Dela via


Hantera enhetssäkerhet med slutpunktssäkerhetsprinciper i Microsoft Intune

Som säkerhetsadministratör som arbetar med enhetssäkerhet använder du Intunes slutpunktssäkerhetsprinciper för att hantera säkerhetsinställningar på enheter. Dessa profiler liknar i begreppet en mall för enhetskonfigurationsprinciper eller säkerhetsbaslinje, som är logiska grupper med relaterade inställningar. Men där enhetskonfigurationsprofiler och säkerhetsbaslinjer innehåller en stor mängd olika inställningar utanför omfånget för att skydda slutpunkter, fokuserar varje slutpunktssäkerhetsprofil på en specifik delmängd av enhetssäkerheten.

När du använder slutpunktssäkerhetsprinciper tillsammans med andra principtyper som säkerhetsbaslinjer eller mallar för slutpunktsskydd från enhetskonfigurationsprinciper är det viktigt att utveckla en plan för att använda flera principtyper för att minimera risken för motstridiga inställningar. Säkerhetsbaslinjer, enhetskonfigurationsprinciper och slutpunktssäkerhetsprinciper behandlas alla som lika källor för enhetskonfigurationsinställningar av Intune. En inställningskonflikt uppstår när en enhet tar emot två olika konfigurationer för en inställning från flera källor. Flera källor kan innehålla separata principtyper och flera instanser av samma princip.

När Intune utvärderar principer för en enhet och identifierar motstridiga konfigurationer för en inställning kan den aktuella inställningen flaggas för ett fel eller en konflikt och kan inte tillämpas på enheten. Information som kan hjälpa dig att hantera konflikter finns i följande princip- och profilspecifika vägledning:

Tillgängliga typer av slutpunktssäkerhetsprincip

Du hittar principer för slutpunktssäkerhet under Hantera i noden Slutpunktssäkerhet i administrationscentret för Microsoft Intune.

Hantera principer för slutpunktssäkerhet i administrationscentret för Microsoft Intune

Här följer en kort beskrivning av varje principtyp för slutpunktssäkerhet. Om du vill veta mer om dem, inklusive tillgängliga profiler för var och en, följer du länkarna till innehåll som är dedikerat till varje principtyp:

  • Kontoskydd – Kontoskyddsprinciper hjälper dig att skydda dina användares identiteter och konton. Kontoskyddsprincipen fokuserar på inställningar för Windows Hello och Credential Guard, som är en del av Windows identitets- och åtkomsthantering.

  • Antivirus – Antivirusprinciper hjälper säkerhetsadministratörer att fokusera på att hantera den diskreta gruppen med antivirusinställningar för hanterade enheter.

  • Appkontroll för företag (förhandsversion) – Hantera godkända appar för Windows-enheter med appkontroll för företag-princip och hanterade installationsprogram för Microsoft Intune. Intune App Control for Business-principer är en implementering av Windows Defender Application Control (WDAC).

  • Minskning av attackytan – När Defender antivirus används på dina Windows 10/11-enheter använder du Intune-slutpunktssäkerhetsprinciper för minskning av attackytan för att hantera dessa inställningar för dina enheter.

  • Diskkryptering – Diskkrypteringsprofiler för slutpunktssäkerhet fokuserar bara på de inställningar som är relevanta för en inbyggd krypteringsmetod för enheter, till exempel FileVault eller BitLocker. Det här fokuset gör det enkelt för säkerhetsadministratörer att hantera inställningar för diskkryptering utan att behöva navigera i en mängd orelaterade inställningar.

  • Slutpunktsidentifiering och svar – När du integrerar Microsoft Defender för Endpoint med Intune använder du slutpunktssäkerhetsprinciperna för slutpunktsidentifiering och svar (EDR) för att hantera EDR-inställningarna och registrera enheter till Microsoft Defender för Endpoint.

  • Brandvägg – Använd brandväggsprincipen för slutpunktssäkerhet i Intune för att konfigurera en inbyggd brandvägg för enheter som kör macOS och Windows 10/11.

Följande avsnitt gäller för alla slutpunktssäkerhetsprinciper.

Tilldela rollbaserade åtkomstkontroller för slutpunktssäkerhetsprincip

Om du vill hantera Intune-slutpunktssäkerhetsprinciper måste du använda ett konto som innehåller behörigheten rollbaserad åtkomstkontroll (RBAC) för Intune för principen och specifika rättigheter som är relaterade till den uppgift som du hanterar.

Obs!

Före juni 2024 hanterades Intunes slutpunktssäkerhetsprinciper via rättigheter som tillhandahålls av behörigheten Säkerhetsbaslinjer . Från och med juni 2024 började Intune släppa detaljerade behörigheter för att hantera enskilda arbetsbelastningar för slutpunktssäkerhet.

Varje gång en ny detaljerad behörighet för en arbetsbelastning för slutpunktssäkerhet läggs till i Intune tas samma rättigheter bort från behörigheten Säkerhetsbaslinjer . Om du använder anpassade roller med behörigheten Säkerhetsbaslinjer tilldelas den nya RBAC-behörigheten automatiskt till dina anpassade roller med samma rättigheter som har beviljats via behörigheten Säkerhetsbaslinje . Den här automatiska tilldelningen säkerställer att dina administratörer fortsätter att ha samma behörigheter som de har idag.

RBAC-roller och behörigheter för att hantera arbetsbelastningar för slutpunktssäkerhet

När du tilldelar RBAC-behörighet för att hantera aspekter av slutpunktssäkerhet rekommenderar vi att du tilldelar administratörer de minsta behörigheter som krävs för att utföra specifika uppgifter. Var och en av RBAC-behörigheterna som hanterar slutpunktssäkerhet innehåller följande rättigheter, som kan beviljas eller undanhållas individuellt när du skapar en anpassad RBAC-roll:

  • Tilldela
  • Create
  • Radera
  • Läsa
  • Update
  • Visa rapporter

Använda anpassade RBAC-roller

Följande behörigheter omfattar rättigheter till arbetsbelastningar för slutpunktssäkerhet:

  • Programkontroll för företag – Beviljar behörighet att hantera principer och rapporter för programkontroll .

  • Minskning av attackytan – Ger behörighet att hantera vissa men inte alla policyer och rapporter för minskning av attackytan . För den här arbetsbelastningen fortsätter följande profiler (mallar) att kräva rättigheter som tillhandahålls av behörigheten Säkerhetsbaslinjer :

    • Windows-app och webbläsarisolering
    • Windows-webbskydd
    • Windows-programkontroll
    • Windows Exploit Protection
  • Slutpunktsidentifiering och svar – Ger behörighet att hantera principer och rapporter för slutpunktsidentifiering och svar (EDR).

  • Säkerhetsbaslinjer – Ger behörighet att hantera alla arbetsbelastningar för slutpunktssäkerhet som inte har ett dedikerat arbetsflöde.

  • Enhetskonfigurationer – Rättigheten Visa rapporter för Enhetskonfigurationer ger också behörighet att visa, generera och exportera rapporter för slutpunktssäkerhetsprinciper.

Viktigt

Den detaljerade behörigheten för Antivirus för slutpunktssäkerhetsprinciper kan vara tillfälligt synlig i vissa klienter. Den här behörigheten har inte släppts och stöds inte för användning. Konfigurationer av behörigheten Antivirus ignoreras av Intune. När Antivirus blir tillgängligt för användning som detaljerad behörighet kommer tillgängligheten att meddelas i artikeln Nyheter i Microsoft Intune .

Använda inbyggda RBAC-roller

Följande inbyggda RBAC-roller i Intune kan också tilldelas administratörer för att ge behörighet att hantera vissa eller alla uppgifter för arbetsbelastningar och rapporter för slutpunktssäkerhet.

  • Supportansvarig
  • Skrivskyddad operator
  • Endpoint Security Manager

Mer information om de specifika behörigheter och rättigheter som varje roll innehåller finns i Inbyggda rollbehörigheter för Microsoft Intune.

Överväganden för nya behörigheter för slutpunktssäkerhet

När nya detaljerade behörigheter för arbetsbelastningar för slutpunktssäkerhet läggs till har den nya arbetsbelastningsbehörigheten samma behörighets- och rättighetsstruktur som behörigheten Säkerhetsbaslinjer gör idag. Detta inkluderar hantering av säkerhetsprinciperna i dessa arbetsbelastningar, som kan innehålla överlappande inställningar i andra typer av principer som säkerhetsbaslinjeprinciper eller inställningar katalogprinciper, som styrs av separata RBAC-behörigheter.

Om du använder scenariot för hantering av säkerhetsinställningar för Defender för Endpoint gäller samma RBAC-behörighetsändringar på Microsoft Defender-portalen för hantering av säkerhetsprinciper.

