Criteri antivirus per la sicurezza degli endpoint in Intune

I criteri antivirus per la sicurezza degli endpoint di Intune possono aiutare gli amministratori della sicurezza a concentrarsi sulla gestione del gruppo discreto di impostazioni antivirus per i dispositivi gestiti.

I criteri antivirus includono diversi profili. Ogni profilo contiene solo le impostazioni rilevanti per Microsoft Defender per endpoint antivirus per i dispositivi macOS e Windows o per l'esperienza utente nell'app Sicurezza di Windows nei dispositivi Windows.

I criteri antivirus sono disponibili in Gestisci nel nodo Sicurezza degli endpoint dell'interfaccia di amministrazione Microsoft Intune.

I criteri antivirus includono le stesse impostazioni dei modelli di endpoint protection o di restrizione del dispositivo trovati per i criteri di configurazione del dispositivo . Tali tipi di criteri includono tuttavia categorie aggiuntive di impostazioni non correlate all'antivirus. Le impostazioni aggiuntive possono complicare l'attività di configurazione del carico di lavoro antivirus. Inoltre, le impostazioni disponibili nei criteri antivirus per macOS non sono disponibili tramite gli altri tipi di criteri. Il profilo antivirus macOS sostituisce la necessità di configurare le impostazioni usando .plist i file.

Si applica a:

• Linux
• macOS
• Windows 10/11

Prerequisiti per i criteri antivirus

Supporto per i dispositivi registrati Microsoft Intune (MDM):

• macOS

  • Qualsiasi versione supportata di macOS
  • Per consentire a Intune di gestire le impostazioni antivirus in un dispositivo, Microsoft Defender per endpoint deve essere installato in tale dispositivo. Vedere. Microsoft Defender per endpoint per macOS (nella documentazione Microsoft Defender per endpoint)

• Windows 10, Windows 11 e Windows Server

  • Non sono necessari prerequisiti aggiuntivi.

Supporto per i client Configuration Manager:

Questo scenario è disponibile in anteprima e richiede l'uso di Configuration Manager current branch versione 2006 o successiva.

• Configurare il collegamento del tenant per i dispositivi Configuration Manager: per supportare la distribuzione dei criteri antivirus nei dispositivi gestiti da Configuration Manager, configurare il collegamento tenant. La configurazione del collegamento tenant include la configurazione Configuration Manager raccolte di dispositivi per supportare i criteri di sicurezza degli endpoint da Intune.

  Per configurare il collegamento tenant, vedere Configurare il collegamento tenant per supportare i criteri di endpoint protection.

Supporto per i client Microsoft Defender per endpoint:

• Gestione delle impostazioni di sicurezza di Defender per endpoint: per configurare il supporto per la distribuzione dei criteri antivirus nei dispositivi gestiti da Defender, ma non registrati con Intune, vedere Gestire Microsoft Defender per endpoint nei dispositivi con Microsoft Intune. Questo articolo include anche le informazioni sulle piattaforme supportate da questa funzionalità e i criteri e i profili supportati da tali piattaforme.

Prerequisiti per la protezione da manomissioni

La protezione dalle manomissioni è disponibile per i dispositivi che eseguono uno dei sistemi operativi seguenti:

• macOS (qualsiasi versione supportata)
• Windows 10 e 11 (incluse le sessioni multisessione enterprise)
• Windows Server versione 1803 o successiva, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 e Windows Server 2016 (usando la soluzione moderna e unificata)

Nota

È necessario eseguire l'onboarding dei dispositivi in Microsoft Defender per endpoint (P1 o P2). I dispositivi potrebbero riscontrare un ritardo nell'abilitazione della protezione da manomissioni se in precedenza non è stato eseguito l'onboarding in Microsoft Defender per endpoint. La protezione dalle manomissioni verrà abilitata al primo check-in del dispositivo dopo l'onboarding in Microsoft Defender per endpoint.

È possibile usare Intune per gestire la protezione da manomissioni nei dispositivi Windows come parte del profilo dell'esperienza di Sicurezza di Windows (un criterio antivirus). Sono inclusi sia i dispositivi gestiti con Intune che i dispositivi gestiti con Configuration Manager tramite lo scenario di collegamento del tenant. La protezione da manomissioni è ora disponibile anche per Desktop virtuale Azure.

