Teilen über


Verwalten des Manipulationsschutzes für Ihre organization mithilfe von Microsoft Intune

Gilt für:

Plattformen

  • Windows

Manipulationsschutz trägt dazu bei, dass bestimmte Sicherheitseinstellungen wie Viren- und Bedrohungsschutz deaktiviert oder geändert werden. Wenn Sie Teil des Sicherheitsteams Ihrer organization sind und Microsoft Intune verwenden, können Sie den Manipulationsschutz für Ihre organization im Intune Admin Center verwalten. Alternativ können Sie Configuration Manager verwenden. Mit Intune oder Configuration Manager können Sie die folgenden Aufgaben ausführen:

Wichtig

Wenn Sie Microsoft Intune verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, stellen Sie sicher, dass Sie DisableLocalAdminMerge auf Geräten auf true festlegen.

Wenn der Manipulationsschutz aktiviert ist, können manipulationsgeschützte Einstellungen nicht geändert werden. Denken Sie daran, dass Änderungen an manipulationsgeschützten Einstellungen möglicherweise erfolgreich sind, aber tatsächlich durch manipulationsgeschützten Schutz blockiert werden, um zu vermeiden, dass verwaltungsrelevante Funktionen wie Intune (und Configuration Manager) nicht geändert werden können. Abhängig von Ihrem jeweiligen Szenario stehen Ihnen mehrere Optionen zur Verfügung:

  • Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, empfiehlt es sich, den Problembehandlungsmodus zu verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Beachten Sie, dass alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, nach Dem Beenden des Problembehandlungsmodus in den konfigurierten Zustand zurückgesetzt werden.

  • Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.

  • Wenn Sie den Manipulationsschutz über Intune verwalten, können Sie manipulationsgeschützte Antivirenausschlüsse ändern.

Anforderungen für die Verwaltung des Manipulationsschutzes in Intune

Anforderung Details
Rollen und Berechtigungen Sie müssen über geeignete Berechtigungen verfügen, die über Rollen zugewiesen werden, z. B. Sicherheitsadministrator. Weitere Informationen finden Sie unter Microsoft Entra Rollen mit Intune Zugriff.
Geräteverwaltung Ihr organization verwendet Configuration Manager oder Intune zum Verwalten von Geräten. Co-Managed Geräte werden für dieses Feature nicht unterstützt.
Intune-Lizenzen Intune Lizenzen sind erforderlich. Weitere Informationen finden Sie unter Microsoft Intune Lizenzierung.
Betriebssystem Windows-Geräte müssen Windows 10 Version 1709 oder höher oder Windows 11 ausgeführt werden. (Weitere Informationen zu Releases finden Sie unter Windows-Releaseinformationen.)

Für Mac finden Sie weitere Informationen unter Schützen von macOS-Sicherheitseinstellungen mit Manipulationsschutz.
Security Intelligence Sie müssen Die Windows-Sicherheit mit Security Intelligence verwenden, die auf version 1.287.60.0 (oder höher) aktualisiert wurde.
Antischadsoftwareplattform Geräte müssen eine Antischadsoftwareplattformversion 4.18.1906.3 (oder höher) und eine Antischadsoftware-Engine-Version 1.1.15500.X (oder höher) verwenden. Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirenupdates und Anwenden von Baselines.
Microsoft Entra-ID Ihre Intune- und Defender für Endpunkt-Mandanten müssen dieselbe Microsoft Entra Infrastruktur gemeinsam nutzen.
Defender für Endpunkt Ihre Geräte müssen in Defender für Endpunkt integriert werden.

Hinweis

Wenn Geräte nicht in Microsoft Defender for Endpoint registriert sind, wird der Manipulationsschutz als Nicht anwendbar angezeigt, bis der Onboardingprozess abgeschlossen ist. Der Manipulationsschutz kann verhindern, dass Änderungen an den Sicherheitseinstellungen vorgenommen werden. Wenn ein Fehlercode mit der Ereignis-ID 5013 angezeigt wird, lesen Sie Überprüfen von Ereignisprotokollen und Fehlercodes, um Probleme mit Microsoft Defender Antivirus zu beheben.

Aktivieren (oder Deaktivieren) des Manipulationsschutzes in Microsoft Intune

Aktivieren des Manipulationsschutzes mit Intune

  1. Wechseln Sie im Intune Admin Center zu Endpunktsicherheit>Antivirus, und wählen Sie dann + Richtlinie erstellen aus.

    • Wählen Sie in der Liste PlattformWindows 10, Windows 11 und Windows Server aus.
    • Wählen Sie in der Liste Profildie Option Windows-Sicherheit Erfahrung aus.
  2. Erstellen Sie ein Profil, das die folgende Einstellung enthält:

    • TamperProtection (Gerät): Ein
  3. Schließen Sie die Auswahl von Optionen und Einstellungen für Ihre Richtlinie ab.

  4. Stellen Sie die Richtlinie auf Geräten bereit.

Manipulationsschutz für Antivirenausschlüsse

Wenn für Ihre organization Ausschlüsse für Microsoft Defender Antivirus definiert sind, schützt der Manipulationsschutz diese Ausschlüsse, sofern alle folgenden Bedingungen erfüllt sind:

Bedingung Kriterien
Microsoft Defender-Plattform Geräte werden Microsoft Defender Plattform 4.18.2211.5 oder höher ausgeführt. Weitere Informationen finden Sie unter Monatliche Plattform- und Engine-Versionen.
DisableLocalAdminMerge Einstellung Diese Einstellung wird auch als Verhindern des Zusammenführens lokaler Listen bezeichnet. DisableLocalAdminMergemuss aktiviert sein, damit auf einem Gerät konfigurierte Einstellungen nicht mit organization Richtlinien zusammengeführt werden, z. B. Einstellungen in Intune. Weitere Informationen finden Sie unter DisableLocalAdminMerge.
Geräteverwaltung Geräte werden entweder nur in Intune oder nur mit Configuration Manager verwaltet. Sense muss aktiviert sein.
Antivirusausschlüsse Microsoft Defender Antivirusausschlüsse werden in Microsoft Intune oder Configuration Manager verwaltet. Weitere Informationen finden Sie unter Einstellungen für Microsoft Defender Antivirusrichtlinie in Microsoft Intune für Windows-Geräte.

Funktionen zum Schutz Microsoft Defender Antivirusausschlüsse sind auf Geräten aktiviert. Weitere Informationen finden Sie unter Ermitteln, ob Antivirenausschlüsse auf einem Windows-Gerät manipulationssicher sind.

Hinweis

Wenn beispielsweise Configuration Manager ausschließlich zum Verwalten von Ausschlüssen verwendet wird und die erforderlichen Bedingungen erfüllt sind, sind Ausschlüsse aus Configuration Manager manipulationssicher. In diesem Fall ist es nicht erforderlich, Antivirenausschlüsse mithilfe von Microsoft Intune zu pushen.

Ausführlichere Informationen zu Microsoft Defender Antivirusausschlüssen finden Sie unter Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Ermitteln, ob Antivirenausschlüsse auf einem Windows-Gerät manipulationssicher sind

Sie können einen Registrierungsschlüssel verwenden, um zu bestimmen, ob die Funktionalität zum Schutz Microsoft Defender Antivirusausschlüsse aktiviert ist. Im folgenden Verfahren wird beschrieben, wie Sie den Manipulationsschutz status anzeigen, aber nicht ändern.

  1. Öffnen Sie auf einem Windows-Gerät registrierungs Editor. (Schreibgeschützter Modus ist in Ordnung. Sie bearbeiten den Registrierungsschlüssel nicht.)

  2. Um zu bestätigen, dass das Gerät nur von Intune oder nur von Configuration Manager verwaltet wird, wenn Sense aktiviert ist, überprüfen Sie die folgenden Registrierungsschlüsselwerte:

    • ManagedDefenderProductType (befindet sich bei Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender oder HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (befindet sich bei Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM oder HKLM\SOFTWARE\Microsoft\SenseCM)

    In der folgenden Tabelle wird zusammengefasst, was die Registrierungsschlüsselwerte bedeuten:

    ManagedDefenderProductType-Wert EnrollmentStatus-Wert Bedeutung des Werts
    6 (beliebiger Wert) Das Gerät wird nur mit Intune verwaltet.
    (Erfüllt die Anforderung, dass Ausschlüsse manipulationssicher sind.)
    7 4 Das Gerät wird mit Configuration Manager verwaltet.
    (Erfüllt die Anforderung, dass Ausschlüsse manipulationssicher sind.)
    7 3 Das Gerät wird gemeinsam mit Configuration Manager und Intune verwaltet.
    (Dies wird nicht unterstützt, wenn Ausschlüsse manipulationssicher sind.)
    Ein anderer Wert als 6 oder 7 (beliebiger Wert) Das Gerät wird nicht nur von Intune oder nur Configuration Manager verwaltet.
    (Ausschlüsse sind nicht manipulationssicher.)
  3. Überprüfen Sie den TPExclusions Registrierungsschlüssel (unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features oder HKLM\SOFTWARE\Microsoft\Windows Defender\Features), um zu bestätigen, dass der Manipulationsschutz bereitgestellt wurde und dass Ausschlüsse manipulationssicher sind.

    TPExclusions Bedeutung des Werts
    1 Die erforderlichen Bedingungen sind erfüllt, und die neue Funktion zum Schutz von Ausschlüssen ist auf dem Gerät aktiviert.
    (Ausschlüsse sind manipulationssicher.)
    0 Der Manipulationsschutz schützt derzeit keine Ausschlüsse auf dem Gerät.
    (Wenn alle Anforderungen erfüllt sind und dieser Zustand falsch erscheint, wenden Sie sich an den Support.)

Achtung

Ändern Sie den Wert der Registrierungsschlüssel nicht. Verwenden Sie das vorangehende Verfahren nur für Informationen. Das Ändern von Schlüsseln hat keine Auswirkung darauf, ob der Manipulationsschutz für Ausschlüsse gilt.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.