Megosztás a következőn keresztül:


Végpontbiztonsági szabályzatok kezelése a Végponthoz készült Microsoft Defenderbe előkészített eszközökön

A Végponthoz készült Microsoft Defender használatakor végpontbiztonsági szabályzatokat telepíthet a Microsoft Intune-ból a Defenderben előkészített eszközökön a Defender biztonsági beállításainak kezeléséhez anélkül, hogy regisztrálja őket az Intune-ban. Ezt a képességet végponthoz készült Defender biztonsági beállítások kezelésének nevezzük.

Ha a biztonsági beállítások kezelésével felügyeli az eszközöket:

  • A Microsoft Intune felügyeleti központban vagy a Microsoft 365 Defender portálon konfigurálhatja a Végponthoz készült Defender végpontbiztonságára vonatkozó szabályzatokat, és hozzárendelheti ezeket a szabályzatokat a Microsoft Entra ID-csoportokhoz. A Defender portál tartalmazza az eszköznézetek, a szabályzatkezelés és a biztonsági beállítások kezeléséhez szükséges jelentések felhasználói felületét.

    Az Intune végpontbiztonsági szabályzatainak a Defender portálról történő kezelésével kapcsolatos útmutatásért lásd: Végpontbiztonsági szabályzatok kezelése a Végponthoz készült Microsoft Defenderben a Defender-tartalomban.

  • Az eszközök az Entra ID eszközobjektumuk alapján kapják meg a hozzájuk rendelt szabályzatokat. A megoldás részeként egy, a Microsoft Entra-ban még nem regisztrált eszköz csatlakozik.

  • Amikor egy eszköz kap egy szabályzatot, az eszközön a Végponthoz készült Defender összetevői kikényszeríti a szabályzatot, és jelentést készít az eszköz állapotáról. Az eszköz állapota a Microsoft Intune felügyeleti központban és a Microsoft Defender portálon érhető el.

Ez a forgatókönyv kiterjeszti a Microsoft Intune Endpoint Security felületét azokra az eszközökre, amelyek nem regisztrálhatók az Intune-ban. Ha egy eszközt az Intune felügyel (regisztrálva az Intune-ban), az eszköz nem dolgozza fel a Végponthoz készült Defender biztonsági beállításainak felügyeletére vonatkozó szabályzatokat. Ehelyett használja az Intune-t a végponthoz készült Defender szabályzatának az eszközökön való üzembe helyezéséhez.

Érintett szolgáltatás:

  • Windows 10 és Windows 11
  • Windows Server (2012 R2 és újabb)
  • Linux
  • macOS

A Microsoft Defender for Endpoint-Attach megoldás fogalmi bemutatása.

Előfeltételek

Tekintse át az alábbi szakaszokat a Végponthoz készült Defender biztonsági beállítások kezelési forgatókönyvének követelményeiért.

Környezet

Ha egy támogatott eszköz regisztrál a Végponthoz készült Microsoft Defenderbe:

  • Az eszköz egy meglévő Microsoft Intune-jelenléti állapotot vizsgál, amely egy mobileszköz-kezelési (MDM-) regisztráció az Intune-ban.
  • Az Intune-jelenléttel nem rendelkező eszközök engedélyezik a biztonsági beállítások kezelési funkcióját.
  • A nem teljesen Regisztrált Microsoft Entra-eszközök esetében a Microsoft Entra ID-ban létrejön egy szintetikus eszközidentitás, amely lehetővé teszi az eszköz számára a szabályzatok lekérését. A teljes mértékben regisztrált eszközök az aktuális regisztrációjukat használják.
  • A Microsoft Intune-ból lekért szabályzatokat a Végponthoz készült Microsoft Defender kényszeríti ki az eszközön.

A biztonsági beállítások kezelése a kormányzati felhőkben még nem támogatott. További információ: Szolgáltatásparitás kereskedelmi funkciókkal a Végponthoz készült Microsoft Defenderben az USA kormányzati ügyfelei számára.

Kapcsolati követelmények

Az eszközöknek hozzáféréssel kell rendelkezniük a következő végponthoz:

  • *.dm.microsoft.com – A helyettesítő karakterek használata támogatja a regisztrációhoz, a bejelentkezéshez és a jelentéskészítéshez használt felhőszolgáltatás-végpontokat, amelyek a szolgáltatás méretezése során változhatnak.

Támogatott platformok

A Végponthoz készült Microsoft Defender biztonsági felügyelet szabályzatai a következő eszközplatformokon támogatottak:

Linux:

A Végponthoz készült Microsoft Defender for Linux-ügynök101.23052.0009-es vagy újabb verziójával a biztonsági beállítások kezelése a következő Linux-disztribúciókat támogatja:

  • Red Hat Enterprise Linux 7.2 vagy újabb
  • CentOS 7.2 vagy újabb
  • Ubuntu 16.04 LTS vagy újabb LTS
  • Debian 9 vagy újabb
  • SUSE Linux Enterprise Server 12 vagy újabb
  • Oracle Linux 7.2 vagy újabb
  • Amazon Linux 2
  • Fedora 33 vagy újabb

A Defender-ügynök verziójának ellenőrzéséhez a Defender portálon lépjen az Eszközök lapra, és az Eszközök Leltárak lapon keresse meg a Linuxhoz készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért lásd: Frissítések telepítése a Végponthoz készült Microsoft Defenderhez Linuxon.

