Zarządzanie zasadami zabezpieczeń punktu końcowego na urządzeniach dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender

Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender, możesz wdrożyć zasady zabezpieczeń punktu końcowego z Microsoft Intune, aby zarządzać ustawieniami zabezpieczeń usługi Defender na urządzeniach dołączonych do usługi Defender bez rejestrowania tych urządzeń w usłudze Intune. Ta funkcja jest znana jako zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint.

Zarządzanie urządzeniami za pośrednictwem zarządzania ustawieniami zabezpieczeń:

  • Za pomocą centrum administracyjnego Microsoft Intune lub portalu usługi Microsoft 365 Defender można skonfigurować zasady zabezpieczeń punktu końcowego dla usługi Defender for Endpoint i przypisać te zasady do grup Tożsamość Microsoft Entra. Portal usługi Defender zawiera interfejs użytkownika na potrzeby widoków urządzeń, zarządzania zasadami i raportów dotyczących zarządzania ustawieniami zabezpieczeń.

    Aby wyświetlić wskazówki dotyczące zarządzania zasadami zabezpieczeń punktu końcowego usługi Intune w portalu usługi Defender, zobacz Zarządzanie zasadami zabezpieczeń punktu końcowego w Ochrona punktu końcowego w usłudze Microsoft Defender w zawartości usługi Defender.

  • Urządzenia uzyskują przypisane zasady na podstawie obiektu urządzenia Entra ID. Urządzenie, które nie zostało jeszcze zarejestrowane w Microsoft Entra, jest przyłączone jako część tego rozwiązania.

  • Gdy urządzenie odbiera zasady, składniki usługi Defender for Endpoint na urządzeniu wymuszają zasady i raportują stan urządzenia. Stan urządzenia jest dostępny w centrum administracyjnym Microsoft Intune i w portalu Microsoft Defender.

Ten scenariusz rozszerza obszar Microsoft Intune Endpoint Security na urządzenia, które nie są w stanie zarejestrować się w usłudze Intune. Gdy urządzenie jest zarządzane przez usługę Intune (zarejestrowane w usłudze Intune), urządzenie nie przetwarza zasad zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint. Zamiast tego użyj usługi Intune, aby wdrożyć zasady dla usługi Defender dla punktu końcowego na urządzeniach.

Dotyczy:

  • Windows 10 i Windows 11
  • Windows Server (2012 R2 i nowsze)
  • Linux
  • macOS

Koncepcyjna prezentacja Microsoft Defender rozwiązania Endpoint-Attach.

Wymagania wstępne

Zapoznaj się z poniższymi sekcjami, aby zapoznać się z wymaganiami dotyczącymi scenariusza zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint.

Środowiska

Gdy obsługiwane urządzenie jest dołączane do Ochrona punktu końcowego w usłudze Microsoft Defender:

  • Urządzenie jest badane pod kątem istniejącej obecności Microsoft Intune, czyli rejestracji zarządzania urządzeniami przenośnymi (MDM) w usłudze Intune.
  • Urządzenia bez obecności usługi Intune włączają funkcję zarządzania ustawieniami zabezpieczeń.
  • W przypadku urządzeń, które nie są w pełni Microsoft Entra zarejestrowane, w Tożsamość Microsoft Entra jest tworzona syntetyczna tożsamość urządzenia, która umożliwia urządzeniu pobieranie zasad. W pełni zarejestrowane urządzenia używają bieżącej rejestracji.
  • Zasady pobierane z Microsoft Intune są wymuszane na urządzeniu przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Zarządzanie ustawieniami zabezpieczeń nie jest jeszcze obsługiwane w chmurach rządowych. Aby uzyskać więcej informacji, zobacz Zgodność funkcji z usługą komercyjną w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Wymagania dotyczące łączności

Urządzenia muszą mieć dostęp do następującego punktu końcowego:

  • *.dm.microsoft.com — Użycie symbolu wieloznacznego obsługuje punkty końcowe usługi w chmurze używane do rejestracji, ewidencjonowania i raportowania, które mogą ulec zmianie w miarę skalowania usługi.

Obsługiwane platformy

Zasady zarządzania zabezpieczeniami Ochrona punktu końcowego w usłudze Microsoft Defender są obsługiwane dla następujących platform urządzeń:

Linux:

W przypadku Ochrona punktu końcowego w usłudze Microsoft Defender dla agenta systemu Linux w wersji 101.23052.0009 lub nowszej zarządzanie ustawieniami zabezpieczeń obsługuje następujące dystrybucje systemu Linux:

  • Red Hat Enterprise Linux 7.2 lub nowszy
  • CentOS 7.2 lub nowszy
  • Ubuntu 16.04 LTS lub nowszy LTS
  • Debian 9 lub nowszy
  • SUSE Linux Enterprise Server 12 lub nowszy
  • Oracle Linux 7.2 lub nowszy
  • Amazon Linux 2
  • Fedora 33 lub nowsza

Aby potwierdzić wersję agenta usługi Defender, w portalu usługi Defender przejdź do strony urządzeń, a następnie na karcie Spisy urządzeń wyszukaj pozycję Defender dla systemu Linux. Aby uzyskać wskazówki dotyczące aktualizowania wersji agenta, zobacz Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Znany problem: W przypadku agenta usługi Defender w wersji 101.23052.0009 nie można zarejestrować urządzeń z systemem Linux, gdy brakuje następującej ścieżki pliku: /sys/class/dmi/id/board_vendor.

macOS:

