Megosztás a következőn keresztül:

Az Intune végpontbiztonsági szabályzatainak használata a Végponthoz készült Microsoft Defender kezeléséhez az Intune-ban nem regisztrált eszközökön

  • Cikk

Amikor integrálja a Microsoft Intune-t a Végponthoz készült Microsoft Defenderrel, az Intune végpontbiztonsági szabályzataival kezelheti a Defender biztonsági beállításait az Intune-ban nem regisztrált eszközökön. Ezt a képességet Végponthoz készült Defender biztonsági beállítások kezelésének nevezzük.

Ha a biztonsági beállítások kezelésével felügyeli az eszközöket:

  • A Microsoft Intune felügyeleti központban vagy a Microsoft 365 Defender portálon kezelheti a Végponthoz készült Defender Intune végpontbiztonsági szabályzatát, és hozzárendelheti ezeket a szabályzatokat a Microsoft Entra ID-csoportokhoz. A Defender portál tartalmazza az eszköznézetek, a szabályzatkezelés és a biztonsági beállítások kezeléséhez szükséges jelentések felhasználói felületét.

    A szabályzatok a Defender portálról való kezeléséhez tekintse meg a Végpontbiztonsági szabályzatok kezelése a Végponthoz készült Microsoft Defenderben című szakaszt a Defender-tartalomban.

  • Az eszközökhöz a Microsoft Entra ID eszközobjektumuk alapján rendelik hozzá a szabályzatukat. A megoldás részeként egy, a Microsoft Entrában még nem regisztrált eszköz csatlakozik.

  • Amikor egy eszköz szabályzatot fogad, az eszközön található Végponthoz készült Defender összetevői érvénybe léptetik a szabályzatot, és jelentést készítenek az eszköz állapotáról. Az eszköz állapota a Microsoft Intune felügyeleti központban és a Microsoft Defender portálon érhető el.

Ez a könyvelési kód kiterjeszti a Microsoft Intune Végpontbiztonság felületét azokra az eszközökre, amelyek nem regisztrálhatók az Intune-ban. Ha egy eszközt az Intune felügyel (azaz regisztrálták az Intune-ba), az eszköz nem dolgozza fel a Végponthoz készült Defender biztonsági beállításainak kezelésére vonatkozó szabályzatokat. Ehelyett arra használja az Intune-t, hogy telepíthesse a Végponthoz készült Defender szabályzatát az eszközein.

Érintett szolgáltatás:

  • Windows 10 és Windows 11
  • Windows Server (2012 R2 és újabb)
  • Linux
  • macOS

A Végpontcsatoláshoz készült Microsoft Defender megoldás bemutatása.

Előfeltételek

Tekintse át az alábbi szakaszokat a Végponthoz készült Defender biztonsági beállítások kezelési könyvelési kódjának követelményeiért.

Környezet

Ha egy támogatott eszköz regisztrál a Végponthoz készült Microsoft Defenderbe:

  • Az eszköz egy meglévő Microsoft Intune-jelenléti állapotot, azaz egy Intune-beli mobileszköz-kezelési (MDM) regisztrációt vizsgál.
  • Az Intune-jelenléttel nem rendelkező eszközök engedélyezik a biztonsági beállítások kezelési funkcióját.
  • A Microsoft Entrába nem teljesen regisztrált eszközök esetében a Microsoft Entra ID-ben létrejön egy szintetikus eszközidentitás, amellyel az eszköz lekérheti a szabályzatokat. A teljes mértékben regisztrált eszközök az aktuális regisztrációjukat használják.
  • A Microsoft Intune-ból lekért szabályzatokat a Végponthoz készült Microsoft Defender lépteti érvénybe az eszközön.

A biztonsági beállítások kezelése a Kormányzati felhőkben még nem támogatott. További információ: Kereskedelmi paritási jellemzők a Végponthoz készült Microsoft Defenderben az USA kormányzati ügyfelei számára.

Adatkapcsolati követelmények

Az eszközöknek hozzáféréssel kell rendelkezniük a következő végponthoz:

  • *.dm.microsoft.com – A helyettesítő karakter használata támogatja a regisztrációhoz, a bejelentkezéshez és a jelentésekhez használt felhőszolgáltatás-végpontokat, amelyek a szolgáltatás méretezése során változhatnak.

Támogatott platformok

A Végponthoz készült Microsoft Defender biztonsági felügyeleti szabályzatai a következő eszközplatformokon támogatottak:

Linux:

A Végponthoz készült Microsoft Defender Linux-ügynök 101.23052.0009-es vagy újabb verziójával a biztonsági beállítások kezelése a következő Linux-disztribúciókat támogatja:

  • Red Hat Enterprise Linux 7.2 vagy újabb
  • CentOS 7.2 vagy újabb
  • Ubuntu 16.04 LTS vagy újabb LTS
  • Debian 9 vagy újabb
  • SUSE Linux Enterprise Server 12 vagy újabb
  • Oracle Linux 7.2 vagy újabb
  • Amazon Linux 2
  • Fedora 33 vagy újabb

A Defender-ügynök verziójának megerősítéséhez lépjen a Defender portálon az Eszközök lapra, és az eszközök Leltárak lapján keresse meg a Linuxhoz készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért keresse fel a következőt: Frissítések telepítése a Végponthoz készült Microsoft Defenderhez Linuxon.

