Wyświetlanie i edytowanie zasad ochrony urządzeń

W Microsoft 365 Business Premium ustawienia zabezpieczeń dla urządzeń zarządzanych są konfigurowane za pomocą zasad ochrony urządzeń w portalu Microsoft Defender lub w centrum administracyjnym Microsoft Intune. Aby uprościć konfigurację i konfigurację, istnieją wstępnie skonfigurowane zasady, które ułatwiają ochronę urządzeń organizacji natychmiast po ich dołączeniu. Możesz użyć zasad domyślnych, edytować istniejące zasady lub tworzyć własne zasady.

W tych wskazówkach opisano, jak wykonać następujące czynności:

• Zapoznaj się z omówieniem domyślnych zasad
• Praca z zasadami urządzeń w portalu Microsoft Defender lub w centrum administracyjnym Microsoft Intune.

Informacje o domyślnych zasadach ochrony urządzeń

Microsoft 365 Business Premium obejmuje dwa główne typy zasad ochrony urządzeń organizacji:

• Zasady ochrony nowej generacji, które określają sposób konfigurowania programu antywirusowego Microsoft Defender i innych funkcji ochrony przed zagrożeniami.

• Zasady zapory, które określają, jaki ruch sieciowy może przepływać do i z urządzeń organizacji.

Dodatkowe zasady obejmują:

• Filtrowanie zawartości internetowej, które umożliwia zespołowi ds. zabezpieczeń śledzenie i regulowanie dostępu do witryn internetowych na podstawie kategorii zawartości (takich jak zawartość dla dorosłych, wysoka przepustowość, odpowiedzialność prawna i czas wolny). Aby uzyskać więcej informacji, zobacz Filtrowanie zawartości sieci Web w Microsoft Defender dla Firm.
• Kontrolowany dostęp do folderów, który umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów na urządzeniach z systemem Windows. Tę możliwość należy traktować jako ochronę przed oprogramowaniem wymuszającym okup. Aby uzyskać więcej informacji, zobacz Konfigurowanie lub edytowanie zasad dostępu do kontrolowanych folderów w Microsoft Defender dla Firm.
• Reguły zmniejszania obszaru podatnego na ataki, które pomagają ograniczyć liczbę miejsc i sposobów, w jakie firma może być narażona na ataki cybernetyczne i ataki. Aby uzyskać więcej informacji, zobacz Włączanie reguł zmniejszania obszaru ataków w Microsoft Defender dla Firm.

Te zasady są częścią Microsoft Defender dla Firm uwzględnionych w subskrypcji Microsoft 365 Business Premium. Informacje są udostępniane do pracy z zasadami w portalu Microsoft Defender lub w centrum administracyjnym Microsoft Intune.

Praca z zasadami urządzeń w portalu Microsoft Defender

Poniższe szczegóły dotyczą pracy z zasadami w portalu Microsoft Defender (https://security.microsoft.com).

Wyświetlanie istniejących zasad ochrony urządzeń w Microsoft Defender XDR

1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Konfiguracja urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

   

2. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad w kategoriach Ochrona następnej generacji i Zapora .

3. Aby wyświetlić więcej szczegółów dotyczących zasad, wybierz jej nazwę. Zostanie otwarte okienko boczne, które zawiera więcej informacji o tych zasadach, takich jak urządzenia chronione przez te zasady.

   

Edytowanie istniejących zasad ochrony urządzeń w Microsoft Defender XDR

1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Konfiguracja urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

2. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad w kategoriach Ochrona następnej generacji i Zapora .

3. Aby edytować zasady, wybierz jej nazwę, a następnie wybierz pozycję Edytuj.

4. Na karcie Informacje ogólne przejrzyj informacje. W razie potrzeby możesz edytować opis. Następnie wybierz pozycję Dalej.

5. Na karcie Grupy urządzeń określ, które grupy urządzeń powinny otrzymywać te zasady.

   • Aby zachować wybraną grupę urządzeń w następującym stanie, wybierz pozycję Dalej.
   • Aby usunąć grupę urządzeń z zasad, wybierz pozycję Usuń.
   • Aby skonfigurować nową grupę urządzeń, wybierz pozycję Utwórz nową grupę, a następnie skonfiguruj grupę urządzeń. (Aby uzyskać pomoc dotyczącą tego zadania, zobacz Grupy urządzeń w Microsoft 365 Business Premium).
   • Aby zastosować zasady do innej grupy urządzeń, wybierz pozycję Użyj istniejącej grupy.

   Po określeniu, które grupy urządzeń powinny otrzymywać zasady, wybierz pozycję Dalej.

6. Na karcie Ustawienia konfiguracji przejrzyj ustawienia. W razie potrzeby można edytować ustawienia zasad. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:

   • Omówienie ustawień konfiguracji następnej generacji
   • Ustawienia zapory

   Po określeniu ustawień ochrony nowej generacji wybierz pozycję Dalej.

7. Na karcie Przeglądanie zasad zapoznaj się z ogólnymi informacjami, urządzeniami docelowymi i ustawieniami konfiguracji.

   • Wprowadź wszelkie wymagane zmiany, wybierając pozycję Edytuj.
   • Gdy wszystko będzie gotowe do kontynuowania, wybierz pozycję Aktualizuj zasady.

Tworzenie nowych zasad ochrony urządzeń w Microsoft Defender XDR

1. W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Konfiguracja urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

2. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad ochrony następnej generacji .

3. W obszarze Ochrona następnej generacji lub Zapora wybierz pozycję + Dodaj.

4. Na karcie Informacje ogólne wykonaj następujące kroki:

   1. Określ nazwę i opis. Te informacje pomogą Tobie i Twojej drużynie zidentyfikować zasady później.
   2. Przejrzyj kolejność zasad i w razie potrzeby edytuj ją. (Aby uzyskać więcej informacji, zobacz Kolejność zasad).
   3. Wybierz przycisk Dalej.

5. Na karcie Grupy urządzeń utwórz nową grupę urządzeń lub użyj istniejącej grupy. Zasady są przypisywane do urządzeń za pośrednictwem grup urządzeń. Oto kilka kwestii, o których należy pamiętać:

   • Początkowo możesz mieć tylko domyślną grupę urządzeń, która obejmuje urządzenia używane przez osoby w organizacji do uzyskiwania dostępu do danych organizacji i poczty e-mail. Możesz zachować domyślną grupę urządzeń i korzystać z niej.
   • Utwórz nową grupę urządzeń, aby zastosować zasady z określonymi ustawieniami, które różnią się od zasad domyślnych.
   • Podczas konfigurowania grupy urządzeń należy określić pewne kryteria, takie jak wersja systemu operacyjnego. Urządzenia spełniające kryteria są uwzględniane w tej grupie urządzeń, chyba że zostaną wykluczone.
   • Wszystkie grupy urządzeń, w tym zdefiniowane domyślne i niestandardowe grupy urządzeń, są przechowywane w Microsoft Entra identyfikatorze.

   Aby dowiedzieć się więcej o grupach urządzeń, zobacz Temat Grupy urządzeń w Microsoft Defender dla Firm.

6. Na karcie Ustawienia konfiguracji określ ustawienia zasad, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat poszczególnych ustawień, zobacz Omówienie ustawień konfiguracji nowej generacji w Microsoft Defender dla Firm.

7. Na karcie Przeglądanie zasad zapoznaj się z ogólnymi informacjami, urządzeniami docelowymi i ustawieniami konfiguracji.

   • Wprowadź wszelkie wymagane zmiany, wybierając pozycję Edytuj.
   • Gdy wszystko będzie gotowe do kontynuowania, wybierz pozycję Utwórz zasady.

Praca z zasadami urządzeń w centrum administracyjnym Microsoft Intune

Poniższe informacje umożliwiają tworzenie zasad urządzeń i zarządzanie nimi w usłudze Intune, które są wykonywane za pośrednictwem zabezpieczeń punktu końcowego w centrum administracyjnym Microsoft Intune (https://intune.microsoft.com).

Tworzenie zasad w usłudze Intune

1. W centrum administracyjnym Microsoft Intune (https://intune.microsoft.com) wybierz pozycję Zabezpieczenia punktu końcowego i typ zasad, które chcesz skonfigurować, a następnie wybierz pozycję Utwórz zasady.