Ismert probléma: A Defender-ügynök 101.23052.0009-es verziójával a Linux-eszközök nem regisztrálhatók, ha hiányoznak a következő fájlútvonal: /sys/class/dmi/id/board_vendor.

macOS:

A végponthoz készült Microsoft Defender for MacOS-ügynök101.23052.0004-es vagy újabb verziójával a biztonsági beállítások kezelése a következő macOS-verziókat támogatja:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

A Defender-ügynök verziójának ellenőrzéséhez a Defender portálon lépjen az Eszközök lapra, és az Eszközök Leltárak lapon keresse meg a macOS-hez készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért lásd: Frissítések telepítése a végponthoz készült Microsoft Defenderhez macOS rendszeren.

Ismert probléma: A Defender-ügynök 101.23052.0004-es verziójával a Microsoft Entra ID-ban regisztrált macOS-eszközök a biztonsági beállítások kezelésével való regisztráció előtt duplikált eszközazonosítót kapnak a Microsoft Entra ID-ban, amely szintetikus regisztráció. Amikor Microsoft Entra-csoportot hoz létre a célzási szabályzathoz, a biztonsági beállítások kezelése által létrehozott szintetikus eszközazonosítót kell használnia. A Microsoft Entra ID-ban a szintetikus eszközazonosító Join Type (Illesztés típusa ) oszlopa üres.

Windows:

Megjegyzés:

A Windows 32 bites verziói nem támogatottak.

A biztonsági beállítások kezelése nem működik, és nem támogatott a következő eszközökön:

  • Nem állandó asztalok, például Virtuális asztali infrastruktúra (VDI) ügyfelek vagy Azure Virtual Desktopok.
  • Tartományvezérlők

Fontos

Bizonyos esetekben a kiszolgálói operációs rendszert (2012 R2 vagy 2016) futtató tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender felügyelheti. Annak érdekében, hogy ez ne történjen meg a környezetben, javasoljuk, hogy a tartományvezérlőket ne címkézze meg az "MDE-Management" címkével, és ne az MDE kezelje.

Licencelés és előfizetések

A biztonsági beállítások kezeléséhez a következőkre van szüksége:

  • Olyan előfizetés, amely a Végponthoz készült Microsoft Defenderhez biztosít licenceket, például a Microsoft 365-höz, vagy önálló licencet csak a Végponthoz készült Microsoft Defenderhez. A Végponthoz készült Microsoft Defender-licenceket biztosító előfizetés szintén hozzáférést biztosít a bérlőnek a Microsoft Intune Felügyeleti központ Végpontbiztonsági csomópontjához.

    Megjegyzés:

    Kivétel: Ha a Végponthoz készült Microsoft Defenderhez csak a Microsoft Defender for Serversen keresztül fér hozzá (a Felhőhöz készült Microsoft Defender, korábbi nevén Azure Security Center része), a biztonsági beállítások kezelési funkciója nem érhető el. Legalább egy Aktív Microsoft Defender for Endpoint-előfizetési licenccel kell rendelkeznie.

    A Végpont biztonsági csomóponton konfigurálhat és telepíthet szabályzatokat az eszközök végponthoz készült Microsoft Defender kezeléséhez és az eszköz állapotának figyeléséhez.

    A beállításokkal kapcsolatos aktuális információkért lásd: A végponthoz készült Microsoft Defender minimális követelményei.

Architecture

Az alábbi ábrán a Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldás fogalmi ábrázolása látható.

A Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldásának elvi ábrája

  1. A Végponthoz készült Microsoft Defenderbe előkészített eszközök.
  2. Az eszközök kommunikálnak az Intune-nal. Ez a kommunikáció lehetővé teszi a Microsoft Intune számára, hogy a bejelentkezéskor az eszközökre vonatkozó szabályzatokat terjesszen.
  3. Minden eszközhöz létrejön egy regisztráció a Microsoft Entra-azonosítóban:
    • Ha egy eszköz korábban teljesen regisztrálva volt, például hibrid csatlakozású eszköz, akkor a rendszer a meglévő regisztrációt használja.
    • A nem regisztrált eszközök esetében szintetikus eszközidentitás jön létre a Microsoft Entra-azonosítóban, hogy az eszköz lekérhesse a szabályzatokat. Ha egy szintetikus regisztrációval rendelkező eszközhöz létrejön egy teljes Microsoft Entra-regisztráció, a szintetikus regisztráció el lesz távolítva, és az eszközök kezelése a teljes regisztrációval zavartalanul folytatódik.
  4. A Végponthoz készült Defender jelenti a szabályzat állapotát a Microsoft Intune-nak.

Fontos

A biztonsági beállítások kezelése szintetikus regisztrációt használ azokhoz az eszközökhöz, amelyek nem regisztrálnak teljesen a Microsoft Entra-azonosítóban, és elvetik a Microsoft Entra hibrid csatlakozási előfeltételét. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező Windows-eszközök megkezdik a Defender előkészítését, majd megkapják és feldolgozzák a biztonsági beállítások kezelési szabályzatait.