Ismert probléma: A Defender-ügynök 101.23052.0009-es verziójával a Linux-eszközök nem regisztrálhatók, ha hiányzik a következő fájlútvonaluk: /sys/class/dmi/id/board_vendor.

macOS:

A Végponthoz készült Microsoft Defender MacOS-ügynök 101.23052.0004-es vagy újabb verziójával a biztonsági beállítások kezelése a következő macOS-verziókat támogatja:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

A Defender-ügynök verziójának megerősítéséhez lépjen a Defender portálon az Eszközök lapra, és az Eszközök Leltárak lapon keresse meg a macOS-hez készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért keresse fel a következőt: Frissítések telepítése a Végponthoz készült Microsoft Defenderhez macOS rendszeren.

Ismert probléma: A Defender-ügynök 101.23052.0004-es verziójával a Microsoft Entra ID-ben regisztrált macOS-eszközök a biztonsági beállítások kezelésével való regisztráció előtt duplikált eszközazonosítót kapnak a Microsoft Entra ID-ban, amely szintetikus regisztráció. Amikor Microsoft Entra-csoportot hoz létre a célcsoportkezelési szabályzathoz, a biztonsági beállítások kezelése által létrehozott szintetikus eszközazonosítót kell használnia. A Microsoft Entra ID-ban a szintetikus eszközazonosító Csatlakoztatás típusa nevű oszlopa üres.

Windows:

A biztonsági beállítások kezelése nem működik, és nem támogatott a következő eszközökön:

  • Nem állandó asztali számítógépek, például Virtuális asztali infrastruktúra (VDI) ügyfelek
  • Azure Virtual Desktop (AVD és korábban Windows Virtual Desktop, WVD)
  • Tartományvezérlők
  • A Windows 32 bites verziói esetén

Fontos

Bizonyos esetekben a kiszolgálói operációs rendszert (2012 R2 vagy 2016) futtató tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender felügyelheti. Annak érdekében, hogy ez ne történjen meg az Ön környezetében, javasoljuk, hogy a tartományvezérlőket ne címkézze meg az "MDE-Management" címkével, és ne az MDE kezelje őket.

Licencelés és előfizetések

A biztonsági beállítások kezeléséhez a következőkre van szüksége:

  • Olyan előfizetés, amely licenceket biztosít a Végponthoz készült Microsoft Defenderhez, például a Microsoft 365-höz, vagy önálló licencet biztosít csak a Végponthoz készült Microsoft Defenderhez. A Végponthoz készült Microsoft Defender-licenceket biztosító előfizetés a Microsoft Intune felügyeleti központ Végpontbiztonsági csomópontjához is hozzáférést biztosít a bérlő számára.

    Megjegyzés:

    Kivétel: Ha a Végponthoz készült Microsoft Defenderhez csak a Szerverekhez készült Microsoft Defenderen keresztül fér hozzá (a Felhőhöz készült Microsoft Defender, korábbi nevén Azure Security Center része), a biztonsági beállítások kezelési funkciója nem érhető el. Legalább egy aktív Végponthoz készült Microsoft Defender (felhasználói) előfizetési licenccel kell rendelkeznie.

    A Végpontbiztonsági csomóponton szabályzatokat vezethet be és telepíthet, melyekkel kezelheti az eszközein a Végponthoz készült Microsoft Defendert és megfigyelheti az eszköz állapotát.

    A beállításokkal kapcsolatos aktuális információkért keresse fel a következőt: A Végponthoz készült Microsoft Defender minimális követelményei.

Szerepköralapú hozzáférés-vezérlés (RBAC)

Az Intune végpontbiztonsági szabályzatait az Intune felügyeleti központból kezelő rendszergazdáknak a megfelelő szintű engedélyek és jogosultságok hozzárendelésével kapcsolatos útmutatásért keresse fel a következőt: Assign-role-based-access-controls-for-endpoint-security-policy.

Architecture

Az alábbi diagramon a Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldás elvi ábrája látható.

A Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldásának elvi ábrája

  1. A Végponthoz készült Microsoft Defenderbe előkészített eszközök.
  2. Az eszközök kommunikálnak az Intune-nal. Ez a kommunikáció lehetővé teszi a Microsoft Intune számára, hogy elossza a bejelentkezéső eszközökre vonatkozó szabályzatokat.
  3. Minden eszközhöz létrejön egy regisztráció a Microsoft Entra ID-ben:
    • Ha egy eszköz, például egy hibrid csatlakozású eszköz korábban teljesen regisztrálva volt, akkor a rendszer a meglévő regisztrációt használja.
    • A nem regisztrált eszközök esetében szintetikus eszközidentitás jön létre a Microsoft Entra ID-ben, hogy az eszköz lekérhesse a szabályzatokat. Ha egy szintetikus regisztrációval rendelkező eszközhöz létrehoznak egy teljes Microsoft Entra-regisztrációt, a szintetikus regisztráció el lesz távolítva, és az eszközök zavartalanul kezelhetők tovább a teljes regisztrációval.
  4. A Végponthoz készült Defender jelenti a szabályzat állapotát a Microsoft Intune-nak.

