Начало работы: создание и развертывание политик безопасности конечных точек из Центра администрирования
Относится к Configuration Manager (Current Branch)
Семейство продуктов Microsoft Intune — это интегрированное решение для управления всеми вашими устройствами. Корпорация Майкрософт объединяет Configuration Manager и Intune в одну консоль под названием Центр администрирования Microsoft Intune.
Предварительные условия
- Доступ к Центру администрирования Microsoft Intune.
- Среда, клиент которой подключен к отправленным устройствам.
- Установлены поддерживаемая версия Configuration Manager и соответствующая версия консоли.
- Обновите целевые устройства до последней версии клиента Configuration Manager.
- По крайней мере одна коллекция Configuration Manager, доступная для назначения политик безопасности конечных точек
- Устройства с Windows, поддерживающие этот профиль для устройств, подключенных к клиенту
Поддерживаемые профили безопасности конечных точек для подключенных к клиенту устройств
| Платформа | Политика безопасности конечных точек | Профиль | Endpoint Protection (Configuration Manager) | Безопасность конечных точек (подключение клиента) |
|---|---|---|---|---|
| Windows 10, Windows 11, и Windows Server | антивирусная программа | антивирусная программа |
|
|
| Windows 10, Windows 11, и Windows Server | антивирусная программа | Исключения антивирусной программы |
|
|
| Windows 10, Windows 11, и Windows Server | антивирусная программа | Защита от незаконного изменения |
|
|
| Windows 10, Windows 11, и Windows Server | Уменьшение поверхности атаки | Правила уменьшения поверхности атаки |
|
|
| Windows 10, Windows 11 | Уменьшение поверхности атаки | Параметры Application Guard |
|
|
| Windows 10, Windows 11, и Windows Server | Уменьшение поверхности атаки | Защита от эксплойтов |
|
|
| Windows 10, Windows 11, и Windows Server | Обнаружение и нейтрализация атак на конечные точки | Обнаружение и нейтрализация атак на конечные точки |
|
|
| Windows 10, Windows 11, и Windows Server | Брандмауэр | Брандмауэр |
|
|
| Windows 10, Windows 11, и Windows Server | Брандмауэр | Правила брандмауэра |
|
|
Для устройств, которыми вы управляете с помощью Current Branch Configuration Manager, посредством сценария подключения клиента, поддерживаются сценарии профили:
Платформа: Windows 10, Windows 11 и Windows Server (ConfigMgr)
Профиль: антивирусная программа в Microsoft Defender . Управление параметрами политики антивирусной программы для устройств Configuration Manager при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
- Windows Server 2019 и более поздних версий (x64)
- Windows Server 2016 (x64)
- Windows 8.1 (x86, x64)
- Windows Server 2012 R2 (x64)
Профиль: взаимодействие с безопасностью Windows (ConfigMgr) — управление параметрами приложения безопасности Windows для устройств Configuration Manager при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
- Windows Server 2019 и более поздних версий (x64)
Важно!
Для поддержки управления защитой от подделки ваша среда должна дополнительно соответствовать предварительным требованиям для управления защитой от подделки с помощью Intune, описанным в документации Windows.
Профиль: Обнаружение и нейтрализация атак на конечные точки (ConfigMgr) — управляйте параметрами политики обнаружения и нейтрализации атак на конечные точки, когда используется подключение к клиенту.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
Windows 10 и более поздних версий (x86, x64, ARM64);
Windows 8.1 (x84, x64);
Windows Server 2019 и более поздних версий (x64)
Windows Server 2016 (x64)
Windows Server 2012 R2 (x64)
Профиль. Правила сокращения направлений атак (ConfigMgr) — управление правилами сокращения направлений атаки для устройств Configuration Manager в рамках политики сокращения направлений атаки при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
- Windows Server 2019 и более поздних версий (x64)
- Windows Server 2016 (x64)
- Windows Server 2012 R2 (x64)
Примечание.
Правила уменьшения направлений атаки могут быть недоступны в Windows Server 2012 R2 и Windows Server 2016. Для получения дополнительной информации см. документацию по правилам сокращения направлений атак.
Платформа: Windows 10 и более поздних версий
Профиль: Брандмауэр Microsoft Defender (ConfigMgr) — управление параметрами политики брандмауэра для устройств Configuration Manager при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
Важно!
Для поддержки политик брандмауэра требуется поддерживаемая версия Configuration Manager.
Профиль: Защита от эксплойтов (ConfigMgr) — управление параметрами защиты от эксплойтов для устройств Configuration Manager в рамках политики сокращения направлений атаки при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
Профиль: веб-защита (ConfigMgr) — управление параметрами веб-защиты для устройств Configuration Manager в рамках политики сокращения направлений атаки при использовании подключения клиента.
Этот профиль поддерживается для устройств, которые подключены к клиенту и работают на основе следующих платформ:
- Windows 10 и более поздних версий (x86, x64, ARM64)
Предоставление доступа к коллекциям Configuration Manager для назначения политик безопасности конечных точек
Включая поддержку политик безопасности конечных точек из Intune для коллекций устройств, вы автоматически настраиваете для этих устройств подключение к Microsoft Defender для конечной точки.
В консоли Configuration Manager, подключенной к сайту верхнего уровня, щелкните правой кнопкой мыши коллекцию устройств, синхронизированную с Центром администрирования Microsoft Intune, и выберите Свойства.
На вкладке Облачная синхронизация включите параметр Сделать эту коллекцию доступной, чтобы назначить политики безопасности конечных точек из Центра администрирования Microsoft Intune.
- Этот параметр нельзя выбрать, если иерархия Configuration Manager не подключена к клиенту.
- Коллекции, доступные для этого параметра, ограничены областью сбора, выбранной для отправки подключения клиента.
Выберите Добавить , а затем выберите группу Microsoft Entra, которую вы хотите синхронизировать с сбором результатов членства.
Нажмите кнопку ОК , чтобы сохранить конфигурацию.
Устройства в этой коллекции теперь могут подключиться к Microsoft Defender для конечной точки и поддерживать использование политик безопасности конечных точек Intune.
Дальнейшие действия
- Создание и развертывание политики антивирусной программы для безопасности конечных точек на подключенных к клиенту устройствах
- Создание и развертывание политики брандмауэра для безопасности конечных точек на подключенных к клиенту устройствах
- Создание и развертывание политики обнаружения и реагирования конечной точки для безопасности конечных точек на подключенных к клиенту устройствах