Antivirusprincip för slutpunktssäkerhet i Intune

Intune Endpoint Security Antivirus-principer kan hjälpa säkerhetsadministratörer att fokusera på att hantera den diskreta gruppen med antivirusinställningar för hanterade enheter.

Antivirusprincipen innehåller flera profiler. Varje profil innehåller endast de inställningar som är relevanta för Microsoft Defender för Endpoint antivirusprogram för macOS- och Windows-enheter, eller för användarupplevelsen i Windows-säkerhet-appen på Windows-enheter.

Du hittar antivirusprinciperna under Hantera i noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.

Antivirusprinciper innehåller samma inställningar som hittade slutpunktsskydd eller enhetsbegränsningsmallar för enhetskonfigurationsprincipen . Dessa principtyper innehåller dock ytterligare kategorier av inställningar som inte är relaterade till Antivirus. De ytterligare inställningarna kan komplicera uppgiften att konfigurera antivirusarbetsbelastningen. Dessutom är inställningarna som finns i antivirusprincipen för macOS inte tillgängliga via de andra principtyperna. MacOS Antivirus-profilen ersätter behovet av att konfigurera inställningarna med hjälp .plist av filer.

Gäller för:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (via hanteringsscenariot för Microsoft Defender för Endpoint säkerhetsinställningar)

Krav för antivirusprincip

Stöd för Microsoft Intune (MDM) registrerade enheter:

• macOS

  • Alla versioner av macOS som stöds
  • För att Intune ska kunna hantera antivirusinställningar på en enhet måste Microsoft Defender för Endpoint vara installerat på enheten. Se. Microsoft Defender för Endpoint för macOS (i Microsoft Defender för Endpoint-dokumentationen)

• Windows 10, Windows 11 och Windows Server

  • Inga ytterligare krav krävs.

Stöd för Configuration Manager klienter:

Det här scenariot är i förhandsversion och kräver användning av Configuration Manager aktuella grenversion 2006 eller senare.

• Konfigurera klientanslutning för Configuration Manager enheter – Konfigurera klientanslutning för att stödja distribution av antivirusprinciper till enheter som hanteras av Configuration Manager. Konfiguration av klientkoppling omfattar konfiguration av Configuration Manager enhetssamlingar för att stödja slutpunktssäkerhetsprinciper från Intune.

  Information om hur du konfigurerar klientanslutning finns i Konfigurera klientanslutning för att stödja endpoint protection-principer.

Stöd för Microsoft Defender för Endpoint klienter:

• Hantering av säkerhetsinställningar för Defender för Endpoint – Information om hur du konfigurerar stöd för att distribuera antivirusprinciper till enheter som hanteras av Defender men inte har registrerats med Intune finns i Hantera Microsoft Defender för Endpoint på enheter med Microsoft Intune. Den här artikeln innehåller även information om plattformar som stöds av den här funktionen och de principer och profiler som dessa plattformar stöder.

Krav för manipuleringsskydd

Manipulationsskydd är tillgängligt för enheter som kör något av följande operativsystem:

• macOS (alla versioner som stöds)
• Windows 10 och 11 (inklusive Enterprise multi-session)
• Windows Server version 1803 eller senare, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 och Windows Server 2016 (med den moderna, enhetliga lösningen)

Obs!

Enheter måste registreras i Microsoft Defender för Endpoint (P1 eller P2). Enheter kan se en fördröjning som aktiverar manipuleringsskydd om det tidigare inte har registrerats för Microsoft Defender för Endpoint. Manipulationsskydd aktiveras vid den första enhetskontrollen efter registrering för att Microsoft Defender för Endpoint.

Du kan använda Intune för att hantera manipuleringsskydd på Windows-enheter som en del av Windows-säkerhet Experience-profilen (en antivirusprincip). Detta omfattar både enheter som du hanterar med Intune och enheter som du hanterar med Configuration Manager via scenariot för klientanslutning. Manipulationsskydd är nu också tillgängligt för Azure Virtual Desktop.

Intune hanterade enheter

Krav för att stödja manipuleringsskydd för enheter som hanteras av Intune:

• Din miljö måste uppfylla kraven för att hantera manipuleringsskydd med Intune
• Enheter registreras i Microsoft Defender för Endpoint (P1 eller P2)

Profiler för antivirusprincip som stöder manipuleringsskydd för enheter som hanteras av Microsoft Intune:

• Plattform: Windows 10, Windows 11 och Windows Server

  • Profil: Windows-säkerhet upplevelse

  Obs!

  Från och med den 5 april 2022 ersattes plattformen Windows 10 och senare av plattformen Windows 10, Windows 11 och Windows Server.

  Plattformen Windows 10, Windows 11 och Windows Server stöder enheter som kommunicerar med Intune via Microsoft Intune eller Microsoft Defender för Endpoint. Dessa profiler lägger också till stöd för Windows Server-plattformen som inte stöds via Microsoft Intune internt.