Fontos

A biztonsági beállítások kezelése szintetikus regisztrációt használ azokhoz az eszközökhöz, amelyeket nem regisztráltak teljesen a Microsoft Entra ID-ben, és elveti a Microsoft Entra hibrid csatlakozási előfeltételét. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező windowsos eszközök elkezdenek belépni a Defenderbe, majd fogadják és feldolgozzák a biztonsági beállítások kezelési szabályzatait.

Ha olyan eszközökre szeretne szűrni, amelyek nem tudtak belépni, mert nem felelnek meg a Microsoft Entra hibrid csatlakoztatási előfeltételeinek, lépjen az Eszközök listára a Microsoft Defender portálon, és szűrjön a regisztráció állapota alapján. Mivel ezek az eszközök nincsenek teljesen regisztrálva, az eszközattribútumoknál a következő látható: MDM = Intune és Illesztés típusa = Üres. Ezek az eszközök mostantól a szintetikus regisztrációval beléphetnek a biztonsági beállítások kezelésébe.

A regisztrációt követően ezek az eszközök megjelennek a Microsoft Defender, a Microsoft Intune és a Microsoft Entra portálok eszközlistáiban. Bár az eszközök nem lesznek teljes mértékben regisztrálva a Microsoft Entra szolgáltatásban, szintetikus regisztrációjuk mindössze egyetlen eszközobjektumnak számít.

Mire számíthat a Microsoft Defender portálon?

A Microsoft Defender XDR Eszközleltárával ellenőrizheti, hogy az eszköz használja-e a Végponthoz készült Defender biztonsági beállítások kezelési funkcióját. Ehhez tekintse át az eszközök állapotát a Felügyelet oszlopban. A Felügyelet információi az eszközök oldalpaneljén vagy az eszközoldalon is elérhetők. A Felügyelet ideális esetben következtesen azt jelzi, hogy az MDE kezeli. 

Azt is ellenőrizheti, hogy sikeres-e egy adott eszköz regisztrációja a biztonsági beállítások kezelésében, ha meggyőződik arról, hogy az eszközoldali panel vagy az eszközoldal sikeresként jeleníti meg az MDE-regisztráció állapotát.

Képernyőkép egy eszköz biztonsági beállításai kezelésének regisztrációs állapotáról a Microsoft Defender portál eszközoldalán.

Ha az MDE-regisztráció állapota nem jeleníti meg a Sikeres értéket, győződjön meg arról, hogy az eszközt frissítették és a biztonsági beállítások kezelésének hatókörében található. (A hatókört a Kényszerítési hatókör lapon konfigurálhatja a biztonsági beállítások kezelése során.)

Mire számíthat a Microsoft Intune felügyeleti központban?

Lépjen a Microsoft Intune felügyeleti központban a Minden eszköz lapra. A biztonsági beállítások kezelésével regisztrált eszközök itt úgy jelennek meg, mint a Defender portálon. A Felügyeleti központban a Felügyelt eszközök mezőben az MDE-nek kell megjelennie.

Képernyőkép az Intune felügyeleti központ eszközoldaláról, amelyen az eszköz Felügyelt állapota elem van kiemelve.

Tipp

2023 júniusában a biztonsági beállítások kezelése szintetikus regisztrációt kezdett használni azokhoz az eszközökhöz, amelyeket nem regisztráltak teljesen a Microsoft Entrában. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező eszközök elkezdenek belépni a Defenderbe, majd fogadják és feldolgozzák a biztonsági beállítások felügyeleti szabályzatait.

Mire számíthat a Microsoft Azure Portalon?

A Microsoft Azure Portal Minden eszköz lapján a megtekintheti az eszköz részleteit.

Képernyőkép a Microsoft Azure Portal Minden eszköz oldaláról egy kiemelt példaeszközzel.

Javasoljuk, hogy hozzon létre egy dinamikus Microsoft Entra-csoportot az eszközök operációs rendszerének típusa alapján, hogy biztosíthassa, hogy a Végponthoz készült Defender biztonsági beállításainak kezelésére regisztrált összes eszköz fogadja a szabályzatokat. Dinamikus csoport esetén a Végponthoz készült Defender által felügyelt eszközök automatikusan hozzá lesznek adva a csoporthoz anélkül, hogy a rendszergazdáknak további feladatokat kellene elvégeznie, például új szabályzatot létrehoznia.

Fontos

2023 júliusa és 2023. szeptember 25-e között a biztonsági beállítások kezelése egy jóváhagyási nyilvános előzetes verziót futtatott, amely új működésmódot vezetett be a könyvelési kódban felügyelt és regisztrált eszközökhöz. 2023. szeptember 25-től a nyilvános előzetes verzió működésmódja általánosan elérhetővé vált, és mostantól a biztonsági beállítások kezelését használó összes bérlőre érvényes.

Ha 2023. szeptember 25. előtt használta a biztonsági beállítások kezelését, és nem csatlakozott a 2023 júliusa és 2023. szeptember 25-e között futó jóváhagyási nyilvános előzetes verzióhoz, tekintse át a rendszercímkékre hagyatkozó Microsoft Entra-csoportokat a biztonsági beállítások kezelésével felügyelt új eszközök azonosításához. Ennek az az oka, hogy 2023. szeptember 25-e előtt a nyilvános előzetes verzióban nem felügyelt eszközök az MDEManaged és az MDEJoined alábbi (rendszer)címkéivel azonosítják a felügyelt eszközöket. Ez a két rendszercímke már nem támogatott, és már nem lesz hozzáadva a regisztrált eszközökhöz.

