Antivirenrichtlinie für Endpunktsicherheit in Intune

  • Artikel

Intune Endpoint Security Antivirus-Richtlinien können Sicherheitsadministratoren dabei helfen, sich auf die Verwaltung der diskreten Gruppe von Antivireneinstellungen für verwaltete Geräte zu konzentrieren.

Die Antivirenrichtlinie umfasst mehrere Profile. Jedes Profil enthält nur die Einstellungen, die für Microsoft Defender for Endpoint Antivirus für macOS- und Windows-Geräte oder für die Benutzererfahrung in der Windows-Sicherheit-App auf Windows-Geräten relevant sind.

Die Antivirenrichtlinien finden Sie unter Verwalten im Knoten Endpunktsicherheit des Microsoft Intune Admin Center.

Antivirenrichtlinien enthalten die gleichen Einstellungen wie gefundene Endpoint Protection - oder Geräteeinschränkungsvorlagen für die Gerätekonfigurationsrichtlinie . Diese Richtlinientypen enthalten jedoch zusätzliche Kategorien von Einstellungen, die nichts mit Antivirus zu tun haben. Die zusätzlichen Einstellungen können die Konfiguration der Antivirusworkload erschweren. Darüber hinaus sind die Einstellungen in der Antivirenrichtlinie für macOS nicht über die anderen Richtlinientypen verfügbar. Das macOS Antivirus-Profil ersetzt die Notwendigkeit, die Einstellungen mithilfe .plist von Dateien zu konfigurieren.

Gilt für:

  • Linux
  • macOS
  • Windows 10/11

Voraussetzungen für die Antivirenrichtlinie

Unterstützung für Microsoft Intune registrierte Geräte (MDM):

  • macOS

    • Jede unterstützte Version von macOS
    • Damit Intune Antivireneinstellungen auf einem Gerät verwalten kann, müssen Microsoft Defender for Endpoint auf diesem Gerät installiert sein. Siehe. Microsoft Defender for Endpoint für macOS (in der Microsoft Defender for Endpoint-Dokumentation)

  • Windows 10, Windows 11 und Windows Server

    • Es sind keine zusätzlichen Voraussetzungen erforderlich.

Unterstützung für Configuration Manager Clients:

Dieses Szenario befindet sich in der Vorschauphase und erfordert die Verwendung von Configuration Manager Current Branch Version 2006 oder höher.

  • Einrichten der Mandantenanfügung für Configuration Manager-Geräte: Konfigurieren Sie die Mandantenanfügung, um die Bereitstellung von Antivirenrichtlinien auf Geräten zu unterstützen, die von Configuration Manager verwaltet werden. Die Einrichtung der Mandantenanfügung umfasst das Konfigurieren Configuration Manager Gerätesammlungen zur Unterstützung von Endpunktsicherheitsrichtlinien von Intune.

    Informationen zum Einrichten der Mandantenanfügung finden Sie unter Konfigurieren der Mandantenanfügung zur Unterstützung von Endpoint Protection-Richtlinien.

Unterstützung für Microsoft Defender for Endpoint Clients:

  • Verwaltung von Sicherheitseinstellungen für Defender für Endpunkt: Informationen zum Konfigurieren der Unterstützung für die Bereitstellung von Antivirenrichtlinien auf Geräten, die von Defender verwaltet, aber nicht bei Intune registriert sind, finden Sie unter Verwalten von Microsoft Defender for Endpoint auf Geräten mit Microsoft Intune. Dieser Artikel enthält auch Informationen zu Plattformen, die von dieser Funktion unterstützt werden, sowie die Richtlinien und Profile, die von diesen Plattformen unterstützt werden.

Voraussetzungen für den Manipulationsschutz

Manipulationsschutz ist für Geräte mit einem der folgenden Betriebssysteme verfügbar:

  • macOS (jede unterstützte Version)
  • Windows 10 und 11 (einschließlich Enterprise multi-session)
  • Windows Server Version 1803 oder höher, Windows Server 2019, Windows Server 2022
  • Windows Server 2012 R2 und Windows Server 2016 (mithilfe der modernen, einheitlichen Lösung)

Hinweis

Geräte müssen in Microsoft Defender for Endpoint (P1 oder P2) integriert werden. Geräte können eine Verzögerung beim Aktivieren des Manipulationsschutzes feststellen, wenn sie zuvor nicht in Microsoft Defender for Endpoint integriert wurden. Der Manipulationsschutz wird beim ersten Einchecken des Geräts nach dem Onboarding in Microsoft Defender for Endpoint aktiviert.

