Manipulatiebeveiliging voor uw organisatie beheren met behulp van Microsoft Intune

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender Antivirus
• Microsoft Defender voor Bedrijven
• Microsoft 365 Business Premium

Platforms

• Windows

Manipulatiebeveiliging helpt te voorkomen dat bepaalde beveiligingsinstellingen, zoals virus- en bedreigingsbeveiliging, worden uitgeschakeld of gewijzigd. Als u deel uitmaakt van het beveiligingsteam van uw organisatie en u Microsoft Intune gebruikt, kunt u de functie voor manipulatiebeveiliging voor uw organisatie beheren in het Intune-beheercentrum. U kunt ook Configuration Manager gebruiken. Met Intune of Configuration Manager kunt u de volgende taken uitvoeren:

• Schakel manipulatiebeveiliging in (of uit) voor sommige of alle apparaten.
• Bescherm Microsoft Defender Antivirus-uitsluitingen tegen manipulatie (aan bepaalde vereisten moet worden voldaan).

Belangrijk

Als u Microsoft Intune gebruikt om Defender for Endpoint-instellingen te beheren, moet u DisableLocalAdminMergetrue instellen op apparaten.

Wanneer manipulatiebeveiliging is ingeschakeld, kunnen instellingen voor manipulatiebeveiliging niet worden gewijzigd. Als u fouten in beheerervaringen wilt voorkomen, inclusief Intune (en Configuration Manager), moet u er rekening mee houden dat wijzigingen in instellingen met manipulatiebeveiliging kunnen slagen, maar worden geblokkeerd door manipulatiebeveiliging. Afhankelijk van uw specifieke scenario hebt u verschillende opties beschikbaar:

• Als u wijzigingen moet aanbrengen in een apparaat en de functie manipulatiebeveiliging deze wijzigingen blokkeert, raden we u aan de probleemoplossingsmodus te gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op het apparaat. Nadat de probleemoplossingsmodus is beëindigd, worden alle wijzigingen in instellingen met manipulatiebeveiliging teruggezet naar de geconfigureerde status.

• U kunt Intune of Configuration Manager gebruiken om apparaten uit te sluiten van manipulatiebeveiliging.

• Als u manipulatiebeveiliging beheert via Intune, kunt u met manipulatie beveiligde antivirusuitsluitingen wijzigen.

Vereisten voor het beheren van manipulatiebeveiliging in Intune

Vereiste	Details
Rollen en machtigingen	U moet de juiste machtigingen hebben die zijn toegewezen via rollen, zoals Beveiligingsbeheerder. Zie Microsoft Entra rollen met Intune-toegang.
Apparaatbeheer	Uw organisatie gebruikt Configuration Manager of Intune om apparaten te beheren. Co-beheerde apparaten worden niet ondersteund voor deze functie.
Intune licenties	Intune licenties zijn vereist. Zie Microsoft Intune licenties.
Besturingssysteem	Op Windows-apparaten moet Windows 10 versie 1709 of hoger of Windows 11 worden uitgevoerd. (Zie Release-informatie over Windows voor meer informatie over releases.) Zie Beveiligingsinstellingen voor macOS beveiligen met manipulatiebeveiliging voor Mac.
Beveiligingsanalyse	U moet Windows-beveiliging gebruiken met beveiligingsinformatie bijgewerkt naar versie 1.287.60.0 (of hoger).
Antimalwareplatform	Apparaten moeten gebruikmaken van een antimalwareplatformversie 4.18.1906.3 (of hoger) en de versie 1.1.15500.X van de antimalware-engine (of hoger). Zie Microsoft Defender Antivirus-updates beheren en basislijnen toepassen.
Microsoft Entra ID	Uw Intune- en Defender voor Eindpunt-tenants moeten dezelfde Microsoft Entra infrastructuur delen.
Defender voor Eindpunt	Uw apparaten moeten worden toegevoegd aan Defender voor Eindpunt.

Opmerking

Als apparaten niet zijn ingeschreven bij Microsoft Defender voor Eindpunt, wordt manipulatiebeveiliging weergegeven als Niet van toepassing totdat het onboardingproces is voltooid. Manipulatiebeveiliging kan voorkomen dat er wijzigingen in beveiligingsinstellingen optreden. Als u een foutcode met gebeurtenis-id 5013 ziet, raadpleegt u Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen.

Manipulatiebeveiliging inschakelen (of uitschakelen) in Microsoft Intune

1. Ga in het Intune-beheercentrum naar Endpoint Security>Antivirus en kies vervolgens + Beleid maken.

   • Selecteer Windows 10, Windows 11 en Windows Server in de lijst Platform.
   • Selecteer Windows-beveiliging ervaring in de lijst Profiel.

