Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune

  • Статья

При использовании Microsoft Defender для конечной точки вы можете развернуть политики из Microsoft Intune для управления параметрами безопасности Defender на устройствах, подключенных к Defender, без регистрации этих устройств в Intune. Эта возможность называется управлением параметрами безопасности Defender для конечной точки.

Ниже описано поведение, которое является общедоступным.

Ниже описано поведение общедоступной предварительной версии согласия.

Примечание.

Начиная с июля 2023 г. доступна общедоступная предварительная версия для управления параметрами безопасности. Чтобы просмотреть содержимое, отражающее возможности общедоступной предварительной версии согласия, выберите параметр Общедоступная предварительная версия согласия .

Вы можете согласиться на общедоступную предварительную версию, включив использование функций предварительной версии на портале Microsoft 365 Defender. Дополнительные сведения об этом см. в разделе Microsoft Defender для конечной точки предварительных версий функций в документации по Defender.

При управлении устройствами с помощью управления параметрами безопасности без участия в общедоступной предварительной версии:

  • Центр администрирования Microsoft Intune используется для настройки политик безопасности конечных точек для Defender для конечной точки и назначения этих политик группам Azure AD
  • Устройства получают политики на основе объекта устройства Azure Active Directory. Устройство, которое еще не присутствует в Azure Active Directory, присоединяется к этому решению
  • На устройствах, получающих политику, компоненты Defender для конечной точки на устройстве применяют политику и сообщают о состоянии устройства. Состояние устройства доступно в Центре администрирования Microsoft Intune

Этот сценарий расширяет область Microsoft Intune Endpoint Security на устройства, которые не могут регистрироваться в Intune. Когда устройство управляется Intune (зарегистрировано в Intune), оно не обрабатывает политики управления безопасностью для Microsoft Defender для конечной точки. Вместо этого используйте Intune для развертывания политики Defender для конечной точки на своих устройствах.

Применимо к:

  • Windows 10
  • Windows 11

Концептуальная схема Microsoft Defender для решения Endpoint-Attach.

В этой статье описывается поведение общедоступной предварительной версии согласия. Если вы используете управление параметрами безопасности, но не согласились на общедоступную предварительную версию, выберите Общедоступный в верхней части этой статьи, чтобы просмотреть содержимое, описывающее поведение, которое поддерживает клиент.

При управлении устройствами с помощью управления параметрами безопасности в рамках общедоступной предварительной версии:

  • Вы можете использовать Центр администрирования Microsoft Intune или портал Microsoft 365 Defender, чтобы настроить политики безопасности конечных точек для Defender для конечной точки и назначить их группам Azure Active Directory (Azure AD). Портал Defender включает пользовательский интерфейс для представлений устройств, управления политиками и отчетов для управления параметрами безопасности.

    Инструкции по управлению политиками безопасности конечных точек Intune на портале Defender см. в статье Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки содержимого Defender.

  • Устройства получают назначенные политики на основе Azure AD объекта устройства. Устройство, которое еще не зарегистрировано в Azure Active Directory, присоединяется к этому решению.

  • Когда устройство получает политику, компоненты Defender для конечной точки на устройстве применяют политику и сообщают о состоянии устройства. Состояние устройства доступно в Центре администрирования Microsoft Intune и на портале Microsoft 365 Defender.

Этот сценарий расширяет область Microsoft Intune Endpoint Security на устройства, которые не могут регистрироваться в Intune. Когда устройство управляется Intune (зарегистрировано в Intune), оно не обрабатывает политики для управления параметрами безопасности Defender для конечной точки. Вместо этого используйте Intune для развертывания политики Defender для конечной точки на своих устройствах.

Применимо к:

  • Linux
  • macOS
  • Windows 10
  • Windows 11

Концептуальное представление Microsoft Defender для решения Endpoint-Attach.

Предварительные требования

Ознакомьтесь со следующими разделами, чтобы ознакомиться с требованиями к сценарию управления параметрами безопасности Defender для конечной точки.

Среда

Когда поддерживаемое устройство подключено к Microsoft Defender для конечной точки:

  • Устройство обследуется на наличие существующей Microsoft Intune присутствия, которая представляет собой регистрацию управления мобильными устройствами (MDM) для Intune.
  • Устройства без Intune присутствия обеспечивают функцию управления параметрами безопасности.
  • Доверие создается с помощью Azure Active Directory, если оно еще не существует.
  • Политики, полученные из Microsoft Intune, применяются на устройстве Microsoft Defender для конечной точки.

Управление параметрами безопасности пока не поддерживается в облаках для государственных организаций. Дополнительные сведения см. в статье Паритет функций с коммерческимиMicrosoft Defender для конечной точки для клиентов из государственных организаций США.

