration Manager

Antivirový

Spravovat nastavení antivirové ochrany pro zařízení nástroje Configuration Manager, když používáte připojení tenanta.

Cesta k zásadám:

• > Zabezpečení koncového bodu Antivirová ochrana > pro Windows 10, Windows 11 a Windows Server (ConfigMgr)

Profily:

• Antivirová ochrana v programu Microsoft Defender (Preview)
• Prostředí zabezpečení Windows (Preview)

Požadovaná verze nástroje Configuration Manager:

• Aktuální větev nástroje Configuration Manager verze 2006 nebo novější

Podporované platformy zařízení Configuration Manageru:

• Windows 8.1 (x86, x64), počínaje configuration managerem verze 2010
• Windows 10 a novější (x86, x64, ARM64)
• Windows 11 a novější (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), počínaje configuration managerem verze 2010
• Windows Server 2016 a novější (x64)

Důležité

22. října 2022 ukončila Microsoft Intune podporu pro zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují klientská zařízení s Windows 10/11.

Sloučení zásad pro nastavení

Některá nastavení antivirových zásad podporují sloučení zásad. Sloučení zásad pomáhá vyhnout se konfliktům, když se na stejná zařízení vztahuje více zásad a konfiguruje stejné nastavení. Intune vyhodnocuje nastavení, která sloučení zásad podporuje, pro každého uživatele nebo zařízení tak, jak je převzato ze všech platných zásad. Tato nastavení se pak sloučí do jedné nadmnožině zásad.

Můžete například vytvořit tři samostatné antivirové zásady, které definují různá vyloučení cest k antivirovým souborům. Nakonec se všechny tři zásady přiřadí stejnému uživateli. Vzhledem k tomu, že CSP vyloučení cesty k souboru v programu Microsoft Defender podporuje sloučení zásad, Intune vyhodnotí a zkombinuje vyloučení souborů ze všech platných zásad pro uživatele. Vyloučení se přidají do nadmnožiny a jeden seznam vyloučení se doručí do zařízení uživatelů.

Pokud se sloučení zásad pro nastavení nepodporuje, může dojít ke konfliktu. Konflikty můžou vést k tomu, že uživatel nebo zařízení neobdrží žádné zásady pro dané nastavení. Sloučení zásad například nepodporuje CSP, který brání instalaci odpovídajících ID zařízení (PreventInstallationOfMatchingDeviceID). Konfigurace pro tohoto poskytovatele CSP se neslučují a zpracovávají se samostatně.

Při samostatném zpracování se konflikty zásad řeší následujícím způsobem:

1. Platí nejbezpečnější zásady.
2. Pokud jsou dvě zásady stejně zabezpečené, použije se poslední změněná zásada.
3. Pokud poslední změněná zásada nedokáže konflikt vyřešit, do zařízení se nedoručí žádná zásada.

Sloučení nastavení a CSP, které podporují sloučení zásad

Sloučení zásad podporují následující nastavení:

• Vyloučené procesy – CSP: Defender/ExcludedProcesses
• Vyloučená rozšíření – CSP: Defender/ExcludedExtensions
• Vyloučené cesty – CSP: Defender/ExcludedPaths

Sestavy antivirových zásad

V sestavách antivirových zásad se zobrazují podrobnosti o stavu zabezpečení koncových bodů Antivirové zásady a stav zařízení. Tyto sestavy jsou dostupné v uzlu Zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

Sestavy zobrazíte tak, že v Centru pro správu Microsoft Intune přejdete na Zabezpečení koncových bodů a vyberete Antivirus. Když vyberete Antivirová ochrana, otevře se stránka Souhrn. Další zobrazení sestav a stavů jsou k dispozici jako další stránky.

Kromě sestav podrobně popsaných v následujících částech najdete další sestavy pro Antivirovou ochranu v programu Microsoft Defender v uzlu Sestavy v Centru pro správu Microsoft Intune, jak je popsáno v článku Sestavy Intune:

• Zpráva o stavu antivirového agenta (organizační)
• Sestava zjištěného malwaru (organizační)

Souhrn

Na stránce Souhrn můžete vytvořit nové zásady a zobrazit seznam dříve vytvořených zásad. Seznam obsahuje podrobné podrobnosti o profilu, který zásady zahrnují (typ zásady) a o tom, jestli je zásada přiřazená.

Když vyberete zásadu ze seznamu, otevře se stránka Přehled pro tuto instanci zásad a zobrazí se další informace. Po výběru dlaždice z tohoto zobrazení Intune zobrazí další podrobnosti o tomto profilu, pokud jsou k dispozici.

Koncové body, které nejsou v pořádku

Na stránce Koncové body, které nejsou v pořádku , můžete zobrazit informace o stavu antivirového softwaru zařízení s Windows spravovaných pomocí MDM. Tyto informace se vrátí z Antivirové ochrany v programu Windows Defender, která běží na zařízení, jako stav agenta hrozeb. Na této stránce vyberte Sloupce a zobrazte úplný seznam podrobností, které jsou k dispozici v sestavě.

V tomto zobrazení se zobrazí jenom zařízení se zjištěnými problémy. Toto zobrazení nezobrazuje podrobnosti o zařízeních, která jsou označená jako čistá.

Informace pro tuto sestavu jsou založené na podrobnostech dostupných od následujících poskytovatelů CSP, které jsou popsány v dokumentaci pro správu klientů systému Windows:

• Defender CSP
• WindowsAdvancedThreatProtection CSP.

Další kroky

Konfigurace zásad zabezpečení koncových bodů

Podívejte se na podrobnosti o nastavení Windows v zastaralých profilech pro platformu Windows 10 a novější :

• Nastavení zásad antivirové ochrany
• Vyloučení antivirové ochrany
• Nastavení aplikace Zabezpečení Windows