Sdílet prostřednictvím


Naučte se používat zásady zabezpečení koncových bodů Intune ke správě Microsoft Defender for Endpoint na zařízeních, která nejsou zaregistrovaná v Intune

Když integrujete Microsoft Intune se službou Microsoft Defender for Endpoint, můžete pomocí zásad zabezpečení koncových bodů Intune spravovat nastavení zabezpečení v programu Defender na zařízeních, která nejsou zaregistrovaná v Intune. Tato funkce se označuje jako správa nastavení zabezpečení Defender for Endpoint.

Při správě zařízení prostřednictvím správy nastavení zabezpečení:

  • Pomocí centra pro správu Microsoft Intune nebo portálu Microsoft 365 Defender můžete spravovat zásady zabezpečení koncových bodů Intune pro Defender for Endpoint a přiřazovat tyto zásady skupinám Microsoft Entra ID. Portál Defender obsahuje uživatelské rozhraní pro zobrazení zařízení, správu zásad a sestavy pro správu nastavení zabezpečení.

    Pokud chcete spravovat zásady z portálu Defender, přečtěte si téma Správa zásad zabezpečení koncových bodů v programu Microsoft Defender for Endpoint v obsahu Defenderu.

  • Zařízení získají přiřazené zásady na základě objektu zařízení Microsoft Entra ID. Zařízení, které ještě není zaregistrované v Microsoft Entra, je připojené jako součást tohoto řešení.

  • Když zařízení přijme zásadu, komponenty Defender for Endpoint na zařízení vynutí zásadu a hlásí stav zařízení. Stav zařízení je k dispozici v Centru pro správu Microsoft Intune a na portálu Microsoft Defender.

Tento scénář rozšiřuje plochu Microsoft Intune Endpoint Security na zařízení, která se nemůžou registrovat v Intune. Když je zařízení spravované pomocí Intune (zaregistrované v Intune), nezpracovává zásady pro správu nastavení zabezpečení Defender for Endpoint. Místo toho použijte Intune k nasazení zásad pro Defender for Endpoint na vaše zařízení.

Platí pro:

  • Windows 10 a Windows 11
  • Windows Server (2012 R2 a novější)
  • Linux
  • macOS

Koncepční prezentace řešení Microsoft Defender for Endpoint-Attach.

Požadavky

V následujících částech najdete požadavky na scénář správy nastavení zabezpečení v programu Defender for Endpoint.

Prostředí

Když se podporované zařízení připojí k Microsoft Defender for Endpoint:

  • Zařízení se dotazuje na existující stav Microsoft Intune, což je registrace správy mobilních zařízení (MDM) do Intune.
  • Zařízení bez přítomnosti Intune umožňují funkci správy nastavení zabezpečení.
  • U zařízení, která nejsou plně zaregistrovaná v Microsoft Entra, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která umožňuje zařízení načíst zásady. Plně registrovaná zařízení používají svou aktuální registraci.
  • Zásady načtené z Microsoft Intune vynucuje na zařízení Microsoft Defender for Endpoint.

Podpora cloudu pro státní správu

Scénář správy nastavení zabezpečení Defenderu for Endpoint se podporuje v následujících tenantech státní správy:

  • Us Government Community Cloud (GCC)
  • US Government Community High (GCC High)
  • Ministerstvo obrany (DoD)

Další informace najdete tady:

Požadavky na připojení

Zařízení musí mít přístup k následujícímu koncovému bodu:

  • *.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení a vytváření sestav a které se můžou při škálování služby měnit.

Podporované platformy

Zásady pro správu zabezpečení v programu Microsoft Defender for Endpoint jsou podporované pro následující platformy zařízení:

Linux:

S agentem Microsoft Defender for Endpoint pro Linux verze 101.23052.0009 nebo novější podporuje správa nastavení zabezpečení následující distribuce Linuxu:

  • Red Hat Enterprise Linux 7.2 nebo novější
  • CentOS 7.2 nebo novější
  • Ubuntu 16.04 LTS nebo novější LTS
  • Debian 9 nebo novější
  • SUSE Linux Enterprise Server 12 nebo novější
  • Oracle Linux 7.2 nebo novější
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33 nebo novější

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro Linux. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v Linuxu.

Známý problém: U agenta Defender verze 101.23052.0009 se zařízení s Linuxem nepodaří zaregistrovat, když jim chybí následující cesta k souboru: /sys/class/dmi/id/board_vendor.

Známý problém: Když zařízení s Linuxem provádí syntetickou registraci, id Entra zařízení (dříve označované jako ID AAD zařízení) se na portálu Defenderu nezobrazuje. Tyto informace můžete zobrazit na portálu Intune nebo Microsoft Entra. Správci můžou i nadále spravovat zařízení se zásadami tímto způsobem.

macOS:

U agenta Microsoft Defender for Endpoint pro macOS verze 101.23052.0004 nebo novější podporuje správa nastavení zabezpečení následující verze macOS:

  • macOS 15 (Sequoia)
  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Pokud chcete potvrdit verzi agenta Defender, přejděte na portálu Defender na stránku zařízení a na kartě Inventáře zařízení vyhledejte Defender pro macOS. Pokyny k aktualizaci verze agenta najdete v tématu Nasazení aktualizací pro Microsoft Defender for Endpoint v macOS.

