Správa zásad zabezpečení koncových bodů na zařízeních nasazených k Microsoft Defender for Endpoint

  • Článek

Když používáte Microsoft Defender for Endpoint, můžete nasadit zásady zabezpečení koncových bodů z Microsoft Intune a spravovat nastavení zabezpečení Defenderu na zařízeních, která jste do Defenderu onboardovali, aniž byste tato zařízení zaregistrovali s Intune. Tato funkce se označuje jako správa nastavení zabezpečení defenderu for Endpoint.

Při správě zařízení prostřednictvím správy nastavení zabezpečení:

  • Pomocí Centra pro správu Microsoft Intune nebo portálu Microsoft 365 Defender můžete nakonfigurovat zásady zabezpečení koncových bodů pro Defender for Endpoint a přiřadit je Microsoft Entra ID skupinám. Portál Defender obsahuje uživatelské rozhraní pro zobrazení zařízení, správu zásad a sestavy pro správu nastavení zabezpečení.

    Pokyny ke správě zásad zabezpečení koncových bodů Intune na portálu Defender najdete v tématu Správa zásad zabezpečení koncových bodů v Microsoft Defender for Endpoint v obsahu programu Defender.

  • Zařízení získají přiřazené zásady na základě objektu zařízení Entra ID. Zařízení, které ještě není zaregistrované v Microsoft Entra, se připojí jako součást tohoto řešení.

  • Když zařízení přijme zásadu, komponenty Defenderu for Endpoint na zařízení vynutí zásadu a hlásí stav zařízení. Stav zařízení je k dispozici v Centru pro správu Microsoft Intune a na portálu Microsoft Defender.

Tento scénář rozšiřuje plochu Microsoft Intune Endpoint Security na zařízení, která se nemůžou zaregistrovat do Intune. Když zařízení spravuje Intune (zaregistrované v Intune), nezpracovává zásady pro správu nastavení zabezpečení defenderu for Endpoint. Místo toho použijte Intune k nasazení zásad pro Defender for Endpoint do vašich zařízení.

Platí pro:

  • Windows 10 a Windows 11
  • Windows Server (2012 R2 a novější)
  • Linux
  • macOS

Koncepční prezentace Microsoft Defender pro Endpoint-Attach řešení

Požadavky

V následujících částech najdete požadavky na scénář správy nastavení zabezpečení defenderu for Endpoint.

Prostředí

Když se podporované zařízení připojí k Microsoft Defender for Endpoint:

  • Zařízení se dotazuje na existující stav Microsoft Intune, což je registrace správy mobilních zařízení (MDM) pro Intune.
  • Zařízení bez Intune přítomnosti umožňují funkci správy nastavení zabezpečení.
  • Pro zařízení, která nejsou plně Microsoft Entra zaregistrovaná, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která zařízení umožňuje načíst zásady. Plně registrovaná zařízení používají svou aktuální registraci.
  • Zásady načtené z Microsoft Intune vynucují na zařízení Microsoft Defender for Endpoint.

Správa nastavení zabezpečení se zatím v cloudech pro státní správu nepodporuje. Další informace najdete v tématu Parita funkcí s komerčními v Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Požadavky na připojení

Zařízení musí mít přístup k následujícímu koncovému bodu:

  • *.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení a vytváření sestav a které se můžou při škálování služby měnit.

Podporované platformy

Zásady pro správu zabezpečení Microsoft Defender for Endpoint jsou podporované pro následující platformy zařízení:

Linux:

S Microsoft Defender for Endpoint pro agenta pro Linux verze 101.23052.0009 nebo novější podporuje správa nastavení zabezpečení následující distribuce Linuxu:

  • Red Hat Enterprise Linux 7.2 nebo novější
  • CentOS 7.2 nebo novější
  • Ubuntu 16.04 LTS nebo novější LTS
  • Debian 9 nebo novější
  • SUSE Linux Enterprise Server 12 nebo novější
  • Oracle Linux 7.2 nebo novější
  • Amazon Linux 2
  • Fedora 33 nebo novější

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro Linux. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.

Známý problém: U agenta Defender verze 101.23052.0009 se zařízení s Linuxem nepodaří zaregistrovat, když jim chybí následující cesta k souboru: /sys/class/dmi/id/board_vendor.

macOS:

S Microsoft Defender for Endpoint pro agenta macOS verze 101.23052.0004 nebo novější podporuje správa nastavení zabezpečení následující verze macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro macOS. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v macOS.