W przypadku Ochrona punktu końcowego w usłudze Microsoft Defender dla agenta systemu macOSw wersji 101.23052.0004 lub nowszej zarządzanie ustawieniami zabezpieczeń obsługuje następujące wersje systemu macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Aby potwierdzić wersję agenta usługi Defender, w portalu usługi Defender przejdź do strony urządzeń, a następnie na karcie Spisy urządzeń wyszukaj pozycję Defender dla systemu macOS. Aby uzyskać wskazówki dotyczące aktualizowania wersji agenta, zobacz Wdrażanie aktualizacji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Znany problem: w przypadku agenta usługi Defender w wersji 101.23052.0004 urządzenia z systemem macOS zarejestrowane w Tożsamość Microsoft Entra przed zarejestrowaniem w zarządzaniu ustawieniami zabezpieczeń otrzymują zduplikowany identyfikator urządzenia w Tożsamość Microsoft Entra, który jest rejestracją syntetyczną. Podczas tworzenia grupy Microsoft Entra dla zasad określania wartości docelowej należy użyć syntetycznego identyfikatora urządzenia utworzonego przez zarządzanie ustawieniami zabezpieczeń. W Tożsamość Microsoft Entra kolumna Typ sprzężenia dla syntetycznego identyfikatora urządzenia jest pusta.

Windows:

Zarządzanie ustawieniami zabezpieczeń nie działa i nie jest obsługiwane na następujących urządzeniach:

  • Nietrwałe pulpity, takie jak klienci infrastruktury pulpitu wirtualnego (VDI) lub usługi Azure Virtual Desktops.
  • Kontrolery domeny

Ważna

W niektórych przypadkach kontrolerami domeny z systemem operacyjnym serwera niższego poziomu (2012 R2 lub 2016) mogą być przypadkowo zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender. Aby upewnić się, że nie dzieje się to w twoim środowisku, zalecamy upewnienie się, że kontrolery domeny nie mają tagów "ZARZĄDZANIE MDE" ani nie są zarządzane przez rozwiązanie MDE.

Licencjonowanie i subskrypcje

Do korzystania z zarządzania ustawieniami zabezpieczeń potrzebne są następujące elementy:

  • Subskrypcja, która udziela licencji dla Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak Microsoft 365, lub licencja autonomiczna tylko dla Ochrona punktu końcowego w usłudze Microsoft Defender. Subskrypcja, która udziela licencji Ochrona punktu końcowego w usłudze Microsoft Defender, udziela również dzierżawy dostępu do węzła zabezpieczeń punktu końcowego centrum administracyjnego Microsoft Intune.

    Uwaga

    Wyjątek: jeśli masz dostęp do Ochrona punktu końcowego w usłudze Microsoft Defender tylko za pośrednictwem Microsoft Defender dla serwerów (część Microsoft Defender for Cloud, dawniej Azure Security Center), funkcja zarządzania ustawieniami zabezpieczeń nie jest dostępna. Musisz mieć aktywną co najmniej jedną licencję subskrypcji Ochrona punktu końcowego w usłudze Microsoft Defender (użytkownika).

    Węzeł Zabezpieczenia punktu końcowego to miejsce, w którym można konfigurować i wdrażać zasady do zarządzania Ochrona punktu końcowego w usłudze Microsoft Defender dla urządzeń i monitorowania stanu urządzenia.

    Aby uzyskać bieżące informacje na temat opcji, zobacz Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender.

Architektura

Na poniższym diagramie przedstawiono koncepcyjną reprezentację rozwiązania do zarządzania konfiguracją zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender.

Diagram koncepcyjny rozwiązania do zarządzania konfiguracją zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender

  1. Urządzenia dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender.
  2. Urządzenia komunikują się z usługą Intune. Ta komunikacja umożliwia Microsoft Intune dystrybuowanie zasad przeznaczonych dla urządzeń podczas ich zaewidencjonowania.
  3. Dla każdego urządzenia w Tożsamość Microsoft Entra jest ustanawiana rejestracja:
    • Jeśli urządzenie zostało wcześniej w pełni zarejestrowane, na przykład urządzenie przyłączone hybrydowo, używana jest istniejąca rejestracja.
    • W przypadku urządzeń, które nie zostały zarejestrowane, tożsamość urządzenia syntetycznego jest tworzona w Tożsamość Microsoft Entra, aby umożliwić urządzeniu pobieranie zasad. Jeśli urządzenie z rejestracją syntetyczną ma utworzoną pełną rejestrację Microsoft Entra, rejestracja syntetyczna zostanie usunięta, a zarządzanie urządzeniami będzie kontynuowane nieprzerwanie przy użyciu pełnej rejestracji.
  4. Usługa Defender dla punktu końcowego zgłasza stan zasad z powrotem do Microsoft Intune.

Ważna

Zarządzanie ustawieniami zabezpieczeń używa syntetycznej rejestracji dla urządzeń, które nie są w pełni zarejestrowane w Tożsamość Microsoft Entra, i porzuca Microsoft Entra wymagań wstępnych dołączania hybrydowego. Dzięki tej zmianie urządzenia z systemem Windows, na których wcześniej wystąpiły błędy rejestracji, rozpoczną dołączanie do usługi Defender, a następnie otrzymają i przetworzyć zasady zarządzania ustawieniami zabezpieczeń.

Aby odfiltrować urządzenia, które nie mogły zostać zarejestrowane z powodu niewywiązania się z wymagań wstępnych Microsoft Entra dołączenia hybrydowego, przejdź do listy Urządzenia w portalu Microsoft Defender i przefiltruj według stanu rejestracji. Ponieważ te urządzenia nie są w pełni zarejestrowane, ich atrybuty urządzenia pokazują usługę MDM = Intune i typ = sprzężeniapusty. Te urządzenia będą teraz rejestrowane przy użyciu zarządzania ustawieniami zabezpieczeń przy użyciu rejestracji syntetycznej.

Po zarejestrowaniu tych urządzeń są wyświetlane na listach urządzeń dla portali Microsoft Defender, Microsoft Intune i Microsoft Entra. Chociaż urządzenia nie będą w pełni zarejestrowane w Microsoft Entra, ich rejestracja syntetyczna jest liczna jako jeden obiekt urządzenia.

Czego można oczekiwać w portalu Microsoft Defender

Możesz użyć spisu urządzeń Microsoft Defender XDR, aby potwierdzić, że urządzenie korzysta z funkcji zarządzania ustawieniami zabezpieczeń w usłudze Defender for Endpoint, przeglądając stan urządzeń w kolumnie Zarządzane przez. Informacje zarządzane przez są również dostępne na stronie panelu bocznego urządzeń lub urządzenia. Zarządzana przez powinna stale wskazywać, że jest zarządzana przez rozwiązanie MDE. 

Możesz również potwierdzić, że urządzenie zostało pomyślnie zarejestrowane w zarządzaniu ustawieniami zabezpieczeń , potwierdzając, że na stronie panelu po stronie urządzenia lub urządzenia stan rejestracji MDE jest wyświetlany jako Powodzenie.

Zrzut ekranu przedstawiający stan rejestracji zarządzania ustawieniami zabezpieczeń urządzeń na stronie urządzenia w portalu Microsoft Defender.

Jeśli stan rejestracji mde nie wyświetla powodzenie, upewnij się, że patrzysz na urządzenie, które zostało zaktualizowane i znajduje się w zakresie zarządzania ustawieniami zabezpieczeń. (Zakres można skonfigurować na stronie Zakres wymuszania podczas konfigurowania zarządzania ustawieniami zabezpieczeń).

Czego można oczekiwać w centrum administracyjnym Microsoft Intune

W centrum administracyjnym Microsoft Intune przejdź do strony Wszystkie urządzenia. Urządzenia zarejestrowane przy użyciu zarządzania ustawieniami zabezpieczeń są wyświetlane tutaj, tak jak w portalu usługi Defender. W centrum administracyjnym w polu Urządzenia zarządzane przez powinno być wyświetlane rozwiązanie MDE.

Zrzut ekranu przedstawiający stronę urządzenia w centrum administracyjnym usługi Intune z wyróżnionym stanem Zarządzane przez urządzenie.

Porada

W czerwcu 2023 r. zarządzanie ustawieniami zabezpieczeń zaczęło używać rejestracji syntetycznej dla urządzeń, które nie są w pełni zarejestrowane w Microsoft Entra. W przypadku tej zmiany urządzenia, na których wcześniej wystąpiły błędy rejestracji, rozpoczną dołączanie do usługi Defender, a następnie otrzymają i przetworzyć zasady zarządzania ustawieniami zabezpieczeń.

Czego można oczekiwać w usłudze Microsoft Azure Portal

Na stronie Wszystkie urządzenia w Azure Portal firmy Microsoft można wyświetlić szczegóły urządzenia.

Zrzut ekranu przedstawiający stronę Wszystkie urządzenia w Azure Portal firmy Microsoft z wyróżnionym przykładowym urządzeniem.

Aby upewnić się, że wszystkie urządzenia zarejestrowane w usłudze Defender for Endpoint security settings management odbierają zasady, zalecamy utworzenie dynamicznej grupy Microsoft Entra na podstawie typu systemu operacyjnego urządzeń. W przypadku grupy dynamicznej urządzenia zarządzane przez usługę Defender for Endpoint są automatycznie dodawane do grupy bez konieczności wykonywania przez administratorów innych zadań, takich jak tworzenie nowych zasad.

Ważna

Od lipca 2023 r. do 25 września 2023 r. zarządzanie ustawieniami zabezpieczeń uruchomiło publiczną wersję zapoznawczą, która wprowadziła nowe zachowanie dla urządzeń zarządzanych i zarejestrowanych w scenariuszu. Od 25 września 2023 r. zachowanie publicznej wersji zapoznawczej stało się ogólnie dostępne i teraz dotyczy wszystkich dzierżaw korzystających z zarządzania ustawieniami zabezpieczeń.

Jeśli korzystano z zarządzania ustawieniami zabezpieczeń przed 25 września 2023 r. i nie przyłączyliśmy się do publicznej wersji zapoznawczej, która trwała od lipca 2023 r. do 25 września 2023 r., przejrzyj grupy Microsoft Entra korzystające z etykiet systemowych, aby wprowadzić zmiany, które będą identyfikować nowe urządzenia zarządzane za pomocą zarządzania ustawieniami zabezpieczeń. Dzieje się tak, ponieważ przed 25 września 2023 r. urządzenia, które nie są zarządzane za pośrednictwem publicznej wersji zapoznawczej zgody, będą używać następujących etykiet systemowych (tagów) MDEManaged i MDEJoined do identyfikowania zarządzanych urządzeń. Te dwie etykiety systemowe nie są już obsługiwane i nie są już dodawane do zarejestrowanych urządzeń.

Skorzystaj z poniższych wskazówek dla grup dynamicznych:

  • (Zalecane) W przypadku zasad określania wartości docelowej należy używać grup dynamicznych opartych na platformie urządzeń przy użyciu atrybutu deviceOSType (Windows, Windows Server, macOS, Linux), aby zapewnić, że zasady będą nadal dostarczane dla urządzeń, które zmieniają typy zarządzania, na przykład podczas rejestracji w usłudze MDM.

  • W razie potrzeby grupy dynamiczne zawierające wyłącznie urządzenia zarządzane przez usługę Defender for Endpoint mogą być kierowane przez zdefiniowanie grupy dynamicznej przy użyciu atrybutu managementTypeMicrosoftSense. Użycie tego atrybutu dotyczy wszystkich urządzeń zarządzanych przez usługę Defender for Endpoint za pośrednictwem funkcji zarządzania ustawieniami zabezpieczeń, a urządzenia pozostają w tej grupie tylko wtedy, gdy są zarządzane przez usługę Defender for Endpoint.

Ponadto podczas konfigurowania zarządzania ustawieniami zabezpieczeń, jeśli zamierzasz zarządzać całymi flotami platform systemu operacyjnego przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender, wybierając wszystkie urządzenia zamiast oznakowanych urządzeń w systemie Ochrona punktu końcowego w usłudze Microsoft Defender stronę Zakres wymuszania, zrozum, że wszystkie rejestracje syntetyczne są liczone względem Tożsamość Microsoft Entra limitów przydziału tak samo jak pełne rejestracje.

Którego rozwiązania należy użyć?

Microsoft Intune obejmuje kilka metod i typów zasad do zarządzania konfiguracją usługi Defender for Endpoint na urządzeniach. W poniższej tabeli zidentyfikowano zasady i profile usługi Intune, które obsługują wdrażanie na urządzeniach zarządzanych przez usługę Defender for Endpoint Security Settings Management i mogą pomóc w określeniu, czy to rozwiązanie jest odpowiednie dla Twoich potrzeb.

Podczas wdrażania zasad zabezpieczeń punktu końcowego, które są obsługiwane zarówno w przypadku zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint, jak i Microsoft Intune, pojedyncze wystąpienie tych zasad może być przetwarzane przez:

  • Urządzenia obsługiwane przez zarządzanie ustawieniami zabezpieczeń (Microsoft Defender)
  • Urządzenia zarządzane przez usługę Intune lub Configuration Manager.

Profile dla Windows 10 i nowszej platformy nie są obsługiwane w przypadku urządzeń zarządzanych przez zarządzanie ustawieniami zabezpieczeń.

Dla każdego typu urządzenia są obsługiwane następujące profile:

Linux

Następujące typy zasad obsługują platformę Systemu Linux .

Zasady zabezpieczeń punktu końcowego Profil Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint Microsoft Intune
Antivirus Program antywirusowy Microsoft Defender Obsługiwane Obsługiwane
Antivirus Wykluczenia programu antywirusowego Microsoft Defender Obsługiwane Obsługiwane
Wykrywanie i reagowanie dotyczące punktów końcowych Wykrywanie i reagowanie dotyczące punktów końcowych Obsługiwane Obsługiwane

macOS

Następujące typy zasad obsługują platformę systemu macOS .

Zasady zabezpieczeń punktu końcowego Profil Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint Microsoft Intune
Antivirus Program antywirusowy Microsoft Defender Obsługiwane Obsługiwane
Antivirus Wykluczenia programu antywirusowego Microsoft Defender Obsługiwane Obsługiwane
Wykrywanie i reagowanie dotyczące punktów końcowych Wykrywanie i reagowanie dotyczące punktów końcowych Obsługiwane Obsługiwane

Windows 10, Windows 11 i Windows Server

Aby obsługiwać zarządzanie ustawieniami zabezpieczeń Microsoft Defender, zasady dotyczące urządzeń z systemem Windows muszą korzystać z platformy Windows 10, Windows 11 i Windows Server. Każdy profil platformy Windows 10, Windows 11 i Windows Server może być stosowany do urządzeń zarządzanych przez usługę Intune i urządzeń zarządzanych przez zarządzanie ustawieniami zabezpieczeń.

Zasady zabezpieczeń punktu końcowego Profil Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint Microsoft Intune
Antivirus Kontrolki aktualizacji usługi Defender Obsługiwane Obsługiwane
Antivirus Program antywirusowy Microsoft Defender Obsługiwane Obsługiwane
Antivirus Wykluczenia programu antywirusowego Microsoft Defender Obsługiwane Obsługiwane
Antivirus środowisko Zabezpieczenia Windows Uwaga 1 Obsługiwane
Zmniejszanie obszaru podatnego na ataki Reguły zmniejszania obszaru ataków Obsługiwane Obsługiwane
Wykrywanie i reagowanie dotyczące punktów końcowych Wykrywanie i reagowanie dotyczące punktów końcowych Obsługiwane Obsługiwane
Zapory Zapory Obsługiwane Obsługiwane
Zapory Reguły zapory Obsługiwane Obsługiwane

1 — Profil środowiska Zabezpieczenia Windows jest dostępny w portalu usługi Defender, ale dotyczy tylko urządzeń zarządzanych przez usługę Intune. Nie jest ona obsługiwana w przypadku urządzeń zarządzanych przez Microsoft Defender zarządzania ustawieniami zabezpieczeń.

Zasady zabezpieczeń punktu końcowego to odrębne grupy ustawień przeznaczone do użycia przez administratorów zabezpieczeń, którzy koncentrują się na ochronie urządzeń w organizacji. Poniżej przedstawiono opisy zasad, które obsługują zarządzanie ustawieniami zabezpieczeń:

  • Zasady ochrony antywirusowej zarządzają konfiguracjami zabezpieczeń znalezionymi w Ochrona punktu końcowego w usłudze Microsoft Defender. Zobacz zasady ochrony antywirusowej dotyczące zabezpieczeń punktów końcowych.

    Uwaga

    Chociaż punkty końcowe nie wymagają ponownego uruchomienia w celu zastosowania zmodyfikowanych ustawień lub nowych zasad, wiemy o problemie, w którym ustawienia AllowOnAccessProtection i DisableLocalAdminMerge mogą czasami wymagać od użytkowników końcowych ponownego uruchomienia urządzeń w celu zaktualizowania tych ustawień. Obecnie badamy ten problem w celu zapewnienia rozwiązania problemu.

  • Zasady zmniejszania obszaru ataków (ASR) koncentrują się na minimalizowaniu miejsc, w których organizacja jest narażona na ataki cybernetyczne i ataki. W przypadku zarządzania ustawieniami zabezpieczeń reguły usługi ASR mają zastosowanie do urządzeń z systemem Windows 10, Windows 11 i Windows Server.

    Aby uzyskać aktualne wskazówki dotyczące ustawień stosowanych do różnych platform i wersji, zobacz Reguły asr obsługiwane systemy operacyjne w dokumentacji ochrony przed zagrożeniami systemu Windows.

    Porada

    Aby ułatwić aktualizowanie obsługiwanych punktów końcowych, rozważ użycie nowoczesnego ujednoliconego rozwiązania dla Windows Server 2012 R2 i 2016.

    Zobacz też:

  • Zasady wykrywania i reagowania na punkty końcowe (EDR) zarządzają możliwościami usługi Defender for Endpoint, które zapewniają zaawansowane wykrywanie ataków, które są niemal w czasie rzeczywistym i umożliwiają podjęcie działań. W oparciu o konfiguracje EDR analitycy zabezpieczeń mogą efektywnie ustalać priorytety alertów, uzyskiwać wgląd w pełny zakres naruszenia i podejmować działania reagowania w celu skorygowania zagrożeń. Zobacz zasady wykrywania punktów końcowych i reagowania na zabezpieczenia punktu końcowego.

  • Zasady zapory koncentrują się na zaporze usługi Defender na urządzeniach. Zobacz zasady zapory dotyczące zabezpieczeń punktu końcowego.

  • Reguły zapory konfigurują szczegółowe reguły zapory, w tym określone porty, protokoły, aplikacje i sieci. Zobacz zasady zapory dotyczące zabezpieczeń punktu końcowego.

Konfigurowanie dzierżawy pod kątem obsługi zarządzania ustawieniami zabezpieczeń punktu końcowego w usłudze Defender

Aby obsługiwać zarządzanie ustawieniami zabezpieczeń za pośrednictwem centrum administracyjnego Microsoft Intune, należy włączyć komunikację między nimi z poziomu każdej konsoli.

Poniższe sekcje przeprowadzą Cię przez ten proces.

Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender

W portalu Ochrona punktu końcowego w usłudze Microsoft Defender jako administrator zabezpieczeń:

  1. Zaloguj się do portalu Microsoft Defender i przejdź do obszaru Ustawienia> Zakreswymuszaniazarządzania konfiguracją>punktów końcowych> i włącz platformy do zarządzania ustawieniami zabezpieczeń.

    Włącz zarządzanie ustawieniami Ochrona punktu końcowego w usłudze Microsoft Defender w portalu Microsoft Defender.

    Uwaga

    Jeśli masz uprawnienie Zarządzaj ustawieniami zabezpieczeń w usłudze Security Center w portalu Ochrona punktu końcowego w usłudze Microsoft Defender i jednocześnie masz włączoną możliwość wyświetlania urządzeń ze wszystkich grup urządzeń (bez limitów kontroli dostępu na podstawie ról dla uprawnień użytkownika), możesz również wykonać tę akcję.

  2. Początkowo zalecamy przetestowanie funkcji dla każdej platformy, wybierając opcję platformy Na oznakowanych urządzeniach, a następnie tagując urządzenia tagiem MDE-Management .

    Ważna

    Używanie funkcji tagu dynamicznego Ochrona punktu końcowego w usłudze Microsoft Defender do tagowania urządzeń za pomocą zarządzania urządzeniami przenośnymi nie jest obecnie obsługiwane w przypadku zarządzania ustawieniami zabezpieczeń. Urządzenia oznaczone za pomocą tej funkcji nie zostaną pomyślnie zarejestrowane. Ten problem jest nadal badany.

    Porada

    Użyj odpowiednich tagów urządzeń, aby przetestować i zweryfikować wdrożenie na niewielkiej liczbie urządzeń. Po wybraniu pozycji Wszystkie urządzenia wszystkie urządzenia, które wchodzą w skonfigurowany zakres, zostaną automatycznie zarejestrowane.

  3. Skonfiguruj funkcję Microsoft Defender dla urządzeń dołączonych do chmury i ustawień urzędu Configuration Manager w celu dopasowania ich do potrzeb organizacji:

    Skonfiguruj tryb pilotażowy dla zarządzania ustawieniami punktu końcowego w portalu Microsoft Defender.

    Porada

    Aby upewnić się, że użytkownicy portalu Ochrona punktu końcowego w usłudze Microsoft Defender mają spójne uprawnienia w portalach, jeśli nie zostały jeszcze podane, poproś administratora IT o przyznanie im wbudowanej roli RBAC Microsoft Intune Endpoint Security Manager.

Konfigurowanie usługi Intune

W centrum administracyjnym Microsoft Intune twoje konto musi mieć uprawnienia równe wbudowanej roli kontroli dostępu opartej na rolach (RBAC) programu Endpoint Security Manager.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender i ustaw opcję Zezwalaj Ochrona punktu końcowego w usłudze Microsoft Defender na wymuszanie konfiguracji zabezpieczeń punktu końcowegona wartość Włączone.

    Włącz zarządzanie ustawieniami Ochrona punktu końcowego w usłudze Microsoft Defender w centrum administracyjnym Microsoft Intune.

    Po ustawieniu tej opcji na wartość Włączone wszystkie urządzenia w zakresie platformy dla Ochrona punktu końcowego w usłudze Microsoft Defender, które nie są zarządzane przez Microsoft Intune kwalifikują się do dołączenia do Ochrona punktu końcowego w usłudze Microsoft Defender.

Dołączanie urządzeń do Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje kilka opcji dołączania urządzeń. Aby uzyskać bieżące wskazówki, zobacz Dołączanie do Ochrona punktu końcowego w usłudze Microsoft Defender w dokumentacji usługi Defender for Endpoint.

Współistnienie z Microsoft Configuration Manager

W niektórych środowiskach może być konieczne użycie zarządzania ustawieniami zabezpieczeń z urządzeniami zarządzanymi przez Configuration Manager. Jeśli używasz obu tych opcji, musisz kontrolować zasady za pośrednictwem jednego kanału. Użycie więcej niż jednego kanału tworzy możliwość wystąpienia konfliktów i niepożądanych wyników.

Aby to obsłużyć, skonfiguruj ustawienia Zarządzanie zabezpieczeniami przy użyciu przełącznika Configuration Manager w pozycji Wyłączone. Zaloguj się do portalu Microsoft Defender i przejdź do pozycji Ustawienia> Zakreswymuszania zarządzaniakonfiguracją>punktów końcowych>:

Zrzut ekranu portalu usługi Defender przedstawiający przełącznik Zarządzanie ustawieniami zabezpieczeń przy użyciu przełącznika Configuration Manager ustawiony na Wartość Wyłączone.

Tworzenie grup Microsoft Entra

Po dołączeniu urządzeń do usługi Defender for Endpoint należy utworzyć grupy urządzeń w celu obsługi wdrażania zasad dla Ochrona punktu końcowego w usłudze Microsoft Defender. Aby zidentyfikować urządzenia zarejestrowane w Ochrona punktu końcowego w usłudze Microsoft Defender, ale nie są zarządzane przez usługę Intune lub Configuration Manager:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do pozycji Urządzenia>Wszystkie urządzenia, a następnie wybierz kolumnę Zarządzane przez , aby posortować widok urządzeń. Urządzenia dołączane do Ochrona punktu końcowego w usłudze Microsoft Defender, ale nie zarządzane przez usługę Intune, wyświetlają Ochrona punktu końcowego w usłudze Microsoft Defender w kolumnie Zarządzane przez. Te urządzenia mogą odbierać zasady zarządzania ustawieniami zabezpieczeń.

    Urządzenia dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender i zarejestrowane, ale nie są zarządzane przez usługę Intune, wyświetlają Ochrona punktu końcowego w usłudze Microsoft Defender w kolumnie Zarządzane przez. Są to urządzenia, które mogą odbierać zasady zarządzania zabezpieczeniami dla Ochrona punktu końcowego w usłudze Microsoft Defender.

    Od 25 września 2023 r. urządzenia korzystające z zarządzania zabezpieczeniami dla Ochrona punktu końcowego w usłudze Microsoft Defender nie mogą być już identyfikowane przy użyciu następujących etykiet systemowych:

    • MDEJoined — przestarzały tag, który został wcześniej dodany do urządzeń przyłączonych do katalogu w ramach tego scenariusza.
    • MDEManaged — przestarzały tag, który został wcześniej dodany do urządzeń, które aktywnie korzystały ze scenariusza zarządzania zabezpieczeniami. Ten tag zostanie usunięty z urządzenia, jeśli usługa Defender for Endpoint przestanie zarządzać konfiguracją zabezpieczeń.

    Zamiast używać etykiet systemowych, można użyć atrybutu typu zarządzania i skonfigurować go w usłudze MicrosoftSense.

Grupy dla tych urządzeń można tworzyć w Microsoft Entra lub w centrum administracyjnym Microsoft Intune. Podczas tworzenia grup można użyć wartości systemu operacyjnego dla urządzenia, jeśli wdrażasz zasady na urządzeniach z systemem Windows Server a urządzeniami z systemem Windows w wersji klienckiej systemu Windows:

  • Windows 10 i Windows 11 — urządzenieOSType lub system operacyjny jest wyświetlane jako system Windows
  • Windows Server — urządzenieOSType lub system operacyjny jest wyświetlane jako Windows Server
  • Urządzenie z systemem Linux — urządzenieOSType lub system operacyjny jest wyświetlane jako Linux

Przykładowe grupy dynamiczne usługi Intune ze składnią reguł

Stacje robocze systemu Windows:

Zrzut ekranu przedstawiający grupę dynamiczną usługi Intune dla stacji roboczych systemu Windows.

Windows Servers:

Zrzut ekranu przedstawiający grupę dynamiczną usługi Intune dla serwerów z systemem Windows.

Urządzenia z systemem Linux:

Zrzut ekranu przedstawiający grupę dynamiczną usługi Intune dla systemu Windows Linux.

Ważna

W maju 2023 r . urządzenieOSType zostało zaktualizowane w celu rozróżnienia między klientami systemu Windows a serwerami z systemem Windows.

Skrypty niestandardowe i Microsoft Entra dynamicznych grup urządzeń utworzonych przed tą zmianą, które określają reguły, które odwołują się tylko do systemu Windows, mogą wykluczać serwery z systemem Windows w przypadku użycia z rozwiązaniem Security Management for Ochrona punktu końcowego w usłudze Microsoft Defender. Przykład:

  • Jeśli masz regułę, która używa equals operatora lub not equals do identyfikowania systemu Windows, ta zmiana wpłynie na regułę. Dzieje się tak dlatego, że wcześniej zarówno system Windows , jak i Windows Server były zgłaszane jako system Windows. Aby nadal uwzględniać oba te elementy, należy zaktualizować regułę, aby odwoływała się również do systemu Windows Server.
  • Jeśli masz regułę, która używa contains operatora lub like do określenia systemu Windows, ta zmiana nie będzie miała wpływu na regułę. Te operatory mogą znaleźć zarówno system Windows , jak i Windows Server.

Porada

Użytkownicy, którzy mają delegowane możliwość zarządzania ustawieniami zabezpieczeń punktu końcowego, mogą nie mieć możliwości implementowania konfiguracji dla całej dzierżawy w Microsoft Intune. Skontaktuj się z administratorem usługi Intune, aby uzyskać więcej informacji na temat ról i uprawnień w organizacji.

Wdrażanie zasad

Po utworzeniu co najmniej jednej grupy Microsoft Entra zawierającej urządzenia zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender można utworzyć i wdrożyć następujące zasady zarządzania ustawieniami zabezpieczeń w tych grupach. Dostępne zasady i profile różnią się w zależności od platformy.

Aby zapoznać się z listą kombinacji zasad i profilów obsługiwanych na potrzeby zarządzania ustawieniami zabezpieczeń, zobacz wykres w artykule Którego rozwiązania należy użyć? we wcześniejszej części tego artykułu.

Porada

Unikaj wdrażania wielu zasad, które zarządzają tym samym ustawieniem na urządzeniu.

Microsoft Intune obsługuje wdrażanie wielu wystąpień każdego typu zasad zabezpieczeń punktu końcowego na tym samym urządzeniu, przy czym każde wystąpienie zasad jest odbierane przez urządzenie oddzielnie. W związku z tym urządzenie może otrzymać oddzielne konfiguracje dla tego samego ustawienia z różnych zasad, co powoduje konflikt. Niektóre ustawienia (takie jak wykluczenia antywirusowe) zostaną scalone na kliencie i zostaną pomyślnie zastosowane.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do pozycji Zabezpieczenia punktu końcowego, wybierz typ zasad, które chcesz skonfigurować, a następnie wybierz pozycję Utwórz zasady.

  3. Dla zasad wybierz platformę i profil, które chcesz wdrożyć. Listę platform i profilów, które obsługują zarządzanie ustawieniami zabezpieczeń, można znaleźć na wykresie w artykule Którego rozwiązania należy użyć? we wcześniejszej części tego artykułu.

    Uwaga

    Obsługiwane profile dotyczą urządzeń, które komunikują się za pośrednictwem usługi Mobile Zarządzanie urządzeniami (MDM) z Microsoft Intune i urządzeniami, które komunikują się przy użyciu klienta Ochrona punktu końcowego w usłudze Microsoft Defender.

    Upewnij się, że w razie potrzeby przejrzysz wartości docelowe i grupy.

  4. Wybierz pozycję Utwórz.

  5. Na stronie Podstawowe wprowadź nazwę i opis dla profilu, a następnie wybierz pozycję Dalej.

  6. Na stronie Ustawienia konfiguracji wybierz ustawienia, które chcesz zarządzać przy użyciu tego profilu.

    Aby dowiedzieć się więcej na temat ustawienia, rozwiń okno dialogowe informacji i wybierz link Dowiedz się więcej , aby wyświetlić dokumentację dostawcy usług konfiguracji (CSP) lub powiązane szczegóły dla tego ustawienia.

    Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.

  7. Na stronie Przypisania wybierz grupy Microsoft Entra, które otrzymują ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz przycisk Dalej, aby kontynuować.

    Porada

    • Filtry przypisań nie są obsługiwane w przypadku urządzeń zarządzanych przez zarządzanie ustawieniami zabezpieczeń.
    • Tylko obiekty urządzenia mają zastosowanie do zarządzania Ochrona punktu końcowego w usłudze Microsoft Defender. Kierowanie użytkowników nie jest obsługiwane.
    • Skonfigurowane zasady będą stosowane zarówno do klientów Microsoft Intune, jak i Ochrona punktu końcowego w usłudze Microsoft Defender.
  8. Ukończ proces tworzenia zasad, a następnie na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

  9. Poczekaj na przypisanie zasad i wyświetl informację o powodzeniu, że zasady zostały zastosowane.

  10. Możesz sprawdzić, czy ustawienia zostały zastosowane lokalnie na kliencie za pomocą narzędzia polecenia Get-MpPreference .

Stan monitorowania

Stan i raporty dotyczące zasad docelowych urządzeń w tym kanale są dostępne w węźle zasad w obszarze Zabezpieczenia punktu końcowego w centrum administracyjnym Microsoft Intune.

Przejdź do szczegółów typu zasad, a następnie wybierz zasady, aby wyświetlić jego stan. Listę platform, typów zasad i profilów, które obsługują zarządzanie ustawieniami zabezpieczeń, można wyświetlić w tabeli w temacie Jakiego rozwiązania należy użyć, we wcześniejszej części tego artykułu.

Po wybraniu zasad możesz wyświetlić informacje o stanie ewidencjonowania urządzenia i wybrać następujące opcje:

  • Wyświetl raport — wyświetl listę urządzeń, które otrzymały zasady. Możesz wybrać urządzenie do przeglądania szczegółowego i wyświetlić jego stan poszczególnych ustawień. Następnie możesz wybrać ustawienie, aby wyświetlić więcej informacji na jego temat, w tym inne zasady, które zarządzają tym samym ustawieniem, które może być źródłem konfliktu.

  • Stan ustawienia — wyświetl ustawienia zarządzane przez zasady oraz liczbę powodzeń, błędów lub konfliktów dla każdego ustawienia.

Często zadawane pytania i zagadnienia

Częstotliwość zaewidencjonowania urządzenia

Urządzenia zarządzane przez tę funkcję zaewidencjonowywania przy użyciu Microsoft Intune co 90 minut w celu zaktualizowania zasad.

Urządzenie na żądanie można ręcznie zsynchronizować z portalu Microsoft Defender. Zaloguj się do portalu i przejdź do pozycji Urządzenia. Wybierz urządzenie zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender, a następnie wybierz przycisk Synchronizacja zasad:

Ręcznie synchronizuj urządzenia zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Przycisk Synchronizacja zasad jest wyświetlany tylko dla urządzeń, które zostały pomyślnie zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Urządzenia chronione przez ochronę przed naruszeniami

Jeśli na urządzeniu włączono ochronę przed naruszeniami, nie można edytować wartości ustawień chronionych przed naruszeniami bez uprzedniego wyłączenia ochrony przed naruszeniami.

Zarządzanie filtrami przypisania i ustawieniami zabezpieczeń

Filtry przypisań nie są obsługiwane w przypadku urządzeń komunikujących się za pośrednictwem kanału Ochrona punktu końcowego w usłudze Microsoft Defender. Filtry przypisań można dodać do zasad, które mogą być przeznaczone dla tych urządzeń, ale urządzenia ignorują filtry przypisań. W celu obsługi filtru przypisania urządzenie musi zostać zarejestrowane w celu Microsoft Intune.

Usuwanie i usuwanie urządzeń

Urządzenia korzystające z tego przepływu można usunąć przy użyciu jednej z dwóch metod:

  • Z poziomu centrum administracyjnego Microsoft Intune przejdź do pozycji Urządzenia>Wszystkie urządzenia, wybierz urządzenie, na które jest wyświetlane mdeJoined lub MDEManaged w kolumnie Zarządzane przez, a następnie wybierz pozycję Usuń.
  • Można również usunąć urządzenia z zakresu zarządzania konfiguracją w usłudze Security Center.

Po usunięciu urządzenia z dowolnej lokalizacji ta zmiana jest propagacja do innej usługi.

Nie można włączyć usługi Security Management dla obciążenia Ochrona punktu końcowego w usłudze Microsoft Defender w usłudze Endpoint Security

Większość początkowych przepływów aprowizacji jest zwykle uzupełniana przez administratora obu usług (na przykład administratora globalnego). Istnieją pewne scenariusze, w których administracja oparta na rolach służy do dostosowywania uprawnień administratorów. Obecnie osoby, którym delegowano rolę programu Endpoint Security Manager , mogą nie mieć niezbędnych uprawnień do włączenia tej funkcji.

urządzenia przyłączone Microsoft Entra

Urządzenia przyłączone do usługi Active Directory używają istniejącej infrastruktury do ukończenia procesu dołączania hybrydowego Microsoft Entra.

Nieobsługiwanych ustawień zabezpieczeń

Następujące ustawienia zabezpieczeń oczekują na wycofanie. Przepływ zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint nie obsługuje następujących ustawień:

  • Przyspieszanie częstotliwości raportowania telemetrii (w obszarze Wykrywanie i reagowanie na punkty końcowe)
  • AllowIntrusionPreventionSystem (w obszarze Program antywirusowy)
  • Ochrona przed naruszeniami (w obszarze środowisko Zabezpieczenia Windows). To ustawienie nie oczekuje na wycofanie, ale obecnie nie jest obsługiwane.

Korzystanie z zarządzania ustawieniami zabezpieczeń na kontrolerach domeny

Ponieważ wymagane jest zaufanie Tożsamość Microsoft Entra, kontrolery domeny nie są obecnie obsługiwane. Szukamy sposobów dodawania tej pomocy technicznej.

Ważna

W niektórych przypadkach kontrolerami domeny z systemem operacyjnym serwera niższego poziomu (2012 R2 lub 2016) mogą być przypadkowo zarządzane przez Ochrona punktu końcowego w usłudze Microsoft Defender. Aby upewnić się, że nie dzieje się to w twoim środowisku, zalecamy upewnienie się, że kontrolery domeny nie mają tagów "ZARZĄDZANIE MDE" ani nie są zarządzane przez rozwiązanie MDE.

Instalacja server core

Zarządzanie ustawieniami zabezpieczeń nie obsługuje instalacji podstawowych serwera ze względu na ograniczenia platformy server core.

Tryb ograniczania programu PowerShell

Zarządzanie ustawieniami zabezpieczeń nie działa w przypadku urządzenia z funkcją LanguageMode programu PowerShell skonfigurowaną przy użyciu trybu enabledConstrainedLanguage. Aby uzyskać więcej informacji, zobacz about_Language_Modes w dokumentacji programu PowerShell.

Zarządzanie zabezpieczeniami za pośrednictwem rozwiązania MDE, jeśli wcześniej używano narzędzia zabezpieczeń innej firmy

Jeśli wcześniej na maszynie było używane narzędzie zabezpieczeń innych firm, a teraz zarządzasz nim za pomocą rozwiązania MDE, w rzadkich przypadkach może to mieć pewien wpływ na możliwość zarządzania ustawieniami zabezpieczeń przez usługę MDE. W takich przypadkach, jako miara rozwiązywania problemów, odinstaluj i ponownie zainstaluj najnowszą wersję środowiska MDE na komputerze.

Następne kroki