  • Устройство обследуется на наличие существующей Microsoft Intune присутствия, которая представляет собой регистрацию управления мобильными устройствами (MDM) для Intune.
  • Устройства без Intune присутствия обеспечивают функцию управления параметрами безопасности.
  • Для устройств, которые не полностью Azure AD зарегистрированы, в Azure AD создается искусственное удостоверение устройства, позволяющее устройству получать политики. Полностью зарегистрированные устройства используют текущую регистрацию.
  • Политики, полученные из Microsoft Intune, применяются на устройстве Microsoft Defender для конечной точки.

Управление параметрами безопасности пока не поддерживается в облаках для государственных организаций. Дополнительные сведения см. в статье Паритет функций с коммерческимиMicrosoft Defender для конечной точки для клиентов из государственных организаций США.

Требования Active Directory

Когда устройство, присоединенное к домену, создает доверие с Azure Active Directory, этот сценарий называется сценарием гибридного присоединения к Azure Active Directory . Управление параметрами безопасности полностью поддерживает этот сценарий со следующими требованиями:

  • Azure Active Directory Connect (Azure AD Connect) необходимо синхронизировать с клиентом, который используется из Microsoft Defender для конечной точки.
  • Гибридное присоединение к Azure Active Directory должно быть настроено в вашей среде (с помощью федерации или Azure AD Connect Sync).
  • Azure AD Connect Sync должны включать объекты устройств в область для синхронизации с Azure Active Directory (если это необходимо для присоединения).
  • Azure AD Правила подключения для синхронизации должны быть изменены для Server 2012 R2 (если требуется поддержка Server 2012 R2).
  • Все устройства должны быть зарегистрированы в Azure Active Directory клиента, в котором размещается Microsoft Defender для конечной точки. Сценарии между клиентами не поддерживаются.

Примечание.

Если устройство удаляется (из Azure AD или локальная служба Active Directory) или устройство перемещено в другое подразделение, которое не синхронизировано с помощью Azure AD Connect, запись устройства удаляется из Azure AD, а членство в группе также удаляется. В результате политики Intune больше не предназначены для устройства.

Если устройство входило в динамическую группу Azure AD, политика, предназначенная для устройства, будет разрешена в течение как минимум 48 часов. Однако если устройство было предназначено как часть статической группы Azure AD, администраторам потребуется вернуться и перенацелить устройство.

Это известная проблема с Azure AD.

Требования к подключению

Устройства должны иметь доступ к следующим конечным точкам:

  • enterpriseregistration.windows.net— Для регистрации Azure AD.
  • login.microsoftonline.com— Для регистрации Azure AD.
  • *.dm.microsoft.com— Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, проверка и создания отчетов и которые могут изменяться по мере масштабирования службы.

Примечание.

Необходимо настроить системный прокси-сервер конечной точки в среде, которая не подключена к Интернету. Недостаточно использовать только конфигурацию статического прокси-сервера EDR.

Если ваша организация использует проверку SSL, конечные точки должны быть исключены из проверки.

Поддерживаемые платформы

Политики для управления безопасностью Microsoft Defender для конечной точки поддерживаются на следующих платформах устройств:

Linux:

В Microsoft Defender для конечной точки для агента Linux версии 101.23052.0009 или более поздней управление параметрами безопасности поддерживает следующие дистрибутивы Linux:

  • Red Hat Enterprise Linux 7.2 или более поздней версии
  • CentOS 7.2 или более поздней версии
  • Ubuntu 16.04 LTS или более поздней версии LTS
  • Debian 9 или более поздней версии
  • SUSE Linux Enterprise Server 12 или более поздней версии
  • Oracle Linux 7.2 или более поздней версии
  • Amazon Linux 2
  • Fedora 33 или более поздней версии

Чтобы подтвердить версию агента Defender, на портале Defender перейдите на страницу устройств и на вкладке Инвентаризации устройств найдите Defender для Linux. Инструкции по обновлению версии агента см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в Linux.

Известная проблема: при использовании агента Defender версии 101.23052.0009 устройства Linux не регистрируются, если у них отсутствует следующий путь к файлу: /sys/class/dmi/id/board_vendor.

macOS

В Microsoft Defender для конечной точки для агента macOS версии 101.23052.0004 или более поздней управление параметрами безопасности поддерживает следующие версии macOS:

  • macOS 13 (Ventura)
  • macOS 12 (Монтерей)
  • macOS 11 (Big Sur)

Чтобы подтвердить версию агента Defender, на портале Defender перейдите на страницу устройств и на вкладке Инвентаризации устройств найдите Defender для macOS. Инструкции по обновлению версии агента см. в статье Развертывание обновлений для Microsoft Defender для конечной точки в macOS.