Známý problém: U agenta Defender verze 101.23052.0004 obdrží zařízení s macOS zaregistrovaná v Microsoft Entra ID před registrací pomocí správy nastavení zabezpečení duplicitní ID zařízení v Microsoft Entra ID, což je syntetická registrace. Když vytvoříte skupinu Microsoft Entra pro cílení na zásady, musíte použít syntetické ID zařízení vytvořené správou nastavení zabezpečení. V Microsoft Entra ID je sloupec Typ spojení pro syntetické ID zařízení prázdný.

Windows:

Správa nastavení zabezpečení nefunguje a nepodporuje se na následujících zařízeních:

  • Non-persistent desktops, jako jsou klienti Infrastruktura virtuálních klientských počítačů (VDI) nebo Azure Virtual Desktops
  • Řadiče domény

Důležité

V některých případech můžou řadiče domény, které používají serverový operační systém nižší úrovně (2012 R2 nebo 2016), neúmyslně spravovat Microsoft Defender for Endpoint. Abyste měli jistotu, že k tomu ve vašem prostředí nedojde, doporučujeme zajistit, aby vaše řadiče domény nebyly označené jako "MDE-Management" ani nespravované MDE.

Licencování a předplatná

Pokud chcete používat správu nastavení zabezpečení, potřebujete:

  • Předplatné, které uděluje licence pro Microsoft Defender for Endpoint, jako je Microsoft 365, nebo samostatnou licenci jenom pro Microsoft Defender for Endpoint. Předplatné, které uděluje licence Microsoft Defender for Endpoint, také uděluje vašemu tenantovi přístup k uzlu zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

    Poznámka

    Výjimka: Pokud máte přístup k Microsoft Defender for Endpoint jenom prostřednictvím Microsoft Defender pro servery (součást Microsoft Defender pro cloud, dříve Azure Security Center), funkce správy nastavení zabezpečení není k dispozici. Budete muset mít aktivní alespoň jednu licenci předplatného Microsoft Defender for Endpoint (uživatele).

    Uzel Zabezpečení koncového bodu je místo, kde konfigurujete a nasazujete zásady pro správu Microsoft Defender for Endpoint pro vaše zařízení a monitorování stavu zařízení.

    Aktuální informace o možnostech najdete v tématu Minimální požadavky na Microsoft Defender for Endpoint.

Architecture

Následující diagram představuje koncepční znázornění řešení správy konfigurace zabezpečení Microsoft Defender for Endpoint.

Koncepční diagram řešení pro správu konfigurace zabezpečení Microsoft Defender for Endpoint

  1. Zařízení se připojte k Microsoft Defender for Endpoint.
  2. Zařízení komunikují s Intune. Tato komunikace umožňuje Microsoft Intune distribuovat zásady cílené na zařízení při jejich ohlášení.
  3. Registrace se vytvoří pro každé zařízení v Microsoft Entra ID:
    • Pokud bylo zařízení dříve plně zaregistrované, například zařízení hybrid join, použije se stávající registrace.
    • Pro zařízení, která nejsou zaregistrovaná, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která umožní zařízení načíst zásady. Pokud má zařízení se syntetickou registrací vytvořenou úplnou Microsoft Entra registraci, syntetická registrace se odebere a správa zařízení pokračuje bez přerušení pomocí úplné registrace.
  4. Defender for Endpoint hlásí stav zásad zpět do Microsoft Intune.

Důležité

Správa nastavení zabezpečení používá syntetickou registraci pro zařízení, která se plně nezaregistrují v Microsoft Entra ID, a zahodí Microsoft Entra požadavky na hybridní připojení. Po této změně se zařízení s Windows, u kterých dříve došlo k chybám registrace, začnou onboardovat do programu Defender a pak budou přijímat a zpracovávat zásady správy nastavení zabezpečení.

Pokud chcete filtrovat zařízení, která se nemohla zaregistrovat, protože nesplní požadavek Microsoft Entra hybridního připojení, přejděte na portálu Microsoft Defender do seznamu Zařízení a vyfiltrujte podle stavu registrace. Vzhledem k tomu, že tato zařízení nejsou plně zaregistrovaná, zobrazují se jejich atributy zařízení MDM = Intune a Typ = připojeníprázdný. Tato zařízení se teď budou registrovat se správou nastavení zabezpečení pomocí syntetické registrace.

