Verwalten von Endpunktsicherheitsrichtlinien auf Geräten, die in Microsoft Defender for Endpoint integriert sind

  • Artikel

Wenn Sie Microsoft Defender for Endpoint verwenden, können Sie Endpunktsicherheitsrichtlinien aus Microsoft Intune bereitstellen, um die Defender-Sicherheitseinstellungen auf den Geräten zu verwalten, die Sie in Defender integriert haben, ohne diese Geräte bei Intune zu registrieren. Diese Funktion wird als Defender für Endpunkt-Sicherheitseinstellungenverwaltung bezeichnet.

Wenn Sie Geräte über die Verwaltung von Sicherheitseinstellungen verwalten:

  • Sie können das Microsoft Intune Admin Center oder das Microsoft 365 Defender-Portal verwenden, um Richtlinien für die Endpunktsicherheit für Defender für Endpunkt zu konfigurieren und diese Richtlinien Microsoft Entra ID Gruppen zuzuweisen. Das Defender-Portal enthält die Benutzeroberfläche für Geräteansichten, Richtlinienverwaltung und Berichte für die Verwaltung von Sicherheitseinstellungen.

    Anleitungen zum Verwalten der Intune-Endpunktsicherheitsrichtlinien im Defender-Portal finden Sie unter Verwalten von Endpunktsicherheitsrichtlinien in Microsoft Defender for Endpoint im Defender-Inhalt.

  • Geräte erhalten ihre zugewiesenen Richtlinien basierend auf ihrem Entra ID-Geräteobjekt. Ein Gerät, das noch nicht in Microsoft Entra registriert ist, wird als Teil dieser Lösung eingebunden.

  • Wenn ein Gerät eine Richtlinie empfängt, erzwingen die Defender für Endpunkt-Komponenten auf dem Gerät die Richtlinie und melden die status des Geräts. Die status des Geräts sind im Microsoft Intune Admin Center und im Microsoft Defender-Portal verfügbar.

In diesem Szenario wird die Microsoft Intune Endpoint Security-Oberfläche auf Geräte erweitert, die sich nicht bei Intune registrieren können. Wenn ein Gerät von Intune verwaltet wird (bei Intune registriert), verarbeitet das Gerät keine Richtlinien für die Defender für Endpunkt-Sicherheitseinstellungenverwaltung. Verwenden Sie stattdessen Intune, um eine Richtlinie für Defender für Endpunkt auf Ihren Geräten bereitzustellen.

Gilt für:

  • Windows 10 und Windows 11
  • Windows Server (2012 R2 und höher)
  • Linux
  • macOS

Konzeptionelle Darstellung der Microsoft Defender für Endpoint-Attach Lösung.

Voraussetzungen

In den folgenden Abschnitten finden Sie die Anforderungen für das Defender für Endpunkt-Szenario zur Verwaltung von Sicherheitseinstellungen.

Umgebung

Wenn ein unterstütztes Gerät in Microsoft Defender for Endpoint integriert wird:

  • Das Gerät wird auf ein vorhandenes Microsoft Intune untersucht, bei dem es sich um eine Mdm-Registrierung (Mobile Device Management, Verwaltung mobiler Geräte) für Intune handelt.
  • Geräte ohne Intune anwesenheit aktivieren das Feature zur Verwaltung von Sicherheitseinstellungen.
  • Für Geräte, die nicht vollständig Microsoft Entra registriert sind, wird eine synthetische Geräteidentität in Microsoft Entra ID erstellt, die es dem Gerät ermöglicht, Richtlinien abzurufen. Vollständig registrierte Geräte verwenden ihre aktuelle Registrierung.
  • Richtlinien, die von Microsoft Intune abgerufen werden, werden auf dem Gerät von Microsoft Defender for Endpoint erzwungen.

Die Verwaltung von Sicherheitseinstellungen wird für Government-Clouds noch nicht unterstützt. Weitere Informationen finden Sie unter Featureparität mit kommerziellen in Microsoft Defender for Endpoint für US Government-Kunden.

Konnektivitätsanforderungen

Geräte müssen Zugriff auf den folgenden Endpunkt haben:

  • *.dm.microsoft.com - Die Verwendung eines Wildcards unterstützt die Clouddienstendpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.

Unterstützte Plattformen

Richtlinien für Microsoft Defender for Endpoint Sicherheitsverwaltung werden für die folgenden Geräteplattformen unterstützt:

Linux:

Ab version 101.23052.0009 Microsoft Defender for Endpoint für Linux-Agent unterstützt die Verwaltung von Sicherheitseinstellungen die folgenden Linux-Distributionen:

  • Red Hat Enterprise Linux 7.2 oder höher
  • CentOS 7.2 oder höher
  • Ubuntu 16.04 LTS oder höher LTS
  • Debian 9 oder höher
  • SUSE Linux Enterprise Server 12 oder höher
  • Oracle Linux 7.2 oder höher
  • Amazon Linux 2
  • Fedora 33 oder höher

Um die Version des Defender-Agents zu bestätigen, wechseln Sie im Defender-Portal zur Seite Geräte, und suchen Sie auf der Registerkarte Gerätebestände nach Defender für Linux. Anleitungen zum Aktualisieren der Agent-Version finden Sie unter Bereitstellen von Updates für Microsoft Defender for Endpoint unter Linux.