2. Maak een profiel met de volgende instelling:

   • TamperProtection (apparaat): aan

3. Voltooi het selecteren van opties en instellingen voor uw beleid.

4. Implementeer het beleid op apparaten.

Manipulatiebeveiliging voor antivirusuitsluitingen

Als uw organisatie uitsluitingen heeft gedefinieerd voor Microsoft Defender Antivirus, beschermt manipulatiebeveiliging deze uitsluitingen, mits aan alle volgende voorwaarden wordt voldaan:

Voorwaarde	Criteria
Microsoft Defender platform	Op apparaten wordt Microsoft Defender platform 4.18.2211.5 of hoger uitgevoerd. Zie Maandelijkse platform- en engineversies voor meer informatie.
DisableLocalAdminMerge montuur	Deze instelling wordt ook wel het samenvoegen van lokale lijsten voorkomen. DisableLocalAdminMergemoet zijn ingeschakeld, zodat instellingen die op een apparaat zijn geconfigureerd, niet worden samengevoegd met organisatiebeleid, zoals instellingen in Intune. Zie DisableLocalAdminMerge voor meer informatie.
Apparaatbeheer	Apparaten worden alleen beheerd in Intune of alleen met Configuration Manager. Inzicht moet zijn ingeschakeld.
Antivirusuitsluitingen	Microsoft Defender Antivirus-uitsluitingen worden beheerd in Microsoft Intune of Configuration Manager. Zie Instellingen voor Microsoft Defender Antivirusbeleid in Microsoft Intune voor Windows-apparaten voor meer informatie. Functionaliteit om Microsoft Defender antivirusuitsluitingen te beveiligen, is ingeschakeld op apparaten. Zie Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat voor meer informatie.

Opmerking

Wanneer Configuration Manager bijvoorbeeld uitsluitend wordt gebruikt om uitsluitingen te beheren en aan de vereiste voorwaarden wordt voldaan, worden uitsluitingen van Configuration Manager beveiligd tegen manipulatie. In dit geval hoeft u geen antivirusuitsluitingen te pushen met behulp van Microsoft Intune.

Zie Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus voor meer informatie over Microsoft Defender antivirusuitsluitingen.

Bepalen of antivirusuitsluitingen zijn beveiligd tegen manipulatie op een Windows-apparaat

U kunt een registersleutel gebruiken om te bepalen of de functionaliteit voor het beveiligen van Microsoft Defender Antivirus-uitsluitingen is ingeschakeld. In de volgende procedure wordt beschreven hoe u de beveiligingsstatus voor manipulatie kunt weergeven, maar niet kunt wijzigen.

1. Open register op een Windows-apparaat Editor. (Alleen-lezenmodus is prima; u bewerkt de registersleutel niet.)

2. Controleer de volgende registersleutelwaarden om te controleren of het apparaat alleen wordt beheerd door Intune of alleen wordt beheerd door Configuration Manager, waarbij Inzicht is ingeschakeld:

   • ManagedDefenderProductType (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender of HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (bevindt zich op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM of HKLM\SOFTWARE\Microsoft\SenseCM)

   De volgende tabel geeft een overzicht van de betekenis van de registersleutelwaarden:

   ManagedDefenderProductType waarde	EnrollmentStatus waarde	Wat de waarde betekent
   6	(elke waarde)	Het apparaat wordt alleen beheerd met Intune. (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
   7	4	Het apparaat wordt beheerd met Configuration Manager. (Voldoet aan een vereiste voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
   7	3	Het apparaat wordt mede beheerd met Configuration Manager en Intune. (Dit wordt niet ondersteund voor uitsluitingen die moeten worden beveiligd tegen manipulatie.)
   Een andere waarde dan 6 of 7	(elke waarde)	Het apparaat wordt niet alleen beheerd door Intune of alleen Configuration Manager. (Uitsluitingen zijn niet beveiligd tegen manipulatie.)

3. Als u wilt controleren of manipulatiebeveiliging is geïmplementeerd en dat uitsluitingen beveiligd zijn tegen manipulatie, controleert u de TPExclusions registersleutel (op Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features of HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Wat de waarde betekent
   1	Aan de vereiste voorwaarden wordt voldaan en de nieuwe functionaliteit voor het beveiligen van uitsluitingen is ingeschakeld op het apparaat. (Uitsluitingen zijn beveiligd tegen manipulatie.)
   0	Manipulatiebeveiliging beschermt momenteel geen uitsluitingen op het apparaat. (Als aan alle vereisten wordt voldaan en deze status onjuist lijkt, neemt u contact op met de ondersteuning.)

Voorzichtigheid

Wijzig de waarde van de registersleutels niet. Gebruik de voorgaande procedure alleen voor informatie. Het wijzigen van sleutels heeft geen invloed op de vraag of manipulatiebeveiliging van toepassing is op uitsluitingen.

Zie ook

• Veelgestelde vragen (veelgestelde vragen) over manipulatiebeveiliging
• Defender voor Eindpunt op niet-Windows-apparaten
• Problemen met manipulatiebeveiliging oplossen
• Microsoft Defender voor Eindpunt op apparaten beheren met Microsoft Intune

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.