Поделиться через

Добавление параметров Endpoint Protection в Intune

  • Статья

С помощью Intune вы можете использовать профили конфигурации устройств для управления общими функциями безопасности для защиты Endpoint Protection на устройствах, в том числе следующими:

  • Брандмауэр
  • BitLocker
  • Разрешение и блокировка приложений
  • Microsoft Defender и шифрование

Например, можно создать профиль Endpoint Protection, который разрешает пользователям macOS устанавливать приложения только из Mac App Store. Или включать Windows SmartScreen при выполнении приложений на устройствах с Windows 10/11.

Перед созданием профиля ознакомьтесь со следующими статьями, в которых рассматриваются параметры Endpoint Protection, применяемые Intune для каждой поддерживаемой платформы:

Создание профиля устройства с параметрами Endpoint Protection

Важно!

Шаблон защиты конечных точек macOS устарел. Существующие политики остаются неизменными, но вы больше не можете создавать новые политики с помощью этого шаблона. Мы рекомендуем использовать каталог параметров для создания новых политик конфигурации для полезных данных FileVault, брандмауэра и управления системными политиками (Gatekeeper). Дополнительные сведения см. в каталоге параметров macOS.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Настройка>создать.

  3. Укажите следующие свойства:

    • Платформа: выберите платформу устройств. Доступны следующие параметры:

      • macOS
      • Windows 10 и более поздние версии

    • Профиль: выберите Шаблоны>Endpoint Protection.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

  7. Нажмите кнопку Далее.

  8. В поле Назначения выберите пользователей или группы, которые будет принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  9. В разделе Правила применимости используйте параметры Правило, Свойство и Значение, чтобы определить, как этот профиль применяется в назначенных группах. Intune применяет профиль к устройствам, которые соответствуют введенным правилам. Дополнительные сведения о правилах применения см. в разделе Правила применения.

    Нажмите кнопку Далее.

  10. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Добавление настраиваемых правил брандмауэра для устройств c Windows 10/11

При настройке брандмауэра Windows как части профиля, включающего правила защиты конечных точек для Windows 10/11, можно настроить настраиваемые правила для брандмауэров. Настраиваемые правила позволяют развернуть предварительно определенный набор правил брандмауэра, поддерживаемых для устройств с Windows.

При планировании профилей с настраиваемыми правилами брандмауэра учитывайте следующие сведения, которые могут повлиять на выбор способа группировки правил брандмауэра в профилях.

  • Каждый профиль поддерживает до 150 правил брандмауэра. Если используется более 150 правил, создайте дополнительные профили, каждый из которых ограничен 150 правилами.

  • Если для какого-то профиля не удается применить одно правило, все правила в этом профиле будут считаться неудачными и ни одно из правил не будет применено к устройству.

  • Если правило не удается применить, все правила в профиле будут отображаться как неудачные. Intune не может выяснить, какое именно правило оказалось неудачным.

Правила брандмауэра, которыми может управлять Intune, подробно описаны в поставщике службы конфигурации брандмауэра Windows (CSP). Чтобы просмотреть список настраиваемых параметров брандмауэра для устройств с Windows, поддерживаемых Intune, см. раздел Настраиваемые правила брандмауэра.

Добавление настраиваемых правил брандмауэра в профиль защиты конечной точки

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Настройка>создать.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздняя версия.

    • Профиль: выберите Шаблоны>Endpoint Protection.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В разделе Параметры конфигурации разверните узел Брандмауэр Windows. Затем в области Правила брандмауэра выберите Добавить, чтобы открыть страницу Создание правила.

  7. Укажите параметры правила брандмауэра и нажмите кнопку Сохранить, чтобы сохранить правило. Сведения о доступных параметрах настраиваемых правил брандмауэра см. в разделе документации Настраиваемые правила брандмауэра.

    1. Правило отображается на странице Брандмауэр Windows в списке правил.
    2. Чтобы изменить правило, выберите его из списка, чтобы открыть страницу Изменение правила.
    3. Чтобы удалить правило из профиля, нажмите кнопку с многоточием (...) для правила, а затем выберите команду Удалить.
    4. Чтобы изменить порядок, в котором отображаются правила, используйте значки со стрелкой вверх и стрелкой вниз в верхней части списка правил.

    Нажмите кнопку Далее.

  8. В разделе Назначения выберите группы устройств, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  9. В разделе Правила применимости используйте параметры Правило, Свойство и Значение, чтобы определить, как этот профиль применяется в назначенных группах. Intune применяет профиль к устройствам, которые соответствуют введенным правилам. Дополнительные сведения о правилах применения см. в разделе Правила применения.

    Нажмите кнопку Далее.

  10. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Дальнейшие действия

Отслеживание состояния профиля.