Ha olyan eszközökre szeretne szűrni, amelyek nem tudtak regisztrálni, mert nem felelnek meg a Microsoft Entra hibrid csatlakoztatási előfeltételeinek, lépjen az Eszközök listára a Microsoft Defender portálon, és szűrjön a regisztráció állapota alapján. Mivel ezek az eszközök nincsenek teljesen regisztrálva, az eszközattribútumok az MDM = Intune-t és azÜresillesztéstípust = jelenítik meg. Ezek az eszközök mostantól regisztrálva lesznek a biztonsági beállítások kezelésével a szintetikus regisztrációval.

A regisztráció után ezek az eszközök megjelennek a Microsoft Defender, a Microsoft Intune és a Microsoft Entra portálok eszközlistáiban. Bár az eszközök nem lesznek teljes mértékben regisztrálva a Microsoft Entra szolgáltatásban, szintetikus regisztrációjuk egyetlen eszközobjektumnak számít.

Mire számíthat a Microsoft Defender portálon?

A Microsoft Defender XDR eszközleltárával ellenőrizheti, hogy az eszköz használja-e a végponthoz készült Defender biztonsági beállítások kezelési funkcióját. Ehhez tekintse át az eszközök állapotát a Managed by (Felügyelt) oszlopban. A Felügyelt adatok az eszközök oldalpaneljén vagy az eszközoldalon is elérhetők. A managed by konzisztensen azt jelzi, hogy az MDE kezeli. 

Azt is ellenőrizheti, hogy egy eszköz sikeresen regisztrálva van-e a biztonsági beállítások kezelésében, ha meggyőződik arról, hogy az eszközoldali panel vagy az eszközoldal sikeresként jeleníti meg az MDE-regisztráció állapotát.

Képernyőkép egy eszközbiztonsági beállítások kezelésének regisztrációs állapotáról a Microsoft Defender portál eszközoldalán.

Ha az MDE-regisztráció állapota nem jeleníti meg a Sikeres értéket, győződjön meg arról, hogy egy frissített és a biztonsági beállítások kezelésére szolgáló eszközről van szó. (A hatókört a Kényszerítési hatókör lapon konfigurálhatja a biztonsági beállítások kezelése során.)

Mire számíthat a Microsoft Intune Felügyeleti központban?

A Microsoft Intune Felügyeleti központban lépjen a Minden eszköz lapra. A biztonsági beállítások kezelésével regisztrált eszközök itt jelennek meg, mint a Defender portálon. A Felügyeleti központban a Felügyelt eszközök mezőben az MDE-nek kell megjelennie.

Képernyőkép az Intune Felügyeleti központ eszközoldaláról, amelyen az eszköz Felügyelt állapota elem van kiemelve.

Tipp

2023 júniusában a biztonsági beállítások kezelése szintetikus regisztrációt kezdett használni azokhoz az eszközökhöz, amelyek nem regisztrálnak teljesen a Microsoft Entra-ban. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező eszközök elkezdenek regisztrálni a Defenderbe, majd megkapják és feldolgozzák a biztonsági beállítások felügyeleti szabályzatait.

Mire számíthat a Microsoft Azure Portalon?

A Minden eszköz lapon a Microsoft Azure Portalon megtekintheti az eszköz részleteit.

Képernyőkép a Microsoft Azure Portal Minden eszköz oldaláról egy kiemelt példaeszközzel.

Annak biztosítása érdekében, hogy a Végponthoz készült Defender biztonsági beállításainak kezelésére regisztrált összes eszköz megkapja a szabályzatokat, javasoljuk, hogy hozzon létre egy dinamikus Microsoft Entra-csoportot az eszközök operációs rendszerének típusa alapján. Dinamikus csoport esetén a Végponthoz készült Defender által felügyelt eszközök automatikusan hozzá lesznek adva a csoporthoz anélkül, hogy a rendszergazdáknak más feladatokat kellene elvégeznie, például új szabályzatot kellene létrehozniuk.

Fontos

2023 júliusa és 2023. szeptember 25. között a biztonsági beállítások kezelése egy nyilvános előzetes verzióra vonatkozó jóváhagyási előzetes verziót futtatott, amely új viselkedést vezetett be a forgatókönyvben felügyelt és regisztrált eszközök esetében. 2023. szeptember 25-től a nyilvános előzetes verzió viselkedése általánosan elérhetővé vált, és mostantól a biztonsági beállítások kezelését használó összes bérlőre érvényes.

Ha 2023. szeptember 25. előtt használta a biztonsági beállítások kezelését, és nem csatlakozott a 2023 júliusa és 2023. szeptember 25. között futó jóváhagyási nyilvános előzetes verzióhoz, tekintse át a rendszercímkékre támaszkodó Microsoft Entra-csoportokat a biztonsági beállítások kezelésével kezelt új eszközök azonosításához. Ennek az az oka, hogy 2023. szeptember 25-e előtt a nyilvános előzetes verzióban nem felügyelt eszközök az MDEManaged és az MDEJoined alábbi rendszercímkéinek (címkéinek) használatával azonosítják a felügyelt eszközöket. Ez a két rendszercímke már nem támogatott, és már nem lesz hozzáadva a regisztrált eszközökhöz.

