Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Peukaloinnin suojaus auttaa suojaamaan tiettyjä suojausasetuksia, kuten viruksia ja uhkien suojausta, pois käytöstä poistamiselta tai muuttamiselta. Jos kuulut organisaatiosi suojaustiimiin ja käytät Microsoft Intune, voit hallita organisaatiosi peukaloinnin suojausominaisuutta Intune hallintakeskuksessa. Voit myös käyttää Configuration Manager. Intune tai Configuration Manager avulla voit suorittaa seuraavia tehtäviä:
- Ota peukaloinnin suojaus käyttöön (tai poista se käytöstä) joillekin laitteille tai kaikille laitteille.
- Suojaa virustentorjuntaohjelman Microsoft Defender pois peukaloinnilta (tietyt vaatimukset on täytettävä).
Tärkeää
Jos käytät Microsoft Intune Defender for Endpoint -asetusten hallintaan, muista määrittää DisableLocalAdminMerge-arvoksi laitteissatrue.
Kun peukaloinnin suojaus on käytössä, peukaloinnilla suojattuja asetuksia ei voi muuttaa. Jos haluat välttää hallintakokemusten katkeamisen, mukaan lukien Intune (ja Configuration Manager), pidä mielessä, että peukaloinnilla suojattujen asetusten muutokset saattavat näyttää onnistuvan, mutta peukalointisuojaus estää ne. Käytettävissäsi on useita vaihtoehtoja skenaariostasi riippuen:
- Jos sinun on tehtävä muutoksia laitteeseen ja peukaloinnin suojaus estää kyseiset muutokset, suosittelemme vianmääritystilan avulla laitteen luvattoman suojauksen tilapäistä poistamista käytöstä. Kun vianmääritystila päättyy, kaikki peukaloinnilla suojattuihin asetuksiin tehdyt muutokset palautetaan määritettyun tilaan.
- Voit Intune tai Configuration Manager avulla estää laitteita käyttämästä peukalointisuojausta.
- Jos hallitset peukalointisuojausta Intune avulla, voit muuttaa peukaloinnilla suojattuja virustentorjuntaan liittyvät poikkeukset.
Ennakkovaatimukset
Tuetut käyttöjärjestelmät
- Windows
Peukaloinnin suojausta koskevat vaatimukset Intune
| Vaatimus | Tiedot |
|---|---|
| Roolit ja käyttöoikeudet | Sinulla on oltava oikeudet, jotka on määritetty esimerkiksi suojauksen järjestelmänvalvojan kautta. Katso roolien Microsoft Entra Intune käyttö. |
| Laitehallinta | Organisaatiosi käyttää Configuration Manager tai Intune laitteiden hallintaan. Tätä ominaisuutta ei tueta rinnakkaishallituissa laitteissa. |
| Intune käyttöoikeuksia | Intune käyttöoikeuksia vaaditaan. Katso Microsoft Intune käyttöoikeudet. |
| Käyttöjärjestelmä | Windows-laitteissa on oltava käytössä Windows 10 versio 1709 tai uudempi versio tai Windows 11. (Lisätietoja julkaisuista on kohdassa Windowsin julkaisutiedot.) Macille katso MacOS-suojausasetusten suojaaminen peukaloinnin suojauksella. |
| Suojaustiedot | Käytössäsi on oltava Windowsin suojaustiedot , jotka on päivitetty versioon 1.287.60.0 (tai uudempaan). |
| Haittaohjelmien torjuntaympäristö | Laitteissa on käytettävä haittaohjelmien torjuntaympäristön versiota 4.18.1906.3 (tai uudempaa versiota) ja haittaohjelmien torjuntaohjelman versiota (tai uudempaa versiota 1.1.15500.X ). Katso Microsoft Defender virustentorjuntapäivitysten hallinta ja ota käyttöön perusaikataulut. |
| Microsoft Entra ID | Intune- ja Defender for Endpoint -vuokraajilla on oltava sama Microsoft Entra infrastruktuuri. |
| Defender for Endpoint | Laitteesi on otettava käyttöön Defender for Endpointissa. |
Huomautus
Jos laitteita ei ole rekisteröity Microsoft Defender for Endpoint, peukaloinnin suojaus näkyy ei käytettävissä, ennen kuin perehdytysprosessi on valmis. Peukaloinnin suojaus saattaa estää tiettyjen suojausasetusten muuttamisen. Jos näet virhekoodin, jonka tunnus on Tapahtumatunnus 5013, katso tapahtumalokien ja virhekoodien tarkastelu Microsoft Defender virustentorjuntaan liittyvien ongelmien vianmääritystä.
