Zarządzanie zabezpieczeniami urządzeń przy użyciu zasad zabezpieczeń punktu końcowego w Microsoft Intune

Jako administrator zabezpieczeń zajmujący się zabezpieczeniami urządzeń użyj zasad zabezpieczeń punktu końcowego Intune do zarządzania ustawieniami zabezpieczeń na urządzeniach. Te profile są podobne w koncepcji do szablonu zasad konfiguracji urządzenia lub punktu odniesienia zabezpieczeń, które są logicznymi grupami powiązanych ustawień. Jednak w przypadku, gdy profile konfiguracji urządzeń i punkty odniesienia zabezpieczeń obejmują wiele różnych ustawień poza zakresem zabezpieczania punktów końcowych, każdy profil zabezpieczeń punktu końcowego koncentruje się na określonym podzestawie zabezpieczeń urządzeń.

W przypadku korzystania z zasad zabezpieczeń punktu końcowego wraz z innymi typami zasad, takimi jak punkty odniesienia zabezpieczeń lub szablony ochrony punktu końcowego z zasad konfiguracji urządzeń, ważne jest opracowanie planu korzystania z wielu typów zasad w celu zminimalizowania ryzyka konfliktu ustawień. Punkty odniesienia zabezpieczeń, zasady konfiguracji urządzeń i zasady zabezpieczeń punktu końcowego są traktowane jako równe źródła ustawień konfiguracji urządzenia przez Intune. Konflikt ustawień występuje, gdy urządzenie odbiera dwie różne konfiguracje dla ustawienia z wielu źródeł. Wiele źródeł może zawierać oddzielne typy zasad i wiele wystąpień tych samych zasad.

Gdy Intune ocenia zasady dla urządzenia i identyfikuje konfiguracje powodujące konflikt dla ustawienia, to ustawienie może zostać oflagowane z powodu błędu lub konfliktu i nie może zostać zastosowane do urządzenia. Aby uzyskać informacje, które mogą pomóc w zarządzaniu konfliktami, zobacz następujące wskazówki dotyczące zasad i profilu:

• Profile konfiguracji urządzeń
• Profile zabezpieczeń punktu końcowego
• Punkty odniesienia zabezpieczeń

Dostępne typy zasad zabezpieczeń punktu końcowego

Zasady zabezpieczeń punktu końcowego znajdziesz w obszarze Zarządzanie w węźle Zabezpieczenia punktu końcowegocentrum administracyjnego Microsoft Intune.

Poniżej przedstawiono krótkie opisy każdego typu zasad zabezpieczeń punktu końcowego. Aby dowiedzieć się więcej o nich, w tym o dostępnych profilach dla każdego z nich, skorzystaj z linków do zawartości dedykowanej poszczególnym typom zasad:

• Ochrona konta — zasady ochrony konta ułatwiają ochronę tożsamości i kont użytkowników. Zasady ochrony konta koncentrują się na ustawieniach funkcji Windows Hello i Credential Guard, które są częścią zarządzania tożsamościami i dostępem systemu Windows.

• Oprogramowanie antywirusowe — zasady ochrony antywirusowej pomagają administratorom zabezpieczeń skoncentrować się na zarządzaniu odrębną grupą ustawień programu antywirusowego dla urządzeń zarządzanych.

• Kontrola aplikacji dla firm (wersja zapoznawcza) — zarządzanie zatwierdzonymi aplikacjami dla urządzeń z systemem Windows przy użyciu zasad kontroli aplikacji dla firm i instalatorów zarządzanych dla Microsoft Intune. Intune zasady kontroli aplikacji dla firm to implementacja funkcji Windows Defender Application Control (WDAC).

• Zmniejszanie obszaru podatnego na ataki — gdy program antywirusowy Defender jest używany na urządzeniach Windows 10/11, użyj zasad zabezpieczeń punktu końcowego Intune w celu zmniejszenia obszaru ataków, aby zarządzać tymi ustawieniami dla urządzeń.

• Szyfrowanie dysków — profile szyfrowania dysków zabezpieczeń punktu końcowego koncentrują się tylko na ustawieniach odpowiednich dla wbudowanej metody szyfrowania urządzeń, takich jak FileVault, BitLocker i Personal Data Encryption (dla systemu Windows). Dzięki temu administratorzy zabezpieczeń mogą łatwo zarządzać ustawieniami szyfrowania na poziomie dysku lub folderu bez konieczności nawigowania po wielu niepowiązanych ustawieniach.

• Wykrywanie i reagowanie na punkty końcowe — podczas integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Intune użyj zasad zabezpieczeń punktu końcowego na potrzeby wykrywania i reagowania na punkty końcowe (EDR), aby zarządzać ustawieniami EDR i dołączać urządzenia do Ochrona punktu końcowego w usłudze Microsoft Defender.

• Zapora — użyj zasad zapory zabezpieczeń punktu końcowego w Intune, aby skonfigurować wbudowaną zaporę urządzeń z systemem macOS i Windows 10/11.

Poniższe sekcje dotyczą wszystkich zasad zabezpieczeń punktu końcowego.

Przypisywanie kontroli dostępu na podstawie ról dla zasad zabezpieczeń punktu końcowego

Aby zarządzać Intune zasadami zabezpieczeń punktu końcowego, należy użyć konta, które zawiera uprawnienia Intune kontroli dostępu opartej na rolach (RBAC) dla zasad oraz określonych praw związanych z zadaniem, którym zarządzasz.

Uwaga

Przed czerwcem 2024 r. Intune zasady zabezpieczeń punktu końcowego były zarządzane za pomocą praw udostępnianych przez uprawnienie Punkty odniesienia zabezpieczeń. Począwszy od czerwca 2024 r., Intune zaczął zwalniać szczegółowe uprawnienia do zarządzania poszczególnymi obciążeniami zabezpieczeń punktów końcowych.

Za każdym razem, gdy nowe szczegółowe uprawnienia dla obciążenia zabezpieczeń punktu końcowego są dodawane do Intune, te same prawa są usuwane z uprawnienia Punkty odniesienia zabezpieczeń. Jeśli używasz ról niestandardowych z uprawnieniem Punkty odniesienia zabezpieczeń, nowe uprawnienie RBAC jest automatycznie przypisywane do ról niestandardowych z tymi samymi prawami, które zostały przyznane za pośrednictwem uprawnień Punkt odniesienia zabezpieczeń . To automatyczne przypisanie gwarantuje, że administratorzy nadal mają te same uprawnienia, jakie mają dzisiaj.

Role rbac i uprawnienia do zarządzania obciążeniami zabezpieczeń punktu końcowego

Podczas przypisywania uprawnień RBAC do zarządzania aspektami zabezpieczeń punktu końcowego zalecamy przypisanie administratorom minimalnych uprawnień wymaganych do wykonywania określonych zadań. Każde z uprawnień RBAC, które zarządzają zabezpieczeniami punktu końcowego, obejmuje następujące prawa, które można indywidualnie przyznać lub wstrzymać podczas tworzenia niestandardowej roli RBAC:

• Przypisz
• Tworzenie
• Usuń
• Odczyt
• Aktualizacja
• Wyświetlanie raportów

Używanie niestandardowych ról RBAC

Następujące uprawnienia obejmują prawa do obciążeń zabezpieczeń punktu końcowego:

• Kontrola aplikacji dla firm — przyznaje prawa do zarządzania zasadami i raportami kontroli aplikacji .

• Zmniejszanie obszaru podatnego na ataki — przyznaje prawa do zarządzania niektórymi, ale nie wszystkimi zasadami i raportami dotyczącymi zmniejszania obszaru ataków . W przypadku tego obciążenia następujące profile (szablony) nadal wymagają praw udostępnianych przez uprawnienie Punkty odniesienia zabezpieczeń :

  • Izolacja aplikacji i przeglądarki systemu Windows
  • Ochrona sieci Web systemu Windows
  • Kontrolka aplikacji systemu Windows
  • Ochrona przed lukami w zabezpieczeniach systemu Windows

• Wykrywanie i reagowanie na punkty końcowe — przyznaje prawa do zarządzania zasadami i raportami wykrywania i reagowania na punkty końcowe (EDR).

• Punkty odniesienia zabezpieczeń — przyznaje uprawnienia do zarządzania wszystkimi obciążeniami zabezpieczeń punktów końcowych, które nie mają dedykowanego przepływu pracy.

• Konfiguracje urządzeń — ustawienie Wyświetl raporty odpowiednie dla konfiguracji urządzeń przyznaje również prawa do wyświetlania, generowania i eksportowania raportów dla zasad zabezpieczeń punktu końcowego.

Ważna

Szczegółowe uprawnienia programu antywirusowego dla zasad zabezpieczeń punktu końcowego mogą być tymczasowo widoczne w niektórych dzierżawach. To uprawnienie nie zostało wydane i nie jest obsługiwane do użycia. Konfiguracje uprawnień programu antywirusowego są ignorowane przez Intune. Gdy program antywirusowy stanie się dostępny jako szczegółowe uprawnienie, jego dostępność zostanie ogłoszona w artykule Co nowego w Microsoft Intune.

Używanie wbudowanych ról RBAC

Następujące Intune wbudowane role RBAC można również przypisać do administratorów w celu zapewnienia uprawnień do zarządzania niektórymi lub wszystkimi zadaniami dla obciążeń i raportów zabezpieczeń punktu końcowego.

• Operator pomocy technicznej
• Operator tylko do odczytu
• Menedżer zabezpieczeń punktów końcowych

Aby uzyskać więcej informacji na temat określonych uprawnień i praw, które obejmuje każda rola, zobacz Wbudowane uprawnienia roli dla Microsoft Intune.

Zagadnienia dotyczące nowych uprawnień zabezpieczeń punktu końcowego

Po dodaniu nowych szczegółowych uprawnień dla obciążeń zabezpieczeń punktu końcowego nowe uprawnienie obciążenia ma taką samą strukturę uprawnień i praw jak uprawnienie Punkty odniesienia zabezpieczeń . Obejmuje to zarządzanie zasadami zabezpieczeń w ramach tych obciążeń, które mogą zawierać nakładające się ustawienia w innych typach zasad, takich jak zasady punktu odniesienia zabezpieczeń lub zasady wykazu ustawień, które podlegają osobnym uprawnieniom RBAC.

Jeśli używasz scenariusza zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint, te same zmiany uprawnień RBAC mają zastosowanie do portalu Microsoft Defender na potrzeby zarządzania zasadami zabezpieczeń.

Tworzenie zasad zabezpieczeń punktu końcowego

Poniższa procedura zawiera ogólne wskazówki dotyczące tworzenia zasad zabezpieczeń punktu końcowego:

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia punktu końcowego , a następnie wybierz typ zasad, które chcesz skonfigurować, a następnie wybierz pozycję Utwórz zasady. Wybierz spośród następujących typów zasad:

   • Ochrona konta
   • Program antywirusowy
   • Kontrola aplikacji (wersja zapoznawcza)
   • Zmniejszanie obszaru podatnego na ataki
   • Szyfrowanie dysków
   • Wykrywanie i reagowanie dotyczące punktów końcowych
   • Zapora

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę, dla której tworzysz zasady. Dostępne opcje zależą od wybranego typu zasad.
   • Profil: wybierz spośród dostępnych profilów wybranej platformy. Aby uzyskać informacje o profilach, zobacz dedykowaną sekcję w tym artykule dotyczącą wybranego typu zasad.

4. Wybierz pozycję Utwórz.

5. Na stronie Podstawowe wprowadź nazwę i opis dla profilu, a następnie wybierz pozycję Dalej.

6. Na stronie Ustawienia konfiguracji rozwiń każdą grupę ustawień i skonfiguruj ustawienia, które chcesz zarządzać przy użyciu tego profilu.

   Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.

7. Na stronie Tagi zakresu wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi , aby przypisać tagi zakresu do profilu.

   Wybierz przycisk Dalej, aby kontynuować.

8. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

9. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Duplikowanie zasad

Zasady zabezpieczeń punktu końcowego obsługują duplikowanie w celu utworzenia kopii oryginalnych zasad. Scenariusz duplikowania zasad jest przydatny, jeśli chcesz przypisać podobne zasady do różnych grup, ale nie chcesz ręcznie ponownie tworzyć całych zasad. Zamiast tego można zduplikować oryginalne zasady, a następnie wprowadzić tylko zmiany wymagane przez nowe zasady. Możesz zmienić tylko określone ustawienie i grupę, do których są przypisane zasady.

Podczas tworzenia duplikatu nadasz kopii nową nazwę. Kopia jest wykonywana z tymi samymi konfiguracjami ustawień i tagami zakresu co oryginalny, ale nie będzie miała żadnych przypisań. Aby utworzyć przypisania, musisz później edytować nowe zasady.

Następujące typy zasad obsługują duplikowanie:

• Ochrona konta
• Kontrola aplikacji (wersja zapoznawcza)
• Program antywirusowy
• Zmniejszanie obszaru podatnego na ataki
• Szyfrowanie dysków
• Wykrywanie i reagowanie dotyczące punktów końcowych
• Zapora

Po utworzeniu nowych zasad przejrzyj i edytuj zasady, aby wprowadzić zmiany w konfiguracji.

Aby zduplikować zasady

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
2. Znajdź zasady, które chcesz skopiować z listy zasad, a następnie wybierz wielokropek (...) dla tego wiersza, aby otworzyć menu Kontekst.
3. Wybierz pozycję Duplikuj.
4. Podaj nową nazwę zasad, a następnie wybierz pozycję Zapisz.

Aby edytować zasady

1. Wybierz nowe zasady, a następnie wybierz pozycję Właściwości.
2. Wybierz pozycję Ustawienia, aby rozwinąć listę ustawień konfiguracji w zasadach. Nie można zmodyfikować ustawień z tego widoku, ale możesz sprawdzić, jak są skonfigurowane.
3. Aby zmodyfikować zasady, wybierz pozycję Edytuj dla każdej kategorii, w której chcesz wprowadzić zmianę:
   • Podstawy
   • Przypisania
   • Tagi zakresu
   • Ustawienia konfiguracji
4. Po wprowadzeniu zmian wybierz pozycję Zapisz , aby zapisać zmiany. Przed wprowadzeniem zmian do dodatkowych kategorii należy zapisać zmiany w jednej kategorii.

Zarządzanie konfliktami

Wiele ustawień urządzenia, które można zarządzać przy użyciu zasad zabezpieczeń punktu końcowego (zasad zabezpieczeń) jest również dostępnych za pośrednictwem innych typów zasad w Intune. Te inne typy zasad obejmują zasady konfiguracji urządzeń i punkty odniesienia zabezpieczeń. Ponieważ ustawienia mogą być zarządzane za pomocą kilku różnych typów zasad lub wielu wystąpień tego samego typu zasad, należy przygotować się do identyfikowania i rozwiązywania konfliktów zasad dla urządzeń, które nie są zgodne z oczekiwanymi konfiguracjami.

• Punkty odniesienia zabezpieczeń mogą ustawić wartość inną niż domyślna dla ustawienia, aby było zgodne z zalecaną konfiguracją adresów odniesienia.
• Inne typy zasad, w tym zasady zabezpieczeń punktu końcowego, domyślnie ustawiają wartość Nieskonfigurowane . Te inne typy zasad wymagają jawnej konfiguracji ustawień w zasadach.

Niezależnie od metody zasad zarządzanie tym samym ustawieniem na tym samym urządzeniu za pomocą wielu typów zasad lub za pośrednictwem wielu wystąpień tego samego typu zasad może powodować konflikty, których należy unikać.

Informacje zawarte w poniższych linkach mogą pomóc w identyfikowaniu i rozwiązywaniu konfliktów:

• Rozwiązywanie problemów z zasadami i profilami w Intune
• Monitorowanie punktów odniesienia zabezpieczeń

Następne kroki

Zarządzanie zabezpieczeniami punktu końcowego w Intune