Известная проблема: при использовании агента Defender версии 101.23052.0004 устройства macOS, зарегистрированные в Azure AD перед регистрацией с помощью управления параметрами безопасности, получают дубликат идентификатора устройства в Azure AD, что является искусственной регистрацией. При создании группы Azure AD для целевой политики необходимо использовать искусственный идентификатор устройства, созданный с помощью управления параметрами безопасности. В Azure AD столбец Тип соединения для искусственного идентификатора устройства пуст.

Windows:

Управление параметрами безопасности не работает и не поддерживается на следующих устройствах:

  • Непрекращающиеся рабочие столы, например клиенты инфраструктуры виртуальных рабочих столов (VDI) или виртуальные рабочие столы Azure.
  • Контроллеры домена

Важно!

В некоторых случаях контроллерами домена, работающими под управлением операционной системы сервера нижнего уровня (2012 R2 или 2016), может непреднамеренно управлять Microsoft Defender для конечной точки. Чтобы этого не произошло в вашей среде, рекомендуется убедиться, что контроллеры домена не помечены как "MDE-Management" и не управляются MDE.

Лицензирование и подписки

Чтобы использовать управление параметрами безопасности, вам потребуется:

  • Подписка, которая предоставляет лицензии для Microsoft Defender для конечной точки, например Microsoft 365, или отдельную лицензию только для Microsoft Defender для конечной точки. Подписка, предоставляющая Microsoft Defender для конечной точки лицензии, также предоставляет клиенту доступ к узлу безопасности конечной точки Центра администрирования Microsoft Intune.

    Примечание.

    Исключение. Если у вас есть доступ к Microsoft Defender для конечной точки только через Microsoft Defender для серверов (часть Microsoft Defender для облака, ранее Центр безопасности Azure), функция управления параметрами безопасности недоступна. Необходимо иметь по крайней мере одну лицензию на подписку Microsoft Defender для конечной точки (пользователь).

    Узел Безопасность конечных точек — это место, где вы настраиваете и развертываете политики для управления Microsoft Defender для конечной точки устройств и отслеживания состояния устройства.

    Текущие сведения о параметрах см. в разделе Минимальные требования для Microsoft Defender для конечной точки.

Архитектура

На следующей схеме представлено концептуальное представление решения для управления конфигурацией безопасности Microsoft Defender для конечной точки.

Концептуальное представление решения для управления конфигурацией безопасности Microsoft Defender для конечной точки

  1. Устройства подключены к Microsoft Defender для конечной точки.
  2. Между каждым устройством и Azure AD устанавливается доверие. Если устройство имеет существующее доверие, оно использует это доверие. Если устройства не зарегистрированы, создается новое доверие.
  3. Устройства используют свое удостоверение Azure AD для связи с Intune. Это удостоверение позволяет Microsoft Intune распространять политики, предназначенные для устройств, когда они проверка.
  4. Defender для конечной точки сообщает о состоянии политики обратно в Microsoft Intune.

Концептуальная схема решения для управления конфигурацией безопасности Microsoft Defender для конечной точки

  1. Устройства подключены к Microsoft Defender для конечной точки.
  2. Устройства взаимодействуют с Intune. Это позволяет Microsoft Intune распространять политики, предназначенные для устройств, когда они проверка.
  3. Для каждого устройства в Azure AD устанавливается регистрация:
    • Если устройство было ранее полностью зарегистрировано, например устройство гибридного присоединения, используется существующая регистрация.
    • Для устройств, которые еще не были зарегистрированы, в Azure AD создается искусственное удостоверение устройства, позволяющее устройству получать политики. Если для устройства с искусственной регистрацией создана полная Azure AD регистрация, искусственная регистрация удаляется, а управление устройствами продолжается непрерывно, используя полную регистрацию.
  4. Defender для конечной точки сообщает о состоянии политики обратно в Microsoft Intune.

Важно!

В общедоступной предварительной версии управление параметрами безопасности использует искусственную регистрацию для устройств, которые не полностью зарегистрированы в Azure AD, и удаляет предварительные требования гибридного Azure AD присоединения. После этого изменения устройства с Windows, на которые ранее были ошибки регистрации, начнут подключение к Defender, а затем получат и обработают политики управления параметрами безопасности.

Чтобы отфильтровать устройства, которые не смогли зарегистрировать из-за сбоя в соответствии с предварительным требованием гибридного Azure AD присоединения, перейдите к списку Устройства на портале Microsoft 365 Defender и отфильтруйте по состоянию регистрации. Так как эти устройства зарегистрированы не полностью, их атрибуты устройств отображают MDM = Intune и Тип = соединенияпусто. Теперь эти устройства будут регистрироваться с помощью управления параметрами безопасности с помощью искусственной регистрации.

После регистрации эти устройства отображаются в списках устройств для Microsoft 365 Defender, Microsoft Intune и Azure AD порталов. Хотя устройства не будут полностью зарегистрированы в Azure AD, их искусственная регистрация считается одним объектом устройства.