Peukaloinnin suojauksen ottaminen käyttöön (tai poistaminen käytöstä) Microsoft Intune
Siirry Microsoft Intune hallintakeskuksessa kohtaan https://intune.microsoft.comPäätepisteen suojaus. Päätepisteen suojauksessa | Yleiskatsaussivu, valitse Hallinta-osiosta Virustentorjunta. Voit myös siirtyä suoraan päätepisteen suojaukseen | Käytä virustentorjuntasivuahttps://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.
Päätepisteen suojauksen Yhteenveto-välilehdessä | Virustentorjuntasivu, valitse Luo käytäntöAV-käytännöt -osiosta.
Määritä avautuvassa Luo profiili -pikaikkunassa seuraavat asetukset:
- Käyttöympäristö: Valitse Windows.
- Profiili: Valitse Windowsin suojaus Kokemus.
Valitse Luo.
Ohjattu käytännön luominen avautuu. Määritä Perustiedot-välilehdessä seuraavat asetukset:
- Nimi: Anna käytännölle yksilöllinen, kuvaava nimi.
- Kuvaus: Kirjoita valinnainen kuvaus.
Valitse Seuraava.
Kokoonpanoasetukset-välilehdessäPeukaloinnin suojaus (laite) on käytettävissä Defender-osassa. Valitse Käytössä ja valitse sitten Seuraava.
Käyttöaluetunnisteet-välilehdessä oletusaluetunniste on valittuna, mutta voit poistaa sen ja valita muita aiemmin luotuja käyttöaluetunnisteita. Kun olet valmis, valitse Seuraava.
Napsauta Määritykset-välilehdessä -ruutua, valitse Kaikki käyttäjät, napsauta ruutua uudelleen ja valitse sitten Kaikki laitteet. Varmista, että Kohdetyyppi-arvo on Sisällytä kummallekin, ja valitse sitten Seuraava.
Tarkista + luo -välilehdessä asetukset ja valitse sitten Tallenna.
Virustentorjunnan poissulkemisten peukalointisuojaus
Jos organisaatiollesi on määritetty poissulkemisia Microsoft Defender virustentorjuntaa varten, peukalointisuojaus suojaa nämä poikkeukset, kunhan kaikki seuraavat ehdot täyttyvät:
| Kunnossa | Kriteerit |
|---|---|
| Microsoft Defender-ympäristö | Laitteissa on käytössä Microsoft Defender käyttöympäristö 4.18.2211.5 tai uudempi versio. Lisätietoja on kohdassa Kuukausittaiset käyttöympäristö- ja moduuliversiot. |
DisableLocalAdminMerge Asetus |
Tätä asetusta kutsutaan myös paikallisten luetteloiden yhdistämisen estämiseksi.
