Sdílet prostřednictvím


Správa zásad zabezpečení koncových bodů na zařízeních onboardovaných do Microsoft Defenderu for Endpoint

Když používáte Microsoft Defender for Endpoint, můžete nasadit zásady zabezpečení koncových bodů z Microsoft Intune a spravovat nastavení zabezpečení Defenderu na zařízeních, která jste do Defenderu onboardovali, aniž byste tato zařízení zaregistrovali v Intune. Tato funkce se označuje jako správa nastavení zabezpečení defenderu for Endpoint.

Při správě zařízení prostřednictvím správy nastavení zabezpečení:

  • Pomocí Centra pro správu Microsoft Intune nebo portálu Microsoft 365 Defender můžete nakonfigurovat zásady zabezpečení koncových bodů pro Defender for Endpoint a přiřadit je skupinám Microsoft Entra ID. Portál Defender obsahuje uživatelské rozhraní pro zobrazení zařízení, správu zásad a sestavy pro správu nastavení zabezpečení.

    Pokyny ke správě zásad zabezpečení koncových bodů Intune na portálu Defender najdete v tématu Správa zásad zabezpečení koncových bodů v Microsoft Defenderu for Endpoint v obsahu programu Defender.

  • Zařízení získají přiřazené zásady na základě objektu zařízení Entra ID. Zařízení, které ještě není zaregistrované v Microsoft Entra, je připojeno jako součást tohoto řešení.

  • Když zařízení přijme zásadu, komponenty Defenderu for Endpoint na zařízení vynutí zásadu a hlásí stav zařízení. Stav zařízení je k dispozici v Centru pro správu Microsoft Intune a na portálu Microsoft Defender.

Tento scénář rozšiřuje plochu Microsoft Intune Endpoint Security na zařízení, která se nemůžou registrovat v Intune. Když je zařízení spravované pomocí Intune (zaregistrované v Intune), nezpracovává zásady pro správu nastavení zabezpečení defenderu for Endpoint. Místo toho použijte Intune k nasazení zásad pro Defender for Endpoint na vaše zařízení.

Platí pro:

  • Windows 10 a Windows 11
  • Windows Server (2012 R2 a novější)
  • Linux
  • macOS

Koncepční prezentace řešení Microsoft Defender for Endpoint-Attach.

Požadavky

V následujících částech najdete požadavky na scénář správy nastavení zabezpečení defenderu for Endpoint.

Prostředí

Když se podporované zařízení připojí k Microsoft Defenderu for Endpoint:

  • Zařízení se dotazuje na existující stav Microsoft Intune, což je registrace správy mobilních zařízení (MDM) do Intune.
  • Zařízení bez přítomnosti Intune umožňují funkci správy nastavení zabezpečení.
  • Pro zařízení, která nejsou plně zaregistrovaná v microsoft entra, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která zařízení umožňuje načíst zásady. Plně registrovaná zařízení používají svou aktuální registraci.
  • Zásady načtené z Microsoft Intune vynucuje na zařízení Microsoft Defender for Endpoint.

Správa nastavení zabezpečení se zatím v cloudech pro státní správu nepodporuje. Další informace najdete v tématu Parita funkcí s komerčními aplikacemi v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Požadavky na připojení

Zařízení musí mít přístup k následujícímu koncovému bodu:

  • *.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení a vytváření sestav a které se můžou při škálování služby měnit.

Podporované platformy

Zásady pro správu zabezpečení v programu Microsoft Defender for Endpoint jsou podporované pro následující platformy zařízení:

Linux:

S agentem Microsoft Defender for Endpoint pro Linux verze 101.23052.0009 nebo novější podporuje správa nastavení zabezpečení následující distribuce Linuxu:

  • Red Hat Enterprise Linux 7.2 nebo novější
  • CentOS 7.2 nebo novější
  • Ubuntu 16.04 LTS nebo novější LTS
  • Debian 9 nebo novější
  • SUSE Linux Enterprise Server 12 nebo novější
  • Oracle Linux 7.2 nebo novější
  • Amazon Linux 2
  • Fedora 33 nebo novější

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro Linux. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.

Známý problém: U agenta Defender verze 101.23052.0009 se zařízení s Linuxem nepodaří zaregistrovat, když jim chybí následující cesta k souboru: /sys/class/dmi/id/board_vendor.

macOS:

U agenta Microsoft Defender for Endpoint pro macOS verze 101.23052.0004 nebo novější podporuje správa nastavení zabezpečení následující verze macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro macOS. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v macOS.

