Manipulatiebeveiliging voor uw organisatie beheren met Microsoft Intune

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender Antivirus
• Microsoft Defender voor Bedrijven
• Microsoft 365 Business Premium

Platforms

• Windows

Manipulatiebeveiliging helpt te voorkomen dat bepaalde beveiligingsinstellingen, zoals virus- en bedreigingsbeveiliging, worden uitgeschakeld of gewijzigd. Als u deel uitmaakt van het beveiligingsteam van uw organisatie en Microsoft Intune gebruikt, kunt u manipulatiebeveiliging voor uw organisatie beheren in het Intune-beheercentrum. U kunt ook Configuration Manager gebruiken. Met Intune of Configuration Manager kunt u het volgende doen:

• Schakel manipulatiebeveiliging in (of uit) voor sommige of alle apparaten.
• Microsoft Defender Antivirus-uitsluitingen beschermen tegen manipulatie (aan bepaalde vereisten moet worden voldaan).

Belangrijk

Als u Microsoft Intune gebruikt voor het beheren van Defender voor Eindpunt-instellingen, moet u DisableLocalAdminMerge instellen op true op apparaten.

Wanneer manipulatiebeveiliging is ingeschakeld, kunnen instellingen voor manipulatiebeveiliging niet worden gewijzigd. Als u fouten in beheerervaringen wilt voorkomen, zoals Intune (en Configuration Manager), moet u er rekening mee houden dat wijzigingen in instellingen die zijn beveiligd met manipulatie lijken te slagen, maar daadwerkelijk worden geblokkeerd door manipulatiebeveiliging. Afhankelijk van uw specifieke scenario hebt u verschillende opties beschikbaar:

• Als u wijzigingen moet aanbrengen in een apparaat en deze wijzigingen worden geblokkeerd door manipulatiebeveiliging, raden we u aan de probleemoplossingsmodus te gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op het apparaat. Nadat de probleemoplossingsmodus is beëindigd, worden alle wijzigingen in instellingen met manipulatiebeveiliging teruggezet naar de geconfigureerde status.
• U kunt Intune of Configuration Manager gebruiken om apparaten uit te sluiten van manipulatiebeveiliging.
• Als u manipulatiebeveiliging beheert via Intune, kunt u met manipulatie beveiligde antivirusuitsluitingen wijzigen.

Vereisten voor het beheren van manipulatiebeveiliging in Intune

Vereiste	Details
Rollen en machtigingen	U moet de juiste machtigingen hebben die zijn toegewezen via rollen, zoals Beveiligingsbeheerder. Zie Microsoft Entra-rollen met Intune-toegang.
Apparaatbeheer	Uw organisatie gebruikt Intune om apparaten te beheren.
Intune-licenties	Intune-licenties zijn vereist. Zie Microsoft Intune-licenties.
Besturingssysteem	Op Windows-apparaten moet Windows 10 versie 1709 of hoger of Windows 11 worden uitgevoerd. (Zie Release-informatie over Windows voor meer informatie over releases.) Zie Beveiligingsinstellingen voor macOS beveiligen met manipulatiebeveiliging voor Mac.
Beveiligingsanalyse	U moet Windows-beveiliging gebruiken met beveiligingsinformatie bijgewerkt naar versie 1.287.60.0 (of hoger).
Antimalwareplatform	Apparaten moeten gebruikmaken van een antimalwareplatformversie 4.18.1906.3 (of hoger) en de versie 1.1.15500.X van de antimalware-engine (of hoger). Zie Microsoft Defender Antivirus-updates beheren en basislijnen toepassen.
Microsoft Entra ID	Uw Intune- en Defender for Endpoint-tenants moeten dezelfde Microsoft Entra-infrastructuur delen.
Defender voor Eindpunt	Uw apparaten moeten worden toegevoegd aan Defender voor Eindpunt.

Opmerking

Als apparaten niet zijn ingeschreven bij Microsoft Defender voor Eindpunt, wordt manipulatiebeveiliging weergegeven als Niet van toepassing totdat het onboardingproces is voltooid. Manipulatiebeveiliging kan voorkomen dat er wijzigingen in beveiligingsinstellingen optreden. Als u een foutcode met gebeurtenis-id 5013 ziet, raadpleegt u Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen.

Manipulatiebeveiliging inschakelen (of uitschakelen) in Microsoft Intune

1. Ga in het Intune-beheercentrum naar Endpoint Security>Antivirus en kies vervolgens + Beleid maken.

   • Selecteer Windows 10, Windows 11 en Windows Server in de lijst Platform.
   • Selecteer Windows-beveiligingservaring in de lijst Profiel.

2. Maak een profiel met de volgende instelling:

   • TamperProtection (apparaat): aan

3. Voltooi het selecteren van opties en instellingen voor uw beleid.

4. Implementeer het beleid op apparaten.

Manipulatiebeveiliging voor antivirusuitsluitingen

Als in uw organisatie uitsluitingen zijn gedefinieerd voor Microsoft Defender Antivirus, beschermt manipulatiebeveiliging deze uitsluitingen, mits aan alle volgende voorwaarden wordt voldaan:

Voorwaarde	Criteria
Microsoft Defender-platform	Op apparaten wordt het Microsoft Defender-platform 4.18.2211.5 of hoger uitgevoerd. Zie Maandelijkse platform- en engineversies voor meer informatie.
DisableLocalAdminMerge montuur	Deze instelling wordt ook wel het samenvoegen van lokale lijsten voorkomen. DisableLocalAdminMerge is ingeschakeld, zodat instellingen die op een apparaat zijn geconfigureerd, niet worden samengevoegd met organisatiebeleid, zoals instellingen in Intune. Zie DisableLocalAdminMerge voor meer informatie.
Apparaatbeheer	Apparaten worden alleen beheerd in Intune of worden alleen beheerd met Configuration Manager. Inzicht moet zijn ingeschakeld.
Antivirusuitsluitingen	Uitsluitingen van Microsoft Defender Antivirus worden beheerd in Microsoft Intune. Zie Instellingen voor Microsoft Defender Antivirus-beleid in Microsoft Intune voor Windows-apparaten voor meer informatie. Functionaliteit voor het beveiligen van Uitsluitingen van Microsoft Defender Antivirus is ingeschakeld op apparaten. Zie Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat voor meer informatie.

Tip

Zie Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voor meer informatie over Uitsluitingen voor Microsoft Defender Antivirus.

Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat

U kunt een registersleutel gebruiken om te bepalen of de functionaliteit voor het beveiligen van Microsoft Defender Antivirus-uitsluitingen is ingeschakeld. In de volgende procedure wordt beschreven hoe u de beveiligingsstatus voor manipulatie kunt weergeven, maar niet kunt wijzigen.

1. Open Register-editor op een Windows-apparaat. (Alleen-lezenmodus is prima; u bewerkt de registersleutel niet.)

2. Controleer de volgende registersleutelwaarden om te controleren of het apparaat alleen wordt beheerd door Intune of alleen wordt beheerd door Configuration Manager, waarbij Inzicht is ingeschakeld:

   • ManagedDefenderProductType (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender of HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM of HKLM\SOFTWARE\Microsoft\SenseCM)

   De volgende tabel geeft een overzicht van de betekenis van de registersleutelwaarden:

   ManagedDefenderProductType waarde	EnrollmentStatus waarde	Wat de waarde betekent
   6	(elke waarde)	Het apparaat wordt alleen beheerd door Intune. (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
   7	4	Het apparaat wordt beheerd door Configuration Manager. (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
   Een andere waarde dan 6 of 7	(elke waarde)	Het apparaat wordt niet alleen beheerd door Intune of Configuration Manager. (Uitsluitingen zijn niet beveiligd tegen manipulatie.)

3. Als u wilt controleren of manipulatiebeveiliging is geïmplementeerd en dat uitsluitingen beveiligd zijn tegen manipulatie, controleert u de TPExclusions registersleutel (op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features of HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Wat de waarde betekent
   1	Aan de vereiste voorwaarden wordt voldaan en de nieuwe functionaliteit voor het beveiligen van uitsluitingen is ingeschakeld op het apparaat. (Uitsluitingen zijn beveiligd tegen manipulatie.)
   0	Manipulatiebeveiliging beschermt momenteel geen uitsluitingen op het apparaat. (Als aan alle vereisten wordt voldaan en deze status onjuist lijkt, neemt u contact op met de ondersteuning.)

Voorzichtigheid

Wijzig de waarde van de registersleutels niet. Gebruik de voorgaande procedure alleen voor informatie. Het wijzigen van sleutels heeft geen invloed op de vraag of manipulatiebeveiliging van toepassing is op uitsluitingen.

Zie ook

• Veelgestelde vragen (veelgestelde vragen) over manipulatiebeveiliging
• Defender voor Eindpunt op niet-Windows-apparaten
• Problemen met manipulatiebeveiliging oplossen
• Microsoft Defender voor Eindpunt op apparaten beheren met Microsoft Intune

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.