Teilen über

Antivirenrichtlinie für Endpunktsicherheit in Intune

  • Artikel

Intune Endpoint Security Antivirus-Richtlinien können Sicherheitsadministratoren dabei helfen, sich auf die Verwaltung der diskreten Gruppe von Antivireneinstellungen für verwaltete Geräte zu konzentrieren.

Die Antivirenrichtlinie umfasst mehrere Profile. Jedes Profil enthält nur die Einstellungen, die für Microsoft Defender für Endpunkt Antivirus für macOS- und Windows-Geräte oder für die Benutzererfahrung in der Windows-Sicherheits-App auf Windows-Geräten relevant sind.

Die Antivirenrichtlinien finden Sie unter Verwalten im Knoten Endpunktsicherheit des Microsoft Intune Admin Centers.

Antivirenrichtlinien enthalten die gleichen Einstellungen wie gefundene Endpoint Protection - oder Geräteeinschränkungsvorlagen für die Gerätekonfigurationsrichtlinie . Diese Richtlinientypen enthalten jedoch zusätzliche Kategorien von Einstellungen, die nichts mit Antivirus zu tun haben. Die zusätzlichen Einstellungen können die Konfiguration der Antivirusworkload erschweren. Darüber hinaus sind die Einstellungen in der Antivirenrichtlinie für macOS nicht über die anderen Richtlinientypen verfügbar. Das macOS Antivirus-Profil ersetzt die Notwendigkeit, die Einstellungen mithilfe .plist von Dateien zu konfigurieren.

Gilt für:

Voraussetzungen für die Antivirenrichtlinie

Unterstützung für von Microsoft Intune (MDM) registrierte Geräte:

  • macOS

    • Jede unterstützte Version von macOS
    • Damit Intune Antivireneinstellungen auf einem Gerät verwalten kann, muss Microsoft Defender für Endpunkt auf diesem Gerät installiert sein. Siehe. Microsoft Defender für Endpunkt für macOS (In der Microsoft Defender für Endpunkt-Dokumentation)

  • Windows 10, Windows 11 und Windows Server

    • Es sind keine zusätzlichen Voraussetzungen erforderlich.

Unterstützung für Configuration Manager-Clients:

Dieses Szenario befindet sich in der Vorschau und erfordert die Verwendung von Configuration Manager Current Branch Version 2006 oder höher.

  • Einrichten der Mandantenanfügung für Configuration Manager-Geräte : Konfigurieren Sie die Mandantenanfügung, um die Bereitstellung von Antivirenrichtlinien auf Geräten zu unterstützen, die von Configuration Manager verwaltet werden. Die Einrichtung der Mandantenanfügung umfasst das Konfigurieren von Configuration Manager-Gerätesammlungen zur Unterstützung von Endpunktsicherheitsrichtlinien von Intune.

    Informationen zum Einrichten der Mandantenanfügung finden Sie unter Konfigurieren der Mandantenanfügung zur Unterstützung von Endpoint Protection-Richtlinien.

Unterstützung für Microsoft Defender für Endpunkt-Clients:

  • Verwaltung von Sicherheitseinstellungen für Defender für Endpunkt : Informationen zum Konfigurieren der Unterstützung für die Bereitstellung von Antivirenrichtlinien auf Geräten, die von Defender verwaltet, aber nicht bei Intune registriert sind, finden Sie unter Verwalten von Microsoft Defender für Endpunkt auf Geräten mit Microsoft Intune. Dieser Artikel enthält auch Informationen zu Plattformen, die von dieser Funktion unterstützt werden, sowie die Richtlinien und Profile, die von diesen Plattformen unterstützt werden.

Rollenbasierte Zugriffssteuerung (RBAC)

Anleitungen zum Zuweisen der richtigen Berechtigungs- und Rechteebene zum Verwalten der Intune-Antivirenrichtlinie finden Sie unter Assign-role-based-access-controls-for-endpoint-security-policy.

Voraussetzungen für den Manipulationsschutz

Manipulationsschutz ist für Geräte mit einem der folgenden Betriebssysteme verfügbar:

  • macOS (jede unterstützte Version)
  • Windows 10 und 11 (einschließlich Enterprise mit mehreren Sitzungen)
  • Windows Server Version 1803 oder höher, Windows Server 2019, Windows Server 2022
  • Windows Server 2012 R2 und Windows Server 2016 (unter Verwendung der modernen, einheitlichen Lösung)

Hinweis

Geräte müssen in Microsoft Defender für Endpunkt (P1 oder P2) integriert werden. Geräte können eine Verzögerung beim Aktivieren des Manipulationsschutzes feststellen, wenn sie zuvor nicht in Microsoft Defender für Endpunkt integriert wurden. Manipulationsschutz wird beim ersten Einchecken des Geräts nach dem Onboarding in Microsoft Defender für Endpunkt aktiviert.

