Share via


Manipulatiebeveiliging voor uw organisatie beheren met behulp van Microsoft Intune

Van toepassing op:

Platforms

  • Windows

Manipulatiebeveiliging helpt te voorkomen dat bepaalde beveiligingsinstellingen, zoals virus- en bedreigingsbeveiliging, worden uitgeschakeld of gewijzigd. Als u deel uitmaakt van het beveiligingsteam van uw organisatie en u Microsoft Intune gebruikt, kunt u manipulatiebeveiliging voor uw organisatie beheren in het Intune-beheercentrum. U kunt ook Configuration Manager gebruiken. Met Intune of Configuration Manager kunt u het volgende doen:

Belangrijk

Als u Microsoft Intune gebruikt om defender voor eindpuntinstellingen te beheren, moet u DisableLocalAdminMerge instellen op true op apparaten.

Wanneer manipulatiebeveiliging is ingeschakeld, kunnen instellingen voor manipulatiebeveiliging niet worden gewijzigd. Als u fouten in beheerervaringen wilt voorkomen, inclusief Intune (en Configuration Manager), moet u er rekening mee houden dat wijzigingen in instellingen die beveiligd zijn met manipulatie lijken te slagen, maar in feite worden geblokkeerd door manipulatiebeveiliging. Afhankelijk van uw specifieke scenario hebt u verschillende opties beschikbaar:

  • Als u wijzigingen moet aanbrengen in een apparaat en deze wijzigingen worden geblokkeerd door manipulatiebeveiliging, raden we u aan de probleemoplossingsmodus te gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op het apparaat. Nadat de probleemoplossingsmodus is beĆ«indigd, worden alle wijzigingen in instellingen met manipulatiebeveiliging teruggezet naar de geconfigureerde status.
  • U kunt Intune of Configuration Manager gebruiken om apparaten uit te sluiten van manipulatiebeveiliging.
  • Als u manipulatiebeveiliging beheert via Intune, kunt u met manipulatie beveiligde antivirusuitsluitingen wijzigen.

Vereisten voor het beheren van manipulatiebeveiliging in Intune

Vereiste Details
Rollen en machtigingen U moet de juiste machtigingen hebben die zijn toegewezen via rollen, zoals globale beheerder of beveiligingsbeheerder. Zie Microsoft Entra rollen met Intune-toegang.
Apparaatbeheer Uw organisatie gebruikt Intune om apparaten te beheren.
Intune licenties Intune licenties zijn vereist. Zie Microsoft Intune licenties.
Besturingssysteem Op Windows-apparaten moet Windows 10 versie 1709 of hoger of Windows 11 worden uitgevoerd. (Zie Release-informatie over Windows voor meer informatie over releases.)

Zie Beveiligingsinstellingen voor macOS beveiligen met manipulatiebeveiliging voor Mac.
Beveiligingsanalyse U moet Windows-beveiliging gebruiken met beveiligingsinformatie bijgewerkt naar versie 1.287.60.0 (of hoger).
Antimalwareplatform Apparaten moeten gebruikmaken van een antimalwareplatformversie 4.18.1906.3 (of hoger) en de versie 1.1.15500.X van de antimalware-engine (of hoger). Zie Microsoft Defender Antivirus-updates beheren en basislijnen toepassen.
Microsoft Entra ID Uw Intune- en Defender voor Eindpunt-tenants moeten dezelfde Microsoft Entra infrastructuur delen.
Defender voor Eindpunt Uw apparaten moeten worden toegevoegd aan Defender voor Eindpunt.

Opmerking

Als apparaten niet zijn ingeschreven bij Microsoft Defender voor Eindpunt, wordt manipulatiebeveiliging weergegeven als Niet van toepassing totdat het onboardingproces is voltooid. Manipulatiebeveiliging kan voorkomen dat er wijzigingen in beveiligingsinstellingen optreden. Als u een foutcode met gebeurtenis-id 5013 ziet, raadpleegt u Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen.

Manipulatiebeveiliging inschakelen (of uitschakelen) in Microsoft Intune

Manipulatiebeveiliging ingeschakeld met Intune

  1. Ga in het Intune-beheercentrum naar Antivirus voor eindpuntbeveiliging> en kies vervolgens + Creatie Beleid.

    • Selecteer Windows 10, Windows 11 en Windows Server in de lijst Platform.
    • Selecteer Windows-beveiliging ervaring in de lijst Profiel.
  2. Creatie een profiel met de volgende instelling:

    • TamperProtection (apparaat): aan
  3. Voltooi het selecteren van opties en instellingen voor uw beleid.

  4. Implementeer het beleid op apparaten.

Manipulatiebeveiliging voor antivirusuitsluitingen

Als uw organisatie uitsluitingen heeft gedefinieerd voor Microsoft Defender Antivirus, beschermt manipulatiebeveiliging deze uitsluitingen, mits aan alle volgende voorwaarden wordt voldaan:

Voorwaarde Criteria
Microsoft Defender platform Op apparaten wordt Microsoft Defender platform 4.18.2211.5 of hoger uitgevoerd. Zie Maandelijkse platform- en engineversies voor meer informatie.
DisableLocalAdminMerge Instelling Deze instelling wordt ook wel het samenvoegen van lokale lijsten voorkomen. DisableLocalAdminMergeis ingeschakeld, zodat instellingen die op een apparaat zijn geconfigureerd, niet worden samengevoegd met organisatiebeleid, zoals instellingen in Intune. Zie DisableLocalAdminMerge voor meer informatie.
Apparaatbeheer Apparaten worden alleen beheerd in Intune of alleen met Configuration Manager. Inzicht moet zijn ingeschakeld.
Antivirusuitsluitingen Microsoft Defender Antivirus-uitsluitingen worden beheerd in Microsoft Intune. Zie Instellingen voor Microsoft Defender Antivirusbeleid in Microsoft Intune voor Windows-apparaten voor meer informatie.

Functionaliteit om Microsoft Defender antivirusuitsluitingen te beveiligen, is ingeschakeld op apparaten. Zie Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat voor meer informatie.

Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat

U kunt een registersleutel gebruiken om te bepalen of de functionaliteit voor het beveiligen van Microsoft Defender Antivirus-uitsluitingen is ingeschakeld. In de volgende procedure wordt beschreven hoe u de beveiligingsstatus voor manipulatie kunt weergeven, maar niet kunt wijzigen.

  1. Open register op een Windows-apparaat Editor. (Alleen-lezenmodus is prima; u bewerkt de registersleutel niet.)

  2. Controleer de volgende registersleutelwaarden om te controleren of het apparaat alleen wordt beheerd door Intune of alleen wordt beheerd door Configuration Manager, waarbij Inzicht is ingeschakeld:

    • ManagedDefenderProductType (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender of HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM of HKLM\SOFTWARE\Microsoft\SenseCM)

    De volgende tabel geeft een overzicht van de betekenis van de registersleutelwaarden:

    ManagedDefenderProductType Waarde EnrollmentStatus Waarde Wat de waarde betekent
    6 (elke waarde) Het apparaat wordt alleen beheerd door Intune.
    (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
    7 4 Het apparaat wordt beheerd door Configuration Manager.
    (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
    Een andere waarde dan 6 of 7 (elke waarde) Het apparaat wordt niet alleen beheerd door Intune of alleen Configuration Manager.
    (Uitsluitingen zijn niet beveiligd tegen manipulatie.)
  3. Als u wilt controleren of manipulatiebeveiliging is geĆÆmplementeerd en dat uitsluitingen beveiligd zijn tegen manipulatie, controleert u de TPExclusions registersleutel (op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features of HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

    TPExclusions Wat de waarde betekent
    1 Aan de vereiste voorwaarden wordt voldaan en de nieuwe functionaliteit voor het beveiligen van uitsluitingen is ingeschakeld op het apparaat.
    (Uitsluitingen zijn beveiligd tegen manipulatie.)
    0 Manipulatiebeveiliging beschermt momenteel geen uitsluitingen op het apparaat.
    (Als aan alle vereisten wordt voldaan en deze status onjuist lijkt, neemt u contact op met de ondersteuning.)

Voorzichtigheid

Wijzig de waarde van de registersleutels niet. Gebruik de voorgaande procedure alleen voor informatie. Het wijzigen van sleutels heeft geen invloed op de vraag of manipulatiebeveiliging van toepassing is op uitsluitingen.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.