Használja az alábbi útmutatást dinamikus csoportjaihoz:

  • (Ajánlás) Szabályzatok célzott beállítása esetén az eszközplatformon alapuló dinamikus csoportokat használja a deviceOSType attribútummal (Windows, Windows Server, macOS, Linux), hogy a szabályzat továbbra is elérhető legyen a felügyeleti típusokat módosító eszközökön, például az MDM-regisztráció során.

  • Szükség esetén a kizárólag a Végponthoz készült Defender által felügyelt eszközöket tartalmazó dinamikus csoportok a MicrosoftSensemanagementType attribútummal definiálhatók. Ennek az attribútumnak a használata a Végponthoz készült Defender által felügyelt összes eszközt célozza meg a biztonsági beállítások kezelési funkciójával, és az eszközök csak a Végponthoz készült Defender felügyelete alatt maradnak ebben a csoportban.

Ha a biztonsági beállítások kezelésének konfigurálásakor operációs rendszerek teljes platformflottáit szeretné kezelni a Végponthoz készült Microsoft Defenderrel, a Végponthoz készült Microsoft Defender Kényszerítési hatókör lapján a címkézett eszközök helyett az összes eszközt kiválasztva vegye figyelembe, hogy a szintetikus regisztrációk ugyanúgy beleszámítanak a Microsoft Entra ID-k kvótáiba, mint a teljes regisztrációk.

Melyik megoldást használjam?

A Microsoft Intune számos módszert és szabályzattípust tartalmaz a Végponthoz készült Defender konfigurálásának kezelésére az eszközökön. Az alábbi táblázat azonosítja azokat az Intune-szabályzatokat és -profilokat, amelyek támogatják az üzembe helyezést a Végponthoz készült Defender biztonsági beállításainak kezelése által felügyelt eszközökön, és segíthet azonosítani, hogy ez a megoldás megfelel-e az igényeinek.

Amikor olyan végpontbiztonsági szabályzatot telepít, amely a Végponthoz készült Defender biztonsági beállításainak kezelésében és a Microsoft Intune-ban is támogatott, a szabályzat egyetlen példánya a következő eszközökön dolgozható fel:

  • A biztonsági beállítások kezelésével támogatott eszközök (Microsoft Defender)
  • Az Intune vagy a Configuration Manager által felügyelt eszközök.

A Windows 10 és újabb platform profiljai nem támogatottak a biztonsági beállítások kezelése által felügyelt eszközökön.

Az egyes eszköztípusokon a következő profilok támogatottak:

Linux

Az alábbi szabályzattípusok támogatják a Linux-platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusirtó Microsoft Defender víruskereső Támogatott. Támogatott.
Vírusirtó A Windows Defender víruskereső kizárásai Támogatott. Támogatott.
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott. Támogatott.

macOS

Az alábbi szabályzattípusok támogatják a macOS platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusirtó Microsoft Defender víruskereső Támogatott. Támogatott.
Vírusirtó A Windows Defender víruskereső kizárásai Támogatott. Támogatott.
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott. Támogatott.

Windows 10, Windows 11 és Windows Server

A Microsoft Defender biztonsági beállításai kezeléséhez a windowsos eszközökre vonatkozó szabályzatoknak a Windows 10, a Windows 11 és a Windows Server platformokat kell használniuk. A Windows 10, a Windows 11 és a Windows Server platformok minden profilja alkalmazható az Intune által felügyelt eszközökön és a biztonsági beállítások kezelése által felügyelt eszközökön.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusirtó Defender Frissítési vezérlők Támogatott. Támogatott.
Vírusirtó Microsoft Defender víruskereső Támogatott. Támogatott.
Vírusirtó A Windows Defender víruskereső kizárásai Támogatott. Támogatott.
Vírusirtó Windows biztonsági élmény 1. megjegyzés Támogatott.
Támadásifelület-csökkentés Támadásifelület-csökkentési szabályok Támogatott. Támogatott.
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott. Támogatott.
Tűzfal Tűzfal Támogatott. Támogatott.
Tűzfal Tűzfalszabályok Támogatott. Támogatott.

1 – A Windows biztonsági élmény profilja elérhető a Defender portálon, de csak az Intune által felügyelt eszközökön alkalmazható. A Microsoft Defender biztonsági beállításainak kezelése által felügyelt eszközök esetében nem támogatott.

Minden egyes Intune végpontbiztonsági szabályzat egy különálló beállításcsoport, amelyet olyan biztonsági rendszergazdák használnak, akik a szervezet eszközeinek védelmére összpontosítanak. Az alábbiakban a biztonsági beállítások kezelését támogató szabályzatok leírása látható:

  • A víruskeresési szabályzatok a Végponthoz készült Microsoft Defenderben található biztonsági konfigurációkat kezelik.

    Megjegyzés:

    Bár a végpontok nem igényelnek újraindítást a módosított beállítások vagy új szabályzatok alkalmazásához, tudunk egy problémáról, amely miatt előfordulhat, hogy az AllowOnAccessProtection és a DisableLocalAdminMerge beállításoknál a végfelhasználóknak újra kell indítaniuk az eszközeiket a beállítások frissítéséhez. A probléma megoldása érdekében jelenleg vizsgáljuk a helyzetet.