Po registraci se tato zařízení zobrazí v seznamech zařízení pro portály Microsoft Defender, Microsoft Intune a Microsoft Entra. Zařízení sice nebudou plně zaregistrovaná pomocí Microsoft Entra, ale jejich syntetická registrace se počítá jako jeden objekt zařízení.

Co očekávat na portálu Microsoft Defender

Pomocí inventáře Microsoft Defender XDR zařízení můžete ověřit, jestli zařízení používá funkci správy nastavení zabezpečení v Defenderu for Endpoint, a to tak, že zkontrolujete stav zařízení ve sloupci Spravováno. Informace Spravováno jsou k dispozici také na bočním panelu zařízení nebo na stránce zařízení. Spravovaná by měla konzistentně ukazovat na to, že ji spravuje MDE. 

Můžete také ověřit, že se zařízení úspěšně zaregistrovalo do správy nastavení zabezpečení tím, že potvrdíte, že se na panelu nebo stránce zařízení na straně zařízení zobrazuje MDE stav registrace jako Úspěch.

Snímek obrazovky se stavem registrace správy nastavení zabezpečení zařízení na stránce zařízení na portálu Microsoft Defender.

Pokud se ve stavu registrace MDE nezobrazuje Úspěch, ujistěte se, že se díváte na aktualizované zařízení, které je v oboru správy nastavení zabezpečení. (Obor konfigurujete na stránce Obor vynucení při konfiguraci správy nastavení zabezpečení.)

Co očekávat v Centru pro správu Microsoft Intune

V Centru pro správu Microsoft Intune přejděte na stránku Všechna zařízení. Zařízení zaregistrovaná se správou nastavení zabezpečení se tady zobrazují jako na portálu Defender. V Centru pro správu by se v poli Zařízení spravovaná měla zobrazit MDE.

Snímek obrazovky se stránkou zařízení v Centru pro správu Intune se zvýrazněným stavem spravovaného zařízení

Tip

V červnu 2023 začala správa nastavení zabezpečení používat syntetickou registraci pro zařízení, která se plně neregistrují v Microsoft Entra. Po této změně se zařízení, u kterých dříve došlo k chybám registrace, začnou onboardovat do Defenderu a pak přijímat a zpracovávat zásady správy nastavení zabezpečení.

Co očekávat v microsoft Azure Portal

Na stránce Všechna zařízení v microsoft Azure Portal můžete zobrazit podrobnosti o zařízení.

Snímek obrazovky se stránkou Všechna zařízení v microsoft Azure Portal se zvýrazněným ukázkovým zařízením

Pokud chcete zajistit, aby všechna zařízení zaregistrovaná ve správě nastavení zabezpečení defenderu for Endpoint dostávala zásady, doporučujeme vytvořit dynamickou skupinu Microsoft Entra na základě typu operačního systému zařízení. S dynamickou skupinou se zařízení spravovaná defenderem for Endpoint automaticky přidají do skupiny, aniž by správci museli provádět jiné úlohy, jako je vytvoření nové zásady.

Důležité

Od července 2023 do 25. září 2023 spustila správa nastavení zabezpečení výslovný souhlas s verzí Public Preview, která zavedla nové chování pro zařízení, která byla spravovaná a zaregistrovaná do scénáře. Od 25. září 2023 je chování verze Public Preview obecně dostupné a teď platí pro všechny tenanty, kteří používají správu nastavení zabezpečení.

Pokud jste používali správu nastavení zabezpečení před 25. zářím 2023 a nepřipojili jste se k verzi Public Preview, která běžela od 25. července 2023 do 25. září 2023, zkontrolujte skupiny Microsoft Entra, které k provádění změn identifikují nová zařízení, která spravujete, a které využívají systémové popisky. Důvodem je to, že před 25. zářím 2023 by zařízení, která nejsou spravovaná prostřednictvím verze Public Preview, používala k identifikaci spravovaných zařízení následující systémové popisky (značky) MDEManaged a MDEJoined . Tyto dva systémové popisky se už nepodporují a už se nepřidávají do zařízení, která se registrují.

Pro dynamické skupiny použijte následující doprovodné materiály:

  • (Doporučeno) Při cílení na zásady použijte dynamické skupiny založené na platformě zařízení pomocí atributu deviceOSType (Windows, Windows Server, macOS, Linux), abyste zajistili, že se zásady budou dál doručovat pro zařízení, která mění typy správy, například během registrace MDM.

  • V případě potřeby je možné zacílit dynamické skupiny obsahující výhradně zařízení spravovaná programem Defender for Endpoint tak, že definujete dynamickou skupinu pomocí atributu managementTypeMicrosoftSense. Použití tohoto atributu cílí na všechna zařízení spravovaná programem Defender for Endpoint prostřednictvím funkce správy nastavení zabezpečení a zařízení zůstanou v této skupině, jenom když je spravuje Defender for Endpoint.

Pokud chcete při konfiguraci správy nastavení zabezpečení spravovat celé sady platforem operačního systému pomocí Microsoft Defender for Endpoint, a to tak, že na stránce Microsoft Defender for Endpoint Rozsah vynucování vyberete všechna zařízení místo označených zařízení, mějte na paměti, že se započítávají všechny syntetické registrace. Microsoft Entra ID kvóty stejné jako u úplných registrací.

Jaké řešení mám použít?

Microsoft Intune zahrnuje několik metod a typů zásad pro správu konfigurace Defenderu for Endpoint na zařízeních. Následující tabulka uvádí Intune zásady a profily, které podporují nasazení do zařízení spravovaných správou nastavení zabezpečení defenderu for Endpoint, a může vám pomoct určit, jestli je toto řešení vhodné pro vaše potřeby.

Když nasadíte zásadu zabezpečení koncového bodu, která je podporovaná pro správu nastavení zabezpečení defenderu for Endpoint i pro Microsoft Intune, může jedna instance této zásady zpracovat:

  • Zařízení podporovaná prostřednictvím správy nastavení zabezpečení (Microsoft Defender)
  • Zařízení spravovaná Intune nebo Configuration Manager.

Profily pro platformu Windows 10 a novější se nepodporují pro zařízení spravovaná správou nastavení zabezpečení.

Pro každý typ zařízení se podporují následující profily:

Linux

Následující typy zásad podporují platformu Linux .

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány

macOS

Následující typy zásad podporují platformu macOS .

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány

Windows 10, Windows 11 a Windows Server

Pokud chcete podporovat použití se správou nastavení zabezpečení Microsoft Defender, musí zásady pro zařízení s Windows používat platformu Windows 10, Windows 11 a Windows Server. Každý profil pro platformu Windows 10, Windows 11 a Windows Server se může vztahovat na zařízení spravovaná službou Intune a na zařízení spravovaná správou nastavení zabezpečení.

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Ovládací prvky aktualizace defenderu Podporovány Podporovány
Antivirus Antivirová ochrana v Microsoft Defenderu Podporovány Podporovány
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporovány Podporovány
Antivirus Zabezpečení Windows prostředí Poznámka 1 Podporovány
Zmenšení prostoru útoku Pravidla omezení potenciální oblasti útoku Podporovány Podporovány
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporovány Podporovány
Brány firewall Brány firewall Podporovány Podporovány
Brány firewall Pravidla brány firewall Podporovány Podporovány

1 – Profil prostředí Zabezpečení Windows je k dispozici na portálu Defender, ale platí jenom pro zařízení spravovaná službou Intune. Nepodporuje se u zařízení spravovaných pomocí Microsoft Defender správy nastavení zabezpečení.

Zásady zabezpečení koncových bodů jsou samostatné skupiny nastavení určené pro správce zabezpečení, kteří se zaměřují na ochranu zařízení ve vaší organizaci. Níže jsou uvedené popisy zásad, které podporují správu nastavení zabezpečení:

  • Antivirové zásady spravují konfigurace zabezpečení v Microsoft Defender for Endpoint. Projděte si zásady antivirové ochrany pro zabezpečení koncových bodů.

    Poznámka

    I když koncové body nevyžadují restartování, aby bylo možné použít upravená nastavení nebo nové zásady, víme o problému, kdy nastavení AllowOnAccessProtection a DisableLocalAdminMerge můžou občas vyžadovat, aby koncoví uživatelé restartovali svá zařízení, aby se tato nastavení aktualizovala. V současné době tento problém prošetřujeme, abychom mohli poskytnout řešení.

  • Zásady omezení potenciální oblasti útoku (ASR) se zaměřují na minimalizaci míst, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Při správě nastavení zabezpečení se pravidla ASR vztahují na zařízení se systémem Windows 10, Windows 11 a Windows Server.

    Aktuální pokyny k nastavení, která se vztahují na různé platformy a verze, najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky Ve Windows.

