Végpontbiztonsági szabályzatok kezelése a Végponthoz készült Microsoft Defender előkészített eszközökön

  • Cikk

A Végponthoz készült Microsoft Defender használatakor végpontbiztonsági szabályzatokat telepíthet Microsoft Intune a Defender biztonsági beállításainak kezeléséhez a Defenderbe előkészített eszközökön anélkül, hogy regisztrálja ezeket az eszközöket a Intune. Ezt a képességet végponthoz készült Defender biztonsági beállítások kezelésének nevezzük.

Ha a biztonsági beállítások kezelésével felügyeli az eszközöket:

  • A Microsoft Intune Felügyeleti központban vagy a Microsoft 365 Defender portálon konfigurálhatja a végpontbiztonságra vonatkozó szabályzatokat a Végponthoz készült Defenderhez, és hozzárendelheti ezeket a szabályzatokat Microsoft Entra ID csoportokhoz. A Defender portál tartalmazza az eszköznézetek, a szabályzatkezelés és a biztonsági beállítások kezeléséhez szükséges jelentések felhasználói felületét.

    A Intune végpontbiztonsági szabályzatainak a Defender portálon való kezelésével kapcsolatos útmutatásért lásd: Végpontbiztonsági szabályzatok kezelése Végponthoz készült Microsoft Defender a Defender-tartalomban.

  • Az eszközök az Entra ID eszközobjektumuk alapján kapják meg a hozzájuk rendelt szabályzatokat. A megoldás részeként csatlakozik egy olyan eszközhöz, amely még nincs regisztrálva Microsoft Entra.

  • Amikor egy eszköz kap egy szabályzatot, az eszközön a Végponthoz készült Defender összetevői kikényszeríti a szabályzatot, és jelentést készít az eszköz állapotáról. Az eszköz állapota az Microsoft Intune Felügyeleti központban és a Microsoft Defender portálon érhető el.

Ez a forgatókönyv kiterjeszti a Microsoft Intune Endpoint Security felületét azokra az eszközökre, amelyek nem képesek regisztrálni az Intune. Ha egy eszközt Intune kezel (Intune regisztrálva), az eszköz nem dolgozza fel a Végponthoz készült Defender biztonsági beállításainak kezelésére vonatkozó szabályzatokat. Ehelyett a Intune használatával telepítse a végponthoz készült Defender szabályzatát az eszközeire.

Érintett szolgáltatás:

  • Windows 10 és Windows 11
  • Windows Server (2012 R2 és újabb)
  • Linux
  • macOS

A Endpoint-Attach megoldás Microsoft Defender fogalmi bemutatása.

Előfeltételek

Tekintse át az alábbi szakaszokat a Végponthoz készült Defender biztonsági beállítások kezelési forgatókönyvének követelményeiért.

Környezet

Ha egy támogatott eszköz regisztrál a Végponthoz készült Microsoft Defender:

  • Az eszköz felmérése egy meglévő Microsoft Intune jelenléti állapotot keres, amely egy mobileszköz-kezelési (MDM-) regisztráció a Intune.
  • Az Intune jelenléttel nem rendelkező eszközök engedélyezik a biztonsági beállítások kezelési funkcióját.
  • A nem teljesen Microsoft Entra regisztrált eszközök esetében a rendszer létrehoz egy szintetikus eszközidentitást Microsoft Entra ID, amely lehetővé teszi az eszköz számára a szabályzatok lekérését. A teljes mértékben regisztrált eszközök az aktuális regisztrációjukat használják.
  • A Microsoft Intune által lekért szabályzatokat a Végponthoz készült Microsoft Defender kényszeríti ki az eszközön.

A biztonsági beállítások kezelése a kormányzati felhőkben még nem támogatott. További információ: Szolgáltatásparitás kereskedelmi funkciókkalaz USA kormányzati ügyfeleinek Végponthoz készült Microsoft Defender.

Kapcsolati követelmények

Az eszközöknek hozzáféréssel kell rendelkezniük a következő végponthoz:

  • *.dm.microsoft.com – A helyettesítő karakterek használata támogatja a regisztrációhoz, a bejelentkezéshez és a jelentéskészítéshez használt felhőszolgáltatás-végpontokat, amelyek a szolgáltatás méretezése során változhatnak.

Támogatott platformok

A Végponthoz készült Microsoft Defender biztonsági felügyelet szabályzatai a következő eszközplatformokon támogatottak:

Linux:

A Végponthoz készült Microsoft Defender Linux-ügynök101.23052.0009-es vagy újabb verziójával a biztonsági beállítások kezelése a következő Linux-disztribúciókat támogatja:

  • Red Hat Enterprise Linux 7.2 vagy újabb
  • CentOS 7.2 vagy újabb
  • Ubuntu 16.04 LTS vagy újabb LTS
  • Debian 9 vagy újabb
  • SUSE Linux Enterprise Server 12 vagy újabb
  • Oracle Linux 7.2 vagy újabb
  • Amazon Linux 2
  • Fedora 33 vagy újabb

A Defender-ügynök verziójának ellenőrzéséhez a Defender portálon lépjen az Eszközök lapra, és az Eszközök Leltárak lapon keresse meg a Linuxhoz készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért lásd: Frissítések telepítése Végponthoz készült Microsoft Defender Linuxon.

