Поделиться через


Используйте политики безопасности Intune конечных точек для управления Microsoft Defender для конечной точки на устройствах, не зарегистрированных в Intune

Интеграция Microsoft Intune с Microsoft Defender для конечной точки позволяет использовать политики безопасности Intune конечных точек для управления параметрами безопасности Defender на устройствах, которые не зарегистрированы в Intune. Эта возможность известна как Защитник для управления настройками безопасности конечных точек .

При управлении устройствами с помощью управления настройками безопасности:

  • Вы можете использовать Центр администрирования Microsoft Intune или портал Microsoft 365 Defender, чтобы управлять политиками безопасности Intune конечных точек для Defender для конечной точки и назначать эти политики Microsoft Entra ID группам. Портал Защитника включает пользовательский интерфейс для просмотра устройств, управления политиками и отчетов для управления настройками безопасности.

    Сведения об управлении политиками на портале Defender см. в статье Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки содержимого Defender.

  • Устройства получают назначенные политики на основе объекта устройства Microsoft Entra ID. Устройство, которое еще не зарегистрировано в Microsoft Entra, присоединяется в рамках этого решения.

  • Когда устройство получает политику, компоненты Защитника для конечной точки на устройстве применяют политику и сообщают о состоянии устройства. Статус устройства доступен в центре администрирования Microsoft Intune и на портале Microsoft Defender.

Этот сценарий расширяет поверхность Microsoft Intune Endpoint Security на устройства, которые не могут регистрироваться в Intune. Если устройство управляется Intune (зарегистрировано в Intune), оно не обрабатывает политики для управления параметрами безопасности Defender для конечной точки. Вместо этого используйте Intune для развертывания политики для Defender для конечной точки на ваших устройствах.

Применимо к:

  • Windows 10 и Windows 11
  • Windows Server (2012 R2 и более поздние версии)
  • Linux
  • macOS

 Концептуальная презентация решения Microsoft Defender для подключения к конечной точке.

Предварительные условия

В следующих разделах приведены требования к сценарию управления параметрами безопасности Защитника для конечной точки.

Среда

Когда поддерживаемое устройство подключается к Microsoft Defender для конечной точки:

  • Устройство проверяется на наличие существующего присутствия Microsoft Intune, которое представляет собой регистрацию управления мобильными устройствами (MDM) в Intune.
  • Устройства без присутствия Intune включают функцию управления параметрами безопасности.
  • Для устройств, которые не полностью зарегистрированы в Microsoft Entra, в Microsoft Entra ID создается синтетический идентификатор устройства, который позволяет устройству получать политики. Полностью зарегистрированные устройства используют свою текущую регистрацию.
  • Политики, полученные из Microsoft Intune, применяются на устройстве защитником Microsoft для конечной точки.

Поддержка облака для государственных организаций

Сценарий управления параметрами безопасности Defender для конечной точки поддерживается в следующих клиентах для государственных организаций:

  • Облако сообщества для государственных организаций США (GCC)
  • Высокий уровень сообщества государственных организаций США (GCC High)
  • Министерство обороны (DoD)

Дополнительные сведения см. в разделе:

Требования к подключению

Устройства должны иметь доступ к следующей конечной точке:

  • *.dm.microsoft.com – Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации и составления отчетов, которые могут меняться по мере масштабирования службы.

Поддерживаемые платформы

Политики для Microsoft Defender для управления безопасностью конечных точек поддерживаются для следующих платформ устройств:

Linux :

При использовании Microsoft Defender для конечной точки для Linux агента версии 101.23052.0009 или новее управление параметрами безопасности поддерживает следующие дистрибутивы Linux:

  • Red Hat Enterprise Linux 7.2 или выше
  • CentOS 7.2 или выше
  • Ubuntu 16.04 LTS или выше LTS
  • Debian 9 или выше
  • SUSE Linux Enterprise Server 12 или выше
  • Oracle Linux 7.2 или выше
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33 или выше

Чтобы проверить версию агента Защитника, на портале Защитника перейдите на страницу устройств и на вкладке устройств Инвентарь найдите Защитник для Linux . Рекомендации по обновлению версии агента см. в разделе Развертывание обновлений для Microsoft Defender для конечной точки в Linux .

Известная проблема : При использовании агента Защитника версии 101.23052.0009 устройства Linux не могут зарегистрироваться, если у них отсутствует следующий путь к файлу: /sys/class/dmi/id/board_vendor .

