Criteri di rilevamento e risposta degli endpoint per la sicurezza degli endpoint in Intune

Integrando Microsoft Defender per endpoint con Intune, è possibile usare i criteri di sicurezza degli endpoint per il rilevamento e la risposta degli endpoint (EDR) per gestire le impostazioni ed eseguire l'onboarding dei dispositivi da Microsoft Defender per endpoint.

Le funzionalità di rilevamento e risposta degli endpoint di Microsoft Defender per endpoint forniscono rilevamenti avanzati degli attacchi quasi in tempo reale e interattivi. I responsabili della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere una visibilità completa su una violazione e adottare azioni di risposta per correggere le minacce.

Si applica a:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server 2012 R2 e versioni successive (se gestite da Configuration Manager tramite lo scenario di collegamento del tenant)

Informazioni sui criteri di Intune per il rilevamento e la risposta degli endpoint

i criteri di rilevamento e risposta degli endpoint di Intune includono profili specifici della piattaforma per gestire l'installazione di onboarding di Microsoft Defender per endpoint. Ogni profilo include un pacchetto di onboarding che si applica alla piattaforma del dispositivo a cui sono indirizzati i criteri. I pacchetti di onboarding sono il modo in cui i dispositivi sono configurati per funzionare con Microsoft Defender per endpoint. Dopo l'onboarding di un dispositivo, è possibile iniziare a usare i dati sulle minacce da tale dispositivo.

I criteri EDR vengono creati e gestiti dal nodo Rilevamento endpoint e risposta che si trova nel nodo Sicurezza degli endpointdell'interfaccia di amministrazione Microsoft Intune.

Quando si creano criteri EDR per l'onboarding dei dispositivi, è possibile usare l'opzione dei criteri preconfigurati o creare un criterio che richiede la configurazione manuale delle impostazioni, inclusa l'identificazione del pacchetto di onboarding:

• Criteri preconfigurati: supportati solo per i dispositivi Windows, usare questa opzione per distribuire rapidamente un criterio di onboarding EDR preconfigurato in tutti i dispositivi applicabili. È possibile usare l'opzione dei criteri preconfigurati per i dispositivi gestiti con Intune e per i dispositivi collegati al tenant gestiti tramite Configuration Manager. Quando si usa l'opzione preconfigurata, non è possibile modificare le impostazioni nei criteri prima della creazione e della distribuzione iniziale. Dopo la distribuzione, è possibile modificare alcune impostazioni di selezione. Per altre informazioni, vedere Usare criteri EDR preconfigurati in questo articolo.

• Creare manualmente un criterio: supportato per tutte le piattaforme, usare questa opzione per creare un criterio di onboarding che è possibile distribuire in gruppi discreti di dispositivi. Quando si usa questo percorso, è possibile configurare una qualsiasi delle impostazioni disponibili nei criteri prima che venga distribuita nei gruppi assegnati. Per altre informazioni, vedere Usare un criterio EDR creato manualmente in questo articolo.

In base alla piattaforma a cui è destinato un criterio, i criteri EDR per i dispositivi gestiti con Intune vengono distribuiti in gruppi di dispositivi da Microsoft Entra ID o in raccolte di dispositivi locali sincronizzati da Configuration Manager tramite lo scenario di collegamento del tenant.

Consiglio

Oltre ai criteri EDR, è possibile usare i criteri di configurazione dei dispositivi per eseguire l'onboarding dei dispositivi in Microsoft Defender per endpoint. Tuttavia, i criteri di configurazione dei dispositivi non supportano i dispositivi collegati al tenant.

Quando si usano più criteri o tipi di criteri, ad esempio i criteri di configurazione del dispositivo e i criteri di rilevamento degli endpoint e di risposta per gestire le stesse impostazioni del dispositivo, ad esempio l'onboarding in Defender per endpoint, è possibile creare conflitti di criteri per i dispositivi. Per altre informazioni sui conflitti, vedere Gestire i conflitti nell'articolo Gestire i criteri di sicurezza .

