Hantera manipuleringsskydd för din organisation med hjälp av Microsoft Intune

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender Antivirus
• Microsoft Defender för företag
• Microsoft 365 Business Premium

Plattformar

• Windows

Manipulationsskydd hjälper till att skydda vissa säkerhetsinställningar, till exempel virus- och hotskydd, från att inaktiveras eller ändras. Om du ingår i organisationens säkerhetsteam och använder Microsoft Intune kan du hantera manipulationsskydd för din organisation i Intune administrationscenter. Eller så kan du använda Configuration Manager. Med Intune eller Configuration Manager kan du utföra följande uppgifter:

• Aktivera eller inaktivera manipulationsskydd för vissa eller alla enheter.
• Skydda Microsoft Defender Antivirus-undantag från manipulering (vissa krav måste uppfyllas).

Viktigt

Om du använder Microsoft Intune för att hantera Inställningar för Defender för Endpoint måste du ange DisableLocalAdminMerge till true på enheter.

När manipuleringsskydd är aktiverat kan manipuleringsskyddade inställningar inte ändras. För att undvika avbrott i hanteringsupplevelser, inklusive Intune (och Configuration Manager), bör du tänka på att ändringar av manipulationsskyddade inställningar kan verka vara slutförda men faktiskt blockeras av manipuleringsskydd. Beroende på ditt specifika scenario har du flera tillgängliga alternativ:

• Om du måste göra ändringar på en enhet och dessa ändringar blockeras av manipulationsskydd rekommenderar vi att du använder felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. Observera att när felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.

• Du kan använda Intune eller Configuration Manager för att undanta enheter från manipulationsskydd.

• Om du hanterar manipuleringsskydd via Intune kan du ändra manipulationsskyddade antivirusundantag.

Krav för hantering av manipuleringsskydd i Intune

Krav	Information
Roller och behörigheter	Du måste ha rätt behörigheter tilldelade via roller, till exempel säkerhetsadministratör. Se Microsoft Entra roller med Intune åtkomst.
Enhetshantering	Din organisation använder Configuration Manager eller Intune för att hantera enheter. Co-Managed enheter stöds inte för den här funktionen.
Intune licenser	Intune licenser krävs. Se Microsoft Intune licensiering.
Operativsystem	Windows-enheter måste köra Windows 10 version 1709 eller senare eller Windows 11. (Mer information om versioner finns i Versionsinformation för Windows.) Information om Mac finns i Skydda macOS-säkerhetsinställningar med manipuleringsskydd.
Säkerhetsinsikter	Du måste använda Windows-säkerhet med säkerhetsinformation uppdaterad till version 1.287.60.0 (eller senare).
Plattform för program mot skadlig kod	Enheter måste använda plattformsversionen 4.18.1906.3 för program mot skadlig kod (eller senare) och motorversionen 1.1.15500.X mot skadlig kod (eller senare). Se Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.
Microsoft Entra ID	Dina Intune- och Defender för Endpoint-klientorganisationer måste dela samma Microsoft Entra infrastruktur.
Defender för Endpoint	Dina enheter måste vara registrerade i Defender för Endpoint.

Obs!

Om enheter inte har registrerats i Microsoft Defender för Endpoint visas manipuleringsskyddet som Inte tillämpligt förrän registreringsprocessen har slutförts. Manipuleringsskydd kan förhindra att ändringar av säkerhetsinställningarna sker. Om du ser en felkod med händelse-ID 5013 läser du Granska händelseloggar och felkoder för att felsöka problem med Microsoft Defender Antivirus.

Aktivera eller inaktivera manipuleringsskydd i Microsoft Intune

1. I Intune administrationscenter går du till Endpoint Security>Antivirus och väljer sedan + Skapa princip.

   • I listan Plattform väljer du Windows 10, Windows 11 och Windows Server.
   • I listan Profil väljer du Windows-säkerhet upplevelse.