Чего ожидать на портале Microsoft 365 Defender

Вы можете использовать Microsoft 365 Defender инвентаризации устройств, чтобы убедиться, что устройство использует возможность управления параметрами безопасности в Defender для конечной точки, просмотрив состояние устройств в столбце Управляемые. Сведения об управлении также доступны на боковой панели устройств или на странице устройства. Управляемый должен постоянно указывать, что он управляется MDE. 

Вы также можете убедиться, что устройство успешно зарегистрировано в управлении параметрами безопасности , убедив, что на панели или странице устройства на стороне устройства отображается состояние регистрации MDE как Успешно.

Снимок экрана: состояние регистрации управления параметрами безопасности устройств на странице устройства на портале Microsoft 365 Defender.

Если состояние регистрации MDE не отображается успешно, убедитесь, что вы просматриваете устройство, которое было обновлено и находится в область для управления параметрами безопасности. (Вы настраиваете область на странице Принудительное область при настройке управления параметрами безопасности.)

Чего ожидать в Центре администрирования Microsoft Intune

В Центре администрирования Microsoft Intune перейдите на страницу Все устройства. Устройства, зарегистрированные с помощью управления параметрами безопасности, отображаются здесь, как на портале Defender. В Центре администрирования в поле Устройства Управляемые должны отображаться MDE.

Снимок экрана: страница устройства в Центре администрирования Intune с выделенным параметром Состояние устройства управляемым.

Совет

В июне 2023 года управление параметрами безопасности начало использовать искусственную регистрацию для устройств, которые не полностью зарегистрированы в Azure AD. После этого изменения устройства, у которые ранее имели ошибки регистрации, начнут подключение к Defender, а затем получают и обрабатывают политики управления параметрами безопасности.

Чего ожидать в microsoft портал Azure

На странице Все устройства В портал Azure Майкрософт можно просмотреть сведения об устройстве.

Снимок экрана: страница

Чтобы все устройства, зарегистрированные в управлении параметрами безопасности Defender для конечной точки, получали политики, рекомендуется создать динамическую группу Azure AD на основе типа ОС устройств. В динамической группе устройства, управляемые Defender для конечной точки, автоматически добавляются в группу, не требуя от администраторов выполнения других задач, таких как создание новой политики.

Важно!

Если вы использовали управление параметрами безопасности до присоединения к общедоступной предварительной версии, просмотрите группы Azure AD, использующие системные метки, и внесите изменения, которые будут определять устройства, добавленные после присоединения к общедоступной предварительной версии. До новой общедоступной предварительной версии зарегистрированные устройства будут использовать следующие системные метки (теги) MDEManaged и MDEJoined для идентификации управляемых устройств. С изменениями, представленными в общедоступной предварительной версии согласия, эти системные метки больше не поддерживаются и добавляются на зарегистрированные устройства.

С поведением, которое появилось в общедоступной предварительной версии в июле 2023 г., используйте следующие рекомендации для динамических групп:

  • (Рекомендуется) При выборе политики используйте динамические группы на основе платформы устройств с помощью атрибута deviceType (Windows, WindowsServer, macOS, Linux), чтобы обеспечить доставку политики для устройств, изменяющих типы управления, например во время регистрации MDM.

  • При необходимости для динамических групп, содержащих исключительно устройства, управляемые Defender для конечной точки, можно определить динамическую группу с помощью атрибута managementType MicrosoftSense. Использование этого атрибута предназначено для всех устройств, управляемых Defender для конечной точки с помощью функции управления параметрами безопасности, и устройства остаются в этой группе только при управлении Defender для конечной точки.

Кроме того, при настройке управления параметрами безопасности, если вы планируете управлять всеми парками платформ ОС с помощью Microsoft Defender для конечной точки, выбрав все устройства вместо помеченных устройств в Microsoft Defender для конечной точки На странице Область применения вы понимаете, что все искусственные регистрации учитываются в Azure AD квотах так же, как и для полных регистраций.

Какое решение следует использовать?

Microsoft Intune включает несколько методов и типов политик для управления конфигурацией Defender для конечной точки на устройствах. В следующей таблице определены политики и профили Intune, которые поддерживают развертывание на устройствах, управляемых управлением параметрами безопасности Defender для конечной точки, и помогает определить, подходит ли это решение для ваших потребностей.

При развертывании политики безопасности конечной точки, которая поддерживается как для управления параметрами безопасности Defender для конечной точки, так и для Microsoft Intune, один экземпляр этой политики может обрабатываться следующим образом:

  • Устройства, поддерживаемые с помощью управления параметрами безопасности (Microsoft Defender)
  • Устройства, управляемые Intune или Configuration Manager.

Профили для платформы Windows 10 и более поздних версий не поддерживаются для устройств, управляемых управлением параметрами безопасности.

