Hallitse organisaatiosi peukaloinnin suojausta Microsoft Intune avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta
• Microsoft Defender for Business
• Microsoft 365 Business Premium

Käyttöympäristöt

• Windows

Peukaloinnin suojaus auttaa suojaamaan tiettyjä suojausasetuksia, kuten viruksia ja uhkien suojausta, pois käytöstä poistamiselta tai muuttamiselta. Jos kuulut organisaatiosi suojaustiimiin ja käytät Microsoft Intune, voit hallita organisaatiosi peukalointisuojausta Intune hallintakeskuksessa. Voit myös käyttää Configuration Manager. Intune tai Configuration Manager avulla voit suorittaa seuraavia tehtäviä:

• Ota peukaloinnin suojaus käyttöön (tai poista se käytöstä) joillekin laitteille tai kaikille laitteille.
• Suojaa virustentorjuntaohjelman Microsoft Defender pois peukaloinnilta (tietyt vaatimukset on täytettävä).

Tärkeää

Jos käytät Microsoft Intune Defender for Endpoint -asetusten hallintaan, muista määrittää DisableLocalAdminMerge-arvoksi laitteissatrue.

Kun peukaloinnin suojaus on käytössä, peukaloinnilla suojattuja asetuksia ei voi muuttaa. Jos haluat välttää hallintakokemusten katkeamisen, mukaan lukien Intune (ja Configuration Manager), muista, että peukaloinnilla suojattujen asetusten muutokset saattavat näyttää onnistuvan, mutta peukalointisuojaus estää ne. Käytettävissäsi on useita vaihtoehtoja skenaariostasi riippuen:

• Jos sinun on tehtävä muutoksia laitteeseen ja peukalointisuojaus estää kyseiset muutokset, suosittelemme vianmääritystilan avulla laitteen peukalointisuojauksen tilapäistä käytöstä poistamista. Huomaa, että vianmääritystilan päätyttyä peukaloinnilla suojattuihin asetuksiin tehdyt muutokset palautetaan määritettyihin tilaan.

• Voit Intune tai Configuration Manager avulla estää laitteita käyttämästä peukalointisuojausta.

• Jos hallitset peukalointisuojausta Intune avulla, voit muuttaa peukaloinnilla suojattuja virustentorjuntaan liittyvät poikkeukset.

Peukaloinnin suojausta koskevat vaatimukset Intune

Vaatimus	Tiedot
Roolit ja käyttöoikeudet	Sinulla on oltava oikeudet, jotka on määritetty esimerkiksi suojauksen järjestelmänvalvojan kautta. Katso roolien Microsoft Entra Intune käyttö.
Laitehallinta	Organisaatiosi käyttää Configuration Manager tai Intune laitteiden hallintaan. Co-Managed laitteita ei tueta tässä ominaisuudessa.
Intune käyttöoikeuksia	Intune käyttöoikeuksia vaaditaan. Katso Microsoft Intune käyttöoikeudet.
Käyttöjärjestelmä	Windows-laitteissa on oltava käytössä Windows 10 versio 1709 tai uudempi versio tai Windows 11. (Lisätietoja julkaisuista on kohdassa Windowsin julkaisutiedot.) Macille katso MacOS-suojausasetusten suojaaminen peukaloinnin suojauksella.
Suojaustiedot	Käytössäsi on oltava Windowsin suojaustiedot , jotka on päivitetty versioon 1.287.60.0 (tai uudempaan).
Haittaohjelmien torjuntaympäristö	Laitteissa on käytettävä haittaohjelmien torjuntaympäristön versiota 4.18.1906.3 (tai uudempaa versiota) ja haittaohjelmien torjuntaohjelman versiota (tai uudempaa versiota 1.1.15500.X ). Katso Microsoft Defender virustentorjuntapäivitysten hallinta ja ota käyttöön perusaikataulut.
Microsoft Entra ID	Intune- ja Defender for Endpoint -vuokraajilla on oltava sama Microsoft Entra infrastruktuuri.
Defender for Endpoint	Laitteesi on otettava käyttöön Defender for Endpointissa.

Huomautus

Jos laitteita ei ole rekisteröity Microsoft Defender for Endpoint, peukaloinnin suojaus näkyy Ei käytettävissä, ennen kuin perehdytysprosessi on valmis. Peukaloinnin suojaus voi estää suojausasetusten muutosten ilmenemisen. Jos näet virhekoodin, jonka tunnus on Tapahtumatunnus 5013, katso tapahtumalokien ja virhekoodien tarkastelu Microsoft Defender virustentorjuntaan liittyvien ongelmien vianmääritystä.

Peukaloinnin suojauksen ottaminen käyttöön (tai poistaminen käytöstä) Microsoft Intune

1. Siirry Intune hallintakeskuksessa kohtaan Päätepisteen suojauksen>virustentorjunta ja valitse sitten + Luo käytäntö.

   • Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server.
   • Valitse Profiili-luettelostaWindowsin suojaus kokemus.

