Zarządzanie ochroną przed naruszeniami w organizacji przy użyciu Microsoft Intune
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
- Microsoft Defender dla Firm
- Microsoft 365 Business Premium
Platformy
- System Windows
Ochrona przed naruszeniami pomaga chronić niektóre ustawienia zabezpieczeń, takie jak ochrona przed wirusami i zagrożeniami, przed wyłączeniem lub zmianą. Jeśli jesteś członkiem zespołu ds. zabezpieczeń organizacji i używasz Microsoft Intune, możesz zarządzać ochroną przed naruszeniami w organizacji w centrum administracyjnym Intune. Możesz też użyć Configuration Manager. Za pomocą Intune lub Configuration Manager możesz:
- Włącz (lub wyłącz ochronę przed naruszeniami) dla niektórych lub wszystkich urządzeń.
- Ochrona Microsoft Defender wykluczeń programu antywirusowego przed naruszeniami (muszą zostać spełnione określone wymagania).
Ważna
Jeśli używasz Microsoft Intune do zarządzania ustawieniami usługi Defender for Endpoint, na urządzeniach ustaw wartość DisableLocalAdminMerge na wartość true.
Po włączeniu ochrony przed naruszeniami nie można zmienić ustawień chronionych przed naruszeniami . Aby uniknąć niezgodności środowisk zarządzania, w tym Intune (i Configuration Manager), należy pamiętać, że zmiany ustawień chronionych przed naruszeniami mogą wydawać się pomyślne, ale w rzeczywistości są blokowane przez ochronę przed naruszeniami. W zależności od konkretnego scenariusza dostępnych jest kilka opcji:
- Jeśli musisz wprowadzić zmiany na urządzeniu i te zmiany zostaną zablokowane przez ochronę przed naruszeniami, zalecamy użycie trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu. Należy pamiętać, że po zakończeniu trybu rozwiązywania problemów wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami zostaną przywrócone do skonfigurowanego stanu.
- Aby wykluczyć urządzenia z ochrony przed naruszeniami, można użyć Intune lub Configuration Manager.
- Jeśli zarządzasz ochroną przed naruszeniami za pośrednictwem Intune, możesz zmienić wykluczenia antywirusowe chronione przed naruszeniami.
Wymagania dotyczące zarządzania ochroną przed naruszeniami w Intune
| Wymóg | Szczegóły |
|---|---|
| Role i uprawnienia | Musisz mieć odpowiednie uprawnienia przypisane za pośrednictwem ról, takich jak administrator globalny lub administrator zabezpieczeń. Zobacz Microsoft Entra role z dostępem Intune. |
| Zarządzanie urządzeniami | Organizacja używa Intune do zarządzania urządzeniami. |
| licencje Intune | Intune licencje są wymagane. Zobacz licencjonowanie Microsoft Intune. |
| System operacyjny | Urządzenia z systemem Windows muszą działać Windows 10 wersji 1709 lub nowszej lub Windows 11. (Aby uzyskać więcej informacji na temat wydań, zobacz Informacje o wersji systemu Windows). W przypadku komputerów Mac zobacz Ochrona ustawień zabezpieczeń systemu macOS za pomocą ochrony przed naruszeniami. |
| Analiza zabezpieczeń | Musisz używać zabezpieczeń systemu Windows z analizą zabezpieczeń zaktualizowaną do wersji (lub nowszej 1.287.60.0 ). |
| Platforma ochrony przed złośliwym kodem | Urządzenia muszą używać wersji 4.18.1906.3 platformy ochrony przed złośliwym kodem (lub nowszej) i wersji aparatu chroniącego przed złośliwym oprogramowaniem (lub nowszej 1.1.15500.X ). Zobacz Zarządzanie aktualizacjami programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia. |
| Microsoft Entra ID | Dzierżawy Intune i usługi Defender dla punktów końcowych muszą współużytkować tę samą infrastrukturę Microsoft Entra. |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Urządzenia muszą zostać dołączone do usługi Defender for Endpoint. |
Uwaga
Jeśli urządzenia nie są zarejestrowane w Ochrona punktu końcowego w usłudze Microsoft Defender, ochrona przed naruszeniami jest wyświetlana jako Nie dotyczy do momentu zakończenia procesu dołączania. Ochrona przed naruszeniami może zapobiec wystąpieniu zmian ustawień zabezpieczeń. Jeśli zostanie wyświetlony kod błędu o identyfikatorze zdarzenia 5013, zobacz Przeglądanie dzienników zdarzeń i kodów błędów, aby rozwiązać problemy z programem antywirusowym Microsoft Defender.
Włączanie (lub wyłączanie) ochrony przed naruszeniami w Microsoft Intune
W centrum administracyjnym Intune przejdź do pozycjiProgram antywirusowyzabezpieczeń> punktu końcowego, a następnie wybierz pozycję + Twórca Zasady.
- Na liście Platforma wybierz pozycję Windows 10, Windows 11 i Windows Server.
- Na liście Profil wybierz pozycję Zabezpieczenia Windows środowisko.
Twórca profil zawierający następujące ustawienie:
- TamperProtection (urządzenie): Włączone
Zakończ wybieranie opcji i ustawień zasad.
Wdróż zasady na urządzeniach.
Ochrona przed naruszeniami w przypadku wykluczeń antywirusowych
Jeśli twoja organizacja ma wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender, ochrona przed naruszeniami chroni te wykluczenia, pod warunkiem spełnienia wszystkich następujących warunków:
| Warunek | Kryteria |
|---|---|
| platforma Microsoft Defender | Urządzenia działają Microsoft Defender platformie lub nowszej4.18.2211.5. Aby uzyskać więcej informacji, zobacz Comiesięczne wersje platformy i aparatu. |
DisableLocalAdminMerge Ustawienie |
To ustawienie jest również nazywane zapobieganiem scalaniu listy lokalnej. DisableLocalAdminMergejest włączone, aby ustawienia skonfigurowane na urządzeniu nie były scalane z zasadami organizacji, takimi jak ustawienia w Intune. Aby uzyskać więcej informacji, zobacz DisableLocalAdminMerge. |
| Zarządzanie urządzeniami | Urządzenia są zarządzane tylko w Intune lub zarządzane tylko przy użyciu Configuration Manager. Sens musi być włączony. |
| Wykluczenia programu antywirusowego | Microsoft Defender wykluczenia programu antywirusowego są zarządzane w Microsoft Intune. Aby uzyskać więcej informacji, zobacz Ustawienia zasad programu antywirusowego Microsoft Defender w Microsoft Intune dla urządzeń z systemem Windows. Funkcje ochrony wykluczeń programu antywirusowego Microsoft Defender są włączone na urządzeniach. Aby uzyskać więcej informacji, zobacz How to determine whether antivirus exclusions are tamper protected on a Windows device (Jak określić, czy wykluczenia antywirusowe są chronione przed naruszeniami na urządzeniu z systemem Windows). |
Porada
Aby uzyskać bardziej szczegółowe informacje na temat wykluczeń programu antywirusowego Microsoft Defender, zobacz Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender.
Jak ustalić, czy wykluczenia antywirusowe są chronione przed naruszeniami na urządzeniu z systemem Windows
Możesz użyć klucza rejestru, aby określić, czy funkcja ochrony Microsoft Defender wykluczenia antywirusowe jest włączona. W poniższej procedurze opisano sposób wyświetlania, ale nie zmieniania stanu ochrony przed naruszeniami.
Na urządzeniu z systemem Windows otwórz Redaktor rejestru. (Tryb tylko do odczytu jest w porządku; nie edytujesz klucza rejestru).
Aby potwierdzić, że urządzenie jest zarządzane tylko przez Intune lub zarządzane tylko przez Configuration Manager z włączoną funkcją Sense, sprawdź następujące wartości klucza rejestru:
ManagedDefenderProductType(znajduje się wComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderlubHKLM\SOFTWARE\Microsoft\Windows Defender)EnrollmentStatus(znajduje się wComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMlubHKLM\SOFTWARE\Microsoft\SenseCM)
W poniższej tabeli podsumowano, co oznaczają wartości klucza rejestru:
ManagedDefenderProductTypeWartośćEnrollmentStatusWartośćCo oznacza wartość 6(dowolna wartość) Urządzenie jest zarządzane tylko przez Intune.
(Spełnia wymaganie, aby wykluczenia były chronione przed naruszeniami).74Urządzenie jest zarządzane przez Configuration Manager.
(Spełnia wymaganie, aby wykluczenia były chronione przed naruszeniami).Wartość inna niż 6lub7(dowolna wartość) Urządzenie nie jest zarządzane tylko przez Intune lub tylko Configuration Manager.
(Wykluczenia nie są chronione przed naruszeniami).Aby potwierdzić, że ochrona przed naruszeniami została wdrożona i czy wykluczenia są chronione przed naruszeniami, sprawdź
TPExclusionsklucz rejestru (znajdujący się wComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeatureslubHKLM\SOFTWARE\Microsoft\Windows Defender\Features).TPExclusionsCo oznacza wartość 1Spełnione są wymagane warunki, a na urządzeniu włączono nową funkcję ochrony wykluczeń.
(Wykluczenia są chronione przed naruszeniami).0Ochrona przed naruszeniami nie chroni obecnie wykluczeń na urządzeniu.
(Jeśli wszystkie wymagania zostały spełnione i ten stan wydaje się nieprawidłowy, skontaktuj się z pomocą techniczną).
Uwaga
Nie zmieniaj wartości kluczy rejestru. Użyj poprzedniej procedury tylko do celów informacyjnych. Zmiana kluczy nie ma wpływu na to, czy ochrona przed naruszeniami ma zastosowanie do wykluczeń.
Zobacz też
- Często zadawane pytania dotyczące ochrony przed naruszeniami
- Usługa Defender dla punktu końcowego na urządzeniach z systemem innym niż Windows
- Rozwiązywanie problemów z ochroną przed naruszeniami
- Zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach przy użyciu Microsoft Intune
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla