Hantera slutpunktssäkerhetsprinciper på enheter som registrerats för Microsoft Defender för Endpoint

  • Artikel

När du använder Microsoft Defender för Endpoint kan du distribuera slutpunktssäkerhetsprinciper från Microsoft Intune för att hantera Defender-säkerhetsinställningarna på de enheter som du har registrerat i Defender utan att registrera enheterna med Intune. Den här funktionen kallas hantering av säkerhetsinställningar för Defender för Endpoint.

När du hanterar enheter via hantering av säkerhetsinställningar:

  • Du kan använda Microsoft Intune administrationscenter eller Microsoft 365 Defender-portalen för att konfigurera principer för slutpunktssäkerhet för Defender för Endpoint och tilldela dessa principer till Microsoft Entra ID grupper. Defender-portalen innehåller användargränssnittet för enhetsvyer, principhantering och rapporter för hantering av säkerhetsinställningar.

    Information om hur du hanterar Intune slutpunktssäkerhetsprinciper från Defender-portalen finns i Hantera principer för slutpunktssäkerhet i Microsoft Defender för Endpoint i Defender-innehållet.

  • Enheter får sina tilldelade principer baserat på deras Entra ID-enhetsobjekt. En enhet som inte redan är registrerad i Microsoft Entra är ansluten som en del av den här lösningen.

  • När en enhet tar emot en princip framtvingar Defender för Endpoint-komponenterna på enheten principen och rapporterar om enhetens status. Enhetens status är tillgänglig i Microsoft Intune administrationscenter och Microsoft Defender-portalen.

Det här scenariot utökar Microsoft Intune Endpoint Security-ytan till enheter som inte kan registreras i Intune. När en enhet hanteras av Intune (registrerad för Intune) bearbetar enheten inte principer för hantering av säkerhetsinställningar för Defender för Endpoint. Använd i stället Intune för att distribuera principer för Defender för Endpoint till dina enheter.

Gäller för:

  • Windows 10 och Windows 11
  • Windows Server (2012 R2 och uppåt)
  • Linux
  • macOS

Konceptuell presentation av Microsoft Defender för Endpoint-Attach lösning.

Förutsättningar

I följande avsnitt finns krav för hanteringsscenariot för säkerhetsinställningar för Defender för Endpoint.

Miljö

När en enhet som stöds registreras för att Microsoft Defender för Endpoint:

  • Enheten undersöks för en befintlig Microsoft Intune närvaro, vilket är en MDM-registrering (hantering av mobila enheter) för att Intune.
  • Enheter utan Intune närvaro aktiverar funktionen för hantering av säkerhetsinställningar.
  • För enheter som inte är helt Microsoft Entra registrerade skapas en syntetisk enhetsidentitet i Microsoft Entra ID som gör att enheten kan hämta principer. Fullständigt registrerade enheter använder sin aktuella registrering.
  • Principer som hämtas från Microsoft Intune framtvingas på enheten av Microsoft Defender för Endpoint.

Hantering av säkerhetsinställningar stöds ännu inte med myndighetsmoln. Mer information finns i Funktionsparitet med kommersiell i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Anslutningskrav

Enheter måste ha åtkomst till följande slutpunkt:

  • *.dm.microsoft.com – Användningen av ett jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalas.

Plattformar som stöds

Principer för Microsoft Defender för Endpoint säkerhetshantering stöds för följande enhetsplattformar:

Linux:

Med Microsoft Defender för Endpoint för Linux-agent version 101.23052.0009 eller senare stöder hantering av säkerhetsinställningar följande Linux-distributioner:

  • Red Hat Enterprise Linux 7.2 eller senare
  • CentOS 7,2 eller högre
  • Ubuntu 16.04 LTS eller senare LTS
  • Debian 9 eller senare
  • SUSE Linux Enterprise Server 12 eller senare
  • Oracle Linux 7.2 eller senare
  • Amazon Linux 2
  • Fedora 33 eller senare

Om du vill bekräfta versionen av Defender-agenten går du till sidan Enheter i Defender-portalen och söker efter Defender för Linux på fliken Inventeringar för enheter. Information om hur du uppdaterar agentversionen finns i Distribuera uppdateringar för Microsoft Defender för Endpoint i Linux.