    Tip

    Pokud chcete udržovat podporované koncové body v aktualizovaném stavu, zvažte použití moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

    Viz také:

  • Zásady detekce a odezvy koncových bodů (EDR) spravují funkce Defenderu for Endpoint, které poskytují pokročilé detekce útoků, které jsou téměř v reálném čase a dají se na ně reagovat. Na základě konfigurací EDR můžou analytici zabezpečení efektivně určit priority výstrah, získat přehled o plném rozsahu narušení zabezpečení a provádět akce reakce na nápravu hrozeb. Informace o zabezpečení koncových bodů najdete v tématu o zásadách detekce koncových bodů a odpovědí .

  • Zásady brány firewall se zaměřují na bránu firewall defenderu na vašich zařízeních. Informace o zabezpečení koncových bodů najdete v tématu Zásady brány firewall .

  • Pravidla brány firewall konfigurují podrobná pravidla pro brány firewall, včetně konkrétních portů, protokolů, aplikací a sítí. Informace o zabezpečení koncových bodů najdete v tématu Zásady brány firewall .

Konfigurace tenanta pro podporu správy nastavení zabezpečení defenderu for Endpoint

Pokud chcete podporovat správu nastavení zabezpečení prostřednictvím Centra pro správu Microsoft Intune, musíte mezi nimi povolit komunikaci z každé konzoly.

Následující části vás tímto procesem provedou.

Konfigurace Microsoft Defender for Endpoint

Na portálu Microsoft Defender for Endpoint jako správce zabezpečení:

  1. Přihlaste se k portálu Microsoft Defender, přejděte na Nastavení> Koncové bodyRozsah vynucování>správy> konfigurace a povolte platformy pro správu nastavení zabezpečení.

    Na portálu Microsoft Defender povolte správu nastavení Microsoft Defender for Endpoint.

    Poznámka

    Pokud máte oprávnění Spravovat nastavení zabezpečení ve službě Security Center na portálu Microsoft Defender for Endpoint a máte současně povoleno zobrazovat zařízení ze všech skupin zařízení (bez omezení řízení přístupu na základě role u uživatelských oprávnění), můžete tuto akci provést také.

  2. Zpočátku doporučujeme funkci otestovat pro každou platformu tak, že vyberete možnost platformy v části Na označených zařízeních a pak označíte zařízení značkou MDE-Management .

    Důležité

    Použití funkce dynamických značek Microsoft Defender for Endpoint k označování zařízení pomocí MDE-Management v současné době nepodporuje správa nastavení zabezpečení. Zařízení označená touto funkcí se úspěšně nezaregistrují. Tento problém se stále zkoumá.

    Tip

    Pomocí správných značek zařízení otestujte a ověřte zavedení na malém počtu zařízení. Když vyberete Všechna zařízení, všechna zařízení, která spadají do nakonfigurovaného oboru, se automaticky zaregistrují.

  3. Nakonfigurujte funkci pro Microsoft Defender pro cloudová zařízení a nastavení Configuration Manager autority tak, aby vyhovovala potřebám vaší organizace:

    Nakonfigurujte pilotní režim pro správu nastavení koncového bodu na portálu Microsoft Defender.

    Tip

    Pokud chcete zajistit, aby uživatelé portálu Microsoft Defender for Endpoint měli konzistentní oprávnění napříč portály, pokud je ještě nezadáte, požádejte správce IT, aby jim udělil integrovanou roli RBAC Microsoft Intune Endpoint Security Manageru.

Konfigurace Intune

V Centru pro správu Microsoft Intune váš účet potřebuje oprávnění rovnající se integrované roli řízení přístupu na základě role (RBAC) endpoint Security Manageru.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zabezpečení> koncového bodu Microsoft Defender for Endpoint a nastavte Povolit Microsoft Defender for Endpoint, aby se vynutily konfigurace zabezpečení koncového bodu na Zapnuto.

    Povolte správu nastavení Microsoft Defender for Endpoint v Centru pro správu Microsoft Intune.

    Když tuto možnost nastavíte na Zapnuto, všechna zařízení v oboru platformy pro Microsoft Defender for Endpoint, která nejsou spravovaná službou Microsoft Intune, mají nárok na onboarding do Microsoft Defender for Endpoint.

Onboarding zařízení k Microsoft Defender for Endpoint

Microsoft Defender for Endpoint podporuje několik možností onboardingu zařízení. Aktuální doprovodné materiály najdete v tématu Onboarding do Microsoft Defender for Endpoint v dokumentaci k Defenderu for Endpoint.