2. Luo profiili, joka sisältää seuraavan asetuksen:

   • TamperProtection (laite): Käytössä

3. Viimeistele käytäntösi asetusten ja asetusten valitseminen.

4. Ota käytäntö käyttöön laitteissa.

Virustentorjunnan poissulkemisten peukalointisuojaus

Jos organisaatiollesi on määritetty poissulkemisia Microsoft Defender virustentorjuntaa varten, peukalointisuojaus suojaa nämä poikkeukset, kunhan kaikki seuraavat ehdot täyttyvät:

Ehto	Kriteerit
Microsoft Defender-ympäristö	Laitteissa on käytössä Microsoft Defender käyttöympäristö 4.18.2211.5 tai uudempi versio. Lisätietoja on kohdassa Kuukausittaiset käyttöympäristö- ja moduuliversiot.
DisableLocalAdminMerge asetus	Tätä asetusta kutsutaan myös paikallisten luetteloiden yhdistämisen estämiseksi. DisableLocalAdminMergeon otettava käyttöön, jotta laitteessa määritettyjä asetuksia ei yhdistetä organisaation käytäntöihin, kuten Intune asetuksiin. Lisätietoja on kohdassa DisableLocalAdminMerge.
Laitehallinta	Laitteita hallitaan joko vain Intune tai vain Configuration Manager. Aisti on otettava käyttöön.
Virustentorjunnan poikkeukset	Microsoft Defender virustentorjunnan poissulkemisia hallitaan Microsoft Intune tai Configuration Manager. Lisätietoja on artikkelissa Windows-laitteiden Microsoft Intune Microsoft Defender virustentorjuntakäytännön asetukset. Toiminnot, jotka suojaavat Microsoft Defender virustentorjunnan poikkeukset on otettu käyttöön laitteissa. Lisätietoja on ohjeaiheessa Virustentorjunnan poissulkemisten suojaus Windows-laitteessa.

Huomautus

Jos esimerkiksi Configuration Manager käytetään yksinomaan poissulkemisten hallintaan ja pakolliset ehdot täyttyvät, Configuration Manager poissulkemiset suojataan peukaloinnilla. Tässä tapauksessa virustentorjuntaan ei tarvitse lähettää poissulkemisia käyttämällä Microsoft Intune.

Lisätietoja virustentorjunnan poissulkemisten Microsoft Defender on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poikkeukset.

Miten määritetään, suojataanko virustentorjuntaan liittyvät poikkeukset Windows-laitteessa

Rekisteriavaimen avulla voit määrittää, onko virustentorjunnan poissulkemisten Microsoft Defender suojaava toiminto käytössä. Seuraavassa ohjeartikkelissa kuvataan, miten voit tarkastella peukaloinnin suojaustilaa, mutta ei muuttaa sitä.

1. Avaa Windows-laitteessa Rekisterin Kirjoitusavustaja. (Vain luku -tila ei kelpaa, et muokkaa rekisteriavainta.)

2. Jos haluat varmistaa, että laitetta hallitsee vain Intune tai että sitä hallitaan vain Configuration Manager Sense-näppäimen ollessa käytössä, tarkista seuraavat rekisteriavainarvot:

   • ManagedDefenderProductType (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender tai HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM tai HKLM\SOFTWARE\Microsoft\SenseCM)

   Seuraavassa taulukossa on yhteenveto siitä, mitä rekisteriavainarvot tarkoittavat:

   ManagedDefenderProductType arvo	EnrollmentStatus arvo	Mitä arvo tarkoittaa?
   6	(mikä tahansa arvo)	Laitetta hallitaan vain Intune. (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
   7	4	Laitetta hallitaan Configuration Manager. (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
   7	3	Laitetta hallitaan yhdessä Configuration Manager ja Intune kanssa. (Tätä ei tueta, jos poissulkemiset suojataan peukaloinnilla.)
   Arvo, joka on muu kuin 6 tai 7	(mikä tahansa arvo)	Laitetta ei hallita vain Intune tai vain Configuration Manager. (Poissulkemisia ei suojata peukaloinnilla.)

3. Jos haluat varmistaa, että peukalointisuojaus on käytössä ja että poikkeukset on suojattu peukaloinnilla, tarkista TPExclusions rekisteriavain (sijainnissa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features tai HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Mitä arvo tarkoittaa?
   1	Pakolliset ehdot täyttyvät, ja uusi toiminnallisuus poissulkemisten suojaamiseksi on käytössä laitteessa. (Poikkeukset on suojattu peukaloinnilla.)
   0	Peukaloinnin suojaus ei tällä hetkellä suojaa laitteen poissulkemisia. (Jos kaikki vaatimukset täyttyvät ja tämä tila vaikuttaa virheellisltä, ota yhteyttä tukeen.)

Varoitus

Älä muuta rekisteriavainten arvoa. Käytä edellä olevaa toimintosarjaa vain tiedoksi. Avainten vaihtamisella ei ole vaikutusta siihen, sovelletaanko peukalointisuojausta poissulkemisiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Usein kysyttyjä kysymyksiä peukaloinnin suojauksesta
• Defender for Endpoint muissa kuin Windows-laitteissa
• Peukaloinnin suojausongelmien vianmääritys
• Microsoft Defender for Endpoint hallinta laitteissa Microsoft Intune avulla

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.