Känt problem: Med Defender-agenten version 101.23052.0009 kan Linux-enheter inte registreras när de saknar följande sökväg: /sys/class/dmi/id/board_vendor.

macOS:

Med Microsoft Defender för Endpoint för macOS-agent version 101.23052.0004 eller senare stöder hantering av säkerhetsinställningar följande macOS-versioner:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Om du vill bekräfta versionen av Defender-agenten går du till sidan Enheter i Defender-portalen och söker efter Defender för macOS på fliken Inventeringar för enheter. Information om hur du uppdaterar agentversionen finns i Distribuera uppdateringar för Microsoft Defender för Endpoint på macOS.

Känt problem: Med Defender-agenten version 101.23052.0004 får macOS-enheter som är registrerade i Microsoft Entra ID innan de registreras med hantering av säkerhetsinställningar ett duplicerat enhets-ID i Microsoft Entra ID, vilket är en syntetisk registrering. När du skapar en Microsoft Entra grupp för målprincip måste du använda det syntetiska enhets-ID som skapats av hantering av säkerhetsinställningar. I Microsoft Entra ID är kolumnen Kopplingstyp för det syntetiska enhets-ID:t tom.

Windows:

Hantering av säkerhetsinställningar fungerar inte och stöds inte med följande enheter:

  • Icke-beständiga skrivbord, till exempel VDI-klienter (Virtual Desktop Infrastructure) eller Azure Virtual Desktops.
  • Domänkontrollanter

Viktigt

I vissa fall kan domänkontrollanter som kör ett serveroperativsystem på nednivå (2012 R2 eller 2016) oavsiktligt hanteras av Microsoft Defender för Endpoint. För att säkerställa att detta inte sker i din miljö rekommenderar vi att du ser till att domänkontrollanterna varken taggas "MDE-Management" eller hanteras av MDE.

Licensiering och prenumerationer

Om du vill använda hantering av säkerhetsinställningar behöver du:

  • En prenumeration som beviljar licenser för Microsoft Defender för Endpoint, till exempel Microsoft 365, eller en fristående licens för endast Microsoft Defender för Endpoint. En prenumeration som beviljar Microsoft Defender för Endpoint licenser ger också klientorganisationen åtkomst till noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.

    Obs!

    Undantag: Om du bara har åtkomst till Microsoft Defender för Endpoint via Microsoft Defender för servrar (en del av Microsoft Defender för molnet, tidigare Azure Security Center), funktionen för hantering av säkerhetsinställningar är inte tillgänglig. Du måste ha minst en Microsoft Defender för Endpoint (användar)-prenumerationslicens aktiv.

    Noden Slutpunktssäkerhet är där du konfigurerar och distribuerar principer för att hantera Microsoft Defender för Endpoint för dina enheter och övervaka enhetsstatus.

    Aktuell information om alternativ finns i Minimikrav för Microsoft Defender för Endpoint.

Arkitektur

Följande diagram är en konceptuell representation av Microsoft Defender för Endpoint säkerhetskonfigurationshanteringslösning.

Konceptdiagram över Microsoft Defender för Endpoint lösning för säkerhetskonfigurationshantering

  1. Enheter som registreras för att Microsoft Defender för Endpoint.
  2. Enheter kommunicerar med Intune. Med den här kommunikationen kan Microsoft Intune distribuera principer som är riktade till enheterna när de checkar in.
  3. En registrering upprättas för varje enhet i Microsoft Entra ID:
    • Om en enhet tidigare var helt registrerad, till exempel en Hybrid Join-enhet, används den befintliga registreringen.
    • För enheter som inte har registrerats skapas en syntetisk enhetsidentitet i Microsoft Entra ID så att enheten kan hämta principer. När en enhet med en syntetisk registrering har en fullständig Microsoft Entra registrering som skapats för den, tas den syntetiska registreringen bort och enhetshanteringen fortsätter oavbrutet med hjälp av den fullständiga registreringen.
  4. Defender för Endpoint rapporterar status för principen tillbaka till Microsoft Intune.

Viktigt

Hantering av säkerhetsinställningar använder en syntetisk registrering för enheter som inte helt registreras i Microsoft Entra ID och släpper Microsoft Entra hybridanslutningskrav. Med den här ändringen börjar Windows-enheter som tidigare hade registreringsfel att registrera sig i Defender och sedan ta emot och bearbeta hanteringsprinciperna för säkerhetsinställningar.

Om du vill filtrera efter enheter som inte kunde registreras på grund av att det inte uppfyllde kraven för Microsoft Entra hybridanslutning går du till listan Enheter i Microsoft Defender-portalen och filtrerar efter registreringsstatus. Eftersom dessa enheter inte är helt registrerade visar deras enhetsattribut MDM = Intune och Kopplingstyp = Tom. Enheterna registreras nu med hantering av säkerhetsinställningar med hjälp av den syntetiska registreringen.