Известная проблема. Когда устройство Linux выполняет искусственную регистрацию, идентификатор Device Entra ID (ранее известный как идентификатор AAD устройства) не отображается на портале Defender. Эти сведения можно просмотреть на порталах Intune или Microsoft Entra. Администраторы по-прежнему могут управлять устройствами с помощью политик таким образом.

macOS

При использовании Microsoft Defender для конечной точки для macOS агента версии 101.23052.0004 или новее управление параметрами безопасности поддерживает следующие версии macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Чтобы проверить версию агента Defender, на портале Defender перейдите на страницу устройств и на вкладке устройств Инвентарь найдите Defender для macOS . Рекомендации по обновлению версии агента см. в разделе Развертывание обновлений для Microsoft Defender для конечной точки в macOS .

Известная проблема : При использовании агента Защитника версии 101.23052.0004 устройства macOS, зарегистрированные в Microsoft Entra ID перед регистрацией с помощью управления настройками безопасности, получают дублирующийся идентификатор устройства в Microsoft Entra ID, который является синтетической регистрацией. При создании группы Microsoft Entra для целевой политики необходимо использовать синтетический идентификатор устройства, созданный при управлении параметрами безопасности. В Microsoft Entra ID столбец Тип соединения для синтетического идентификатора устройства пуст.

Известная проблема. Когда устройство macOS выполняет искусственную регистрацию, идентификатор Device Entra ID (ранее известный как идентификатор AAD устройства) не отображается на портале Defender. Эти сведения можно просмотреть на порталах Intune или Microsoft Entra. Администраторы по-прежнему могут управлять устройствами с помощью политик таким образом.

Windows:

Управление настройками безопасности не работает и не поддерживается на следующих устройствах:

  • Windows Server Core 2019 и более ранних версий
  • Непостоянный рабочий стол, например клиенты инфраструктура виртуальных рабочих столов (VDI)
  • Виртуальный рабочий стол Azure (AVD и ранее — Виртуальный рабочий стол Windows, WVD)
  • 32-разрядные версии Windows

Лицензирование и подписки

Чтобы воспользоваться управлением настройками безопасности, вам необходимо:

  • Подписка, которая предоставляет лицензии на Microsoft Defender для конечной точки, например Microsoft 365, или отдельную лицензию только на Microsoft Defender для конечной точки. Подписка, которая предоставляет лицензии Microsoft Defender для конечной точки, также предоставляет вашему клиенту доступ к узлу безопасности конечной точки в центре администрирования Microsoft Intune.

    Примечание.

    Исключение : Если у вас есть доступ к Microsoft Defender для конечной точки только через Microsoft Defender для серверов (часть Microsoft Defender для облака, ранее называвшаяся Центр безопасности Azure), функция управления параметрами безопасности недоступна. Вам потребуется иметь хотя бы одну активную лицензию на подписку Microsoft Defender для конечной точки (пользовательскую).

    Узел безопасности конечной точки — это место, где вы настраиваете и развертываете политики для управления Microsoft Defender для конечной точки на ваших устройствах и отслеживания состояния устройств.

    Текущую информацию о параметрах см. в разделе Минимальные требования для Microsoft Defender для конечной точки .

Управление доступом на основе ролей (RBAC)

Инструкции по назначению правильного уровня разрешений и прав администраторам, которые управляют Intune политиками безопасности конечных точек из центра администрирования Intune, см. в статье Назначение ролей на основе доступа-controls-for-endpoint-security-policy.

Архитектура

На следующей схеме показано концептуальное представление решения по управлению конфигурацией безопасности Microsoft Defender для конечной точки.

 Концептуальная схема решения по управлению конфигурацией безопасности Microsoft Defender для конечной точки

  1. Устройства, встроенные в Microsoft Defender для конечной точки.
  2. Устройства взаимодействуют с Intune. Такое взаимодействие позволяет Microsoft Intune распространять политики, предназначенные для устройств при их регистрации.
  3. Для каждого устройства в Microsoft Entra ID устанавливается регистрация:
    • Если устройство ранее было полностью зарегистрировано, например устройство с гибридным присоединением, используется существующая регистрация.
    • Для незарегистрированных устройств в Microsoft Entra ID создается синтетический идентификатор устройства, позволяющий устройству получать политики. Если для устройства с синтетической регистрацией создана полная регистрация Microsoft Entra, синтетическая регистрация удаляется, и управление устройствами продолжается непрерывно с использованием полной регистрации.
  4. Защитник для конечной точки сообщает о состоянии политики обратно в Microsoft Intune.