Známý problém: U agenta Defender verze 101.23052.0004 obdrží zařízení s macOS zaregistrovaná v Microsoft Entra ID před registrací pomocí správy nastavení zabezpečení duplicitní ID zařízení v Microsoft Entra ID, což je syntetická registrace. Když vytváříte skupinu Microsoft Entra pro cílení zásad, musíte použít syntetické ID zařízení vytvořené správou nastavení zabezpečení. V Microsoft Entra ID je sloupec Join Type (Typ spojení) pro syntetické ID zařízení prázdný.

Windows:

Správa nastavení zabezpečení nefunguje a nepodporuje se na následujících zařízeních:

  • Non-persistent desktops, jako jsou klienti infrastruktury virtuálních klientských počítačů (VDI) nebo Azure Virtual Desktops.
  • Řadiče domény

Důležité

V některých případech je možné řadiče domény, na kterých běží serverový operační systém nižší úrovně (2012 R2 nebo 2016), neúmyslně spravovat Microsoft Defender for Endpoint. Abyste měli jistotu, že k tomu ve vašem prostředí nedojde, doporučujeme zajistit, aby vaše řadiče domény nebyly označeny jako MDE-Management ani spravovány pomocí MDE.

Licencování a předplatná

Pokud chcete používat správu nastavení zabezpečení, potřebujete:

  • Předplatné, které uděluje licence pro Microsoft Defender for Endpoint, jako je Microsoft 365, nebo samostatnou licenci jenom pro Microsoft Defender for Endpoint. Předplatné, které uděluje licence Microsoft Defenderu for Endpoint, také uděluje vašemu tenantovi přístup k uzlu zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

    Poznámka

    Výjimka: Pokud máte přístup k Microsoft Defenderu for Endpoint jenom prostřednictvím Microsoft Defenderu pro servery (součást Microsoft Defenderu pro cloud, dříve Azure Security Center), funkce správy nastavení zabezpečení nejsou dostupné. Budete muset mít aktivní alespoň jednu licenci předplatného Microsoft Defenderu for Endpoint (uživatele).

    Uzel zabezpečení koncového bodu je místo, kde konfigurujete a nasazujete zásady pro správu Microsoft Defenderu for Endpoint pro vaše zařízení a monitorování stavu zařízení.

    Aktuální informace o možnostech najdete v tématu Minimální požadavky pro Microsoft Defender for Endpoint.

Architecture

Následující diagram představuje koncepční znázornění řešení pro správu konfigurace zabezpečení v programu Microsoft Defender for Endpoint.

Koncepční diagram řešení pro správu konfigurace zabezpečení v programu Microsoft Defender for Endpoint

  1. Zařízení se připojte k Microsoft Defenderu for Endpoint.
  2. Zařízení komunikují s Intune. Tato komunikace umožňuje Microsoft Intune distribuovat zásady, které jsou cílené na zařízení při jejich ohlášení.
  3. Registrace se vytvoří pro každé zařízení v Microsoft Entra ID:
    • Pokud bylo zařízení dříve plně zaregistrované, například zařízení hybrid join, použije se stávající registrace.
    • Pro zařízení, která nejsou zaregistrovaná, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která umožní zařízení načíst zásady. Pokud má zařízení se syntetickou registrací vytvořenou úplnou registraci Microsoft Entra, syntetická registrace se odebere a správa zařízení pokračuje bez přerušení pomocí úplné registrace.
  4. Defender for Endpoint hlásí stav zásad zpět do Microsoft Intune.

Důležité

Správa nastavení zabezpečení používá syntetickou registraci pro zařízení, která se plně neregistrují v Microsoft Entra ID, a zahodí požadavek na hybridní připojení Microsoft Entra. Po této změně se zařízení s Windows, u kterých dříve došlo k chybám registrace, začnou onboardovat do programu Defender a pak budou přijímat a zpracovávat zásady správy nastavení zabezpečení.

Pokud chcete vyfiltrovat zařízení, která se nemohla zaregistrovat, protože nesplníte předpoklad hybridního připojení k Microsoft Entra, přejděte na seznam Zařízení na portálu Microsoft Defender a vyfiltrujte podle stavu registrace. Vzhledem k tomu, že tato zařízení nejsou plně zaregistrovaná, zobrazují se jejich atributy zařízení MDM = Intune a Typ = připojeníprázdný. Tato zařízení se teď budou registrovat se správou nastavení zabezpečení pomocí syntetické registrace.