Bekanntes Problem: Mit der Defender-Agent-Version 101.23052.0009 können Linux-Geräte nicht registriert werden, wenn der folgende Dateipfad fehlt: /sys/class/dmi/id/board_vendor.

macOS:

Mit Microsoft Defender for Endpoint für macOS-Agent-Version101.23052.0004 oder höher unterstützt die Verwaltung von Sicherheitseinstellungen die folgenden macOS-Versionen:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Um die Version des Defender-Agents zu bestätigen, wechseln Sie im Defender-Portal zur Seite Geräte, und suchen Sie auf der Registerkarte Gerätebestände nach Defender für macOS. Anleitungen zum Aktualisieren der Agent-Version finden Sie unter Bereitstellen von Updates für Microsoft Defender for Endpoint unter macOS.

Bekanntes Problem: Mit der Defender-Agent-Version 101.23052.0004 erhalten macOS-Geräte, die in Microsoft Entra ID registriert sind, bevor sie sich mit der Verwaltung von Sicherheitseinstellungen registrieren, eine doppelte Geräte-ID in Microsoft Entra ID, bei der es sich um eine synthetische Registrierung handelt. Wenn Sie eine Microsoft Entra Gruppe für die Zielrichtlinie erstellen, müssen Sie die synthetische Geräte-ID verwenden, die von der Verwaltung von Sicherheitseinstellungen erstellt wurde. In Microsoft Entra ID ist die Spalte Jointyp für die synthetische Geräte-ID leer.

Windows:

Die Verwaltung von Sicherheitseinstellungen funktioniert nicht auf den folgenden Geräten und wird nicht unterstützt:

  • Nicht persistente Desktops, z. B. VDI-Clients (Virtual Desktop Infrastructure) oder Azure Virtual Desktops.
  • Domänencontroller

Wichtig

In einigen Fällen können Domänencontroller, die auf einem heruntergefahrenen Serverbetriebssystem (2012 R2 oder 2016) ausgeführt werden, unbeabsichtigt von Microsoft Defender for Endpoint verwaltet werden. Um sicherzustellen, dass dies in Ihrer Umgebung nicht der Fall ist, sollten Sie sicherstellen, dass Ihre Domänencontroller weder mit "MDE-Management" gekennzeichnet noch von MDE verwaltet werden.

Lizenzierung und Abonnements

Um die Verwaltung von Sicherheitseinstellungen verwenden zu können, benötigen Sie Folgendes:

  • Ein Abonnement, das Lizenzen für Microsoft Defender for Endpoint gewährt, z. B. Microsoft 365, oder eine eigenständige Lizenz nur für Microsoft Defender for Endpoint. Ein Abonnement, das Microsoft Defender for Endpoint Lizenzen gewährt, gewährt Ihrem Mandanten auch Zugriff auf den Endpunktsicherheitsknoten des Microsoft Intune Admin Center.

    Hinweis

    Ausnahme: Wenn Sie zugriff auf Microsoft Defender for Endpoint nur über Microsoft Defender für Server (Teil von Microsoft Defender for Cloud, früher Azure Security Center), ist die Verwaltungsfunktion für Sicherheitseinstellungen nicht verfügbar. Sie müssen mindestens eine Microsoft Defender for Endpoint (Benutzer-)Abonnementlizenz aktiv haben.

    Auf dem Knoten Endpunktsicherheit konfigurieren und stellen Sie Richtlinien bereit, um Microsoft Defender for Endpoint für Ihre Geräte zu verwalten und status zu überwachen.

    Aktuelle Informationen zu Optionen finden Sie unter Mindestanforderungen für Microsoft Defender for Endpoint.

Architektur

Das folgende Diagramm ist eine konzeptionelle Darstellung der Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltungslösung.

Konzeptionelles Diagramm der Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltungslösung

  1. Geräte werden in Microsoft Defender for Endpoint integriert.
  2. Geräte kommunizieren mit Intune. Diese Kommunikation ermöglicht es Microsoft Intune, Richtlinien zu verteilen, die beim Einchecken auf die Geräte ausgerichtet sind.
  3. Eine Registrierung wird für jedes Gerät in Microsoft Entra ID eingerichtet:
    • Wenn ein Gerät zuvor vollständig registriert wurde, z. B. ein Hybrid Join-Gerät, wird die vorhandene Registrierung verwendet.
    • Für Geräte, die nicht registriert wurden, wird eine synthetische Geräteidentität in Microsoft Entra ID erstellt, damit das Gerät Richtlinien abrufen kann. Wenn für ein Gerät mit einer synthetischen Registrierung eine vollständige Microsoft Entra Registrierung erstellt wurde, wird die synthetische Registrierung entfernt, und die Geräteverwaltung wird ununterbrochen fortgesetzt, indem die vollständige Registrierung verwendet wird.
  4. Defender für Endpunkt meldet die status der Richtlinie an Microsoft Intune.

Wichtig

Die Verwaltung von Sicherheitseinstellungen verwendet eine synthetische Registrierung für Geräte, die sich nicht vollständig in Microsoft Entra ID registrieren, und löscht die Microsoft Entra Hybrid Join-Voraussetzung. Mit dieser Änderung beginnen Windows-Geräte, die zuvor Registrierungsfehler hatten, das Onboarding in Defender und empfangen und verarbeiten dann die Verwaltungsrichtlinien für Sicherheitseinstellungen.

Um nach Geräten zu filtern, die sich nicht registrieren konnten, weil die Voraussetzungen für die Microsoft Entra Hybrideinbindung nicht erfüllt wurden, navigieren Sie im Microsoft Defender-Portal zur Liste Geräte, und filtern Sie nach Registrierung status. Da diese Geräte nicht vollständig registriert sind, zeigen ihre Geräteattribute MDM = Intune und Jointyp = Leer an. Diese Geräte werden jetzt mithilfe der synthetischen Registrierung bei der Verwaltung von Sicherheitseinstellungen registriert.

Nach der Registrierung werden diese Geräte in den Gerätelisten für Microsoft Defender-, Microsoft Intune- und Microsoft Entra-Portale angezeigt. Während die Geräte nicht vollständig bei Microsoft Entra registriert werden, zählt ihre synthetische Registrierung als ein Geräteobjekt.

Was Sie im Microsoft Defender-Portal erwarten können

Sie können den Microsoft Defender XDR Gerätebestand verwenden, um zu bestätigen, dass ein Gerät die Verwaltungsfunktion für Sicherheitseinstellungen in Defender für Endpunkt verwendet. Überprüfen Sie dazu die Geräte status in der Spalte Verwaltet von. Die Informationen Verwaltet von sind auch auf der Seite des Geräts oder auf der Geräteseite verfügbar. Managed by sollte konsistent angeben, dass es von MDE verwaltet wird. 

Sie können auch bestätigen, dass ein Gerät erfolgreich bei der Verwaltung von Sicherheitseinstellungen registriert wurde, indem Sie bestätigen, dass der geräteseitige Bereich oder die Geräteseite MDE Registrierung statusals Erfolgreich angezeigt wird.

Screenshot einer Registrierung für die Verwaltung von Gerätesicherheitseinstellungen status auf der Geräteseite im Microsoft Defender-Portal.

Wenn im MDE Enrollment status nicht Success (Erfolg) angezeigt wird, stellen Sie sicher, dass Sie sich ein Gerät ansehen, das aktualisiert wurde und sich im Bereich der Verwaltung von Sicherheitseinstellungen befindet. (Sie konfigurieren den Bereich auf der Seite Erzwingungsbereich, während Sie die Verwaltung von Sicherheitseinstellungen konfigurieren.)

Was Sie im Microsoft Intune Admin Center erwarten können

Wechseln Sie im Microsoft Intune Admin Center zur Seite Alle Geräte. Geräte, die mit der Verwaltung von Sicherheitseinstellungen registriert sind, werden hier im Defender-Portal angezeigt. Im Admin Center sollte im Feld Verwaltet von geräten MDE angezeigt werden.

Screenshot der Geräteseite im Intune Admin Center mit hervorgehobenem status verwaltet von dem Gerät.

Tipp

Im Juni 2023 hat die Verwaltung von Sicherheitseinstellungen damit begonnen, die synthetische Registrierung für Geräte zu verwenden, die sich nicht vollständig in Microsoft Entra registrieren. Mit dieser Änderung beginnen Geräte, bei denen zuvor Registrierungsfehler aufgetreten sind, das Onboarding in Defender und empfangen und verarbeiten dann die Verwaltungsrichtlinien für Sicherheitseinstellungen.

Was Sie im Microsoft-Azure-Portal erwarten können

Auf der Seite Alle Geräte Im Microsoft Azure-Portal können Sie Gerätedetails anzeigen.

Screenshot der Seite

Um sicherzustellen, dass alle Geräte, die bei der Verwaltung von Sicherheitseinstellungen von Defender für Endpunkt registriert sind, Richtlinien erhalten, empfehlen wir, eine dynamische Microsoft Entra Gruppe basierend auf dem Betriebssystemtyp des Geräts zu erstellen. Bei einer dynamischen Gruppe werden Geräte, die von Defender für Endpunkt verwaltet werden, automatisch zur Gruppe hinzugefügt, ohne dass Administratoren andere Aufgaben ausführen müssen, z. B. das Erstellen einer neuen Richtlinie.

Wichtig

Von Juli 2023 bis 25. September 2023 führte die Verwaltung von Sicherheitseinstellungen eine öffentliche Vorschauversion durch, die ein neues Verhalten für Geräte einleitete, die für das Szenario verwaltet und registriert wurden. Ab dem 25. September 2023 wurde das Öffentliche Vorschauverhalten allgemein verfügbar und gilt jetzt für alle Mandanten, die die Verwaltung von Sicherheitseinstellungen verwenden.

Wenn Sie die Verwaltung von Sicherheitseinstellungen vor dem 25. September 2023 verwendet haben und nicht der von Juli 2023 bis 25. September 2023 verfügbaren öffentlichen Vorschauversion beigetreten sind, überprüfen Sie Ihre Microsoft Entra Gruppen, die auf Systembezeichnungen angewiesen sind, um Änderungen vorzunehmen, die neue Geräte identifizieren, die Sie mit der Verwaltung von Sicherheitseinstellungen verwalten. Dies liegt daran, dass vor dem 25. September 2023 Geräte, die nicht über die öffentliche Vorschauversion verwaltet wurden, die folgenden Systembezeichnungen (Tags) von MDEManaged und MDEJoined verwendet haben, um verwaltete Geräte zu identifizieren. Diese beiden Systembezeichnungen werden nicht mehr unterstützt und geräten, die sich registrieren, nicht mehr hinzugefügt.

Verwenden Sie die folgende Anleitung für Ihre dynamischen Gruppen:

  • (Empfohlen) Verwenden Sie beim Ausrichten von Richtlinien dynamische Gruppen, die auf der Geräteplattform basieren, indem Sie das deviceOSType-Attribut (Windows, Windows Server, macOS, Linux) verwenden, um sicherzustellen, dass die Richtlinie weiterhin für Geräte bereitgestellt wird, die Verwaltungstypen ändern, z. B. während der MDM-Registrierung.

  • Bei Bedarf können dynamische Gruppen, die ausschließlich Geräte enthalten, die von Defender für Endpunkt verwaltet werden, als Ziel verwendet werden, indem eine dynamische Gruppe mithilfe des ManagementType-AttributsMicrosoftSense definiert wird. Die Verwendung dieses Attributs zielt auf alle Geräte ab, die von Defender für Endpunkt über die Verwaltungsfunktion für Sicherheitseinstellungen verwaltet werden, und Geräte verbleiben nur in dieser Gruppe, während sie von Defender für Endpunkt verwaltet werden.

Wenn Sie beim Konfigurieren der Verwaltung von Sicherheitseinstellungen beabsichtigen, ganze Flotten der Betriebssystemplattform mithilfe von Microsoft Defender for Endpoint zu verwalten, sollten Sie außerdem alle Geräte anstelle von markierten Geräten auf der Seite Microsoft Defender for Endpoint Erzwingungsbereich auswählen, dass alle synthetischen Registrierungen gezählt werden. für Microsoft Entra ID Kontingente identisch mit vollständigen Registrierungen.

Welche Lösung sollte ich verwenden?

Microsoft Intune enthält mehrere Methoden und Richtlinientypen zum Verwalten der Konfiguration von Defender für Endpunkt auf Geräten. In der folgenden Tabelle sind die Intune Richtlinien und Profile aufgeführt, die die Bereitstellung auf Geräten unterstützen, die von der Defender für Endpunkt-Sicherheitseinstellungsverwaltung verwaltet werden. Außerdem können Sie ermitteln, ob diese Lösung für Ihre Anforderungen geeignet ist.

Wenn Sie eine Endpunktsicherheitsrichtlinie bereitstellen, die sowohl für die Defender für Endpunkt-Sicherheitseinstellungenverwaltung als auch für Microsoft Intune unterstützt wird, kann eine einzelne instance dieser Richtlinie verarbeitet werden:

  • Geräte, die über die Verwaltung von Sicherheitseinstellungen (Microsoft Defender) unterstützt werden
  • Geräte, die entweder von Intune oder Configuration Manager verwaltet werden.

Profile für die Windows 10- und höher-Plattform werden für Geräte, die von der Verwaltung von Sicherheitseinstellungen verwaltet werden, nicht unterstützt.

Die folgenden Profile werden für jeden Gerätetyp unterstützt:

Linux

Die folgenden Richtlinientypen unterstützen die Linux-Plattform .

Endpunktsicherheitsrichtlinie Profil Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt Microsoft Intune
Antivirus Microsoft Defender Antivirus Unterstützt Unterstützt
Antivirus Microsoft Defender Antivirus-Ausschlüsse Unterstützt Unterstützt
Endpunkterkennung und -reaktion Endpunkterkennung und -reaktion Unterstützt Unterstützt

macOS

Die folgenden Richtlinientypen unterstützen die macOS-Plattform .

Endpunktsicherheitsrichtlinie Profil Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt Microsoft Intune
Antivirus Microsoft Defender Antivirus Unterstützt Unterstützt
Antivirus Microsoft Defender Antivirus-Ausschlüsse Unterstützt Unterstützt
Endpunkterkennung und -reaktion Endpunkterkennung und -reaktion Unterstützt Unterstützt

Windows 10, Windows 11 und Windows Server

Um die Verwendung mit Microsoft Defender Verwaltung von Sicherheitseinstellungen zu unterstützen, müssen Ihre Richtlinien für Windows-Geräte die Windows 10-, Windows 11- und Windows Server-Plattform verwenden. Jedes Profil für die Windows 10-, Windows 11- und Windows Server-Plattform kann für Geräte gelten, die von Intune verwaltet werden, und für Geräte, die von der Verwaltung von Sicherheitseinstellungen verwaltet werden.

Endpunktsicherheitsrichtlinie Profil Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt Microsoft Intune
Antivirus Defender Update-Steuerelemente Unterstützt Unterstützt
Antivirus Microsoft Defender Antivirus Unterstützt Unterstützt
Antivirus Microsoft Defender Antivirus-Ausschlüsse Unterstützt Unterstützt
Antivirus Windows-Sicherheit Erfahrung Hinweis 1 Unterstützt
Verringerung der Angriffsfläche Regeln zur Verringerung der Angriffsfläche Unterstützt Unterstützt
Endpunkterkennung und -reaktion Endpunkterkennung und -reaktion Unterstützt Unterstützt
Firewall Firewall Unterstützt Unterstützt
Firewall Firewallregeln Unterstützt Unterstützt

1 – Das Profil "Windows-Sicherheit Experience" ist im Defender-Portal verfügbar, gilt jedoch nur für Geräte, die von Intune verwaltet werden. Dies wird für Geräte, die von Microsoft Defender Verwaltung von Sicherheitseinstellungen verwaltet werden, nicht unterstützt.

Endpunktsicherheitsrichtlinien sind diskrete Gruppen von Einstellungen, die von Sicherheitsadministratoren verwendet werden sollen, die sich auf den Schutz von Geräten in Ihrem organization konzentrieren. Im Folgenden werden die Richtlinien beschrieben, die die Verwaltung von Sicherheitseinstellungen unterstützen:

  • Antivirenrichtlinien verwalten die Sicherheitskonfigurationen in Microsoft Defender for Endpoint. Informationen zur Endpunktsicherheit finden Sie unter Antivirenrichtlinie .

    Hinweis

    Endpunkte erfordern zwar keinen Neustart, um geänderte Einstellungen oder neue Richtlinien anzuwenden, aber wir sind uns eines Problems bewusst, bei dem die Einstellungen AllowOnAccessProtection und DisableLocalAdminMerge manchmal erfordern, dass Endbenutzer ihre Geräte neu starten müssen, damit diese Einstellungen aktualisiert werden können. Wir untersuchen derzeit dieses Problem, um eine Lösung zu finden.