Známý problém: U agenta Defender verze 101.23052.0004 obdrží zařízení s macOS zaregistrovaná v Microsoft Entra ID před registrací pomocí správy nastavení zabezpečení duplicitní ID zařízení v Microsoft Entra ID, což je syntetická registrace. Když vytváříte skupinu Microsoft Entra pro cílení zásad, musíte použít syntetické ID zařízení vytvořené správou nastavení zabezpečení. V Microsoft Entra ID je sloupec Typ spojení pro syntetické ID zařízení prázdný.

Známý problém: Když zařízení s macOS provádí syntetickou registraci, id Entra zařízení (dříve označované jako DEVICE AAD ID) se na portálu Defender nezobrazuje. Tyto informace můžete zobrazit na portálu Intune nebo Microsoft Entra. Správci můžou i nadále spravovat zařízení se zásadami tímto způsobem.

Windows:

Správa nastavení zabezpečení nefunguje a nepodporuje se na následujících zařízeních:

  • Windows Server Core 2016 a starší
  • Trvalé plochy, jako jsou klienti infrastruktury virtuálních klientských počítačů (VDI)
  • Azure Virtual Desktop (AVD a dříve Windows Virtual Desktop, WVD)
  • 32bitové verze systému Windows

Licencování a předplatná

Pokud chcete používat správu nastavení zabezpečení, potřebujete:

  • Předplatné, které uděluje licence pro Microsoft Defender for Endpoint, jako je Microsoft 365, nebo samostatnou licenci jenom pro Microsoft Defender for Endpoint. Předplatné, které uděluje licence Microsoft Defenderu for Endpoint, také uděluje vašemu tenantovi přístup k uzlu zabezpečení koncového bodu v Centru pro správu Microsoft Intune.

    Poznámka

    Výjimka: Pokud máte přístup k Microsoft Defenderu for Endpoint jenom prostřednictvím Microsoft Defenderu pro servery (součást Microsoft Defenderu pro cloud, dříve Azure Security Center), funkce správy nastavení zabezpečení nejsou dostupné. Budete muset mít aktivní alespoň jednu licenci předplatného Microsoft Defenderu for Endpoint (uživatele).

    Uzel zabezpečení koncového bodu je místo, kde konfigurujete a nasazujete zásady pro správu Microsoft Defenderu for Endpoint pro vaše zařízení a monitorování stavu zařízení.

    Aktuální informace o možnostech najdete v tématu Minimální požadavky pro Microsoft Defender for Endpoint.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv správcům, kteří spravují zásady zabezpečení koncových bodů Intune v Centru pro správu Intune, najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Architecture

Následující diagram představuje koncepční znázornění řešení pro správu konfigurace zabezpečení v programu Microsoft Defender for Endpoint.

Koncepční diagram řešení pro správu konfigurace zabezpečení v programu Microsoft Defender for Endpoint

  1. Zařízení se připojte k Microsoft Defenderu for Endpoint.
  2. Zařízení komunikují s Intune. Tato komunikace umožňuje Microsoft Intune distribuovat zásady, které jsou cílené na zařízení při jejich ohlášení.
  3. Registrace se vytvoří pro každé zařízení v Microsoft Entra ID:
    • Pokud bylo zařízení dříve plně zaregistrované, například zařízení Hybrid Join, použije se stávající registrace.
    • Pro zařízení, která nejsou zaregistrovaná, se v Microsoft Entra ID vytvoří syntetická identita zařízení, která umožní zařízení načíst zásady. Pokud má zařízení se syntetickou registrací vytvořenou úplnou registraci Microsoft Entra, syntetická registrace se odebere a správa zařízení pokračuje bez přerušení pomocí úplné registrace.
  4. Defender for Endpoint hlásí stav zásad zpět do Microsoft Intune.

Důležité

Správa nastavení zabezpečení používá syntetickou registraci pro zařízení, která se plně neregistrují v Microsoft Entra ID, a zahodí požadavek na hybridní připojení Microsoft Entra. Po této změně se zařízení s Windows, u kterých dříve došlo k chybám registrace, začnou onboardovat do programu Defender a pak budou přijímat a zpracovávat zásady správy nastavení zabezpečení.