När du har registrerat dessa enheter visas de i enhetslistorna för Microsoft Defender, Microsoft Intune och Microsoft Entra portaler. Enheterna registreras inte fullständigt med Microsoft Entra, men deras syntetiska registrering räknas som ett enhetsobjekt.

Vad du kan förvänta dig i Microsoft Defender-portalen

Du kan använda Microsoft Defender XDR Enhetsinventering för att bekräfta att en enhet använder funktionen för hantering av säkerhetsinställningar i Defender för Endpoint genom att granska enhetsstatusen i kolumnen Hanterad av. Hanterad av-information finns också på enhetens sida-panel eller enhetssida. Hanteras av bör konsekvent indikera att den hanteras av MDE. 

Du kan också bekräfta att en enhet har registrerats i hanteringen av säkerhetsinställningar genom att bekräfta att panelen på enhetssidan eller enhetssidan visar MDE Registreringsstatus som Slutförd.

En skärmbild av registreringsstatus för enhetssäkerhetsinställningar på enhetssidan i Microsoft Defender-portalen.

Om MDE registreringsstatus inte visar Lyckades kontrollerar du att du tittar på en enhet som har uppdaterats och är i omfånget för hantering av säkerhetsinställningar. (Du konfigurerar omfånget på sidan Omfång för tvingande när du konfigurerar hantering av säkerhetsinställningar.)

Vad du kan förvänta dig i administrationscentret för Microsoft Intune

I Microsoft Intune administrationscenter går du till sidan Alla enheter. Enheter som har registrerats med hantering av säkerhetsinställningar visas här som i Defender-portalen. I administrationscentret ska de enheter som hanteras av-fältet visa MDE.

En skärmbild av enhetssidan i Intune administrationscenter med statusen Hanterad av enheten markerad.

Tips

I juni 2023 började hantering av säkerhetsinställningar använda syntetisk registrering för enheter som inte helt registreras i Microsoft Entra. Med den här ändringen börjar enheter som tidigare hade registreringsfel att registrera sig i Defender och sedan ta emot och bearbeta hanteringsprinciperna för säkerhetsinställningar.

Vad du kan förvänta dig i Microsoft Azure Portal

På sidan Alla enheter i Microsoft Azure Portal kan du visa enhetsinformation.

En skärmbild av sidan Alla enheter i Microsoft Azure Portal med en exempelenhet markerad.

För att säkerställa att alla enheter som registrerats i Defender för Endpoint-säkerhetsinställningar tar emot principer rekommenderar vi att du skapar en dynamisk Microsoft Entra grupp baserat på enheternas operativsystemtyp. Med en dynamisk grupp läggs enheter som hanteras av Defender för Endpoint automatiskt till i gruppen utan att administratörer behöver utföra andra uppgifter, som att skapa en ny princip.

Viktigt

Från juli 2023 till 25 september 2023 körde hantering av säkerhetsinställningar en offentlig förhandsversion som introducerade nytt beteende för enheter som hanterades och registrerades i scenariot. Från och med den 25 september 2023 blev beteendet för offentlig förhandsversion allmänt tillgängligt och gäller nu för alla klienter som använder hantering av säkerhetsinställningar.

Om du använde hantering av säkerhetsinställningar före den 25 september 2023 och inte gick med i den offentliga förhandsversionen som kördes från juli 2023 till 25 september 2023 granskar du dina Microsoft Entra grupper som förlitar sig på systemetiketter för att göra ändringar som identifierar nya enheter som du hanterar med hantering av säkerhetsinställningar. Det beror på att före den 25 september 2023 skulle enheter som inte hanteras via den offentliga förhandsversionen använda följande systemetiketter (taggar) för MDEManaged och MDEJoined för att identifiera hanterade enheter. Dessa två systemetiketter stöds inte längre och läggs inte längre till på enheter som registreras.

Använd följande vägledning för dina dynamiska grupper:

  • (Rekommenderas) När du riktar principen använder du dynamiska grupper baserat på enhetsplattformen med hjälp av attributet deviceOSType (Windows, Windows Server, macOS, Linux) för att säkerställa att principen fortsätter att levereras för enheter som ändrar hanteringstyper, till exempel under MDM-registrering.

