Zásady antivirové ochrany pro zabezpečení koncových bodů v Intune

Intune Zásady antivirové ochrany zabezpečení koncového bodu můžou správcům zabezpečení pomoct soustředit se na správu diskrétní skupiny nastavení antivirové ochrany pro spravovaná zařízení.

Antivirové zásady zahrnují několik profilů. Každý profil obsahuje jenom nastavení, která jsou relevantní pro Microsoft Defender for Endpoint antivirový program pro zařízení s macOS a Windows nebo pro uživatelské prostředí v aplikaci Zabezpečení Windows na zařízeních s Windows.

Zásady antivirové ochrany najdete v části Spravovat v uzlu Zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

Antivirové zásady zahrnují stejná nastavení jako nalezená ochrana koncových bodů nebo šablony omezení zařízení pro zásady konfigurace zařízení . Tyto typy zásad ale zahrnují další kategorie nastavení, které nesouvisejí s antivirovou sadou. Další nastavení můžou komplikovat konfiguraci úlohy antivirové ochrany. Nastavení v zásadách antivirové ochrany pro macOS navíc nejsou dostupná prostřednictvím jiných typů zásad. Profil antivirové ochrany pro macOS nahrazuje nutnost konfigurovat nastavení pomocí .plist souborů.

Platí pro:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (prostřednictvím scénáře správy nastavení zabezpečení Microsoft Defender for Endpoint)

Požadavky na zásady antivirové ochrany

Podpora zařízení zaregistrovaných Microsoft Intune (MDM):

• macOS

  • Libovolná podporovaná verze macOS
  • Aby Intune spravovat nastavení antivirového softwaru na zařízení, musí být na zařízení nainstalovaná Microsoft Defender for Endpoint. Vidět. Microsoft Defender for Endpoint pro macOS (v dokumentaci k Microsoft Defender for Endpoint)

• Windows

  • Nejsou vyžadovány žádné další požadavky.

Podpora pro klienty Configuration Manager:

Tento scénář je ve verzi Preview a vyžaduje použití Configuration Manager aktuální větvi verze 2006 nebo novější.

• Nastavení připojení tenanta pro zařízení Configuration Manager – Pokud chcete podporovat nasazení zásad antivirové ochrany do zařízení spravovaných službou Configuration Manager, nakonfigurujte připojení tenanta. Nastavení připojení tenanta zahrnuje konfiguraci Configuration Manager kolekcí zařízení tak, aby podporovaly zásady zabezpečení koncových bodů z Intune.

  Informace o nastavení připojení tenanta najdete v tématu Konfigurace připojení tenanta pro podporu zásad ochrany koncových bodů.

Podpora pro klienty Microsoft Defender for Endpoint:

• Správa nastavení zabezpečení v Defenderu for Endpoint – Pokud chcete nakonfigurovat podporu nasazení antivirových zásad na zařízení, která jsou spravovaná programem Defender, ale nejsou zaregistrovaná v Intune, přečtěte si téma Správa Microsoft Defender for Endpoint na zařízeních s Microsoft Intune. Tento článek obsahuje také informace o platformách podporovaných touto funkcí a zásadách a profilech, které tyto platformy podporují.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě Intune antivirových zásad najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Požadavky na ochranu před falšováním

Ochrana před falšováním je k dispozici pro zařízení s jedním z následujících operačních systémů:

• macOS (libovolná podporovaná verze)
• Windows 10 a 11 (včetně enterprise s více relacemi)
• Windows Server verze 1803 nebo novější, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 a Windows Server 2016 (s využitím moderního sjednoceného řešení)

Poznámka

Zařízení musí být onboardována do Microsoft Defender for Endpoint (P1 nebo P2). U zařízení se může zobrazit zpoždění, které umožňuje ochranu před neoprávněnou manipulací, pokud nebyla dříve nasazena do Microsoft Defender for Endpoint. Ochrana před falšováním povolí první ohlášení zařízení po onboardingu do Microsoft Defender for Endpoint.