Dispositivi gestiti da Intune

Prerequisiti per supportare la protezione dalle manomissioni per i dispositivi gestiti da Intune:

• L'ambiente deve soddisfare i prerequisiti per la gestione della protezione dalle manomissioni con Intune
• I dispositivi vengono caricati in Microsoft Defender per endpoint (P1 o P2)

Profili per i criteri antivirus che supportano la protezione dalle manomissioni per i dispositivi gestiti da Microsoft Intune:

• Piattaforma: Windows 10, Windows 11 e Windows Server

  • Profilo: esperienza Sicurezza di Windows

  Nota

  A partire dal 5 aprile 2022, la piattaforma Windows 10 e successiva è stata sostituita dalla piattaforma Windows 10, Windows 11 e Windows Server.

  La piattaforma Windows 10, Windows 11 e Windows Server supporta i dispositivi che comunicano con Intune tramite Microsoft Intune o Microsoft Defender per endpoint. Questi profili aggiungono anche il supporto per la piattaforma Windows Server che non è supportato tramite Microsoft Intune in modo nativo.

  I profili per questa nuova piattaforma usano il formato delle impostazioni come indicato nel Catalogo impostazioni. Ogni nuovo modello di profilo per questa nuova piattaforma include le stesse impostazioni del modello di profilo precedente che sostituisce. Con questa modifica non è più possibile creare nuove versioni dei profili precedenti. Le istanze esistenti del profilo precedente rimangono disponibili per l'uso e la modifica.

È anche possibile usare il profilo di Endpoint Protection per i criteri di configurazione del dispositivo per configurare la protezione dalle manomissioni per i dispositivi gestiti da Intune.

Configuration Manager client gestiti tramite lo scenario di collegamento del tenant

Prerequisiti per supportare la gestione della protezione da manomissioni con questi profili:

• L'ambiente deve soddisfare i prerequisiti per la gestione della protezione dalle manomissioni con Intune come descritto nella documentazione di Windows.
• È necessario usare Configuration Manager Current Branch 2006 o versione successiva.
• È necessario configurare il collegamento tenant per supportare i criteri di endpoint protection. Ciò include la configurazione Configuration Manager raccolte di dispositivi per la sincronizzazione con Intune.
• I dispositivi vengono caricati in Microsoft Defender per endpoint (P1 o P2)

Profili per i criteri antivirus che supportano la protezione dalle manomissioni per i dispositivi gestiti da Configuration Manager:

• Piattaforma: Windows 10, Windows 11 e Windows Server (ConfigMgr)
  • Profilo: esperienza Sicurezza di Windows (anteprima)

Profili antivirus

Dispositivi gestiti da Microsoft Intune

I profili seguenti sono supportati per i dispositivi gestiti con Intune:

macOS:

• Piattaforma: macOS

  • Profilo: Antivirus - Gestire le impostazioni dei criteri antivirus per macOS.

    Quando si usa Microsoft Defender per endpoint per Mac, è possibile configurare e distribuire le impostazioni antivirus nei dispositivi macOS gestiti tramite Intune anziché configurare tali impostazioni usando .plist i file.

Windows:

• Piattaforma: Windows 10, Windows 11 e Windows Server
  I profili per questa piattaforma possono essere usati con i dispositivi registrati con Intune e i dispositivi gestiti tramite Gestione sicurezza per Microsoft Defender per endpoint.

  Nota

  A partire dal 5 aprile 2022, la piattaforma Windows 10 e successiva è stata sostituita dalla piattaforma Windows 10, Windows 11 e Windows Server.

  La piattaforma Windows 10, Windows 11 e Windows Server supporta i dispositivi che comunicano con Intune tramite Microsoft Intune o Microsoft Defender per endpoint. Questi profili aggiungono anche il supporto per la piattaforma Windows Server che non è supportato tramite Microsoft Intune in modo nativo.

