Управление безопасностью устройств с помощью политик безопасности конечных точек в Microsoft Intune

Используйте политики безопасности Intune конечных точек для управления параметрами безопасности на устройствах. Каждая политика безопасности конечных точек поддерживает один или несколько профилей. Эти профили похожи на шаблон политики конфигурации устройства— логическую группу связанных параметров.

Как администратор безопасности, заинтересованный в безопасности устройств, вы можете использовать эти профили, ориентированные на безопасность, чтобы избежать накладных расходов на профили конфигурации устройств или базовые показатели безопасности. Профили конфигурации устройств и базовые показатели включают большой объем различных параметров за пределами область защиты конечных точек. В отличие от этого, каждый профиль безопасности конечной точки фокусируется на определенном подмножестве параметров устройства, предназначенных для настройки одного аспекта безопасности устройства.

При использовании политик безопасности конечных точек наряду с другими типами политик, таких как базовые показатели безопасности или шаблоны защиты конечных точек из политик конфигурации устройств, важно разработать план использования нескольких типов политик, чтобы свести к минимуму риск конфликтов параметров. Базовые показатели безопасности, политики конфигурации устройств и политики безопасности конечных точек считаются равными источниками параметров конфигурации устройств Intune. Конфликт параметров возникает, когда устройство получает две разные конфигурации для параметра из нескольких источников. Несколько источников могут включать отдельные типы политик и несколько экземпляров одной политики.

Когда Intune оценивает политику для устройства и определяет конфликтующие конфигурации для параметра, соответствующий параметр может быть помечен как ошибка или конфликт и не применяться. Политики конфигурации каждого типа поддерживают выявление и разрешение конфликтов при их возникновении:

• Профили конфигурации устройств
• Профили безопасности конечных точек
• Базовая конфигурация безопасности

Политики безопасности конечных точек находятся в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Ниже приведены краткие описания каждого типа политики безопасности конечной точки. Чтобы узнать больше о них, включая доступные профили для каждого из них, перейдите по ссылкам на содержимое, посвященное каждому типу политики.

• Защита учетных записей . Политики защиты учетных записей помогают защитить удостоверения и учетные записи пользователей. Политика защиты учетных записей сосредоточена на параметрах для Windows Hello и Credential Guard, которые являются частью управления удостоверениями и доступом Windows.

• Антивирусная программа . Политики антивирусной программы помогают администраторам безопасности сосредоточиться на управлении дискретной группой параметров антивирусной программы для управляемых устройств.

• Управление приложениями для бизнеса (предварительная версия) — управление утвержденными приложениями для устройств Windows с помощью политики управления приложениями для бизнеса и управляемых установщиков для Microsoft Intune. Intune политики управления приложениями для бизнеса — это реализация управления приложениями в Защитнике Windows (WDAC).

• Сокращение направлений атак. Если антивирусная программа Defender используется на устройствах с Windows 10/11, используйте политики безопасности Intune конечных точек для сокращения направлений атак, чтобы управлять этими параметрами для своих устройств.

• Шифрование дисков . Профили шифрования дисков безопасности конечных точек используют только параметры, относящиеся к встроенному методу шифрования устройств, например FileVault или BitLocker. Это позволяет администраторам безопасности легко управлять параметрами шифрования дисков без необходимости перемещаться по узлу несвязанных параметров.

• Обнаружение и реагирование конечных точек. При интеграции Microsoft Defender для конечной точки с Intune используйте политики безопасности конечных точек для обнаружения и реагирования на конечные точки (EDR) для управления параметрами EDR и подключения устройств к Microsoft Defender для конечной точки.

• Брандмауэр. Используйте политику брандмауэра безопасности конечных точек в Intune, чтобы настроить встроенный брандмауэр устройств для устройств под управлением macOS и Windows 10/11.

Следующие разделы относятся ко всем политикам безопасности конечных точек.

Создание политики безопасности конечной точки

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Безопасность конечных точек , а затем выберите тип политики, которую требуется настроить, а затем щелкните Создать политику. Выберите один из следующих типов политик.