  Profiler för den här nya plattformen använder inställningsformatet som finns i inställningskatalogen. Varje ny profilmall för den nya plattformen innehåller samma inställningar som den äldre profilmallen som den ersätter. Med den här ändringen kan du inte längre skapa nya versioner av de gamla profilerna. Dina befintliga instanser av den gamla profilen är fortfarande tillgängliga för användning och redigering.

Du kan också använda Endpoint Protection-profilen för enhetskonfigurationsprincipen för att konfigurera manipuleringsskydd för enheter som hanteras av Intune.

Configuration Manager klienter som hanteras via klientanslutningsscenariot

Förutsättningar för att hantera manipuleringsskydd med dessa profiler:

• Din miljö måste uppfylla kraven för att hantera manipuleringsskydd med Intune enligt beskrivningen i Windows-dokumentationen.
• Du måste använda Configuration Manager aktuell gren 2006 eller senare.
• Du måste konfigurera klientkoppling för att stödja endpoint protection-principer. Detta inkluderar att konfigurera Configuration Manager enhetssamlingar för synkronisering med Intune.
• Enheter registreras i Microsoft Defender för Endpoint (P1 eller P2)

Profiler för antivirusprincip som stöder manipuleringsskydd för enheter som hanteras av Configuration Manager:

• Plattform: Windows 10, Windows 11 och Windows Server (ConfigMgr)
  • Profil: Windows-säkerhet upplevelse (förhandsversion)

Antivirusprofiler

Enheter som hanteras av Microsoft Intune

Följande profiler stöds för enheter som du hanterar med Intune:

macOS:

• Plattform: macOS

  • Profil: Antivirus – Hantera principinställningar för antivirus för macOS.

    När du använder Microsoft Defender för Endpoint för Mac kan du konfigurera och distribuera antivirusinställningar till dina hanterade macOS-enheter via Intune i stället för att konfigurera inställningarna med hjälp av .plist filer.

Windows:

• Plattform: Windows 10, Windows 11 och Windows Server
  Profiler för den här plattformen kan användas med enheter som registrerats med Intune och enheter som hanteras via Säkerhetshantering för Microsoft Defender för Endpoint.

  Obs!

  Från och med den 5 april 2022 ersattes plattformen Windows 10 och senare av plattformen Windows 10, Windows 11 och Windows Server.

  Plattformen Windows 10, Windows 11 och Windows Server stöder enheter som kommunicerar med Intune via Microsoft Intune eller Microsoft Defender för Endpoint. Dessa profiler lägger också till stöd för Windows Server-plattformen som inte stöds via Microsoft Intune internt.

  Profiler för den här nya plattformen använder inställningsformatet som finns i inställningskatalogen. Varje ny profilmall för den nya plattformen innehåller samma inställningar som den äldre profilmallen som den ersätter. Med den här ändringen kan du inte längre skapa nya versioner av de gamla profilerna. Dina befintliga instanser av den gamla profilen är fortfarande tillgängliga för användning och redigering.

  • Profil: Microsoft Defender Antivirus – Hantera principinställningar för antivirus för Windows-enheter.

    Defender Antivirus är nästa generations skyddskomponent i Microsoft Defender för Endpoint. Nästa generations skydd sammanför tekniker som maskininlärning och molninfrastruktur för att skydda enheter i din företagsorganisation.

    Profilen Microsoft Defender Antivirus är en separat instans av antivirusinställningarna som finns i profilen Enhetsbegränsning för enhetskonfigurationsprincipen.

    Till skillnad från antivirusinställningarna i en profil för enhetsbegränsning kan du använda de här inställningarna med enheter som är samhanterade. Om du vill använda de här inställningarna måste skjutreglaget för samhantering av arbetsbelastningar för Endpoint Protection vara inställt på Intune.

  • Profil: Microsoft Defender Antivirusundantag – Hantera principinställningar för endast antivirusundantag.

    Med den här principen kan du hantera inställningar för följande Microsoft Defender leverantörer av antiviruskonfigurationstjänster (CSP:er) som definierar antivirusundantag:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Dessa CSP:er för antivirusundantag hanteras också av Microsoft Defender antivirusprincip, som innehåller identiska inställningar för undantag. Inställningar från båda principtyperna (antivirus- och antivirusundantag) omfattas av principsammanslagning och skapar en superuppsättning undantag för tillämpliga enheter och användare.

  • Profil: Windows-säkerhet upplevelse – Hantera de Windows-säkerhet appinställningar som slutanvändarna kan visa i Microsoft Defender Security Center och de meddelanden de får.

    Windows-säkerhetsappen används av ett antal Windows-säkerhetsfunktioner för att ge meddelanden om datorns hälsa och säkerhet. Aviseringar om säkerhetsappar omfattar brandväggar, antivirusprodukter, Windows Defender SmartScreen och andra.

  • Profil: Defender Update-kontroller – Hantera uppdateringsinställningar för Microsoft Defender, inklusive följande inställningar som tas direkt från Defender CSP:

    • Motor Uppdateringar kanal
    • Plattform Uppdateringar Kanal
    • Security Intelligence Uppdateringar Channel

Enheter som hanteras av Configuration Manager

Antivirus

Hantera antivirusinställningar för Configuration Manager enheter när du använder klientanslutning.