Pokud chcete vyfiltrovat zařízení, která se nemohla zaregistrovat, protože nesplníte předpoklad hybridního připojení k Microsoft Entra, přejděte na seznam Zařízení na portálu Microsoft Defender a vyfiltrujte podle stavu registrace. Vzhledem k tomu, že tato zařízení nejsou plně zaregistrovaná, zobrazují se jejich atributy zařízení MDM = Intune a Typ = připojeníprázdný. Tato zařízení se teď budou registrovat se správou nastavení zabezpečení pomocí syntetické registrace.

Po registraci se tato zařízení zobrazí v seznamech zařízení pro portály Microsoft Defender, Microsoft Intune a Microsoft Entra. I když zařízení nebudou plně zaregistrovaná v Microsoft Entra, jejich syntetická registrace se počítá jako jeden objekt zařízení.

Co očekávat na portálu Microsoft Defender

Pomocí Microsoft Defender for Endpoint Inventář zařízení můžete ověřit, jestli zařízení používá funkci správy nastavení zabezpečení v Defenderu for Endpoint. Zkontrolujte stav zařízení ve sloupci Spravováno. Informace Spravováno jsou k dispozici také na bočním panelu zařízení nebo na stránce zařízení. Spravovaná měla konzistentně znamenat, že je spravovaná pomocí MDE. 

Můžete také ověřit, že je zařízení zaregistrované ve správě nastavení zabezpečení úspěšně, a to potvrzením, že se na bočním panelu zařízení nebo na stránce zařízení zobrazuje stav registrace MDE jako Úspěch.

Snímek obrazovky se stavem registrace správy nastavení zabezpečení zařízení na stránce zařízení na portálu Microsoft Defender

Pokud se ve stavu registrace MDE nezobrazuje Úspěch, ujistěte se, že se díváte na aktualizované zařízení, které je v oboru správy nastavení zabezpečení. (Obor konfigurujete na stránce Obor vynucení při konfiguraci správy nastavení zabezpečení.)

Co očekávat v Centru pro správu Microsoft Intune

V Centru pro správu Microsoft Intune přejděte na stránku Všechna zařízení. Zařízení zaregistrovaná se správou nastavení zabezpečení se tady zobrazují jako na portálu Defender. V Centru pro správu by se v poli zařízení Spravovaná měla zobrazit MDE.

Snímek obrazovky se stránkou zařízení v Centru pro správu Intune se zvýrazněným stavem spravovaného zařízení

Tip

V červnu 2023 začala správa nastavení zabezpečení používat syntetickou registraci pro zařízení, která se plně neregistrují v Microsoft Entra. Po této změně se zařízení, u kterých dříve došlo k chybám registrace, začnou onboardovat do Defenderu a pak přijímat a zpracovávat zásady správy nastavení zabezpečení.

Co očekávat na portálu Microsoft Azure

Na stránce Všechna zařízení Na portálu Microsoft Azure můžete zobrazit podrobnosti o zařízení.

Snímek obrazovky se stránkou Všechna zařízení na portálu Microsoft Azure Se zvýrazněným ukázkovým zařízením

Pokud chcete zajistit, aby všechna zařízení zaregistrovaná ve správě nastavení zabezpečení v programu Defender for Endpoint dostávala zásady, doporučujeme vytvořit dynamickou skupinu Microsoft Entra na základě typu operačního systému zařízení. U dynamické skupiny se zařízení spravovaná programem Defender for Endpoint automaticky přidávají do skupiny, aniž by správci museli provádět další úlohy, jako je vytvoření nové zásady.

Důležité

Od července 2023 do 25. září 2023 spustila správa nastavení zabezpečení výslovný souhlas s verzí Public Preview, která zavedla nové chování pro zařízení, která byla spravovaná a zaregistrovaná do scénáře. Od 25. září 2023 začalo být chování ve verzi Public Preview obecně dostupné a teď platí pro všechny tenanty, které používají správu nastavení zabezpečení.

Pokud jste před 25. zářím 2023 použili správu nastavení zabezpečení a nepřipojili jste se k výslovné verzi Public Preview, která běžela od července 2023 do 25. září 2023, projděte si skupiny Microsoft Entra, které spoléhají na systémové popisky, a proveďte změny, které identifikují nová zařízení, která spravujete pomocí správy nastavení zabezpečení. Důvodem je to, že před 25. zářím 2023 by zařízení, která nejsou spravovaná prostřednictvím verze Public Preview, používala k identifikaci spravovaných zařízení následující systémové popisky (značky) MDEManaged a MDEJoined. Tyto dva systémové popisky už nejsou podporované a už se nepřidávají do zařízení, která se registrují.

Pro dynamické skupiny použijte následující pokyny:

  • (Doporučeno) Při cílení na zásady použijte dynamické skupiny založené na platformě zařízení pomocí atributu deviceOSType (Windows, Windows Server, macOS, Linux), abyste zajistili, že se zásady budou dál doručovat pro zařízení, která mění typy správy, například během registrace MDM.