Важно!

Управление параметрами безопасности использует синтетическую регистрацию для устройств, которые не полностью регистрируются в Microsoft Entra ID, и исключает обязательное требование гибридного присоединения к Microsoft Entra. Благодаря этому изменению устройства Windows, на которых ранее возникали ошибки регистрации, начнут подключаться к Defender, а затем получать и обрабатывать политики управления настройками безопасности.

Чтобы отфильтровать устройства, которые не удалось зарегистрировать из-за несоответствия предварительным требованиям гибридного присоединения Microsoft Entra, перейдите к списку Устройства на портале Microsoft Defender и отфильтруйте их по статусу регистрации. Поскольку эти устройства не полностью зарегистрированы, в их атрибутах отображаются MDM = Intune и Тип соединения = Пустой . Эти устройства теперь будут регистрироваться с управлением настройками безопасности с использованием синтетической регистрации.

После регистрации эти устройства появятся в списках устройств на порталах Microsoft Defender, Microsoft Intune и Microsoft Entra. Хотя устройства не будут полностью зарегистрированы в Microsoft Entra, их синтетическая регистрация считается одним объектом устройства.

Чего ожидать от портала Microsoft Defender

Вы можете использовать Microsoft Defender для конечной точки инвентаризации устройств, чтобы убедиться, что устройство использует функцию управления параметрами безопасности в Defender для конечной точки, просмотрив состояние устройств в столбце Управляемые. Информация Под управлением также доступна на боковой панели или странице устройства. Под управлением должно постоянно указываться, что оно управляется MDE . 

Вы также можете подтвердить, что устройство успешно зарегистрировано в управлении параметрами безопасности , убедившись, что на боковой панели устройства или на странице устройства отображается Статус регистрации MDE как Успешно .

 Снимок экрана со статусом регистрации управления параметрами безопасности устройств на странице устройства на портале Microsoft Defender.

Если в статусе Регистрация MDE не отображается Успешно , убедитесь, что вы просматриваете устройство, которое было обновлено и находится в области управления настройками безопасности. (Вы настраиваете область на странице Область применения при настройке управления параметрами безопасности.)

Чего ожидать от центра администрирования Microsoft Intune

В центре администрирования Microsoft Intune перейдите на страницу "Все устройства". Устройства, зарегистрированные с управлением настройками безопасности, отображаются здесь так же, как и на портале Defender. В центре администрирования в поле "Управление устройствами" должно отображаться MDE.

 Снимок экрана страницы устройства в центре администрирования Intune с выделенным статусом устройства

Совет

В июне 2023 года управление параметрами безопасности начало использовать синтетическую регистрацию для устройств, которые не полностью регистрируются в Microsoft Entra. Благодаря этому изменению устройства, на которых ранее возникали ошибки регистрации, начнут подключаться к Defender, а затем получать и обрабатывать политики управления настройками безопасности.

Чего ожидать от портала Microsoft Azure

На странице Все устройства на портале Microsoft Azure можно просмотреть сведения об устройстве.

 Снимок экрана страницы

Чтобы гарантировать, что все устройства, зарегистрированные в Defender для управления настройками безопасности конечной точки, получают политики, мы рекомендуем создать динамическую группу Microsoft Entra на основе типа ОС устройств. При использовании динамической группы устройства, управляемые Defender for Endpoint, автоматически добавляются в группу, не требуя от администраторов выполнения других задач, таких как создание новой политики.

Важно!

С июля 2023 г. по 25 сентября 2023 г. служба управления параметрами безопасности запустила общедоступную предварительную версию с добровольным согласием, которая представила новое поведение для управляемых устройств, зарегистрированных в сценарии. Начиная с 25 сентября 2023 г. поведение общедоступной предварительной версии стало общедоступным и теперь применяется ко всем клиентам, использующим управление параметрами безопасности.

Если вы использовали управление параметрами безопасности до 25 сентября 2023 г. и не присоединились к общедоступной предварительной версии, которая проходила с июля 2023 г. по 25 сентября 2023 г., просмотрите свои группы Microsoft Entra, которые полагаются на системные метки, чтобы внести изменения, которые будут идентифицировать новые устройства, которыми вы управляете с помощью управления настройками безопасности. Это связано с тем, что до 25 сентября 2023 г. устройства, управление которыми не осуществлялось через общедоступную предварительную версию с добровольным согласием, будут использовать следующие системные метки (теги) MDEManaged и MDEJoined для идентификации управляемых устройств. Эти две системные метки больше не поддерживаются и больше не добавляются к регистрируемым устройствам.