  I profili per questa nuova piattaforma usano il formato delle impostazioni come indicato nel Catalogo impostazioni. Ogni nuovo modello di profilo per questa nuova piattaforma include le stesse impostazioni del modello di profilo precedente che sostituisce. Con questa modifica non è più possibile creare nuove versioni dei profili precedenti. Le istanze esistenti del profilo precedente rimangono disponibili per l'uso e la modifica.

  • Profilo: Microsoft Defender Antivirus - Gestire le impostazioni dei criteri antivirus per i dispositivi Windows.

    Defender Antivirus è il componente di protezione di nuova generazione di Microsoft Defender per endpoint. La protezione di nuova generazione riunisce tecnologie come l'apprendimento automatico e l'infrastruttura cloud per proteggere i dispositivi nell'organizzazione aziendale.

    Il profilo antivirus Microsoft Defender è un'istanza separata delle impostazioni antivirus disponibili nel profilo di restrizione del dispositivo per i criteri di configurazione del dispositivo.

    A differenza delle impostazioni antivirus in un profilo di restrizione del dispositivo, è possibile usare queste impostazioni con i dispositivi co-gestiti. Per usare queste impostazioni, il dispositivo di scorrimento del carico di lavoro di co-gestione per Endpoint Protection deve essere impostato su Intune.

  • Profilo: Microsoft Defender esclusioni antivirus- Gestire le impostazioni dei criteri solo per l'esclusione antivirus.

    Con questo criterio, è possibile gestire le impostazioni per i provider di servizi di configurazione antivirus (CSP) seguenti Microsoft Defender che definiscono le esclusioni antivirus:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Questi CSP per l'esclusione antivirus vengono gestiti anche dai criteri antivirus Microsoft Defender, che include impostazioni identiche per le esclusioni. Le impostazioni di entrambi i tipi di criteri (esclusioni antivirus e antivirus) sono soggette all'unione dei criteri e creano un super set di esclusioni per gli utenti e i dispositivi applicabili.

  • Profilo: Sicurezza di Windows esperienza: gestire le impostazioni dell'app Sicurezza di Windows che gli utenti finali possono visualizzare nel Centro sicurezza Microsoft Defender e le notifiche ricevute.

    L'app di sicurezza di Windows viene usata da diverse funzionalità di sicurezza di Windows per fornire notifiche sull'integrità e la sicurezza del computer. Le notifiche delle app di sicurezza includono firewall, prodotti antivirus, Windows Defender SmartScreen e altri.

  • Profilo: controlli di Defender Update - Gestire le impostazioni di aggiornamento per Microsoft Defender, incluse le impostazioni seguenti che vengono acquisite direttamente da Defender CSP:

    • Canale Aggiornamenti motore
    • Canale Aggiornamenti piattaforma
    • Security Intelligence Aggiornamenti Channel

Dispositivi gestiti da Configuration Manager

Antivirus

Gestire le impostazioni antivirus per i dispositivi Configuration Manager quando si usa il collegamento tenant.

Percorso dei criteri:

• Endpoint security > Antivirus > Windows 10, Windows 11 e Windows Server (ConfigMgr)

Profili:

• Microsoft Defender Antivirus (anteprima)
• esperienza Sicurezza di Windows (anteprima)

Versione richiesta di Configuration Manager:

• Configuration Manager current branch versione 2006 o successiva

Piattaforme per dispositivi Configuration Manager supportate:

• Windows 8.1 (x86, x64), a partire da Configuration Manager versione 2010
• Windows 10 e versioni successive (x86, x64, ARM64)
• Windows 11 e versioni successive (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), a partire da Configuration Manager versione 2010
• Windows Server 2016 e versioni successive (x64)

Importante

Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Unione dei criteri per le impostazioni

Alcune impostazioni dei criteri antivirus supportano l'unione dei criteri. L'unione dei criteri consente di evitare conflitti quando più criteri si applicano agli stessi dispositivi e configurano la stessa impostazione. Intune valuta le impostazioni supportate dall'unione dei criteri per ogni utente o dispositivo in base a tutti i criteri applicabili. Tali impostazioni vengono quindi unite in un singolo superset di criteri.

