Végpontészlelési és válaszszabályzat a végpontbiztonsághoz a Intune

  • Cikk

Amikor integrálja a Végponthoz készült Microsoft Defender a Intune, végpontbiztonsági szabályzatok használatával kezelheti az EDR-beállításokat, és Végponthoz készült Microsoft Defender hozhatja be az eszközöket.

A Végponthoz készült Microsoft Defender végpontészlelési és válaszképességei fejlett támadásészlelést biztosítanak, amelyek közel valós idejűek és végrehajthatók. A biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekintést nyerhetnek a biztonsági incidensek teljes hatókörébe, és reagálhatnak a fenyegetések elhárítására.

Érintett szolgáltatás:

  • Linux
  • macOS
  • Windows 10 rendszer esetén
  • Windows 11
  • Windows Server 2012 R2 és újabb verziók (ha Configuration Manager kezeli a bérlő csatolási forgatókönyvén keresztül)

A végpontészlelésre és -válaszra vonatkozó Intune szabályzat ismertetése

Intune végpontészlelési és válaszszabályzatai platformspecifikus profilokat tartalmaznak a Végponthoz készült Microsoft Defender előkészítésének kezeléséhez. Minden profil tartalmaz egy előkészítési csomagot , amely a szabályzat által megcélozandó eszközplatformra vonatkozik. A csomagok előkészítésével az eszközök úgy vannak konfigurálva, hogy működjenek Végponthoz készült Microsoft Defender. Az eszköz előkészítése után megkezdheti az adott eszközről származó fenyegetési adatok használatát.

Az EDR-szabályzatokat az Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában található végpontészlelési és válaszcsomópontból hozhatja létre és kezelheti.

Amikor EDR-szabályzatot hoz létre az eszközök előkészítéséhez, használhatja az előre konfigurált házirend-beállítást, vagy létrehozhat egy olyan szabályzatot, amely a beállítások manuális konfigurálását igényli, beleértve az előkészítési csomag azonosítását is:

  • Előre konfigurált szabályzat: Csak Windows-eszközök esetén támogatott, ezzel a beállítással gyorsan üzembe helyezhet egy előre konfigurált EDR előkészítési szabályzatot az összes megfelelő eszközön. Az előre konfigurált szabályzatbeállítást használhatja a Intune kezelt eszközökhöz és a Configuration Manager keresztül felügyelt bérlőhöz csatlakoztatott eszközökhöz. Az előre konfigurált beállítás használatakor a házirend beállításait nem szerkesztheti a létrehozása és a kezdeti üzembe helyezés előtt. Az üzembe helyezés után néhány beállítást szerkeszthet. További információ: Előre konfigurált EDR-szabályzat használata ebben a cikkben.

  • Szabályzat manuális létrehozása: Minden platform esetében támogatott. Ezzel a beállítással létrehozhat egy előkészítési szabályzatot, amelyet különálló eszközcsoportokban telepíthet. Az elérési út használatakor konfigurálhatja a szabályzatban elérhető beállítások bármelyikét, mielőtt azok a hozzárendelt csoportokban üzembe helyeződnek. További információt ebben a cikkben, a Manuálisan létrehozott EDR-szabályzatok használata című témakörben talál.

A platform szabályzatcéljai alapján a felügyelt eszközökre vonatkozó EDR-szabályzatok Intune Microsoft Entra ID eszközcsoportokban, vagy olyan helyszíni eszközök gyűjteményeiben lesznek üzembe helyezve, amelyeket a bérlői csatolási forgatókönyvön keresztül szinkronizál Configuration Manager.

Tipp

Az EDR-szabályzat mellett eszközkonfigurációs szabályzattal is regisztrálhatja az eszközöket a Végponthoz készült Microsoft Defender. Az eszközkonfigurációs szabályzatok azonban nem támogatják a bérlőhöz csatlakoztatott eszközöket.

Ha több szabályzatot vagy szabályzattípust, például eszközkonfigurációs szabályzatot, végpontészlelési és válaszházirendet használ ugyanazon eszközbeállítások kezeléséhez (például a Végponthoz készült Defenderbe való előkészítéshez), szabályzatütközések hozhatók létre az eszközökhöz. Az ütközésekről további információt a Biztonsági szabályzatok kezelése című cikk Ütközések kezelése című szakaszában talál.

Az EDR-szabályzatok előfeltételei

Általános:

  • Végponthoz készült Microsoft Defender bérlője – Az EDR-szabályzatok létrehozása előtt a Végponthoz készült Microsoft Defender bérlőt integrálnia kell a Microsoft Intune bérlővel (Intune előfizetéssel). További információ:

Configuration Manager-ügyfelek támogatása:

  • Bérlői csatolás beállítása Configuration Manager eszközökhöz – Ha támogatni szeretné az EDR-szabályzat Configuration Manager által felügyelt eszközökre történő telepítését, konfigurálja a bérlői csatolást. Ez a feladat magában foglalja Configuration Manager eszközgyűjtemények konfigurálását az Intune végpontbiztonsági szabályzatainak támogatásához.

    A bérlői csatolás beállításához, beleértve a Configuration Manager gyűjtemények szinkronizálását a Microsoft Intune Felügyeleti központba, és lehetővé teszi számukra a végpontbiztonságra vonatkozó szabályzatok használatát, lásd: Bérlői csatolás konfigurálása a végpontvédelmi szabályzatok támogatásához.

    Az EDR-szabályzatok bérlőhöz csatlakoztatott eszközökkel való használatáról a jelen cikk A Configuration Manager beállítása az EDR-szabályzat támogatásához című szakaszában talál további információt.

Tudnivalók a végpontészlelésről és a válaszcsomópontról

A Microsoft Intune Felügyeleti központban a Végpontészlelés és a Válasz csomópont két lapra van osztva:

Összefoglalás lap:
Az Összefoglalás lapon az előre konfigurált szabályzat üzembe helyezése lehetőséggel az összes EDR-házirend magas szintű nézete látható, mind a manuálisan konfigurált szabályzatok, mind a létrehozott szabályzatok.

Az Összefoglalás lap a következő területeket tartalmazza:

  • Végponthoz készült Defender-összekötő állapota – Ez a nézet a bérlő aktuális összekötő-állapotát jeleníti meg. A Végponthoz készült Defender-összekötő állapota felirat szintén egy hivatkozás, amely megnyitja a Defender portált. Ez a nézet megegyezik a Végpontbiztonság áttekintése lapon található nézetével.

  • A Végponthoz készült Defenderbe előkészített Windows-eszközök – Ez a nézet a végpontészlelés és -válasz (EDR) előkészítésének bérlőszintű állapotát jeleníti meg, és azoknak az eszközöknek a számát jeleníti meg, amelyek Végponthoz készült Microsoft Defender vagy nem lettek regisztrálva.

  • Végpontészlelési és válaszszabályzatok ( EDR) – Itt létrehozhat új, manuálisan konfigurált EDR-szabályzatokat, és megtekintheti a bérlő összes EDR-házirendjének listáját. A szabályzatlista tartalmazza a manuálisan konfigurált szabályzatokat és az előre konfigurált szabályzat üzembe helyezése beállítással létrehozott szabályzatokat is.

    Ha kiválaszt egy szabályzatot a listából, megnyílik a szabályzat mélyebb nézete, ahol áttekintheti annak konfigurációját, és szerkesztheti annak részleteit és konfigurációját. Ha a szabályzat előre lett konfigurálva, a módosítható beállítások korlátozottak.

EDR Előkészítés állapota lap:
Ez a lap azoknak az eszközöknek a magas szintű összegzését jeleníti meg, amelyeken Végponthoz készült Microsoft Defender, vagy amelyeket még nem előkészítettek, és támogatja az egyes eszközökbe történő behatolást. Ide tartoznak a Intune által kezelt eszközök, valamint a bérlői csatolási forgatókönyv és Configuration Manager által felügyelt eszközök.

Ezen a lapon egy előre konfigurált előkészítési szabályzatot is létrehozhat és telepíthet Windows-eszközökhöz.

Az EDR előkészítési állapotlapja a következőket tartalmazza:

  • Előre konfigurált szabályzat üzembe helyezése – Ez a beállítás a lap tetején, az előkészítési összegző diagram fölött jelenik meg, és egy előre konfigurált szabályzat létrehozására szolgál a Windows-eszközök Végponthoz készült Microsoft Defender való előkészítéséhez.

  • Az EDR előkészítési állapotösszegző diagramja – Ez a diagram azoknak az eszközöknek a számát jeleníti meg, amelyeken Végponthoz készült Microsoft Defender vagy nem lettek regisztrálva.

  • Eszközlista – Az összegző diagram alatt a részleteket tartalmazó eszközök listája látható, beleértve a következőket:

    • Eszköz neve
    • Az eszköz kezelésének menete
    • Az eszközök EDR-előkészítési állapota
    • Utolsó bejelentkezés időpontja és dátuma
    • Az eszközök utolsó ismert állapota Defender-érzékelő

EDR-profilok

A Microsoft Intune által felügyelt eszközök

Linux – A Linux-eszközök EDR-jének kezeléséhez válassza ki a Linux-platformot . A következő profil érhető el:

  • Végpontészlelés és -válasz – Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:

    A Linuxhoz készült EDR-sablonok a Végponthoz készült Defender eszközcímkék kategóriájának két beállítását tartalmazzák:

    • Címke értéke – Címkénként csak egy érték állítható be. A címke típusa egyedi, és nem szabad megismételni ugyanabban a profilban.
    • Címke típusa – A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke megjelenik az eszközoldal felügyeleti központjában, és az eszközök szűréséhez és csoportosításához használható.

    A Végponthoz készült Defender Linuxhoz elérhető beállításairól a Defender dokumentációjának A Linuxon futó Végponthoz készült Microsoft Defender beállításainak megadása című szakaszában talál további információt.

macOS – A macOS-eszközök EDR-jének kezeléséhez válassza ki a macOS platformot. A következő profil érhető el:

  • Végpontészlelés és -válasz – Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:

    A macOS EDR-sablonjai két beállítást tartalmaznak a Végponthoz készült Defender Eszközcímkék kategóriájához:

    • Címke típusa – A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke megjelenik az eszközoldal felügyeleti központjában, és az eszközök szűréséhez és csoportosításához használható.
    • Címke értéke – Címkénként csak egy érték állítható be. A címke típusa egyedi, és nem szabad megismételni ugyanabban a profilban.

    A végponthoz készült Defender macOS-hez elérhető beállításairól a Defender dokumentációjának A macOS-en Végponthoz készült Microsoft Defender beállításainak megadása című szakaszában talál további információt.

Windows – A Windows-eszközök EDR-jének kezeléséhez válassza ki a Windows 10, a Windows 11 és a Windows Server platformot. A következő profil érhető el:

  • Végpontészlelés és -válasz – Intune üzembe helyezi a szabályzatot a hozzárendelt csoportok eszközein. Ez a profil a következőkkel támogatja a használatát:

    Megjegyzés:

    2022. április 5-től a Windows 10 és újabb platformot a Windows 10, a Windows 11 és a Windows Server platform váltotta fel.

    A Windows 10, a Windows 11 és a Windows Server platform támogatja a Microsoft Intune vagy Végponthoz készült Microsoft Defender keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet nem támogatnak natív módon Microsoft Intune.

    Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.

    Azügyfélkonfigurációs csomag típusának beállításai Végponthoz készült Microsoft Defender:

    • Csak Windows-eszközökre vonatkozik

    Miután konfigurálta a szolgáltatások közötti kapcsolatot Intune és Végponthoz készült Microsoft Defender között, az Automatikus összekötőről beállítás elérhetővé válik az ügyfélkonfigurációs csomag típusának Végponthoz készült Microsoft Defender beállításhoz. Ez a beállítás csak akkor érhető el, ha konfigurálja a kapcsolatot.

    Ha az Összekötőből automatikus lehetőséget választja, Intune automatikusan lekéri az előkészítési csomagot (blobot) a Végponthoz készült Defender üzemelő példányából. Ez a választás felülírja az előkészítési csomag manuális konfigurálásának szükségességét ehhez a profilhoz. Nincs lehetőség arra, hogy automatikusan konfiguráljon egy kivezetési csomagot.

A Configuration Manager által felügyelt eszközök

Végponti észlelés és reagálás

A Configuration Manager-eszközök végpontészlelési és válaszházirend-beállításainak kezelése bérlői csatolás használatakor.

Szabályzat elérési útja:

  • Végpontbiztonság > Végpontészlelés és -válasz > Windows 10, Windows 11 és Windows Server (ConfigMgr)

Profilok:

  • Végpontészlelés és -válasz (ConfigMgr) (előzetes verzió)

A Configuration Manager szükséges verziója:

  • Configuration Manager aktuális ág 2002-es vagy újabb verzióját, a konzolon belüli Configuration Manager 2002 gyorsjavítással (KB4563473)
  • Configuration Manager Technical Preview 2003-es vagy újabb verziója

Támogatott Configuration Manager eszközplatformok:

  • Windows 8.1 (x86, x64), a Configuration Manager 2010-es verziójától kezdve
  • Windows 10 újabb (x86, x64, ARM64)
  • Windows 11 és újabb verziók (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), a Configuration Manager 2010-es verziójától kezdve
  • Windows Server 2016 és újabb(x64)

Fontos

2022. október 22-én Microsoft Intune megszüntette a Windows 8.1-et futtató eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.

Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy lépjen Windows 10/11-eszközökre. Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.

Configuration Manager beállítása az EDR-szabályzat támogatásához

Mielőtt EDR-szabályzatokat telepíthet Configuration Manager eszközökre, végezze el a következő szakaszokban ismertetett konfigurációkat.

Ezek a konfigurációk a Configuration Manager konzolon és a Configuration Manager üzemelő példányán belül készülnek. Ha nem ismeri a Configuration Manager, tervezze meg, hogy egy Configuration Manager rendszergazdával együttműködve végezze el ezeket a feladatokat.

A következő szakaszok a szükséges feladatokat ismertetik:

  1. A Configuration Manager frissítésének telepítése
  2. Bérlő csatolásának engedélyezése

Tipp

A Végponthoz készült Microsoft Defender Configuration Manager való használatáról a Configuration Manager alábbi cikkekben talál további információt:

1. feladat: A Configuration Manager frissítésének telepítése

Configuration Manager 2002-es verzióhoz frissítésre van szükség a Microsoft Intune Felügyeleti központból telepített végpontészlelési és válaszszabályzatokkal való használat támogatásához.

Frissítés részletei:

  • Configuration Manager 2002 gyorsjavítás (KB4563473)

Ez a frissítés konzolon belüli frissítésként érhető el a Configuration Manager 2002-ben.

A frissítés telepítéséhez kövesse a konzolon belüli frissítések telepítése című témakör útmutatását a Configuration Manager dokumentációjában.

A frissítés telepítése után térjen vissza ide, és folytassa a környezet konfigurálását az EDR-szabályzat támogatásához a Microsoft Intune Felügyeleti központban.

2. feladat: Bérlői csatolás konfigurálása és gyűjtemények szinkronizálása

A Bérlő csatolása beállítással megadhatja a Configuration Manager üzemelő példányból származó eszközök gyűjteményeit a Microsoft Intune Felügyeleti központtal való szinkronizáláshoz. A gyűjtemények szinkronizálása után a felügyeleti központ segítségével megtekintheti az eszközökkel kapcsolatos információkat, és üzembe helyezheti az EDR-szabályzatot Intune.

A bérlő csatolási forgatókönyvével kapcsolatos további információkért lásd: Bérlői csatolás engedélyezése a Configuration Manager tartalomban.

Bérlői csatolás engedélyezése, ha a megosztott kezelés nincs engedélyezve

Tipp

A bérlői csatolás engedélyezéséhez a Configuration Manager konzolOn a Megosztott kezelés konfigurálása varázslót kell használnia, de nem kell engedélyeznie a társfelügyeletet.

Ha a közös felügyelet engedélyezését tervezi, a folytatás előtt ismerkedjen meg a társfelügyelettel, annak előfeltételeivel és a számítási feladatok kezelésével. Lásd: Mi a közös felügyelet a Configuration Manager dokumentációjában.

  1. Az Configuration Manager felügyeleti konzolon lépjen a Felügyelet>áttekintése>Cloud Services>Co-felügyelet elemre.
  2. A varázsló megnyitásához válassza a menüszalag Megosztott kezelés konfigurálása elemét.
  3. A Bérlő előkészítése lapon válassza az AzurePublicCloud lehetőséget a környezetéhez. Azure Government felhő nem támogatott.
    1. Válassza a Bejelentkezés lehetőséget. Jelentkezzen be a globális rendszergazdai fiókjával.

A Intune által kezelt eszközök esetében a következők támogatottak:

  • Platform: Windows 10, Windows 11 és Windows Server – Intune telepíti a szabályzatot a Microsoft Entra-csoportokban lévő eszközökre.
    • Profil: Végpontészlelés és -válasz

Előre konfigurált EDR-szabályzat használata

Az EDR előkészítési állapota lapon Intune végpontészlelési és -válaszszabályzatában kiválaszthatja az Előre konfigurált szabályzat üzembe helyezése lehetőséget, hogy Intune hozzon létre és telepítsen egy előre konfigurált szabályzatot a Végponthoz készült Microsoft Defender a megfelelő eszközökön való telepítéséhez.

Ez a beállítás a lap tetején, a Végponthoz készült Defenderbe előkészített Windows-eszközök jelentés fölött található:

Képernyőkép a Felügyeleti központról, amely bemutatja, hol található az Előre konfigurált szabályzat üzembe helyezése lehetőség.

A beállítás kiválasztása előtt sikeresen konfigurálnia kell a Végponthoz készült Defender-összekötőt, amely szolgáltatásközi kapcsolatot létesít Intune és Végponthoz készült Microsoft Defender között. A szabályzat az összekötő használatával kér le egy Végponthoz készült Microsoft Defender előkészítési blobot az eszközök előkészítéséhez. További információ az összekötő konfigurálásáról: Csatlakozás Végponthoz készült Microsoft Defender Intune-hez a Végponthoz készült Defender konfigurálása című cikkben.

Ha a bérlő csatolási forgatókönyvével támogatja az Configuration Manager által kezelt eszközöket, állítsa be a Configuration Manager az EDR-szabályzat támogatásához a Microsoft Intune Felügyeleti központban. Lásd: Bérlői csatolás konfigurálása végpontvédelmi szabályzatok támogatásához.

Az előre konfigurált EDR-szabályzat létrehozása

Az előre konfigurált szabályzat üzembe helyezése beállítás használatakor nem módosíthatja az alapértelmezett házirend-konfigurációkat a Végponthoz készült Microsoft Defender, hatókörcímkék vagy hozzárendelések telepítéséhez. A szabályzat létrehozása után azonban szerkesztheti annak néhány részletét, beleértve a hozzárendelési szűrők konfigurálását is.

A szabályzat létrehozása:

  1. A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság>Végpontészlelés és -válasz> lapjára, és nyissa meg az EDR előkészítési állapota lapot>, és válassza az Előre konfigurált szabályzat üzembe helyezése lehetőséget.

  2. A Profil létrehozása lapon adja meg az alábbi kombinációk egyikét, majd válassza a Létrehozás lehetőséget:

    • A Intune által felügyelt eszközök esetén:

      • Platform = Windows 10, Windows 11 és Windows Server
      • Profil = Végpontészlelés és -válasz

    • A bérlői csatolási forgatókönyvön keresztül felügyelt eszközök esetén:

      • Platform = Windows 10, Windows 11 és Windows Server (ConfigMgr)
      • Profil = Végpontészlelés és -válasz (ConfigMgr)

      Fontos

      A bérlőhöz csatlakoztatott eszközökön való üzembe helyezéshez engedélyezni és szinkronizálni kell a Minden asztali és kiszolgáló ügyfélgyűjteményt a bérlőben.

  3. Az Alapvető beállítások lapon adja meg a szabályzat nevét. Igény szerint hozzáadhat egy Leírást is.

  4. A Felülvizsgálat és létrehozás lapon kibonthatja az elérhető kategóriákat a szabályzatkonfiguráció áttekintéséhez, de nem végezhet módosításokat. Intune csak a kiválasztott Platform és Profil kombináció alapján használja a megfelelő beállításokat. Például a Intune által felügyelt eszközök esetében a szabályzat a Minden eszköz csoportot célozza meg. A Minden asztali és kiszolgáló ügyfélcsoport a bérlőhöz csatlakoztatott eszközökre van megcélzva.

Válassza a Mentés lehetőséget az előre konfigurált szabályzat létrehozásához és üzembe helyezéséhez.

Előre konfigurált EDR-szabályzat szerkesztése

Miután létrehozott egy előre konfigurált szabályzatot, a Végpontészlelési és -válaszszabályzat Összegzés lapján találja. Egy szabályzat kiválasztásával kiválaszthatja, hogy szerkeszt-e néhányat, de nem minden házirendbeállítást. Például Intune eszközök esetében a következő beállításokat szerkesztheti:

  • Alapszintű: A következő beállításokat szerkesztheti:
    • Name (Név)
    • Leírás
  • Konfigurációs beállítás: A következő két beállítás módosítható az alapértelmezett Nincs konfigurálva értékről:
    • Mintamegosztás
    • [Elavult] Telemetriajelentés gyakorisága
  • Hozzárendelések: A csoport-hozzárendelés nem módosítható, de hozzáadhat hozzárendelési szűrőket.

Manuálisan létrehozott EDR-szabályzat használata

A Intune végpontészlelési és -válaszszabályzatának EDR-összefoglalás lapján a Házirend létrehozása lehetőséget választva megkezdheti az EDR-szabályzat manuális konfigurálását az eszközök Végponthoz készült Microsoft Defender való előkészítéséhez.

Ez a beállítás a lap tetején, a Végponthoz készült Defenderbe előkészített Windows-eszközök jelentés fölött található:

Képernyőkép a Felügyeleti központról, amely bemutatja, hol található a Házirend létrehozása lehetőség.

Manuálisan konfigurált EDR-szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Végpontbiztonság>Végponti észlelés és reagálás>Házirend létrehozása elemet.

  3. Válassza ki a szabályzat platformját és profilját. A következő információk azonosítják a lehetőségeket:

    • Intune – Intune telepíti a szabályzatot a hozzárendelt csoportokban lévő eszközökre. A szabályzat létrehozásakor válassza a következőt:

      • Platform: Linux, macOS vagy Windows 10, Windows 11 és Windows Server
      • Profil: Végpontészlelés és -válasz

    • Configuration Manager – Configuration Manager telepíti a szabályzatot a Configuration Manager gyűjteményekben lévő eszközökre. A szabályzat létrehozásakor válassza a következőt:

      • Platform: Windows 10, Windows 11 és Windows Server (ConfigMgr)
      • Profil: Végponti észlelés és reagálás (ConfigMgr)

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.

  6. A Konfigurációs beállítások lapon válassza az Automatikus lehetőséget az összekötőbőlVégponthoz készült Microsoft Defender ügyfélkonfigurációs csomagtípushoz. Konfigurálja a profillal kezelni kívánt mintamegosztási és telemetriajelentési gyakoriság beállításait.

    Megjegyzés:

    Ha a bérlőket a Végponthoz készült Microsoft Defender portálon lévő előkészítési fájllal szeretné be- vagy kijelentkeztetni, válassza az Előkészítés vagy a Kivezetés lehetőséget, és adja meg az előkészítési fájl tartalmát közvetlenül a kijelölés alatti bemenetnek.

    Ha végzett a beállítások konfigurálásával, válassza a Tovább gombot.

  7. Hatókörcímkék használata esetén a Hatókörcímkék lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, hogy hatókörcímkéket rendeljen a profilhoz.

    A folytatáshoz válassza Tovább lehetőséget.

  8. A Hozzárendelések lapon válassza ki azokat a csoportokat vagy gyűjteményeket, amelyek megkapják ezt a szabályzatot. A választás a kiválasztott platformtól és profiltól függ:

    • A Intune válassza ki a csoportokat a Microsoft Entra.
    • A Configuration Manager válassza ki a Configuration Manager azon gyűjteményeit, amelyek szinkronizálva lettek a Microsoft Intune Felügyeleti központba, és engedélyezve vannak Végponthoz készült Microsoft Defender házirendhez.

    Dönthet úgy, hogy jelenleg nem rendel hozzá csoportokat vagy gyűjteményeket, majd később szerkessze a szabályzatot a hozzárendelés hozzáadásához.

    Ha készen áll a folytatásra, válassza a Következő lehetőséget.

  9. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet.

    Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

Eszköz előkészítési állapotának frissítése

Előfordulhat, hogy a szervezeteknek frissítenie kell az eszköz előkészítési adatait Microsoft Intune keresztül.

Erre a frissítésre a Végponthoz készült Microsoft Defender előkészítési hasznos adatainak módosítása vagy a Microsoft ügyfélszolgálatának utasítása miatt lehet szükség.

Az előkészítési adatok frissítése arra utasítja az eszközt, hogy a következő újraindításkor kezdje el használni az új előkészítési hasznos adatokat.

Megjegyzés:

Ezek az információk nem feltétlenül helyezik át az eszközt a bérlők között anélkül, hogy teljesen kivezetik az eszközt az eredeti bérlőből. Az eszközök Végponthoz készült Microsoft Defender szervezetek közötti áttelepítésének lehetőségeiért lépjen kapcsolatba Microsoft ügyfélszolgálata.

A hasznos adatok frissítésének folyamata

  1. Töltse le az új Mobile Eszközkezelés New onboarding hasznos adatokat a Végponthoz készült Microsoft Defender konzolról.

  2. Hozzon létre egy új csoportot az új szabályzatok hatékonyságának ellenőrzéséhez.

  3. Zárja ki az Új csoportot a meglévő EDR-szabályzatból.

  4. Hozzon létre egy új végpontészlelési és -válaszszabályzatot az EDR-szabályzatok létrehozása című témakörben leírtak szerint.

  5. A szabályzat létrehozásakor válassza az Előkészítés lehetőséget az ügyfélcsomag konfigurációs típusából, és adja meg az előkészítési fájl tartalmát a Végponthoz készült Microsoft Defender konzolon.

  6. Rendelje hozzá a szabályzatot az ellenőrzéshez létrehozott új csoporthoz.

  7. Vegyen fel meglévő eszközöket az érvényesítési csoportba, és győződjön meg arról, hogy a módosítások a várt módon működnek.

  8. Fokozatosan bontsa ki az üzembe helyezést, és végül szerelje le az eredeti szabályzatot.

Megjegyzés:

Ha korábban az Auto from connector (Automatikus összekötőből ) lehetőséget használta az előkészítési információk lekéréséhez, kérje meg a Microsoft ügyfélszolgálatát, hogy erősítse meg az új előkészítési információk használatát.

A Microsoft ügyfélszolgálatának útmutatása szerint az előkészítési információkat frissítő szervezetek esetében a Microsoft az összekötő frissítésekor fogja önt irányítani az új előkészítési hasznos adatok kihasználásához.

EDR-szabályzatjelentések és monitorozás

A Microsoft Intune Felügyeleti központ végponttelepítési és válaszcsomópontján megtekintheti a használt EDR-szabályzatok részleteit.

A szabályzat részleteiért a Felügyeleti központban lépjen a Végpontbiztonsági>végpont üzembe helyezése és válasz>összegzése lapra, és válassza ki azt a szabályzatot, amelynek a megfelelőségi adatait meg szeretné tekinteni:

  • A Linux, macOS vagy Windows 10, Windows 11 és Windows Server platformokat (Intune) célzó szabályzatok esetében Intune a szabályzatnak való megfelelőség áttekintését jeleníti meg. A diagramot kiválasztva megtekintheti a szabályzatot kapott eszközök listáját, és részletezheti az egyes eszközöket további részletekért.

  • Windows-eszközök esetén a Végponthoz készült Defenderbe előkészített Windows-eszközök diagramja azoknak az eszközöknek a számát jeleníti meg, amelyek sikeresen regisztrálva lettek a Végponthoz készült Microsoft Defender, és amelyek még nem kerültek bevezetésre.

    Annak érdekében, hogy teljes mértékben ábrázolja az eszközeit ebben a diagramban, helyezze üzembe az előkészítési profilt az összes eszközén. Azok az eszközök, amelyek külső eszközökkel Végponthoz készült Microsoft Defender, például Csoportházirend vagy PowerShell, a Végponthoz készült Defender érzékelő nélküli eszközöknek számítanak.

  • A Windows 10, Windows 11 és Windows Server (ConfigMgr) platformot (Configuration Manager) célzó szabályzatok esetében Intune a szabályzatnak való megfelelőség áttekintését jeleníti meg, amely nem támogatja a részletezés használatát a további részletek megtekintéséhez. A nézet korlátozott, mert a felügyeleti központ korlátozott állapotadatokat kap a Configuration Manager, amely felügyeli a szabályzat Configuration Manager eszközökre történő központi telepítését.

Az egyes eszközök részleteinek megtekintéséhez lépjen a Végpontbiztonsági>végpont üzembe helyezése és válasz>EDR előkészítési állapota lapra, és válasszon ki egy eszközt a listából az eszközspecifikus további részletek megtekintéséhez.

Következő lépések