  • V případě potřeby je možné zacílit dynamické skupiny obsahující výhradně zařízení spravovaná programem Defender for Endpoint tak, že definujete dynamickou skupinu pomocí atributu managementTypeMicrosoftSense. Použití tohoto atributu se zaměřuje na všechna zařízení spravovaná programem Defender for Endpoint prostřednictvím funkce správy nastavení zabezpečení a zařízení zůstanou v této skupině pouze v případě, že jsou spravována programem Defender for Endpoint.

Pokud chcete při konfiguraci správy nastavení zabezpečení spravovat celou infrastrukturu platformy operačního systému pomocí programu Microsoft Defender for Endpoint, výběrem všech zařízení místo označených zařízení na stránce Obor vynucení koncového bodu v programu Microsoft Defender se mějte na vědomí, že se všechny syntetické registrace započítávají do kvót Id Entra společnosti Microsoft stejně jako úplné registrace.

Jaké řešení mám použít?

Microsoft Intune obsahuje několik metod a typů zásad pro správu konfigurace Defenderu for Endpoint na zařízeních. Následující tabulka uvádí zásady a profily Intune, které podporují nasazení do zařízení spravovaných službou Defender for Endpoint, a může vám pomoct určit, jestli je toto řešení vhodné pro vaše potřeby.

Když nasadíte zásadu zabezpečení koncového bodu, která je podporovaná pro správu nastavení zabezpečení v programu Defender for Endpoint a Microsoft Intune, může jednu instanci této zásady zpracovat:

  • Zařízení podporovaná prostřednictvím správy nastavení zabezpečení (Microsoft Defender)
  • Zařízení spravovaná službou Intune nebo Configuration Managerem.

Profily pro platformu Windows 10 a novější nejsou podporované pro zařízení spravovaná správou nastavení zabezpečení.

Pro každý typ zařízení se podporují následující profily:

Linux

Následující typy zásad podporují platformu Linux.

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporováno Podporováno
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporováno Podporováno
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporováno Podporováno

macOS

Následující typy zásad podporují platformu macOS.

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Antivirová ochrana v Microsoft Defenderu Podporováno Podporováno
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporováno Podporováno
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporováno Podporováno

Windows

Pokud chcete podporovat použití se správou nastavení zabezpečení Microsoft Defender, musí zásady pro zařízení s Windows používat platformu Windows. Každý profil platformy Windows se může vztahovat na zařízení spravovaná službou Intune a na zařízení spravovaná správou nastavení zabezpečení.

Zásady zabezpečení koncového bodu Profil Správa nastavení zabezpečení v Defenderu for Endpoint Microsoft Intune
Antivirus Ovládací prvky aktualizace pro Defender Podporováno Podporováno
Antivirus Antivirová ochrana v Microsoft Defenderu Podporováno Podporováno
Antivirus Vyloučení v aplikaci Microsoft Defender Antivirus Podporováno Podporováno
Antivirus Prostředí zabezpečení Windows Podporovaná podpora
Omezení potenciální oblasti útoku Pravidla pro omezení potenciální oblasti útoku Podporováno Podporováno
Omezení potenciální oblasti útoku Řízení zařízení Poznámka 1 Podporováno
Detekce a reakce koncového bodu Detekce a reakce koncového bodu Podporováno Podporováno
Brána firewall Brána firewall Podporováno Podporováno
Brána firewall Pravidla brány firewall Podporováno Podporováno

1 – Tento profil je viditelný na portálu Defender, ale nepodporuje se pro zařízení spravovaná jenom Microsoft Defender prostřednictvím scénáře správy nastavení zabezpečení Microsoft Defender. Tento profil je podporovaný jenom pro zařízení spravovaná službou Intune.

Každý profil zabezpečení koncového bodu Intune je samostatná skupina nastavení určená pro správce zabezpečení, kteří se zaměřují na ochranu zařízení ve vaší organizaci. Níže jsou uvedené popisy profilů, které jsou podporovány scénářem správy nastavení zabezpečení:

  • Antivirové zásady spravují konfigurace zabezpečení, které najdete v Microsoft Defenderu for Endpoint.

    Poznámka

    I když koncové body nevyžadují restartování, aby bylo možné použít upravená nastavení nebo nové zásady, víme o problému, kdy nastavení AllowOnAccessProtection a DisableLocalAdminMerge můžou občas vyžadovat, aby koncoví uživatelé restartovali svá zařízení, aby se tato nastavení aktualizovala. V současné době tento problém prošetřujeme, abychom mohli poskytnout řešení.

  • Zásady omezení potenciální oblasti útoku (ASR) se zaměřují na minimalizaci míst, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Při správě nastavení zabezpečení se pravidla ASR vztahují na zařízení s Windows 10, Windows 11 a Windows Serverem.

    Aktuální pokyny k nastavení, která se vztahují na různé platformy a verze, najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky Ve Windows.

    Tip

    Pokud chcete udržovat podporované koncové body v aktualizovaném stavu, zvažte použití moderního sjednoceného řešení pro Windows Server 2012 R2 a 2016.