Po registraci se tato zařízení zobrazí v seznamech zařízení pro portály Microsoft Defender, Microsoft Intune a Microsoft Entra. I když zařízení nebudou plně zaregistrovaná v Microsoft Entra, jejich syntetická registrace se počítá jako jeden objekt zařízení.

Co očekávat na portálu Microsoft Defender

Pomocí inventáře zařízení V programu Microsoft Defender XDR můžete ověřit, jestli zařízení používá funkci správy nastavení zabezpečení v Defenderu for Endpoint, a to tak, že zkontrolujete stav zařízení ve sloupci Spravováno. Informace Spravováno jsou k dispozici také na bočním panelu zařízení nebo na stránce zařízení. Spravovaná by měla konzistentně znamenat, že je spravovaná pomocí MDE. 

Můžete také ověřit, že se zařízení úspěšně zaregistrovalo do správy nastavení zabezpečení tím, že potvrdíte, že se na panelu nebo stránce zařízení na straně zařízení zobrazuje stav registrace MDE jako Úspěch.

Snímek obrazovky se stavem registrace správy nastavení zabezpečení zařízení na stránce zařízení na portálu Microsoft Defender

Pokud se ve stavu registrace MDE nezobrazuje Úspěch, ujistěte se, že se díváte na aktualizované zařízení, které je v oboru správy nastavení zabezpečení. (Obor konfigurujete na stránce Obor vynucení při konfiguraci správy nastavení zabezpečení.)

Co očekávat v Centru pro správu Microsoft Intune

V Centru pro správu Microsoft Intune přejděte na stránku Všechna zařízení. Zařízení zaregistrovaná se správou nastavení zabezpečení se tady zobrazují jako na portálu Defender. V Centru pro správu by se v poli zařízení Spravovaná měla zobrazit MDE.

Snímek obrazovky se stránkou zařízení v Centru pro správu Intune se zvýrazněným stavem spravovaného zařízení

Tip

V červnu 2023 začala správa nastavení zabezpečení používat syntetickou registraci pro zařízení, která se plně neregistrují v Microsoft Entra. Po této změně se zařízení, u kterých dříve došlo k chybám registrace, začnou onboardovat do Defenderu a pak přijímat a zpracovávat zásady správy nastavení zabezpečení.

Co očekávat na portálu Microsoft Azure

Na stránce Všechna zařízení Na portálu Microsoft Azure můžete zobrazit podrobnosti o zařízení.

Snímek obrazovky se stránkou Všechna zařízení na portálu Microsoft Azure Se zvýrazněným ukázkovým zařízením

Pokud chcete zajistit, aby všechna zařízení zaregistrovaná ve správě nastavení zabezpečení defenderu for Endpoint dostávala zásady, doporučujeme vytvořit dynamickou skupinu Microsoft Entra založenou na typu operačního systému zařízení. S dynamickou skupinou se zařízení spravovaná defenderem for Endpoint automaticky přidají do skupiny, aniž by správci museli provádět jiné úlohy, jako je vytvoření nové zásady.

Důležité

Od července 2023 do 25. září 2023 spustila správa nastavení zabezpečení výslovný souhlas s verzí Public Preview, která zavedla nové chování pro zařízení, která byla spravovaná a zaregistrovaná do scénáře. Od 25. září 2023 je chování verze Public Preview obecně dostupné a teď platí pro všechny tenanty, kteří používají správu nastavení zabezpečení.

Pokud jste používali správu nastavení zabezpečení před 25. zářím 2023 a nepřipojili jste se k verzi Public Preview, která běžela od 25. července 2023 do 25. září 2023, zkontrolujte skupiny Microsoft Entra, které spoléhají na systémové popisky, aby prováděly změny, které identifikují nová zařízení, která spravujete pomocí správy nastavení zabezpečení. Důvodem je to, že před 25. zářím 2023 by zařízení, která nejsou spravovaná prostřednictvím verze Public Preview, používala k identifikaci spravovaných zařízení následující systémové popisky (značky) MDEManaged a MDEJoined . Tyto dva systémové popisky se už nepodporují a už se nepřidávají do zařízení, která se registrují.

Pro dynamické skupiny použijte následující doprovodné materiály:

  • (Doporučeno) Při cílení na zásady použijte dynamické skupiny založené na platformě zařízení pomocí atributu deviceOSType (Windows, Windows Server, macOS, Linux), abyste zajistili, že se zásady budou dál doručovat pro zařízení, která mění typy správy, například během registrace MDM.