  • Richtlinien zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) konzentrieren sich auf die Minimierung der Orte, an denen Ihre organization anfällig für Cyberbedrohungen und Angriffe ist. Bei der Verwaltung von Sicherheitseinstellungen gelten ASR-Regeln für Geräte, auf denen Windows 10, Windows 11 und Windows Server ausgeführt wird.

    Aktuelle Informationen dazu, welche Einstellungen für die verschiedenen Plattformen und Versionen gelten, finden Sie unter Unterstützte ASR-Regeln für Betriebssysteme in der Windows Threat Protection-Dokumentation.

    Tipp

    Um die unterstützten Endpunkte auf dem neuesten Stand zu halten, sollten Sie die moderne einheitliche Lösung für Windows Server 2012 R2 und 2016 verwenden.

    Siehe auch:

  • Richtlinien für Endpunkterkennung und -reaktion (EDR) verwalten die Defender für Endpunkt-Funktionen, die erweiterte Angriffserkennungen bereitstellen, die nahezu in Echtzeit und umsetzbar sind. Basierend auf EDR-Konfigurationen können Sicherheitsanalysten Warnungen effektiv priorisieren, Einblick in den gesamten Umfang einer Sicherheitsverletzung erhalten und Reaktionsaktionen ergreifen, um Bedrohungen zu beseitigen. Informationen zur Endpunktsicherheit finden Sie unter Endpunkterkennungs- und -antwortrichtlinie .

  • Firewallrichtlinien konzentrieren sich auf die Defender-Firewall auf Ihren Geräten. Informationen zur Endpunktsicherheit finden Sie unter Firewallrichtlinie .

  • Firewallregeln konfigurieren präzise Regeln für Firewalls, einschließlich bestimmter Ports, Protokolle, Anwendungen und Netzwerke. Informationen zur Endpunktsicherheit finden Sie unter Firewallrichtlinie .

Konfigurieren Ihres Mandanten für die Unterstützung der Defender für Endpunkt-Sicherheitseinstellungenverwaltung

Um die Verwaltung von Sicherheitseinstellungen über das Microsoft Intune Admin Center zu unterstützen, müssen Sie die Kommunikation zwischen ihnen über jede Konsole aktivieren.

Die folgenden Abschnitte führen Sie durch diesen Prozess.

Konfigurieren von Microsoft Defender for Endpoint

In Microsoft Defender for Endpoint Portal als Sicherheitsadministrator:

  1. Melden Sie sich bei Microsoft Defender Portal an, wechseln Sie zu Einstellungen>Endpunkte>Konfigurationsverwaltung>Erzwingungsbereich, und aktivieren Sie die Plattformen für die Verwaltung von Sicherheitseinstellungen.

    Aktivieren Sie Microsoft Defender for Endpoint Einstellungsverwaltung im Microsoft Defender-Portal.

    Hinweis

    Wenn Sie über die Berechtigung Sicherheitseinstellungen in Security Center verwalten im Microsoft Defender for Endpoint-Portal verfügen und gleichzeitig zum Anzeigen von Geräten aus allen Gerätegruppen aktiviert sind (keine einschränkungen der rollenbasierten Zugriffssteuerung für Ihre Benutzerberechtigungen), können Sie diese Aktion auch ausführen.

  2. Zunächst wird empfohlen, das Feature für jede Plattform zu testen, indem Sie die Option Plattformen für Auf markierten Geräten auswählen und dann die Geräte mit dem MDE-Management Tag markieren.

    Wichtig

    Die Verwendung der dynamischen Tagfunktion von Microsoft Defender for Endpoint zum Kennzeichnen von Geräten mit MDE-Management wird derzeit bei der Verwaltung von Sicherheitseinstellungen nicht unterstützt. Geräte, die über diese Funktion gekennzeichnet sind, werden nicht erfolgreich registriert. Dieses Problem wird noch untersucht.

    Tipp

    Verwenden Sie die richtigen Gerätetags, um Ihren Rollout auf einer kleinen Anzahl von Geräten zu testen und zu überprüfen. Wenn Sie alle Geräte auswählen, wird jedes Gerät, das in den konfigurierten Bereich fällt, automatisch registriert.

  3. Konfigurieren Sie das Feature für Microsoft Defender für in die Cloud integrierte Geräte und Configuration Manager Autoritätseinstellungen, um die Anforderungen Ihrer organization zu erfüllen:

    Konfigurieren Sie den Pilotmodus für die Verwaltung von Endpunkteinstellungen im Microsoft Defender-Portal.

    Tipp

    Um sicherzustellen, dass Ihre Microsoft Defender for Endpoint Portalbenutzer über einheitliche Berechtigungen für alle Portale verfügen, bitten Sie Ihren IT-Administrator, ihnen die integrierte RBAC-Rolle Microsoft Intune Endpoint Security Manager zu gewähren.

Konfigurieren von Intune

Im Microsoft Intune Admin Center benötigt Ihr Konto Berechtigungen, die der integrierten Rolle rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) von Endpoint Security Manager entsprechen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>aus Microsoft Defender for Endpoint und legen Sie Microsoft Defender for Endpoint zulassen fest, um Endpunktsicherheitskonfigurationen zu erzwingen auf Ein.

    Aktivieren Sie Microsoft Defender for Endpoint Einstellungsverwaltung im Microsoft Intune Admin Center.

    Wenn Sie diese Option auf Ein festlegen, sind alle Geräte im Plattformbereich für Microsoft Defender for Endpoint, die nicht von Microsoft Intune verwaltet werden, für das Onboarding in Microsoft Defender for Endpoint qualifiziert.

Onboarden von Geräten in Microsoft Defender für Endpunkt

Microsoft Defender for Endpoint unterstützt mehrere Optionen für das Onboarding von Geräten. Aktuelle Anleitungen finden Sie unter Onboarding in Microsoft Defender for Endpoint in der Defender für Endpunkt-Dokumentation.

Koexistenz mit Microsoft Configuration Manager

In einigen Umgebungen kann es gewünscht werden, die Verwaltung von Sicherheitseinstellungen mit Geräten zu verwenden, die von Configuration Manager verwaltet werden. Wenn Sie beides verwenden, müssen Sie die Richtlinie über einen einzigen Kanal steuern. Die Verwendung von mehr als einem Kanal schafft die Möglichkeit für Konflikte und unerwünschte Ergebnisse.

Um dies zu unterstützen, konfigurieren Sie die Einstellung Sicherheitseinstellungen verwalten mit Configuration Manager auf Aus. Melden Sie sich beim Microsoft Defender-Portal an, und wechseln Sie zu Einstellungen>Endpunkte>Konfigurationsverwaltung>Erzwingungsbereich:

Screenshot des Defender-Portals mit der Umschaltfläche

Erstellen Microsoft Entra Gruppen

Nach dem Onboarding von Geräten in Defender für Endpunkt müssen Sie Gerätegruppen erstellen, um die Bereitstellung von Richtlinien für Microsoft Defender for Endpoint zu unterstützen. So identifizieren Sie Geräte, die bei Microsoft Defender for Endpoint registriert wurden, aber nicht von Intune oder Configuration Manager verwaltet werden:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräte>Alle Geräte, und wählen Sie dann die Spalte Verwaltet von aus , um die Ansicht der Geräte zu sortieren. Geräte, die in Microsoft Defender for Endpoint integriert werden, aber nicht von Intune verwaltet werden, zeigen in der Spalte Verwaltet vonMicrosoft Defender for Endpoint an. Diese Geräte können Richtlinien für die Verwaltung von Sicherheitseinstellungen erhalten.

    Geräte, die in Microsoft Defender for Endpoint integriert sind und registriert sind, aber nicht von Intune verwaltet werden, zeigen in der Spalte Verwaltet vonMicrosoft Defender for Endpoint an. Dies sind die Geräte, die Richtlinien für die Sicherheitsverwaltung für Microsoft Defender for Endpoint erhalten können.

    Ab dem 25. September 2023 können Geräte, die die Sicherheitsverwaltung für Microsoft Defender for Endpoint verwenden, nicht mehr mithilfe der folgenden Systembezeichnungen identifiziert werden:

    • MDEJoined : Ein jetzt veraltetes Tag, das zuvor Geräten hinzugefügt wurde, die im Rahmen dieses Szenarios mit dem Verzeichnis verknüpft wurden.
    • MDEManaged : Ein jetzt veraltetes Tag, das zuvor Geräten hinzugefügt wurde, die das Sicherheitsverwaltungsszenario aktiv verwendet haben. Dieses Tag wird vom Gerät entfernt, wenn Defender für Endpunkt die Verwaltung der Sicherheitskonfiguration beendet.

    Anstatt Systembezeichnungen zu verwenden, können Sie das Verwaltungstyp-Attribut verwenden und für MicrosoftSense konfigurieren.

Sie können Gruppen für diese Geräte in Microsoft Entra oder im Microsoft Intune Admin Center erstellen. Beim Erstellen von Gruppen können Sie den Betriebssystemwert für ein Gerät verwenden, wenn Sie Richtlinien auf Geräten bereitstellen, auf denen Windows Server ausgeführt wird, oder auf Geräten, auf denen eine Clientversion von Windows ausgeführt wird:

  • Windows 10 und Windows 11: DeviceOSType oder Betriebssystem wird als Windows angezeigt
  • Windows Server: DeviceOSType oder Betriebssystem wird als Windows Server angezeigt
  • Linux-Gerät: DeviceOSType oder Betriebssystem wird als Linux angezeigt

Beispiel für Intune dynamische Gruppen mit Regelsyntax

Windows-Arbeitsstationen:

Screenshot der Intune dynamischen Gruppe für Windows-Arbeitsstationen.

Windows Server:

Screenshot der Intune dynamischen Gruppe für Windows Server.

Linux-Geräte:

Screenshot der dynamischen Gruppe Intune für Windows Linux.

Wichtig

Im Mai 2023 wurde deviceOSType aktualisiert, um zwischen Windows-Clients und Windows-Servern zu unterscheiden.

Benutzerdefinierte Skripts und Microsoft Entra dynamische Gerätegruppen, die vor dieser Änderung erstellt wurden und Regeln angeben, die nur auf Windows verweisen, können Windows-Server ausschließen, wenn sie mit der Sicherheitsverwaltung für Microsoft Defender for Endpoint Lösung verwendet werden. Zum Beispiel:

  • Wenn Sie über eine Regel verfügen, die den equals Operator oder not equals verwendet, um Windows zu identifizieren, wirkt sich diese Änderung auf Ihre Regel aus. Das liegt daran, dass zuvor sowohl Windows als auch Windows Server als Windows gemeldet wurden. Um weiterhin beides einzuschließen, müssen Sie die Regel so aktualisieren, dass sie auch auf Windows Server verweist.
  • Wenn Sie über eine Regel verfügen, die den contains Operator oder like verwendet, um Windows anzugeben, ist die Regel von dieser Änderung nicht betroffen. Diese Operatoren finden sowohl Windows als auch Windows Server.

Tipp

Benutzer, denen die Möglichkeit zum Verwalten von Endpunktsicherheitseinstellungen delegiert wurde, haben möglicherweise nicht die Möglichkeit, mandantenweite Konfigurationen in Microsoft Intune zu implementieren. Wenden Sie sich an Ihren Intune Administrator, um weitere Informationen zu Rollen und Berechtigungen in Ihrem organization zu erfahren.

Bereitstellen einer Richtlinie

Nachdem Sie eine oder mehrere Microsoft Entra Gruppen erstellt haben, die geräte enthalten, die von Microsoft Defender for Endpoint verwaltet werden, können Sie die folgenden Richtlinien für die Verwaltung von Sicherheitseinstellungen für diese Gruppen erstellen und bereitstellen. Die verfügbaren Richtlinien und Profile variieren je nach Plattform.

Eine Liste der Richtlinien- und Profilkombinationen, die für die Verwaltung von Sicherheitseinstellungen unterstützt werden, finden Sie weiter oben in diesem Artikel unter Welche Lösung sollte ich verwenden? .

Tipp

Vermeiden Sie die Bereitstellung mehrerer Richtlinien, die die gleiche Einstellung auf einem Gerät verwalten.

Microsoft Intune unterstützt die Bereitstellung mehrerer Instanzen jedes Endpunktsicherheitsrichtlinientyps auf demselben Gerät, wobei jede Richtlinie instance separat vom Gerät empfangen wird. Daher kann ein Gerät separate Konfigurationen für dieselbe Einstellung von verschiedenen Richtlinien erhalten, was zu einem Konflikt führt. Einige Einstellungen (z. B. Antivirenausschlüsse) werden auf dem Client zusammengeführt und erfolgreich angewendet.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Endpunktsicherheit, wählen Sie den Typ der Richtlinie aus, die Sie konfigurieren möchten, und wählen Sie dann Richtlinie erstellen aus.

  3. Wählen Sie für die Richtlinie die Plattform und das Profil aus, die Sie bereitstellen möchten. Eine Liste der Plattformen und Profile, die die Verwaltung von Sicherheitseinstellungen unterstützen, finden Sie weiter oben in diesem Artikel unter Welche Lösung sollte ich verwenden? .

    Hinweis

    Die unterstützten Profile gelten für Geräte, die über Mobile Geräteverwaltung (MDM) mit Microsoft Intune kommunizieren, sowie für Geräte, die über den Microsoft Defender for Endpoint-Client kommunizieren.

    Stellen Sie sicher, dass Sie Ihre Zielgruppenadressierung und Gruppen nach Bedarf überprüfen.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für das Profil ein, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Konfigurationseinstellungen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.

    Wenn Sie mehr über eine Einstellung erfahren möchten, erweitern Sie das Informationsdialogfeld , und wählen Sie den Link Weitere Informationen aus, um die Onlinedokumentation des Konfigurationsdienstanbieters (Configuration Service Provider, CSP) oder zugehörige Details für diese Einstellung anzuzeigen.

    Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zuweisungen die Microsoft Entra Gruppen aus, die dieses Profil erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus, um fortzufahren.

    Tipp

    • Zuweisungsfilter werden für Geräte, die von der Verwaltung von Sicherheitseinstellungen verwaltet werden, nicht unterstützt.
    • Für die verwaltung von Microsoft Defender for Endpoint gelten nur Geräteobjekte. Die Zielgruppenadressierung für Benutzer wird nicht unterstützt.
    • Konfigurierte Richtlinien gelten sowohl für Microsoft Intune- als auch für Microsoft Defender for Endpoint-Clients.

  8. Schließen Sie den Richtlinienerstellungsprozess ab, und wählen Sie dann auf der Seite Überprüfen + erstellendie Option Erstellen aus. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

  9. Warten Sie, bis die Richtlinie zugewiesen wurde, und zeigen Sie einen Erfolgshinweis an, dass die Richtlinie angewendet wurde.

  10. Sie können überprüfen, ob einstellungen lokal auf dem Client angewendet wurden, indem Sie das Befehlshilfsprogramm Get-MpPreference verwenden.

status überwachen

Status und Berichte für Richtlinien für Geräte in diesem Kanal sind über den Richtlinienknoten unter Endpunktsicherheit im Microsoft Intune Admin Center verfügbar.

Führen Sie einen Drilldown zum Richtlinientyp aus, und wählen Sie dann die Richtlinie aus, um die status anzuzeigen. Die Liste der Plattformen, Richtlinientypen und Profile, die die Verwaltung von Sicherheitseinstellungen unterstützen, finden Sie in der Tabelle Welche Lösung sollte ich verwenden weiter oben in diesem Artikel.

Wenn Sie eine Richtlinie auswählen, können Sie Informationen zum Einchecken des Geräts status anzeigen und Folgendes auswählen:

  • Bericht anzeigen : Zeigen Sie eine Liste der Geräte an, die die Richtlinie erhalten haben. Sie können ein Gerät auswählen, in dem Sie einen Drilldown ausführen und dessen einstellungsspezifische status anzeigen. Sie können dann eine Einstellung auswählen, um weitere Informationen dazu anzuzeigen, einschließlich anderer Richtlinien, die dieselbe Einstellung verwalten, was eine Konfliktquelle sein könnte.

  • Pro Einstellung status: Zeigen Sie die Einstellungen an, die von der Richtlinie verwaltet werden, sowie die Anzahl der Erfolge, Fehler oder Konflikte für jede Einstellung.

Häufig gestellte Fragen und Überlegungen

Häufigkeit des Geräteeinchecks

Geräte, die von dieser Funktion verwaltet werden, checken alle 90 Minuten mit Microsoft Intune ein, um die Richtlinie zu aktualisieren.