Sie können Intune verwenden, um den Manipulationsschutz auf Windows-Geräten als Teil des Windows-Sicherheitsprofils (eine Antivirenrichtlinie) zu verwalten. Dies umfasst sowohl Geräte, die Sie mit Intune verwalten, als auch Geräte, die Sie mit Configuration Manager über das Mandantenanfügungsszenario verwalten. Manipulationsschutz ist jetzt auch für Azure Virtual Desktop verfügbar.

Verwaltete Intune-Geräte

Voraussetzungen für die Unterstützung des Manipulationsschutzes für geräte, die von Intune verwaltet werden:

Profile für Antivirenrichtlinien , die den Manipulationsschutz für von Microsoft Intune verwaltete Geräte unterstützen:

  • Plattform: Windows 10, Windows 11 und Windows Server

    • Profil: Windows-Sicherheit

    Hinweis

    Ab dem 5. April 2022 wurde windows 10 und höher durch die Windows 10-, Windows 11- und Windows Server-Plattform ersetzt.

    Die Windows 10-, Windows 11- und Windows Server-Plattform unterstützt Geräte, die über Microsoft Intune oder Microsoft Defender für Endpunkt mit Intune kommunizieren. Diese Profile fügen auch Unterstützung für die Windows Server-Plattform hinzu, die nicht von Microsoft Intune nativ unterstützt wird.

    Profile für diese neue Plattform verwenden das Einstellungsformat, das im Einstellungskatalog enthalten ist. Jede neue Profilvorlage für diese neue Plattform enthält die gleichen Einstellungen wie die ältere Profilvorlage, die sie ersetzt. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

Sie können auch das Endpoint Protection-Profil für die Gerätekonfigurationsrichtlinie verwenden, um den Manipulationsschutz für Geräte zu konfigurieren, die von Intune verwaltet werden.

Configuration Manager-Clients, die über das Mandantenanfügungsszenario verwaltet werden

Voraussetzungen für die Unterstützung der Verwaltung des Manipulationsschutzes mit diesen Profilen:

  • Ihre Umgebung muss die Voraussetzungen für die Verwaltung des Manipulationsschutzes mit Intune erfüllen, wie in der Windows-Dokumentation beschrieben.
  • Sie müssen Configuration Manager Current Branch 2006 oder höher verwenden.
  • Sie müssen die Mandantenanfügung konfigurieren, um Endpoint Protection-Richtlinien zu unterstützen. Dies schließt das Konfigurieren von Configuration Manager-Gerätesammlungen für die Synchronisierung mit Intune ein.
  • Geräte werden in Microsoft Defender für Endpunkt (P1 oder P2) integriert.

Profile für Antivirenrichtlinien , die manipulationsschutz für Geräte unterstützen, die von Configuration Manager verwaltet werden:

  • Plattform: Windows 10, Windows 11 und Windows Server (ConfigMgr)
    • Profil: Windows-Sicherheit (Vorschau)

Antivirenprofile

Von Microsoft Intune verwaltete Geräte

Die folgenden Profile werden für Geräte unterstützt, die Sie mit Intune verwalten:

macOS:

Windows:

  • Plattform: Windows 10, Windows 11 und Windows Server
    Profile für diese Plattform können mit Geräten verwendet werden, die bei Intune registriert sind, und Geräten, die über die Sicherheitsverwaltung für Microsoft Defender für Endpunkt verwaltet werden.

    Hinweis

    Ab dem 5. April 2022 wurde windows 10 und höher durch die Windows 10-, Windows 11- und Windows Server-Plattform ersetzt.

    Die Windows 10-, Windows 11- und Windows Server-Plattform unterstützt Geräte, die über Microsoft Intune oder Microsoft Defender für Endpunkt mit Intune kommunizieren. Diese Profile fügen auch Unterstützung für die Windows Server-Plattform hinzu, die nicht von Microsoft Intune nativ unterstützt wird.