  • V případě potřeby je možné zacílit dynamické skupiny obsahující výhradně zařízení spravovaná programem Defender for Endpoint tak, že definujete dynamickou skupinu pomocí atributu managementTypeMicrosoftSense. Použití tohoto atributu cílí na všechna zařízení spravovaná programem Defender for Endpoint prostřednictvím funkce správy nastavení zabezpečení a zařízení zůstanou v této skupině, jenom když je spravuje Defender for Endpoint.

Pokud chcete při konfiguraci správy nastavení zabezpečení spravovat celé sady platforem operačního systému pomocí Microsoft Defenderu for Endpoint, a to tak, že na stránce Rozsah microsoft Defenderu for Endpoint vyberete všechna zařízení místo označených zařízení , mějte také na paměti, že všechny syntetické registrace se započítávají do kvót Microsoft Entra ID stejně jako úplné registrace.

Jaké řešení mám použít?

Microsoft Intune obsahuje několik metod a typů zásad pro správu konfigurace Defenderu for Endpoint na zařízeních. Následující tabulka uvádí zásady a profily Intune, které podporují nasazení do zařízení spravovaných službou Defender for Endpoint, a může vám pomoct určit, jestli je toto řešení vhodné pro vaše potřeby.

Když nasadíte zásadu zabezpečení koncového bodu, která je podporovaná pro správu nastavení zabezpečení defenderu for Endpoint i Microsoft Intune, může jedna instance této zásady zpracovat:

  • Zařízení podporovaná prostřednictvím správy nastavení zabezpečení (Microsoft Defender)
  • Zařízení spravovaná službou Intune nebo Configuration Managerem

Profily pro platformu Windows 10 a novější nejsou podporované pro zařízení spravovaná správou nastavení zabezpečení.

Pro každý typ zařízení se podporují následující profily:

Linux

Následující typy zásad podporují platformu Linux .

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány

macOS

Následující typy zásad podporují platformu macOS .

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány

Windows 10, Windows 11 a Windows Server

Pokud chcete podporovat použití se správou nastavení zabezpečení v programu Microsoft Defender, musí zásady pro zařízení s Windows používat platformu Windows 10, Windows 11 a Windows Server . Každý profil pro platformu Windows 10, Windows 11 a Windows Server se může vztahovat na zařízení spravovaná pomocí Intune a na zařízení spravovaná správou nastavení zabezpečení.

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Ovládací prvky aktualizace defenderu Podporovány Podporovány
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Antivirus Prostředí zabezpečení Windows Poznámka 1 Podporovány
Zmenšení prostoru útoku Pravidla omezení potenciální oblasti útoku Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány
Brány firewall Brány firewall Podporovány Podporovány
Brány firewall Pravidla brány firewall Podporovány Podporovány

1 – Profil Prostředí zabezpečení Windows je k dispozici na portálu Defender, ale platí jenom pro zařízení spravovaná službou Intune. Nepodporuje se pro zařízení spravovaná správou nastavení zabezpečení v programu Microsoft Defender.

Zásady zabezpečení koncových bodů jsou samostatné skupiny nastavení určené pro správce zabezpečení, kteří se zaměřují na ochranu zařízení ve vaší organizaci. Níže jsou uvedené popisy zásad, které podporují správu nastavení zabezpečení:

  • Antivirové zásady spravují konfigurace zabezpečení, které najdete v Microsoft Defenderu for Endpoint. Projděte si zásady antivirové ochrany pro zabezpečení koncových bodů.

    Poznámka

    I když koncové body nevyžadují restartování, aby bylo možné použít upravená nastavení nebo nové zásady, víme o problému, kdy nastavení AllowOnAccessProtection a DisableLocalAdminMerge můžou občas vyžadovat, aby koncoví uživatelé restartovali svá zařízení, aby se tato nastavení aktualizovala. V současné době tento problém prošetřujeme, abychom mohli poskytnout řešení.

  • Zásady omezení potenciální oblasti útoku (ASR) se zaměřují na minimalizaci míst, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Při správě nastavení zabezpečení se pravidla ASR vztahují na zařízení s Windows 10, Windows 11 a Windows Serverem.

    Aktuální pokyny k nastavení, která se vztahují na různé platformy a verze, najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky Ve Windows.