Используйте следующие рекомендации для своих динамических групп:

  • (Рекомендуется) При настройке политики используйте динамические группы на основе платформы устройства с помощью атрибута deviceOSType (Windows, Windows Server, macOS, Linux), чтобы обеспечить продолжение доставки политики для устройств, которые меняют типы управления. например, во время регистрации в MDM.

  • При необходимости динамические группы, содержащие исключительно устройства, управляемые Defender for Endpoint, могут быть нацелены путем определения динамической группы с помощью атрибута ManagementType MicrosoftSense . Использование этого атрибута предназначено для всех устройств, которыми управляет Защитник для конечной точки с помощью функции управления настройками безопасности, и устройства остаются в этой группе только во время управления Защитником для конечной точки.

Кроме того, если при настройке управления параметрами безопасности вы планируете управлять всем парком платформ ОС с помощью Microsoft Defender для конечной точки, выберите все устройства вместо помеченных устройств в Microsoft Defender для Endpoint Enforcement. На странице "Область" следует понимать, что любые синтетические регистрации учитываются в квотах Microsoft Entra ID так же, как и полные регистрации.

Какое решение мне следует использовать?

Microsoft Intune включает несколько методов и типов политик для управления настройкой Defender for Endpoint на устройствах. В следующей таблице указаны политики и профили Intune, которые поддерживают развертывание на устройствах, управляемых Защитником для управления параметрами безопасности конечной точки, и могут помочь вам определить, подходит ли это решение вашим потребностям.

При развертывании политики безопасности конечной точки, которая поддерживается как для Защитника для управления параметрами безопасности конечной точки , так и для Microsoft Intune , один экземпляр этой политики может обрабатываться:

  • Устройства, поддерживаемые посредством управления параметрами безопасности (Microsoft Defender)
  • Устройства, управляемые Intune или Configuration Manager.

Профили для платформы Windows 10 и более поздних версий не поддерживаются для устройств, управляемых с помощью управления настройками безопасности.

Для каждого типа устройства поддерживаются следующие профили:

Linux

Следующие типы политик поддерживают платформу Linux .

Политика безопасности конечных точек Профиль Защитник для управления настройками безопасности конечных точек Microsoft Intune
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается

macOS

Следующие типы политик поддерживают платформу macOS .

Политика безопасности конечных точек Профиль Защитник для управления настройками безопасности конечных точек Microsoft Intune
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается

Windows

Для поддержки управления параметрами безопасности Microsoft Defender политики для устройств Windows должны использовать платформу Windows. Каждый профиль для платформы Windows может применяться к устройствам, управляемым Intune, и к устройствам, управляемым с помощью управления параметрами безопасности.

Политика безопасности конечных точек Профиль Защитник для управления настройками безопасности конечных точек Microsoft Intune
антивирусная программа Элементы управления обновлением Защитника Поддерживается Поддерживается
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Опыт безопасности Windows Примечание 1 Поддерживается
Уменьшение поверхности атаки Правила уменьшения поверхности атаки Поддерживается Поддерживается
Уменьшение поверхности атаки Управление устройствами Примечание 1 Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается
Брандмауэр Брандмауэр Поддерживается Поддерживается
Брандмауэр Правила брандмауэра Поддерживается Поддерживается

1 . Этот профиль отображается на портале Defender, но не поддерживается для устройств, управляемых только Microsoft Defender с помощью сценария управления Microsoft Defender параметров безопасности. Этот профиль поддерживается только для устройств, управляемых Intune.

Каждый профиль безопасности Intune конечной точки — это дискретная группа параметров, предназначенная для использования администраторами безопасности, которые сосредоточены на защите устройств в вашей организации. Ниже приведены описания профилей, поддерживаемых сценарием управления параметрами безопасности.

  • Политики антивирусной программы управляют конфигурациями безопасности, найденными в Microsoft Defender для конечной точки.

    Примечание.

    Хотя конечные точки не требуют перезапуска для применения измененных настроек или новых политик, нам известна проблема, из-за которой параметры AllowOnAccessProtection и DisableLocalAdminMerge могут время от времени требовать от конечных пользователей перезапуска своих устройства для обновления этих настроек. В настоящее время мы изучаем эту проблему, чтобы предложить решение.