Prerequisiti per i criteri EDR

Generale:

• Tenant per Microsoft Defender per endpoint: il tenant Microsoft Defender per endpoint deve essere integrato con il tenant Microsoft Intune (sottoscrizione Intune) prima di poter creare criteri EDR. Per ulteriori informazioni consulta:

  • Usare Microsoft Defender per endpoint per indicazioni sull'integrazione di Microsoft Defender per endpoint con Microsoft Intune.
  • Connettere Microsoft Defender per endpoint a Intune per configurare la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint.

Supporto per i client Configuration Manager:

• Configurare il collegamento tenant per i dispositivi Configuration Manager: per supportare la distribuzione dei criteri EDR nei dispositivi gestiti da Configuration Manager, configurare il collegamento tenant. Questa attività include la configurazione Configuration Manager raccolte di dispositivi per supportare i criteri di sicurezza degli endpoint da Intune.

  Per configurare il collegamento del tenant, inclusa la sincronizzazione delle raccolte di Configuration Manager con l'interfaccia di amministrazione Microsoft Intune e consentire loro di usare i criteri per la sicurezza degli endpoint, vedere Configurare il collegamento tenant per supportare i criteri di protezione degli endpoint.

  Per altre informazioni sull'uso dei criteri EDR con i dispositivi collegati al tenant, vedere Configurare Configuration Manager per supportare i criteri EDR in questo articolo.

Informazioni sul nodo di rilevamento e risposta degli endpoint

Nell'interfaccia di amministrazione Microsoft Intune il nodo Rilevamento endpoint e risposta è suddiviso in due schede:

Scheda Riepilogo:
La scheda Riepilogo offre una visualizzazione generale di tutti i criteri EDR, sia i criteri configurati manualmente che i criteri creati usando l'opzione Distribuisci criteri preconfigurati.

La scheda Riepilogo include le aree seguenti:

• Stato di Defender per Endpoint Connector : questa visualizzazione visualizza lo stato corrente del connettore per il tenant. L'etichetta Defender for Endpoint Connector Status è anche un collegamento che apre il portale di Defender. Questa visualizzazione è identica a quella disponibile nella pagina Panoramica della sicurezza degli endpoint.

• Dispositivi Windows caricati in Defender per endpoint: questa visualizzazione mostra uno stato a livello di tenant per l'onboarding del rilevamento degli endpoint e della risposta (EDR), con conteggi per entrambi i dispositivi che hanno o non sono stati caricati in Microsoft Defender per endpoint.

• Criteri di rilevamento e risposta degli endpoint (EDR ): qui è possibile creare nuovi criteri EDR configurati manualmente e visualizzare l'elenco di tutti i criteri EDR per il tenant. L'elenco dei criteri include sia i criteri configurati manualmente che i criteri creati usando l'opzione Distribuisci criteri preconfigurati.

  Selezionando un criterio dall'elenco si apre una visualizzazione più approfondita di tale criterio in cui è possibile esaminarne la configurazione e scegliere di modificarne i dettagli e la configurazione. Se il criterio è stato preconfigurato, le impostazioni che è possibile modificare sono limitate.

Scheda Stato onboarding EDR:
Questa scheda visualizza un riepilogo generale dei dispositivi che hanno o non sono stati caricati in Microsoft Defender per endpoint e supporta il drill-in in singoli dispositivi. Sono inclusi i dispositivi gestiti da Intune e i dispositivi gestiti tramite lo scenario di collegamento del tenant e Configuration Manager.

Questa scheda include anche l'opzione per creare e distribuire criteri di onboarding preconfigurati per i dispositivi Windows.

La scheda stato onboarding EDR include:

• Distribuire criteri preconfigurati: questa opzione viene visualizzata nella parte superiore della pagina, sopra il grafico di riepilogo dell'onboarding, e viene usata per creare un criterio preconfigurato per l'onboarding dei dispositivi Windows in Microsoft Defender per endpoint.

• Grafico di riepilogo dello stato di onboarding EDR: questo grafico visualizza i conteggi dei dispositivi che hanno o non sono stati caricati in Microsoft Defender per endpoint.