    Tip

    Pokud chcete udržovat podporované koncové body v aktualizovaném stavu, zvažte použití moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

    Viz také:

  • Zásady detekce a odezvy koncových bodů (EDR) spravují funkce Defenderu for Endpoint, které poskytují pokročilé detekce útoků, které jsou téměř v reálném čase a dají se na ně reagovat. Na základě konfigurací EDR můžou analytici zabezpečení efektivně určit priority výstrah, získat přehled o plném rozsahu narušení zabezpečení a provádět akce reakce na nápravu hrozeb. Informace o zabezpečení koncových bodů najdete v tématu o zásadách detekce koncových bodů a odpovědí .

  • Zásady brány firewall se zaměřují na bránu firewall defenderu na vašich zařízeních. Informace o zabezpečení koncových bodů najdete v tématu Zásady brány firewall .

  • Pravidla brány firewall konfigurují podrobná pravidla pro brány firewall, včetně konkrétních portů, protokolů, aplikací a sítí. Informace o zabezpečení koncových bodů najdete v tématu Zásady brány firewall .

Konfigurace tenanta pro podporu správy nastavení zabezpečení defenderu for Endpoint

Pokud chcete podporovat správu nastavení zabezpečení prostřednictvím Centra pro správu Microsoft Intune, musíte mezi nimi povolit komunikaci z každé konzoly.

Následující části vás tímto procesem provedou.

Konfigurace Microsoft Defenderu for Endpoint

Na portálu Microsoft Defender for Endpoint jako správce zabezpečení:

  1. Přihlaste se k portálu Microsoft Defender, přejděte na Nastavení>Koncové body>Rozsah vynucenísprávy> konfigurace a povolte platformy pro správu nastavení zabezpečení.

    Povolte správu nastavení Microsoft Defenderu for Endpoint na portálu Microsoft Defender.

    Poznámka

    Pokud máte oprávnění Spravovat nastavení zabezpečení ve službě Security Center na portálu Microsoft Defender for Endpoint a máte současně povoleno zobrazit zařízení ze všech skupin zařízení (bez omezení řízení přístupu na základě role pro uživatelská oprávnění), můžete tuto akci provést také.

  2. Zpočátku doporučujeme funkci otestovat pro každou platformu tak, že vyberete možnost platformy v části Na označených zařízeních a pak označíte zařízení značkou MDE-Management .

    Důležité

    Použití funkce dynamické značky Microsoft Defenderu for Endpoint k označování zařízení pomocí správy MDE se v současné době nepodporuje se správou nastavení zabezpečení. Zařízení označená touto funkcí se úspěšně nezaregistrují. Tento problém se stále zkoumá.

    Tip

    Pomocí správných značek zařízení otestujte a ověřte zavedení na malém počtu zařízení. Když vyberete Všechna zařízení, všechna zařízení, která spadají do nakonfigurovaného oboru, se automaticky zaregistrují.

  3. Nakonfigurujte funkci onboardovaných zařízení Microsoft Defenderu for Cloud a nastavení autority Configuration Manageru tak, aby vyhovovala potřebám vaší organizace:

    Nakonfigurujte pilotní režim pro správu nastavení koncového bodu na portálu Microsoft Defender.

    Tip

    Pokud chcete zajistit, aby uživatelé portálu Microsoft Defender for Endpoint měli konzistentní oprávnění na různých portálech( pokud ještě nejsou k dispozici), požádejte správce IT, aby jim udělil integrovanou roli RBAC v Microsoft Intune Endpoint Security Manageru.

Konfigurace Intune

V Centru pro správu Microsoft Intune potřebuje váš účet oprávnění rovnající se integrované roli řízení přístupu na základě role (RBAC) endpoint Security Manageru.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zabezpečení koncového bodu>Microsoft Defender for Endpoint a nastavte Povolit Microsoft Defenderu for Endpoint vynucovat konfigurace zabezpečení koncových bodů na Zapnuto.

    Povolte správu nastavení Microsoft Defenderu for Endpoint v Centru pro správu Microsoft Intune.

    Když nastavíte tuto možnost na Zapnuto, všechna zařízení v oboru platformy pro Microsoft Defender for Endpoint, která nejsou spravovaná Službou Microsoft Intune, mají nárok na onboarding do Microsoft Defenderu for Endpoint.

Onboarding zařízení do Microsoft Defenderu for Endpoint

Microsoft Defender for Endpoint podporuje několik možností onboardingu zařízení. Aktuální doprovodné materiály najdete v tématu Onboarding do Microsoft Defenderu for Endpoint v dokumentaci k programu Defender for Endpoint.