Ismert probléma: A Defender-ügynök 101.23052.0009-es verziójával a Linux-eszközök nem regisztrálhatók, ha hiányoznak a következő fájlútvonal: /sys/class/dmi/id/board_vendor.

macOS:

A Végponthoz készült Microsoft Defender macOS-ügynök101.23052.0004-es vagy újabb verziójával a biztonsági beállítások kezelése a következő macOS-verziókat támogatja:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

A Defender-ügynök verziójának ellenőrzéséhez a Defender portálon lépjen az Eszközök lapra, és az Eszközök Leltárak lapon keresse meg a macOS-hez készült Defendert. Az ügynök verziójának frissítésével kapcsolatos útmutatásért lásd: Frissítések telepítése Végponthoz készült Microsoft Defender macOS rendszeren.

Ismert probléma: A Defender-ügynök 101.23052.0004-es verziójával az Microsoft Entra ID-ben regisztrált macOS-eszközök a biztonsági beállítások kezelésével való regisztráció előtt duplikált eszközazonosítót kapnak Microsoft Entra ID, ami szintetikus regisztráció. Amikor létrehoz egy Microsoft Entra csoportot a célzási szabályzathoz, a biztonsági beállítások kezelése által létrehozott szintetikus eszközazonosítót kell használnia. A Microsoft Entra ID a szintetikus eszközazonosító Illesztés típusa oszlopa üres.

Windows:

A biztonsági beállítások kezelése nem működik, és nem támogatott a következő eszközökön:

  • Nem állandó asztalok, például Virtuális asztali infrastruktúra (VDI) ügyfelek vagy Azure Virtual Desktopok.
  • Tartományvezérlők

Fontos

Bizonyos esetekben a kiszolgálói operációs rendszert (2012 R2 vagy 2016) futtató tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender kezelheti. Annak érdekében, hogy ez ne történjen meg a környezetben, javasoljuk, hogy a tartományvezérlőket ne címkézze "MDE-Management" vagy MDE.

Licencelés és előfizetések

A biztonsági beállítások kezeléséhez a következőkre van szüksége:

  • Olyan előfizetés, amely Végponthoz készült Microsoft Defender, például a Microsoft 365 vagy önálló licencet biztosít csak Végponthoz készült Microsoft Defender. A Végponthoz készült Microsoft Defender licenceket biztosító előfizetés szintén hozzáférést biztosít a bérlőnek a Microsoft Intune Felügyeleti központ Végpont biztonsági csomópontjához.

    Megjegyzés:

    Kivétel: Ha csak a kiszolgálók Microsoft Defender keresztül fér hozzá Végponthoz készült Microsoft Defender (a felhőhöz készült Microsoft Defender része, korábban Azure Security Center), a biztonsági beállítások kezelési funkciója nem érhető el. Legalább egy aktív Végponthoz készült Microsoft Defender (felhasználó) előfizetési licenccel kell rendelkeznie.

    A Végpont biztonsági csomóponton konfigurálhat és telepíthet szabályzatokat az eszközök Végponthoz készült Microsoft Defender kezeléséhez és az eszköz állapotának figyeléséhez.

    A beállításokkal kapcsolatos aktuális információkért lásd: A Végponthoz készült Microsoft Defender minimális követelményei.

Architecture

Az alábbi ábrán a Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldás fogalmi ábrázolása látható.

A Végponthoz készült Microsoft Defender biztonsági konfigurációkezelési megoldásának elvi diagramja

  1. A Végponthoz készült Microsoft Defender előkészített eszközök.
  2. Az eszközök kommunikálnak Intune. Ez a kommunikáció lehetővé teszi Microsoft Intune számára, hogy a bejelentkezéskor az eszközökre vonatkozó szabályzatokat terjessze.
  3. A Microsoft Entra ID minden eszközéhez létrejön egy regisztráció:
    • Ha egy eszköz korábban teljesen regisztrálva volt, például hibrid csatlakozású eszköz, akkor a rendszer a meglévő regisztrációt használja.
    • A még nem regisztrált eszközök esetében a rendszer létrehoz egy szintetikus eszközidentitást a Microsoft Entra ID, hogy az eszköz lekérhesse a szabályzatokat. Ha egy szintetikus regisztrációval rendelkező eszközhöz létrejön egy teljes Microsoft Entra regisztráció, a szintetikus regisztráció el lesz távolítva, és az eszközfelügyelet a teljes regisztrációval megszakítás nélkül folytatódik.
  4. A Végponthoz készült Defender jelentést készít a szabályzat állapotáról Microsoft Intune.

Fontos

A biztonsági beállítások kezelése szintetikus regisztrációt használ azokhoz az eszközökhöz, amelyek nem regisztrálnak teljesen az Microsoft Entra ID, és elveti a Microsoft Entra hibrid csatlakoztatási előfeltételt. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező Windows-eszközök megkezdik a Defender előkészítését, majd megkapják és feldolgozzák a biztonsági beállítások kezelési szabályzatait.