Политика безопасности конечной точки Платформа Профиль Управление параметрами безопасности Defender для конечной точки Microsoft Intune
Windows 10, Windows 11, и Windows Server антивирусная программа антивирусная программа Поддерживается Поддерживается
Windows 10, Windows 11, и Windows Server антивирусная программа Исключения антивирусной программы Поддерживается Поддерживается
Windows 10, Windows 11, и Windows Server Сокращение направлений атак Правила сокращения направлений атак Поддерживается Поддерживается
Windows 10, Windows 11, и Windows Server Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается
Windows 10, Windows 11, и Windows Server Брандмауэр Брандмауэр Поддерживается Поддерживается
Windows 10, Windows 11, и Windows Server Брандмауэр Правила брандмауэра Поддерживается Поддерживается

Для каждого типа устройства поддерживаются следующие профили:

Linux

Следующие типы политик поддерживают платформу Linux .

Политика безопасности конечной точки Профиль Управление параметрами безопасности Defender для конечной точки Microsoft Intune
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается

macOS

Следующие типы политик поддерживают платформу macOS .

Политика безопасности конечной точки Профиль Управление параметрами безопасности Defender для конечной точки Microsoft Intune
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается

Windows 10, Windows 11, и Windows Server

Для поддержки управления параметрами безопасности Microsoft Defender политики для устройств Windows должны использовать платформу Windows 10, Windows 11 и Windows Server. Каждый профиль для платформы Windows 10, Windows 11 и Windows Server может применяться к устройствам, управляемым Intune, и к устройствам, управляемым с помощью управления параметрами безопасности.

Политика безопасности конечной точки Профиль Управление параметрами безопасности Defender для конечной точки Microsoft Intune
антивирусная программа Антивирусная программа в Microsoft Defender Поддерживается Поддерживается
антивирусная программа Исключения антивирусной программы в Microsoft Defender Поддерживается Поддерживается
антивирусная программа интерфейс Безопасность Windows Примечание 1 Поддерживается
Сокращение направлений атак Правила сокращения направлений атак Поддерживается Поддерживается
Обнаружение и нейтрализация атак на конечные точки Обнаружение и нейтрализация атак на конечные точки Поддерживается Поддерживается
Брандмауэр Брандмауэр Поддерживается Поддерживается
Брандмауэр Правила брандмауэра Поддерживается Поддерживается

1 . Профиль взаимодействия с Безопасность Windows доступен на портале Defender, но применяется только к устройствам, управляемым Intune. Он не поддерживается для устройств, управляемых Microsoft Defender управления параметрами безопасности.

Политики безопасности конечных точек — это дискретные группы параметров, предназначенные для использования администраторами безопасности, которые сосредоточены на защите устройств в вашей организации. Ниже приведены описания политик, поддерживающих управление параметрами безопасности.

  • Политики антивирусной программы управляют конфигурациями безопасности, найденными в Microsoft Defender для конечной точки. См. статью Антивирусная политика для обеспечения безопасности конечных точек.

  • Политики сокращения направлений атак (ASR) ориентированы на минимизацию мест, где ваша организация уязвима для киберугроз и атак. При управлении параметрами безопасности правила ASR применяются к устройствам под управлением Windows 10, Windows 11 и Windows Server. Дополнительные сведения см. в разделе:

  • Политики обнаружения и реагирования на конечные точки (EDR) управляют возможностями Defender для конечной точки, которые обеспечивают расширенное обнаружение атак, практически в реальном времени и практические действия. На основе конфигураций EDR аналитики безопасности могут эффективно определять приоритеты оповещений, получать представление о полном область нарушения и принимать меры реагирования для устранения угроз. Сведения о безопасности конечных точек см. в статье Об обнаружении конечных точек и политике реагирования .

  • Политики брандмауэра ориентированы на брандмауэр Defender на ваших устройствах. См. статью Политика брандмауэра для безопасности конечных точек.

  • Правила брандмауэра настраивают детализированные правила для брандмауэров, включая определенные порты, протоколы, приложения и сети. См. статью Политика брандмауэра для безопасности конечных точек.

Настройка клиента для поддержки управления параметрами безопасности Defender для конечной точки

Для поддержки управления параметрами безопасности через Центр администрирования Microsoft Intune необходимо включить обмен данными между ними из каждой консоли.

Этот процесс описан в следующих разделах.

Настройка Microsoft Defender для конечной точки

На портале Microsoft Defender для конечной точки как администратору безопасности вашей учетной записи требуются минимальные разрешения для просмотра и изменения параметров безопасности (управление параметрами безопасности в Центре безопасности).

  1. Войдите на портал Microsoft 365 Defender и перейдите в раздел Параметры>Конечные точкиОбластьпримененияуправления> конфигурацией > и включите платформы для управления параметрами безопасности.

    Включите управление параметрами Microsoft Defender для конечной точки на портале Microsoft 365 Defender.

  2. Сначала рекомендуется протестировать функцию для каждой платформы, выбрав параметр Платформы для параметра На помеченных устройствах, а затем помечая устройства тегом MDE-Management .

  3. Настройте функцию для Microsoft Defender для облачных подключенных устройств и Configuration Manager параметры центра в соответствии с потребностями вашей организации:

    Настройка пилотного режима для управления параметрами конечной точки на портале Microsoft 365 Defender.

    Совет

    Используйте правильные теги устройств для тестирования и проверки развертывания на небольшом количестве устройств. Без использования пилотного режима все устройства, которые попадают в настроенную область, будут автоматически зарегистрированы.

  4. Убедитесь, что соответствующие пользователи имеют разрешения на управление параметрами безопасности конечных точек в Microsoft Intune. Если это еще не указано, попросите ИТ-администратора предоставить соответствующим пользователям встроенную роль RBAC диспетчерабезопасности конечных точек Microsoft Intune.

Настройка Intune

В центре администрирования Microsoft Intune вашей учетной записи требуются разрешения, равные встроенной роли управления доступом на основе ролей (RBAC) Endpoint Security Manager.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность >конечных точекMicrosoft Defender для конечной точки и установите для параметра Разрешить Microsoft Defender для конечной точки, чтобы применить конфигурации безопасности конечных точек значение Включено.

    Включите управление параметрами Microsoft Defender для конечной точки в Центре администрирования Microsoft Intune.

    Если для этого параметра задано значение Включено, все устройства на платформе область для Microsoft Defender для конечной точки, которые не управляются Microsoft Intune имеют право на подключение к Microsoft Defender для конечной точки.

Подключение устройств к Microsoft Defender для конечной точки

Microsoft Defender для конечной точки поддерживает несколько вариантов подключения устройств. Текущие рекомендации см. в статье Подключение устройств и настройка возможностей Microsoft Defender для конечной точки документации по Defender для конечной точки.

Сосуществование с Microsoft Configuration Manager

В некоторых средах может потребоваться использовать управление параметрами безопасности с устройствами, управляемыми Configuration Manager. Если вы используете оба варианта, необходимо управлять политикой через один канал. Использование нескольких каналов создает возможность для конфликтов и нежелательных результатов.

Для поддержки этого настройте параметры управления безопасностью с помощью Configuration Manager переключите значение Выкл. Войдите на портал Microsoft 365 Defender и перейдите в раздел Параметры Конечные> точки Областьпримененияуправления конфигурацией>>:

Снимок экрана: портал Defender, на котором показан параметр Управление параметрами безопасности с помощью Configuration Manager переключатель значение Выкл.

Создание групп Azure AD

После подключения устройств к Defender для конечной точки необходимо создать группы устройств для поддержки развертывания политики для Microsoft Defender для конечной точки. Чтобы определить устройства, зарегистрированные в Microsoft Defender для конечной точки, но не управляемые Intune или Configuration Manager, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства>Все устройства, а затем выберите столбец Управляемый, чтобы отсортировать представление устройств. Устройства, подключенные к Microsoft Defender для конечной точки, но не управляемые Intune отображают Microsoft Defender для конечной точки в столбце Управляемые. Эти устройства могут получать политики для управления параметрами безопасности.

    Устройства, подключенные к Microsoft Defender для конечной точки и зарегистрированные, но не управляемые Intune отображают Microsoft Defender для конечной точки в столбце Управляемые. Это устройства, которые могут получать политику для управления безопасностью для Microsoft Defender для конечной точки.

    Вы также можете найти две метки для устройств, использующих управление безопасностью для Microsoft Defender для конечной точки:

    • MDEJoined — добавляется к устройствам, присоединенным к каталогу в рамках этого сценария.
    • MDEManaged — добавлено на устройства, которые активно используют сценарий управления безопасностью. Этот тег удаляется с устройства, если Defender для конечной точки перестает управлять конфигурацией безопасности.

    Благодаря поведению, появившемся в общедоступной предварительной версии, устройства, которые использовали управление безопасностью для Microsoft Defender для конечной точки, больше не могут быть идентифицированы с помощью следующих системных меток:

    • MDEJoined — добавляется к устройствам, присоединенным к каталогу в рамках этого сценария.
    • MDEManaged — добавлено на устройства, которые активно используют сценарий управления безопасностью. Этот тег удаляется с устройства, если Defender для конечной точки перестает управлять конфигурацией безопасности.

    Вместо системных меток можно использовать атрибут типа управления и настроить его для MicrosoftSense.