  • Vid behov kan dynamiska grupper som endast innehåller enheter som hanteras av Defender för Endpoint riktas genom att definiera en dynamisk grupp med hjälp av managementType-attributetMicrosoftSense. Användning av det här attributet är avsett för alla enheter som hanteras av Defender för Endpoint via hanteringsfunktionerna för säkerhetsinställningar, och enheterna finns kvar i den här gruppen endast när de hanteras av Defender för Endpoint.

När du konfigurerar hantering av säkerhetsinställningar bör du dessutom, om du tänker hantera hela operativsystemplattformsflottor med hjälp av Microsoft Defender för Endpoint, genom att välja alla enheter i stället för taggade enheter på sidan Microsoft Defender för Endpoint Tillämpningsomfång förstå att alla syntetiska registreringar räknas mot Microsoft Entra ID kvoter på samma sätt som fullständiga registreringar.

Vilken lösning ska jag använda?

Microsoft Intune innehåller flera metoder och principtyper för att hantera konfigurationen av Defender för Endpoint på enheter. I följande tabell identifieras de Intune principer och profiler som stöder distribution till enheter som hanteras av hanteringen av säkerhetsinställningar för Defender för Endpoint och som kan hjälpa dig att identifiera om den här lösningen passar dina behov.

När du distribuerar en slutpunktssäkerhetsprincip som stöds för både hantering av säkerhetsinställningar för Defender för Endpoint och Microsoft Intune, kan en enda instans av principen bearbetas av:

  • Enheter som stöds via hantering av säkerhetsinställningar (Microsoft Defender)
  • Enheter som hanteras av antingen Intune eller Configuration Manager.

Profiler för Windows 10 och senare plattform stöds inte för enheter som hanteras av hantering av säkerhetsinställningar.

Följande profiler stöds för varje enhetstyp:

Linux

Följande principtyper stöder Linux-plattformen .

Slutpunktssäkerhetsprincip Profil Hantering av säkerhetsinställningar för Defender för Endpoint Microsoft Intune
Antivirus Microsoft Defender Antivirus Stöds Stöds
Antivirus Undantag för Microsoft Defender Antivirus Stöds Stöds
Identifiering och svar av slutpunkt Identifiering och svar av slutpunkt Stöds Stöds

macOS

Följande principtyper stöder macOS-plattformen .

Slutpunktssäkerhetsprincip Profil Hantering av säkerhetsinställningar för Defender för Endpoint Microsoft Intune
Antivirus Microsoft Defender Antivirus Stöds Stöds
Antivirus Undantag för Microsoft Defender Antivirus Stöds Stöds
Identifiering och svar av slutpunkt Identifiering och svar av slutpunkt Stöds Stöds

Windows 10, Windows 11 och Windows Server

För att stödja användning med hantering av Microsoft Defender säkerhetsinställningar måste dina principer för Windows-enheter använda plattformen Windows 10, Windows 11 och Windows Server. Varje profil för plattformen Windows 10, Windows 11 och Windows Server kan tillämpas på enheter som hanteras av Intune och på enheter som hanteras av hantering av säkerhetsinställningar.

Slutpunktssäkerhetsprincip Profil Hantering av säkerhetsinställningar för Defender för Endpoint Microsoft Intune
Antivirus Defender Update-kontroller Stöds Stöds
Antivirus Microsoft Defender Antivirus Stöds Stöds
Antivirus Undantag för Microsoft Defender Antivirus Stöds Stöds
Antivirus Windows-säkerhet Experience Anmärkning 1 Stöds
Minskning av attackytan Regler för minskning av attackytan Stöds Stöds
Identifiering och svar av slutpunkt Identifiering och svar av slutpunkt Stöds Stöds
Brandvägg Brandvägg Stöds Stöds
Brandvägg Brandväggsregler Stöds Stöds

1 – Profilen Windows-säkerhet Experience är tillgänglig i Defender-portalen men gäller endast enheter som hanteras av Intune. Det stöds inte för enheter som hanteras av Microsoft Defender hantering av säkerhetsinställningar.

Slutpunktssäkerhetsprinciper är diskreta grupper av inställningar som är avsedda att användas av säkerhetsadministratörer som fokuserar på att skydda enheter i din organisation. Följande är beskrivningar av de principer som stöder hantering av säkerhetsinställningar:

  • Antivirusprinciper hanterar säkerhetskonfigurationerna som finns i Microsoft Defender för Endpoint. Se Antivirusprincip för slutpunktssäkerhet.

    Obs!

    Även om slutpunkter inte kräver någon omstart för att tillämpa ändrade inställningar eller nya principer, är vi medvetna om ett problem där inställningarna AllowOnAccessProtection och DisableLocalAdminMerge ibland kan kräva att slutanvändarna startar om sina enheter för att dessa inställningar ska uppdateras. Vi undersöker för närvarande det här problemet för att tillhandahålla en lösning.

  • Principer för minskning av attackytan (ASR) fokuserar på att minimera de platser där din organisation är sårbar för cyberhot och attacker. Med hantering av säkerhetsinställningar gäller ASR-regler för enheter som kör Windows 10, Windows 11 och Windows Server.

    Aktuell vägledning om vilka inställningar som gäller för de olika plattformarna och versionerna finns i ASR-regler som stöds av operativsystem i dokumentationen för Windows Threat Protection.

    Tips

    Överväg att använda den moderna enhetliga lösningen för Windows Server 2012 R2 och 2016 för att hålla slutpunkter som stöds uppdaterade.

    Se även:

  • Principer för slutpunktsidentifiering och svar (EDR) hanterar funktionerna i Defender för Endpoint som ger avancerade attackidentifieringar som är nästan realtidsbaserade och åtgärdsbara. Baserat på EDR-konfigurationer kan säkerhetsanalytiker prioritera aviseringar effektivt, få insyn i hela omfattningen av ett intrång och vidta åtgärder för att åtgärda hot. Se Slutpunktsidentifiering och svarsprincip för slutpunktssäkerhet.

  • Brandväggsprinciper fokuserar på Defender-brandväggen på dina enheter. Se Brandväggsprincip för slutpunktssäkerhet.

  • Brandväggsregler konfigurerar detaljerade regler för brandväggar, inklusive specifika portar, protokoll, program och nätverk. Se Brandväggsprincip för slutpunktssäkerhet.

Konfigurera din klient för att stödja hantering av säkerhetsinställningar för Defender för Endpoint

För att stödja hantering av säkerhetsinställningar via Microsoft Intune administrationscenter måste du aktivera kommunikation mellan dem inifrån varje konsol.

Följande avsnitt vägleder dig genom den processen.

Konfigurera Microsoft Defender för Endpoint

I Microsoft Defender för Endpoint portalen som säkerhetsadministratör:

  1. Logga in på Microsoft Defender portalen och gå till Inställningar>Endpoints>Configuration Management>Enforcement Scope och aktivera plattformarna för hantering av säkerhetsinställningar.

    Aktivera hantering av Microsoft Defender för Endpoint inställningar i Microsoft Defender-portalen.

    Obs!

    Om du har behörigheten Hantera säkerhetsinställningar i Security Center i Microsoft Defender för Endpoint-portalen och samtidigt är aktiverad för att visa enheter från alla enhetsgrupper (inga rollbaserade åtkomstkontrollgränser för dina användarbehörigheter) kan du också utföra den här åtgärden.

  2. Inledningsvis rekommenderar vi att du testar funktionen för varje plattform genom att välja alternativet Plattformar för På taggade enheter och sedan tagga enheterna med taggen MDE-Management .

    Viktigt

    Användning av Microsoft Defender för Endpoint dynamiska taggfunktioner för att tagga enheter med MDE-Management stöds för närvarande inte med hantering av säkerhetsinställningar. Enheter som har taggats via den här funktionen registreras inte. Den här frågan är fortfarande under utredning.

    Tips

    Använd rätt enhetstaggar för att testa och verifiera distributionen på ett litet antal enheter. När du väljer Alla enheter registreras alla enheter som ingår i det konfigurerade omfånget automatiskt.

  3. Konfigurera funktionen för Microsoft Defender för molnbaserade enheter och Configuration Manager utfärdarinställningar så att den passar organisationens behov:

    Konfigurera pilotläge för hantering av slutpunktsinställningar i Microsoft Defender-portalen.

    Tips

    För att säkerställa att dina Microsoft Defender för Endpoint-portalanvändare har konsekventa behörigheter i alla portaler, om de inte redan har angetts, begär du att IT-administratören ger dem den inbyggda RBAC-rollen Microsoft Intune Endpoint Security Manager.

Konfigurera Intune

I Microsoft Intune administrationscenter behöver ditt konto behörigheter som är lika med den inbyggda rollbaserade åtkomstkontrollrollen (RBAC) för Endpoint Security Manager.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet>Microsoft Defender för Endpoint och ställ in Tillåt Microsoft Defender för Endpoint att framtvinga Endpoint Security-konfigurationer till .

    Aktivera hantering av Microsoft Defender för Endpoint inställningar i Microsoft Intune administrationscenter.

    När du ställer in det här alternativet på På är alla enheter i plattformsomfånget för Microsoft Defender för Endpoint som inte hanteras av Microsoft Intune kvalificerade att registrera sig för Microsoft Defender för Endpoint.

Registrera enheter till Microsoft Defender för Endpoint

Microsoft Defender för Endpoint har stöd för flera alternativ för att registrera enheter. Aktuell vägledning finns i Publicera för att Microsoft Defender för Endpoint i dokumentationen för Defender för Endpoint.

Samexistens med Microsoft Configuration Manager

I vissa miljöer kan det vara bra att använda hantering av säkerhetsinställningar med enheter som hanteras av Configuration Manager. Om du använder båda måste du styra principen via en enda kanal. Användning av mer än en kanal skapar möjlighet till konflikter och oönskade resultat.

För att stödja detta konfigurerar du inställningarna för Hantera säkerhet med Configuration Manager växla till Av. Logga in på Microsoft Defender-portalen och gå till Inställningar> SlutpunkterTvingande omfång förkonfigurationshantering>>:

Skärmbild av Defender-portalen som visar växlingsknappen Hantera säkerhetsinställningar med Configuration Manager inställd på Av.

Skapa Microsoft Entra grupper

När enheter har registrerats i Defender för Endpoint måste du skapa enhetsgrupper för att stödja distribution av principer för Microsoft Defender för Endpoint. Så här identifierar du enheter som har registrerats med Microsoft Defender för Endpoint men inte hanteras av Intune eller Configuration Manager:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Enheter>Alla enheter och välj sedan kolumnen Hanterad av för att sortera vyn över enheter. Enheter som registreras i Microsoft Defender för Endpoint men som inte hanteras av Intune visar Microsoft Defender för Endpoint i kolumnen Hanterad av. Dessa enheter kan ta emot principer för hantering av säkerhetsinställningar.

    Enheter som registreras för att Microsoft Defender för Endpoint och har registrerats men inte hanteras av Intune visar Microsoft Defender för Endpoint i kolumnen Hanterad av. Det här är de enheter som kan ta emot principer för säkerhetshantering för Microsoft Defender för Endpoint.

    Från och med den 25 september 2023 kan enheter som använder säkerhetshantering för Microsoft Defender för Endpoint inte längre identifieras med hjälp av följande systemetiketter:

    • MDEJoined – en nu inaktuell tagg som tidigare har lagts till i enheter som var anslutna till katalogen som en del av det här scenariot.
    • MDEManaged – en nu inaktuell tagg som tidigare har lagts till på enheter som aktivt använde säkerhetshanteringsscenariot. Den här taggen tas bort från enheten om Defender för Endpoint slutar hantera säkerhetskonfigurationen.

    I stället för att använda systemetiketter kan du använda attributet för hanteringstyp och konfigurera det till MicrosoftSense.

Du kan skapa grupper för dessa enheter i Microsoft Entra eller inifrån Microsoft Intune administrationscenter. När du skapar grupper kan du använda OS-värdet för en enhet om du distribuerar principer till enheter som kör Windows Server jämfört med enheter som kör en klientversion av Windows:

  • Windows 10 och Windows 11 – enhetenOSType eller operativsystemet visas som Windows
  • Windows Server – enhetenOSType eller operativsystemet visas som Windows Server
  • Linux-enhet – enhetenOSType eller operativsystemet visas som Linux

Exempel på Intune dynamiska grupper med regelsyntax

Windows-arbetsstationer:

En skärmbild av Intune dynamisk grupp för Windows-arbetsstationer.

Windows-servrar:

En skärmbild av Intune dynamisk grupp för Windows-servrar.

Linux-enheter:

En skärmbild av Intune dynamisk grupp för Windows Linux.

Viktigt

I maj 2023 uppdaterades deviceOSType för att skilja mellan Windows-klienter och Windows-servrar.

Anpassade skript och Microsoft Entra dynamiska enhetsgrupper som skapats före den här ändringen som anger regler som endast refererar till Windows kan utesluta Windows-servrar när de används med säkerhetshantering för Microsoft Defender för Endpoint lösning. Till exempel:

  • Om du har en regel som använder operatorn equals eller not equals för att identifiera Windows påverkar den här ändringen regeln. Det beror på att både Windows och Windows Server tidigare rapporterades som Windows. Om du vill fortsätta att inkludera båda måste du uppdatera regeln så att den även refererar till Windows Server.
  • Om du har en regel som använder operatorn contains eller like för att ange Windows påverkas inte regeln av den här ändringen. Dessa operatorer kan hitta både Windows och Windows Server.

