Administrer manipulationsbeskyttelse for din organisation ved hjælp af Microsoft Intune

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus
• Microsoft Defender for Business
• Microsoft 365 Business Premium

Platforme

• Windows

Ændringsbeskyttelse hjælper med at beskytte visse sikkerhedsindstillinger, f.eks. beskyttelse mod virus og trusler, mod at blive deaktiveret eller ændret. Hvis du er en del af organisationens sikkerhedsteam, og du bruger Microsoft Intune, kan du administrere ændringsbeskyttelse for din organisation i Intune Administration. Eller du kan bruge Configuration Manager. Med Intune eller Configuration Manager kan du udføre følgende opgaver:

• Slå manipulationsbeskyttelse til (eller fra) for nogle eller alle enheder.
• Beskyt Microsoft Defender Antivirus udelukkelser fra manipulation (visse krav skal være opfyldt).

Vigtigt!

Hvis du bruger Microsoft Intune til at administrere Defender for Endpoint-indstillinger, skal du sørge for at angive DisableLocalAdminMerge til true på enheder.

Når manipulationsbeskyttelse er slået til, kan ændringsbeskyttede indstillinger ikke ændres. Hvis du vil undgå afbrydelsesadministrationsoplevelser, herunder Intune (og Configuration Manager), skal du være opmærksom på, at ændringer af indstillinger, der er beskyttet af ændring, kan se ud til at lykkes, men faktisk blokeres af ændringsbeskyttelse. Afhængigt af dit specifikke scenarie har du flere tilgængelige muligheder:

• Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, anbefaler vi, at du bruger fejlfindingstilstand til midlertidigt at deaktivere ændringsbeskyttelse på enheden. Bemærk, at når fejlfindingstilstanden er slut, gendannes eventuelle ændringer, der er foretaget af ændringsbeskyttede indstillinger, til deres konfigurerede tilstand.

• Du kan bruge Intune eller Configuration Manager til at udelukke enheder fra manipulationsbeskyttelse.

• Hvis du administrerer beskyttelse mod manipulation via Intune, kan du ændre ændringsbeskyttede antivirusudeladelser.

Krav til administration af manipulationsbeskyttelse i Intune

Krav	Detaljer
Roller og tilladelser	Du skal have de nødvendige tilladelser tildelt via roller, f.eks. sikkerhedsadministrator. Se Microsoft Entra roller med Intune adgang.
Enhedshåndtering	Din organisation bruger Configuration Manager eller Intune til at administrere enheder. Co-Managed enheder understøttes ikke for denne funktion.
Intune licenser	Intune licenser er påkrævet. Se Microsoft Intune licenser.
Operativsystem	Windows-enheder skal køre Windows 10 version 1709 eller nyere eller Windows 11. (Du kan få flere oplysninger om udgivelser under Windows-udgivelsesoplysninger). Til Mac skal du se Beskyt macOS-sikkerhedsindstillinger med manipulationsbeskyttelse.
Sikkerhedsintelligens	Du skal bruge Windows Security med sikkerhedsintelligens opdateret til version 1.287.60.0 (eller nyere).
Antimalwareplatform	Enheder skal bruge antimalwareplatformsversion 4.18.1906.3 (eller nyere) og antimalwareprogramversion 1.1.15500.X (eller nyere). Se Administrer Microsoft Defender Antivirus-opdateringer, og anvend grundlinjer.
Microsoft Entra ID	Dine Intune- og Defender for Endpoint-lejere skal dele den samme Microsoft Entra infrastruktur.
Defender for Endpoint	Dine enheder skal være føjet til Defender for Endpoint.

Bemærk!

Hvis enheder ikke er tilmeldt Microsoft Defender for Endpoint, vises manipulationsbeskyttelse som Ikke tilgængelig, før onboardingprocessen er fuldført. Ændringsbeskyttelse kan forhindre, at der sker ændringer af sikkerhedsindstillingerne. Hvis du får vist en fejlkode med Hændelses-id 5013, skal du se Gennemse hændelseslogge og fejlkoder for at foretage fejlfinding af problemer med Microsoft Defender Antivirus.

Slå manipulationsbeskyttelse til (eller fra) i Microsoft Intune

1. I Intune Administration skal du gå til Endpoint security>Antivirus og derefter vælge + Opret politik.

   • Vælg Windows 10, Windows 11 og Windows Server på listen Platform.
   • Vælg Windows Sikkerhed oplevelse på listen Profil.