  • Политики сокращения направлений атак (ASR) ориентированы на минимизацию мест, где ваша организация уязвима для киберугроз и атак. При управлении настройками безопасности правила ASR применяются к устройствам под управлением Windows 10 , Windows 11 и Windows Server .

    Текущие рекомендации о том, какие настройки применяются к различным платформам и версиям, см. в разделе Правила ASR, поддерживаемые операционными системами в документации по защите от угроз Windows.

    Совет

    Чтобы поддерживать поддерживаемые конечные точки в актуальном состоянии, рассмотрите возможность использования современного унифицированного решения для Windows Server 2012 R2 и 2016.

    См. также:

  • Политики обнаружения и реагирования на конечные точки (EDR) управляют возможностями Defender для конечной точки, которые обеспечивают расширенное обнаружение атак, практически в реальном времени и практические действия. На основе конфигураций EDR аналитики безопасности могут эффективно расставлять приоритеты оповещений, получать представление о полном объеме нарушений и принимать ответные меры для устранения угроз.

  • Политики брандмауэра ориентированы на брандмауэр Defender на ваших устройствах.

  • Правила брандмауэра — это тип профиля для политики брандмауэра , который состоит из детализированных правил для брандмауэров, включая определенные порты, протоколы, приложения и сети.

Настройте свой клиент для поддержки управления настройками безопасности Defender для конечной точки.

Чтобы поддерживать управление параметрами безопасности через центр администрирования Microsoft Intune, необходимо включить связь между ними из каждой консоли.

Следующие разделы проведут вас через этот процесс.

Настройка Microsoft Defender для конечной точки

На портале Microsoft Defender в качестве администратора безопасности выполните следующие действия:

  1. Войдите на портал Microsoft Defender и перейдите в раздел Параметры>Конечные точкиОбластьпримененияуправления> конфигурацией > и включите платформы для управления параметрами безопасности.

     Включите Microsoft Defender для управления настройками конечной точки на портале Microsoft Defender.

    Примечание.

    Если у вас есть разрешение Управление параметрами безопасности в центре безопасности на портале Microsoft Defender и вы одновременно можете просматривать устройства со всех Группы устройств (нет ограничений на управление доступом на основе ролей для разрешений пользователя), вы также можете выполнить это действие.

  2. Первоначально мы рекомендуем протестировать эту функцию для каждой платформы, выбрав опцию "Платформы" для На помеченных устройствах , а затем пометив устройства тегом MDE-Management .

    Важно!

    Использование функции динамического тегирования Microsoft Defender для конечной точки для пометки устройств с помощью MDE-Management в настоящее время не поддерживается при управлении настройками безопасности. Устройства, помеченные с помощью этой возможности, не будут успешно зарегистрированы. Этот вопрос остается на расследовании.

    Совет

    Используйте правильные теги устройств, чтобы протестировать и проверить развертывание на небольшом количестве устройств.

    При развертывании в группе Все устройства любое устройство, попадающее в настроенную область, будет автоматически зарегистрировано.

    Хотя большинство устройств завершают регистрацию и применяют назначенную политику в течение нескольких минут, иногда устройству может потребоваться до 24 часов для завершения регистрации.

  3. Настройте функцию Microsoft Defender для встроенных в облако устройств и параметры полномочий Configuration Manager в соответствии с потребностями вашей организации:

     Настройте пилотный режим для управления параметрами конечной точки на портале Microsoft Defender.

    Совет

    Чтобы пользователи портала Microsoft Defender имели согласованные разрешения на разных порталах (если они еще не предоставлены), попросите ИТ-администратора предоставить им встроенную роль RBAC Microsoft Intune Endpoint Security Manager.

Настройка Intune

В центре администрирования Microsoft Intune вашей учетной записи необходимы разрешения, равные встроенной роли управления доступом на основе ролей (RBAC) Endpoint Security Manager.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность конечной точки > Защитник Microsoft для конечной точки и установите для параметра Разрешить Защитнику Microsoft для конечной точки применять настройки безопасности конечной точки значение Вкл..

     Включите Microsoft Defender для управления параметрами конечной точки в центре администрирования Microsoft Intune.