Koexistence s Microsoft Configuration Managerem

V některých prostředích může být žádoucí používat správu nastavení zabezpečení u zařízení spravovaných nástrojem Configuration Manager. Pokud používáte obojí, musíte zásady řídit prostřednictvím jednoho kanálu. Použití více než jednoho kanálu vytváří příležitost ke konfliktům a nežádoucím výsledkům.

Pokud to chcete podporovat, nakonfigurujte přepínač Spravovat nastavení zabezpečení pomocí nástroje Configuration Manager na Vypnuto. Přihlaste se k portálu Microsoft Defender a přejděte do části Nastavení> Rozsahvynucování>správy> konfiguracekoncových bodů:

Snímek obrazovky portálu Defender zobrazující přepínač Spravovat nastavení zabezpečení pomocí Configuration Manageru nastavený na Vypnuto.

Vytvoření skupin Microsoft Entra

Po připojení zařízení k Defenderu for Endpoint budete muset vytvořit skupiny zařízení pro podporu nasazení zásad pro Microsoft Defender for Endpoint. Identifikace zařízení, která se zaregistrovala pomocí Microsoft Defenderu for Endpoint, ale nespravuje je Intune nebo Configuration Manager:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte na Zařízení>Všechna zařízení a pak výběrem sloupce Spravováno seřaďte zobrazení zařízení.

    Zařízení, která se onboardují do Microsoft Defenderu for Endpoint a zaregistrovala se, ale nespravuje je Intune, zobrazí Microsoft Defender for Endpoint ve sloupci Spravováno. Toto jsou zařízení, která můžou přijímat zásady správy zabezpečení pro Microsoft Defender for Endpoint.

    Od 25. září 2023 už nejde zařízení, která používají správu zabezpečení pro Microsoft Defender for Endpoint, identifikovat pomocí následujících systémových popisků:

    • MDEJoined – zastaralá značka, která byla dříve přidána do zařízení připojených k adresáři v rámci tohoto scénáře.
    • MDEManaged – nyní zastaralá značka, která byla dříve přidána do zařízení, která aktivně používala scénář správy zabezpečení. Tato značka se ze zařízení odebere, pokud Defender for Endpoint přestane spravovat konfiguraci zabezpečení.

    Místo použití systémových popisků můžete použít atribut typu správy a nakonfigurovat ho na MicrosoftSense.

Skupiny pro tato zařízení můžete vytvořit v Microsoft Entra nebo v Centru pro správu Microsoft Intune. Při vytváření skupin můžete použít hodnotu operačního systému pro zařízení, pokud nasazujete zásady do zařízení s Windows Serverem a zařízení s klientskou verzí Windows:

  • Windows 10 a Windows 11 – deviceOSType nebo OS se zobrazí jako Windows.
  • Windows Server – deviceOSType nebo OS se zobrazí jako Windows Server.
  • Zařízení s Linuxem – deviceOSType nebo OS se zobrazí jako Linux.

Ukázkové dynamické skupiny Intune se syntaxí pravidla

Pracovní stanice Windows:

Snímek obrazovky s dynamickou skupinou Intune pro pracovní stanice Windows

Windows Servery:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Servery

Zařízení s Linuxem:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Linux

Důležité

V květnu 2023 se zařízení deviceOSType aktualizovalo, aby rozlišovalo mezi klienty Windows a Servery Windows.

Vlastní skripty a dynamické skupiny zařízení Microsoft Entra vytvořené před touto změnou, které určují pravidla, která odkazují pouze na Systém Windows , můžou při použití se správou zabezpečení pro Microsoft Defender for Endpoint vyloučit servery Windows . Příklady:

  • Pokud máte pravidlo, které k identifikaci Windows používá equals operátor nebonot equals, ovlivní tato změna vaše pravidlo. Je to proto, že windows iWindows Server byly dříve hlášeny jako Windows. Chcete-li pokračovat v zahrnutí obou, je nutné aktualizovat pravidlo tak, aby odkazovat také na Windows Server.
  • Pokud máte pravidlo, které k zadání Windows používá contains operátor nebolike, nebude tato změna ovlivněna. Tito operátoři můžou najít Windows i Windows Server.

Tip

Uživatelé, kteří mají delegovanou možnost spravovat nastavení zabezpečení koncových bodů, nemusí mít možnost implementovat konfigurace pro celého tenanta v Microsoft Intune. Další informace o rolích a oprávněních ve vaší organizaci vám poskytne správce Intune.

