Administrer manipuleringsbeskyttelse for organisasjonen ved hjelp av Microsoft Intune

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus
• Microsoft Defender for Business
• Microsoft 365 Business Premium

Plattformer

• Windows

Manipuleringsbeskyttelse bidrar til å beskytte visse sikkerhetsinnstillinger, for eksempel virus- og trusselbeskyttelse, mot å bli deaktivert eller endret. Hvis du er en del av organisasjonens sikkerhetsteam, og du bruker Microsoft Intune, kan du administrere manipuleringsfunksjonen for organisasjonen i administrasjonssenteret for Intune. Du kan også bruke Configuration Manager. Med Intune eller Configuration Manager kan du utføre følgende oppgaver:

• Aktiver eller deaktiver manipuleringsbeskyttelse for noen eller alle enheter.
• Beskytt Microsoft Defender Antivirus-utelukkelser fra manipulering (visse krav må oppfylles).

Viktig

Hvis du bruker Microsoft Intune til å administrere Defender for endepunktinnstillinger, må du angi DisableLocalAdminMerge til true på enheter.

Når beskyttelse mot manipulering er aktivert, kan ikke innstillinger som er beskyttet av manipulering , endres. Hvis du vil unngå å bryte administrasjonsopplevelser, inkludert Intune (og Configuration Manager), må du huske på at endringer i manipuleringsbeskyttede innstillinger kan se ut til å lykkes, men blokkeres av manipuleringsbeskyttelse. Avhengig av hvilket scenario du har, har du flere tilgjengelige alternativer:

• Hvis du må gjøre endringer på en enhet, og funksjonen for manipuleringsbeskyttelse blokkerer disse endringene, anbefaler vi at du bruker feilsøkingsmodus for midlertidig å deaktivere beskyttelse av manipulering på enheten. Når feilsøkingsmodusen er over, tilbakestilles eventuelle endringer i innstillinger som er beskyttet av manipulering, til konfigurert tilstand.

• Du kan bruke Intune eller Configuration Manager til å utelate enheter fra manipuleringsbeskyttelse.

• Hvis du administrerer manipuleringsbeskyttelse gjennom Intune, kan du endre manipuleringsbeskyttede antivirusutelukker.

Krav til administrasjon av manipuleringsbeskyttelse i Intune

Krav	Detaljer
Roller og tillatelser	Du må ha riktige tillatelser tilordnet gjennom roller, for eksempel sikkerhetsadministrator. Se Microsoft Entra roller med Intune tilgang.
Enhetsbehandling	Organisasjonen bruker Configuration Manager eller Intune til å administrere enheter. Co-administrerte enheter støttes ikke for denne funksjonen.
Intune lisenser	Intune lisenser kreves. Se Microsoft Intune lisensiering.
Operativsystem	Windows-enheter må kjøre Windows 10 versjon 1709 eller nyere eller Windows 11. (Hvis du vil ha mer informasjon om utgivelser, kan du se utgivelsesinformasjon for Windows.) For Mac kan du se Beskytte macOS-sikkerhetsinnstillinger med manipuleringsbeskyttelse.
Sikkerhetsintelligens	Du må bruke Windows-sikkerhet med sikkerhetsintelligens oppdatert til versjon 1.287.60.0 (eller nyere).
Plattform for beskyttelse mot skadelig programvare	Enheter må bruke plattformversjon 4.18.1906.3 for beskyttelse mot skadelig programvare (eller nyere) og anti-malware-motorversjon 1.1.15500.X (eller nyere). Se Administrere Microsoft Defender antivirusoppdateringer og bruke opprinnelige planer.
Microsoft Entra ID	Tenantene Intune og Defender for Endpoint må dele samme Microsoft Entra infrastruktur.
Defender for endepunkt	Enhetene må være koblet til Defender for endepunkt.

Obs!

Hvis enheter ikke er registrert i Microsoft Defender for endepunkt, vises manipuleringsbeskyttelsen som Gjelder ikke før pålastingsprosessen er fullført. Manipuleringsbeskyttelse kan forhindre at endringer i sikkerhetsinnstillingene oppstår. Hvis du ser en feilkode med hendelses-ID 5013, kan du se Se gjennom hendelseslogger og feilkoder for å feilsøke problemer med Microsoft Defender Antivirus.

Aktivere eller deaktivere manipuleringsbeskyttelse i Microsoft Intune

1. Gå til antivirusprogrammet for endepunktsikkerhet> i administrasjonssenteret for Intune, og velg deretter + Opprett policy.

   • Velg Windows 10, Windows 11 og Windows Server fra plattformlisten.
   • Velg Windows Sikkerhet opplevelse i profillisten.

2. Opprett en profil som inneholder følgende innstilling:

   • TamperProtection (enhet): På

3. Fullfør valg av alternativer og innstillinger for policyen.

4. Distribuer policyen til enheter.

Manipuleringsbeskyttelse for antivirusutelukkelser

Hvis organisasjonen har utelatelser definert for Microsoft Defender Antivirus, beskytter beskyttelse mot manipulering disse utelukkelsene, forutsatt at alle følgende betingelser er oppfylt:

Betingelse	Kriterier
Microsoft Defender plattform	Enheter kjører Microsoft Defender plattform 4.18.2211.5 eller nyere. Hvis du vil ha mer informasjon, kan du se Månedsplattform og motorversjoner.
DisableLocalAdminMerge innstilling	Denne innstillingen er også kjent for å hindre sammenslåing av lokal liste. DisableLocalAdminMergemå være aktivert slik at innstillinger som er konfigurert på en enhet, ikke slås sammen med organisasjonspolicyer, for eksempel innstillinger i Intune. Hvis du vil ha mer informasjon, kan du se DisableLocalAdminMerge.
Enhetsbehandling	Enheter administreres enten bare i Intune, eller administreres bare med Configuration Manager. Sans må være aktivert.
Antivirusutelukkelser	Microsoft Defender Antivirus-utelatelser administreres i Microsoft Intune eller Configuration Manager. Hvis du vil ha mer informasjon, kan du se Innstillinger for Microsoft Defender antiviruspolicy i Microsoft Intune for Windows-enheter. Funksjonalitet for å beskytte Microsoft Defender Antivirus-utelatelser er aktivert på enheter. Hvis du vil ha mer informasjon, kan du se Hvordan du fastslår om antivirusutelukkelser er ulovlig beskyttet på en Windows-enhet.

Obs!

Når for eksempel Configuration Manager brukes utelukkende til å administrere utelatelser og de nødvendige betingelsene er oppfylt, beskyttes utelukkelser fra Configuration Manager. I dette tilfellet er det ikke nødvendig å sende antivirusutelukkelser ved hjelp av Microsoft Intune.

Hvis du vil ha mer detaljert informasjon om Microsoft Defender antivirusutelukkelser, kan du se Utelatelser for Microsoft Defender for endepunkt og Microsoft Defender Antivirus.

Slik fastslår du om antivirusutelukkelser er ulovlig beskyttet på en Windows-enhet

Du kan bruke en registernøkkel til å finne ut om funksjonaliteten for å beskytte Microsoft Defender antivirusutelukkelse er aktivert. Følgende fremgangsmåte beskriver hvordan du viser, men ikke endrer, manipuleringsbeskyttelsesstatus.

1. Åpne Register-Redaktør på en Windows-enhet. (Skrivebeskyttet modus er helt greit. Du redigerer ikke registernøkkelen.)

2. Hvis du vil bekrefte at enheten bare administreres av Intune eller administreres av Configuration Manager, med Sense aktivert, kontrollerer du følgende registernøkkelverdier:

   • ManagedDefenderProductType (plassert på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (plassert på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

   Tabellen nedenfor oppsummerer hva registernøkkelverdiene betyr:

   ManagedDefenderProductType verdi	EnrollmentStatus verdi	Hva verdien betyr
   6	(hvilken som helst verdi)	Enheten administreres bare med Intune. (Oppfyller et krav om at utelukkelser skal være ulovlig beskyttet.)
   7	4	Enheten administreres med Configuration Manager. (Oppfyller et krav om at utelukkelser skal være ulovlig beskyttet.)
   7	3	Enheten administreres samtidig med Configuration Manager og Intune. (Dette støttes ikke for at utelukkelser skal være ulovlig beskyttet.)
   En annen verdi enn 6 eller 7	(hvilken som helst verdi)	Enheten administreres ikke bare av Intune eller Configuration Manager. (Unntak er ikke ulovlig beskyttet.)

3. Hvis du vil bekrefte at manipuleringsbeskyttelse distribueres og at utelatelser er ulovlig beskyttet, må du kontrollere registernøkkelen TPExclusions (plassert på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Hva verdien betyr
   1	De nødvendige betingelsene er oppfylt, og den nye funksjonaliteten for å beskytte utelatelser er aktivert på enheten. (Unntak er manipuleringsbeskyttet.)
   0	Manipuleringsbeskyttelse beskytter for øyeblikket ikke utelukkelser på enheten. (Hvis alle kravene er oppfylt og denne tilstanden virker feil, kontakter du kundestøtte.)

Forsiktig!

Ikke endre verdien for registernøklene. Bruk den foregående prosedyren bare for informasjon. Endring av nøkler har ingen innvirkning på om manipuleringsbeskyttelse gjelder for unntak.

Se også

• Vanlige spørsmål om manipuleringsbeskyttelse
• Defender for endepunkt på ikke-Windows-enheter
• Feilsøke problemer med manipuleringsbeskyttelse
• Administrer Microsoft Defender for endepunkt på enheter med Microsoft Intune

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.