Tips

Användare som delegeras möjligheten att hantera inställningar för slutpunktssäkerhet kanske inte kan implementera konfigurationer för hela klientorganisationen i Microsoft Intune. Kontakta Intune-administratören om du vill ha mer information om roller och behörigheter i din organisation.

Distribuera princip

När du har skapat en eller flera Microsoft Entra grupper som innehåller enheter som hanteras av Microsoft Defender för Endpoint kan du skapa och distribuera följande principer för hantering av säkerhetsinställningar till dessa grupper. Vilka principer och profiler som är tillgängliga varierar beroende på plattform.

En lista över princip- och profilkombinationer som stöds för hantering av säkerhetsinställningar finns i diagrammet i Vilken lösning ska jag använda? tidigare i den här artikeln.

Tips

Undvik att distribuera flera principer som hanterar samma inställning till en enhet.

Microsoft Intune stöder distribution av flera instanser av varje principtyp för slutpunktssäkerhet till samma enhet, där varje principinstans tas emot separat av enheten. Därför kan en enhet få separata konfigurationer för samma inställning från olika principer, vilket resulterar i en konflikt. Vissa inställningar (till exempel Antivirusundantag) sammanfogas på klienten och tillämpas korrekt.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Slutpunktssäkerhet, välj den typ av princip som du vill konfigurera och välj sedan Skapa princip.

  3. För principen väljer du plattform och den profil som du vill distribuera. En lista över plattformar och profiler som stöder hantering av säkerhetsinställningar finns i diagrammet i Vilken lösning ska jag använda? tidigare i den här artikeln.

    Obs!

    Profilerna som stöds gäller för enheter som kommunicerar via Mobile Enhetshantering (MDM) med Microsoft Intune och enheter som kommunicerar med Microsoft Defender för Endpoint-klienten.

    Kontrollera att du granskar din inriktning och dina grupper efter behov.

  4. Välj Skapa.

  5. På sidan Grundläggande inställningar anger du ett namn och en beskrivning för profilen. Välj sedan Nästa.

  6. På sidan Konfigurationsinställningar väljer du de inställningar som du vill hantera med den här profilen.

    Om du vill veta mer om en inställning expanderar du dess informationsdialogruta och väljer länken Läs mer för att visa dokumentationen om konfigurationstjänstprovidern (CSP) online eller relaterad information för den inställningen.

    När du har konfigurerat inställningarna väljer du Nästa.

  7. På sidan Tilldelningar väljer du de Microsoft Entra grupper som tar emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    Gå vidare genom att klicka på Nästa.

    Tips

    • Tilldelningsfilter stöds inte för enheter som hanteras av hantering av säkerhetsinställningar.
    • Endast enhetsobjekt gäller för Microsoft Defender för Endpoint hantering. Det går inte att rikta in sig på användare.
    • Principer som konfigurerats gäller för både Microsoft Intune- och Microsoft Defender för Endpoint-klienter.

  8. Slutför processen för att skapa principen och välj sedan Skapa på sidan Granska + skapa. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

  9. Vänta tills principen har tilldelats och visa en lyckad indikation om att principen har tillämpats.

  10. Du kan kontrollera att inställningarna har tillämpats lokalt på klienten med hjälp av kommandoverktyget Get-MpPreference .

Övervaka status

Status och rapporter för principer som riktar sig mot enheter i den här kanalen är tillgängliga från principnoden under Slutpunktssäkerhet i Microsoft Intune administrationscenter.

Öka detaljnivån för principtypen och välj sedan principen för att visa dess status. Du kan visa listan över plattformar, principtyper och profiler som stöder hantering av säkerhetsinställningar i tabellen i Vilken lösning ska jag använda tidigare i den här artikeln.

När du väljer en princip kan du visa information om enhetens incheckningsstatus och välja:

  • Visa rapport – Visa en lista över enheter som tog emot principen. Du kan välja en enhet för att öka detaljnivån och se dess status per inställning. Du kan sedan välja en inställning för att visa mer information om den, inklusive andra principer som hanterar samma inställning, vilket kan vara en källa till konflikt.

  • Status per inställning – Visa de inställningar som hanteras av principen och antalet lyckade, fel eller konflikter för varje inställning.