• Elenco dei dispositivi: sotto il grafico di riepilogo è riportato un elenco di dispositivi con dettagli, tra cui:

  • Nome dispositivo
  • Come viene gestito il dispositivo
  • Stato di onboarding edr dei dispositivi
  • Data e ora dell'ultimo check-in
  • Ultimo stato noto del sensore Defender dei dispositivi

Profili EDR

Dispositivi gestiti da Microsoft Intune

Linux : per gestire EDR per dispositivi Linux, selezionare la piattaforma Linux . È disponibile il profilo seguente:

• Rilevamento e risposta degli endpoint: Intune distribuisce i criteri ai dispositivi nei gruppi assegnati. Questo profilo supporta l'uso con:

  • Dispositivi registrati con Intune.
  • Dispositivi gestiti tramite Gestione sicurezza per Microsoft Defender per endpoint.

  I modelli EDR per Linux includono due impostazioni per la categoria Tag dispositivo di Defender per endpoint:

  • Valore del tag : è possibile impostare un solo valore per ogni tag. Il tipo di un tag è univoco e non deve essere ripetuto nello stesso profilo.
  • Tipo di tag : tag GROUP, contrassegna il dispositivo con il valore specificato. Il tag viene riflesso nell'interfaccia di amministrazione nella pagina del dispositivo e può essere usato per filtrare e raggruppare i dispositivi.

  Per altre informazioni sulle impostazioni di Defender per endpoint disponibili per Linux, vedere Impostare le preferenze per Microsoft Defender per endpoint in Linux nella documentazione di Defender.

macOS : per gestire EDR per i dispositivi macOS, selezionare la piattaforma macOS . È disponibile il profilo seguente:

• Rilevamento e risposta degli endpoint: Intune distribuisce i criteri ai dispositivi nei gruppi assegnati. Questo profilo supporta l'uso con:

  • Dispositivi registrati con Intune.
  • Dispositivi gestiti tramite Gestione sicurezza per Microsoft Defender per endpoint.

  I modelli EDR per macOS includono due impostazioni per la categoria Tag dispositivo di Defender per endpoint:

  • Tipo di tag : tag GROUP, contrassegna il dispositivo con il valore specificato. Il tag viene riflesso nell'interfaccia di amministrazione nella pagina del dispositivo e può essere usato per filtrare e raggruppare i dispositivi.
  • Valore del tag : è possibile impostare un solo valore per ogni tag. Il tipo di un tag è univoco e non deve essere ripetuto nello stesso profilo.

  Per altre informazioni sulle impostazioni di Defender per endpoint disponibili per macOS, vedere Impostare le preferenze per Microsoft Defender per endpoint in macOS nella documentazione di Defender.

Windows: per gestire EDR per i dispositivi Windows, selezionare la piattaforma Windows 10, Windows 11 e Windows Server. È disponibile il profilo seguente:

• Rilevamento e risposta degli endpoint: Intune distribuisce i criteri ai dispositivi nei gruppi assegnati. Questo profilo supporta l'uso con:

  • Dispositivi registrati con Intune.
  • Dispositivi gestiti tramite Gestione sicurezza per Microsoft Defender per endpoint.

  Nota

  A partire dal 5 aprile 2022, la piattaforma Windows 10 e successiva è stata sostituita dalla piattaforma Windows 10, Windows 11 e Windows Server.

  La piattaforma Windows 10, Windows 11 e Windows Server supporta i dispositivi che comunicano tramite Microsoft Intune o Microsoft Defender per endpoint. Questi profili aggiungono anche il supporto per la piattaforma Windows Server che non è supportato tramite Microsoft Intune in modo nativo.

  I profili per questa nuova piattaforma usano il formato delle impostazioni come indicato nel Catalogo impostazioni. Ogni nuovo modello di profilo per questa nuova piattaforma include le stesse impostazioni del modello di profilo precedente che sostituisce. Con questa modifica non è più possibile creare nuove versioni dei profili precedenti. Le istanze esistenti del profilo precedente rimangono disponibili per l'uso e la modifica.

  Opzioni perMicrosoft Defender per endpoint tipo di pacchetto di configurazione client:

  • Si applica solo ai dispositivi Windows

  Dopo aver configurato la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, l'opzione Auto from connector diventa disponibile per l'impostazione Microsoft Defender per endpoint tipo di pacchetto di configurazione client. Questa opzione non è disponibile fino a quando non si configura la connessione.