    Viz také:

  • Zásady detekce a odezvy koncových bodů (EDR) spravují funkce Defender for Endpoint, které poskytují pokročilé detekce útoků, které jsou téměř v reálném čase a dají se na ně reagovat. Na základě konfigurací EDR můžou analytici zabezpečení efektivně určit priority výstrah, získat přehled o plném rozsahu narušení zabezpečení a provádět akce reakce na nápravu hrozeb.

  • Zásady brány firewall se zaměřují na bránu firewall Defenderu na vašich zařízeních.

  • Pravidla brány firewall jsou typem profilu pro zásady brány firewall, které se skládají z podrobných pravidel pro brány firewall, včetně konkrétních portů, protokolů, aplikací a sítí.

Konfigurace tenanta pro podporu správy nastavení zabezpečení v programu Defender for Endpoint

Pokud chcete podporovat správu nastavení zabezpečení prostřednictvím Centra pro správu Microsoft Intune, musíte mezi nimi povolit komunikaci z každé konzoly.

Postupujte způsobem popsaným v následující části.

Konfigurace Microsoft Defender for Endpoint

Na portálu Microsoft Defender jako správce zabezpečení:

  1. Přihlaste se k portálu Microsoft Defender, přejděte do části Nastavení> Koncové bodyRozsah vynucování>konfigurace a> povolte platformy pro správu nastavení zabezpečení.

    Povolte správu nastavení Microsoft Defender for Endpoint na portálu Microsoft Defender.

    Poznámka

    Pokud máte na portálu Microsoft Defender oprávnění Spravovat nastavení zabezpečení ve službě Security Center a máte současně povoleno zobrazovat zařízení ze všech Skupiny zařízení (bez omezení řízení přístupu na základě role u uživatelských oprávnění), můžete tuto akci provést také.

  2. Zpočátku doporučujeme funkci otestovat pro každou platformu tak, že vyberete možnost platforem pro Na označených zařízeních, a pak zařízení označíte značkou MDE-Management.

    Důležité

    Použití funkce dynamické značky Microsoft Defender for Endpoint k označování zařízení pomocí správy MDE se v současné době nepodporuje se správou nastavení zabezpečení. Zařízení označená touto funkcí se úspěšně nezaregistrují. Tento problém se stále zkoumá.

    Tip

    Pomocí správných značek zařízení otestujte a ověřte zavedení na malém počtu zařízení.

    Při nasazení do skupiny Všechna zařízení se všechna zařízení, která spadají do nakonfigurovaného oboru, automaticky zaregistrují.

    Zatímco většina zařízení dokončí registraci a použije přiřazené zásady během několika minut, může někdy trvat až 24 hodin.

  3. Nakonfigurujte funkci onboardovaných zařízení Microsoft Defender for Cloud a nastavení autority Configuration Manageru tak, aby vyhovovala potřebám vaší organizace:

    Nakonfigurujte pilotní režim pro správu nastavení koncového bodu na portálu Microsoft Defender.

    Tip

    Pokud chcete zajistit, aby uživatelé portálu Microsoft Defender měli konzistentní oprávnění napříč portály, pokud je ještě nezadají, požádejte správce IT, aby jim udělil integrovanou roli RBAC Microsoft Intune Endpoint Security Manageru.

Konfigurace Intune

V centru pro správu Microsoft Intune váš účet potřebuje oprávnění, která se rovnají integrované roli řízení přístupu na základě role (RBAC) Endpoint Security Manageru.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Endpoint security>Microsoft Defenderu pro koncový bod a nastavte Povolit službě Microsoft Defender for Endpoint vynucovat konfigurace zabezpečení koncových bodů na Zapnuto.

    Povolte správu nastavení Microsoft Defender for Endpoint v Centru pro správu Microsoft Intune.

    Když nastavíte tuto možnost na Zapnuto, všechna zařízení v oboru platformy pro Microsoft Defender for Endpoint, která nejsou spravovaná Službou Microsoft Intune, mají nárok na onboarding do Microsoft Defender for Endpoint.

Onboarding zařízení a konfigurace možností aplikace Microsoft Defender for Endpoint

Microsoft Defender for Endpoint podporuje několik možností onboardingu zařízení. Aktuální doprovodné materiály najdete v tématu Onboarding do Microsoft Defender for Endpoint v dokumentaci k programu Defender for Endpoint.

Koexistence s Microsoft Configuration Managerem

V některých prostředích může být žádoucí používat správu nastavení zabezpečení u zařízení spravovaných nástrojem Configuration Manager. Pokud používáte obojí, musíte zásady řídit prostřednictvím jednoho kanálu. Použití více než jednoho kanálu vytváří příležitost ke konfliktům a nežádoucím výsledkům.