2. Opret en profil, der indeholder følgende indstilling:

   • TamperProtection (enhed): Slået til

3. Afslut valg af indstillinger for din politik.

4. Installér politikken på enheder.

Ændring af beskyttelse mod udelukkelse fra antivirus

Hvis din organisation har defineret udeladelser for Microsoft Defender Antivirus, beskytter ændringsbeskyttelse disse undtagelser, forudsat at alle følgende betingelser er opfyldt:

Betingelse	Kriterier
Microsoft Defender platform	Enheder kører Microsoft Defender platform 4.18.2211.5 eller nyere. Du kan få flere oplysninger under Månedlige platform- og programversioner.
DisableLocalAdminMerge indstilling	Denne indstilling kaldes også for at forhindre fletning af lokale lister. DisableLocalAdminMergeskal være aktiveret, så indstillinger, der er konfigureret på en enhed, ikke flettes med organisationspolitikker, f.eks. indstillinger i Intune. Du kan finde flere oplysninger under DisableLocalAdminMerge.
Enhedshåndtering	Enheder administreres enten kun i Intune eller administreres kun med Configuration Manager. Sense skal være aktiveret.
Antivirusudeladelser	Microsoft Defender Antivirus-udeladelser administreres i Microsoft Intune eller Configuration Manager. Du kan få flere oplysninger under Indstillinger for Microsoft Defender Antivirus-politik i Microsoft Intune til Windows-enheder. Funktionalitet til beskyttelse af Microsoft Defender Antivirus-udeladelser er aktiveret på enheder. Du kan finde flere oplysninger under Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed.

Bemærk!

Hvis Configuration Manager f.eks. udelukkende bruges til at administrere udeladelser, og de påkrævede betingelser er opfyldt, ændres udelukkelser fra Configuration Manager. I dette tilfælde er det ikke nødvendigt at pushe antivirusudeladelser ved hjælp af Microsoft Intune.

Du kan finde flere detaljerede oplysninger om Microsoft Defender Antivirus-udeladelser under Udeladelser til Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed

Du kan bruge en registreringsdatabasenøgle til at bestemme, om funktionaliteten til at beskytte Microsoft Defender Antivirus-udeladelser er aktiveret. I følgende procedure beskrives det, hvordan du får vist beskyttelsesstatus, men ikke ændrer den.

1. Åbn Editor i registreringsdatabasen på en Windows-enhed. (Skrivebeskyttet tilstand er fint. Du redigerer ikke registreringsdatabasenøglen).

2. Hvis du vil bekræfte, at enheden administreres af Intune eller kun administreres af Configuration Manager, skal du kontrollere følgende nøgleværdier i registreringsdatabasen, når Assistent er aktiveret:

   • ManagedDefenderProductType (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

   I følgende tabel opsummeres det, hvad værdierne i registreringsdatabasenøglen betyder:

   ManagedDefenderProductType værdi	EnrollmentStatus værdi	Hvad værdien betyder
   6	(enhver værdi)	Enheden administreres kun med Intune. (Opfylder et krav om, at undtagelser skal ændres.
   7	4	Enheden administreres med Configuration Manager. (Opfylder et krav om, at undtagelser skal ændres.
   7	3	Enheden administreres samtidig med Configuration Manager og Intune. (Dette understøttes ikke, for at undtagelser kan ændres.
   En anden værdi end 6 eller 7	(enhver værdi)	Enheden administreres ikke kun af Intune eller kun Configuration Manager. (Udeladelser er ikke beskyttet mod ændring).

3. Kontrollér registreringsdatabasenøglen TPExclusions (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) for at bekræfte, at der er installeret manipulationsbeskyttelse, og at udeladelser er beskyttet.

   TPExclusions	Hvad værdien betyder
   1	De påkrævede betingelser er opfyldt, og den nye funktionalitet til beskyttelse af undtagelser er aktiveret på enheden. (Udeladelser er beskyttet mod ændring).
   0	Manipulationsbeskyttelse beskytter i øjeblikket ikke undtagelser på enheden. Hvis alle kravene er opfyldt, og denne tilstand virker forkert, skal du kontakte support.

Forsigtighed

Du må ikke ændre værdien af registreringsdatabasenøglerne. Brug kun den foregående procedure til oplysninger. Ændring af nøgler har ingen indflydelse på, om ændringsbeskyttelse gælder for undtagelser.

Se også

• Ofte stillede spørgsmål om beskyttelse mod manipulation
• Defender for Endpoint på ikke-Windows-enheder
• Foretag fejlfinding af problemer med manipulationsbeskyttelse
• Administrer Microsoft Defender for Endpoint på enheder med Microsoft Intune

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.