  Quando si seleziona Auto da connettore, Intune ottiene automaticamente il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint. Questa scelta sostituisce la necessità di configurare manualmente un pacchetto onboarding per questo profilo. Non è disponibile un'opzione per configurare automaticamente un pacchetto offboard.

Dispositivi gestiti da Configuration Manager

Rilevamento endpoint e risposta

Gestire le impostazioni dei criteri di rilevamento e risposta degli endpoint per i dispositivi Configuration Manager quando si usa il collegamento tenant.

Percorso dei criteri:

• Endpoint security > Endpoint detection and response > Windows 10, Windows 11 e Windows Server (ConfigMgr)

Profili:

• Rilevamento e risposta degli endpoint (ConfigMgr) (anteprima)

Versione richiesta di Configuration Manager:

• Configuration Manager current branch versione 2002 o successiva, con aggiornamento nella console Configuration Manager hotfix 2002 (KB4563473)
• Configuration Manager Technical Preview 2003 o versione successiva

Piattaforme per dispositivi Configuration Manager supportate:

• Windows Server 8.1 (x86, x64), a partire da Configuration Manager versione 2010
• Windows 10 e versioni successive (x86, x64, ARM64)
• Windows 11 e versioni successive (x86, x64, ARM64)
• Windows Server 2012 R2 (x64) a partire da Configuration Manager versione 2010
• Windows Server 2016 e versioni successive (x64)

Importante

Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Configurare Configuration Manager per supportare i criteri EDR

Prima di distribuire i criteri EDR nei dispositivi Configuration Manager, completare le configurazioni descritte in dettaglio nelle sezioni seguenti.

Queste configurazioni vengono eseguite all'interno della console di Configuration Manager e nella distribuzione Configuration Manager. Se non si ha familiarità con Configuration Manager, pianificare l'uso di un amministratore Configuration Manager per completare queste attività.

Le sezioni seguenti illustrano le attività necessarie:

1. Installare l'aggiornamento per Configuration Manager
2. Abilitare la connessione dei tenant

Consiglio

Per altre informazioni sull'uso di Microsoft Defender per endpoint con Configuration Manager, vedere gli articoli seguenti nel contenuto Configuration Manager:

• Eseguire l'onboarding dei client Configuration Manager per Microsoft Defender per endpoint tramite l'interfaccia di amministrazione Microsoft Intune
• collegamento del tenant Microsoft Intune: Sincronizzazione del dispositivo e azioni del dispositivo

Attività 1: Installare l'aggiornamento per Configuration Manager

Configuration Manager versione 2002 richiede un aggiornamento per supportare l'uso con i criteri di rilevamento e risposta degli endpoint distribuiti dall'interfaccia di amministrazione Microsoft Intune.

Dettagli dell'aggiornamento:

• hotfix Configuration Manager 2002 (KB4563473)

Questo aggiornamento è disponibile come aggiornamento nella console per Configuration Manager 2002.

Per installare questo aggiornamento, seguire le indicazioni riportate in Installare gli aggiornamenti nella console nella documentazione di Configuration Manager.

Dopo aver installato l'aggiornamento, tornare qui per continuare a configurare l'ambiente per supportare i criteri EDR dall'interfaccia di amministrazione Microsoft Intune.

Attività 2: Configurare le raccolte di collegamento e sincronizzazione del tenant

Con collegamento tenant, è possibile specificare raccolte di dispositivi dalla distribuzione Configuration Manager per la sincronizzazione con l'interfaccia di amministrazione Microsoft Intune. Dopo la sincronizzazione delle raccolte, usare l'interfaccia di amministrazione per visualizzare le informazioni su tali dispositivi e per distribuire i criteri EDR da Intune a tali dispositivi.

Per altre informazioni sullo scenario di collegamento del tenant, vedere Abilitare il collegamento del tenant nel contenuto Configuration Manager.

Abilitare il collegamento tenant quando la co-gestione non è stata abilitata

Consiglio

Usare la Configurazione guidata co-gestione nella console di Configuration Manager per abilitare il collegamento del tenant, ma non è necessario abilitare la co-gestione.

