Del via

Administrer manipulationsbeskyttelse for din organisation ved hjælp af Microsoft Intune

  • Artikel

Gælder for:

Platforme

  • Windows

Ændringsbeskyttelse hjælper med at beskytte visse sikkerhedsindstillinger, f.eks. beskyttelse mod virus og trusler, mod at blive deaktiveret eller ændret. Hvis du er en del af organisationens sikkerhedsteam, og du bruger Microsoft Intune, kan du administrere beskyttelse af ændringer for din organisation i Intune Administration. Du kan også bruge Konfigurationsstyring. Med Intune eller Konfigurationsstyring kan du:

Vigtigt!

Hvis du bruger Microsoft Intune til at administrere Defender for Endpoint-indstillinger, skal du sørge for at angive DisableLocalAdminMerge til sand på enheder.

Når manipulationsbeskyttelse er slået til, kan ændringsbeskyttede indstillinger ikke ændres. Hvis du vil undgå afbrydelsesadministrationsoplevelser, herunder Intune (og Konfigurationsstyring), skal du huske på, at ændringer af de ændringsbeskyttede indstillinger muligvis ser ud til at lykkes, men faktisk blokeres af ændringsbeskyttelse. Afhængigt af dit specifikke scenarie har du flere tilgængelige muligheder:

  • Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, anbefaler vi, at du bruger fejlfindingstilstand til midlertidigt at deaktivere ændringsbeskyttelse på enheden. Bemærk, at når fejlfindingstilstanden er slut, gendannes eventuelle ændringer, der er foretaget af ændringsbeskyttede indstillinger, til deres konfigurerede tilstand.
  • Du kan bruge Intune eller Konfigurationsstyring til at udelukke enheder fra manipulationsbeskyttelse.
  • Hvis du administrerer beskyttelse mod manipulation via Intune, kan du ændre ændringsbeskyttede antivirusudeladelser.

Krav til administration af manipulationsbeskyttelse i Intune

Krav Detaljer
Roller og tilladelser Du skal have de nødvendige tilladelser tildelt via roller, f.eks. sikkerhedsadministrator. Se Microsoft Entra-roller med Intune-adgang.
Enhedshåndtering Din organisation bruger Intune til at administrere enheder.
Intune-licenser Intune-licenser er påkrævet. Se Microsoft Intune-licenser.
Operativsystem Windows-enheder skal køre Windows 10 version 1709 eller nyere eller Windows 11. (Du kan få flere oplysninger om udgivelser under Windows-udgivelsesoplysninger).

Til Mac skal du se Beskyt macOS-sikkerhedsindstillinger med manipulationsbeskyttelse.
Sikkerhedsintelligens Du skal bruge Windows Security med sikkerhedsintelligens opdateret til version 1.287.60.0 (eller nyere).
Antimalwareplatform Enheder skal bruge antimalwareplatformsversion 4.18.1906.3 (eller nyere) og antimalwareprogramversion 1.1.15500.X (eller nyere). Se Administrer Opdateringer til Microsoft Defender Antivirus, og anvend grundlinjer.
Microsoft Entra ID Dine Intune- og Defender for Endpoint-lejere skal dele den samme Microsoft Entra-infrastruktur.
Defender for Endpoint Dine enheder skal være føjet til Defender for Endpoint.

Bemærk!

Hvis enheder ikke er tilmeldt Microsoft Defender for Endpoint, vises beskyttelse mod ændring som Ikke tilgængelig , før onboardingprocessen er fuldført. Ændringsbeskyttelse kan forhindre, at der sker ændringer af sikkerhedsindstillingerne. Hvis du får vist en fejlkode med Hændelses-id 5013, skal du se Gennemse hændelseslogge og fejlkoder for at foretage fejlfinding af problemer med Microsoft Defender Antivirus.

Slå manipulationsbeskyttelse til (eller fra) i Microsoft Intune

Slå manipulationsbeskyttelse til med Intune

  1. I Intune Administration skal du gå til Endpoint security>Antivirus og derefter vælge + Opret politik.

    • På listen Platform skal du vælge Windows 10, Windows 11 og Windows Server.
    • På listen Profil skal du vælge Windows Sikkerhedsoplevelse.