    Если для этого параметра установлено значение Вкл. , все устройства в области платформы Microsoft Defender для конечной точки, которые не управляются Microsoft Intune, имеют право на подключение к Microsoft Defender для конечной точки.

Подключение устройств к Microsoft Defender для конечной точки

Microsoft Defender для конечной точки поддерживает несколько вариантов подключения устройств. Текущие рекомендации см. в разделе Встроенная поддержка Microsoft Defender для конечной точки в документации по Защитнику для конечной точки.

Сосуществование с Microsoft Configuration Manager

В некоторых средах может потребоваться использовать управление параметрами безопасности с устройствами, управляемыми Configuration Manager. Если вы используете оба, вам необходимо контролировать политику через один канал. Использование более чем одного канала создает возможность возникновения конфликтов и нежелательных результатов.

Для этого настройте параметры управления безопасностью с помощью переключателя Configuration Manager в положение Выкл. Войдите на портал Microsoft Defender и перейдите в раздел Настройки > Конечные точки > Управление конфигурацией > Объем правоприменения :

 Снимок экрана портала Защитника, показывающий, что для параметра

Создание групп Microsoft Entra

После подключения устройств к Защитнику для конечной точки вам потребуется создать группы устройств для поддержки развертывания политики для Защитника Майкрософт для конечной точки. Чтобы определить устройства, которые зарегистрированы в Microsoft Defender для конечной точки, но не управляются Intune или Configuration Manager:

  1. Войдите в центр администрирования Microsoft Intune .

  2. Перейдите в раздел Устройства > Все устройства , а затем выберите столбец Под управлением , чтобы отсортировать представление устройств.

    Устройства, подключенные к Microsoft Defender для конечной точки и зарегистрированные, но не управляемые Intune, отображают Microsoft Defender для конечной точки в столбце Под управлением . Это устройства, которые могут получать политику управления безопасностью для Microsoft Defender для конечной точки.

    Начиная с 25 сентября 2023 г. устройства, использующие управление безопасностью для Microsoft Defender для конечной точки, больше нельзя будет идентифицировать с помощью следующих системных меток:

    • MDEJoined  — Устаревший тег, который ранее добавлялся к устройствам, присоединенным к каталогу в рамках этого сценария.
    • MDEManaged  — Устаревший тег, который ранее добавлялся к устройствам, которые активно использовали сценарий управления безопасностью. Этот тег удаляется с устройства, если Защитник для конечной точки перестает управлять конфигурацией безопасности.

    Вместо использования системных меток можно использовать атрибут типа управления и настроить его на MicrosoftSense .

Вы можете создать группы для этих устройств в Microsoft Entra или из центра администрирования Microsoft Intune . При создании групп вы можете использовать значение OS для устройства, если вы развертываете политики на устройствах под управлением Windows Server, а не на устройствах под управлением клиентской версии Windows:

  • Windows 10 и Windows 11  – тип устройства или ОС отображается как Windows
  • Windows Server  – тип устройства или ОС отображается как Windows Server
  • Устройство Linux  – тип устройства или ОС отображается как Linux .

Примеры динамических групп Intune с синтаксисом правил

Рабочие станции Windows :

 Снимок экрана динамической группы Intune для рабочих станций Windows.

Серверы Windows :

 Снимок экрана динамической группы Intune для серверов Windows.

Устройства Linux :

 Снимок экрана динамической группы Intune для Windows Linux.

Важно!

В мае 2023 года deviceOSType был обновлен, чтобы различать клиентов Windows и серверы Windows .

Пользовательские сценарии и группы динамических устройств Microsoft Entra , созданные до этого изменения и определяющие правила, ссылающиеся только на Windows , могут исключать серверы Windows при использовании с решением Управление безопасностью для Microsoft Defender для конечной точки. Например:

  • Если у вас есть правило, которое использует оператор equals или not equals для идентификации Windows , это изменение повлияет на ваше правило. Это связано с тем, что ранее и Windows , и Windows Server обозначались как Windows . Чтобы продолжать включать оба варианта, необходимо обновить правило, чтобы оно также ссылалось на Windows Server .
  • Если у вас есть правило, в котором для указания Windows используется оператор contains или like , это изменение не повлияет на правило. Эти операторы могут найти как Windows , так и Windows Server .

Совет

Пользователи, которым делегирована возможность управлять параметрами безопасности конечных точек, могут не иметь возможности реализовывать конфигурации на уровне клиента в Microsoft Intune. Дополнительную информацию о ролях и разрешениях в вашей организации можно получить у администратора Intune.

Политика развертывания

После создания одной или нескольких групп Microsoft Entra, содержащих устройства, управляемые Microsoft Defender для конечной точки, вы можете создать и развернуть следующие политики для управления параметрами безопасности в этих группах. Доступные политики и профили зависят от платформы.

Список сочетаний политик и профилей, поддерживаемых для управления параметрами безопасности, см. на диаграмме в разделе Какое решение следует использовать, приведенной в этой статье.

Совет

Избегайте развертывания нескольких политик, которые управляют одним и тем же параметром на устройстве.

Microsoft Intune поддерживает развертывание нескольких экземпляров каждого типа политики безопасности конечной точки на одном устройстве, при этом каждый экземпляр политики принимается устройством отдельно. Таким образом, устройство может получать отдельные конфигурации для одного и того же параметра из разных политик, что приводит к конфликту. Некоторые настройки (например, исключения антивируса) будут объединены на клиенте и успешно применены.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Безопасность конечной точки , выберите тип политики, которую вы хотите настроить, а затем выберите Создать политику .

  3. В качестве политики выберите платформу и профиль, которые вы хотите развернуть. Список платформ и профилей, поддерживающих управление настройками безопасности, см. в таблице Какое решение мне следует использовать? ранее в этой статье.

    Примечание.

    Поддерживаемые профили применяются к устройствам, которые обмениваются данными через управление мобильными устройствами (MDM) с Microsoft Intune, и устройствам, которые взаимодействуют с помощью клиента Microsoft Defender для конечной точки.

    При необходимости обязательно проверьте таргетинг и группы.

  4. Нажмите Создать.

  5. На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.

  6. На странице Параметры конфигурации выберите параметры, которыми вы хотите управлять с помощью этого профиля.

    Чтобы узнать больше о настройке, разверните диалоговое окно информации и выберите ссылку Подробнее , чтобы просмотреть онлайн-документацию поставщика услуг конфигурации (CSP) или соответствующие сведения для этого параметра.

    Завершив настройку параметров, нажмите Далее.

  7. На странице Назначения выберите группы Microsoft Entra, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее, чтобы продолжить.

    Совет

    • Фильтры назначений не поддерживаются для устройств, управляемых с помощью управления настройками безопасности.
    • Только Объекты устройств применимы для Microsoft Defender для управления конечными точками. Таргетинг на пользователей не поддерживается.
    • Настроенные политики будут применяться к клиентам Microsoft Intune и Microsoft Defender для конечной точки.
  8. Завершите процесс создания политики, а затем на странице Проверка + создание выберите Создать . Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

  9. Подождите, пока политика будет назначена, и просмотрите индикатор успешного применения политики.

  10. Вы можете проверить, применены ли параметры локально к клиенту, с помощью служебной программы команд Get-MpPreference .

Состояние монитора

Состояние и отчеты для политик, нацеленных на устройства в этом канале, доступны в узле политики в разделе "Безопасность конечных точек" в центре администрирования Microsoft Intune.

Подробно изучите тип политики, а затем выберите политику, чтобы просмотреть ее статус. Список платформ, типов политик и профилей, поддерживающих управление параметрами безопасности, можно просмотреть в таблице в разделе Какое решение следует использовать ранее в этой статье.

При выборе политики вы можете просмотреть информацию о статусе регистрации устройства и выбрать:

  • Просмотр отчета  – просмотр списка устройств, получивших политику. Вы можете выбрать устройство для детализации и просмотреть состояние его настроек. Затем вы можете выбрать параметр, чтобы просмотреть дополнительную информацию о нем, включая другие политики, которые управляют этим же параметром, что может быть источником конфликта.

  • Статус каждой настройки  – просмотр настроек, которыми управляет политика, а также количество успешных, ошибок или конфликтов для каждого параметра.

Часто задаваемые вопросы и соображения

Частота проверки устройства

Устройства, управляемые этой возможностью, проверяются с помощью Microsoft Intune каждые 90 минут для обновления политики.

Вы можете вручную синхронизировать устройство по требованию на портале Microsoft Defender . Войдите на портал и перейдите в раздел Устройства . Выберите устройство, которым управляет Microsoft Defender для конечной точки, а затем нажмите кнопку Синхронизация политики :

 Синхронизируйте устройства, управляемые Microsoft Defender для конечной точки, вручную.