Sie können Intune verwenden, um den Manipulationsschutz auf Windows-Geräten als Teil Windows-Sicherheit Profils "Experience" (eine Antivirenrichtlinie) zu verwalten. Dies umfasst sowohl Geräte, die Sie mit Intune verwalten, als auch Geräte, die Sie mit Configuration Manager über das Mandantenanfügungsszenario verwalten. Manipulationsschutz ist jetzt auch für Azure Virtual Desktop verfügbar.

Verwaltete Intune-Geräte

Voraussetzungen für die Unterstützung des Manipulationsschutzes für geräte, die von Intune verwaltet werden:

Profile für Antivirenrichtlinien, die Manipulationsschutz für Geräte unterstützen, die von Microsoft Intune verwaltet werden:

  • Plattform: Windows 10, Windows 11 und Windows Server

    • Profil: Windows-Sicherheit Erfahrung

    Hinweis

    Ab dem 5. April 2022 wurde die Windows 10- und höher-Plattform durch die Windows 10-, Windows 11- und Windows Server-Plattform ersetzt.

    Die Windows 10-, Windows 11- und Windows Server-Plattform unterstützt Geräte, die über Microsoft Intune oder Microsoft Defender for Endpoint mit Intune kommunizieren. Diese Profile fügen auch Unterstützung für die Windows Server-Plattform hinzu, die nicht über Microsoft Intune nativ unterstützt wird.

    Profile für diese neue Plattform verwenden das Einstellungsformat, das im Einstellungskatalog enthalten ist. Jede neue Profilvorlage für diese neue Plattform enthält die gleichen Einstellungen wie die ältere Profilvorlage, die sie ersetzt. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

Sie können auch das Endpoint Protection-Profil für die Gerätekonfigurationsrichtlinie verwenden, um den Manipulationsschutz für Geräte zu konfigurieren, die von Intune verwaltet werden.

Configuration Manager Clients, die über das Mandantenanfügungsszenario verwaltet werden

Voraussetzungen für die Unterstützung der Verwaltung des Manipulationsschutzes mit diesen Profilen:

  • Ihre Umgebung muss die Voraussetzungen für die Verwaltung des Manipulationsschutzes mit Intune erfüllen, wie in der Windows-Dokumentation beschrieben.
  • Sie müssen Configuration Manager Current Branch 2006 oder höher verwenden.
  • Sie müssen die Mandantenanfügung konfigurieren, um Endpoint Protection-Richtlinien zu unterstützen. Dies schließt das Konfigurieren Configuration Manager Gerätesammlungen für die Synchronisierung mit Intune ein.
  • Geräte werden in Microsoft Defender for Endpoint (P1 oder P2) integriert.

Profile für Antivirenrichtlinien, die manipulationsschutz für Geräte unterstützen, die von Configuration Manager verwaltet werden:

  • Plattform: Windows 10, Windows 11 und Windows Server (ConfigMgr)
    • Profil: Windows-Sicherheit Erfahrung (Vorschau)

Antivirenprofile

Von Microsoft Intune verwaltete Geräte

Die folgenden Profile werden für Geräte unterstützt, die Sie mit Intune verwalten:

macOS:

Windows:

  • Plattform: Windows 10, Windows 11 und Windows Server
    Profile für diese Plattform können mit Geräten verwendet werden, die bei Intune registriert sind, und Geräten, die über die Sicherheitsverwaltung für Microsoft Defender for Endpoint verwaltet werden.

    Hinweis

    Ab dem 5. April 2022 wurde die Windows 10- und höher-Plattform durch die Windows 10-, Windows 11- und Windows Server-Plattform ersetzt.

    Die Windows 10-, Windows 11- und Windows Server-Plattform unterstützt Geräte, die über Microsoft Intune oder Microsoft Defender for Endpoint mit Intune kommunizieren. Diese Profile fügen auch Unterstützung für die Windows Server-Plattform hinzu, die nicht über Microsoft Intune nativ unterstützt wird.

    Profile für diese neue Plattform verwenden das Einstellungsformat, das im Einstellungskatalog enthalten ist. Jede neue Profilvorlage für diese neue Plattform enthält die gleichen Einstellungen wie die ältere Profilvorlage, die sie ersetzt. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

    • Profil: Microsoft Defender Antivirus – Verwalten der Richtlinieneinstellungen für Windows-Geräte.