DisableLocalAdminMergeon otettava käyttöön, jotta laitteessa määritettyjä asetuksia ei yhdistetä organisaation käytäntöihin, kuten Intune asetuksiin. Lisätietoja on kohdassa DisableLocalAdminMerge. |
| Laitehallinta | Laitteita hallitaan joko vain Intune tai vain Configuration Manager. Aisti on otettava käyttöön. |
| Virustentorjunnan poikkeukset | Microsoft Defender virustentorjunnan poissulkemisia hallitaan Microsoft Intune tai Configuration Manager. Lisätietoja on artikkelissa Windows-laitteiden Microsoft Intune Microsoft Defender virustentorjuntakäytännön asetukset. Toiminnot, jotka suojaavat Microsoft Defender virustentorjunnan poikkeukset on otettu käyttöön laitteissa. Lisätietoja on ohjeaiheessa Virustentorjunnan poissulkemisten suojaus Windows-laitteessa. |
Huomautus
Jos esimerkiksi Configuration Manager käytetään yksinomaan poissulkemisten hallintaan ja pakolliset ehdot täyttyvät, Configuration Manager poissulkemiset suojataan peukaloinnilla. Tässä tapauksessa virustentorjuntaan ei tarvitse lähettää poissulkemisia käyttämällä Microsoft Intune.
Lisätietoja virustentorjunnan poissulkemisten Microsoft Defender on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poikkeukset.
Miten määritetään, suojataanko virustentorjuntaan liittyvät poikkeukset Windows-laitteessa
Rekisteriavaimen avulla voit määrittää, onko virustentorjunnan poissulkemisten Microsoft Defender suojaava toiminto käytössä. Seuraavassa ohjeartikkelissa kuvataan, miten voit tarkastella peukaloinnin suojaustilaa, mutta ei muuttaa sitä.
Avaa Rekisterieditori Windows-laitteessa. (Vain luku -tila ei kelpaa, et muokkaa rekisteriavainta.)
Jos haluat varmistaa, että laitetta hallitsee vain Intune tai että sitä hallitaan vain Configuration Manager Sense-näppäimen ollessa käytössä, tarkista seuraavat rekisteriavainarvot:
-
ManagedDefenderProductType(sijaitsee osoitteessaComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefendertaiHKLM\SOFTWARE\Microsoft\Windows Defender) -
EnrollmentStatus(sijaitsee osoitteessaComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMtaiHKLM\SOFTWARE\Microsoft\SenseCM)
Seuraavassa taulukossa on yhteenveto siitä, mitä rekisteriavainarvot tarkoittavat:
ManagedDefenderProductTypeArvoEnrollmentStatusArvoMitä arvo tarkoittaa? 6(mikä tahansa arvo) Laitetta hallitaan vain Intune.
(Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)74Laitetta hallitaan Configuration Manager.
(Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)73Laitetta hallitaan yhdessä Configuration Manager ja Intune kanssa.
(Tätä ei tueta, jos poissulkemiset suojataan peukaloinnilla.)Arvo, joka on muu kuin 6tai7(mikä tahansa arvo) Laitetta ei hallita vain Intune tai vain Configuration Manager.
(Poissulkemisia ei suojata peukaloinnilla.)-
Jos haluat varmistaa, että peukalointisuojaus on käytössä ja että poikkeukset on suojattu peukaloinnilla, tarkista
TPExclusionsrekisteriavain (sijainnissaComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeaturestaiHKLM\SOFTWARE\Microsoft\Windows Defender\Features).TPExclusionsMitä arvo tarkoittaa? 1Pakolliset ehdot täyttyvät, ja uusi toiminnallisuus poissulkemisten suojaamiseksi on käytössä laitteessa.
(Poikkeukset on suojattu peukaloinnilla.)0Peukaloinnin suojaus ei tällä hetkellä suojaa laitteen poissulkemisia.
(Jos kaikki vaatimukset täyttyvät ja tämä tila vaikuttaa virheellisltä, ota yhteyttä tukeen.)
Varoitus
Älä muuta rekisteriavainten arvoa. Käytä edellä olevaa toimintosarjaa vain tiedoksi. Avainten vaihtamisella ei ole vaikutusta siihen, sovelletaanko peukalointisuojausta poissulkemisiin.