Használja az alábbi útmutatást a dinamikus csoportokhoz:

  • (Ajánlott) A szabályzatok megcélzásakor az eszközplatformon alapuló dinamikus csoportokat használja a deviceOSType attribútummal (Windows, Windows Server, macOS, Linux), hogy a házirend továbbra is elérhető legyen a felügyeleti típusokat módosító eszközökhöz, például az MDM-regisztráció során.

  • Ha szükséges, a végponthoz készült Defender által felügyelt eszközöket tartalmazó dinamikus csoportok a MicrosoftSensemanagementType attribútummal definiálhatók. Ennek az attribútumnak a használata a végponthoz készült Defender által felügyelt összes eszközt célozza meg a biztonsági beállítások kezelési funkciójának használatával, és az eszközök csak a Végponthoz készült Defender felügyelete alatt maradnak ebben a csoportban.

Ha a biztonsági beállítások kezelésének konfigurálásakor teljes operációsrendszer-platformflottákat kíván kezelni a Végponthoz készült Microsoft Defender használatával, a Végponthoz készült Microsoft Defender kényszerítési hatókör lapján a címkézett eszközök helyett az összes eszközt kiválasztva vegye figyelembe, hogy a szintetikus regisztrációk a Microsoft Entra-azonosítók kvótáiba ugyanúgy beleszámítanak, mint a teljes regisztrációk.

Melyik megoldást használjam?

A Microsoft Intune számos módszert és szabályzattípust tartalmaz a Végponthoz készült Defender konfigurálásának kezelésére az eszközökön. Az alábbi táblázat azonosítja azokat az Intune-szabályzatokat és -profilokat, amelyek támogatják az üzembe helyezést a Végponthoz készült Defender biztonsági beállításainak kezelése által felügyelt eszközökön, és segíthet azonosítani, hogy ez a megoldás megfelel-e az igényeinek.

Amikor olyan végpontbiztonsági szabályzatot telepít, amely a Végponthoz készült Defender biztonsági beállításainak kezelésére és a Microsoft Intune-ra is támogatott, a szabályzat egyetlen példánya a következő módon dolgozható fel:

  • A biztonsági beállítások kezelésével támogatott eszközök (Microsoft Defender)
  • Az Intune vagy a Configuration Manager által felügyelt eszközök.

A Windows 10 és újabb platform profiljai nem támogatottak a biztonsági beállítások kezelése által kezelt eszközökön.

Az egyes eszköztípusokhoz a következő profilok támogatottak:

Linux

Az alábbi szabályzattípusok támogatják a Linux-platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott

macOS

Az alábbi szabályzattípusok támogatják a macOS platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott

Windows 10, Windows 11 és Windows Server

A Microsoft Defender biztonsági beállítások kezelésének támogatásához a Windows-eszközökre vonatkozó szabályzatoknak a Windows 10, a Windows 11 és a Windows Server platformot kell használniuk. A Windows 10, a Windows 11 és a Windows Server platform minden profilja alkalmazható az Intune által felügyelt eszközökre és a biztonsági beállítások kezelése által kezelt eszközökre.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Defender Update-vezérlők Támogatott Támogatott
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Vírusölő Windows biztonsági élmény 1. megjegyzés Támogatott
Támadási felület csökkentése Támadásifelület-csökkentési szabályok Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott
Tűzfal Tűzfal Támogatott Támogatott
Tűzfal Tűzfalszabályok Támogatott Támogatott

1 – A Windows biztonsági felület profilja elérhető a Defender portálon, de csak az Intune által felügyelt eszközökre vonatkozik. A Microsoft Defender biztonsági beállításainak kezelése által felügyelt eszközök esetében nem támogatott.

A végpontbiztonsági szabályzatok olyan különálló beállítások, amelyeket a szervezet eszközeinek védelmére összpontosító biztonsági rendszergazdáknak szántak. Az alábbiakban a biztonsági beállítások kezelését támogató szabályzatok leírása látható:

  • A víruskereső szabályzatok a Végponthoz készült Microsoft Defenderben található biztonsági konfigurációkat kezelik. Tekintse meg a végpontbiztonságra vonatkozó víruskereső szabályzatot.

    Megjegyzés:

    Bár a végpontok nem igényelnek újraindítást a módosított beállítások vagy új szabályzatok alkalmazásához, tudunk egy problémáról, amely miatt előfordulhat, hogy az AllowOnAccessProtection és a DisableLocalAdminMerge beállítások megkövetelik, hogy a végfelhasználók újraindítsák az eszközeiket a beállítások frissítéséhez. A probléma megoldása érdekében jelenleg vizsgáljuk a problémát.

  • A támadásifelület-csökkentési (ASR) szabályzatok azoknak a helyeknek a minimalizálására összpontosítanak, ahol a szervezet sebezhető a kibertámadásokkal és támadásokkal szemben. A biztonsági beállítások kezelésével az ASR-szabályok a Windows 10, a Windows 11 és a Windows Server rendszert futtató eszközökre vonatkoznak.

