Compartilhar via

Política antivírus para segurança de pontos finais no Intune

  • Artigo

As políticas de Antivírus de segurança do Ponto Final do Intune podem ajudar os administradores de segurança a concentrarem-se na gestão do grupo discreto de definições antivírus para dispositivos geridos.

A política antivírus inclui vários perfis. Cada perfil contém apenas as definições relevantes para o antivírus do Microsoft Defender para Endpoint para dispositivos macOS e Windows ou para a experiência do utilizador na aplicação Segurança do Windows em dispositivos Windows.

Encontrará as políticas antivírus em Gerir no nó de segurança do Ponto final do centro de administração do Microsoft Intune.

As políticas antivírus incluem as mesmas definições que os modelos de restrição de dispositivos ou proteção de pontos finais encontrados para a política de configuração do dispositivo. No entanto, esses tipos de política incluem categorias adicionais de definições que não estão relacionadas com o Antivírus. As definições adicionais podem complicar a tarefa de configurar a carga de trabalho antivírus. Além disso, as definições encontradas na política antivírus para macOS não estão disponíveis através de outros tipos de política. O perfil antivírus do macOS substitui a necessidade de configurar as definições através .plist de ficheiros.

Aplicável a:

Pré-requisitos da política antivírus

Suporte para dispositivos inscritos no Microsoft Intune (MDM):

  • macOS

    • Qualquer versão suportada do macOS
    • Para o Intune gerir as definições de antivírus num dispositivo, o Microsoft Defender para Endpoint tem de ser instalado nesse dispositivo. Veja. Microsoft Defender para Endpoint para macOS (na documentação do Microsoft Defender para Endpoint)

  • Windows 10, Windows 11 e Windows Server

    • Não são necessários pré-requisitos adicionais.

Suporte para clientes do Configuration Manager:

Este cenário está em pré-visualização e requer a utilização da versão atual do ramo 2006 ou posterior do Configuration Manager.

  • Configurar a anexação de inquilinos para dispositivos do Configuration Manager – para suportar a implementação da política antivírus em dispositivos geridos pelo Configuration Manager, configure a anexação do inquilino. A configuração da anexação de inquilinos inclui a configuração de coleções de dispositivos do Configuration Manager para suportar políticas de segurança de pontos finais do Intune.

    Para configurar a anexação de inquilinos, veja Configurar a anexação do inquilino para suportar políticas de proteção de ponto final.

Suporte para clientes do Microsoft Defender para Endpoint:

  • Gestão de definições de segurança do Defender para Endpoint – para configurar o suporte para implementar a política antivírus em dispositivos geridos pelo Defender, mas não inscritos no Intune, consulte Gerir o Microsoft Defender para Endpoint em dispositivos com o Microsoft Intune. Este artigo também inclui as informações sobre as plataformas suportadas por esta capacidade e as políticas e perfis que essas plataformas suportam.

Controles de acesso baseados em função (RBAC)

Para obter orientações sobre como atribuir o nível certo de permissões e direitos para gerir a política antivírus do Intune, veja Assign-role-based-access-controls-for-endpoint-security-policy.

Pré-requisitos para proteção contra adulteração

A proteção contra adulteração está disponível para dispositivos que executem um dos seguintes sistemas operativos:

  • macOS (qualquer versão suportada)
  • Windows 10 e 11 (incluindo várias sessões enterprise)
  • Windows Server versão 1803 ou posterior, Windows Server 2019, Windows Server 2022
  • Windows Server 2012 R2 e Windows Server 2016 (utilizando a solução moderna e unificada)

Observação

Os dispositivos têm de ser integrados no Microsoft Defender para Endpoint (P1 ou P2). Os dispositivos poderão ver um atraso ao ativar a proteção contra adulteração se anteriormente não estiverem integrados no Microsoft Defender para Endpoint. A proteção contra adulteração será ativada na primeira entrada do dispositivo após a integração no Microsoft Defender para Endpoint.

Pode utilizar o Intune para gerir a proteção contra adulteração em dispositivos Windows como parte do perfil da Experiência de Segurança do Windows (uma política antivírus). Isto inclui os dispositivos que gere com o Intune e os dispositivos que gere com o Configuration Manager através do cenário de anexação de inquilinos. A proteção contra adulteração também está agora disponível para o Azure Virtual Desktop.

Dispositivos geridos pelo Intune

Pré-requisitos para suportar a proteção contra adulteração para dispositivos geridos pelo Intune:

Perfis da política antivírus que suportam a proteção contra adulteração para dispositivos geridos pelo Microsoft Intune:

  • Plataforma: Windows 10, Windows 11 e Windows Server

    • Perfil: Experiência de segurança do Windows

    Observação

    A partir de 5 de abril de 2022, a plataforma Windows 10 e posterior foi substituída pela plataforma Windows 10, Windows 11 e Windows Server .

    A plataforma Windows 10, Windows 11 e Windows Server suporta dispositivos que comunicam com o Intune através do Microsoft Intune ou do Microsoft Defender para Endpoint. Estes perfis também adicionam suporte para a plataforma do Windows Server, que não é suportada nativamente através do Microsoft Intune.