      Defender Antivirus ist die Schutzkomponente der nächsten Generation von Microsoft Defender for Endpoint. Der Schutz der nächsten Generation vereint Technologien wie maschinelles Lernen und Cloudinfrastruktur, um Geräte in Ihrem Unternehmen organization zu schützen.

      Das Microsoft Defender Antivirusprofil ist ein separater instance der Antivireneinstellungen, die sich im Geräteeinschränkungsprofil für die Gerätekonfigurationsrichtlinie befinden.

      Im Gegensatz zu den Antivireneinstellungen in einem Geräteeinschränkungsprofil können Sie diese Einstellungen für Geräte verwenden, die gemeinsam verwaltet werden. Um diese Einstellungen verwenden zu können, muss der Workloadschieberegler für die Co-Verwaltung für Endpoint Protection auf Intune festgelegt werden.

    • Profil: Microsoft Defender Antivirusausschlüsse – Richtlinieneinstellungen nur für Antivirusausschlüsse verwalten.

      Mit dieser Richtlinie können Sie Einstellungen für die folgenden Microsoft Defender Antivirus Configuration Service Providers (CSPs) verwalten, die Antivirenausschlüsse definieren:

      • Defender/ExcludedPaths
      • Defender/ExcludedExtensions
      • Defender/ExcludedProcesses

      Diese CSPs für Antivirenausschlüsse werden auch von Microsoft Defender Antivirusrichtlinie verwaltet, die identische Einstellungen für Ausschlüsse enthält. Einstellungen von beiden Richtlinientypen (Antivirus - und Antivirusausschlüsse) unterliegen der Richtlinienzusammenführung und erstellen eine Reihe von Ausschlüssen für anwendbare Geräte und Benutzer.

    • Profil: Windows-Sicherheit Erfahrung: Verwalten Sie die Windows-Sicherheit App-Einstellungen, die Endbenutzer im Microsoft Defender Security Center anzeigen können, und die empfangenen Benachrichtigungen.

      Die Windows-Sicherheits-App wird von einer Reihe von Windows-Sicherheitsfeatures verwendet, um Benachrichtigungen zur Integrität und Sicherheit des Computers bereitzustellen. Sicherheits-App-Benachrichtigungen umfassen Firewalls, Antivirenprodukte, Windows Defender SmartScreen und andere.

    • Profil: Defender Update-Steuerelemente – Verwalten Sie Updateeinstellungen für Microsoft Defender, einschließlich der folgenden Einstellungen, die direkt vom Defender CSP übernommen werden:

Von Configuration Manager verwaltete Geräte

Antivirus

Verwalten Sie Antivireneinstellungen für Configuration Manager Geräte, wenn Sie mandantenanfügen verwenden.

Richtlinienpfad:

  • Endpunktsicherheit > Antivirus > Windows 10, Windows 11 und Windows Server (ConfigMgr)

Profile:

  • Microsoft Defender Antivirus (Vorschau)
  • Windows-Sicherheit (Vorschau)

Erforderliche Version von Configuration Manager:

  • Configuration Manager Current Branch Version 2006 oder höher

Unterstützte Configuration Manager Geräteplattformen:

  • Windows 8.1 (x86, x64), ab Configuration Manager Version 2010
  • Windows 10 und höher (x86, x64, ARM64)
  • Windows 11 und höher (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), ab Configuration Manager Version 2010
  • Windows Server 2016 und höher (x64)

Wichtig

Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Richtlinienzusammenführung für Einstellungen

Einige Antivirus-Richtlinieneinstellungen unterstützen das Zusammenführen von Richtlinien. Die Richtlinienzusammenführung trägt dazu bei, Konflikte zu vermeiden, wenn mehrere Richtlinien auf dieselben Geräte angewendet und die gleiche Einstellung konfiguriert werden. Intune wertet die Einstellungen, die die Richtlinienzusammenführung unterstützt, für jeden Benutzer oder jedes Gerät aus, die aus allen anwendbaren Richtlinien stammen. Diese Einstellungen werden dann in einer einzigen Obermenge der Richtlinie zusammengeführt.

Sie erstellen z. B. drei separate Antivirenrichtlinien, die unterschiedliche Antivirendateipfadausschlüsse definieren. Schließlich werden alle drei Richtlinien demselben Benutzer zugewiesen. Da der Microsoft Defender Dateipfadausschluss-CSP die Richtlinienzusammenführung unterstützt, wertet Intune die Dateiausschlüsse aus allen anwendbaren Richtlinien für den Benutzer aus und kombiniert sie. Die Ausschlüsse werden einer Obermenge hinzugefügt, und die einzelne Liste der Ausschlüsse wird an das Gerät der Benutzer übermittelt.

Wenn die Richtlinienzusammenführung für eine Einstellung nicht unterstützt wird, kann ein Konflikt auftreten. Konflikte können dazu führen, dass der Benutzer oder das Gerät keine Richtlinie für die Einstellung erhält. Beispielsweise unterstützt die Richtlinienzusammenführung den CSP nicht, um die Installation übereinstimmender Geräte-IDs (PreventInstallationOfMatchingDeviceIDs) zu verhindern. Konfigurationen für diesen CSP werden nicht zusammengeführt und separat verarbeitet.

Bei getrennter Verarbeitung werden Richtlinienkonflikte wie folgt gelöst:

  1. Es gilt die sicherste Richtlinie.
  2. Wenn zwei Richtlinien gleichermaßen sicher sind, gilt die zuletzt geänderte Richtlinie.
  3. Wenn die zuletzt geänderte Richtlinie den Konflikt nicht lösen kann, wird keine Richtlinie an das Gerät übermittelt.

Einstellungen und CSPs, die die Richtlinienzusammenführung unterstützen

Die folgenden Einstellungen unterstützen die Richtlinienzusammenführung:

Berichte zu Antivirenrichtlinien

Antivirenrichtlinienberichte zeigen status Details zu Ihren Endpunktsicherheitsrichtlinien für Antivirensoftware und geräte status an. Diese Berichte sind im Knoten Endpunktsicherheit des Microsoft Intune Admin Center verfügbar.

Um die Berichte anzuzeigen, wechseln Sie im Microsoft Intune Admin Center zu Endpunktsicherheit, und wählen Sie Antivirus aus. Wenn Sie Antivirus auswählen, wird die Seite Zusammenfassung geöffnet. Zusätzliche Berichts- und status-Ansichten sind als zusätzliche Seiten verfügbar.

Zusätzlich zu den in den folgenden Abschnitten beschriebenen Berichten finden Sie zusätzliche Berichte für Microsoft Defender Antivirus im Knoten Berichte des Microsoft Intune Admin Centers, wie im Artikel Intune-Berichte dokumentiert:

Zusammenfassung

Auf der Seite Zusammenfassung können Sie neue Richtlinien erstellen und eine Liste der zuvor erstellten Richtlinien anzeigen. Die Liste enthält allgemeine Details zum Profil, das die Richtlinie enthält (Richtlinientyp), und ob die Richtlinie zugewiesen ist.

Zusammenfassungsseite der Antivirenrichtlinie

Wenn Sie eine Richtlinie aus der Liste auswählen, wird die Seite Übersicht für diese richtlinie instance geöffnet und zeigt weitere Informationen an. Nachdem Sie eine Kachel aus dieser Ansicht ausgewählt haben, zeigt Intune zusätzliche Details für dieses Profil an, sofern diese verfügbar sind.

Übersichtsseite der Antivirenrichtlinie

Fehlerhafte Endpunkte

Auf der Seite Fehlerhafte Endpunkte können Sie Informationen zum Antivirus-status Ihrer MDM-verwalteten Windows-Geräte anzeigen. Diese Informationen werden von Windows Defender Antivirus zurückgegeben, das auf dem Gerät ausgeführt wird, da der Bedrohungs-Agent status. Wählen Sie auf dieser Seite Spalten aus, um die vollständige Liste der details anzuzeigen, die im Bericht verfügbar sind.

Nur Geräte mit erkannten Problemen werden in dieser Ansicht angezeigt. In dieser Ansicht werden keine Details für Geräte angezeigt, die als sauber identifiziert werden.

Die Informationen für diesen Bericht basieren auf den Informationen aus den folgenden CSPs, die in der Dokumentation zur Windows-Clientverwaltung dokumentiert werden:

Screenshot des Berichts

Nächste Schritte

Konfigurieren von Endpunktsicherheitsrichtlinien

Zeigen Sie Details für die Windows-Einstellungen in den veralteten Profilen für die Windows 10 und höher an: