Mandantenanfügung: Erstellen und Bereitstellen von Richtlinien zur Verringerung der Angriffsfläche im Admin Center
Gilt für: Configuration Manager (Current Branch)
Erstellen Sie Richtlinien zur Verringerung der Angriffsfläche im Microsoft Intune Admin Center, und stellen Sie sie in Configuration Manager-Sammlungen bereit.
Voraussetzungen
- Zugriff auf das Microsoft Intune Admin Center.
- Eine Umgebung, in der Mandanten mit hochgeladenen Geräten angefügt sind.
- Eine unterstützte Version von Configuration Manager und die entsprechende Version der installierten Konsole.
- Führen Sie ein Upgrade für die Zielgeräte auf die neueste Version des Konfigurations-Manager-Clients durch.
- Mindestens eine Configuration Manager-Sammlung, die zum Zuweisen von Endpunktsicherheitsrichtlinien verfügbar ist
- Windows Geräte, die dieses Profil für mit einem Mandanten verbundene Geräte unterstützen
Zuweisen einer Richtlinie zur Verringerung der Angriffsfläche zu einer Sammlung
Wechseln Sie in einem Browser zum Microsoft Intune Admin Center.
Wählen Sie Endpunktsicherheit>Verringerung der Angriffsfläche und dann Richtlinie erstellen aus.
Erstellen Sie ein Profil mit den folgenden Einstellungen:
- Plattform: Windows 10 und höher (ConfigMgr)
-
Profil: Wählen Sie eines der folgenden Profile aus:
- Regeln zur Verringerung der Angriffsfläche (ConfigMgr)
- Exploit-Schutz (ConfigMgr)
- Webschutz (ConfigMgr)
Hinweis
Das Microsoft Edge-Installationsprogramm, das Regelmodul zur Verringerung der Angriffsfläche für die Mandantenanfügung und CMPivot sind derzeit mit dem Microsoft Code Signing PCA 2011-Zertifikat signiert. Wenn Sie die PowerShell-Ausführungsrichtlinie auf AllSigned festlegen, müssen Sie sicherstellen, dass Geräte diesem Signaturzertifikat vertrauen. Sie können das Zertifikat von einem Computer exportieren, auf dem Sie die Configuration Manager-Konsole installiert haben. Zeigen Sie das Zertifikat auf an "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"
, und exportieren Sie dann das Codesignaturzertifikat aus dem Zertifizierungspfad. Importieren Sie sie dann in den Speicher für vertrauenswürdige Herausgeber des Computers auf verwalteten Geräten. Sie können den Prozess im folgenden Blog verwenden, aber stellen Sie sicher, dass Sie das Codesignaturzertifikat aus dem Zertifizierungspfad exportieren: Hinzufügen eines Zertifikats zu vertrauenswürdigen Herausgebern mithilfe von Intune
- Weisen Sie einen Namen und optional eine Beschreibung auf der Seite Grundlagen zu.
- Konfigurieren Sie auf der Seite Konfigurationseinstellungen die Einstellungen, die Sie mit diesem Profil verwalten möchten. Wenn Sie fertig sind mit dem Konfigurieren der Einstellungen, klicken Sie auf Weiter. Weitere Informationen zu den verfügbaren Einstellungen für beide Profile finden Sie unter Richtlinieneinstellungen zur Verringerung der Angriffsfläche für an Mandanten angefügte Geräte.
- Weisen Sie die Richtlinie einer Configuration Manager-Auflistung auf der Seite Aufgaben zu.
Gerätestatus
Sie können den Status von Endpunktsicherheitsrichtlinien für Geräte mit Mandantenanfügung überprüfen. Auf der Seite Gerätestatus finden Sie alle Endpunktsicherheitsrichtlinientypen für Clients mit Mandantenanfügung. So zeigen Sie die Seite Gerätestatus an:
- Wählen Sie eine Richtlinie aus, die für ConfigMgr Geräte vorgesehen ist, um die Seite Übersicht für die Richtlinie anzuzeigen.
- Wählen Sie Gerätestatus aus, um eine Liste der Geräte anzuzeigen, auf die die Richtlinie ausgerichtet ist.
- Gerätename, Kompatibilitätsstatus und SMS-ID werden für jedes Gerät auf der Seite Gerätestatus angezeigt.
Nächste Schritte
- Richtlinieneinstellungen für die Verringerung der Angriffsfläche für mandantengefügte Geräte.
- Erstellen und Bereitstellen einer Antivirenrichtlinie für Endpunktsicherheit auf Geräten mit Mandantenanfügung
- Erstellen und Bereitstellen von Endpunktsicherheitsrichtlinien für Endpunkterkennung und -reaktion auf Geräten mit Mandantenanfügung
- Erstellen und Bereitstellen einer Firewallrichtlinieichtlinie für die Endpunktsicherheit auf Geräten mit Mandantenanfügung