  2. Opret en profil, der indeholder følgende indstilling:

    • TamperProtection (enhed): Slået til

  3. Afslut valg af indstillinger for din politik.

  4. Installér politikken på enheder.

Ændring af beskyttelse mod udelukkelse fra antivirus

Hvis din organisation har defineret udeladelser for Microsoft Defender Antivirus, beskytter beskyttelse mod manipulation disse undtagelser, forudsat at alle følgende betingelser er opfyldt:

Betingelse Kriterier
Microsoft Defender-platform Enheder kører Microsoft Defender-platformen 4.18.2211.5 eller nyere. Du kan få flere oplysninger under Månedlige platform- og programversioner.
DisableLocalAdminMerge indstilling Denne indstilling kaldes også for at forhindre fletning af lokale lister. DisableLocalAdminMerge er aktiveret, så indstillinger, der er konfigureret på en enhed, ikke flettes med organisationspolitikker, f.eks. indstillinger i Intune. Du kan finde flere oplysninger under DisableLocalAdminMerge.
Enhedshåndtering Enheder administreres enten kun i Intune, eller de administreres kun med Konfigurationsstyring. Sense skal være aktiveret.
Antivirusudeladelser Microsoft Defender Antivirus-udeladelser administreres i Microsoft Intune. Du kan få flere oplysninger under Indstillinger for Microsoft Defender Antivirus-politik i Microsoft Intune til Windows-enheder.

Funktionalitet til beskyttelse af Microsoft Defender Antivirus-undtagelser er aktiveret på enheder. Du kan finde flere oplysninger under Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed.

Tip

Du kan finde flere detaljerede oplysninger om Microsoft Defender Antivirus-udeladelser under Udeladelser til Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed

Du kan bruge en registreringsdatabasenøgle til at afgøre, om funktionaliteten til at beskytte Microsoft Defender Antivirus-udeladelser er aktiveret. I følgende procedure beskrives det, hvordan du får vist beskyttelsesstatus, men ikke ændrer den.

  1. Åbn Registreringseditor på en Windows-enhed. (Skrivebeskyttet tilstand er fint. Du redigerer ikke registreringsdatabasenøglen).

  2. Hvis du vil bekræfte, at enheden kun administreres af Intune eller administreres af Konfigurationsstyring, når Assistent er aktiveret, skal du kontrollere følgende nøgleværdier i registreringsdatabasen:

    • ManagedDefenderProductType (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

    I følgende tabel opsummeres det, hvad værdierne i registreringsdatabasenøglen betyder:

    ManagedDefenderProductType værdi EnrollmentStatus værdi Hvad værdien betyder
    6 (enhver værdi) Enheden administreres kun af Intune.
    (Opfylder et krav om, at undtagelser skal ændres.
    7 4 Enheden administreres af Konfigurationsstyring.
    (Opfylder et krav om, at undtagelser skal ændres.
    En anden værdi end 6 eller 7 (enhver værdi) Enheden administreres ikke kun af Intune eller konfigurationsstyring.
    (Udeladelser er ikke beskyttet mod ændring).

  3. Kontrollér registreringsdatabasenøglen TPExclusions (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) for at bekræfte, at der er installeret manipulationsbeskyttelse, og at udeladelser er beskyttet.

    TPExclusions Hvad værdien betyder
    1 De påkrævede betingelser er opfyldt, og den nye funktionalitet til beskyttelse af undtagelser er aktiveret på enheden.
    (Udeladelser er beskyttet mod ændring).
    0 Manipulationsbeskyttelse beskytter i øjeblikket ikke undtagelser på enheden.
    Hvis alle kravene er opfyldt, og denne tilstand virker forkert, skal du kontakte support.

Forsigtighed

Du må ikke ændre værdien af registreringsdatabasenøglerne. Brug kun den foregående procedure til oplysninger. Ændring af nøgler har ingen indflydelse på, om ændringsbeskyttelse gælder for undtagelser.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.