Nasazení zásad

Po vytvoření jedné nebo více skupin Microsoft Entra, které obsahují zařízení spravovaná programem Microsoft Defender for Endpoint, můžete do těchto skupin vytvořit a nasadit následující zásady pro správu nastavení zabezpečení. Dostupné zásady a profily se liší podle platformy.

Seznam kombinací zásad a profilů podporovaných pro správu nastavení zabezpečení najdete v grafu v části Které řešení mám použít? dříve v tomto článku.

Tip

Vyhněte se nasazování více zásad, které spravují stejné nastavení na zařízení.

Microsoft Intune podporuje nasazení více instancí každého typu zásad zabezpečení koncového bodu do stejného zařízení, přičemž každou instanci zásad přijímá zařízení samostatně. Proto může zařízení přijímat samostatné konfigurace pro stejné nastavení od různých zásad, což vede ke konfliktu. Některá nastavení (například vyloučení antivirové ochrany) se v klientovi sloučí a úspěšně se použijí.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte na Zabezpečení koncového bodu, vyberte typ zásady, kterou chcete nakonfigurovat, a pak vyberte Vytvořit zásadu.

  3. Jako zásadu vyberte platformu a profil, které chcete nasadit. Seznam platforem a profilů, které podporují správu nastavení zabezpečení, najdete v grafu v části Které řešení mám použít? dříve v tomto článku.

    Poznámka

    Podporované profily se vztahují na zařízení, která komunikují pomocí správy mobilních zařízení (MDM) s Microsoft Intune, a zařízení, která komunikují pomocí klienta Microsoft Defenderu for Endpoint.

    Podle potřeby zkontrolujte cílení a skupiny.

  4. Vyberte Vytvořit.

  5. Na stránce Základy zadejte název a popis profilu a pak zvolte Další.

  6. Na stránce Nastavení konfigurace vyberte nastavení, která chcete spravovat pomocí tohoto profilu.

    Další informace o nastavení získáte tak, že rozbalíte dialogové okno s informacemi o nastavení a vyberete odkaz Další informace a zobrazí se online dokumentace ke zprostředkovateli konfiguračních služeb (CSP) nebo související podrobnosti o daném nastavení.

    Až dokončíte konfiguraci nastavení, vyberte Další.

  7. Na stránce Přiřazení vyberte skupiny Microsoft Entra, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Pokračujte výběrem možnosti Další .

    Tip

    • Filtry přiřazení nejsou podporované pro zařízení spravovaná správou nastavení zabezpečení.
    • Pro správu Microsoft Defenderu for Endpoint se vztahují pouze objekty zařízení . Cílení na uživatele není podporováno.
    • Nakonfigurované zásady se budou vztahovat na klienty Microsoft Intune i Microsoft Defenderu for Endpoint.
  8. Dokončete proces vytváření zásad a pak na stránce Zkontrolovat a vytvořit vyberte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

  9. Počkejte, až se zásada přiřadí, a zobrazí se indikátor úspěšnosti použití zásady.

  10. Pomocí příkazového nástroje Get-MpPreference můžete ověřit, jestli se nastavení použilo místně na klientovi.

Stav monitorování

Stav a sestavy zásad, které cílí na zařízení v tomto kanálu, jsou dostupné z uzlu zásad v části Zabezpečení koncových bodů v Centru pro správu Microsoft Intune.

Přejděte k podrobnostem o typu zásady a výběrem zásady zobrazte její stav. Seznam platforem, typů zásad a profilů, které podporují správu nastavení zabezpečení, si můžete prohlédnout v tabulce v části Které řešení mám použít dříve v tomto článku.

Když vyberete zásadu, můžete zobrazit informace o stavu ohlášení zařízení a vybrat:

  • Zobrazit sestavu – Zobrazí seznam zařízení, která zásadu přijala. Můžete vybrat zařízení, které chcete přejít k podrobnostem, a zobrazit jeho stav podle nastavení. Pak můžete vybrat nastavení a zobrazit o něm další informace, včetně dalších zásad, které spravují stejné nastavení, což může být zdrojem konfliktů.

  • Stav nastavení – Zobrazí nastavení spravovaná zásadami a počet úspěšných, chyb nebo konfliktů pro jednotlivá nastavení.

Nejčastější dotazy a důležité informace

Frekvence ocházení zařízení

Zařízení spravovaná touto funkcí se každých 90 minut přihlašují k aktualizaci zásad v Microsoft Intune.

