Zasady ochrony antywirusowej dla zabezpieczeń punktu końcowego w usłudze Intune

Zasady ochrony antywirusowej zabezpieczeń punktu końcowego usługi Intune mogą pomóc administratorom zabezpieczeń skupić się na zarządzaniu odrębną grupą ustawień programu antywirusowego dla urządzeń zarządzanych.

Zasady ochrony antywirusowej obejmują kilka profilów. Każdy profil zawiera tylko ustawienia, które są istotne dla programu antywirusowego Microsoft Defender for Endpoint dla urządzeń z systemami macOS i Windows lub środowiska użytkownika w aplikacji Zabezpieczenia systemu Windows na urządzeniach z systemem Windows.

Zasady ochrony antywirusowej znajdują się w obszarze Zarządzanie w węźle Zabezpieczenia punktu końcowego centrum administracyjnego usługi Microsoft Intune.

Zasady ochrony antywirusowej obejmują te same ustawienia, co znalezione szablony ochrony punktu końcowego lub ograniczeń urządzenia dla zasad konfiguracji urządzeń . Jednak te typy zasad obejmują dodatkowe kategorie ustawień, które nie są związane z programem antywirusowym. Dodatkowe ustawienia mogą skomplikować zadanie konfigurowania obciążenia programu antywirusowego. Ponadto ustawienia znalezione w zasadach ochrony antywirusowej dla systemu macOS nie są dostępne za pośrednictwem innych typów zasad. Profil antywirusowy systemu macOS zastępuje konieczność konfigurowania ustawień przy użyciu .plist plików.

Dotyczy:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (za pośrednictwem scenariusza zarządzania ustawieniami usługi Microsoft Defender for Endpoint Security )

Wymagania wstępne dotyczące zasad ochrony antywirusowej

Obsługa urządzeń zarejestrowanych w usłudze Microsoft Intune (MDM):

• macOS

  • Dowolna obsługiwana wersja systemu macOS
  • Aby usługa Intune mogła zarządzać ustawieniami programu antywirusowego na urządzeniu, na tym urządzeniu musi być zainstalowana usługa Microsoft Defender for Endpoint. Widzieć. Usługa Microsoft Defender dla punktu końcowego dla systemu macOS (w dokumentacji usługi Microsoft Defender dla punktu końcowego)

• Systemy Windows 10, Windows 11 i Windows Server

  • Nie są wymagane żadne dodatkowe wymagania wstępne.

Obsługa klientów programu Configuration Manager:

Ten scenariusz jest w wersji zapoznawczej i wymaga użycia bieżącej gałęzi programu Configuration Manager w wersji 2006 lub nowszej.

• Konfigurowanie dołączania dzierżawy dla urządzeń programu Configuration Manager — aby obsługiwać wdrażanie zasad ochrony antywirusowej na urządzeniach zarządzanych przez program Configuration Manager, skonfiguruj dołączanie dzierżawy. Konfigurowanie dołączania dzierżawy obejmuje konfigurowanie kolekcji urządzeń programu Configuration Manager w celu obsługi zasad zabezpieczeń punktu końcowego z usługi Intune.

  Aby skonfigurować dołączanie dzierżawy, zobacz Konfigurowanie dołączania dzierżawy do zasad ochrony punktu końcowego.

Obsługa klientów programu Microsoft Defender dla punktów końcowych:

• Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint — aby skonfigurować obsługę wdrażania zasad ochrony antywirusowej na urządzeniach zarządzanych przez usługę Defender, ale niezarejestrowanych w usłudze Intune, zobacz Zarządzanie usługą Microsoft Defender for Endpoint na urządzeniach z usługą Microsoft Intune. Ten artykuł zawiera również informacje o platformach obsługiwanych przez tę funkcję oraz o zasadach i profilach obsługiwanych przez te platformy.

Kontrola dostępu oparta na rolach (RBAC)

Aby uzyskać wskazówki dotyczące przypisywania odpowiedniego poziomu uprawnień i praw do zarządzania zasadami ochrony antywirusowej usługi Intune, zobacz Przypisywanie zasad kontroli dostępu na podstawie ról dla punktu końcowego.

Wymagania wstępne dotyczące ochrony przed naruszeniami

Ochrona przed naruszeniami jest dostępna dla urządzeń z jednym z następujących systemów operacyjnych:

• macOS (dowolna obsługiwana wersja)
• Windows 10 i 11 (w tym wiele sesji enterprise)
• Windows Server w wersji 1803 lub nowszej, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 i Windows Server 2016 (przy użyciu nowoczesnego, ujednoliconego rozwiązania)

Uwaga

Urządzenia muszą być dołączone do usługi Microsoft Defender for Endpoint (P1 lub P2). Na urządzeniach może wystąpić opóźnienie włączania ochrony przed naruszeniami, jeśli wcześniej nie zostały dołączone do usługi Microsoft Defender for Endpoint. Ochrona przed naruszeniami zostanie włączona przy pierwszym zaewidencjonowaniu urządzenia po dołączeniu do usługi Microsoft Defender for Endpoint.

Za pomocą usługi Intune można zarządzać ochroną przed naruszeniami na urządzeniach z systemem Windows w ramach profilu środowiska zabezpieczeń systemu Windows (zasad ochrony antywirusowej). Obejmuje to zarówno urządzenia zarządzane za pomocą usługi Intune, jak i urządzenia zarządzane za pomocą programu Configuration Manager za pośrednictwem scenariusza dołączania dzierżawy. Ochrona przed naruszeniami jest teraz również dostępna dla usługi Azure Virtual Desktop.

Urządzenia zarządzane przez usługę Intune

Wymagania wstępne dotyczące obsługi ochrony przed naruszeniami urządzeń zarządzanych przez usługę Intune:

• Środowisko musi spełniać wymagania wstępne dotyczące zarządzania ochroną przed naruszeniami w usłudze Intune
• Urządzenia są dołączane do usługi Microsoft Defender for Endpoint (P1 lub P2)

Profile zasad ochrony antywirusowej obsługujące ochronę przed naruszeniami urządzeń zarządzanych przez usługę Microsoft Intune:

• Platforma: Windows 10, Windows 11 i Windows Server

  • Profil: Środowisko zabezpieczeń systemu Windows

  Uwaga

  Począwszy od 5 kwietnia 2022 r., platforma Windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server .

  Platforma Windows 10, Windows 11 i Windows Server obsługuje urządzenia komunikujące się z usługą Intune za pośrednictwem usługi Microsoft Intune lub usługi Microsoft Defender for Endpoint. Te profile dodają również obsługę platformy systemu Windows Server, która nie jest natywnie obsługiwana za pośrednictwem usługi Microsoft Intune.

  Profile dla tej nowej platformy używają formatu ustawień, jak można znaleźć w katalogu ustawień. Każdy nowy szablon profilu dla tej nowej platformy zawiera te same ustawienia co starszy szablon profilu, który zastępuje. Dzięki tej zmianie nie można już tworzyć nowych wersji starych profilów. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.

Możesz również użyć profilu ochrony punktu końcowego dla zasad konfiguracji urządzenia , aby skonfigurować ochronę przed naruszeniami dla urządzeń zarządzanych przez usługę Intune.

Klienci programu Configuration Manager zarządzane za pośrednictwem scenariusza dołączania dzierżawy

Wymagania wstępne dotyczące obsługi zarządzania ochroną przed naruszeniami przy użyciu następujących profilów:

• Środowisko musi spełniać wymagania wstępne dotyczące zarządzania ochroną przed naruszeniami w usłudze Intune zgodnie z opisem w dokumentacji systemu Windows.
• Należy użyć bieżącej gałęzi programu Configuration Manager 2006 lub nowszej.
• Aby obsługiwać zasady ochrony punktu końcowego, należy skonfigurować dołączanie dzierżawy. Obejmuje to konfigurowanie kolekcji urządzeń programu Configuration Manager na potrzeby synchronizacji z usługą Intune.
• Urządzenia są dołączane do usługi Microsoft Defender for Endpoint (P1 lub P2)

Profile zasad ochrony antywirusowej obsługujące ochronę przed naruszeniami urządzeń zarządzanych przez program Configuration Manager:

• Platforma: Windows 10, Windows 11 i Windows Server (ConfigMgr)
  • Profil: Środowisko zabezpieczeń systemu Windows (wersja zapoznawcza)

Profile programu antywirusowego

Urządzenia zarządzane przez usługę Microsoft Intune

Następujące profile są obsługiwane w przypadku urządzeń zarządzanych za pomocą usługi Intune:

macOS:

• Platforma: macOS

  • Profil: Program antywirusowy — zarządzanie ustawieniami zasad ochrony antywirusowej dla systemu macOS.

    W przypadku korzystania z usługi Microsoft Defender dla punktu końcowego dla komputerów Mac można skonfigurować i wdrożyć ustawienia programu antywirusowego na zarządzanych urządzeniach z systemem macOS za pośrednictwem usługi Intune, zamiast konfigurować te ustawienia przy użyciu plików .plist .

Windows:

• Platforma: Windows 10, Windows 11 i Windows Server
  Profilów dla tej platformy można używać z urządzeniami zarejestrowanymi w usłudze Intune i urządzeniami zarządzanymi za pośrednictwem usługi Security Management dla usługi Microsoft Defender for Endpoint.

  Uwaga

  Począwszy od 5 kwietnia 2022 r., platforma Windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server .

  Platforma Windows 10, Windows 11 i Windows Server obsługuje urządzenia komunikujące się z usługą Intune za pośrednictwem usługi Microsoft Intune lub usługi Microsoft Defender for Endpoint. Te profile dodają również obsługę platformy systemu Windows Server, która nie jest natywnie obsługiwana za pośrednictwem usługi Microsoft Intune.

  Profile dla tej nowej platformy używają formatu ustawień, jak można znaleźć w katalogu ustawień. Każdy nowy szablon profilu dla tej nowej platformy zawiera te same ustawienia co starszy szablon profilu, który zastępuje. Dzięki tej zmianie nie można już tworzyć nowych wersji starych profilów. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.

  • Profil: Program antywirusowy Microsoft Defender — zarządzanie ustawieniami zasad ochrony antywirusowej dla urządzeń z systemem Windows.

    Defender Antivirus to składnik ochrony nowej generacji usługi Microsoft Defender for Endpoint. Ochrona nowej generacji łączy technologie, takie jak uczenie maszynowe i infrastruktura chmury, aby chronić urządzenia w organizacji przedsiębiorstwa.

    Profil programu antywirusowego Microsoft Defender to oddzielne wystąpienie ustawień programu antywirusowego, które znajdują się w profilu Ograniczenia urządzenia dla zasad konfiguracji urządzenia.

    W przeciwieństwie do ustawień programu antywirusowego w profilu ograniczeń urządzenia można używać tych ustawień z urządzeniami, które są współzarządzane. Aby korzystać z tych ustawień, suwak obciążenia współzarządzania dla programu Endpoint Protection musi być ustawiony na usługę Intune.

  • Profil: Wykluczenia programu antywirusowego Microsoft Defender — zarządzanie ustawieniami zasad tylko dla wykluczenia programu antywirusowego.

    Dzięki tym zasadom można zarządzać ustawieniami następujących dostawców usług konfiguracji programu antywirusowego Microsoft Defender (CSP), którzy definiują wykluczenia programu antywirusowego:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Te dostawcy CSP do wykluczania oprogramowania antywirusowego są również zarządzane przez zasady programu antywirusowego Microsoft Defender , które obejmują identyczne ustawienia wykluczeń. Ustawienia obu typów zasad (wykluczenia programów antywirusowych i antywirusowych) podlegają scalaniu zasad i tworzą super zestaw wykluczeń dla odpowiednich urządzeń i użytkowników.

  • Profil: Środowisko zabezpieczeń systemu Windows — zarządzanie ustawieniami aplikacji Zabezpieczenia systemu Windows, które użytkownicy końcowi mogą wyświetlać w centrum zabezpieczeń usługi Microsoft Defender i otrzymywanych powiadomień.

    Aplikacja zabezpieczeń systemu Windows jest używana przez wiele funkcji zabezpieczeń systemu Windows do dostarczania powiadomień o kondycji i zabezpieczeniach maszyny. Powiadomienia aplikacji zabezpieczeń obejmują zapory, produkty antywirusowe, filtr Windows Defender SmartScreen i inne.

  • Profil: Kontrolki aktualizacji usługi Defender — zarządzanie ustawieniami aktualizacji usługi Microsoft Defender, w tym następującymi ustawieniami pobieranymi bezpośrednio z dostawcy usług kryptograficznych usługi Defender:

    • Kanał aktualizacji aparatu
    • Kanał aktualizacji platformy
    • Kanał aktualizacji analizy zabezpieczeń

Urządzenia zarządzane przez program Configuration Manager

Program antywirusowy

Zarządzaj ustawieniami programu antywirusowego dla urządzeń programu Configuration Manager, gdy używasz dołączania dzierżawy.

Ścieżka zasad:

• Program antywirusowy > zabezpieczeń > punktu końcowego — Windows 10, Windows 11 i Windows Server (ConfigMgr)

Profile:

• Program antywirusowy Microsoft Defender (wersja zapoznawcza)
• Środowisko zabezpieczeń systemu Windows (wersja zapoznawcza)

Wymagana wersja programu Configuration Manager:

• Configuration Manager — bieżąca wersja gałęzi 2006 lub nowsza

Obsługiwane platformy urządzeń programu Configuration Manager:

• Windows 8.1 (x86, x64), począwszy od programu Configuration Manager w wersji 2010
• Windows 10 lub nowszy (x86, x64, ARM64)
• Windows 11 lub nowszy (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), począwszy od programu Configuration Manager w wersji 2010
• Windows Server 2016 i nowsze (x64)

Ważna

22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

Jeśli obecnie używasz systemu Windows 8.1, przejdź do urządzeń z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

Scalanie zasad dla ustawień

Niektóre ustawienia zasad ochrony antywirusowej obsługują scalanie zasad. Scalanie zasad pomaga uniknąć konfliktów, gdy wiele zasad ma zastosowanie do tych samych urządzeń i konfiguruje to samo ustawienie. Usługa Intune ocenia ustawienia obsługiwane przez scalanie zasad dla każdego użytkownika lub urządzenia zgodnie ze wszystkimi odpowiednimi zasadami. Te ustawienia są następnie scalane w jeden nadzbiór zasad.

Na przykład utworzysz trzy oddzielne zasady ochrony antywirusowej, które definiują różne wykluczenia ścieżek plików antywirusowych. Ostatecznie wszystkie trzy zasady są przypisane do tego samego użytkownika. Ponieważ dostawca CSP wykluczenia ścieżki pliku usługi Microsoft Defender obsługuje scalanie zasad, usługa Intune ocenia i łączy wykluczenia plików ze wszystkich odpowiednich zasad dla użytkownika. Wykluczenia są dodawane do nadzbioru, a pojedyncza lista wykluczeń jest dostarczana do urządzenia użytkowników.

Jeśli scalanie zasad nie jest obsługiwane dla ustawienia, może wystąpić konflikt. Konflikty mogą spowodować, że użytkownik lub urządzenie nie otrzyma żadnych zasad dla tego ustawienia. Na przykład scalanie zasad nie obsługuje dostawcy CSP w celu zapobiegania instalacji pasujących identyfikatorów urządzeń (PreventInstallationOfMatchingDeviceIDs). Konfiguracje dla tego dostawcy CSP nie są scalane i są przetwarzane oddzielnie.

Po przetworzeniu oddzielnie konflikty zasad są rozwiązywane w następujący sposób:

1. Obowiązują najbezpieczniejsze zasady.
2. Jeśli dwie zasady są równie bezpieczne, stosowane są ostatnie zmodyfikowane zasady.
3. Jeśli ostatnio zmodyfikowane zasady nie mogą rozwiązać konfliktu, żadne zasady nie zostaną dostarczone do urządzenia.

Ustawienia i dostawcy CSP obsługujące scalanie zasad

Następujące ustawienia obsługują scalanie zasad:

• Wykluczone procesy — dostawca CSP: Defender/ExcludedProcesses
• Wykluczone rozszerzenia — dostawca CSP: Defender/ExcludedExtensions
• Wykluczone ścieżki — dostawca CSP: Defender/ExcludedPaths

Raporty zasad ochrony antywirusowej

Raporty zasad ochrony antywirusowej zawierają szczegółowe informacje o stanie zasad ochrony antywirusowej zabezpieczeń punktu końcowego i stanie urządzenia. Te raporty są dostępne w węźle Zabezpieczenia punktu końcowego centrum administracyjnego usługi Microsoft Intune.

Aby wyświetlić raporty, w centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zabezpieczenia punktu końcowego i wybierz pozycję Oprogramowanie antywirusowe. Wybranie pozycji Program antywirusowy otwiera stronę Podsumowanie. Dodatkowe widoki raportów i stanu są dostępne jako dodatkowe strony.

Oprócz raportów opisanych w poniższych sekcjach dodatkowe raporty dotyczące programu antywirusowego Microsoft Defender można znaleźć w węźle Raporty centrum administracyjnego usługi Microsoft Intune, zgodnie z opisem w artykule Raporty usługi Intune:

• Raport o stanie agenta antywirusowego (organizacyjny)
• Wykryty raport o złośliwym oprogramowaniu (organizacyjny)

Podsumowanie

Na stronie Podsumowanie możesz utworzyć nowe zasady i wyświetlić listę wcześniej utworzonych zasad. Lista zawiera szczegółowe informacje na temat profilu, który zawiera zasady (typ zasad) oraz tego, czy zasady są przypisane.

Po wybraniu zasad z listy zostanie otwarta strona Przegląd dla tego wystąpienia zasad i zostanie wyświetlone więcej informacji. Po wybraniu kafelka w tym widoku usługa Intune wyświetli dodatkowe szczegóły dotyczące tego profilu, jeśli są dostępne.

Punkty końcowe w złej kondycji

Na stronie Punkty końcowe w złej kondycji można wyświetlić informacje o stanie programu antywirusowego urządzeń z systemem Windows zarządzanych przez rozwiązanie MDM. Te informacje są zwracane z programu antywirusowego Windows Defender działającego na urządzeniu jako stan agenta zagrożenia. Na tej stronie wybierz pozycję Kolumny , aby wyświetlić pełną listę szczegółów dostępnych w raporcie.

W tym widoku są wyświetlane tylko urządzenia z wykrytymi problemami. W tym widoku nie są wyświetlane szczegóły dotyczące urządzeń, które zostały zidentyfikowane jako czyste.

Informacje dotyczące tego raportu są oparte na szczegółach dostępnych od następujących dostawców CSP, które zostały udokumentowane w dokumentacji zarządzania klientami systemu Windows:

• Defender CSP
• WindowsAdvancedThreatProtection CSP.

Następne kroki

Konfigurowanie zasad zabezpieczeń punktu końcowego

Wyświetl szczegóły ustawień systemu Windows w przestarzałych profilach dla platformy Windows 10 i nowszych :

• Ustawienia zasad ochrony antywirusowej
• Wykluczenia programu antywirusowego
• Ustawienia aplikacji zabezpieczeń systemu Windows