Administrer manipulationsbeskyttelse for din organisation ved hjælp af Microsoft Intune

  • Artikel

Gælder for:

Platforme

  • Windows

Ændringsbeskyttelse hjælper med at beskytte visse sikkerhedsindstillinger, f.eks. beskyttelse mod virus og trusler, mod at blive deaktiveret eller ændret. Hvis du er en del af organisationens sikkerhedsteam, og du bruger Microsoft Intune, kan du administrere ændringsbeskyttelse for din organisation i Intune Administration. Eller du kan bruge Configuration Manager. Med Intune eller Configuration Manager kan du:

Vigtigt!

Hvis du bruger Microsoft Intune til at administrere Defender for Endpoint-indstillinger, skal du sørge for at angive DisableLocalAdminMerge til true på enheder.

Når manipulationsbeskyttelse er slået til, kan ændringsbeskyttede indstillinger ikke ændres. Hvis du vil undgå afbrydelsesadministrationsoplevelser, herunder Intune (og Configuration Manager), skal du være opmærksom på, at ændringer af indstillinger, der er beskyttet af ændring, kan se ud til at lykkes, men faktisk blokeres af ændringsbeskyttelse. Afhængigt af dit specifikke scenarie har du flere tilgængelige muligheder:

  • Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, anbefaler vi, at du bruger fejlfindingstilstand til midlertidigt at deaktivere ændringsbeskyttelse på enheden. Bemærk, at når fejlfindingstilstanden er slut, gendannes eventuelle ændringer, der er foretaget af ændringsbeskyttede indstillinger, til deres konfigurerede tilstand.
  • Du kan bruge Intune eller Configuration Manager til at udelukke enheder fra manipulationsbeskyttelse.
  • Hvis du administrerer beskyttelse mod manipulation via Intune, kan du ændre ændringsbeskyttede antivirusudeladelser.

Krav til administration af manipulationsbeskyttelse i Intune

Krav Detaljer
Roller og tilladelser Du skal have de nødvendige tilladelser tildelt via roller, f.eks. Global administrator eller Sikkerhedsadministrator. Se Microsoft Entra roller med Intune adgang.
Enhedshåndtering Din organisation bruger Intune til at administrere enheder.
Intune licenser Intune licenser er påkrævet. Se Microsoft Intune licenser.
Operativsystem Windows-enheder skal køre Windows 10 version 1709 eller nyere eller Windows 11. (Du kan få flere oplysninger om udgivelser under Windows-udgivelsesoplysninger).

Til Mac skal du se Beskyt macOS-sikkerhedsindstillinger med manipulationsbeskyttelse.
Sikkerhedsintelligens Du skal bruge Windows Security med sikkerhedsintelligens opdateret til version 1.287.60.0 (eller nyere).
Antimalwareplatform Enheder skal bruge antimalwareplatformsversion 4.18.1906.3 (eller nyere) og antimalwareprogramversion 1.1.15500.X (eller nyere). Se Administrer Microsoft Defender Antivirus-opdateringer, og anvend grundlinjer.
Microsoft Entra ID Dine Intune- og Defender for Endpoint-lejere skal dele den samme Microsoft Entra infrastruktur.
Defender for Endpoint Dine enheder skal være føjet til Defender for Endpoint.

Bemærk!

Hvis enheder ikke er tilmeldt Microsoft Defender for Endpoint, vises manipulationsbeskyttelse som Ikke tilgængelig, før onboardingprocessen er fuldført. Ændringsbeskyttelse kan forhindre, at der sker ændringer af sikkerhedsindstillingerne. Hvis du får vist en fejlkode med Hændelses-id 5013, skal du se Gennemse hændelseslogge og fejlkoder for at foretage fejlfinding af problemer med Microsoft Defender Antivirus.

Slå manipulationsbeskyttelse til (eller fra) i Microsoft Intune

Slå manipulationsbeskyttelse til med Intune

  1. I Intune Administration skal du gå til Endpoint security>Antivirus og derefter vælge + Create Politik.

    • Vælg Windows 10, Windows 11 og Windows Server på listen Platform.
    • Vælg Windows Sikkerhed oplevelse på listen Profil.