   • Защита учетной записи
   • антивирусная программа
   • Элемент управления приложениями (предварительная версия)
   • Сокращение направлений атак
   • Шифрование диска
   • Обнаружение и нейтрализация атак на конечные точки
   • Брандмауэр

3. Укажите следующие свойства:

   • Платформа. Выберите платформу, для которую создается политика. Доступные параметры зависят от выбранного типа политики.
   • Профиль. Выберите один из доступных профилей для выбранной платформы. Сведения о профилях см. в специальном разделе этой статьи для выбранного типа политики.

4. Нажмите Создать.

5. На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.

6. На странице Параметры конфигурации разверните каждую группу параметров и настройте параметры, которыми вы хотите управлять с помощью этого профиля.

   Завершив настройку параметров, нажмите Далее.

7. На странице Теги области выберите Выбрать теги область, чтобы открыть панель Выбор тегов, чтобы назначить область теги профилю.

   Нажмите кнопку Далее, чтобы продолжить.

8. На странице Назначения выберите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

   Нажмите кнопку Далее.

9. На странице Просмотр и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Дублирование политики

Политики безопасности конечных точек поддерживают дублирование для создания копии исходной политики. Сценарий, когда дублирование политики полезно, если вам нужно назначить похожие политики разным группам, но не хотите вручную воссоздать всю политику. Вместо этого можно дублировать исходную политику, а затем ввести только изменения, необходимые новой политике. Вы можете изменить только определенный параметр и группу, которым назначена политика.

При создании дубликата вы присвойте копии новое имя. Копия создается с теми же конфигурациями параметров и тегами области, что и у оригинала, но у нее не будет назначений. Чтобы создать назначения, вам потребуется изменить новую политику позже.

Следующие типы политик поддерживают дублирование:

• Защита учетной записи
• Управление приложениями (предварительная версия)
• антивирусная программа
• Сокращение направлений атак
• Шифрование диска
• Обнаружение и нейтрализация атак на конечные точки
• Брандмауэр

После создания новой политики просмотрите и измените ее, чтобы внести изменения в ее конфигурацию.

Дублирование политики

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите политику, которую нужно скопировать. Затем выберите Дублировать или нажмите кнопку с многоточием (...) справа от политики и выберите Дублировать.
3. Укажите новое имя для политики, а затем нажмите кнопку Сохранить.

Изменение политики

1. Выберите новую политику и щелкните Свойства.
2. Выберите Параметры, чтобы развернуть список параметров конфигурации в политике. Вы не можете изменить параметры из этого представления, но можете просмотреть, как они настроены.
3. Чтобы изменить политику, выберите Изменить для каждой категории, в которой нужно внести изменения:
   • Основы
   • Задания
   • Теги области
   • параметры конфигурации;
4. После внесения изменений нажмите кнопку Сохранить, чтобы сохранить изменения. Изменения в одной категории необходимо сохранить, прежде чем вы сможете вносить изменения в дополнительные категории.

Управление конфликтами

Многие параметры устройства, которыми можно управлять с помощью политик безопасности конечных точек (политики безопасности), также доступны через другие типы политик в Intune. К этим другим типам политик относятся политика конфигурации устройств и базовые показатели безопасности. Так как управление параметрами может выполняться с помощью нескольких разных типов политик или нескольких экземпляров одного типа политики, подготовьтесь к выявлению и устранению конфликтов политик для устройств, которые не соответствуют ожидаемым конфигурациям.

• Базовые показатели безопасности могут задавать для параметра значение, отличное от значения по умолчанию, в соответствии с рекомендуемой конфигурацией, для которой применяют базовые показатели.
• Другие типы политик, включая политики безопасности конечных точек, устанавливают значение Не настроено по умолчанию. Эти другие типы политик требуют явной настройки параметров в политике.

Независимо от метода политики, управление одним параметром на одном устройстве с помощью нескольких типов политик или нескольких экземпляров одного типа политики может привести к конфликтам, которых следует избегать.

Сведения по следующим ссылкам помогут вам выявить и устранить конфликты:

• Устранение неполадок политик и профилей в Intune
• Мониторинг базовых показателей безопасности и профилей в Microsoft Intune

Дальнейшие действия

Управление безопасностью конечных точек в Intune