Jaa


Organisaatiosi peukaloinnin suojauksen hallinta Microsoft Intunen avulla

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Peukaloinnin suojaus auttaa suojaamaan tiettyjä suojausasetuksia, kuten viruksia ja uhkien suojausta, pois käytöstä poistamiselta tai muuttamiselta. Jos kuulut organisaatiosi tietoturvatiimiin ja käytät Microsoft Intunea, voit hallita organisaatiosi peukalointisuojausta Intunen hallintakeskuksessa. Voit myös käyttää Configuration Manageria. Intunen tai Configuration Managerin avulla voit tehdä seuraavaa:

Tärkeää

Jos käytät Microsoft Intunea Defender for Endpoint -asetusten hallintaan, muista määrittää DisableLocalAdminMerge-arvoksi true laitteissa.

Kun peukaloinnin suojaus on käytössä, peukaloinnilla suojattuja asetuksia ei voi muuttaa. Jos haluat välttää rikkovat hallintakokemukset, kuten Intunen (ja Configuration Managerin), pidä mielessä, että peukaloinnilla suojattujen asetusten muutokset saattavat näyttää onnistuvan, mutta peukalointisuojaus estää ne. Käytettävissäsi on useita vaihtoehtoja skenaariostasi riippuen:

  • Jos sinun on tehtävä muutoksia laitteeseen ja peukalointisuojaus estää kyseiset muutokset, suosittelemme vianmääritystilan avulla laitteen peukalointisuojauksen tilapäistä käytöstä poistamista. Huomaa, että vianmääritystilan päätyttyä peukaloinnilla suojattuihin asetuksiin tehdyt muutokset palautetaan määritettyihin tilaan.
  • Intunen tai Configuration Managerin avulla voit jättää laitteita pois peukaloinnin suojauksesta.
  • Jos hallitset peukalointisuojausta Intunen avulla, voit muuttaa luvattomasti suojatun virustentorjunnan poissulkemisia.

Peukalointisuojauksen hallintaa koskevat vaatimukset Intunessa

Vaatimus Tiedot
Roolit ja käyttöoikeudet Sinulla on oltava oikeudet, jotka on määritetty esimerkiksi suojauksen järjestelmänvalvojan kautta. Katso Microsoft Entra -roolit ja Intune-käyttöoikeus.
Laitehallinta Organisaatiosi käyttää Intunea laitteiden hallintaan.
Intune-käyttöoikeudet Intune-käyttöoikeudet vaaditaan. Katso Microsoft Intunen käyttöoikeudet.
Käyttöjärjestelmä Windows-laitteissa on oltava käytössä Windows 10 :n versio 1709 tai uudempi versio tai Windows 11. (Lisätietoja julkaisuista on kohdassa Windowsin julkaisutiedot.)

Macille katso MacOS-suojausasetusten suojaaminen peukaloinnin suojauksella.
Suojaustiedot Käytössäsi on oltava Windowsin suojaustiedot , jotka on päivitetty versioon 1.287.60.0 (tai uudempaan).
Haittaohjelmien torjuntaympäristö Laitteissa on käytettävä haittaohjelmien torjuntaympäristön versiota 4.18.1906.3 (tai uudempaa versiota) ja haittaohjelmien torjuntaohjelman versiota (tai uudempaa versiota 1.1.15500.X ). Katso Microsoft Defenderin virustentorjuntapäivitysten hallinta ja ota käyttöön perusaikataulut.
Microsoft Entra ID Intune- ja Defender for Endpoint -vuokraajilla on oltava sama Microsoft Entra -infrastruktuuri.
Defender for Endpoint Laitteesi on otettava käyttöön Defender for Endpointissa.

Huomautus

Jos laitteita ei ole rekisteröity Microsoft Defender for Endpointiin, peukaloinnin suojaus näkyy Ei käytettävissä , ennen kuin perehdytysprosessi on valmis. Peukaloinnin suojaus voi estää suojausasetusten muutosten ilmenemisen. Jos näet virhekoodin, jonka tunnus on Tapahtumatunnus 5013, katso Tapahtumalokien ja virhekoodien tarkistaminen Microsoft Defenderin virustentorjuntaan liittyvien ongelmien vianmääritystä.

Peukaloinnin suojauksen ottaminen käyttöön (tai poistaminen käytöstä) Microsoft Intunessa

Peukaloinnin suojauksen ottaminen käyttöön Intunessa

  1. Siirry Intune-hallintakeskuksessa kohtaan Päätepisteen suojauksen>virustentorjunta ja valitse sitten + Luo käytäntö.

    • Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server.
    • Valitse Profiili-luettelostaWindowsin suojauskokemus.
  2. Luo profiili, joka sisältää seuraavan asetuksen:

    • TamperProtection (laite): Käytössä
  3. Viimeistele käytäntösi asetusten ja asetusten valitseminen.