Ha olyan eszközökre szeretne szűrni, amelyek nem tudtak regisztrálni, mert nem felelnek meg a hibrid csatlakozás Microsoft Entra előfeltételeinek, lépjen az Eszközök listára a Microsoft Defender portálon, és szűrjön a regisztráció állapota alapján. Mivel ezek az eszközök nincsenek teljesen regisztrálva, az eszközattribútumaik MDM = Intune és Üres illesztéstípust = mutatnak. Ezek az eszközök mostantól regisztrálva lesznek a biztonsági beállítások kezelésével a szintetikus regisztrációval.

A regisztráció után ezek az eszközök megjelennek a Microsoft Defender, Microsoft Intune és Microsoft Entra portálok eszközlistáiban. Bár az eszközök nem lesznek teljesen regisztrálva a Microsoft Entra, a szintetikus regisztrációjuk egyetlen eszközobjektumnak számít.

Mire számíthat a Microsoft Defender portálon?

Az Microsoft Defender XDR Eszközleltár segítségével ellenőrizheti, hogy az eszköz használja-e a végponthoz készült Defender biztonsági beállítások kezelési funkciójának használatát. Ehhez tekintse át az eszközök állapotát a Managed by (Felügyelt) oszlopban. A Felügyelt adatok az eszközök oldalpaneljén vagy az eszközoldalon is elérhetők. A felügyeltnek konzisztensen azt kell jeleznie, hogy az MDE kezeli. 

Azt is ellenőrizheti, hogy egy eszköz sikeresen regisztrált-e a biztonsági beállítások kezelésére, ha megerősíti, hogy az eszközoldali panel vagy az eszközoldal sikeresként jeleníti meg MDE Regisztráció állapotát.

Képernyőkép egy eszközbiztonsági beállítások kezelésének regisztrációs állapotáról az Microsoft Defender portál eszközoldalán.

Ha a MDE-regisztráció állapota nem sikeres, győződjön meg arról, hogy egy frissített és a biztonsági beállítások kezelésére szolgáló eszközt keres. (A hatókört a Kényszerítési hatókör lapon konfigurálhatja a biztonsági beállítások kezelése során.)

Mire számíthat a Microsoft Intune Felügyeleti központban?

A Microsoft Intune Felügyeleti központban lépjen a Minden eszköz lapra. A biztonsági beállítások kezelésével regisztrált eszközök itt jelennek meg, mint a Defender portálon. A Felügyeleti központban a Felügyelt eszközök mezőnek MDE kell megjelennie.

Képernyőkép a felügyeleti központ Intune eszközoldaláról, amelyen az eszköz Felügyelt állapota elem van kiemelve.

Tipp

2023 júniusában a biztonsági beállítások kezelése szintetikus regisztrációt kezdett használni azokhoz az eszközökhöz, amelyek nem regisztrálnak teljesen az Microsoft Entra. Ezzel a módosítással a korábban regisztrációs hibákkal rendelkező eszközök elkezdenek regisztrálni a Defenderbe, majd megkapják és feldolgozzák a biztonsági beállítások felügyeleti szabályzatait.

Mire számíthat a Microsoft Azure Portal

A Minden eszköz lapon a Microsoft Azure Portal megtekintheti az eszköz részleteit.

Képernyőkép a Microsoft Azure Portal Minden eszköz oldaláról egy kiemelt példaeszközzel.

Annak biztosítása érdekében, hogy a Végponthoz készült Defender biztonsági beállításainak kezelésére regisztrált összes eszköz megkapja a szabályzatokat, javasoljuk, hogy hozzon létre egy dinamikus Microsoft Entra csoportot az eszközök operációs rendszerének típusa alapján. Dinamikus csoport esetén a Végponthoz készült Defender által felügyelt eszközök automatikusan hozzá lesznek adva a csoporthoz anélkül, hogy a rendszergazdáknak más feladatokat kellene elvégeznie, például új szabályzatot kellene létrehozniuk.

Fontos

2023 júliusa és 2023. szeptember 25. között a biztonsági beállítások kezelése egy nyilvános előzetes verzióra vonatkozó jóváhagyási előzetes verziót futtatott, amely új viselkedést vezetett be a forgatókönyvben felügyelt és regisztrált eszközök esetében. 2023. szeptember 25-től a nyilvános előzetes verzió viselkedése általánosan elérhetővé vált, és mostantól a biztonsági beállítások kezelését használó összes bérlőre érvényes.

Ha 2023. szeptember 25. előtt használta a biztonsági beállítások kezelését, és nem csatlakozott a 2023 júliusa és 2023. szeptember 25. között futó jóváhagyási nyilvános előzetes verzióhoz, tekintse át a rendszercímkékre támaszkodó Microsoft Entra csoportokat, hogy olyan módosításokat hajtson végre, amelyek azonosítják a biztonsági beállítások kezelésével kezelt új eszközöket. Ennek az az oka, hogy 2023. szeptember 25-e előtt a nyilvános előzetes verzióban nem felügyelt eszközök az MDEManaged és az MDEJoined alábbi rendszercímkéinek (címkéinek) használatával azonosítják a felügyelt eszközöket. Ez a két rendszercímke már nem támogatott, és már nem lesz hozzáadva a regisztrált eszközökhöz.

Használja az alábbi útmutatást a dinamikus csoportokhoz:

  • (Ajánlott) A szabályzatok megcélzásakor az eszközplatformon alapuló dinamikus csoportokat használja a deviceOSType attribútummal (Windows, Windows Server, macOS, Linux), hogy a házirend továbbra is elérhető legyen a felügyeleti típusokat módosító eszközökhöz, például az MDM-regisztráció során.

  • Ha szükséges, a végponthoz készült Defender által felügyelt eszközöket tartalmazó dinamikus csoportok a MicrosoftSensemanagementType attribútummal definiálhatók. Ennek az attribútumnak a használata a végponthoz készült Defender által felügyelt összes eszközt célozza meg a biztonsági beállítások kezelési funkciójának használatával, és az eszközök csak a Végponthoz készült Defender felügyelete alatt maradnak ebben a csoportban.

A biztonsági beállítások kezelésének konfigurálásakor, ha teljes operációsrendszer-platformflottákat szeretne kezelni Végponthoz készült Microsoft Defender használatával, a címkézett eszközök helyett az összes eszközt a Végponthoz készült Microsoft Defender Kényszerítési hatókör lap, amelyből megtudhatja, hogy a szintetikus regisztrációk beleszámítanak Microsoft Entra ID kvótákba, ugyanúgy, mint a teljes regisztrációk.

Melyik megoldást használjam?

Microsoft Intune számos módszert és szabályzattípust tartalmaz a Végponthoz készült Defender konfigurációjának kezelésére az eszközökön. Az alábbi táblázat azokat a Intune szabályzatokat és profilokat ismerteti, amelyek támogatják a Végponthoz készült Defender biztonsági beállításainak felügyeletével felügyelt eszközökön történő üzembe helyezést, és segíthet azonosítani, hogy ez a megoldás megfelel-e az igényeinek.

Amikor olyan végpontbiztonsági szabályzatot telepít, amely a Végponthoz készült Defender biztonsági beállításainak kezelése és Microsoft Intune is támogatott, a szabályzat egyetlen példányát az alábbiak dolgozhatják fel:

  • A biztonsági beállítások kezelésével támogatott eszközök (Microsoft Defender)
  • Intune vagy Configuration Manager által felügyelt eszközök.

A Windows 10 és az újabb platform profiljai nem támogatottak a biztonsági beállítások kezelése által kezelt eszközökön.

Az egyes eszköztípusokhoz a következő profilok támogatottak:

Linux

Az alábbi szabályzattípusok támogatják a Linux-platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott

macOS

Az alábbi szabályzattípusok támogatják a macOS platformot.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott

Windows 10, Windows 11 és Windows Server

A Microsoft Defender biztonsági beállítások kezelésének támogatásához a Windows-eszközök házirendjeinek a Windows 10, a Windows 11 és a Windows Server platformot kell használniuk. A Windows 10, a Windows 11 és a Windows Server platform minden profilja vonatkozhat az Intune által felügyelt eszközökre és a biztonsági beállítások kezelése által felügyelt eszközökre.

Végpontbiztonsági szabályzat Profil Végponthoz készült Defender biztonsági beállításainak kezelése Microsoft Intune
Vírusölő Defender Update-vezérlők Támogatott Támogatott
Vírusölő Microsoft Defender víruskereső Támogatott Támogatott
Vírusölő A Windows Defender víruskereső kizárásai Támogatott Támogatott
Vírusölő Windows biztonság élmény 1. megjegyzés Támogatott
Támadási felület csökkentése Támadásifelület-csökkentési szabályok Támogatott Támogatott
Végponti észlelés és reagálás Végponti észlelés és reagálás Támogatott Támogatott
Tűzfal Tűzfal Támogatott Támogatott
Tűzfal Tűzfalszabályok Támogatott Támogatott

1 – A Windows biztonság Experience profil elérhető a Defender portálon, de csak a Intune által felügyelt eszközökre vonatkozik. A Microsoft Defender biztonsági beállítások kezelése által felügyelt eszközök esetében nem támogatott.

A végpontbiztonsági szabályzatok olyan különálló beállítások, amelyeket a szervezet eszközeinek védelmére összpontosító biztonsági rendszergazdáknak szántak. Az alábbiakban a biztonsági beállítások kezelését támogató szabályzatok leírása látható:

  • A víruskereső házirendek az Végponthoz készült Microsoft Defender található biztonsági konfigurációkat kezelik. Tekintse meg a végpontbiztonságra vonatkozó víruskereső szabályzatot.

    Megjegyzés:

    Bár a végpontok nem igényelnek újraindítást a módosított beállítások vagy új szabályzatok alkalmazásához, tudunk egy problémáról, amely miatt előfordulhat, hogy az AllowOnAccessProtection és a DisableLocalAdminMerge beállítások megkövetelik, hogy a végfelhasználók újraindítsák az eszközeiket a beállítások frissítéséhez. A probléma megoldása érdekében jelenleg vizsgáljuk a problémát.

  • A támadásifelület-csökkentési (ASR) szabályzatok azoknak a helyeknek a minimalizálására összpontosítanak, ahol a szervezet sebezhető a kibertámadásokkal és támadásokkal szemben. A biztonsági beállítások kezelésével az ASR-szabályok a Windows 10, Windows 11 és Windows Server rendszert futtató eszközökre vonatkoznak.