Se si prevede di abilitare la co-gestione, avere familiarità con la co-gestione, i relativi prerequisiti e come gestire i carichi di lavoro prima di continuare. Vedere Informazioni sulla co-gestione nella documentazione di Configuration Manager.

1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Co-management.
2. Sulla barra multifunzione selezionare Configura co-gestione per aprire la procedura guidata.
3. Nella pagina Onboarding tenant selezionare AzurePublicCloud per l'ambiente. Azure per enti pubblici cloud non è supportato.
   1. Scegliere Accedi. Usare l'account Amministratore globale per accedere.

I seguenti sono supportati per i dispositivi gestiti con Intune:

• Piattaforma: Windows 10, Windows 11 e Windows Server: Intune distribuisce i criteri ai dispositivi nei gruppi di Microsoft Entra.
  • Profilo: rilevamento e risposta degli endpoint

Usare un criterio EDR preconfigurato

Nella pagina Stato onboarding EDR dei criteri di rilevamento e risposta degli endpoint di Intune è possibile selezionare l'opzione Distribuisci criteri preconfigurati per Intune creare e distribuire criteri preconfigurati per installare Microsoft Defender per endpoint nei dispositivi applicabili.

Questa opzione si trova nella parte superiore della pagina, sopra il report Dispositivi Windows di cui è stato eseguito l'onboarding in Defender per endpoint:

Prima di poter selezionare questa opzione, è necessario configurare correttamente Defender per Endpoint Connector, che stabilisce una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Il criterio usa il connettore per ottenere un BLOB di onboarding Microsoft Defender per endpoint da usare per l'onboarding dei dispositivi. Per informazioni sulla configurazione di questo connettore, vedere Connettere Microsoft Defender per endpoint a Intune nell'articolo Configurare Defender per endpoint.

Se si usa lo scenario di collegamento del tenant per supportare i dispositivi gestiti da Configuration Manager, configurare Configuration Manager per supportare i criteri EDR dall'interfaccia di amministrazione Microsoft Intune. Vedere Configurare il collegamento tenant per supportare i criteri di endpoint protection.

Creare i criteri EDR preconfigurati

Quando si usa l'opzione Distribuisci criteri preconfigurati, non è possibile modificare le configurazioni predefinite dei criteri per l'installazione di Microsoft Defender per endpoint, tag di ambito o assegnazioni. Tuttavia, dopo aver creato i criteri, è possibile modificarne alcuni dettagli, inclusa la configurazione dei filtri di assegnazione.

Per creare i criteri:

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Rilevamento endpoint sicurezza>endpoint e rispondere> aprire la scheda >Stato onboarding EDR selezionare Distribuisci criteri preconfigurati.

2. Nella pagina Crea un profilo specificare una delle combinazioni seguenti e quindi selezionare Crea:

   • Per i dispositivi gestiti da Intune:

     • Piattaforma = Windows 10, Windows 11 e Windows Server
     • Profilo = Rilevamento e risposta degli endpoint

   • Per i dispositivi gestiti tramite lo scenario di collegamento del tenant:

     • Piattaforma = Windows 10, Windows 11 e Windows Server (ConfigMgr)
     • Profilo = Rilevamento e risposta degli endpoint (ConfigMgr)

     Importante

     La distribuzione nei dispositivi collegati al tenant richiede che la raccolta Tutti i client desktop e server sia abilitata e sincronizzata nel tenant.

3. Nella pagina Informazioni di base specificare un nome per questo criterio. Facoltativamente, è anche possibile aggiungere una descrizione.

4. Nella pagina Rivedi e crea è possibile espandere le categorie disponibili per esaminare la configurazione dei criteri, ma non è possibile apportare modifiche. Intune usa solo le impostazioni applicabili in base alla combinazione piattaforma e profilo selezionata. Ad esempio, per i dispositivi gestiti da Intune, i criteri sono destinati al gruppo Tutti i dispositivi. Il gruppo Tutti i client desktop e server è destinato ai dispositivi collegati al tenant.

Selezionare Salva per creare e distribuire i criteri preconfigurati.