  4. Ota käytäntö käyttöön laitteissa.

Virustentorjunnan poissulkemisten peukalointisuojaus

Jos organisaatiollesi on määritetty poikkeuksia Microsoft Defenderin virustentorjuntaa varten, peukaloinnin suojaus suojaa nämä poikkeukset, kunhan kaikki seuraavat ehdot täyttyvät:

Ehto Kriteerit
Microsoft Defender -ympäristö Laitteissa on käytössä Microsoft Defender -ympäristö 4.18.2211.5 tai uudempi versio. Lisätietoja on kohdassa Kuukausittaiset käyttöympäristö- ja moduuliversiot.
DisableLocalAdminMerge asetus Tätä asetusta kutsutaan myös paikallisten luetteloiden yhdistämisen estämiseksi. DisableLocalAdminMerge on käytössä, jotta laitteessa määritettyjä asetuksia ei yhdistetä organisaatiokäytäntöihin, kuten Intunen asetuksiin. Lisätietoja on kohdassa DisableLocalAdminMerge.
Laitehallinta Laitteita hallitaan vain Intunessa tai vain Configuration Managerissa. Aisti on otettava käyttöön.
Virustentorjunnan poikkeukset Microsoft Defenderin virustentorjunnan poissulkemisia hallitaan Microsoft Intunessa. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjuntakäytännön asetukset Microsoft Intune for Windows -laitteissa.

Toiminnot, jotka suojaavat Microsoft Defenderin virustentorjuntaa koskevat poikkeukset, ovat käytössä laitteissa. Lisätietoja on ohjeaiheessa Virustentorjunnan poissulkemisten suojaus Windows-laitteessa.

Vihje

Lisätietoja Microsoft Defenderin virustentorjunnan poissulkemisista on kohdassa Microsoft Defender for Endpointin ja Microsoft Defenderin virustentorjunnan poikkeukset.

Miten määritetään, suojataanko virustentorjuntaan liittyvät poikkeukset Windows-laitteessa

Rekisteriavaimen avulla voit määrittää, onko Microsoft Defenderin virustentorjunnan poissulkemisia suojaava toiminto käytössä. Seuraavassa ohjeartikkelissa kuvataan, miten voit tarkastella peukaloinnin suojaustilaa, mutta ei muuttaa sitä.

  1. Avaa Rekisterieditori Windows-laitteessa. (Vain luku -tila ei kelpaa, et muokkaa rekisteriavainta.)

  2. Jos haluat varmistaa, että vain Intune hallitsee laitetta tai että vain Configuration Manager hallitsee laitetta Sense-ominaisuuden ollessa käytössä, tarkista seuraavat rekisteriavainarvot:

    • ManagedDefenderProductType (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender tai HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM tai HKLM\SOFTWARE\Microsoft\SenseCM)

    Seuraavassa taulukossa on yhteenveto siitä, mitä rekisteriavainarvot tarkoittavat:

    ManagedDefenderProductType arvo EnrollmentStatus arvo Mitä arvo tarkoittaa?
    6 (mikä tahansa arvo) Vain Intune hallitsee laitetta.
    (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
    7 4 Kokoonpanon hallinta hallitsee laitetta.
    (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
    Arvo, joka on muu kuin 6 tai 7 (mikä tahansa arvo) Vain Intune tai Configuration Manager eivät hallitse laitetta.
    (Poissulkemisia ei suojata peukaloinnilla.)
  3. Jos haluat varmistaa, että peukalointisuojaus on käytössä ja että poikkeukset on suojattu peukaloinnilla, tarkista TPExclusions rekisteriavain (sijainnissa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features tai HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

    TPExclusions Mitä arvo tarkoittaa?
    1 Pakolliset ehdot täyttyvät, ja uusi toiminnallisuus poissulkemisten suojaamiseksi on käytössä laitteessa.
    (Poikkeukset on suojattu peukaloinnilla.)
    0 Peukaloinnin suojaus ei tällä hetkellä suojaa laitteen poissulkemisia.
    (Jos kaikki vaatimukset täyttyvät ja tämä tila vaikuttaa virheellisltä, ota yhteyttä tukeen.)

Varoitus

Älä muuta rekisteriavainten arvoa. Käytä edellä olevaa toimintosarjaa vain tiedoksi. Avainten vaihtamisella ei ole vaikutusta siihen, sovelletaanko peukalointisuojausta poissulkemisiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.