    Os perfis desta nova plataforma utilizam o formato de definições conforme encontrado no Catálogo de Definições. Cada novo modelo de perfil para esta nova plataforma inclui as mesmas definições que o modelo de perfil mais antigo que substitui. Com esta alteração, já não pode criar novas versões dos perfis antigos. As instâncias existentes do perfil antigo permanecem disponíveis para utilização e edição.

Também pode utilizar o perfil do Endpoint Protection para a Política de configuração do dispositivo para configurar a proteção contra adulteração para dispositivos geridos pelo Intune.

Clientes do Configuration Manager geridos através do cenário de anexação de inquilinos

Pré-requisitos para suportar a gestão da proteção contra adulteração com estes perfis:

  • O seu ambiente tem de cumprir os pré-requisitos para gerir a proteção contra adulteração com o Intune , conforme detalhado na documentação do Windows.
  • Tem de utilizar o Configuration Manager current branch 2006 ou posterior.
  • Tem de configurar a anexação do inquilino para suportar políticas de proteção de ponto final. Isto inclui a configuração de coleções de dispositivos do Configuration Manager para sincronização com o Intune.
  • Os dispositivos são integrados no Microsoft Defender para Endpoint (P1 ou P2)

Perfis da política antivírus que suportam a proteção contra adulteração para dispositivos geridos pelo Configuration Manager:

  • Plataforma: Windows 10, Windows 11 e Windows Server (ConfigMgr)
    • Perfil: Experiência de Segurança do Windows (pré-visualização)

Perfis antivírus

Dispositivos geridos pelo Microsoft Intune

Os seguintes perfis são suportados para dispositivos que gere com o Intune:

macOS:

Windows:

  • Plataforma: Windows 10, Windows 11 e Windows Server
    Os perfis para esta plataforma podem ser utilizados com dispositivos inscritos com o Intune e dispositivos geridos através da Gestão de Segurança do Microsoft Defender para Endpoint.

    Observação

    A partir de 5 de abril de 2022, a plataforma Windows 10 e posterior foi substituída pela plataforma Windows 10, Windows 11 e Windows Server .

    A plataforma Windows 10, Windows 11 e Windows Server suporta dispositivos que comunicam com o Intune através do Microsoft Intune ou do Microsoft Defender para Endpoint. Estes perfis também adicionam suporte para a plataforma do Windows Server, que não é suportada nativamente através do Microsoft Intune.

    Os perfis desta nova plataforma utilizam o formato de definições conforme encontrado no Catálogo de Definições. Cada novo modelo de perfil para esta nova plataforma inclui as mesmas definições que o modelo de perfil mais antigo que substitui. Com esta alteração, já não pode criar novas versões dos perfis antigos. As instâncias existentes do perfil antigo permanecem disponíveis para utilização e edição.

    • Perfil: Antivírus do Microsoft Defender – Gerir definições de política antivírus para dispositivos Windows.

      O Antivírus do Defender é o componente de proteção de próxima geração do Microsoft Defender para Endpoint. A proteção da próxima geração reúne tecnologias como machine learning e infraestrutura de cloud para proteger dispositivos na sua organização empresarial.

      O perfil do Antivírus do Microsoft Defender é uma instância separada das definições do antivírus que se encontram no perfil de Restrição de Dispositivos para a política de Configuração de Dispositivos.

      Ao contrário das definições de antivírus num perfil de Restrição de Dispositivos, pode utilizar estas definições com dispositivos que são cogeridos. Para utilizar estas definições, o controlo de deslize da carga de trabalho de cogestão para o Endpoint Protection tem de ser definido como Intune.

    • Perfil: Exclusões do Antivírus do Microsoft Defender – Gerir definições de política apenas para exclusão de Antivírus.

      Com esta política, pode gerir as definições dos seguintes fornecedores de serviços de configuração (CSPs) do Antivírus do Microsoft Defender que definem exclusões de Antivírus:

      • Defender/ExcludedPaths
      • Defender/Extensões Excluídas
      • Defender/ExcludedProcesses

      Estes CSPs para exclusão antivírus também são geridos pela política antivírus do Microsoft Defender , que inclui definições idênticas para exclusões. As definições de ambos os tipos de política (exclusões de Antivírus e Antivírus) estão sujeitas a intercalação de políticas e criam um super conjunto de exclusões para dispositivos e utilizadores aplicáveis.

    • Perfil: Experiência de segurança do Windows – faça a gestão das definições da aplicação Segurança do Windows que os utilizadores finais podem ver no Centro de Segurança do Microsoft Defender e nas notificações que recebem.

      A aplicação de segurança do Windows é utilizada por várias funcionalidades de segurança do Windows para fornecer notificações sobre o estado de funcionamento e a segurança do computador. As notificações de aplicações de segurança incluem firewalls, produtos antivírus, Windows Defender SmartScreen, entre outros.

    • Perfil: controlos do Defender Update – gerir definições de atualização do Microsoft Defender, incluindo as seguintes definições que são obtidas diretamente do Defender CSP:

Dispositivos geridos pelo Configuration Manager

Antivírus

Gerir definições de Antivírus para dispositivos do Configuration Manager quando utiliza a anexação do inquilino.

Caminho da política:

  • Antivírus > de segurança > de ponto final Windows 10, Windows 11 e Windows Server (ConfigMgr)

Perfis:

  • Antivírus do Microsoft Defender (pré-visualização)
  • Experiência de Segurança do Windows (pré-visualização)

Versão necessária do Configuration Manager:

  • Configuration Manager versão atual do ramo 2006 ou posterior

Plataformas de dispositivos do Configuration Manager suportadas:

  • Windows 8.1 (x86, x64), a partir da versão 2010 do Configuration Manager
  • Windows 10 e posterior (x86, x64, ARM64)
  • Windows 11 e posterior (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), a partir da versão 2010 do Configuration Manager
  • Windows Server 2016 e posterior (x64)

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente o Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Intercalação de políticas para definições

Algumas definições de política antivírus suportam a intercalação de políticas. A intercalação de políticas ajuda a evitar conflitos quando várias políticas se aplicam aos mesmos dispositivos e configuram a mesma definição. O Intune avalia as definições suportadas pela intercalação de políticas para cada utilizador ou dispositivo, conforme retirado de todas as políticas aplicáveis. Essas definições são então intercaladas num único superconjunto de políticas.

Por exemplo, cria três políticas antivírus separadas que definem exclusões de caminhos de ficheiros antivírus diferentes. Eventualmente, as três políticas são atribuídas ao mesmo utilizador. Uma vez que a exclusão do caminho de ficheiro do Microsoft Defender CSP suporta a intercalação de políticas, o Intune avalia e combina as exclusões de ficheiros de todas as políticas aplicáveis para o utilizador. As exclusões são adicionadas a um superconjunto e a única lista de exclusões é entregue ao dispositivo dos utilizadores.

Quando a intercalação de políticas não é suportada para uma definição, pode ocorrer um conflito. Os conflitos podem fazer com que o utilizador ou dispositivo não receba nenhuma política para a definição. Por exemplo, a intercalação de políticas não suporta o CSP para impedir a instalação de IDs de dispositivo correspondentes (PreventInstallationOfMatchingDeviceIDs). As configurações para este CSP não são intercaladas e são processadas separadamente.

Quando processados separadamente, os conflitos de políticas são resolvidos da seguinte forma:

  1. Aplica-se a política mais segura.
  2. Se duas políticas forem igualmente seguras, aplica-se a última política modificada.
  3. Se a última política modificada não conseguir resolver o conflito, nenhuma política é entregue ao dispositivo.

Definições e CSPs que suportam a intercalação de políticas

As seguintes definições suportam a intercalação de políticas:

Relatórios de políticas antivírus

Os relatórios de política antivírus apresentam detalhes de estado sobre as políticas antivírus de segurança do ponto final e o estado do dispositivo. Estes relatórios estão disponíveis no nó de segurança ponto final do centro de administração do Microsoft Intune.

Para ver os relatórios, no centro de administração do Microsoft Intune, aceda a Segurança do ponto final e selecione Antivírus. Selecionar Antivírus abre a página Resumo. Estão disponíveis vistas de relatório e estado adicionais como páginas adicionais.

Além dos relatórios detalhados nas secções seguintes, são encontrados relatórios adicionais para o Antivírus do Microsoft Defender no nó Relatórios do centro de administração do Microsoft Intune, conforme documentado no artigo Relatórios do Intune:

Resumo

Na página Resumo , pode criar novas políticas e ver uma lista das políticas que foram criadas anteriormente. A lista inclui detalhes de alto nível sobre o perfil que a política inclui (Tipo de Política) e se a política está atribuída.

Página de resumo da política antivírus

Quando seleciona uma política na lista, a página Descrição geral dessa instância de política é aberta e apresenta mais informações. Depois de selecionar um mosaico a partir desta vista, o Intune apresenta detalhes adicionais para esse perfil, se estiverem disponíveis.

Página de descrição geral da política antivírus

Pontos finais em mau estado de funcionamento

Na página Pontos finais em mau estado de funcionamento, pode ver informações sobre o estado do antivírus dos seus dispositivos Windows geridos pela MDM. Estas informações são devolvidas pelo Antivírus do Windows Defender que é executado no dispositivo, como estado do Agente de ameaças. Nesta página, selecione Colunas para ver a lista completa de detalhes disponíveis no relatório.

Apenas os dispositivos com problemas detetados aparecem nesta vista. Esta vista não apresenta detalhes para dispositivos identificados como limpos.

As informações deste relatório baseiam-se nos detalhes disponíveis nos seguintes CSPs, que estão descritos na documentação de gerenciamento de clientes Windows:

Captura de ecrã do relatório Pontos finais em mau estado de funcionamento.

Próximas etapas

Configurar políticas de segurança de Ponto Final

Veja os detalhes das definições do Windows nos perfis preteridos para o Windows 10 e plataforma posterior :