    A különböző platformokra és verziókra vonatkozó beállításokra vonatkozó aktuális útmutatásért tekintse meg a Windows Veszélyforrások elleni védelem dokumentációjának ASR-szabályok által támogatott operációs rendszereit ismertető szakaszt.

    Tipp

    A támogatott végpontok naprakészen tartásához fontolja meg a Windows Server 2012 R2 és 2016 modern egységes megoldásának használatát.

    Lásd még:

  • A végpontészlelés és -reagálás (EDR) szabályzatai kezelik a Végponthoz készült Defender képességeit, amelyek fejlett támadásészlelést biztosítanak, amelyek közel valós idejűek és végrehajthatók. Az EDR-konfigurációk alapján a biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekintést nyerhetnek a biztonsági incidensek teljes hatókörébe, és reagálhatnak a fenyegetések elhárítására. Lásd: végpontészlelési és válaszszabályzat a végpontbiztonsághoz.

  • A tűzfalszabályzatok az eszközökön lévő Defender tűzfalra összpontosítanak. Tekintse meg a végpontbiztonság tűzfalszabályzatát .

  • A tűzfalszabályok részletes szabályokat konfigurálnak a tűzfalakhoz, beleértve az adott portokat, protokollokat, alkalmazásokat és hálózatokat. Tekintse meg a végpontbiztonság tűzfalszabályzatát .

A bérlő konfigurálása a Végponthoz készült Defender biztonsági beállítások kezelésének támogatásához

A biztonsági beállítások Microsoft Intune felügyeleti központon keresztüli kezeléséhez engedélyeznie kell a kommunikációt közöttük az egyes konzolokon belül.

A következő szakaszok végigvezetik ezen a folyamaton.

Végponthoz készült Microsoft Defender konfigurálása

A Végponthoz készült Microsoft Defender portálon biztonsági rendszergazdaként:

  1. Jelentkezzen be a Microsoft Defender portálra , lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre, és engedélyezze a platformokat a biztonsági beállítások kezeléséhez.

    Engedélyezze a Végponthoz készült Microsoft Defender beállításainak kezelését a Microsoft Defender portálon.

    Megjegyzés:

    Ha rendelkezik a Biztonsági beállítások kezelése a Security Centerben engedéllyel a Végponthoz készült Microsoft Defender portálon, és egyidejűleg engedélyezve van az eszközök megtekintésére az összes eszközcsoportból (a felhasználói engedélyekre nem vonatkoznak szerepköralapú hozzáférés-vezérlési korlátozások), akkor ezt a műveletet is végrehajthatja.

  2. Először azt javasoljuk, hogy tesztelje a funkciót az egyes platformokon. Ehhez válassza a Platformok lehetőséget a Címkézett eszközökön beállításnál, majd címkézze fel az eszközöket a MDE-Management címkével.

    Fontos

    A Végponthoz készült Microsoft Defender dinamikus címke funkciójának használata az eszközök MDE-Managementtel való címkézéséhez jelenleg nem támogatott a biztonsági beállítások kezelése során. Az ezen a képességen keresztül címkézett eszközök regisztrálása sikertelen lesz. A probléma kivizsgálása még folyamatban van.

    Tipp

    A megfelelő eszközcímkék használatával tesztelheti és ellenőrizheti a bevezetést néhány eszközön.

    A Minden eszköz csoportban való üzembe helyezéskor a konfigurált hatókörbe tartozó összes eszköz automatikusan regisztrálva lesz.

    Bár a legtöbb eszköz néhány percen belül befejezi a regisztrációt és alkalmazza a hozzárendelt szabályzatot, az eszközök regisztrációja néha akár 24 órát is igénybe vehet.

  3. Konfigurálja a szolgáltatást a Felhőhöz készült Microsoft Defender által előkészített eszközökhöz és a Configuration Manager szolgáltatói beállításaihoz a szervezet igényeinek megfelelően:

    A Próbamód konfigurálása a Végpontbeállítások kezeléséhez a Microsoft Defender portálon.

    Tipp

    Annak biztosítása érdekében, hogy a Végponthoz készült Microsoft Defender portál felhasználói konzisztens engedélyekkel rendelkezzenek a portálokon, ha még nincsenek megadva, kérje meg a rendszergazdát, hogy adja meg nekik a Microsoft Intune Endpoint Security Managerbeépített RBAC-szerepkörét.

Az Intune konfigurálása

A Microsoft Intune Felügyeleti központban a fióknak az Endpoint Security Manager beépített szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörével megegyező engedélyekre van szüksége.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget, és állítsa a Végponthoz készült Microsoft Defender engedélyezése a végpont biztonsági konfigurációinak kényszerítéséhezbeállítást Be értékre.

    Engedélyezze a Végponthoz készült Microsoft Defender beállításainak kezelését a Microsoft Intune Felügyeleti központban.

    Ha ezt a beállítást Be értékre állítja, a Végponthoz készült Microsoft Defender platformhatókörében lévő összes olyan eszköz, amelyet nem a Microsoft Intune kezel, regisztrálhat a Végponthoz készült Microsoft Defenderre.