Modificare un criterio EDR preconfigurato

Dopo aver creato un criterio preconfigurato, è possibile trovarlo nella scheda Riepilogo per i criteri di rilevamento e risposta degli endpoint. Selezionando un criterio, è quindi possibile scegliere di modificare alcune opzioni, ma non tutte. Ad esempio, per Intune dispositivi, è possibile modificare le opzioni seguenti:

• Di base: è possibile modificare le opzioni seguenti:
  • Nome
  • Descrizione
• Impostazione di configurazione: le due impostazioni seguenti possono essere modificate rispetto al valore predefinito Non configurato:
  • Condivisione di esempi
  • [Deprecato] Frequenza dei report di telemetria
• Assegnazioni: non è possibile modificare l'assegnazione di gruppo, ma è possibile aggiungere filtri di assegnazione.

Usare un criterio EDR creato manualmente

Nella pagina Riepilogo EDR dei criteri di rilevamento e risposta degli endpoint di Intune è possibile selezionare Crea criteri per avviare il processo di configurazione manuale di un criterio EDR per l'onboarding dei dispositivi in Microsoft Defender per endpoint.

Questa opzione si trova nella parte superiore della pagina, sopra il report Dispositivi Windows di cui è stato eseguito l'onboarding in Defender per endpoint:

Creare un criterio EDR configurato manualmente

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza degli endpoint>Rilevamento e reazione dagli endpoint>Crea criterio.

3. Selezionare la piattaforma e il profilo per i criteri. Le informazioni seguenti identificano le opzioni:

   • Intune: Intune distribuisce i criteri ai dispositivi nei gruppi assegnati. Quando si crea il criterio, selezionare:

     • Piattaforma: Linux, macOS o Windows 10, Windows 11 e Windows Server
     • Profilo: rilevamento e risposta degli endpoint

   • Configuration Manager: Configuration Manager distribuisce i criteri ai dispositivi nelle raccolte di Configuration Manager. Quando si crea il criterio, selezionare:

     • Piattaforma: Windows 10, Windows 11 e Windows Server (ConfigMgr)
     • Profilo: Rilevamento e reazione dagli endpoint (ConfigMgr)

4. Selezionare Crea.

5. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.

6. Nella pagina Impostazioni di configurazione scegliere Auto from Connector per Microsoft Defender per endpoint tipo di pacchetto di configurazione client. Configurare le impostazioni di condivisione degli esempi e di frequenza dei report di telemetria che si desidera gestire con questo profilo.

   Nota

   Per eseguire l'onboarding o l'offboarding dei tenant usando il file di onboarding dal portale di Microsoft Defender per endpoint, selezionare Onboarding o Offboard e fornire il contenuto del file di onboarding all'input direttamente sotto la selezione.

   Al termine della configurazione delle impostazioni, selezionare Avanti.

7. Se si usano tag ambito, nella pagina Tag ambito scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare i tag di ambito al profilo.

   Selezionare Avanti per continuare.

8. Nella pagina Assegnazioni selezionare i gruppi o le raccolte che ricevono questo criterio. La scelta dipende dalla piattaforma e dal profilo selezionati:

   • Per Intune selezionare gruppi da Microsoft Entra.
   • Per Configuration Manager, selezionare le raccolte da Configuration Manager sincronizzate con l'interfaccia di amministrazione Microsoft Intune e abilitate per i criteri di Microsoft Defender per endpoint.

   È possibile scegliere di non assegnare gruppi o raccolte in questo momento e successivamente modificare i criteri per aggiungere un'assegnazione.

   Quando si è pronti per continuare, selezionare Avanti.

9. Al termine, nella pagina Rivedi e crea scegliere Crea.

   Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Aggiornare lo stato di onboarding per un dispositivo

Le organizzazioni potrebbero dover aggiornare le informazioni di onboarding in un dispositivo tramite Microsoft Intune.

Questo aggiornamento può essere necessario a causa di una modifica del payload di onboarding per Microsoft Defender per endpoint o quando viene indicato dal supporto tecnico Microsoft.

L'aggiornamento delle informazioni di onboarding indica al dispositivo di iniziare a usare il nuovo payload di onboarding al successivo riavvio.