Intune můžete použít ke správě ochrany před falšováním na zařízeních s Windows v rámci profilu prostředí Zabezpečení Windows (zásady antivirové ochrany). To zahrnuje jak zařízení spravovaná pomocí Intune, tak zařízení, která spravujete pomocí Configuration Manager prostřednictvím scénáře připojení tenanta. Ochrana před falšováním je teď k dispozici také pro Službu Azure Virtual Desktop.

Intune spravovaných zařízení

Požadavky na podporu ochrany před falšováním u zařízení spravovaných službou Intune:

• Vaše prostředí musí splňovat požadavky na správu ochrany před falšováním pomocí Intune
• Zařízení jsou onboardována do Microsoft Defender for Endpoint (P1 nebo P2).

Profily zásad antivirové ochrany, které podporují ochranu před falšováním u zařízení spravovaných službou Microsoft Intune:

• Platforma: Windows

  • Profil: Zabezpečení Windows prostředí

  Poznámka

  Od 5. dubna 2022 byla platforma Windows 10 a novější nahrazena platformou Windows 10, Windows 11 a Windows Server, která je nyní pojmenována jednodušeji jako Windows.

  Platforma Windows podporuje zařízení komunikující s Intune prostřednictvím Microsoft Intune nebo Microsoft Defender for Endpoint. Tyto profily také přidávají podporu pro platformu Windows Server, která není nativně podporována prostřednictvím Microsoft Intune.

  Profily pro tuto novou platformu používají formát nastavení, který najdete v katalogu nastavení. Každá nová šablona profilu pro tuto novou platformu obsahuje stejná nastavení jako starší šablona profilu, která nahrazuje. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.

Profil ochrany koncového bodu pro zásady konfigurace zařízení můžete také použít ke konfiguraci ochrany před falšováním pro zařízení spravovaná službou Intune.

Configuration Manager klientů spravovaných prostřednictvím scénáře připojení tenanta

Požadavky na podporu správy ochrany před falšováním pomocí těchto profilů:

• Vaše prostředí musí splňovat požadavky na správu ochrany před falšováním pomocí Intune, jak je podrobně popsáno v dokumentaci k Windows.
• Musíte použít Configuration Manager aktuální větvi 2006 nebo novější.
• Připojení tenanta musíte nakonfigurovat tak, aby podporovalo zásady ochrany koncových bodů. To zahrnuje konfiguraci Configuration Manager kolekcí zařízení pro synchronizaci s Intune.
• Zařízení jsou onboardována do Microsoft Defender for Endpoint (P1 nebo P2).

Profily zásad antivirové ochrany, které podporují ochranu před falšováním u zařízení spravovaných službou Configuration Manager:

• Platforma: Windows (ConfigMgr)
  • Profil: Zabezpečení Windows prostředí (Preview)

Antivirové profily

Zařízení spravovaná službou Microsoft Intune

U zařízení, která spravujete pomocí Intune, se podporují následující profily:

macOS:

• Platforma: macOS

  • Profil: Antivirus – Správa nastavení zásad antivirové ochrany pro macOS.

    Když používáte Microsoft Defender for Endpoint for Mac, můžete nastavení antivirové ochrany nakonfigurovat a nasadit na spravovaná zařízení s macOS prostřednictvím Intune místo toho, abyste tato nastavení konfigurovali pomocí .plist souborů.

Windows:

• Platforma: Windows
  Profily pro tuto platformu je možné použít se zařízeními zaregistrovanými v Intune a zařízeními spravovanými prostřednictvím správy zabezpečení pro Microsoft Defender for Endpoint.

  Poznámka

  Od 5. dubna 2022 byla platforma Windows 10 a novější nahrazena platformou Windows 10, Windows 11 a Windows Server, která je nyní pojmenována jednodušeji jako Windows.

  Platforma Windows podporuje zařízení komunikující s Intune prostřednictvím Microsoft Intune nebo Microsoft Defender for Endpoint. Tyto profily také přidávají podporu pro platformu Windows Server, která není nativně podporována prostřednictvím Microsoft Intune.

  Profily pro tuto novou platformu používají formát nastavení, který najdete v katalogu nastavení. Každá nová šablona profilu pro tuto novou platformu obsahuje stejná nastavení jako starší šablona profilu, která nahrazuje. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.

  • Profil: Microsoft Defender Antivirus – Umožňuje spravovat nastavení zásad antivirové ochrany pro zařízení s Windows.

    Antivirová ochrana v programu Defender je součást ochrany Microsoft Defender for Endpoint nové generace. Ochrana nové generace spojuje technologie, jako je strojové učení a cloudová infrastruktura, a chrání tak zařízení ve vaší podnikové organizaci.

    Profil Microsoft Defender Antivirus je samostatnou instancí nastavení antivirové ochrany, která se nachází v profilu omezení zařízení pro zásady Konfigurace zařízení.

    Na rozdíl od nastavení antivirového softwaru v profilu omezení zařízení můžete tato nastavení použít u zařízení, která jsou společně spravovaná. Pokud chcete použít tato nastavení, musí být posuvník úloh spolusprávy pro Endpoint Protection nastavený na Intune.

  • Profil: Microsoft Defender Vyloučení antivirové ochrany – Umožňuje spravovat nastavení zásad jenom pro vyloučení antivirové ochrany.

    Pomocí této zásady můžete spravovat nastavení pro následující Microsoft Defender poskytovatele konfiguračních služeb antivirové ochrany (CSP), kteří definují vyloučení antivirové ochrany:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Tyto CSP pro vyloučení antivirové ochrany jsou také spravovány zásadami Microsoft Defender Antivirus, které zahrnují identická nastavení pro vyloučení. Nastavení z obou typů zásad (vyloučení antivirové ochrany a antivirové ochrany) podléhají sloučení zásad a vytvoří super sadu vyloučení pro příslušná zařízení a uživatele.

    Upozornění

    Definováním vyloučení snížíte ochranu, kterou Microsoft Defender Antivirus nabízí. Vždy vyhodnoťte rizika spojená s implementací vyloučení. Vylučte jenom soubory, o kterých víte, že nejsou škodlivé.

    Další informace najdete v tématu Přehled vyloučení v dokumentaci k Microsoft Defender.

  • Profil: Zabezpečení Windows prostředí – Umožňuje spravovat nastavení aplikace Zabezpečení Windows, která můžou koncoví uživatelé zobrazit ve službě Microsoft Defender Security Center, a oznámení, která dostanou.

    Aplikaci Zabezpečení Windows používá řada funkcí zabezpečení Windows k poskytování oznámení o stavu a zabezpečení počítače. Mezi oznámení aplikací zabezpečení patří brány firewall, antivirové produkty, filtr SmartScreen v programu Windows Defender a další.

  • Profil: Ovládací prvky aktualizace defenderu – Správa nastavení aktualizací pro Microsoft Defender, včetně následujících nastavení převzatých přímo z programu Defender CSP:

    • Kanál Aktualizace motoru
    • Kanál Aktualizace platformy
    • Kanál Aktualizace analýzy zabezpečení

Zařízení spravovaná službou Configuration Manager

Antivirus

Spravovat nastavení antivirové ochrany pro Configuration Manager zařízení, když používáte připojení tenanta.

Cesta k zásadám:

• Antivirová ochrana > zabezpečení > koncového bodu ve Windows (ConfigMgr)

Profily:

• Microsoft Defender Antivirus (Preview)
• Zabezpečení Windows prostředí (Preview)

Požadovaná verze Configuration Manager:

• Configuration Manager aktuální větev verze 2006 nebo novější

Podporované platformy Configuration Manager zařízení:

• Windows 8.1 (x86, x64), počínaje Configuration Manager verzí 2010
• Windows 10 a novější (x86, x64, ARM64)
• Windows 11 a novější (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), počínaje Configuration Manager verzí 2010
• Windows Server 2016 a novější (x64)

Důležité

22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.

Sloučení zásad pro nastavení

Některá nastavení antivirových zásad podporují sloučení zásad. Sloučení zásad pomáhá vyhnout se konfliktům, když se na stejná zařízení vztahuje více zásad a konfiguruje stejné nastavení. Intune vyhodnotí nastavení, která sloučení zásad podporuje, pro každého uživatele nebo zařízení tak, jak je převzato ze všech platných zásad. Tato nastavení se pak sloučí do jedné nadmnožině zásad.

Můžete například vytvořit tři samostatné antivirové zásady, které definují různá vyloučení cest k antivirovým souborům. Nakonec se všechny tři zásady přiřadí stejnému uživateli. Vzhledem k tomu, že Microsoft Defender vyloučení cesty k souboru CSP podporuje sloučení zásad, Intune vyhodnotí a zkombinuje vyloučení souborů ze všech platných zásad pro uživatele. Vyloučení se přidají do nadmnožiny a jeden seznam vyloučení se doručí do zařízení uživatelů.

Pokud se sloučení zásad pro nastavení nepodporuje, může dojít ke konfliktu. Konflikty můžou vést k tomu, že uživatel nebo zařízení neobdrží žádné zásady pro dané nastavení. Sloučení zásad například nepodporuje CSP, který brání instalaci odpovídajících ID zařízení (PreventInstallationOfMatchingDeviceID). Konfigurace pro tohoto poskytovatele CSP se neslučují a zpracovávají se samostatně.

Při samostatném zpracování se konflikty zásad řeší následujícím způsobem:

1. Platí nejbezpečnější zásady.
2. Pokud jsou dvě zásady stejně zabezpečené, použije se poslední změněná zásada.
3. Pokud poslední změněná zásada nedokáže konflikt vyřešit, do zařízení se nedoručí žádná zásada.

Sloučení nastavení a CSP, které podporují sloučení zásad

Sloučení zásad podporují následující nastavení:

• Vyloučené procesy – CSP: Defender/ExcludedProcesses
• Vyloučená rozšíření – CSP: Defender/ExcludedExtensions
• Vyloučené cesty – CSP: Defender/ExcludedPaths

Sestavy antivirových zásad

V sestavách antivirových zásad se zobrazují podrobnosti o stavu zabezpečení koncových bodů Antivirové zásady a stav zařízení. Tyto sestavy jsou k dispozici v uzlu Zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

Sestavy zobrazíte tak, že v Centru pro správu Microsoft Intune přejdete na Zabezpečení koncových bodů a vyberete Antivirus. Když vyberete Antivirová ochrana, otevře se stránka Souhrn. Další zobrazení sestav a stavů jsou k dispozici jako další stránky.

Kromě sestav podrobně popsaných v následujících částech najdete další sestavy pro Microsoft Defender Antivirus v uzlu Sestavy v Centru pro správu Microsoft Intune, jak je popsáno v článku Intune Sestavy:

• Zpráva o stavu antivirového agenta (organizační)
• Sestava zjištěného malwaru (organizační)

Souhrn

Na stránce Souhrn můžete vytvořit nové zásady a zobrazit seznam dříve vytvořených zásad. Seznam obsahuje podrobné podrobnosti o profilu, který zásady zahrnují (typ zásady) a o tom, jestli je zásada přiřazená.

Když vyberete zásadu ze seznamu, otevře se stránka Přehled pro tuto instanci zásad a zobrazí se další informace. Po výběru dlaždice z tohoto zobrazení Intune zobrazí další podrobnosti o tomto profilu, pokud jsou k dispozici.

Koncové body, které nejsou v pořádku

Na stránce Koncové body, které nejsou v pořádku , můžete zobrazit informace o stavu antivirového softwaru zařízení s Windows spravovaných pomocí MDM. Tyto informace se vrátí z windows Antivirová ochrana v programu Defender, který běží na zařízení, jako stav agenta hrozeb. Na této stránce vyberte Sloupce a zobrazte úplný seznam podrobností, které jsou k dispozici v sestavě.

V tomto zobrazení se zobrazí jenom zařízení se zjištěnými problémy. Toto zobrazení nezobrazuje podrobnosti o zařízeních, která jsou označená jako čistá.

Informace pro tuto sestavu jsou založené na podrobnostech dostupných od následujících poskytovatelů CSP, které jsou popsány v dokumentaci pro správu klientů systému Windows:

• Defender CSP
• WindowsAdvancedThreatProtection CSP.

Další kroky

Konfigurace zásad zabezpečení koncových bodů

Podívejte se na podrobnosti o nastavení Windows v zastaralých profilech pro zastaralou Windows 10 a novější platformu:

• Nastavení zásad antivirové ochrany
• Vyloučení antivirové ochrany
• Zabezpečení Windows nastavení aplikace