Eszközök előkészítése a Végponthoz készült Microsoft Defenderbe

A Végponthoz készült Microsoft Defender számos lehetőséget támogat az eszközök előkészítésére. Az aktuális útmutatásért tekintse meg a Végponthoz készült Defender dokumentációjának Bevezetés a Végponthoz készült Microsoft Defenderbe című szakaszát.

Együttélés a Microsoft Configuration Managerrel

Bizonyos környezetekben célszerű lehet a biztonsági beállítások kezelését a Configuration Manager által felügyelt eszközökkel használni. Ha mindkettőt használja, egyetlen csatornán keresztül kell szabályoznia a szabályzatot. Egynél több csatorna használata lehetőséget teremt az ütközésekre és a nem kívánt eredményekre.

Ennek támogatásához konfigurálja a Biztonsági beállítások kezelése a Configuration Managerrelkapcsolót Ki állásba. Jelentkezzen be a Microsoft Defender portálra , és lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre:

Képernyőkép a Defender portálról, amelyen a Biztonsági beállítások kezelése a Configuration Managerrel kapcsoló Ki állásba van állítva.

Microsoft Entra-csoportok létrehozása

Miután előkészítette az eszközöket a Végponthoz készült Defenderbe, eszközcsoportokat kell létrehoznia a végponthoz készült Microsoft Defender házirendjének üzembe helyezésének támogatásához. A Végponthoz készült Microsoft Defenderben regisztrált, de az Intune vagy a Configuration Manager által nem felügyelt eszközök azonosítása:

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen az Eszközök>Minden eszköz elemre, majd válassza a Felügyelt oszlopot az eszközök nézetének rendezéséhez.

    Azok az eszközök, amelyek regisztrálva vannak a Végponthoz készült Microsoft Defenderbe, de nem az Intune felügyeli, a Végponthoz készült Microsoft Defendert jelenítik meg a Managed by (Felügyelt) oszlopban. Ezek azok az eszközök, amelyek megkaphatják a végponthoz készült Microsoft Defender biztonsági felügyeletére vonatkozó szabályzatot.

    2023. szeptember 25-től a végponthoz készült Microsoft Defender biztonsági felügyeletét használó eszközök nem azonosíthatók a következő rendszercímkék használatával:

    • MDEJoined – A forgatókönyv részeként a címtárhoz csatlakoztatott eszközökhöz korábban hozzáadott elavult címke.
    • MDEManaged – A biztonsági felügyeleti forgatókönyvet aktívan használó eszközökhöz korábban hozzáadott elavult címke. Ez a címke törlődik az eszközről, ha a Végponthoz készült Defender leállítja a biztonsági konfiguráció kezelését.

    Rendszercímkék használata helyett használhatja a felügyeleti típus attribútumot, és konfigurálhatja a MicrosoftSense-hez.

Csoportokat hozhat létre ezekhez az eszközökhöz a Microsoft Entra-ban vagy a Microsoft Intune Felügyeleti központban. Csoportok létrehozásakor az eszköz operációs rendszerének értékét akkor használhatja, ha házirendeket telepít a Windows Servert futtató eszközökre vagy a Windows ügyfélverzióját futtató eszközökre:

  • Windows 10 és Windows 11 – A deviceOSType vagy az operációs rendszer Windowsként jelenik meg
  • Windows Server – A deviceOSType vagy az operációs rendszer Windows Serverként jelenik meg
  • Linux-eszköz – A deviceOSType vagy az operációs rendszer Linuxként jelenik meg

Minta intune-beli dinamikus csoportok szabályszintaxissal

Windows-munkaállomások:

Képernyőkép a Windows-munkaállomásokhoz készült Intune dinamikus csoportról.

Windows-kiszolgálók:

Képernyőkép a Windows Serverekhez készült Intune dinamikus csoportról.

Linux-eszközök:

Képernyőkép a Linuxhoz készült Intune dinamikus csoportról.

Fontos

2023 májusában frissült a deviceOSType, amely megkülönbözteti a Windows-ügyfeleket és a Windows-kiszolgálókat.

A módosítás előtt létrehozott egyéni szkriptek és a Microsoft Entra dinamikus eszközcsoportjai , amelyek csak a Windowsra hivatkozó szabályokat határoznak meg, kizárhatják a Windows-kiszolgálókat a Végponthoz készült Microsoft Defender biztonsági kezelése megoldással együtt használva. Például:

  • Ha olyan szabálya van, amely a vagy not equals operátort használja a equalsWindows azonosítására, ez a módosítás hatással lesz a szabályra. Ennek az az oka, hogy korábban a Windows és a Windows Server is Windowsként jelent meg. Ha mindkét szabályt továbbra is fel szeretné venni, frissítenie kell a szabályt, hogy a Windows Serverre is hivatkozzon.
  • Ha olyan szabálya van, amely a Vagy like operátort használja a containsWindows megadásához, akkor a módosítás nem fogja érinteni a szabályt. Ezek az operátorok a Windowst és a Windows Servert is megtalálják.

Tipp

Előfordulhat, hogy a végpontbiztonsági beállítások kezelésére delegált felhasználók nem tudják bérlőszintű konfigurációkat implementálni a Microsoft Intune-ban. A szervezeti szerepkörökkel és engedélyekkel kapcsolatos további információkért forduljon az Intune rendszergazdájához.

Szabályzat üzembe helyezése

A Végponthoz készült Microsoft Defender által felügyelt eszközöket tartalmazó egy vagy több Microsoft Entra-csoport létrehozása után a következő házirendeket hozhatja létre és helyezheti üzembe a biztonsági beállítások kezelésére ezekben a csoportokban. Az elérhető szabályzatok és profilok platformonként változnak.

A biztonsági beállítások kezeléséhez támogatott szabályzat- és profilkombinációk listáját a cikk korábbi, Melyik megoldást kell használnom? című szakaszában találja.

Tipp

Ne helyezzen üzembe több szabályzatot, amelyek ugyanazt a beállítást kezelik egy eszközön.

A Microsoft Intune támogatja az egyes végpontbiztonsági szabályzattípusok több példányának ugyanarra az eszközre történő üzembe helyezését, és az eszköz minden egyes szabályzatpéldányt külön fogad. Ezért előfordulhat, hogy egy eszköz eltérő konfigurációkat kap ugyanahhoz a beállításhoz a különböző szabályzatoktól, ami ütközést eredményez. Egyes beállítások (például a víruskereső kizárásai) egyesülnek az ügyfélen, és sikeresen alkalmazhatók.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen a Végpontbiztonság elemre, válassza ki a konfigurálni kívánt szabályzat típusát, majd válassza a Szabályzat létrehozása lehetőséget.

  3. A szabályzathoz válassza ki az üzembe helyezni kívánt platformot és profilt. A biztonsági beállítások kezelését támogató platformok és profilok listáját a cikk korábbi, Melyik megoldást érdemes használni? című szakaszában találja.

    Megjegyzés:

    A támogatott profilok azokra az eszközökre vonatkoznak, amelyek mobileszköz-kezelésen (MDM) keresztül kommunikálnak a Microsoft Intune-nal, valamint azokra az eszközökre, amelyek a Végponthoz készült Microsoft Defender ügyféllel kommunikálnak.

    Győződjön meg arról, hogy szükség szerint áttekinti a célcsoportokat és a csoportokat.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.

  6. A Konfigurációs beállítások lapon válassza ki az ezzel a profillal kezelni kívánt beállításokat.

    Ha többet szeretne megtudni egy beállításról, bontsa ki az információs párbeszédpanelt, és a További információ hivatkozásra kattintva tekintse meg az adott beállításhoz tartozó online konfigurációs szolgáltató (CSP) dokumentációját vagy a kapcsolódó részleteket.

    Ha végzett a beállítások konfigurálásával, válassza a Tovább gombot.

  7. A Hozzárendelések lapon válassza ki azokat a Microsoft Entra-csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    A folytatáshoz válassza Tovább lehetőséget.

    Tipp

    • A hozzárendelési szűrők nem támogatottak a biztonsági beállítások kezelése által kezelt eszközökön.
    • Csak az eszközobjektumok alkalmazhatók a Végponthoz készült Microsoft Defender kezelésére. A felhasználók megcélzása nem támogatott.
    • A konfigurált szabályzatok a Microsoft Intune-ra és a Végponthoz készült Microsoft Defender-ügyfelekre is érvényesek lesznek.
  8. Fejezze be a szabályzat létrehozásának folyamatát, majd a Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

  9. Várja meg a szabályzat hozzárendelését, és tekintse meg a sikeresség jelzését a szabályzat alkalmazásáról.

  10. A Get-MpPreference parancs segédprogrammal ellenőrizheti, hogy a beállítások helyileg lettek-e alkalmazva az ügyfélen.

Állapot figyelése

Az ezen a csatornán lévő eszközöket célzó szabályzatok állapota és jelentései a Microsoft Intune Felügyeleti központ Végpontbiztonság területén található szabályzatcsomópontról érhetők el.

Nyissa meg a szabályzat típusát, majd válassza ki a szabályzatot az állapotának megtekintéséhez. A biztonsági beállítások kezelését támogató platformok, szabályzattípusok és profilok listáját a cikk korábbi, Melyik megoldást használjam? című szakaszában tekintheti meg.

Amikor kiválaszt egy szabályzatot, megtekintheti az eszköz bejelentkezési állapotával kapcsolatos információkat, és kiválaszthatja a következőt:

  • Jelentés megtekintése – A szabályzatot kapott eszközök listájának megtekintése. Kiválaszthat egy eszközt a részletezéshez, és megtekintheti annak beállításonkénti állapotát. Ezután kiválaszthat egy beállítást, hogy további információkat jelenítsen meg róla, beleértve azokat a házirendeket is, amelyek ugyanazt a beállítást kezelik, ami ütközés forrása lehet.

  • Beállításonkénti állapot – Megtekintheti a szabályzat által kezelt beállításokat, valamint az egyes beállítások sikerességének, hibáinak és ütközéseinek számát.

Gyakori kérdések és szempontok

Eszközbeadás gyakorisága

A képesség által felügyelt eszközök 90 percenként bejelentkeznek a Microsoft Intune-ba a szabályzat frissítéséhez.

Az eszköz igény szerinti manuális szinkronizálását a Microsoft Defender portálon végezheti el. Jelentkezzen be a portálra, és lépjen az Eszközök területre. Válasszon ki egy, a Végponthoz készült Microsoft Defender által felügyelt eszközt, majd válassza a Szabályzat szinkronizálása gombot:

A Végponthoz készült Microsoft Defender által kezelt eszközök manuális szinkronizálása.

A Szabályzatszinkronizálás gomb csak azokhoz az eszközökhöz jelenik meg, amelyeket a Végponthoz készült Microsoft Defender sikeresen kezel.

Illetéktelen módosítás elleni védelemmel ellátott eszközök

Ha egy eszközön be van kapcsolva az Illetéktelen módosítás elleni védelem, az Illetéktelen módosítás elleni védelem letiltása nélkül nem lehet szerkeszteni az Illetéktelen módosítás által védett beállítások értékeit.

Hozzárendelési szűrők és biztonsági beállítások kezelése

A hozzárendelési szűrők nem támogatottak a Végponthoz készült Microsoft Defender csatornán keresztül kommunikáló eszközök esetében. Bár a hozzárendelési szűrők hozzáadhatók olyan szabályzatokhoz, amelyek megcélzhatják ezeket az eszközöket, az eszközök figyelmen kívül hagyják a hozzárendelési szűrőket. A hozzárendelési szűrők támogatásához az eszközt regisztrálni kell a Microsoft Intune-ban.

Eszközök törlése és eltávolítása

A folyamatot használó eszközöket a következő két módszer egyikével törölheti:

  • A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, válasszon ki egy eszközt, amely az MDEJoined vagy az MDEManaged elemet jeleníti meg a Managed by (Felügyelt) oszlopban, majd válassza a Delete (Törlés) lehetőséget.
  • Az eszközöket a Security Center Konfigurációkezelés hatóköréből is eltávolíthatja.

Miután eltávolított egy eszközt bármelyik helyről, a módosítás átkerül a másik szolgáltatásba.

Nem lehet engedélyezni a Végponthoz készült Microsoft Defender biztonsági felügyeletének számítási feladatát az Endpoint Securityben

Bár a kezdeti kiépítési folyamatokat egy rendszergazda mindkét szolgáltatásban végezheti el engedélyekkel, a következő szerepkörök elegendőek az egyes különálló szolgáltatások konfigurációinak befejezéséhez:

  • A Microsoft Defender esetében használja a Biztonsági rendszergazda szerepkört.
  • A Microsoft Intune esetében használja az Endpoint Security Manager szerepkört.

Microsoft Entra-hoz csatlakoztatott eszközök

Az Active Directoryhoz csatlakoztatott eszközök a meglévő infrastruktúrájukkal végzik el a Microsoft Entra hibrid csatlakoztatási folyamatát.

Nem támogatott biztonsági beállítások

Az alábbi biztonsági beállítások elavulnak. A Végponthoz készült Defender biztonsági beállításainak felügyeleti folyamata nem támogatja ezeket a beállításokat:

  • Gyorsított telemetriajelentés gyakorisága ( a Végpontészlelés és -válasz területen)
  • AllowIntrusionPreventionSystem (a víruskereső alatt)
  • Illetéktelen módosítás elleni védelem (a Windows biztonsági felületén). Ez a beállítás nem áll függőben, de jelenleg nem támogatott.

A biztonsági beállítások kezelésének használata a tartományvezérlőkön

Mivel Microsoft Entra-azonosító megbízhatóságra van szükség, a tartományvezérlők jelenleg nem támogatottak. Megvizsgáljuk, hogyan adhatja hozzá ezt a támogatást.

Fontos

Bizonyos esetekben a kiszolgálói operációs rendszert (2012 R2 vagy 2016) futtató tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender felügyelheti. Annak érdekében, hogy ez ne történjen meg a környezetben, javasoljuk, hogy a tartományvezérlőket ne címkézze meg az "MDE-Management" címkével, és ne az MDE kezelje.

Server Core telepítése

A biztonsági beállítások kezelése nem támogatja a server core telepítéseket a Kiszolgálómag platform korlátozásai miatt.

PowerShell-korlátozási mód

A PowerShellt engedélyezni kell.

A biztonsági beállítások kezelése nem működik olyan eszközökön, amelyeken a PowerShell LanguageMode a ConstrainedLanguage móddal enabledvan konfigurálva. További információ: about_Language_Modes a PowerShell dokumentációjában.

Biztonság kezelése az MDE-en keresztül, ha korábban külső biztonsági eszközt használt

Ha korábban már volt egy harmadik féltől származó biztonsági eszköz a gépen, és most már MDE-vel kezeli azt, akkor az MDE ritka esetekben hatással lehet a biztonsági beállítások kezelésére vonatkozó képességére. Ilyen esetekben hibaelhárítási intézkedésként távolítsa el és telepítse újra az MDE legújabb verzióját a számítógépen.

Következő lépések