使用 Microsoft Intune 管理組織的竄改保護

  • 發行項

適用於:

平台

  • Windows

竄改保護可協助保護某些 安全性設定,例如病毒和威脅防護,避免被停用或變更。 如果您是組織安全性小組的一員,而且您使用 Microsoft Intune,您可以在 Intune 系統管理中心管理組織的竄改保護。 或者,您可以使用 Configuration Manager。 透過 Intune 或 Configuration Manager,您可以:

重要事項

如果您使用 Microsoft Intune 來管理適用於端點的 Defender 設定,請務必將裝置上的 DisableLocalAdminMerge 設定為 true。

開啟竄改保護時,無法變更受 竄改保護的設定 。 若要避免中斷管理體驗,包括 Intune (和 Configuration Manager) ,請記住,對受竄改保護的設定所做的變更可能會成功,但實際上會遭到竄改保護封鎖。 根據您的特定案例,您有數個可用的選項:

  • 如果您必須對裝置進行變更,且這些變更遭到竄改保護封鎖,建議您使用 疑難解答模式 暫時停用裝置上的竄改保護。 請注意,在疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
  • 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
  • 如果您透過 Intune 管理竄改保護,您可以變更受竄改保護的防病毒軟體排除專案

在 Intune 中管理竄改保護的需求

需求 詳細資料
角色及權限 您必須擁有透過角色指派的適當許可權,例如全域管理員或安全性系統管理員。 請參閱 Microsoft Entra 具有 Intune 存取權的角色
裝置管理 您的組織會使用 Intune 來管理裝置
Intune 授權 Intune 需要授權。 請參閱 Microsoft Intune 授權
作業系統 Windows 裝置必須 Windows 10 版本 1709 或更新版本或 Windows 11 執行。 (如需版本的詳細資訊,請參閱 Windows 版本資訊。)

針對Mac,請參閱 使用竄改保護來保護macOS安全性設定
安全情報 您必須使用 Windows 安全性搭配更新為版本 (或更新版本 1.287.60.0) 的安全性情報
反惡意代碼平臺 裝置必須使用反惡意代碼平臺版本 (或更新版本 4.18.1906.3 ,) 和反惡意代碼引擎版本 (或更新版本 1.1.15500.X) 。 請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準
Microsoft Entra ID 您的 Intune 和適用於端點的 Defender 租用戶必須共用相同的 Microsoft Entra 基礎結構。
適用於端點的 Defender 您的裝置必須上線至適用於端點的Defender。

注意事項

如果裝置未在 適用於端點的 Microsoft Defender 中註冊,則在上架程式完成之前,竄改保護會顯示為 [不適用]。 竄改保護可以防止發生安全性設定的變更。 如果您看到事件標識碼為 5013 的錯誤碼,請參閱檢閱事件記錄檔和錯誤碼,以針對 Microsoft Defender 防病毒軟體的問題進行疑難解答

在 (中開啟或關閉) 的竄改保護 Microsoft Intune

使用 Intune 開啟竄改保護

  1. Intune 系統管理中心,移至 [端點安全>性防病毒軟體],然後選擇 [+ Create 原則]

    • 在 [平臺] 列表中,選取 [Windows 10]、[Windows 11] 和 [Windows Server]
    • 在 [配置檔] 清單中,選取 [Windows 安全性 體驗]

  2. Create 包含下列設定的設定檔:

    • TamperProtection (裝置) :開啟

  3. 完成選取原則的選項和設定。

  4. 將原則部署至裝置。

防病毒軟體排除專案遭竄改保護

如果您的組織已針對 Microsoft Defender 防病毒軟體定義排除專案,則防竄改保護會保護這些排除專案,前提是符合下列所有條件:

條件 準則
Microsoft Defender 平臺 裝置 Microsoft Defender平臺4.18.2211.5或更新版本執行。 如需詳細資訊,請參閱 每月平臺和引擎版本
DisableLocalAdminMerge 設置 此設定也稱為防止本機清單合併。 DisableLocalAdminMerge已啟用,因此在裝置上設定的設定不會與組織原則合併,例如 Intune 中的設定。 如需詳細資訊, 請參閱 DisableLocalAdminMerge
裝置管理 裝置只能在 Intune 中管理,或僅使用 Configuration Manager 來管理。 必須啟用 Sense。
防毒軟體排除項目 Microsoft Defender 在 Microsoft Intune 中管理防病毒軟體排除專案。 如需詳細資訊,請參閱 Windows 裝置 Microsoft Intune 中 Microsoft Defender 防病毒軟體原則的設定

在裝置上啟用保護 Microsoft Defender 防病毒軟體排除專案的功能。 如需詳細資訊,請 參閱如何判斷 Windows 裝置上的防病毒軟體排除專案是否受到竄改保護

提示

如需 Microsoft Defender 防病毒軟體排除專案的詳細資訊,請參閱 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案

如何判斷 Windows 裝置上的防病毒軟體排除專案是否受到竄改保護

您可以使用登錄機碼來判斷是否啟用保護防病毒軟體排除 Microsoft Defender 功能。 下列程式描述如何檢視但不變更竄改保護狀態。

  1. 在 Windows 裝置上開啟登錄 編輯器。 (唯讀模式沒問題;您未編輯登錄機碼。)

  2. 若要確認裝置僅由 Intune 管理,或僅由 Configuration Manager 管理,且已啟用 Sense,請檢查下列登錄機碼值:

    • ManagedDefenderProductType 位於 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderHKLM\SOFTWARE\Microsoft\Windows Defender) 的 (
    • EnrollmentStatus 位於 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMHKLM\SOFTWARE\Microsoft\SenseCM) 的 (

    下表摘要說明登錄機碼值的意義:

    ManagedDefenderProductType 價值 EnrollmentStatus 價值 值的意義
    6 (任何值) 裝置僅由 Intune管理。
    (符合遭到竄改保護的排除專案需求。)
    7 4 裝置由 Configuration Manager 管理。
    (符合遭到竄改保護的排除專案需求。)
    或以外的 67 (任何值) 裝置不是僅由 Intune 或僅 Configuration Manager 管理。
    (排除專案不受竄改保護。)

  3. 若要確認是否已部署竄改保護,且排除專案受到竄改保護,請檢查 TPExclusions 位於 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeaturesHKLM\SOFTWARE\Microsoft\Windows Defender\Features) 的登錄機碼 (。

    TPExclusions 值的意義
    1 符合必要條件,並在裝置上啟用保護排除專案的新功能。
    (排除專案受到竄改保護。)
    0 竄改保護目前無法保護裝置上的排除專案。
    (如果符合所有需求且此狀態似乎不正確,請連絡 support.)

注意

請勿變更登錄機碼的值。 請只使用上述程式來取得資訊。 變更索引鍵不會影響是否將竄改保護套用至排除專案。

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。