Hantera manipuleringsskydd för din organisation med Microsoft Intune

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender Antivirus
• Microsoft Defender för företag
• Microsoft 365 Business Premium

Plattformar

• Windows

Manipulationsskydd hjälper till att skydda vissa säkerhetsinställningar, till exempel virus- och hotskydd, från att inaktiveras eller ändras. Om du ingår i organisationens säkerhetsteam och använder Microsoft Intune kan du hantera manipuleringsskydd för din organisation i Administrationscenter för Intune. Eller så kan du använda Configuration Manager. Med Intune eller Configuration Manager kan du:

• Aktivera eller inaktivera manipulationsskydd för vissa eller alla enheter.
• Skydda Microsoft Defender Antivirus-undantag från manipulering (vissa krav måste uppfyllas).

Viktigt

Om du använder Microsoft Intune för att hantera Inställningar för Defender för Endpoint måste du ange DisableLocalAdminMerge till true på enheter.

När manipuleringsskydd är aktiverat kan manipuleringsskyddade inställningar inte ändras. För att undvika avbrott i hanteringsupplevelser, inklusive Intune (och Configuration Manager), bör du tänka på att ändringar av manipulationsskyddade inställningar kan verka vara slutförda men faktiskt blockeras av manipuleringsskydd. Beroende på ditt specifika scenario har du flera tillgängliga alternativ:

• Om du måste göra ändringar på en enhet och dessa ändringar blockeras av manipulationsskydd rekommenderar vi att du använder felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. Observera att när felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.
• Du kan använda Intune eller Configuration Manager för att undanta enheter från manipuleringsskydd.
• Om du hanterar manipuleringsskydd via Intune kan du ändra undantag för manipulationsskyddade antivirusprogram.

Krav för hantering av manipuleringsskydd i Intune

Krav	Information
Roller och behörigheter	Du måste ha rätt behörigheter tilldelade via roller, till exempel säkerhetsadministratör. Se Microsoft Entra-roller med Intune-åtkomst.
Enhetshantering	Din organisation använder Intune för att hantera enheter.
Intune-licenser	Intune-licenser krävs. Se Microsoft Intune-licensiering.
Operativsystem	Windows-enheter måste köra Windows 10 version 1709 eller senare eller Windows 11. (Mer information om versioner finns i Versionsinformation för Windows.) Information om Mac finns i Skydda macOS-säkerhetsinställningar med manipuleringsskydd.
Säkerhetsinsikter	Du måste använda Windows-säkerhet med säkerhetsinformation uppdaterad till version 1.287.60.0 (eller senare).
Plattform för program mot skadlig kod	Enheter måste använda plattformsversionen 4.18.1906.3 för program mot skadlig kod (eller senare) och motorversionen 1.1.15500.X mot skadlig kod (eller senare). Se Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.
Microsoft Entra ID	Dina Intune- och Defender för Endpoint-klientorganisationer måste dela samma Microsoft Entra-infrastruktur.
Defender för Endpoint	Dina enheter måste vara registrerade i Defender för Endpoint.

Obs!

Om enheter inte har registrerats i Microsoft Defender för Endpoint visas manipulationsskyddet som Ej tillämpligt förrän registreringsprocessen har slutförts. Manipuleringsskydd kan förhindra att ändringar av säkerhetsinställningarna sker. Om du ser en felkod med händelse-ID 5013 läser du Granska händelseloggar och felkoder för att felsöka problem med Microsoft Defender Antivirus.

Aktivera eller inaktivera manipuleringsskydd i Microsoft Intune

1. I administrationscentret för Intune går du till Endpoint Security>Antivirus och väljer sedan + Skapa princip.

   • I listan Plattform väljer du Windows 10, Windows 11 och Windows Server.
   • I listan Profil väljer du Windows-säkerhetsupplevelse.

2. Skapa en profil som innehåller följande inställning:

   • ManipulationSkydd (enhet): På

3. Slutför valet av alternativ och inställningar för principen.

4. Distribuera principen till enheter.

Manipulationsskydd för antivirusundantag

Om din organisation har undantag som definierats för Microsoft Defender Antivirus skyddar manipuleringsskyddet dessa undantag, förutsatt att alla följande villkor är uppfyllda:

Villkor	Kriterier
Microsoft Defender-plattform	Enheter kör Microsoft Defender-plattformen 4.18.2211.5 eller senare. Mer information finns i Månatliga plattforms- och motorversioner.
DisableLocalAdminMerge inställning	Den här inställningen kallas även för att förhindra sammanslagning av lokala listor. DisableLocalAdminMerge är aktiverat så att inställningar som konfigurerats på en enhet inte slås samman med organisationsprinciper, till exempel inställningar i Intune. Mer information finns i DisableLocalAdminMerge.
Enhetshantering	Enheter hanteras antingen endast i Intune eller hanteras endast med Configuration Manager. Sense måste vara aktiverat.
Antivirusundantag	Microsoft Defender Antivirus-undantag hanteras i Microsoft Intune. Mer information finns i Inställningar för Microsoft Defender Antivirus-princip i Microsoft Intune för Windows-enheter. Funktioner för att skydda Microsoft Defender Antivirus-undantag är aktiverade på enheter. Mer information finns i How to determine whether antivirus exclusions are manipulation protected on a Windows device.

Tips

Mer detaljerad information om Microsoft Defender Antivirus-undantag finns i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Så här avgör du om antivirusundantag skyddas på en Windows-enhet

Du kan använda en registernyckel för att avgöra om funktionerna för att skydda Microsoft Defender Antivirus-undantag är aktiverade. Följande procedur beskriver hur du visar, men inte ändrar, manipuleringsskyddsstatus.

1. Öppna Registereditorn på en Windows-enhet. (Skrivskyddat läge är bra. Du redigerar inte registernyckeln.)

2. Kontrollera att enheten endast hanteras av Intune eller hanteras av Configuration Manager med Sense aktiverat genom att kontrollera följande registernyckelvärden:

   • ManagedDefenderProductType (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

   I följande tabell sammanfattas vad registernyckelvärdena betyder:

   ManagedDefenderProductType värde	EnrollmentStatus värde	Vad värdet innebär
   6	(valfritt värde)	Enheten hanteras endast av Intune. (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
   7	4	Enheten hanteras av Configuration Manager. (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
   Ett annat värde än 6 eller 7	(valfritt värde)	Enheten hanteras inte endast av Intune eller Configuration Manager. (Undantag är inte manipulationsskyddade.)

3. Kontrollera registernyckeln TPExclusions (som finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) för att bekräfta att manipuleringsskydd har distribuerats och att undantag är manipulationsskyddade.

   TPExclusions	Vad värdet innebär
   1	De nödvändiga villkoren uppfylls och de nya funktionerna för att skydda undantag är aktiverade på enheten. (Undantag är manipulationsskyddade.)
   0	Manipulationsskydd skyddar för närvarande inte undantag på enheten. (Om alla krav är uppfyllda och det här tillståndet verkar felaktigt kontaktar du supporten.)

Försiktighet

Ändra inte värdet för registernycklarna. Använd föregående procedur endast för information. Att ändra nycklar har ingen effekt på om manipuleringsskydd gäller för undantag.

Se även

• Vanliga frågor och svar om manipuleringsskydd
• Defender för Endpoint på icke-Windows-enheter
• Felsöka problem med manipuleringsskydd
• Hantera Microsoft Defender för Endpoint på enheter med Microsoft Intune

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.