    Profile für diese neue Plattform verwenden das Einstellungsformat, das im Einstellungskatalog enthalten ist. Jede neue Profilvorlage für diese neue Plattform enthält die gleichen Einstellungen wie die ältere Profilvorlage, die sie ersetzt. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

    • Profil: Microsoft Defender Antivirus – Verwalten von Antivirus-Richtlinieneinstellungen für Windows-Geräte.

      Defender Antivirus ist die Schutzkomponente der nächsten Generation von Microsoft Defender für Endpunkt. Der Schutz der nächsten Generation vereint Technologien wie maschinelles Lernen und Cloudinfrastruktur, um Geräte in Ihrer Unternehmensorganisation zu schützen.

      Das Microsoft Defender Antivirus-Profil ist eine separate Instanz der Antivireneinstellungen, die sich im Geräteeinschränkungsprofil für die Gerätekonfigurationsrichtlinie befinden.

      Im Gegensatz zu den Antivireneinstellungen in einem Geräteeinschränkungsprofil können Sie diese Einstellungen für Geräte verwenden, die gemeinsam verwaltet werden. Um diese Einstellungen verwenden zu können, muss der Workloadschieberegler für die Co-Verwaltung für Endpoint Protection auf Intune festgelegt werden.

    • Profil: Microsoft Defender Antivirus-Ausschlüsse – Richtlinieneinstellungen nur für Antivirusausschlüsse verwalten.

      Mit dieser Richtlinie können Sie Einstellungen für die folgenden Microsoft Defender Antivirus-Konfigurationsdienstanbieter (CSPs) verwalten, die Antivirusausschlüsse definieren:

      • Defender/ExcludedPaths
      • Defender/ExcludedExtensions
      • Defender/ExcludedProcesses

      Diese CSPs für Antivirenausschlüsse werden auch von der Microsoft Defender Antivirus-Richtlinie verwaltet, die identische Einstellungen für Ausschlüsse enthält. Einstellungen von beiden Richtlinientypen (Antivirus - und Antivirusausschlüsse) unterliegen der Richtlinienzusammenführung und erstellen eine Reihe von Ausschlüssen für anwendbare Geräte und Benutzer.

    • Profil: Windows-Sicherheit : Verwalten Sie die Einstellungen der Windows-Sicherheit-App, die Endbenutzer im Microsoft Defender Security Center anzeigen können, und die empfangenen Benachrichtigungen.

      Die Windows-Sicherheits-App wird von einer Reihe von Windows-Sicherheitsfeatures verwendet, um Benachrichtigungen zur Integrität und Sicherheit des Computers bereitzustellen. Sicherheits-App-Benachrichtigungen umfassen Firewalls, Antivirenprodukte, Windows Defender SmartScreen und andere.

    • Profil: Defender Update-Steuerelemente : Verwalten Sie Updateeinstellungen für Microsoft Defender, einschließlich der folgenden Einstellungen, die direkt vom Defender CSP übernommen werden:

Von Configuration Manager verwaltete Geräte

Antivirus

Verwalten Sie Antivireneinstellungen für Configuration Manager-Geräte, wenn Sie mandantenanfügen verwenden.

Richtlinienpfad:

  • Endpunktsicherheit > Antivirus > Windows 10, Windows 11 und Windows Server (ConfigMgr)

Profile:

  • Microsoft Defender Antivirus (Vorschau)
  • Windows-Sicherheit (Vorschau)

Erforderliche Version von Configuration Manager:

  • Configuration Manager Current Branch Version 2006 oder höher

Unterstützte Configuration Manager-Geräteplattformen:

  • Windows 8.1 (x86, x64), ab Configuration Manager Version 2010
  • Windows 10 und höher (x86, x64, ARM64)
  • Windows 11 und höher (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), ab Configuration Manager Version 2010
  • Windows Server 2016 und höher (x64)

Wichtig

Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, wird empfohlen, auf Windows 10/11-Geräte zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Richtlinienzusammenführung für Einstellungen

Einige Antivirus-Richtlinieneinstellungen unterstützen das Zusammenführen von Richtlinien. Die Richtlinienzusammenführung trägt dazu bei, Konflikte zu vermeiden, wenn mehrere Richtlinien auf dieselben Geräte angewendet und die gleiche Einstellung konfiguriert werden. Intune wertet die Einstellungen, die die Richtlinienzusammenführung unterstützt, für jeden Benutzer oder jedes Gerät aus, die aus allen anwendbaren Richtlinien stammen. Diese Einstellungen werden dann in einer einzigen Obermenge der Richtlinie zusammengeführt.