Koexistence s Microsoft Configuration Manager

V některých prostředích může být žádoucí používat správu nastavení zabezpečení se zařízeními spravovanými Configuration Manager. Pokud používáte obojí, musíte zásady řídit prostřednictvím jednoho kanálu. Použití více než jednoho kanálu vytváří příležitost ke konfliktům a nežádoucím výsledkům.

Pokud to chcete podporovat, nakonfigurujte nastavení Spravovat zabezpečení pomocí Configuration Manager přepněte na Vypnuto. Přihlaste se k portálu Microsoft Defender a přejděte na Nastavení>Koncové body –Obor vynucení>správy> konfigurace:

Snímek obrazovky portálu Defender zobrazující přepínač Spravovat nastavení zabezpečení pomocí Configuration Manager nastavený na Vypnuto.

Vytváření skupin Microsoft Entra

Po připojení zařízení k Defenderu for Endpoint budete muset vytvořit skupiny zařízení pro podporu nasazení zásad pro Microsoft Defender for Endpoint. Identifikace zařízení, která se zaregistrovala pomocí Microsoft Defender for Endpoint, ale nespravuje je Intune nebo Configuration Manager:

  1. Přihlaste se do centra pro správu Microsoft Intune.

  2. Přejděte na Zařízení>Všechna zařízení a pak výběrem sloupce Spravováno seřaďte zobrazení zařízení. Zařízení, která se onboardují do Microsoft Defender for Endpoint, ale nespravuje je Intune, zobrazí Microsoft Defender for Endpoint ve sloupci Spravováno. Tato zařízení můžou přijímat zásady pro správu nastavení zabezpečení.

    Zařízení, která se onboardují do Microsoft Defender for Endpoint a zaregistrovali, ale nespravuje je Intune, zobrazí Microsoft Defender for Endpoint ve sloupci Spravováno. Toto jsou zařízení, která můžou přijímat zásady pro správu zabezpečení pro Microsoft Defender for Endpoint.

    Od 25. září 2023 už zařízení, která používají správu zabezpečení pro Microsoft Defender for Endpoint, není možné identifikovat pomocí následujících systémových popisků:

    • MDEJoined – zastaralá značka, která byla dříve přidána do zařízení připojených k adresáři v rámci tohoto scénáře.
    • MDEManaged – nyní zastaralá značka, která byla dříve přidána do zařízení, která aktivně používala scénář správy zabezpečení. Tato značka se ze zařízení odebere, pokud Defender for Endpoint přestane spravovat konfiguraci zabezpečení.

    Místo použití systémových popisků můžete použít atribut typu správy a nakonfigurovat ho na MicrosoftSense.

Skupiny pro tato zařízení můžete vytvořit v Microsoft Entra nebo v Centru pro správu Microsoft Intune. Při vytváření skupin můžete použít hodnotu operačního systému pro zařízení, pokud nasazujete zásady do zařízení s Windows Serverem a zařízení s klientskou verzí Windows:

  • Windows 10 a Windows 11 – deviceOSType nebo OS se zobrazí jako Windows.
  • Windows Server – deviceOSType nebo OS se zobrazí jako Windows Server.
  • Zařízení s Linuxem – deviceOSType nebo OS se zobrazí jako Linux.

Ukázkové Intune dynamických skupin se syntaxí pravidla

Pracovní stanice Windows:

Snímek obrazovky Intune dynamické skupiny pro pracovní stanice windows

Windows Servery:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Servery

Zařízení s Linuxem:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Linux

Důležité

V květnu 2023 se zařízení deviceOSType aktualizovalo, aby rozlišovalo mezi klienty Windows a Servery Windows.

Vlastní skripty a Microsoft Entra dynamické skupiny zařízení vytvořené před touto změnou, které určují pravidla, která odkazují pouze na systém Windows, můžou při použití s řešením Správa zabezpečení pro Microsoft Defender for Endpoint vyloučit servery Windows. Příklady:

  • Pokud máte pravidlo, které k identifikaci Windows používá equals operátor nebonot equals, ovlivní tato změna vaše pravidlo. Je to proto, že windows iWindows Server byly dříve hlášeny jako Windows. Chcete-li pokračovat v zahrnutí obou, je nutné aktualizovat pravidlo tak, aby odkazovat také na Windows Server.
  • Pokud máte pravidlo, které k zadání Windows používá contains operátor nebolike, nebude tato změna ovlivněna. Tito operátoři můžou najít Windows i Windows Server.

Tip

Uživatelé, kteří mají delegovanou možnost spravovat nastavení zabezpečení koncových bodů, nemusí mít možnost implementovat konfigurace pro celého tenanta v Microsoft Intune. Další informace o rolích a oprávněních ve vaší organizaci vám poskytne správce Intune.

Nasazení zásad

Po vytvoření jedné nebo více Microsoft Entra skupin, které obsahují zařízení spravovaná službou Microsoft Defender for Endpoint, můžete do těchto skupin vytvořit a nasadit následující zásady pro správu nastavení zabezpečení. Dostupné zásady a profily se liší podle platformy.

Seznam kombinací zásad a profilů podporovaných pro správu nastavení zabezpečení najdete v grafu v části Které řešení mám použít? dříve v tomto článku.

Tip

Vyhněte se nasazování více zásad, které spravují stejné nastavení na zařízení.

Microsoft Intune podporuje nasazení více instancí každého typu zásad zabezpečení koncového bodu do stejného zařízení, přičemž každou instanci zásad přijímá zařízení samostatně. Proto může zařízení přijímat samostatné konfigurace pro stejné nastavení od různých zásad, což vede ke konfliktu. Některá nastavení (například vyloučení antivirové ochrany) se v klientovi sloučí a úspěšně se použijí.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte na Zabezpečení koncového bodu, vyberte typ zásady, kterou chcete nakonfigurovat, a pak vyberte Vytvořit zásadu.

  3. Jako zásadu vyberte platformu a profil, které chcete nasadit. Seznam platforem a profilů, které podporují správu nastavení zabezpečení, najdete v grafu v části Které řešení mám použít? dříve v tomto článku.

    Poznámka

    Podporované profily se vztahují na zařízení, která komunikují přes Mobile Správa zařízení (MDM) s Microsoft Intune, a zařízení, která komunikují pomocí klienta Microsoft Defender for Endpoint.

    Podle potřeby zkontrolujte cílení a skupiny.

  4. Vyberte Vytvořit.

  5. Na stránce Základy zadejte název a popis profilu a pak zvolte Další.

  6. Na stránce Nastavení konfigurace vyberte nastavení, která chcete spravovat pomocí tohoto profilu.

    Další informace o nastavení získáte tak, že rozbalíte dialogové okno s informacemi o nastavení a vyberete odkaz Další informace a zobrazí se online dokumentace ke zprostředkovateli konfiguračních služeb (CSP) nebo související podrobnosti o daném nastavení.

    Až dokončíte konfiguraci nastavení, vyberte Další.

  7. Na stránce Přiřazení vyberte skupiny Microsoft Entra, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Pokračujte výběrem možnosti Další .

    Tip

    • Filtry přiřazení nejsou podporované pro zařízení spravovaná správou nastavení zabezpečení.
    • Ke správě Microsoft Defender for Endpoint se dají použít jenom objekty zařízení. Cílení na uživatele není podporováno.
    • Nakonfigurované zásady se budou vztahovat na klienty Microsoft Intune i Microsoft Defender for Endpoint.

  8. Dokončete proces vytváření zásad a pak na stránce Zkontrolovat a vytvořit vyberte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

  9. Počkejte, až se zásada přiřadí, a zobrazí se indikátor úspěšnosti použití zásady.

  10. Pomocí příkazového nástroje Get-MpPreference můžete ověřit, jestli se nastavení použilo místně na klientovi.

Stav monitorování

Stav a sestavy zásad, které cílí na zařízení v tomto kanálu, jsou dostupné z uzlu zásad v části Zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

Přejděte k podrobnostem o typu zásady a výběrem zásady zobrazte její stav. Seznam platforem, typů zásad a profilů, které podporují správu nastavení zabezpečení, si můžete prohlédnout v tabulce v části Které řešení mám použít dříve v tomto článku.

Když vyberete zásadu, můžete zobrazit informace o stavu ohlášení zařízení a vybrat:

  • Zobrazit sestavu – Zobrazí seznam zařízení, která zásadu přijala. Můžete vybrat zařízení, které chcete přejít k podrobnostem, a zobrazit jeho stav podle nastavení. Pak můžete vybrat nastavení a zobrazit o něm další informace, včetně dalších zásad, které spravují stejné nastavení, což může být zdrojem konfliktů.

  • Stav nastavení – Zobrazí nastavení spravovaná zásadami a počet úspěšných, chyb nebo konfliktů pro jednotlivá nastavení.

Nejčastější dotazy a důležité informace

Frekvence ocházení zařízení

Zařízení spravovaná touto funkcí se pomocí Microsoft Intune každých 90 minut přihlašují k aktualizaci zásad.

Zařízení můžete ručně synchronizovat na vyžádání z portálu Microsoft Defender. Přihlaste se k portálu a přejděte na Zařízení. Vyberte zařízení spravované službou Microsoft Defender for Endpoint a pak vyberte tlačítko Synchronizace zásad:

Ručně synchronizujte zařízení spravovaná službou Microsoft Defender for Endpoint.

Tlačítko Synchronizace zásad se zobrazí jenom u zařízení, která úspěšně spravuje Microsoft Defender for Endpoint.

Zařízení chráněná ochranou před falšováním

Pokud je na zařízení zapnutá ochrana před falšováním, není možné upravit hodnoty nastavení Ochrany před falšováním, aniž byste nejdřív zakázali ochranu před falšováním.

Správa filtrů přiřazení a nastavení zabezpečení

Filtry přiřazení nejsou podporované pro zařízení komunikující prostřednictvím kanálu Microsoft Defender for Endpoint. Filtry přiřazení se dají přidat do zásad, které by mohly cílit na tato zařízení, ale zařízení filtry přiřazení ignorují. Pro podporu filtru přiřazení musí být zařízení zaregistrované v Microsoft Intune.

Odstraňování a odebírání zařízení

Zařízení, která používají tento tok, můžete odstranit pomocí jedné ze dvou metod:

  • V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení, vyberte zařízení, které zobrazuje MDEJoined nebo MDEManaged ve sloupci Spravováno, a pak vyberte Odstranit.
  • Zařízení můžete také odebrat z oboru Správa konfigurace ve službě Security Center.

Po odebrání zařízení z libovolného umístění se tato změna rozšíří do jiné služby.

Ve službě Endpoint Security nejde povolit úlohu Správa zabezpečení pro Microsoft Defender for Endpoint

Většinu počátečních toků zřizování obvykle dokončí správce obou služeb (například globální správce). V některých situacích se k přizpůsobení oprávnění správců používá správa na základě rolí. V současné chvíli nemusí mít jednotlivci, kteří mají delegovanou roli Správce zabezpečení koncového bodu , potřebná oprávnění k povolení této funkce.

Microsoft Entra připojená zařízení

Zařízení, která jsou připojená ke službě Active Directory, používají k dokončení procesu Microsoft Entra hybridního připojení svoji stávající infrastrukturu.

Nepodporovaná nastavení zabezpečení

Následující nastavení zabezpečení čekají na vyřazení. Tok správy nastavení zabezpečení defenderu for Endpoint nepodporuje tato nastavení:

  • Urychlíte frekvenci generování sestav telemetrie (v části Detekce a odezva koncového bodu)
  • AllowIntrusionPreventionSystem (v části Antivirus)
  • Ochrana před falšováním (v Zabezpečení Windows Prostředí). Toto nastavení neschybuje na vyřazení, ale v současné době není podporováno.

Použití správy nastavení zabezpečení na řadičích domény

Vzhledem k tomu, že se vyžaduje vztah důvěryhodnosti Microsoft Entra ID, řadiče domény se v současné době nepodporují. Hledáme způsoby, jak tuto podporu přidat.

Důležité

V některých případech můžou řadiče domény, které používají serverový operační systém nižší úrovně (2012 R2 nebo 2016), neúmyslně spravovat Microsoft Defender for Endpoint. Abyste měli jistotu, že k tomu ve vašem prostředí nedojde, doporučujeme zajistit, aby vaše řadiče domény nebyly označené jako "MDE-Management" ani nespravované MDE.

Instalace jádra serveru

Správa nastavení zabezpečení nepodporuje instalace jader serveru kvůli omezením platformy jádra serveru.

Režim omezení PowerShellu

Je potřeba povolit PowerShell.

Správa nastavení zabezpečení nefunguje pro zařízení s nakonfigurovaným režimem JazykaPowerShellu s režimemenabledConstrainedLanguage . Další informace najdete v tématu about_Language_Modes v dokumentaci k PowerShellu.

Správa zabezpečení prostřednictvím MDE, pokud jste dříve používali nástroj zabezpečení třetí strany

Pokud jste na počítači dříve měli nástroj zabezpečení třetí strany a teď ho spravujete pomocí MDE, může to mít ve výjimečných případech vliv na schopnost MDE spravovat nastavení zabezpečení. V takových případech v rámci řešení potíží odinstalujte a znovu nainstalujte nejnovější verzi MDE na vašem počítači.

Další kroky