Skapa en slutpunktssäkerhetsprincip

Följande procedur ger allmän vägledning för att skapa principer för slutpunktssäkerhet:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet och välj sedan den typ av princip som du vill konfigurera och välj sedan Skapa princip. Välj mellan följande principtyper:

    • Kontoskydd
    • Antivirus
    • Programkontroll (förhandsversion)
    • Minska attackytan
    • Diskkryptering
    • Identifiering och svar av slutpunkt
    • Brandvägg
  3. Ange följande egenskaper:

    • Plattform: Välj den plattform som du skapar princip för. Vilka alternativ som är tillgängliga beror på vilken principtyp du väljer.
    • Profil: Välj bland de tillgängliga profilerna för den plattform som du har valt. Information om profilerna finns i det dedikerade avsnittet i den här artikeln för den valda principtypen.
  4. Välj Skapa.

  5. På sidan Grundläggande inställningar anger du ett namn och en beskrivning för profilen. Välj sedan Nästa.

  6. På sidan Konfigurationsinställningar expanderar du varje grupp med inställningar och konfigurerar de inställningar som du vill hantera med den här profilen.

    När du har konfigurerat inställningarna väljer du Nästa.

  7. På sidan Omfångstaggar väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.

    Gå vidare genom att klicka på Nästa.

  8. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  9. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Duplicera en princip

Slutpunktssäkerhetsprinciper stöder duplicering för att skapa en kopia av den ursprungliga principen. Ett scenario när du duplicerar en princip är användbart om du behöver tilldela liknande principer till olika grupper men inte vill återskapa hela principen manuellt. I stället kan du duplicera den ursprungliga principen och sedan bara introducera de ändringar som den nya principen kräver. Du kanske bara ändrar en specifik inställning och den grupp som principen är tilldelad till.

När du skapar en dubblett ger du kopian ett nytt namn. Kopian görs med samma inställningskonfigurationer och omfångstaggar som originalet, men har inga tilldelningar. Du måste redigera den nya principen senare för att skapa tilldelningar.

Följande principtyper stöder duplicering:

  • Kontoskydd
  • Programkontroll (förhandsversion)
  • Antivirus
  • Minska attackytan
  • Diskkryptering
  • Identifiering och svar av slutpunkt
  • Brandvägg

När du har skapat den nya principen granskar och redigerar du principen för att göra ändringar i dess konfiguration.

Duplicera en princip

  1. Logga in på Microsoft Intune administrationscenter.
  2. Välj den princip som du vill kopiera. Välj sedan Duplicera. Om Dubblett inte är tillgängligt väljer du ellipsen (...) till höger om principen och väljer sedan Duplicera.
  3. Ange ett nytt namn för principen och välj sedan Spara.

Redigera en princip

  1. Välj den nya principen och välj sedan Egenskaper.
  2. Välj Inställningar om du vill visa en lista över konfigurationsinställningarna i principen. Du kan inte ändra inställningarna från den här vyn, men du kan granska hur de konfigureras.
  3. Om du vill ändra principen väljer du Redigera för varje kategori där du vill göra en ändring:
    • Grunderna
    • Uppgifter
    • Omfattningstaggar
    • Konfigurationsinställningar
  4. När du har gjort ändringar väljer du Spara för att spara dina ändringar. Ändringar i en kategori måste sparas innan du kan introducera ändringar i ytterligare kategorier.

Hantera konflikter

Många av de enhetsinställningar som du kan hantera med Endpoint Security-principer (säkerhetsprinciper) är också tillgängliga via andra principtyper i Intune. Dessa andra principtyper är enhetskonfigurationsprinciper och säkerhetsbaslinjer. Eftersom inställningar kan hanteras via flera olika principtyper eller av flera instanser av samma principtyp bör du vara beredd på att identifiera och lösa principkonflikter för enheter som inte följer de konfigurationer du förväntar dig.

  • Säkerhetsbaslinjer kan ange ett värde som inte är standard för en inställning så att den överensstämmer med den rekommenderade konfiguration som baslinjen adresserar.
  • Andra principtyper, inklusive slutpunktssäkerhetsprinciper, anger värdet Inte konfigurerad som standard. Dessa andra principtyper kräver att du uttryckligen konfigurerar inställningar i principen.

Oavsett principmetod kan hantering av samma inställning på samma enhet via flera principtyper eller flera instanser av samma principtyp resultera i konflikter som bör undvikas.

Informationen på följande länkar kan hjälpa dig att identifiera och lösa konflikter:

Nästa steg

Hantera slutpunktssäkerhet i Intune