Группы для этих устройств можно создавать в Azure AD или в Центре администрирования Microsoft Intune. При создании групп можно использовать значение ОС для устройства, если вы развертываете политики на устройствах под управлением Windows Server и на устройствах под управлением клиентской версии Windows:

  • Windows 10 и Windows 11 — тип устройства или ОС отображается как Windows
  • Windows Server — тип устройства или ОС отображается как Windows Server

Важно!

В мае 2023 года deviceType был обновлен, чтобы различать клиенты Windows и Windows Server.

Пользовательские скрипты и Azure AD динамические группы устройств, созданные до этого изменения, которые указывают правила, ссылающиеся только на Windows, могут исключить Серверы Windows при использовании с решением "Управление безопасностью для Microsoft Defender для конечной точки". Например:

  • Если у вас есть правило, использующее оператор или not equals для идентификации equalsWindows, это изменение повлияет на ваше правило. Это связано с тем, что ранее windows и Windows Server были указаны как Windows. Чтобы продолжать включать и то, и другое, необходимо обновить правило, чтобы также ссылаться на Windows Server.
  • Если у вас есть правило, использующее contains оператор или like для указания Windows, это изменение не повлияет на это правило. Эти операторы могут находить как Windows , так и Windows Server.

Совет

Пользователи, которым делегирована возможность управлять параметрами безопасности конечных точек, могут не иметь возможности реализации конфигураций на уровне клиента в Microsoft Intune. Дополнительные сведения о ролях и разрешениях в организации см. у администратора Intune.

Политика развертывания

После создания одной или нескольких групп Azure AD, содержащих устройства, управляемые Microsoft Defender для конечной точки, можно создать и развернуть следующие политики для управления параметрами безопасности в этих группах. Доступные политики и профили зависят от платформы.

Список сочетаний политик и профилей, поддерживаемых для управления параметрами безопасности, см. на диаграмме в разделе Какое решение следует использовать? ранее в этой статье.

Совет

Избегайте развертывания нескольких политик, которые управляют одинаковыми параметрами на устройстве.

Microsoft Intune поддерживает развертывание нескольких экземпляров каждого типа политики безопасности конечной точки на одном устройстве, при этом каждый экземпляр политики получается устройством отдельно. Таким образом, устройство может получать отдельные конфигурации для одного и того же параметра из разных политик, что приводит к конфликту. Некоторые параметры (например, исключения антивирусной программы) объединяются в клиенте и успешно применяются.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Безопасность конечных точек, выберите тип политики, которую требуется настроить, а затем щелкните Создать политику.

  3. Для политики выберите Платформа и Профиль, которые требуется развернуть. Список платформ и профилей, поддерживающих управление параметрами безопасности, см. на диаграмме в разделе Какое решение следует использовать? ранее в этой статье.

    Примечание.

    Поддерживаемые профили применяются к устройствам, которые обмениваются данными через мобильные Управление устройствами (MDM) с Microsoft Intune и устройствами, которые обмениваются данными с помощью клиента Microsoft Defender для конечной точки.

    При необходимости убедитесь, что вы просматриваете целевые объекты и группы.

  4. Нажмите Создать.

  5. На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.

  6. На странице Параметры конфигурации выберите параметры, которыми вы хотите управлять с помощью этого профиля.

    Чтобы узнать больше о параметре, разверните его диалоговое окно сведений и щелкните ссылку Подробнее , чтобы просмотреть документацию по поставщику служб конфигурации (CSP) или связанные сведения об этом параметре.

    Завершив настройку параметров, нажмите Далее.

  7. На странице Назначения выберите группы Azure AD, которые получают этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее, чтобы продолжить.

    Совет

    • Фильтры назначений не поддерживаются для устройств, управляемых управлением параметрами безопасности.
    • Для управления Microsoft Defender для конечной точки применимы только объекты устройств. Нацеливание на пользователей не поддерживается.
    • Настроенные политики будут применяться как к Microsoft Intune, так и к Microsoft Defender для конечной точки клиентам.

  8. Завершите процесс создания политики, а затем на странице Проверка и создание выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

  9. Дождитесь назначения политики и просмотрите сообщение об успешном выполнении политики.

  10. Проверить, применены ли параметры локально к клиенту, можно с помощью служебной программы команд Get-MpPreference .

Состояние монитора

Состояние и отчеты о политиках, предназначенных для устройств в этом канале, доступны в узле политики в разделе Безопасность конечных точек в Центре администрирования Microsoft Intune.

Выполните детализацию до типа политики, а затем выберите политику, чтобы просмотреть ее состояние. Список платформ, типов политик и профилей, поддерживающих управление параметрами безопасности, можно просмотреть в таблице Какое решение следует использовать ранее в этой статье.

При выборе политики можно просмотреть сведения о состоянии проверка устройства, а также выбрать:

  • Просмотр отчета — просмотр списка устройств, которые получили политику. Вы можете выбрать устройство для детализации и просмотреть его состояние для каждого параметра. Затем можно выбрать параметр, чтобы просмотреть дополнительные сведения о нем, включая другие политики, управляющие этим параметром, которые могут быть источником конфликта.