  • A támadásifelület-csökkentési (ASR) szabályzatok azoknak a helyeknek a minimalizálására összpontosítanak, ahol a szervezetet kiberfenyegetések és támadások veszélyeztetik. A biztonsági beállítások kezelésénél az ASR-szabályok a Windows 10, a Windows 11 és a Windows Server rendszert futtató eszközökre vonatkoznak.

    A különböző platformokra és verziókra vonatkozó beállítások aktuális útmutatásért tekintse meg a Windows Veszélyforrások elleni védelem dokumentációjának ASR-szabályok által támogatott operációs rendszerek című szakaszt.

    Tipp

    A támogatott végpontok naprakészen tartásához fontolja meg a Windows Server 2012 R2 és 2016 modern egységes megoldásának használatát.

    Lásd még:

  • A végponti észlelés és reagálás (EDR) szabályzatai kezelik a Végponthoz készült Defender fejlett támadásészlelést biztosító, közel valós idejű és végrehajtható funkcióit. Az EDR-konfigurációk alapján a biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekinthetnek az adott biztonsági incidens teljes hatókörébe, és elháríthatják a fenyegetéseket.

  • A tűzfalszabályzatok az eszközökön lévő Defender tűzfalra összpontosítanak.

  • A tűzfalszabályok a tűzfalszabályzatok profiltípusai, amelyek a tűzfalak részletes szabályaiból állnak, beleértve az adott portokat, protokollokat, alkalmazásokat és hálózatokat.

Bérlő konfigurálása a Végponthoz készült Defender biztonsági beállítások kezelésének támogatásához

Ha a Microsoft Intune felügyeleti központon keresztül szeretné kezelni a biztonsági beállításokat, engedélyeznie kell a kommunikációt a beállítások között az egyes konzolokon belül.

A következő szakasz ezt a folyamatot ismerteti.

Végponthoz készült Microsoft Defender konfigurálása

A Végponthoz készült Microsoft Defender portálon biztonsági rendszergazdaként:

  1. Jelentkezzen be a Microsoft Defender portálra, és lépjen a Beállítások>Végpontok>Konfigurációkezelés>Kényszerítési hatókör lapra, majd engedélyezze a platformok biztonsági beállításainak kezelését.

    Engedélyezze a Végponthoz készült Microsoft Defender beállításainak kezelését a Microsoft Defender portálon.

    Megjegyzés:

    Ha rendelkezik a Biztonsági beállítások kezelése a Biztonsági központban nevű engedéllyel a Végponthoz készült Microsoft Defender portálon, és egyidejűleg rendelkezik engedéllyel, hogy megtekintse az összes eszközcsoportból származó eszközöket (azaz felhasználói engedélyei között nincs korlátozva a szerepköralapú hozzáférés-vezérlés), Ön is elvégezheti ezt a műveletet.

  2. Először azt javasoljuk, hogy tesztelje a funkciót az egyes platformokon. Ehhez válassza a Platformok lehetőséget a Címkézett eszközökhöz, majd címkézze fel az eszközöket a MDE-Management címkével.

    Fontos

    A Végponthoz készült Microsoft Defender dinamikus címke funkciójának használata jelenleg nem támogatott az eszközök MDE-Managementtel való címkézéséhez a biztonsági beállítások kezelése során. Az ezzel a funkcióval címkézett eszközöket nem lehet sikeresen regisztrálni. A probléma kivizsgálása még folyamatban van.

    Tipp

    A megfelelő eszközcímkék használatával tesztelheti és ellenőrizheti a csomagkibocsátást néhány eszközön.

    A Minden eszköz csoportba való telepítéskor a konfigurált hatókörbe tartozó összes eszközt automatikusan regisztrálva lesz.

    Bár a legtöbb eszköz néhány perc alatt befejezi a regisztrációt és alkalmazza a hozzárendelt szabályzatot, az eszközök regisztrációja néha akár 24 órát is igénybe vehet.

  3. Konfigurálja a szolgáltatást a Felhőhöz készült Microsoft Defender által regisztrált eszközökhöz és a Configuration Manager jogkör beállításaihoz szervezete igényeinek megfelelően:

    A Próbaüzemmód konfigurálása a Végpontbeállítások kezeléséhez a Microsoft Defender portálon.

    Tipp

    Ha biztosítani szeretné, hogy a Végponthoz készült Microsoft Defender portál felhasználói konzisztens engedélyekkel rendelkezzenek a portálokon (ha még nem rendelkeznek ilyennel), kérje meg a rendszergazdát, hogy adja meg nekik a Microsoft Intune Endpoint Security Manager (végpontbiztonság-kezelő) beépített RBAC-szerepkörét.

Az Intune konfigurálása

A Microsoft Intune felügyeleti központban található fiókjának szüksége van az Endpoint Security Manager beépített szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörével megegyező engedélyekre.

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza ki a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget, és állítsa a Végponthoz készült Microsoft Defender engedélyezése a végpontbiztonsági konfigurációi kényszerítéséhez beállítást Be értékre.

    Engedélyezze a Végponthoz készült Microsoft Defender beállításainak kezelését a Microsoft Intune felügyeleti központban.

    Ha ezt a beállítást Be értékre állítja, a Végponthoz készült Microsoft Defender platformhatókörében lévő összes olyan eszközt, amelyet nem a Microsoft Intune kezel, regisztrálhatja a Végponthoz készült Microsoft Defenderben.