Pokud to chcete podporovat, nakonfigurujte přepínač Spravovat nastavení zabezpečení pomocí nástroje Configuration Manager na Vypnuto. Přihlaste se k portálu Microsoft Defender a přejděte na Nastavení>Koncové body>Správa konfigurace>Rozsah vynucení:

Snímek obrazovky portálu Defender zobrazující přepínač Spravovat nastavení zabezpečení pomocí Configuration Manageru nastavený na Vypnuto.

Vytvoření skupin Microsoft Entra

Po připojení zařízení k Defender for Endpoint budete muset vytvořit skupiny zařízení pro podporu nasazení zásad pro Microsoft Defender for Endpoint. Identifikace zařízení, která se zaregistrovala pomocí Microsoft Defender for Endpoint, ale nespravuje je Intune nebo Configuration Manager:

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte na Zařízení>Všechna zařízení a pak výběrem sloupce Spravováno seřaďte zobrazení zařízení.

    Zařízení, která se onboardují do Microsoft Defender for Endpoint a zaregistrovala se, ale nespravuje je Intune, zobrazí Microsoft Defender for Endpoint ve sloupci Spravováno. Toto jsou zařízení, která můžou přijímat zásady správy zabezpečení pro Microsoft Defender for Endpoint.

    Od 25. září 2023 už nejde zařízení, která používají správu zabezpečení pro Microsoft Defender for Endpoint, identifikovat pomocí následujících systémových popisků:

    • MDEJoined – zastaralá značka, která byla dříve přidána do zařízení připojených k adresáři v rámci tohoto scénáře.
    • MDEManaged – nyní zastaralá značka, která byla dříve přidána do zařízení, která aktivně používala scénář správy zabezpečení. Tato značka se ze zařízení odebere, pokud Defender for Endpoint přestane spravovat konfiguraci zabezpečení.

    Místo použití systémových popisků můžete použít atribut typu správy a nakonfigurovat ho na MicrosoftSense.

Skupiny pro tato zařízení můžete vytvořit v Microsoft Entra nebo v Centru pro správu Microsoft Intune. Při vytváření skupin můžete použít hodnotu operačního systému pro zařízení, pokud nasazujete zásady do zařízení s Windows Serverem a zařízení s klientskou verzí Windows:

  • Windows 10 a Windows 11 – deviceOSType nebo OS se zobrazí jako Windows.
  • Windows Server – deviceOSType nebo OS se zobrazí jako Windows Server.
  • Zařízení s Linuxem – deviceOSType nebo OS se zobrazí jako Linux.

Ukázkové dynamické skupiny Intune se syntaxí pravidla

Pracovní stanice Windows:

Snímek obrazovky s dynamickou skupinou Intune pro pracovní stanice Windows

Windows Servery:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Servery

Zařízení s Linuxem:

Snímek obrazovky s dynamickou skupinou Intune pro Windows Linux

Důležité

V květnu 2023 se zařízení deviceOSType aktualizovalo, aby rozlišovalo mezi klienty Windows a Servery Windows.

Vlastní skripty a dynamické skupiny zařízení Microsoft Entra vytvořené před touto změnou, které určují pravidla, která odkazují pouze na Systém Windows, můžou při použití se správou zabezpečení pro Microsoft Defender for Endpoint vyloučit servery Windows. Příklady:

  • Pokud máte pravidlo, které k identifikaci Windows používá equals operátor nebonot equals, ovlivní tato změna vaše pravidlo. Je to proto, že Windowsa Windows Server byly dříve hlášeny jako Windows. Chcete-li pokračovat v zahrnutí obou, je nutné aktualizovat pravidlo tak, aby odkazovat také na Windows Server.
  • Pokud máte pravidlo, které používá operátor contains nebo like k určení Windows, nebude tato změna tohoto pravidla ovlivněna. Tito operátoři můžou najít Windows a Windows Server.

Tip

Uživatelé, kteří mají delegovanou možnost spravovat nastavení zabezpečení koncového bodu, nemusí mít možnost implementovat konfigurace pro celého tenanta v Microsoft Intune. Další informace o rolích a oprávněních ve vaší organizaci vám poskytne správce Intune.

Nasazení zásad

Po vytvoření jedné nebo více skupin Microsoft Entra, které obsahují zařízení spravovaná programem Microsoft Defender for Endpoint, můžete do těchto skupin vytvořit a nasadit následující zásady pro správu nastavení zabezpečení. Dostupné zásady a profily se liší podle platformy.

Seznam kombinací zásad a profilů podporovaných pro správu nastavení zabezpečení najdete v grafu v části Které řešení mám použít v tomto článku.

Tip

Vyhněte se nasazování více zásad, které spravují stejné nastavení na zařízení.

Microsoft Intune podporuje nasazení více instancí každého typu zásad zabezpečení koncového bodu do stejného zařízení, přičemž každou instanci zásad přijímá zařízení samostatně. Proto může zařízení přijímat samostatné konfigurace pro stejné nastavení od různých zásad, což vede ke konfliktu. Některá nastavení (například vyloučení antivirové ochrany) se v klientovi sloučí a úspěšně se použijí.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte na Zabezpečení koncového bodu, vyberte typ zásady, kterou chcete nakonfigurovat, a pak vyberte Vytvořit zásadu.

  3. Jako zásadu vyberte platformu a profil, které chcete nasadit. Seznam platforem a profilů, které podporují správu nastavení zabezpečení, najdete v grafu v části Které řešení mám použít? dříve v tomto článku.

    Poznámka

    Podporované profily se vztahují na zařízení, která komunikují pomocí správy mobilních zařízení (MDM) s Microsoft Intune, a zařízení, která komunikují pomocí klienta Microsoft Defender for Endpoint.

    Podle potřeby zkontrolujte cílení a skupiny.

  4. Vyberte Vytvořit.

  5. Na stránce Základy zadejte název a popis profilu a pak zvolte Další.

  6. Na stránce Nastavení konfigurace nakonfigurujte nastavení, která chcete spravovat pomocí tohoto profilu.

    Další informace o nastavení získáte tak, že rozbalíte dialogové okno s informacemi o nastavení a vyberete odkaz Další informace a zobrazí se online dokumentace ke zprostředkovateli konfiguračních služeb (CSP) nebo související podrobnosti o daném nastavení.

    Po dokončení konfigurace nastavení vyberte Další.

  7. Na stránce Přiřazení vyberte skupiny Microsoft Entra, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Pokračujte výběrem možnosti Další.

    Tip

    • Filtry přiřazení nejsou podporované pro zařízení spravovaná správou nastavení zabezpečení.
    • Pro správu Microsoft Defender for Endpoint se vztahují pouze objekty zařízení. Cílení na uživatele není podporováno.
    • Nakonfigurované zásady se budou vztahovat na klienty Microsoft Intune i Microsoft Defender for Endpoint.
  8. Dokončete proces vytváření zásad a pak na stránce Zkontrolovat a vytvořit vyberte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

  9. Počkejte, až se zásada přiřadí, a zobrazí se indikátor úspěšnosti použití zásady.

  10. Pomocí příkazového nástroje Get-MpPreference můžete ověřit, že se nastavení použila místně na klientovi.

Stav monitorování

Intune:

Stav a sestavy zásad, které cílí na zařízení v tomto kanálu, jsou dostupné z uzlu zásad v části Zabezpečení koncových bodů v Centru pro správu Microsoft Intune.

Přejděte k podrobnostem o typu zásady a výběrem zásady zobrazte její stav. Seznam platforem, typů zásad a profilů, které podporují správu nastavení zabezpečení, si můžete prohlédnout v tabulce v části Které řešení mám použít dříve v tomto článku.

Když vyberete zásadu, můžete zobrazit informace o stavu ohlášení zařízení a vybrat:

  • Zobrazit sestavu – Zobrazí seznam zařízení, která zásadu přijala. Můžete vybrat zařízení, které chcete přejít k podrobnostem, a zobrazit jeho stav podle nastavení. Pak můžete vybrat nastavení a zobrazit o něm další informace, včetně dalších zásad, které spravují stejné nastavení, což může být zdrojem konfliktů.
  • Stav nastavení – Zobrazí nastavení spravovaná zásadami a počet úspěšných, chyb nebo konfliktů pro jednotlivá nastavení.

Portál Defender:

Můžete také monitorovat zásady Intune, které se použijí na portálu Microsoft Defender. Na portálu přejděte na Koncové body, rozbalte správu konfigurace a vyberte Zásady zabezpečení koncových bodů. Vyberte zásadu, abyste zobrazili její stav, a pak vyberte:

  • Přehled – zobrazí přehled skupin, na které se zásady použijí, nastavení zásad, která se použijí, a stav ohlášení zařízení.
  • Hodnoty nastavení zásad – Zobrazí nastavení nakonfigurovaná zásadami.
  • Stav nastavení zásad – Zobrazí nastavení spravovaná zásadou a počet úspěšných, chyb nebo konfliktů pro jednotlivá nastavení.
  • Použitá zařízení – Zobrazí zařízení, na která se zásada použije.
  • Přiřazeno Skupiny – Zobrazí skupiny, ke kterým jsou zásady přiřazeny.

Další informace najdete v tématu Správa zásad zabezpečení koncových bodů v Microsoft Defender for Endpoint v obsahu Defenderu.

Nejčastější dotazy a důležité informace

Frekvence ohlášení zařízení

Zařízení spravovaná touto funkcí se každých 90 minut přihlašují k aktualizaci zásad v Microsoft Intune.

Zařízení můžete ručně synchronizovat na vyžádání z portálu Microsoft Defender. Přihlaste se k portálu a přejděte na Zařízení. Vyberte zařízení spravované programem Microsoft Defender for Endpoint a pak vyberte tlačítko Synchronizace zásad:

Ručně synchronizujte zařízení spravovaná pomocí Microsoft Defender for Endpoint.