Ad esempio, si creano tre criteri antivirus separati che definiscono esclusioni di percorsi di file antivirus diversi. Alla fine, tutti e tre i criteri vengono assegnati allo stesso utente. Poiché il CSP di esclusione del percorso del file Microsoft Defender supporta l'unione dei criteri, Intune valuta e combina le esclusioni di file da tutti i criteri applicabili per l'utente. Le esclusioni vengono aggiunte a un superset e il singolo elenco di esclusioni viene recapitato al dispositivo degli utenti.

Quando l'unione dei criteri non è supportata per un'impostazione, può verificarsi un conflitto. I conflitti possono comportare che l'utente o il dispositivo non riceva alcun criterio per l'impostazione. Ad esempio, l'unione dei criteri non supporta il provider di servizi di configurazione per impedire l'installazione di ID dispositivo corrispondenti (PreventInstallationOfMatchingDeviceIDs). Le configurazioni per questo provider di servizi di configurazione non vengono unite e vengono elaborate separatamente.

Se elaborati separatamente, i conflitti di criteri vengono risolti come segue:

1. Si applicano i criteri più sicuri.
2. Se due criteri sono ugualmente sicuri, si applica l'ultimo criterio modificato.
3. Se l'ultimo criterio modificato non è in grado di risolvere il conflitto, non viene recapitato alcun criterio al dispositivo.

Impostazioni e CSP che supportano l'unione dei criteri

Le impostazioni seguenti supportano l'unione dei criteri:

• Processi esclusi - CSP: Defender/ExcludedProcesses
• Estensioni escluse - CSP: Defender/ExcludedExtensions
• Percorsi esclusi - CSP: Defender/ExcludedPaths

Report sui criteri antivirus

I report dei criteri antivirus visualizzano i dettagli sullo stato dei criteri antivirus e dello stato del dispositivo per la sicurezza degli endpoint. Questi report sono disponibili nel nodo Sicurezza degli endpoint dell'interfaccia di amministrazione Microsoft Intune.

Per visualizzare i report, nell'interfaccia di amministrazione Microsoft Intune passare a Sicurezza degli endpoint e selezionare Antivirus. Selezionando Antivirus viene visualizzata la pagina Riepilogo. Altre visualizzazioni di report e stato sono disponibili come pagine aggiuntive.

Oltre ai report dettagliati nelle sezioni seguenti, i report aggiuntivi per Microsoft Defender Antivirus sono disponibili nel nodo Report dell'interfaccia di amministrazione Microsoft Intune, come illustrato nell'articolo Report di Intune:

• Report sullo stato dell'agente antivirus (organizzazione)
• Report malware rilevato (organizzazione)

Riepilogo

Nella pagina Riepilogo è possibile creare nuovi criteri e visualizzare un elenco dei criteri creati in precedenza. L'elenco include dettagli generali sul profilo incluso dai criteri (tipo di criteri) e se il criterio è assegnato.

Quando si seleziona un criterio dall'elenco, viene visualizzata la pagina Panoramica per l'istanza del criterio e vengono visualizzate altre informazioni. Dopo aver selezionato un riquadro da questa visualizzazione, Intune visualizza dettagli aggiuntivi per il profilo, se disponibili.

Endpoint non integri

Nella pagina Endpoint non integri è possibile visualizzare informazioni sullo stato dell'antivirus dei dispositivi Windows gestiti da MDM. Queste informazioni vengono restituite da Windows Defender Antivirus in esecuzione nel dispositivo, come stato dell'agente di minaccia. In questa pagina selezionare Colonne per visualizzare l'elenco completo dei dettagli disponibili nel report.

In questa visualizzazione vengono visualizzati solo i dispositivi con problemi rilevati. Questa visualizzazione non visualizza i dettagli per i dispositivi identificati come puliti.

Le informazioni per questo report si basano sui dettagli disponibili nei CSP seguenti, documentati nella documentazione sulla gestione client di Windows:

• Defender CSP
• CSP WindowsAdvancedThreatProtection.

Passaggi successivi

Configurare i criteri di sicurezza degli endpoint

Visualizzare i dettagli per le impostazioni di Windows nei profili deprecati per la piattaforma Windows 10 e versioni successive:

• Impostazioni dei criteri antivirus
• Esclusioni antivirus
• Sicurezza di Windows impostazioni dell'app