2. Skapa en profil som innehåller följande inställning:

   • ManipulationSkydd (enhet): På

3. Slutför valet av alternativ och inställningar för principen.

4. Distribuera principen till enheter.

Manipulationsskydd för antivirusundantag

Om din organisation har undantag som definierats för Microsoft Defender Antivirus skyddar manipuleringsskyddet dessa undantag, förutsatt att alla följande villkor är uppfyllda:

Villkor	Kriterier
Microsoft Defender plattform	Enheter körs Microsoft Defender plattform 4.18.2211.5 eller senare. Mer information finns i Månatliga plattforms- och motorversioner.
DisableLocalAdminMerge inställning	Den här inställningen kallas även för att förhindra sammanslagning av lokala listor. DisableLocalAdminMergemåste vara aktiverat så att inställningar som konfigurerats på en enhet inte slås samman med organisationsprinciper, till exempel inställningar i Intune. Mer information finns i DisableLocalAdminMerge.
Enhetshantering	Enheter hanteras antingen endast i Intune eller hanteras endast med Configuration Manager. Sense måste vara aktiverat.
Antivirusundantag	Microsoft Defender antivirusundantag hanteras i Microsoft Intune eller Configuration Manager. Mer information finns i Inställningar för Microsoft Defender Antivirus-princip i Microsoft Intune för Windows-enheter. Funktioner för att skydda Microsoft Defender Antivirus-undantag är aktiverade på enheter. Mer information finns i How to determine whether antivirus exclusions are manipulation protected on a Windows device.

Obs!

Om Configuration Manager till exempel enbart används för att hantera undantag och de obligatoriska villkoren uppfylls skyddas undantag från Configuration Manager. I det här fallet behöver du inte push-överföra antivirusundantag med hjälp av Microsoft Intune.

Mer detaljerad information om Microsoft Defender antivirusundantag finns i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Så här avgör du om antivirusundantag skyddas på en Windows-enhet

Du kan använda en registernyckel för att avgöra om funktionen för att skydda Microsoft Defender antivirusundantag är aktiverad. Följande procedur beskriver hur du visar, men inte ändrar, manipuleringsskyddsstatus.

1. Öppna Register Editor på en Windows-enhet. (Skrivskyddat läge är bra. Du redigerar inte registernyckeln.)

2. Kontrollera följande registernyckelvärden för att bekräfta att enheten endast hanteras av Intune eller hanteras av Configuration Manager, med Sense aktiverat:

   • ManagedDefenderProductType (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

   I följande tabell sammanfattas vad registernyckelvärdena betyder:

   ManagedDefenderProductType värde	EnrollmentStatus värde	Vad värdet innebär
   6	(valfritt värde)	Enheten hanteras endast med Intune. (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
   7	4	Enheten hanteras med Configuration Manager. (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
   7	3	Enheten samhanteras med Configuration Manager och Intune. (Detta stöds inte för undantag som ska manipuleras.)
   Ett annat värde än 6 eller 7	(valfritt värde)	Enheten hanteras inte endast av Intune eller Configuration Manager. (Undantag är inte manipulationsskyddade.)

3. Kontrollera registernyckeln TPExclusions (som finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) för att bekräfta att manipuleringsskydd har distribuerats och att undantag är manipulationsskyddade.

   TPExclusions	Vad värdet innebär
   1	De nödvändiga villkoren uppfylls och de nya funktionerna för att skydda undantag är aktiverade på enheten. (Undantag är manipulationsskyddade.)
   0	Manipulationsskydd skyddar för närvarande inte undantag på enheten. (Om alla krav är uppfyllda och det här tillståndet verkar felaktigt kontaktar du supporten.)

Försiktighet

Ändra inte värdet för registernycklarna. Använd föregående procedur endast för information. Att ändra nycklar har ingen effekt på om manipuleringsskydd gäller för undantag.

Se även

• Vanliga frågor och svar om manipuleringsskydd
• Defender för Endpoint på icke-Windows-enheter
• Felsöka problem med manipuleringsskydd
• Hantera Microsoft Defender för Endpoint på enheter med Microsoft Intune

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.