Sie erstellen z. B. drei separate Antivirenrichtlinien, die unterschiedliche Antivirendateipfadausschlüsse definieren. Schließlich werden alle drei Richtlinien demselben Benutzer zugewiesen. Da der Microsoft Defender-Dateipfadausschluss-CSP die Richtlinienzusammenführung unterstützt, wertet Und kombiniert Intune die Dateiausschlüsse aus allen anwendbaren Richtlinien für den Benutzer. Die Ausschlüsse werden einer Obermenge hinzugefügt, und die einzelne Liste der Ausschlüsse wird an das Gerät der Benutzer übermittelt.

Wenn die Richtlinienzusammenführung für eine Einstellung nicht unterstützt wird, kann ein Konflikt auftreten. Konflikte können dazu führen, dass der Benutzer oder das Gerät keine Richtlinie für die Einstellung erhält. Beispielsweise unterstützt die Richtlinienzusammenführung den CSP nicht, um die Installation übereinstimmender Geräte-IDs (PreventInstallationOfMatchingDeviceIDs) zu verhindern. Konfigurationen für diesen CSP werden nicht zusammengeführt und separat verarbeitet.

Bei getrennter Verarbeitung werden Richtlinienkonflikte wie folgt gelöst:

  1. Es gilt die sicherste Richtlinie.
  2. Wenn zwei Richtlinien gleichermaßen sicher sind, gilt die zuletzt geänderte Richtlinie.
  3. Wenn die zuletzt geänderte Richtlinie den Konflikt nicht lösen kann, wird keine Richtlinie an das Gerät übermittelt.

Einstellungen und CSPs, die die Richtlinienzusammenführung unterstützen

Die folgenden Einstellungen unterstützen die Richtlinienzusammenführung:

Berichte zu Antivirenrichtlinien

Antivirusrichtlinienberichte zeigen Statusdetails zu Ihren Endpunktsicherheitsrichtlinien und gerätestatus an. Diese Berichte sind im Knoten Endpunktsicherheit des Microsoft Intune Admin Centers verfügbar.

Um die Berichte anzuzeigen, wechseln Sie im Microsoft Intune Admin Center zu Endpunktsicherheit, und wählen Sie Antivirus aus. Wenn Sie Antivirus auswählen, wird die Seite Zusammenfassung geöffnet. Zusätzliche Berichts- und Statusansichten sind als zusätzliche Seiten verfügbar.

Zusätzlich zu den in den folgenden Abschnitten beschriebenen Berichten finden Sie zusätzliche Berichte für Microsoft Defender Antivirus im Knoten Berichte des Microsoft Intune Admin Centers, wie im Artikel Intune-Berichte dokumentiert:

Zusammenfassung

Auf der Seite Zusammenfassung können Sie neue Richtlinien erstellen und eine Liste der zuvor erstellten Richtlinien anzeigen. Die Liste enthält allgemeine Details zum Profil, das die Richtlinie enthält (Richtlinientyp), und ob die Richtlinie zugewiesen ist.

Zusammenfassungsseite der Antivirenrichtlinie

Wenn Sie eine Richtlinie aus der Liste auswählen, wird die Seite Übersicht für diese Richtlinieninstanz geöffnet und zeigt weitere Informationen an. Nachdem Sie eine Kachel aus dieser Ansicht ausgewählt haben, zeigt Intune zusätzliche Details für dieses Profil an, sofern diese verfügbar sind.

Übersichtsseite der Antivirenrichtlinie

Fehlerhafte Endpunkte

Auf der Seite Fehlerhafte Endpunkte können Sie Informationen zum Antivirenstatus Ihrer MDM-verwalteten Windows-Geräte anzeigen. Diese Informationen werden von Windows Defender Antivirus zurückgegeben, das auf dem Gerät als Bedrohungs-Agent-Status ausgeführt wird. Wählen Sie auf dieser Seite Spalten aus, um die vollständige Liste der details anzuzeigen, die im Bericht verfügbar sind.

Nur Geräte mit erkannten Problemen werden in dieser Ansicht angezeigt. In dieser Ansicht werden keine Details für Geräte angezeigt, die als sauber gekennzeichnet sind.

Die Informationen für diesen Bericht basieren auf den Informationen aus den folgenden CSPs, die in der Dokumentation zur Windows-Clientverwaltung dokumentiert werden:

Screenshot des Berichts

Nächste Schritte

Konfigurieren von Endpunktsicherheitsrichtlinien

Zeigen Sie Details für die Windows-Einstellungen in den veralteten Profilen für die Plattform windows 10 und höher an: