Eszközbiztonság kezelése végpontbiztonsági szabályzatokkal a Microsoft Intune

Használja Intune végpontbiztonsági szabályzatokat az eszközök biztonsági beállításainak kezeléséhez. Minden végpontbiztonsági szabályzat egy vagy több profilt támogat. Ezek a profilok koncepciójukban hasonlóak az eszközkonfigurációs szabályzatsablonhoz, amely a kapcsolódó beállítások logikai csoportja.

Az eszközbiztonsággal foglalkozó biztonsági rendszergazdaként ezekkel a biztonsági profilokkal elkerülheti az eszközkonfigurációs profilok vagy biztonsági alapkonfigurációk többletterhelését. Az eszközkonfigurációs profilok és alapkonfigurációk a végpontok biztonságossá tételének hatókörén kívül eső, sokszínű beállításokat tartalmaznak. Ezzel szemben az egyes végpontbiztonsági profilok az eszközbeállítások egy adott részhalmazára összpontosítanak, amelyek az eszközbiztonság egy aspektusának konfigurálására szolgálnak.

Ha végpontbiztonsági szabályzatokat használ más szabályzattípusok mellett, például biztonsági alapkonfigurációk vagy az eszközkonfigurációs szabályzatok végpontvédelmi sablonjai mellett, fontos, hogy olyan tervet dolgozzon ki, amely több szabályzattípust használ az ütköző beállítások kockázatának minimalizálása érdekében. A biztonsági alapkonfigurációkat, az eszközkonfigurációs szabályzatokat és a végpontbiztonsági szabályzatokat a Intune az eszközkonfigurációs beállítások egyenlő forrásaiként kezelik. Beállításütközés akkor fordul elő, ha egy eszköz két különböző konfigurációt kap egy beállításhoz több forrásból. Több forrás is tartalmazhat külön szabályzattípusokat és ugyanazon szabályzat több példányát.

Amikor Intune kiértékeli egy eszköz szabályzatát, és azonosítja egy beállítás ütköző konfigurációit, az érintett beállítás megjelölhető hibának vagy ütközésnek, és nem alkalmazható. Minden konfigurációs szabályzattípus támogatja a felmerülő ütközések azonosítását és feloldását:

• Eszközkonfigurációs profilok
• Végpontbiztonsági profilok
• Biztonsági alapkonfigurációk

A végpontbiztonsági szabályzatok a Kezelés területen találhatók a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában.

Az alábbiakban röviden bemutatjuk az egyes végpontbiztonsági szabályzattípusokat. Ha többet szeretne megtudni róluk, beleértve az elérhető profilokat is, kövesse az egyes szabályzattípusokhoz dedikált tartalmakra mutató hivatkozásokat:

• Fiókvédelem – A fiókvédelmi szabályzatok segítenek a felhasználók identitásának és fiókjainak védelmében. A fiókvédelmi szabályzat a windowsos identitás- és hozzáférés-kezelés részét képező Windows Hello és Credential Guard beállításaira összpontosít.

• Víruskereső – A víruskereső házirendek segítségével a biztonsági rendszergazdák a felügyelt eszközökre vonatkozó víruskereső-beállítások különálló csoportjának kezelésére összpontosítanak.

• App Control for Business (előzetes verzió) – A Jóváhagyott alkalmazások kezelése Windows-eszközökhöz az App Control for Business szabályzattal és a felügyelt telepítőkkel Microsoft Intune. Intune Alkalmazásvezérlés üzleti célokra szabályzatok a Windows Defender Alkalmazásvezérlés (WDAC) implementációja.

• Támadási felület csökkentése – Ha a Defender víruskereső használatban van a Windows 10/11-eszközökön, Intune végpontbiztonsági szabályzatokkal kezelheti az eszközök beállításait.

• Lemeztitkosítás – Végpontbiztonság A lemeztitkosítási profilok csak azokra a beállításokra összpontosítanak, amelyek egy beépített titkosítási módszer, például a FileVault vagy a BitLocker esetében relevánsak. Ezzel a fókuszsal a biztonsági rendszergazdák egyszerűen kezelhetik a lemeztitkosítási beállításokat anélkül, hogy nem kapcsolódó beállítások között kellene navigálniuk.

• Végpontészlelés és -válasz – Ha integrálja Végponthoz készült Microsoft Defender a Intune, a végpontvédelmi szabályzatok használatával kezelheti az EDR-beállításokat, és Végponthoz készült Microsoft Defender az eszközöket.

• Tűzfal – A Intune végpontbiztonsági tűzfalszabályzatával konfigurálhatja a macOS és Windows 10/11 rendszerű eszközök beépített tűzfalát.

Az alábbi szakaszok az összes végpontbiztonsági szabályzatra vonatkoznak.