Eszközök előkészítése és a Végponthoz készült Microsoft Defender funkcióinak konfigurálása

A Végponthoz készült Microsoft Defender számos lehetőséget támogat az eszközök előkészítésére. Az aktuális útmutatásért tekintse meg a Végponthoz készült Defender dokumentációjának Előkészítés a Végponthoz készült Microsoft Defenderhez című szakaszát.

A Microsoft Configuration Manager párhuzamos használata

Bizonyos környezetekben célszerű lehet a biztonsági beállítások kezelését a Configuration Manager által felügyelt eszközökkel használni. Ha mindkettőt használja, egyetlen csatornán keresztül kell vezérelnie a szabályzatot. Egynél több csatorna használata ütközésekhez és nem kívánt eredményekhez vezethet.

Ennek támogatásához állítsa a Biztonsági beállítások kezelése a Configuration Managerrelkapcsolót Ki értékre. Jelentkezzen be a Microsoft Defender portálra, és lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatókör lapra:

Képernyőkép a Defender portálról, amelyen a Biztonsági beállítások kezelése a Configuration Managerrel kapcsoló Ki értékre van állítva.

Microsoft Entra-csoportok létrehozása

Miután előkészítette az eszközöket a Végponthoz készült Defenderbe, eszközcsoportokat kell létrehoznia a végponthoz készült Microsoft Defender-szabályzat telepítésének támogatásához. A Végponthoz készült Microsoft Defenderben regisztrált, de az Intune vagy a Configuration Manager által nem felügyelt eszközök azonosítása:

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Lépjen az Eszközök>Minden eszköz lapra, majd válassza ki a Felügyelt oszlopot az eszközök nézetének rendezéséhez.

    Azok az eszközök, amelyeket előkészítettek és regisztráltak a Végponthoz készült Microsoft Defenderbe, de nem az Intune felügyeli őket, a Végponthoz készült Microsoft Defender értéket jelenítik meg a Felügyelt oszlopban. Ezek azok az eszközök, amelyek fogadhatják a Végponthoz készült Microsoft Defender biztonsági felügyeletére vonatkozó szabályzatot.

    2023. szeptember 25-től a Végponthoz készült Microsoft Defender biztonsági felügyeletét használó eszközök nem azonosíthatók a következő rendszercímkék használatával:

    • MDEJoined – A könyvelési kód részeként a könyvtárhoz csatlakoztatott eszközökhöz korábban hozzáadott elavult címke.
    • MDEManaged – A biztonsági felügyeleti könyvelési kódot aktívan használó eszközökhöz korábban hozzáadott elavult címke. Ez a címke törlődik az eszközről, ha a Végponthoz készült Defender leállítja a biztonsági konfiguráció kezelését.

    Rendszercímkék használata helyett használhatja a felügyeleti típus attribútumot, és beállíthatja MicrosoftSense-re.

Csoportokat hozhat létre ezekhez az eszközökhöz a Microsoft Entrában vagy a Microsoft Intune Felügyeleti központban. Csoportok létrehozásához akkor használhatja az OS értéket, ha Windows Servert futtató eszközökre vagy a Windows ügyfélverzióját futtató eszközökre telepít szabályzatokat:

  • Windows 10 és Windows 11 – A deviceOSType vagy az OS értéknél Windows látható.
  • Windows Server – A deviceOSType vagy az OS értéknél Windows Server látható.
  • Linux-eszköz – A deviceOSType vagy az OS értéknél Linux látható.

Intune-beli szabályszintaxissal rendelkező dinamikus csoportok mintája

Windows-munkaállomások:

Képernyőkép a Windows-munkaállomásokhoz készült Intune dinamikus csoportról.

Windows-kiszolgálók:

Képernyőkép a Windows-kiszolgálókhoz készült Intune dinamikus csoportról.

Linux-eszközök:

Képernyőkép a Windows Linuxhoz készült Intune dinamikus csoportról.

Fontos

2023 májusában frissült a deviceOSType, amely már megkülönbözteti a Windows-ügyfeleket a Windows-kiszolgálóktól.

A módosítás előtt létrehozott egyéni szkriptek és a Microsoft Entra dinamikus eszközcsoportjai, amelyek csak a Windowsra hivatkozó szabályokat határoznak meg, kizárhatják a Windows-kiszolgálókat, ha a Végponthoz készült Microsoft Defender biztonsági kezelése megoldással együtt használják őket. Például:

  • Ha olyan szabállyal rendelkezik, amely a(z) equals vagy not equals operátort használja a Windows azonosítására, a módosítás érinteni fogja ezt a szabályt. Ennek az az oka, hogy korábban a Windows és a Windows Server is Windowsként jelent meg. Ha továbbra is fel szeretné venni mindkét elemet, frissítenie kell a szabályt, hogy a Windows Serverre is hivatkozzon.
  • Ha olyan szabállyal rendelkezik, amely a(z) contains vagy like operátort használja a Windows meghatározására, a módosítás nem fogja érinteni ezt a szabályt. Ezek az operátorok a Windowst és a Windows Servert is megtalálják.

Tipp

Előfordulhat, hogy a végpontbiztonsági beállítások kezelésével meghatalmazott felhasználók nem tudják bérlőszintű konfigurációkat megvalósítani a Microsoft Intune-ban. Szervezetének szerepköreivel és engedélyeivel kapcsolatos további információkért forduljon Intune rendszergazdájához.

Szabályzat telepítése

A Végponthoz készült Microsoft Defender által felügyelt eszközöket tartalmazó egy vagy több Microsoft Entra-csoport létrehozása után a következő szabályzatokat hozhatja létre és helyezheti üzembe a biztonsági beállítások kezelésére ezekben a csoportokban. Az elérhető szabályzatok és profilok felületenként változnak.

A biztonsági beállítások kezeléséhez támogatott szabályzat- és profilkombinációk listájáért tekintse meg a jelen cikkben található Melyik megoldást használjam című diagramot.

Tipp

Ne telepítsen több szabályzatot, amelyek ugyanazt a beállítást kezelik egy eszközön.

A Microsoft Intune támogatja az egyes végpontbiztonsági szabályzattípusok több példányának telepítésést ugyanarra az eszközre, amely minden egyes szabályzatpéldányt külön fogad. Ezért előfordulhat, hogy egy eszköz eltérő konfigurációkat kap a különböző szabályzatoktól ugyanahhoz a beállításhoz, ami ütközéshez vezet. Egyes beállítások (például a víruskereső kizárásai) egyesülnek és sikeresen alkalmazhatók a kliensszámítógépen.

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Lépjen a Végpontbiztonság elemre, válassza ki a konfigurálni kívánt szabályzattípust, majd válassza ki a Szabályzat létrehozása lehetőséget.

  3. A szabályzathoz válassza ki a telepíteni kívánt felületet és profilt. A biztonsági beállítások kezeléséhez támogatott felületek és profilok listáját az ábra korábbi, Melyik megoldást alkalmazzam? című szakaszában találja.

    Megjegyzés:

    A támogatott profilok azokra az eszközökre vonatkoznak, amelyek mobileszköz-kezelésen (MDM-en) keresztül kommunikálnak a Microsoft Intune-nal, valamint amelyek a Végponthoz készült Microsoft Defender ügyféllel kommunikálnak.

    Győződjön meg arról, hogy áttekinti a célcsoportokat és a csoportokat, amennyiben szükséges.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.

  6. A Konfigurációs beállítások lapon válassza ki az ezzel a profillal kezelni kívánt beállításokat.

    Ha többet szeretne megtudni egy beállításról, bontsa ki annak információs párbeszédpanelét, és a További információk hivatkozásra kattintva tekintse meg az adott beállításhoz tartozó online konfigurációs felhőszolgáltató (CSP) dokumentációját vagy a kapcsolódó részleteket.

    Ha végzett a beállítások konfigurálásával, válassza ki a Következő lehetőséget.

  7. A Hozzárendelések lapon válassza ki azokat a Microsoft Entra-csoportokat, amelyek fogadják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    A folytatáshoz válassza Tovább lehetőséget.

    Tipp

    • A hozzárendelési szűrők nem támogatottak a biztonsági beállítások kezelése által felügyelt eszközökön.
    • Csak az Eszközobjektumok alkalmazhatók a Végponthoz készült Microsoft Defender kezelésére. A felhasználók megcélzása nem támogatott.
    • A konfigurált szabályzatok a Microsoft Intune és a Végponthoz készült Microsoft Defender ügyfeleire is érvényesek lesznek.

  8. Fejezze be a szabályzat létrehozásának folyamatát, majd a Felülvizsgálat + létrehozás lapon válassza ki a Létrehozás lehetőséget. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

  9. Várja meg, amíg a szabályzatot hozzárendeli a rendszer, és megjelenik a szabályzat sikeres alkalmazását jelző üzenet.

  10. A Get-MpPreference parancs eszközzel ellenőrizheti, hogy helyileg alkalmazta-e a beállításokat a rendszer a kliensszámítógépen.

Állapot figyelése

Az ezen a csatornán lévő eszközöket célzó szabályzatok állapota és jelentései a Microsoft Intune felügyeleti központ Végpontbiztonság oldalán található szabályzatcsomópontról érhetők el.

Tekintse meg a szabályzat típusát, majd válassza ki a szabályzatot az állapotának megtekintéséhez. A biztonsági beállítások kezelését támogató felületek, szabályzattípusok és profilok listáját a cikk korábbi, Melyik megoldást alkalmazzam? című szakaszában találja.

Amikor kiválaszt egy szabályzatot, megtekintheti az eszköz bejelentkezési állapotával kapcsolatos információkat, és kiválaszthatja a következő opciók egyikét:

  • Jelentés megtekintése – A szabályzatot fogadó eszközök listájának megtekintése. Kiválaszthat egy eszközt részletes megtekintésre, ahol láthatja a beállításonkénti állapotát. Ezután kiválaszthat egy beállítást, amellyel további információkat jeleníthet meg róla, beleértve azokat a szabályzatokat is, amelyek ugyanazt a beállítást kezelik, ami ütközéshez vezethet.

  • Beállításonkénti állapot – Megtekintheti a szabályzat által kezelt beállításokat, valamint az egyes beállítások sikerességének, hibáinak és ütközéseinek számát.

Gyakori kérdések és megfontolandó szempontok

Eszköz bejelentkezési gyakorisága

Az ezen funkció által felügyelt eszközök 90 percenként bejelentkeznek a Microsoft Intune-ba a szabályzat frissítéséhez.

Az eszköz igény szerinti manuális szinkronizálását a Microsoft Defender portálon végezheti el. Jelentkezzen be a portálra, és lépjen az Eszközök lapra. Válasszon ki egy, a Végponthoz készült Microsoft Defender által felügyelt eszközt, majd válassza ki a Szabályzat szinkronizálása gombot:

A Végponthoz készült Microsoft Defender által kezelt eszközök manuális szinkronizálása.

A Szabályzatszinkronizálás gomb csak azoknál az eszközöknél jelenik meg, amelyeket a Végponthoz készült Microsoft Defender sikeresen kezel.

Illetéktelen módosítás elleni védelemmel ellátott eszközök

Ha egy eszközön be van kapcsolva az Illetéktelen módosítás elleni védelem, az Illetéktelen módosítás elleni védelem letiltása nélkül nem lehet szerkeszteni az Illetéktelen módosítás által védett beállítások értékeit.

Hozzárendelési szűrők és biztonsági beállítások kezelése

A hozzárendelési szűrők nem támogatottak a Végponthoz készült Microsoft Defender-csatornán keresztül kommunikáló eszközökön. Bár a hozzárendelési szűrők hozzáadhatók olyan szabályzatokhoz, amelyek megcélozhatják ezeket az eszközöket, az eszközök mégis figyelmen kívül hagyják a hozzárendelési szűrőket. A hozzárendelési szűrők támogatásához az eszközt regisztrálni kell a Microsoft Intune-ban.

Eszközök törlése és eltávolítása

Az ezt a folyamatot használó eszközöket a következő két módszer egyikével törölheti:

  • A Microsoft Intune felügyeleti központban lépjen az Eszközök>Minden eszköz lapra, válasszon ki egy eszközt, amely az MDEJoined vagy az MDEManaged elemet jeleníti meg a Felügyelet oszlopban, majd válassza ki a Törlés lehetőséget.
  • Az eszközöket a Biztonsági központ Konfigurációkezelés hatóköréből is eltávolíthatja.

Miután bármelyik helyről eltávolított egy eszközt, a módosítás átkerül a másik szolgáltatásba is.

Nem lehet engedélyezni a Végponthoz készült Microsoft Defender biztonsági felügyeletének alkalmazását a Végpontbiztonságban

Bár a kezdeti jogosultságkiosztást egy engedélyekkel rendelkező rendszergazda mindkét szolgáltatásban elvégezheti, a következő szerepkörök elegendőek az egyes különálló szolgáltatások konfigurációinak befejezéséhez:

  • A Microsoft Defender esetében használja a Biztonsági rendszergazdai szerepkört.
  • A Microsoft Intune esetében használja a Végpontbiztonsági kezelői szerepkört.

Microsoft Entrához csatlakozott eszközök

Az Active Directoryhoz csatlakoztatott eszközök a meglévő infrastruktúrájukkal végzik el a Microsoft Entra hibrid csatlakoztatási folyamatát.

Nem támogatott biztonsági beállítások

Az alábbi biztonsági beállítások hamarosan elavulnak. A Végponthoz készült Defender biztonsági beállításainak felügyeleti folyamata nem támogatja a következő beállításokat:

  • Gyorsított telemetriajelentés gyakorisága ( a Végponti észlelés és reagálás oldalon)
  • AllowIntrusionPreventionSystem (a Víruskereső oldalon)
  • Illetéktelen módosítás elleni védelem (a Windows biztonsági élmény oldalon). Ez a beállítás nem elavult, de jelenleg nem támogatott.

A biztonsági beállítások kezelésének használata a tartományvezérlőkön

Mivel Microsoft Entra ID-megbízhatóságra van szükség, a tartományvezérlők jelenleg nem támogatottak. Megvizsgáljuk, hogyan adhatjuk hozzá ezt a támogatást.

Fontos

Bizonyos esetekben az alacsonyabb verziójú kiszolgálói (2012 R2 vagy 2016) operációs rendszerben futtatott tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender felügyelheti. Annak érdekében, hogy ez ne történjen meg az Ön környezetében, javasoljuk, hogy a tartományvezérlőket ne címkézze meg az "MDE-Management" címkével, és ne az MDE kezelje őket.

Nyomtatókiszolgáló telepítése

A biztonsági beállítások kezelése nem támogatja a Nyomtatókiszolgáló telepítéseit a Nyomtatókiszolgáló felület korlátozásai miatt.

PowerShell-korlátozási mód

Engedélyezze a PowerShellt.

A biztonsági beállítások kezelése nem működik olyan eszközökön, amelyeken a PowerShell LanguageMode-ot a ConstrainedLanguage móddal enabled konfigurálták. További információt a PowerShell dokumentáció about_Language_Modes című részében talál.

Biztonság kezelése az MDE-en keresztül, ha korábban külső biztonsági eszközt használt

Ha korábban már volt egy harmadik féltől származó biztonsági eszköze a gépen, és most már MDE-vel kezeli azt, akkor az ritkán, de hatással lehet az MDE biztonsági beállítások kezelésére vonatkozó képességére. Ilyen esetekben hibaelhárítási intézkedésként távolítsa el és telepítse újra az MDE legújabb verzióját a számítógépén.

Következő lépések