Zarządzanie ochroną przed naruszeniami w organizacji przy użyciu Microsoft Intune

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Program antywirusowy Microsoft Defender
• Microsoft Defender dla Firm
• Microsoft 365 Business Premium

Platformy

• System Windows

Ochrona przed naruszeniami pomaga chronić niektóre ustawienia zabezpieczeń, takie jak ochrona przed wirusami i zagrożeniami, przed wyłączeniem lub zmianą. Jeśli jesteś członkiem zespołu ds. zabezpieczeń organizacji i używasz Microsoft Intune, możesz zarządzać ochroną przed naruszeniami w organizacji w centrum administracyjnym Intune. Możesz też użyć Configuration Manager. Za pomocą Intune lub Configuration Manager można wykonywać następujące zadania:

• Włącz (lub wyłącz ochronę przed naruszeniami) dla niektórych lub wszystkich urządzeń.
• Ochrona Microsoft Defender wykluczeń programu antywirusowego przed naruszeniami (muszą zostać spełnione określone wymagania).

Ważna

Jeśli używasz Microsoft Intune do zarządzania ustawieniami usługi Defender for Endpoint, upewnij się, że na urządzeniach ustawiono wartość DisableLocalAdminMergetrue.

Po włączeniu ochrony przed naruszeniami nie można zmienić ustawień chronionych przed naruszeniami . Aby uniknąć niezgodności środowisk zarządzania, w tym Intune (i Configuration Manager), należy pamiętać, że zmiany ustawień chronionych przed naruszeniami mogą wydawać się pomyślne, ale w rzeczywistości są blokowane przez ochronę przed naruszeniami. W zależności od konkretnego scenariusza dostępnych jest kilka opcji:

• Jeśli musisz wprowadzić zmiany na urządzeniu i te zmiany zostaną zablokowane przez ochronę przed naruszeniami, zalecamy użycie trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu. Należy pamiętać, że po zakończeniu trybu rozwiązywania problemów wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami zostaną przywrócone do skonfigurowanego stanu.

• Aby wykluczyć urządzenia z ochrony przed naruszeniami, można użyć Intune lub Configuration Manager.

• Jeśli zarządzasz ochroną przed naruszeniami za pośrednictwem Intune, możesz zmienić wykluczenia antywirusowe chronione przed naruszeniami.

Wymagania dotyczące zarządzania ochroną przed naruszeniami w Intune

Wymaganie	Szczegóły
Role i uprawnienia	Musisz mieć odpowiednie uprawnienia przypisane za pośrednictwem ról, takich jak administrator zabezpieczeń. Zobacz Microsoft Entra role z dostępem Intune.
Zarządzanie urządzeniami	Organizacja używa Configuration Manager lub Intune do zarządzania urządzeniami. Co-Managed urządzenia nie są obsługiwane dla tej funkcji.
licencje Intune	Intune licencje są wymagane. Zobacz licencjonowanie Microsoft Intune.
System operacyjny	Urządzenia z systemem Windows muszą działać Windows 10 wersji 1709 lub nowszej lub Windows 11. (Aby uzyskać więcej informacji na temat wydań, zobacz Informacje o wersji systemu Windows). W przypadku komputerów Mac zobacz Ochrona ustawień zabezpieczeń systemu macOS za pomocą ochrony przed naruszeniami.
Analiza zabezpieczeń	Musisz używać zabezpieczeń systemu Windows z analizą zabezpieczeń zaktualizowaną do wersji (lub nowszej 1.287.60.0 ).
Platforma ochrony przed złośliwym kodem	Urządzenia muszą używać wersji platformy ochrony przed złośliwym kodem (lub nowszej 4.18.1906.3 ) i wersji aparatu chroniącego przed złośliwym oprogramowaniem (lub nowszej 1.1.15500.X ). Zobacz Zarządzanie aktualizacjami programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
Microsoft Entra ID	Dzierżawy Intune i usługi Defender dla punktów końcowych muszą współużytkować tę samą infrastrukturę Microsoft Entra.
Ochrona punktu końcowego w usłudze Microsoft Defender	Urządzenia muszą zostać dołączone do usługi Defender for Endpoint.

Uwaga

Jeśli urządzenia nie są zarejestrowane w Ochrona punktu końcowego w usłudze Microsoft Defender, ochrona przed naruszeniami jest wyświetlana jako Nie dotyczy do momentu zakończenia procesu dołączania. Ochrona przed naruszeniami może zapobiec wystąpieniu zmian ustawień zabezpieczeń. Jeśli zostanie wyświetlony kod błędu o identyfikatorze zdarzenia 5013, zobacz Przeglądanie dzienników zdarzeń i kodów błędów, aby rozwiązać problemy z programem antywirusowym Microsoft Defender.

Włączanie (lub wyłączanie) ochrony przed naruszeniami w Microsoft Intune

1. W centrum administracyjnym Intune przejdź do pozycjiProgram antywirusowyzabezpieczeń> punktu końcowego, a następnie wybierz pozycję + Utwórz zasady.

   • Na liście Platforma wybierz pozycję Windows 10, Windows 11 i Windows Server.
   • Na liście Profil wybierz pozycję Zabezpieczenia Windows środowisko.

2. Utwórz profil zawierający następujące ustawienie:

   • TamperProtection (urządzenie): Włączone

3. Zakończ wybieranie opcji i ustawień zasad.

4. Wdróż zasady na urządzeniach.

Ochrona przed naruszeniami w przypadku wykluczeń antywirusowych

Jeśli twoja organizacja ma wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ochrona przed naruszeniami chroni te wykluczenia, pod warunkiem spełnienia wszystkich następujących warunków:

Warunek	Kryteria
platforma Microsoft Defender	Urządzenia działają Microsoft Defender platformie lub nowszej4.18.2211.5. Aby uzyskać więcej informacji, zobacz Comiesięczne wersje platformy i aparatu.
DisableLocalAdminMerge ustawienie	To ustawienie jest również nazywane zapobieganiem scalaniu listy lokalnej. DisableLocalAdminMergenależy włączyć, aby ustawienia skonfigurowane na urządzeniu nie były scalane z zasadami organizacji, takimi jak ustawienia w Intune. Aby uzyskać więcej informacji, zobacz DisableLocalAdminMerge.
Zarządzanie urządzeniami	Urządzenia są zarządzane tylko w Intune lub zarządzane tylko przy użyciu Configuration Manager. Sens musi być włączony.
Wykluczenia programu antywirusowego	Microsoft Defender wykluczenia programu antywirusowego są zarządzane w Microsoft Intune lub Configuration Manager. Aby uzyskać więcej informacji, zobacz Ustawienia zasad programu antywirusowego Microsoft Defender w Microsoft Intune dla urządzeń z systemem Windows. Funkcje ochrony wykluczeń programu antywirusowego Microsoft Defender są włączone na urządzeniach. Aby uzyskać więcej informacji, zobacz How to determine whether antivirus exclusions are tamper protected on a Windows device (Jak określić, czy wykluczenia antywirusowe są chronione przed naruszeniami na urządzeniu z systemem Windows).

Uwaga

Jeśli na przykład Configuration Manager jest używana wyłącznie do zarządzania wykluczeniami i spełnieniem wymaganych warunków, wykluczenia z Configuration Manager są chronione przed naruszeniami. W takim przypadku nie ma potrzeby wypychania wykluczeń programu antywirusowego przy użyciu Microsoft Intune.

Aby uzyskać bardziej szczegółowe informacje na temat wykluczeń programu antywirusowego Microsoft Defender, zobacz Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender.

Jak ustalić, czy wykluczenia antywirusowe są chronione przed naruszeniami na urządzeniu z systemem Windows

Możesz użyć klucza rejestru, aby określić, czy funkcja ochrony Microsoft Defender wykluczenia antywirusowe jest włączona. W poniższej procedurze opisano sposób wyświetlania, ale nie zmieniania stanu ochrony przed naruszeniami.

1. Na urządzeniu z systemem Windows otwórz Redaktor rejestru. (Tryb tylko do odczytu jest w porządku; nie edytujesz klucza rejestru).

2. Aby potwierdzić, że urządzenie jest zarządzane tylko przez Intune lub zarządzane tylko przez Configuration Manager z włączoną funkcją Sense, sprawdź następujące wartości klucza rejestru:

   • ManagedDefenderProductType (znajduje się w Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender lub HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (znajduje się w Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM lub HKLM\SOFTWARE\Microsoft\SenseCM)

   W poniższej tabeli podsumowano, co oznaczają wartości klucza rejestru:

   ManagedDefenderProductType wartość	EnrollmentStatus wartość	Co oznacza wartość
   6	(dowolna wartość)	Urządzenie jest zarządzane tylko za pomocą Intune. (Spełnia wymaganie, aby wykluczenia były chronione przed naruszeniami).
   7	4	Urządzenie jest zarządzane za pomocą Configuration Manager. (Spełnia wymaganie, aby wykluczenia były chronione przed naruszeniami).
   7	3	Urządzenie jest współzarządzane za pomocą Configuration Manager i Intune. (Nie jest to obsługiwane w przypadku wykluczeń, które mają być chronione przed naruszeniami).
   Wartość inna niż 6 lub 7	(dowolna wartość)	Urządzenie nie jest zarządzane tylko przez Intune lub tylko Configuration Manager. (Wykluczenia nie są chronione przed naruszeniami).

3. Aby potwierdzić, że ochrona przed naruszeniami została wdrożona i czy wykluczenia są chronione przed naruszeniami, sprawdź TPExclusions klucz rejestru (znajdujący się w Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features lub HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Co oznacza wartość
   1	Spełnione są wymagane warunki, a na urządzeniu włączono nową funkcję ochrony wykluczeń. (Wykluczenia są chronione przed naruszeniami).
   0	Ochrona przed naruszeniami nie chroni obecnie wykluczeń na urządzeniu. (Jeśli wszystkie wymagania zostały spełnione i ten stan wydaje się nieprawidłowy, skontaktuj się z pomocą techniczną).

Uwaga

Nie zmieniaj wartości kluczy rejestru. Użyj poprzedniej procedury tylko do celów informacyjnych. Zmiana kluczy nie ma wpływu na to, czy ochrona przed naruszeniami ma zastosowanie do wykluczeń.

Zobacz też

• Często zadawane pytania dotyczące ochrony przed naruszeniami
• Usługa Defender dla punktu końcowego na urządzeniach z systemem innym niż Windows
• Rozwiązywanie problemów z ochroną przed naruszeniami
• Zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach przy użyciu Microsoft Intune

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.