2. Wybierz spośród następujących typów zasad:

   • Antivirus
   • Szyfrowanie dysków
   • Zapory
   • Wykrywanie i reagowanie dotyczące punktów końcowych
   • Zmniejszanie obszaru podatnego na ataki
   • Ochrona konta

3. Określ następujące właściwości:

   • Platforma: wybierz platformę, dla której tworzysz zasady. Dostępne opcje zależą od wybranego typu zasad.
   • Profil: wybierz spośród dostępnych profilów wybranej platformy. Aby uzyskać informacje o profilach, zobacz dedykowaną sekcję w tym artykule dotyczącą wybranego typu zasad.

   Następnie wybierz pozycję Utwórz.

4. Na stronie Podstawowe wprowadź nazwę i opis dla profilu, a następnie wybierz pozycję Dalej.

5. Na stronie Ustawienia konfiguracji rozwiń każdą grupę ustawień i skonfiguruj ustawienia, które chcesz zarządzać przy użyciu tego profilu. Następnie wybierz pozycję Dalej.

6. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Następnie wybierz pozycję Dalej.

7. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Duplikowanie zasad w usłudze Intune

1. W centrum administracyjnym Microsoft Intune (https://intune.microsoft.com) wybierz zasady, które chcesz skopiować. Następnie wybierz pozycję Duplikuj lub wybierz wielokropek (...) po prawej stronie zasad i wybierz pozycję Duplikuj.

2. Podaj nową nazwę zasad, a następnie wybierz pozycję Zapisz.

Edytowanie zasad w usłudze Intune

1. W centrum administracyjnym Microsoft Intune (https://intune.microsoft.com) wybierz zasady, a następnie wybierz pozycję Właściwości.

2. Wybierz pozycję Ustawienia , aby rozwinąć listę ustawień konfiguracji w zasadach. Nie można zmodyfikować ustawień z tego widoku, ale możesz sprawdzić, jak są skonfigurowane.

3. Aby zmodyfikować zasady, wybierz pozycję Edytuj dla każdej kategorii, w której chcesz wprowadzić zmianę:

   • Podstawy
   • Przypisania
   • Tagi zakresu
   • Ustawienia konfiguracji

4. Po wprowadzeniu zmian wybierz pozycję Zapisz , aby zapisać zmiany. Przed wprowadzeniem zmian do dowolnych dodatkowych kategorii należy zapisać zmiany w jednej kategorii.

Zarządzanie konfliktami

Wiele ustawień urządzeń, które można zarządzać przy użyciu zasad zabezpieczeń punktu końcowego, jest również dostępnych za pośrednictwem innych typów zasad w usłudze Intune. Te inne typy zasad obejmują zasady konfiguracji urządzeń i punkty odniesienia zabezpieczeń. Ponieważ ustawienia mogą być zarządzane za pomocą kilku różnych typów zasad lub wielu wystąpień tego samego typu zasad, należy przygotować się do identyfikowania i rozwiązywania konfliktów zasad dla urządzeń, które nie są zgodne z oczekiwanymi konfiguracjami.

Punkty odniesienia zabezpieczeń mogą ustawić wartość inną niż domyślna dla ustawienia, aby było zgodne z zalecaną konfiguracją adresów odniesienia.

Inne typy zasad, w tym zasady zabezpieczeń punktu końcowego, domyślnie ustawiają wartość Nieskonfigurowane. Te inne typy zasad wymagają jawnej konfiguracji ustawień w zasadach.

Niezależnie od metody zasad zarządzanie tym samym ustawieniem na tym samym urządzeniu za pomocą wielu typów zasad lub za pośrednictwem wielu wystąpień tego samego typu zasad może powodować konflikty, których należy unikać.

Jeśli wystąpią konflikty zasad, zobacz Rozwiązywanie problemów z zasadami i profilami w Microsoft Intune.

Zobacz też

Zarządzanie zabezpieczeniami punktu końcowego w Microsoft Intune

Najlepsze rozwiązania dotyczące zabezpieczania planów platformy Microsoft 365 dla firm

Następny krok

Konfigurowanie grup urządzeń i zarządzanie nimi.