Tlačítko synchronizace zásad se zobrazí jenom u zařízení, která jsou úspěšně spravovaná pomocí Microsoft Defender for Endpoint.

Zařízení chráněná manipulací

Pokud je na zařízení zapnutá ochrana před falšováním, není možné upravit hodnoty nastavení chráněného před falšováním, aniž byste nejdřív zakázali ochranu před falšováním.

Filtry přiřazení a správa nastavení zabezpečení

Filtry přiřazení nejsou podporované pro zařízení komunikující prostřednictvím kanálu Microsoft Defender pro koncový bod. Filtry přiřazení se dají přidat do zásad, které by mohly cílit na tato zařízení, ale zařízení filtry přiřazení ignorují. Pro podporu filtru přiřazení musí být zařízení zaregistrované v Microsoft Intune.

Odstraňování a odebírání zařízení

Zařízení, která používají tento tok, můžete odstranit pomocí jedné ze dvou metod:

  • V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení, vyberte zařízení, které se zobrazuje MDEJoined nebo MDEManaged ve sloupci Spravováno, a pak vyberte Odstranit.
  • Zařízení můžete také odebrat z oboru Správa konfigurace ve službě Security Center.

Po odebrání zařízení z libovolného umístění se tato změna rozšíří do jiné služby.

Nejde povolit úlohu Správa zabezpečení pro Microsoft Defender for Endpoint v zabezpečení koncového bodu

I když toky počátečního zřizování může dokončit správce s oprávněními v obou službách, následující role stačí k dokončení konfigurací v každé samostatné službě:

  • Pro Microsoft Defender použijte roli Správce zabezpečení.
  • Pro Microsoft Intune použijte roli Endpoint Security Manager.

Připojená k Microsoft Entra (AADJ)

Zařízení, která jsou připojená ke službě Active Directory, používají k dokončení procesu hybridního připojení Microsoft Entra svoji stávající infrastrukturu.

Nepodporovaná nastavení zabezpečení

Následující nastavení zabezpečení čekají na vyřazení. Tok správy nastavení zabezpečení Defenderu pro koncový bod nepodporuje tato nastavení:

  • Urychlíte frekvenci generování sestav telemetrie (v části Detekce a odezva koncového bodu)
  • AllowIntrusionPreventionSystem (v části Antivirus)
  • Ochrana před falšováním (v části Prostředí zabezpečení Windows). Toto nastavení čeká na vyřazení, ale v současné době se nepodporuje.

Použití správy nastavení zabezpečení na řadičích domény

V současné době je na řadičích domény podporována správa nastavení zabezpečení ve verzi Preview. Pokud chcete spravovat nastavení zabezpečení na řadičích domény, musíte ho povolit na stránce rozsahu vynucení (přejděte na Nastavení>Rozsah vynucení koncových bodů). Windows Server zařízení musí být povolena před povolením konfigurace řadičů domény. Kromě toho platí, že pokud je pro Windows Servery vybraná možnost Na označených zařízeních , je konfigurace řadičů domény omezená také na označená zařízení.

Upozornění

  • Chybná konfigurace řadičů domény může mít negativní dopad na stav zabezpečení i provozní kontinuitu.
  • Pokud je ve vašem tenantovi povolená konfigurace řadičů domény, nezapomeňte si projít všechny zásady Windows a ujistit se, že necílíte neúmyslně Microsoft Entra skupiny zařízení, které obsahují řadiče domény. Aby se minimalizovalo riziko pro produktivitu, nejsou zásady brány firewall podporované na řadičích domény.
  • Před zrušením registrace těchto zařízení doporučujeme zkontrolovat všechny zásady cílené na řadiče domény. Nejprve proveďte požadované konfigurace a pak zrušte registraci řadičů domény. Konfigurace Defenderu for Endpoint se udržuje na každém zařízení i po zrušení registrace zařízení.

Režim omezení PowerShellu

PowerShell musí být povolený.

Správa nastavení zabezpečení nefunguje u zařízení s LanguageMode prostředí PowerShell nakonfigurovaným v ConstrainedLanguage režimu enabled. Další informace naleznete v dokumentaci životního cyklu PowerShell.

Správa zabezpečení prostřednictvím Defenderu for Endpoint, pokud jste dříve používali nástroj zabezpečení třetí strany

Pokud jste na počítači dříve měli nástroj pro zabezpečení třetí strany a teď ho spravujete pomocí Defenderu for Endpoint, může to mít ve výjimečných případech nějaký dopad na schopnost Defenderu for Endpoint spravovat nastavení zabezpečení. V takových případech v rámci řešení potíží odinstalujte a znovu nainstalujte nejnovější verzi Defenderu for Endpoint na vašem počítači.

Další kroky