    A különböző platformokra és verziókra vonatkozó beállításokra vonatkozó aktuális útmutatásért tekintse meg a Windows Veszélyforrások elleni védelem dokumentációjának ASR-szabályok által támogatott operációs rendszereit ismertető szakaszt.

    Tipp

    A támogatott végpontok naprakészen tartásához fontolja meg az R2 és 2016 Windows Server 2012 modern egységesített megoldásának használatát.

    Lásd még:

  • A végpontészlelés és -reagálás (EDR) szabályzatai kezelik a Végponthoz készült Defender képességeit, amelyek fejlett támadásészlelést biztosítanak, amelyek közel valós idejűek és végrehajthatók. Az EDR-konfigurációk alapján a biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekintést nyerhetnek a biztonsági incidensek teljes hatókörébe, és reagálhatnak a fenyegetések elhárítására. Lásd: végpontészlelési és válaszszabályzat a végpontbiztonsághoz.

  • A tűzfalszabályzatok az eszközökön lévő Defender tűzfalra összpontosítanak. Tekintse meg a végpontbiztonság tűzfalszabályzatát .

  • A tűzfalszabályok részletes szabályokat konfigurálnak a tűzfalakhoz, beleértve az adott portokat, protokollokat, alkalmazásokat és hálózatokat. Tekintse meg a végpontbiztonság tűzfalszabályzatát .

A bérlő konfigurálása a Végponthoz készült Defender biztonsági beállítások kezelésének támogatásához

A biztonsági beállítások Microsoft Intune felügyeleti központon keresztüli felügyeletének támogatásához engedélyeznie kell a kommunikációt közöttük az egyes konzolokon belül.

A következő szakaszok végigvezetik ezen a folyamaton.

Végponthoz készült Microsoft Defender konfigurálása

Biztonsági rendszergazdaként Végponthoz készült Microsoft Defender portálon:

  1. Jelentkezzen be Microsoft Defender portálra, lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre, és engedélyezze a platformokat a biztonsági beállítások kezeléséhez.

    Engedélyezze Végponthoz készült Microsoft Defender beállítások kezelését a Microsoft Defender portálon.

    Megjegyzés:

    Ha a Biztonsági beállítások kezelése a Security Centerben engedéllyel rendelkezik a Végponthoz készült Microsoft Defender portálon, és egyidejűleg engedélyezve van az eszközök megtekintésére az összes eszközcsoportból (a felhasználói engedélyekre nincs szerepköralapú hozzáférés-vezérlési korlátozás), akkor ezt a műveletet is végrehajthatja.

  2. Először azt javasoljuk, hogy tesztelje a funkciót az egyes platformokon. Ehhez válassza a Platformok lehetőséget a Címkézett eszközökön beállításnál, majd címkézze fel az eszközöket a MDE-Management címkével.

    Fontos

    A biztonsági beállítások kezelése jelenleg nem támogatja Végponthoz készült Microsoft Defender dinamikus címke funkciójának használatát az eszközök MDE-Managementtel való címkézéséhez. Az ezen a képességen keresztül címkézett eszközök regisztrálása sikertelen lesz. A probléma kivizsgálása még folyamatban van.

    Tipp

    A megfelelő eszközcímkék használatával tesztelheti és ellenőrizheti a bevezetést néhány eszközön. A Minden eszköz lehetőség kiválasztásakor a konfigurált hatókörbe tartozó összes eszköz automatikusan regisztrálva lesz.

  3. Konfigurálja a funkciót a felhőbe előkészített eszközök Microsoft Defender és Configuration Manager szolgáltatói beállításokhoz a szervezet igényeinek megfelelően:

    Konfigurálja a próbamódot a végpontbeállítások kezeléséhez a Microsoft Defender portálon.

    Tipp

    Annak biztosítása érdekében, hogy a Végponthoz készült Microsoft Defender portál felhasználói konzisztens engedélyekkel rendelkezzenek a különböző portálokon, ha még nincsenek megadva, kérje meg a rendszergazdát, hogy adja meg nekik a Microsoft Intune Endpoint Security Managerbeépített RBAC-szerepkörét.

Intune konfigurálása

A Microsoft Intune Felügyeleti központban a fióknak az Endpoint Security Manager beépített szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörével megegyező engedélyekre van szüksége.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender, majd a Végpontbiztonsági konfigurációk kényszerítése Végponthoz készült Microsoft Defender engedélyezése beállítást Be értékre.

    Engedélyezze Végponthoz készült Microsoft Defender beállítások kezelését a Microsoft Intune Felügyeleti központban.

    Ha ezt a beállítást Be értékre állítja, a platform hatókörében lévő összes olyan Végponthoz készült Microsoft Defender, amelyet nem Microsoft Intune felügyel, jogosult Végponthoz készült Microsoft Defender.

Eszközök előkészítése a Végponthoz készült Microsoft Defender

Végponthoz készült Microsoft Defender számos lehetőséget támogat az eszközök előkészítésére. Az aktuális útmutatásért tekintse meg a Végponthoz készült Defender dokumentációjának Előkészítés Végponthoz készült Microsoft Defender című szakaszát.