Кнопка синхронизации политики отображается только для устройств, которыми успешно управляет Microsoft Defender для конечной точки.

Устройства, защищенные с помощью защиты от незаконного изменения

Если на устройстве включена защита от незаконного изменения, изменить значения параметров, защищенных от незаконного копирования, сначала не отключив защиту от незаконного копирования.

Фильтры назначений и управление настройками безопасности

Фильтры назначений не поддерживаются для устройств, обменивающихся данными через канал Microsoft Defender для конечной точки. Хотя фильтры назначения можно добавить в политику, предназначенную для этих устройств, устройства игнорируют фильтры назначения. Для поддержки фильтра назначений устройство должно быть зарегистрировано в Microsoft Intune.

Удаление устройств

Удалить устройства, использующие этот поток, можно одним из двух способов:

  • В центре администрирования Microsoft Intune перейдите в раздел Устройства > Все устройства и выберите устройство, на котором отображается MDEJoined или MDEManaged в столбце Под управлением , а затем выберите Удалить .
  • Вы также можете удалить устройства из области управления конфигурацией в Центре безопасности.

Как только устройство удаляется из любого места, это изменение распространяется на другую службу.

Невозможно включить управление безопасностью для рабочей нагрузки Microsoft Defender для конечной точки в Endpoint Security.

Хотя первоначальные потоки подготовки могут выполняться администратором с разрешениями в обеих службах, следующих ролей достаточно для завершения настройки в каждой отдельной службе:

  • Для Защитника Microsoft используйте роль администратора безопасности.
  • Для Microsoft Intune используйте роль Менеджера Endpoint Security.

Устройства, которые присоединились к Microsoft Entra

Устройства, присоединенные к Active Directory, используют свою существующую инфраструктуру для завершения процесса гибридного присоединения Microsoft Entra.

Неподдерживаемые настройки безопасности

Следующие параметры безопасности ожидают прекращения поддержки. Поток управления настройками безопасности Защитника для конечной точки не поддерживает следующие параметры:

  • Ускорить частоту отправки отчетов телеметрии (в разделе Обнаружение конечных точек и реагирование на них )
  • AllowIntrusionPreventionSystem (в разделе Антивирус )
  • Защита от несанкционированного доступа (в разделе Windows Security Experience ). Этот параметр не устарел, но в настоящее время не поддерживается.

Использование управления настройками безопасности на контроллерах домена

В настоящее время в предварительной версии управление параметрами безопасности теперь поддерживается на контроллерах домена. Чтобы управлять параметрами безопасности на контроллерах домена, необходимо включить его на странице область принудительного применения (перейдите в раздел Применение параметров>конечных точекобласть). Прежде чем можно будет включить настройку контроллеров домена, необходимо включить устройства Windows Server. Кроме того, если для серверов Windows выбран параметр на устройствах с тегами , конфигурация контроллеров домена также ограничена устройствами с тегами.

Предостережение

  • Неправильная настройка контроллеров домена может негативно сказаться как на состоянии безопасности, так и на непрерывности работы.
  • Если в клиенте включена настройка контроллеров домена, обязательно просмотрите все политики Windows, чтобы убедиться, что вы не случайно нацеливаетесь на Microsoft Entra группы устройств, содержащие контроллеры домена. Чтобы свести к минимуму риск для повышения производительности, политики брандмауэра не поддерживаются на контроллерах домена.
  • Перед отменой регистрации этих устройств рекомендуется просмотреть все политики, предназначенные для контроллеров домена. Сначала сделайте все необходимые конфигурации, а затем отмените регистрацию контроллеров домена. Конфигурация Defender для конечной точки сохраняется на каждом устройстве после отмены регистрации устройства.

Режим ограничения PowerShell

PowerShell необходимо включить.

Управление настройками безопасности не работает для устройства, на котором для PowerShell LanguageMode настроен режим ConstrainedLanguage enabled . Дополнительную информацию см. в разделе about_Language_Modes в документации PowerShell.

Управление безопасностью с помощью Defender для конечной точки, если ранее вы использовали стороннее средство безопасности

Если ранее на компьютере было стороннее средство безопасности, а теперь вы управляете им с помощью Defender для конечной точки, вы можете увидеть некоторое влияние на возможность Defender для конечной точки управлять параметрами безопасности в редких случаях. В таких случаях в качестве меры по устранению неполадок удалите и переустановите последнюю версию Defender для конечной точки на компьютере.

Дальнейшие действия