Vanliga frågor och överväganden

Frekvens för enhetskontroll

Enheter som hanteras av den här funktionen checkar in med Microsoft Intune var 90:e minut för att uppdatera principen.

Du kan synkronisera en enhet manuellt på begäran från Microsoft Defender-portalen. Logga in på portalen och gå till Enheter. Välj en enhet som hanteras av Microsoft Defender för Endpoint och välj sedan knappen Principsynkronisering:

Synkronisera enheter som hanteras av Microsoft Defender för Endpoint manuellt.

Knappen Principsynkronisering visas bara för enheter som hanteras av Microsoft Defender för Endpoint.

Enheter som skyddas av manipulationsskydd

Om manipuleringsskydd är aktiverat på en enhet går det inte att redigera värdena för Inställningar för manipuleringsskydd utan att först inaktivera manipulationsskydd.

Hantering av tilldelningsfilter och säkerhetsinställningar

Tilldelningsfilter stöds inte för enheter som kommunicerar via den Microsoft Defender för Endpoint kanalen. Tilldelningsfilter kan läggas till i en princip som kan riktas mot dessa enheter, men enheterna ignorerar tilldelningsfilter. För stöd för tilldelningsfilter måste enheten registreras i för att Microsoft Intune.

Ta bort och ta bort enheter

Du kan ta bort enheter som använder det här flödet med någon av två metoder:

  • I Microsoft Intune administrationscenter går du till Enheter>Alla enheter, väljer en enhet som visar antingen MDEJoined eller MDEManaged i kolumnen Hanterad av och väljer sedan Ta bort.
  • Du kan också ta bort enheter från omfånget för Konfigurationshantering i Security Center.

När en enhet har tagits bort från någon av platserna sprids ändringen till den andra tjänsten.

Det går inte att aktivera säkerhetshantering för Microsoft Defender för Endpoint arbetsbelastning i Endpoint Security

De flesta inledande etableringsflöden slutförs vanligtvis av en administratör för båda tjänsterna (till exempel en global administratör). Det finns vissa scenarier där rollbaserad administration används för att anpassa behörigheterna för administratörer. I dag kanske personer som delegeras rollen Endpoint Security Manager inte har de behörigheter som krävs för att aktivera den här funktionen.

Microsoft Entra anslutna enheter

Enheter som är anslutna till Active Directory använder sin befintliga infrastruktur för att slutföra Microsoft Entra hybridanslutningsprocess.

Säkerhetsinställningar som inte stöds

Följande säkerhetsinställningar väntar på utfasning. Hanteringsflödet för Säkerhetsinställningar för Defender för Endpoint stöder inte följande inställningar:

  • Påskynda rapporteringsfrekvensen för telemetri (under Slutpunktsidentifiering och svar)
  • AllowIntrusionPreventionSystem (under Antivirus)
  • Manipulationsskydd (under Windows-säkerhet Experience). Den här inställningen väntar inte på utfasning, men stöds för närvarande inte.

Användning av hantering av säkerhetsinställningar på domänkontrollanter

Eftersom ett Microsoft Entra ID förtroende krävs stöds inte domänkontrollanter för närvarande. Vi tittar på olika sätt att lägga till det här stödet.

Viktigt

I vissa fall kan domänkontrollanter som kör ett serveroperativsystem på nednivå (2012 R2 eller 2016) oavsiktligt hanteras av Microsoft Defender för Endpoint. För att säkerställa att detta inte sker i din miljö rekommenderar vi att du ser till att domänkontrollanterna varken taggas "MDE-Management" eller hanteras av MDE.

Server Core-installation

Hantering av säkerhetsinställningar stöder inte Server Core-installationer på grund av begränsningar för Server Core-plattformen.

PowerShell-begränsningsläge

PowerShell måste vara aktiverat.

Hantering av säkerhetsinställningar fungerar inte för en enhet som har PowerShell LanguageMode konfigurerat med begränsatLanguage-lägeenabled. Mer information finns i about_Language_Modes i PowerShell-dokumentationen.

Hantera säkerhet via MDE om du tidigare använde ett säkerhetsverktyg från tredje part

Om du tidigare hade ett säkerhetsverktyg från tredje part på datorn och nu hanterar det med MDE kan du se en viss inverkan på MDE förmåga att hantera säkerhetsinställningar i sällsynta fall. I sådana fall, som ett felsökningsmått, avinstallerar och installerar du om den senaste versionen av MDE på datorn.

Nästa steg