  2. Create en profil, der indeholder følgende indstilling:

    • TamperProtection (enhed): Slået til

  3. Afslut valg af indstillinger for din politik.

  4. Installér politikken på enheder.

Ændring af beskyttelse mod udelukkelse fra antivirus

Hvis din organisation har defineret udeladelser for Microsoft Defender Antivirus, beskytter ændringsbeskyttelse disse undtagelser, forudsat at alle følgende betingelser er opfyldt:

Betingelse Kriterier
Microsoft Defender platform Enheder kører Microsoft Defender platform 4.18.2211.5 eller nyere. Du kan få flere oplysninger under Månedlige platform- og programversioner.
DisableLocalAdminMerge Indstilling Denne indstilling kaldes også for at forhindre fletning af lokale lister. DisableLocalAdminMergeer aktiveret, så indstillinger, der er konfigureret på en enhed, ikke flettes med organisationspolitikker, f.eks. indstillinger i Intune. Du kan finde flere oplysninger under DisableLocalAdminMerge.
Enhedshåndtering Enheder administreres enten kun i Intune eller administreres kun med Configuration Manager. Sense skal være aktiveret.
Antivirusudeladelser Microsoft Defender Antivirus-udeladelser administreres i Microsoft Intune. Du kan få flere oplysninger under Indstillinger for Microsoft Defender Antivirus-politik i Microsoft Intune til Windows-enheder.

Funktionalitet til beskyttelse af Microsoft Defender Antivirus-udeladelser er aktiveret på enheder. Du kan finde flere oplysninger under Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed.

Tip

Du kan finde flere detaljerede oplysninger om Microsoft Defender Antivirus-udeladelser under Udeladelser til Microsoft Defender for Endpoint og Microsoft Defender Antivirus.

Sådan finder du ud af, om antivirusudeladelser er beskyttet på en Windows-enhed

Du kan bruge en registreringsdatabasenøgle til at bestemme, om funktionaliteten til at beskytte Microsoft Defender Antivirus-udeladelser er aktiveret. I følgende procedure beskrives det, hvordan du får vist beskyttelsesstatus, men ikke ændrer den.

  1. Åbn Editor i registreringsdatabasen på en Windows-enhed. (Skrivebeskyttet tilstand er fint. Du redigerer ikke registreringsdatabasenøglen).

  2. Hvis du vil bekræfte, at enheden administreres af Intune eller kun administreres af Configuration Manager, skal du kontrollere følgende nøgleværdier i registreringsdatabasen, når Assistent er aktiveret:

    • ManagedDefenderProductType (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

    I følgende tabel opsummeres det, hvad værdierne i registreringsdatabasenøglen betyder:

    ManagedDefenderProductType Værdi EnrollmentStatus Værdi Hvad værdien betyder
    6 (enhver værdi) Enheden administreres kun af Intune.
    (Opfylder et krav om, at undtagelser skal ændres.
    7 4 Enheden administreres af Configuration Manager.
    (Opfylder et krav om, at undtagelser skal ændres.
    En anden værdi end 6 eller 7 (enhver værdi) Enheden administreres ikke kun af Intune eller kun Configuration Manager.
    (Udeladelser er ikke beskyttet mod ændring).

  3. Kontrollér registreringsdatabasenøglen TPExclusions (placeret på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) for at bekræfte, at der er installeret manipulationsbeskyttelse, og at udeladelser er beskyttet.

    TPExclusions Hvad værdien betyder
    1 De påkrævede betingelser er opfyldt, og den nye funktionalitet til beskyttelse af undtagelser er aktiveret på enheden.
    (Udeladelser er beskyttet mod ændring).
    0 Manipulationsbeskyttelse beskytter i øjeblikket ikke undtagelser på enheden.
    Hvis alle kravene er opfyldt, og denne tilstand virker forkert, skal du kontakte support.

Forsigtighed

Du må ikke ændre værdien af registreringsdatabasenøglerne. Brug kun den foregående procedure til oplysninger. Ændring af nøgler har ingen indflydelse på, om ændringsbeskyttelse gælder for undtagelser.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.