Zařízení můžete ručně synchronizovat na vyžádání z portálu Microsoft Defender. Přihlaste se k portálu a přejděte na Zařízení. Vyberte zařízení spravované programem Microsoft Defender for Endpoint a pak vyberte tlačítko Synchronizace zásad :

Ručně synchronizujte zařízení spravovaná pomocí Microsoft Defenderu for Endpoint.

Tlačítko synchronizace zásad se zobrazí jenom u zařízení, která jsou úspěšně spravovaná pomocí Microsoft Defenderu for Endpoint.

Zařízení chráněná ochranou před falšováním

Pokud je na zařízení zapnutá ochrana před falšováním, není možné upravit hodnoty nastavení Ochrany před falšováním, aniž byste nejdřív zakázali ochranu před falšováním.

Správa filtrů přiřazení a nastavení zabezpečení

Filtry přiřazení nejsou podporované pro zařízení komunikující prostřednictvím kanálu Microsoft Defenderu for Endpoint. Filtry přiřazení se dají přidat do zásad, které by mohly cílit na tato zařízení, ale zařízení filtry přiřazení ignorují. Pro podporu filtru přiřazení musí být zařízení zaregistrované v Microsoft Intune.

Odstraňování a odebírání zařízení

Zařízení, která používají tento tok, můžete odstranit pomocí jedné ze dvou metod:

  • V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení, vyberte zařízení, které se zobrazuje MDEJoined nebo MDEManaged ve sloupci Spravováno , a pak vyberte Odstranit.
  • Zařízení můžete také odebrat z oboru Správa konfigurace ve službě Security Center.

Po odebrání zařízení z libovolného umístění se tato změna rozšíří do jiné služby.

Nejde povolit úlohu Správa zabezpečení pro Microsoft Defender for Endpoint v zabezpečení koncového bodu

Většinu počátečních toků zřizování obvykle dokončí správce obou služeb (například globální správce). V některých situacích se k přizpůsobení oprávnění správců používá správa na základě rolí. V současné chvíli nemusí mít jednotlivci, kteří mají delegovanou roli Správce zabezpečení koncového bodu , potřebná oprávnění k povolení této funkce.

Zařízení připojená k Microsoft Entra

Zařízení, která jsou připojená ke službě Active Directory, používají k dokončení procesu hybridního připojení Microsoft Entra svoji stávající infrastrukturu .

Nepodporovaná nastavení zabezpečení

Následující nastavení zabezpečení čekají na vyřazení. Tok správy nastavení zabezpečení defenderu for Endpoint nepodporuje tato nastavení:

  • Urychlíte frekvenci generování sestav telemetrie (v části Detekce a odezva koncového bodu)
  • AllowIntrusionPreventionSystem (v části Antivirus)
  • Ochrana před falšováním (v části Prostředí zabezpečení Windows). Toto nastavení neschybuje na vyřazení, ale v současné době není podporováno.

Použití správy nastavení zabezpečení na řadičích domény

Vzhledem k tomu, že se vyžaduje vztah důvěryhodnosti ID Microsoft Entra, řadiče domény se v současné době nepodporují. Hledáme způsoby, jak tuto podporu přidat.

Důležité

V některých případech je možné řadiče domény, na kterých běží serverový operační systém nižší úrovně (2012 R2 nebo 2016), neúmyslně spravovat Microsoft Defender for Endpoint. Abyste měli jistotu, že k tomu ve vašem prostředí nedojde, doporučujeme zajistit, aby vaše řadiče domény nebyly označeny jako MDE-Management ani spravovány pomocí MDE.

Instalace jádra serveru

Správa nastavení zabezpečení nepodporuje instalace jader serveru kvůli omezením platformy jádra serveru.

Režim omezení PowerShellu

Je potřeba povolit PowerShell.

Správa nastavení zabezpečení nefunguje pro zařízení s nakonfigurovaným režimem JazykaPowerShellu s režimemenabledConstrainedLanguage . Další informace najdete v tématu about_Language_Modes v dokumentaci k PowerShellu.

Správa zabezpečení prostřednictvím MDE, pokud jste dříve používali nástroj zabezpečení třetí strany

Pokud jste na počítači dříve měli nástroj zabezpečení třetí strany a teď ho spravujete pomocí MDE, může to mít ve výjimečných případech určitý dopad na schopnost MDE spravovat nastavení zabezpečení. V takových případech v rámci řešení potíží odinstalujte a znovu nainstalujte nejnovější verzi MDE na svém počítači.

Další kroky