Együttélés Microsoft Configuration Manager

Egyes környezetekben érdemes lehet a biztonsági beállítások kezelését használni a Configuration Manager által felügyelt eszközökkel. Ha mindkettőt használja, egyetlen csatornán keresztül kell szabályoznia a szabályzatot. Egynél több csatorna használata lehetőséget teremt az ütközésekre és a nem kívánt eredményekre.

Ennek támogatásához konfigurálja a Biztonsági beállítások kezelése Configuration Managerkapcsolót Ki állásba. Jelentkezzen be a Microsoft Defender portálra, és lépjen a Beállítások>Végpontok>Konfigurációkezelés>kényszerítési hatóköre területre:

Képernyőkép a Defender portálról, amelyen a Biztonsági beállítások kezelése Configuration Manager kapcsoló kikapcsolva értékre van állítva.

Microsoft Entra-csoportok létrehozása

Miután előkészítette az eszközöket a Végponthoz készült Defenderbe, eszközcsoportokat kell létrehoznia a szabályzatok Végponthoz készült Microsoft Defender való üzembe helyezésének támogatásához. Az Végponthoz készült Microsoft Defender regisztrált, de Intune vagy Configuration Manager által nem felügyelt eszközök azonosítása:

  1. Jelentkezzen be Microsoft Intune Felügyeleti központba.

  2. Lépjen az Eszközök>Minden eszköz elemre, majd válassza a Felügyelt oszlopot az eszközök nézetének rendezéséhez. Azok az eszközök, amelyek Végponthoz készült Microsoft Defender, de nem a Intune kezelik, Végponthoz készült Microsoft Defender jelennek meg a Managed by (Felügyelt) oszlopban. Ezek az eszközök megkaphatják a biztonsági beállítások kezelésére vonatkozó szabályzatokat.

    Azok az eszközök, amelyek regisztrálva vannak a Végponthoz készült Microsoft Defender, de nincsenek felügyelve, Intune Végponthoz készült Microsoft Defender jelennek meg a Managed by oszlopban. Ezek azok az eszközök, amelyek megkaphatják az Végponthoz készült Microsoft Defender biztonsági felügyeletére vonatkozó szabályzatot.

    2023. szeptember 25-től az Végponthoz készült Microsoft Defender biztonsági felügyeletét használó eszközök már nem azonosíthatók az alábbi rendszercímkék használatával:

    • MDEJoined – A forgatókönyv részeként a címtárhoz csatlakoztatott eszközökhöz korábban hozzáadott elavult címke.
    • MDEManaged – A biztonsági felügyeleti forgatókönyvet aktívan használó eszközökhöz korábban hozzáadott elavult címke. Ez a címke törlődik az eszközről, ha a Végponthoz készült Defender leállítja a biztonsági konfiguráció kezelését.

    Rendszercímkék használata helyett használhatja a felügyeleti típus attribútumot, és konfigurálhatja a MicrosoftSense-hez.

Ezekhez az eszközökhöz csoportokat hozhat létre Microsoft Entra vagy a Microsoft Intune Felügyeleti központban. Csoportok létrehozásakor az eszköz operációs rendszerének értékét akkor használhatja, ha házirendeket telepít a Windows Servert futtató eszközökre vagy a Windows ügyfélverzióját futtató eszközökre:

  • Windows 10 és Windows 11 – A deviceOSType vagy az operációs rendszer Windowsként jelenik meg
  • Windows Server – A deviceOSType vagy az operációs rendszer Windows Serverként jelenik meg
  • Linux-eszköz – A deviceOSType vagy az operációs rendszer Linuxként jelenik meg

Példa a szabályszintaxissal rendelkező dinamikus csoportok Intune

Windows-munkaállomások:

Képernyőkép a windowsos munkaállomások Intune dinamikus csoportról.

Windows-kiszolgálók:

Képernyőkép a Windows Serverekhez készült Intune dinamikus csoportról.

Linux-eszközök:

Képernyőkép a windowsos Linux Intune dinamikus csoportról.

Fontos

2023 májusában frissült a deviceOSType, amely megkülönbözteti a Windows-ügyfeleket és a Windows-kiszolgálókat.

A módosítás előtt létrehozott egyéni szkriptek és Microsoft Entra dinamikus eszközcsoportok, amelyek csak a Windowsra hivatkozó szabályokat határozzák meg, kizárhatják a Windows-kiszolgálókat, ha az Végponthoz készült Microsoft Defender megoldás biztonsági felügyeletével együtt használják. Például:

  • Ha olyan szabálya van, amely a vagy not equals operátort használja a equalsWindows azonosítására, ez a módosítás hatással lesz a szabályra. Ennek az az oka, hogy korábban a Windows és a Windows Server is Windowsként jelent meg. Ha mindkét szabályt továbbra is fel szeretné venni, frissítenie kell a szabályt, hogy a Windows Serverre is hivatkozzon.
  • Ha olyan szabálya van, amely a Vagy like operátort használja a containsWindows megadásához, akkor a módosítás nem fogja érinteni a szabályt. Ezek az operátorok a Windowst és a Windows Servert is megtalálják.