  • Состояние параметра . Просмотр параметров, управляемых политикой, и количество успешных, ошибок или конфликтов для каждого параметра.

Часто задаваемые вопросы и рекомендации

Частота проверка устройства

Устройства, управляемые этой возможностью, проверка с Microsoft Intune каждые 90 минут для обновления политики.

Вы можете вручную синхронизировать устройство по запросу на портале Microsoft 365 Defender. Войдите на портал и перейдите в раздел Устройства. Выберите устройство, управляемое Microsoft Defender для конечной точки, а затем нажмите кнопку Синхронизация политик:

Синхронизация устройств, управляемых Microsoft Defender для конечной точки вручную.

Кнопка "Синхронизация политик" отображается только для устройств, которые успешно управляются Microsoft Defender для конечной точки.

Устройства, защищенные защитой от незаконного вмешательства

Если на устройстве включена защита от незаконного копирования, изменить значения параметров Защиты от незаконного изменения невозможно, не отключив защиту от незаконного копирования.

Управление фильтрами назначений и параметрами безопасности

Фильтры назначений не поддерживаются для устройств, взаимодействующих через канал Microsoft Defender для конечной точки. Хотя фильтры назначений можно добавить в политику, которая может быть ориентирована на эти устройства, устройства игнорируют фильтры назначений. Для поддержки фильтра назначений устройство должно быть зарегистрировано для Microsoft Intune.

Удаление и удаление устройств

Вы можете удалить устройства, использующие этот поток, одним из двух способов:

  • В центре администрирования Microsoft Intune перейдите в раздел Устройства>Все устройства, выберите устройство, которое отображает MDEJoined или MDEManaged в столбце Управляемые, а затем нажмите кнопку Удалить.
  • Вы также можете удалить устройства из область управления конфигурацией в Центре безопасности.

После удаления устройства из любого расположения это изменение распространяется на другую службу.

Не удалось включить рабочую нагрузку "Управление безопасностью для Microsoft Defender для конечной точки" в Endpoint Security

Большинство первоначальных потоков подготовки обычно выполняет администратор обеих служб (например, глобальный администратор). Существует несколько сценариев, в которых для настройки разрешений администраторов используется ролевое администрирование. Сегодня пользователи, которым делегирована роль диспетчера безопасности конечных точек , могут не иметь необходимых разрешений для включения этой функции.

Устройства, присоединенные к Active Directory

Устройства, присоединенные к Active Directory, используют существующую инфраструктуру для завершения процесса гибридного присоединения к Azure Active Directory. Пока компонент Defender для конечной точки запускает этот процесс, для завершения соединения используется поставщик федерации или Azure Active Directory Connect (Azure AD Connect). Дополнительные сведения о настройке среды см. в статье Планирование реализации гибридного присоединения к Azure Active Directory .

Сведения об устранении неполадок с подключением Azure Active Directory см. в статье Устранение неполадок с подключением службы "Управление конфигурацией безопасности Azure Active Directory".

Устройства, присоединенные к Active Directory, используют существующую инфраструктуру для завершения процесса гибридного присоединения к Azure Active Directory.

Неподдерживаемые параметры безопасности

Следующие параметры безопасности находятся в состоянии ожидания прекращения использования. Поток управления параметрами безопасности Defender для конечной точки не поддерживает следующие параметры:

  • Ускорение частоты создания отчетов телеметрии (в разделе Обнаружение и реагирование конечных точек)
  • AllowIntrusionPreventionSystem (в разделе Антивирусная программа)
  • Защита от незаконного изменения (в разделе Безопасность Windows опыт). Этот параметр не устареет, но в настоящее время не поддерживается.

Использование управления параметрами безопасности в контроллерах домена

Так как требуется доверие Azure Active Directory, контроллеры домена в настоящее время не поддерживаются. Мы ищем способы добавления этой поддержки.

Важно!

В некоторых случаях контроллерами домена, работающими под управлением операционной системы сервера нижнего уровня (2012 R2 или 2016), может непреднамеренно управлять Microsoft Defender для конечной точки. Чтобы этого не произошло в вашей среде, рекомендуется убедиться, что контроллеры домена не помечены как "MDE-Management" и не управляются MDE.

Установка основных серверных компонентов

Управление параметрами безопасности не поддерживает установку основных серверных компонентов из-за ограничений платформы ядра сервера.

Режим ограничения PowerShell

Управление параметрами безопасности не работает на устройстве с powerShell LanguageMode, настроенным в режимеenabledConstrainedLanguage. Дополнительные сведения см. в about_Language_Modes документации по PowerShell.

Дальнейшие действия