Sie können ein Gerät bei Bedarf manuell über das Microsoft Defender-Portal synchronisieren. Melden Sie sich beim Portal an, und wechseln Sie zu Geräte. Wählen Sie ein Gerät aus, das von Microsoft Defender for Endpoint verwaltet wird, und wählen Sie dann die Schaltfläche Richtliniensynchronisierung aus:

Manuelles Synchronisieren von Geräten, die von Microsoft Defender for Endpoint verwaltet werden.

Die Schaltfläche Richtliniensynchronisierung wird nur für Geräte angezeigt, die erfolgreich von Microsoft Defender for Endpoint verwaltet werden.

Geräte, die durch Manipulationsschutz geschützt sind

Wenn auf einem Gerät der Manipulationsschutz aktiviert ist, ist es nicht möglich, die Werte der Einstellungen für Manipulationsschutz zu bearbeiten, ohne zuerst den Manipulationsschutz zu deaktivieren.

Zuweisungsfilter und Verwaltung von Sicherheitseinstellungen

Zuweisungsfilter werden für Geräte, die über den Microsoft Defender for Endpoint-Kanal kommunizieren, nicht unterstützt. Während Zuweisungsfilter zu einer Richtlinie hinzugefügt werden können, die auf diese Geräte ausgerichtet sein könnte, ignorieren die Geräte Zuweisungsfilter. Zur Unterstützung von Zuweisungsfiltern muss das Gerät bei Microsoft Intune registriert werden.

Löschen und Entfernen von Geräten

Sie können Geräte, die diesen Flow verwenden, mit einer von zwei Methoden löschen:

  • Navigieren Sie im Microsoft Intune Admin Center zu Geräte>Alle Geräte, wählen Sie ein Gerät aus, auf dem in der Spalte Verwaltet von entweder MDEJoined oder MDEVerwaltet angezeigt wird, und wählen Sie dann Löschen aus.
  • Sie können Geräte auch aus dem Bereich der Konfigurationsverwaltung im Security Center entfernen.

Sobald ein Gerät von einem der beiden Standorte entfernt wurde, wird diese Änderung an den anderen Dienst weitergegeben.

Sicherheitsverwaltung für Microsoft Defender for Endpoint Workload in Endpoint Security kann nicht aktiviert werden

Die meisten anfänglichen Bereitstellungsflows werden in der Regel von einem Administrator beider Dienste (z. B. einem globalen Administrator) abgeschlossen. Es gibt einige Szenarien, in denen die rollenbasierte Verwaltung verwendet wird, um die Berechtigungen von Administratoren anzupassen. Heute verfügen Personen, denen die Endpoint Security Manager-Rolle delegiert wurde, möglicherweise nicht über die erforderlichen Berechtigungen, um dieses Feature zu aktivieren.

Microsoft Entra eingebundene Geräte

Geräte, die in Active Directory eingebunden sind, verwenden ihre vorhandene Infrastruktur, um den Microsoft Entra Hybrid join-Prozess abzuschließen.

Nicht unterstützte Sicherheitseinstellungen

Die folgenden Sicherheitseinstellungen stehen aus. Der Defender für Endpunkt-Verwaltungsflow für Sicherheitseinstellungen unterstützt diese Einstellungen nicht:

  • Beschleunigen der Telemetrieberichtshäufigkeit (unter Endpunkterkennung und -antwort)
  • AllowIntrusionPreventionSystem (unter Antivirus)
  • Manipulationsschutz (unter Windows-Sicherheit Erfahrung). Diese Einstellung steht nicht aus, wird aber derzeit nicht unterstützt.

Verwenden der Verwaltung von Sicherheitseinstellungen auf Domänencontrollern

Da eine Microsoft Entra ID Vertrauensstellung erforderlich ist, werden Domänencontroller derzeit nicht unterstützt. Wir suchen nach Möglichkeiten, diese Unterstützung hinzuzufügen.

Wichtig

In einigen Fällen können Domänencontroller, die auf einem heruntergefahrenen Serverbetriebssystem (2012 R2 oder 2016) ausgeführt werden, unbeabsichtigt von Microsoft Defender for Endpoint verwaltet werden. Um sicherzustellen, dass dies in Ihrer Umgebung nicht der Fall ist, sollten Sie sicherstellen, dass Ihre Domänencontroller weder mit "MDE-Management" gekennzeichnet noch von MDE verwaltet werden.

Server Core-Installation

Die Verwaltung von Sicherheitseinstellungen unterstützt aufgrund von Einschränkungen der Server Core-Plattform keine Server Core-Installationen.

PowerShell-Einschränkungsmodus

PowerShell muss aktiviert sein.

Die Verwaltung von Sicherheitseinstellungen funktioniert nicht für ein Gerät, auf dem PowerShell LanguageMode mit dem ConstrainedLanguage-Modusenabledkonfiguriert ist. Weitere Informationen finden Sie unter about_Language_Modes in der PowerShell-Dokumentation.

Verwalten der Sicherheit über MDE, wenn Sie zuvor ein Sicherheitstool eines Drittanbieters verwendet haben

Wenn Sie zuvor ein Sicherheitstool eines Drittanbieters auf dem Computer hatten und es jetzt mit MDE verwalten, kann es in seltenen Fällen zu Auswirkungen auf die Funktion MDE zum Verwalten von Sicherheitseinstellungen kommen. Deinstallieren Sie in solchen Fällen als Maßnahme zur Problembehandlung die neueste Version von MDE auf Ihrem Computer, und installieren Sie sie erneut.

Nächste Schritte