Tipp

Előfordulhat, hogy a végpontbiztonsági beállítások kezelésére delegált felhasználók nem tudják implementálni a bérlőszintű konfigurációkat a Microsoft Intune. A szervezet szerepköreivel és engedélyeivel kapcsolatos további információkért forduljon a Intune rendszergazdájához.

Szabályzat üzembe helyezése

A Végponthoz készült Microsoft Defender által felügyelt eszközöket tartalmazó egy vagy több Microsoft Entra csoport létrehozása után a következő házirendeket hozhatja létre és helyezheti üzembe a biztonsági beállítások kezeléséhez ezekben a csoportokban. Az elérhető szabályzatok és profilok platformonként változnak.

A biztonsági beállítások kezeléséhez támogatott szabályzat- és profilkombinációk listáját a cikk korábbi, Melyik megoldást kell használnom? című szakaszában találja.

Tipp

Ne helyezzen üzembe több szabályzatot, amelyek ugyanazt a beállítást kezelik egy eszközön.

Microsoft Intune támogatja az egyes végpontbiztonsági szabályzattípusok több példányának ugyanarra az eszközre történő üzembe helyezését, és az eszköz minden egyes szabályzatpéldányt külön fogad. Ezért előfordulhat, hogy egy eszköz eltérő konfigurációkat kap ugyanahhoz a beállításhoz a különböző szabályzatoktól, ami ütközést eredményez. Egyes beállítások (például a víruskereső kizárásai) egyesülnek az ügyfélen, és sikeresen alkalmazhatók.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen a Végpontbiztonság elemre, válassza ki a konfigurálni kívánt szabályzat típusát, majd válassza a Szabályzat létrehozása lehetőséget.

  3. A szabályzathoz válassza ki az üzembe helyezni kívánt platformot és profilt. A biztonsági beállítások kezelését támogató platformok és profilok listáját a cikk korábbi, Melyik megoldást érdemes használni? című szakaszában találja.

    Megjegyzés:

    A támogatott profilok azokra az eszközökre vonatkoznak, amelyek a Mobile Eszközkezelés (MDM) segítségével kommunikálnak a Microsoft Intune és az Végponthoz készült Microsoft Defender-ügyfél használatával kommunikáló eszközökkel.

    Győződjön meg arról, hogy szükség szerint áttekinti a célcsoportokat és a csoportokat.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok lapon adja meg a profil nevét és leírását, majd válassza a Következő elemet.

  6. A Konfigurációs beállítások lapon válassza ki az ezzel a profillal kezelni kívánt beállításokat.

    Ha többet szeretne megtudni egy beállításról, bontsa ki az információs párbeszédpanelt, és a További információ hivatkozásra kattintva tekintse meg az adott beállításhoz tartozó online konfigurációs szolgáltató (CSP) dokumentációját vagy a kapcsolódó részleteket.

    Ha végzett a beállítások konfigurálásával, válassza a Tovább gombot.

  7. A Hozzárendelések lapon válassza ki azokat a Microsoft Entra csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    A folytatáshoz válassza Tovább lehetőséget.

    Tipp

    • A hozzárendelési szűrők nem támogatottak a biztonsági beállítások kezelése által kezelt eszközökön.
    • Csak eszközobjektumok alkalmazhatók Végponthoz készült Microsoft Defender felügyeletére. A felhasználók megcélzása nem támogatott.
    • A konfigurált szabályzatok Microsoft Intune és Végponthoz készült Microsoft Defender ügyfelekre is érvényesek lesznek.

  8. Fejezze be a szabályzat létrehozásának folyamatát, majd a Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

  9. Várja meg a szabályzat hozzárendelését, és tekintse meg a sikeresség jelzését a szabályzat alkalmazásáról.

  10. A Get-MpPreference parancs segédprogrammal ellenőrizheti, hogy a beállítások helyileg lettek-e alkalmazva az ügyfélen.

Állapot figyelése

Az ezen a csatornán lévő eszközöket megcélzott szabályzatok állapota és jelentései a felügyeleti központ Végpont Microsoft Intune biztonság területén található szabályzatcsomópontról érhetők el.

Nyissa meg a szabályzat típusát, majd válassza ki a szabályzatot az állapotának megtekintéséhez. A biztonsági beállítások kezelését támogató platformok, szabályzattípusok és profilok listáját a cikk korábbi, Melyik megoldást használjam? című szakaszában tekintheti meg.

Amikor kiválaszt egy szabályzatot, megtekintheti az eszköz bejelentkezési állapotával kapcsolatos információkat, és kiválaszthatja a következőt:

  • Jelentés megtekintése – A szabályzatot kapott eszközök listájának megtekintése. Kiválaszthat egy eszközt a részletezéshez, és megtekintheti annak beállításonkénti állapotát. Ezután kiválaszthat egy beállítást, hogy további információkat jelenítsen meg róla, beleértve azokat a házirendeket is, amelyek ugyanazt a beállítást kezelik, ami ütközés forrása lehet.

  • Beállításonkénti állapot – Megtekintheti a szabályzat által kezelt beállításokat, valamint az egyes beállítások sikerességének, hibáinak és ütközéseinek számát.

