Zasady ochrony antywirusowej dla zabezpieczeń punktu końcowego w Intune

Intune zasady ochrony antywirusowej zabezpieczeń punktu końcowego mogą pomóc administratorom zabezpieczeń skupić się na zarządzaniu odrębną grupą ustawień programu antywirusowego dla urządzeń zarządzanych.

Zasady ochrony antywirusowej obejmują kilka profilów. Każdy profil zawiera tylko ustawienia, które są istotne dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender dla urządzeń z systemem macOS i Windows lub środowiska użytkownika w aplikacji Zabezpieczenia Windows na urządzeniach z systemem Windows.

Zasady ochrony antywirusowej znajdują się w obszarze Zarządzanie w węźle Zabezpieczenia punktu końcowego centrum administracyjnego Microsoft Intune.

Zasady ochrony antywirusowej obejmują te same ustawienia, co znalezione szablony ochrony punktu końcowego lub ograniczeń urządzenia dla zasad konfiguracji urządzeń . Jednak te typy zasad obejmują dodatkowe kategorie ustawień, które nie są związane z programem antywirusowym. Dodatkowe ustawienia mogą skomplikować zadanie konfigurowania obciążenia programu antywirusowego. Ponadto ustawienia znalezione w zasadach ochrony antywirusowej dla systemu macOS nie są dostępne za pośrednictwem innych typów zasad. Profil antywirusowy systemu macOS zastępuje konieczność konfigurowania ustawień przy użyciu .plist plików.

Dotyczy:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (za pośrednictwem scenariusza zarządzania ustawieniami zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender)

Wymagania wstępne dotyczące zasad ochrony antywirusowej

Obsługa zarejestrowanych urządzeń Microsoft Intune (MDM):

• macOS

  • Dowolna obsługiwana wersja systemu macOS
  • Aby Intune do zarządzania ustawieniami programu antywirusowego na urządzeniu, na tym urządzeniu należy zainstalować Ochrona punktu końcowego w usłudze Microsoft Defender. Widzieć. Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu macOS (w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender)

• Windows

  • Nie są wymagane żadne dodatkowe wymagania wstępne.

Obsługa klientów Configuration Manager:

Ten scenariusz jest w wersji zapoznawczej i wymaga użycia Configuration Manager bieżącej wersji gałęzi 2006 lub nowszej.

• Konfigurowanie dołączania dzierżawy dla urządzeń Configuration Manager — aby obsługiwać wdrażanie zasad ochrony antywirusowej na urządzeniach zarządzanych przez Configuration Manager, skonfiguruj dołączanie dzierżawy. Konfigurowanie dołączania dzierżawy obejmuje konfigurowanie kolekcji urządzeń Configuration Manager w celu obsługi zasad zabezpieczeń punktu końcowego z Intune.

  Aby skonfigurować dołączanie dzierżawy, zobacz Konfigurowanie dołączania dzierżawy do zasad ochrony punktu końcowego.

Obsługa klientów Ochrona punktu końcowego w usłudze Microsoft Defender:

• Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint — aby skonfigurować obsługę wdrażania zasad ochrony antywirusowej na urządzeniach zarządzanych przez usługę Defender, ale niezarejestrowanych w usłudze Intune, zobacz Zarządzanie Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach z Microsoft Intune. Ten artykuł zawiera również informacje o platformach obsługiwanych przez tę funkcję oraz o zasadach i profilach obsługiwanych przez te platformy.

Kontrola dostępu oparta na rolach (RBAC)

Aby uzyskać wskazówki dotyczące przypisywania odpowiedniego poziomu uprawnień i praw do zarządzania zasadami ochrony antywirusowej Intune, zobacz Assign-role-based-access-controls-for-endpoint-security-policy (Przypisywanie zasad kontroli dostępu na podstawie ról dla punktu końcowego).