Végpontbiztonsági szabályzat létrehozása

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Végpontbiztonság lehetőséget, majd válassza ki a konfigurálni kívánt szabályzat típusát, majd válassza a Szabályzat létrehozása lehetőséget. Válasszon az alábbi szabályzattípusok közül:

   • Fiókvédelem
   • Vírusölő
   • Alkalmazásvezérlő (előzetes verzió)
   • Támadásifelület-csökkentés
   • Lemeztitkosítás
   • Végponti észlelés és reagálás
   • Tűzfal

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki azt a platformot, amely számára szabályzatot hoz létre. Az elérhető lehetőségek a kiválasztott szabályzattípustól függenek.
   • Profil: Válasszon a kiválasztott platformhoz elérhető profilok közül. A profilokkal kapcsolatos további információkért tekintse meg a cikk a kiválasztott szabályzattípusra vonatkozó szakaszát.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.

6. A Konfigurációs beállítások lapon bontsa ki az egyes beállításokat, és konfigurálja az ezzel a profillal kezelni kívánt beállításokat.

   Ha végzett a beállítások konfigurálásával, válassza a Következő lehetőséget.

7. A Hatókörcímkék lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, hogy hatókörcímkéket rendeljen a profilhoz.

   A folytatáshoz válassza Tovább lehetőséget.

8. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Válassza a Tovább gombot.

9. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

Szabályzat duplikálása

A végpontbiztonsági szabályzatok támogatják a duplikálást az eredeti szabályzat másolatának létrehozásához. A házirendek duplikálásának egyik forgatókönyve az, ha hasonló szabályzatokat kell hozzárendelnie különböző csoportokhoz, de nem szeretné manuálisan újra létrehozni a teljes szabályzatot. Ehelyett duplikálhatja az eredeti házirendet, majd csak azokat a módosításokat vezetheti be, amelyeket az új szabályzat igényel. Előfordulhat, hogy csak egy adott beállítást módosít, és azt a csoportot, amelyhez a szabályzat hozzá van rendelve.

Duplikátum létrehozásakor új nevet ad a másolatnak. A másolat ugyanazokkal a beállításkonfigurációkkal és hatókörcímkékkel készül, mint az eredeti, de nem rendelkezik hozzárendelésekkel. A hozzárendelések létrehozásához később szerkesztenie kell az új szabályzatot.

A következő szabályzattípusok támogatják a duplikálást:

• Fiókvédelem
• Alkalmazásvezérlés (előzetes verzió)
• Vírusölő
• Támadásifelület-csökkentés
• Lemeztitkosítás
• Végponti észlelés és reagálás
• Tűzfal

Az új szabályzat létrehozása után tekintse át és szerkessze a szabályzatot a konfiguráció módosításához.

Szabályzat duplikálása

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.
2. Válassza ki a másolni kívánt szabályzatot. Ezután válassza a Duplikálás lehetőséget, vagy válassza a szabályzattól jobbra található három pontot (...), majd a Duplikálás lehetőséget.
3. Adjon új nevet a szabályzatnak, majd válassza a Mentés lehetőséget.

Szabályzat szerkesztése

1. Válassza ki az új szabályzatot, majd válassza a Tulajdonságok lehetőséget.
2. Válassza a Beállítások lehetőséget a házirend konfigurációs beállításainak listájának kibontásához. Ebből a nézetből nem módosíthatja a beállításokat, de áttekintheti, hogyan vannak konfigurálva.
3. A szabályzat módosításához válassza a Szerkesztés lehetőséget minden olyan kategóriánál, ahol módosítást szeretne végezni:
   • Alapjai
   • Hozzárendelések
   • Hatókörcímkék
   • Konfigurációs beállítások
4. Miután végrehajtotta a módosításokat, kattintson a Mentés gombra a módosítások mentéséhez. Az egyik kategória szerkesztéseit menteni kell, mielőtt további kategóriákat szerkeszthet.

Ütközések kezelése

A végpontbiztonsági szabályzatokkal (biztonsági szabályzatokkal) kezelhető számos eszközbeállítás más szabályzattípusokon keresztül is elérhető a Intune. Ezek a szabályzattípusok közé tartoznak az eszközkonfigurációsszabályzatok és a biztonsági alapkonfigurációk. Mivel a beállítások több különböző házirendtípussal vagy ugyanazon szabályzattípus több példányával is kezelhetők, fel kell készülnie a szabályzatütközések azonosítására és feloldására olyan eszközök esetében, amelyek nem tartják be a várt konfigurációkat.

• A biztonsági alapkonfigurációk nem alapértelmezett értéket állíthatnak be egy olyan beállításhoz, amely megfelel az alapkonfiguráció által javasolt konfigurációnak.
• Más szabályzattípusok, beleértve a végpontbiztonsági szabályzatokat is, alapértelmezés szerint Nincs konfigurálva értéket ad meg. Ezek a szabályzattípusok megkövetelik, hogy explicit módon konfigurálja a házirend beállításait.

A házirend módszerétől függetlenül, ha ugyanazon az eszközön több házirendtípussal vagy ugyanazon házirendtípus több példányán keresztül kezeli ugyanazt a beállítást, akkor elkerülhetők az ütközések.

Az alábbi hivatkozásokon található információk segíthetnek az ütközések azonosításában és megoldásában:

• Szabályzatok és profilok hibaelhárítása a Intune
• A biztonsági alapkonfigurációk monitorozása

Következő lépések

Végpontbiztonság kezelése Intune