Gyakori kérdések és szempontok

Eszközbeadás gyakorisága

A képesség által felügyelt eszközök 90 percenként Microsoft Intune a szabályzat frissítéséhez.

Az Microsoft Defender portálról manuálisan is szinkronizálhatja az eszközöket igény szerint. Jelentkezzen be a portálra, és lépjen az Eszközök területre. Válasszon ki egy Végponthoz készült Microsoft Defender által felügyelt eszközt, majd válassza a Szabályzatszinkronizálás gombot:

A Végponthoz készült Microsoft Defender által kezelt eszközök manuális szinkronizálása.

A Szabályzatszinkronizálás gomb csak az Végponthoz készült Microsoft Defender által sikeresen kezelt eszközökön jelenik meg.

Illetéktelen módosítás elleni védelemmel ellátott eszközök

Ha egy eszközön be van kapcsolva az Illetéktelen módosítás elleni védelem, az Illetéktelen módosítás elleni védelem letiltása nélkül nem lehet szerkeszteni az Illetéktelen módosítás által védett beállítások értékeit.

Hozzárendelési szűrők és biztonsági beállítások kezelése

A hozzárendelési szűrők nem támogatottak a Végponthoz készült Microsoft Defender csatornán keresztül kommunikáló eszközök esetében. Bár a hozzárendelési szűrők hozzáadhatók olyan szabályzatokhoz, amelyek megcélzhatják ezeket az eszközöket, az eszközök figyelmen kívül hagyják a hozzárendelési szűrőket. A hozzárendelési szűrők támogatásához az eszközt regisztrálni kell a Microsoft Intune.

Eszközök törlése és eltávolítása

A folyamatot használó eszközöket a következő két módszer egyikével törölheti:

  • A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, válasszon ki egy eszközt, amely az MDEJoined vagy az MDEManaged elemet jeleníti meg a Managed by (Felügyelt) oszlopban, majd válassza a Delete (Törlés) lehetőséget.
  • Az eszközöket a Security Center Konfigurációkezelés hatóköréből is eltávolíthatja.

Miután eltávolított egy eszközt bármelyik helyről, a módosítás átkerül a másik szolgáltatásba.

Nem lehet engedélyezni a biztonsági felügyeletet Végponthoz készült Microsoft Defender számítási feladathoz az Endpoint Securityben

A kezdeti kiépítési folyamatok többségét általában mindkét szolgáltatás rendszergazdája (például globális rendszergazda) végzi el. Bizonyos esetekben a szerepköralapú felügyelet a rendszergazdák engedélyeinek testreszabására szolgál. Jelenleg előfordulhat, hogy az Endpoint Security Manager szerepkörrel delegált személyek nem rendelkeznek a funkció engedélyezéséhez szükséges engedélyekkel.

Microsoft Entra csatlakoztatott eszközök

Az Active Directoryhoz csatlakoztatott eszközök a meglévő infrastruktúrájukkal végzik el a Microsoft Entra hibrid csatlakoztatási folyamatot.

Nem támogatott biztonsági beállítások

Az alábbi biztonsági beállítások elavulnak. A Végponthoz készült Defender biztonsági beállításainak felügyeleti folyamata nem támogatja ezeket a beállításokat:

  • Gyorsított telemetriajelentés gyakorisága ( a Végpontészlelés és -válasz területen)
  • AllowIntrusionPreventionSystem (a víruskereső alatt)
  • Illetéktelen módosítás elleni védelem (az Windows biztonság Experience területen). Ez a beállítás nem áll függőben, de jelenleg nem támogatott.

A biztonsági beállítások kezelésének használata a tartományvezérlőkön

Mivel Microsoft Entra ID megbízhatóságra van szükség, a tartományvezérlők jelenleg nem támogatottak. Megvizsgáljuk, hogyan adhatja hozzá ezt a támogatást.

Fontos

Bizonyos esetekben a kiszolgálói operációs rendszert (2012 R2 vagy 2016) futtató tartományvezérlőket véletlenül a Végponthoz készült Microsoft Defender kezelheti. Annak érdekében, hogy ez ne történjen meg a környezetben, javasoljuk, hogy a tartományvezérlőket ne címkézze "MDE-Management" vagy MDE.

Server Core telepítése

A biztonsági beállítások kezelése nem támogatja a server core telepítéseket a Kiszolgálómag platform korlátozásai miatt.

PowerShell-korlátozási mód

Engedélyezni kell a PowerShellt.

A biztonsági beállítások kezelése nem működik olyan eszközökön, amelyeken a PowerShell LanguageMode a ConstrainedLanguage móddal enabledvan konfigurálva. További információ: about_Language_Modes a PowerShell dokumentációjában.

Biztonság kezelése MDE, ha korábban külső biztonsági eszközt használt

Ha korábban már volt egy harmadik féltől származó biztonsági eszköz a gépen, és most már MDE kezeli azt, akkor előfordulhat, hogy néhány esetben hatással van MDE biztonsági beállításainak kezelésére. Ilyen esetekben hibaelhárítási intézkedésként távolítsa el és telepítse újra a MDE legújabb verzióját a számítógépen.

Következő lépések