Wymagania wstępne dotyczące ochrony przed naruszeniami

Ochrona przed naruszeniami jest dostępna dla urządzeń z jednym z następujących systemów operacyjnych:

• macOS (dowolna obsługiwana wersja)
• Windows 10 i 11 (w tym wiele sesji enterprise)
• Windows Server w wersji 1803 lub nowszej, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 i Windows Server 2016 (przy użyciu nowoczesnego, ujednoliconego rozwiązania)

Uwaga

Urządzenia muszą być dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender (P1 lub P2). Jeśli urządzenia nie zostały wcześniej dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender, może wystąpić opóźnienie włączania ochrony przed naruszeniami. Ochrona przed naruszeniami zostanie włączona podczas pierwszego zaewidencjonowania urządzenia po dołączeniu do Ochrona punktu końcowego w usłudze Microsoft Defender.

Za pomocą Intune można zarządzać ochroną przed naruszeniami na urządzeniach z systemem Windows w ramach profilu środowiska Zabezpieczenia Windows (zasad ochrony antywirusowej). Obejmuje to zarówno urządzenia zarządzane za pomocą Intune, jak i urządzenia zarządzane za pomocą Configuration Manager za pośrednictwem scenariusza dołączania dzierżawy. Ochrona przed naruszeniami jest teraz również dostępna dla usługi Azure Virtual Desktop.

urządzenia zarządzane Intune

Wymagania wstępne dotyczące obsługi ochrony przed naruszeniami urządzeń zarządzanych przez Intune:

• Środowisko musi spełniać wymagania wstępne dotyczące zarządzania ochroną przed naruszeniami za pomocą Intune
• Urządzenia są dołączane do Ochrona punktu końcowego w usłudze Microsoft Defender (P1 lub P2)

Profile zasad ochrony antywirusowej obsługujące ochronę przed naruszeniami urządzeń zarządzanych przez Microsoft Intune:

• Platforma: Windows

  • Profil: środowisko Zabezpieczenia Windows

  Uwaga

  Począwszy od 5 kwietnia 2022 r., platforma Windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server, która jest teraz nazywana bardziej po prostu systemem Windows.

  Platforma systemu Windows obsługuje urządzenia komunikujące się z Intune za pośrednictwem Microsoft Intune lub Ochrona punktu końcowego w usłudze Microsoft Defender. Te profile dodają również obsługę platformy systemu Windows Server, która nie jest obsługiwana za pośrednictwem Microsoft Intune natywnie.

  Profile dla tej nowej platformy używają formatu ustawień, jak można znaleźć w katalogu ustawień. Każdy nowy szablon profilu dla tej nowej platformy zawiera te same ustawienia co starszy szablon profilu, który zastępuje. Dzięki tej zmianie nie można już tworzyć nowych wersji starych profilów. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.

Możesz również użyć profilu ochrony punktu końcowego dla zasad konfiguracji urządzenia, aby skonfigurować ochronę przed naruszeniami dla urządzeń zarządzanych przez Intune.

Configuration Manager klientów zarządzanych za pośrednictwem scenariusza dołączania dzierżawy

Wymagania wstępne dotyczące obsługi zarządzania ochroną przed naruszeniami przy użyciu następujących profilów:

• Środowisko musi spełniać wymagania wstępne dotyczące zarządzania ochroną przed naruszeniami za pomocą Intune zgodnie z opisem w dokumentacji systemu Windows.
• Należy użyć Configuration Manager bieżącej gałęzi 2006 lub nowszej.
• Aby obsługiwać zasady ochrony punktu końcowego, należy skonfigurować dołączanie dzierżawy. Obejmuje to konfigurowanie kolekcji urządzeń Configuration Manager na potrzeby synchronizacji z Intune.
• Urządzenia są dołączane do Ochrona punktu końcowego w usłudze Microsoft Defender (P1 lub P2)

Profile zasad ochrony antywirusowej, które obsługują ochronę przed naruszeniami dla urządzeń zarządzanych przez Configuration Manager:

• Platforma: Windows (ConfigMgr)
  • Profil: środowisko Zabezpieczenia Windows (wersja zapoznawcza)

Profile programu antywirusowego

Urządzenia zarządzane przez Microsoft Intune

Następujące profile są obsługiwane w przypadku urządzeń zarządzanych za pomocą Intune:

macOS:

• Platforma: macOS

  • Profil: Program antywirusowy — zarządzanie ustawieniami zasad ochrony antywirusowej dla systemu macOS.

    Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender dla komputerów Mac, możesz skonfigurować i wdrożyć ustawienia programu antywirusowego na zarządzanych urządzeniach z systemem macOS za pośrednictwem Intune zamiast konfigurować te ustawienia przy użyciu plików.plist.

Windows:

• Platforma: Windows
  Profilów dla tej platformy można używać z urządzeniami zarejestrowanymi w Intune i urządzeniami zarządzanymi za pośrednictwem usługi Security Management dla Ochrona punktu końcowego w usłudze Microsoft Defender.

  Uwaga

  Począwszy od 5 kwietnia 2022 r., platforma Windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server, która jest teraz nazywana bardziej po prostu systemem Windows.

  Platforma systemu Windows obsługuje urządzenia komunikujące się z Intune za pośrednictwem Microsoft Intune lub Ochrona punktu końcowego w usłudze Microsoft Defender. Te profile dodają również obsługę platformy systemu Windows Server, która nie jest obsługiwana za pośrednictwem Microsoft Intune natywnie.

  Profile dla tej nowej platformy używają formatu ustawień, jak można znaleźć w katalogu ustawień. Każdy nowy szablon profilu dla tej nowej platformy zawiera te same ustawienia co starszy szablon profilu, który zastępuje. Dzięki tej zmianie nie można już tworzyć nowych wersji starych profilów. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.

  • Profil: program antywirusowy Microsoft Defender — zarządzanie ustawieniami zasad ochrony antywirusowej dla urządzeń z systemem Windows.

    Program antywirusowy Defender jest składnikiem ochrony nowej generacji Ochrona punktu końcowego w usłudze Microsoft Defender. Ochrona nowej generacji łączy technologie, takie jak uczenie maszynowe i infrastruktura chmury, aby chronić urządzenia w organizacji przedsiębiorstwa.

    Profil programu antywirusowego Microsoft Defender to oddzielne wystąpienie ustawień programu antywirusowego, które znajdują się w profilu ograniczenia urządzenia dla zasad konfiguracji urządzenia.

    W przeciwieństwie do ustawień programu antywirusowego w profilu ograniczeń urządzenia można używać tych ustawień z urządzeniami, które są współzarządzane. Aby użyć tych ustawień, suwak obciążenia współzarządzania dla programu Endpoint Protection musi być ustawiony na Intune.

  • Profil: Microsoft Defender wykluczeń programu antywirusowego — zarządzanie ustawieniami zasad tylko dla wykluczenia programu antywirusowego.

    Dzięki tym zasadom można zarządzać ustawieniami następujących dostawców usług konfiguracji programu antywirusowego Microsoft Defender, którzy definiują wykluczenia programu antywirusowego:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Te dostawcy CSP do wykluczania oprogramowania antywirusowego są również zarządzane przez zasady programu antywirusowego Microsoft Defender, które obejmują identyczne ustawienia wykluczeń. Ustawienia obu typów zasad (wykluczenia programów antywirusowych i antywirusowych) podlegają scalaniu zasad i tworzą super zestaw wykluczeń dla odpowiednich urządzeń i użytkowników.

    Ostrzeżenie

    Definiowanie wykluczeń obniża ochronę oferowaną przez program antywirusowy Microsoft Defender. Zawsze oceniaj ryzyko związane z implementowaniem wykluczeń. Wykluczaj tylko pliki, o których wiesz, że nie są złośliwe.

    Aby uzyskać więcej informacji, zobacz Omówienie wykluczeń w dokumentacji Microsoft Defender.

  • Profil: Zabezpieczenia Windows środowisko — zarządzanie ustawieniami aplikacji Zabezpieczenia Windows, które użytkownicy końcowi mogą wyświetlać w centrum zabezpieczeń Microsoft Defender i otrzymywanych powiadomień.

    Aplikacja zabezpieczeń systemu Windows jest używana przez wiele funkcji zabezpieczeń systemu Windows do dostarczania powiadomień o kondycji i zabezpieczeniach maszyny. Powiadomienia aplikacji zabezpieczeń obejmują zapory, produkty antywirusowe, filtr Windows Defender SmartScreen i inne.