Nota

Queste informazioni non spostano necessariamente un dispositivo tra tenant senza eseguire completamente l'offboarding del dispositivo dal tenant originale. Per le opzioni di migrazione dei dispositivi tra organizzazioni Microsoft Defender per endpoint, contattare supporto tecnico Microsoft.

Processo per aggiornare il payload

1. Scaricare il nuovo payload mobile Gestione dispositivi New onboarding dalla console di Microsoft Defender per endpoint.

2. Creare un nuovo gruppo per convalidare l'efficacia dei nuovi criteri.

3. Escludere il nuovo gruppo dai criteri EDR esistenti.

4. Creare un nuovo criterio di rilevamento e risposta degli endpoint, descritto in Creare criteri EDR.

5. Durante la creazione del criterio, selezionare Onboarding dal tipo di configurazione del pacchetto client e specificare il contenuto del file di onboarding dalla console di Microsoft Defender per endpoint.

6. Assegnare i criteri al nuovo gruppo creato per la convalida.

7. Aggiungere dispositivi esistenti al gruppo di convalida e assicurarsi che le modifiche funzionino come previsto.

8. Espandere gradualmente la distribuzione, infine rimuovere i criteri originali.

Nota

Se in precedenza si usava l'opzione Auto from connector per recuperare le informazioni di onboarding, contattare il supporto Tecnico Microsoft per confermare l'uso delle nuove informazioni di onboarding.

Per le organizzazioni che aggiornano le informazioni di onboarding sotto la direzione del supporto Tecnico Microsoft, Microsoft invierà l'utente quando il connettore è stato aggiornato per sfruttare il nuovo payload di onboarding.

Report e monitoraggio dei criteri EDR

È possibile visualizzare i dettagli sui criteri EDR usati nel nodo di distribuzione e risposta dell'endpoint dell'interfaccia di amministrazione Microsoft Intune.

Per informazioni dettagliate sui criteri, nell'interfaccia di amministrazione passare alla schedaRiepilogodella distribuzione e della risposta> degli endpoint di sicurezza> degli endpoint e selezionare il criterio per il quale si vogliono visualizzare i dettagli di conformità:

• Per i criteri destinati alle piattaforme Linux, macOS o Windows 10, Windows 11 e Windows Server (Intune), Intune visualizza una panoramica della conformità ai criteri. È anche possibile selezionare il grafico per visualizzare un elenco di dispositivi che hanno ricevuto i criteri e eseguire il drill-in nei singoli dispositivi per altri dettagli.

• Per i dispositivi Windows, il grafico per i dispositivi Windows di cui è stato eseguito l'onboarding in Defender per endpoint visualizza il numero di dispositivi di cui è stato eseguito l'onboarding in Microsoft Defender per endpoint e che devono ancora essere caricati.

  Per garantire la rappresentazione completa dei dispositivi in questo grafico, distribuire il profilo di onboarding in tutti i dispositivi. I dispositivi che eseguono l'onboarding in Microsoft Defender per endpoint con mezzi esterni, ad esempio Criteri di gruppo o PowerShell, vengono conteggiati come dispositivi senza il sensore Defender per endpoint.

• Per i criteri destinati alla piattaforma Windows 10, Windows 11 e Windows Server (ConfigMgr) (Configuration Manager), Intune visualizza una panoramica della conformità ai criteri che non supporta il drill-in per visualizzare altri dettagli. La visualizzazione è limitata perché l'interfaccia di amministrazione riceve dettagli di stato limitati da Configuration Manager, che gestisce la distribuzione dei criteri nei dispositivi Configuration Manager.

Per visualizzare i dettagli per i singoli dispositivi, passare alla scheda Endpointsecurity Endpoint deployment and responseEDR Onboarding Status (Distribuzione endpoint di sicurezza> endpoint e risposta >allo stato di onboarding EDR) e selezionare un dispositivo dall'elenco per visualizzare dettagli aggiuntivi specifici del dispositivo.

Passaggi successivi

• Configurare i criteri di sicurezza degli endpoint.
• Altre informazioni sul rilevamento e la risposta degli endpoint sono disponibili nella documentazione Microsoft Defender per endpoint.