Principsökväg:

• Endpoint Security > Antivirus > Windows 10, Windows 11 och Windows Server (ConfigMgr)

Profiler:

• Microsoft Defender Antivirus (förhandsversion)
• Windows-säkerhet upplevelse (förhandsversion)

Nödvändig version av Configuration Manager:

• Configuration Manager aktuell grenversion 2006 eller senare

Configuration Manager enhetsplattformar som stöds:

• Windows 8.1 (x86, x64), med början i Configuration Manager version 2010
• Windows 10 och senare (x86, x64, ARM64)
• Windows 11 och senare (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), med början i Configuration Manager version 2010
• Windows Server 2016 och senare (x64)

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Principsammanslagning för inställningar

Vissa antivirusprincipinställningar stöder principsammanslagning. Principsammanslagning hjälper till att undvika konflikter när flera principer gäller för samma enheter och konfigurerar samma inställning. Intune utvärderar de inställningar som principsammanslagning stöder för varje användare eller enhet enligt alla tillämpliga principer. Dessa inställningar sammanfogas sedan till en enda superuppsättning med principer.

Du kan till exempel skapa tre separata antivirusprinciper som definierar olika undantag för sökvägen till antivirusfiler. Slutligen tilldelas alla tre principerna till samma användare. Eftersom CSP för Microsoft Defender filsökvägsundantag stöder principsammanslagning utvärderar och kombinerar Intune filundantag från alla tillämpliga principer för användaren. Undantagen läggs till i en superuppsättning och den enda listan över undantag levereras till användarnas enhet.

När principsammanslagning inte stöds för en inställning kan en konflikt uppstå. Konflikter kan leda till att användaren eller enheten inte får någon princip för inställningen. Principsammanslagning stöder till exempel inte CSP för att förhindra installation av matchande enhets-ID:n (PreventInstallationOfMatchingDeviceIDs). Konfigurationer för den här CSP:en sammanfogas inte och bearbetas separat.

När de bearbetas separat löses principkonflikter på följande sätt:

1. Den säkraste principen gäller.
2. Om två principer är lika säkra gäller den senast ändrade principen.
3. Om den senast ändrade principen inte kan lösa konflikten levereras ingen princip till enheten.

Inställningar och CSP:er som stöder principsammanslagning

Följande inställningar stöder principsammanslagning:

• Exkluderade processer – CSP: Defender/ExcludedProcesses
• Undantagna tillägg – CSP: Defender/ExcludedExtensions
• Undantagna sökvägar – CSP: Defender/ExcludedPaths

Rapporter om antivirusprinciper

Rapporter om antivirusprinciper visar statusinformation om slutpunktssäkerhet Antivirusprinciper och enhetsstatus. Dessa rapporter är tillgängliga i noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.

Om du vill visa rapporterna går du till Microsoft Intune administrationscenter, går till Slutpunktssäkerhet och väljer Antivirus. Om du väljer Antivirus öppnas sidan Sammanfattning. Ytterligare rapport- och statusvyer är tillgängliga som ytterligare sidor.

Förutom rapporter som beskrivs i följande avsnitt finns ytterligare rapporter för Microsoft Defender Antivirus i noden Rapporter i Microsoft Intune administrationscenter, enligt beskrivningen i artikeln Intune Rapporter:

• Statusrapport för antivirusagent (organisation)
• Rapport om identifierad skadlig kod (organisation)

Sammanfattning

På sidan Sammanfattning kan du skapa nya principer och visa en lista över de principer som skapades tidigare. Listan innehåller information på hög nivå om den profil som principen innehåller (principtyp) och om principen har tilldelats.

När du väljer en princip i listan öppnas sidan Översikt för den principinstansen och mer information visas. När du har valt en panel i den här vyn visar Intune ytterligare information för profilen om de är tillgängliga.

Slutpunkter med feltillstånd

På sidan Ej felfria slutpunkter kan du visa information om antivirusstatusen för dina MDM-hanterade Windows-enheter. Den här informationen returneras från Windows Defender Antivirus som körs på enheten, som hotagentstatus. På den här sidan väljer du Kolumner för att visa den fullständiga listan med information som är tillgänglig i rapporten.

Endast enheter med identifierade problem visas i den här vyn. Den här vyn visar inte information för enheter som har identifierats som rena.

Informationen för den här rapporten baseras på information som är tillgänglig från följande CSP:er, som finns dokumenterade i dokumentationen för Windows-klienthantering:

• Defender CSP
• CSP för WindowsAdvancedThreatProtection.

Nästa steg

Konfigurera principer för slutpunktssäkerhet

Visa information om Windows-inställningarna i de inaktuella profilerna för Windows 10 och senare plattform:

• Inställningar för antivirusprincip
• Antivirusundantag
• Windows-säkerhet appinställningar