  • Profil: Kontrolki aktualizacji usługi Defender — zarządzanie ustawieniami aktualizacji dla Microsoft Defender, w tym następującymi ustawieniami pobieranymi bezpośrednio z dostawcy usług kryptograficznych usługi Defender:

    • Kanał Aktualizacje aparatu
    • Kanał Aktualizacje platformy
    • Kanał Aktualizacje analizy zabezpieczeń

Urządzenia zarządzane przez Configuration Manager

Program antywirusowy

Zarządzaj ustawieniami programu antywirusowego dla urządzeń Configuration Manager, gdy używasz dołączania dzierżawy.

Ścieżka zasad:

• Program antywirusowy > zabezpieczeń > punktu końcowego — Windows (ConfigMgr)

Profile:

• program antywirusowy Microsoft Defender (wersja zapoznawcza)
• środowisko Zabezpieczenia Windows (wersja zapoznawcza)

Wymagana wersja Configuration Manager:

• Configuration Manager bieżącej wersji gałęzi 2006 lub nowszej

Obsługiwane platformy urządzeń Configuration Manager:

• Windows 8.1 (x86, x64), począwszy od Configuration Manager wersji 2010
• Windows 10 lub nowszy (x86, x64, ARM64)
• Windows 11 i nowsze (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), począwszy od Configuration Manager wersji 2010
• Windows Server 2016 i nowsze (x64)

Ważna

22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

Scalanie zasad dla ustawień

Niektóre ustawienia zasad ochrony antywirusowej obsługują scalanie zasad. Scalanie zasad pomaga uniknąć konfliktów, gdy wiele zasad ma zastosowanie do tych samych urządzeń i konfiguruje to samo ustawienie. Intune ocenia ustawienia obsługiwane przez scalanie zasad dla każdego użytkownika lub urządzenia zgodnie ze wszystkimi odpowiednimi zasadami. Te ustawienia są następnie scalane w jeden nadzbiór zasad.

Na przykład utworzysz trzy oddzielne zasady ochrony antywirusowej, które definiują różne wykluczenia ścieżek plików antywirusowych. Ostatecznie wszystkie trzy zasady są przypisane do tego samego użytkownika. Ponieważ dostawca CSP wykluczania ścieżki pliku Microsoft Defender obsługuje scalanie zasad, Intune ocenia i łączy wykluczenia plików ze wszystkich odpowiednich zasad dla użytkownika. Wykluczenia są dodawane do nadzbioru, a pojedyncza lista wykluczeń jest dostarczana do urządzenia użytkowników.

Jeśli scalanie zasad nie jest obsługiwane dla ustawienia, może wystąpić konflikt. Konflikty mogą spowodować, że użytkownik lub urządzenie nie otrzyma żadnych zasad dla tego ustawienia. Na przykład scalanie zasad nie obsługuje dostawcy CSP w celu zapobiegania instalacji pasujących identyfikatorów urządzeń (PreventInstallationOfMatchingDeviceIDs). Konfiguracje dla tego dostawcy CSP nie są scalane i są przetwarzane oddzielnie.

Po przetworzeniu oddzielnie konflikty zasad są rozwiązywane w następujący sposób:

1. Obowiązują najbezpieczniejsze zasady.
2. Jeśli dwie zasady są równie bezpieczne, stosowane są ostatnie zmodyfikowane zasady.
3. Jeśli ostatnio zmodyfikowane zasady nie mogą rozwiązać konfliktu, żadne zasady nie zostaną dostarczone do urządzenia.

Ustawienia i dostawcy CSP obsługujące scalanie zasad

Następujące ustawienia obsługują scalanie zasad:

• Wykluczone procesy — dostawca CSP: Defender/ExcludedProcesses
• Wykluczone rozszerzenia — dostawca CSP: Defender/ExcludedExtensions
• Wykluczone ścieżki — dostawca CSP: Defender/ExcludedPaths

Raporty zasad ochrony antywirusowej

Raporty zasad ochrony antywirusowej zawierają szczegółowe informacje o stanie zasad ochrony antywirusowej zabezpieczeń punktu końcowego i stanie urządzenia. Te raporty są dostępne w węźle Zabezpieczenia punktu końcowego centrum administracyjnego Microsoft Intune.

Aby wyświetlić raporty, w centrum administracyjnym Microsoft Intune przejdź do pozycji Zabezpieczenia punktu końcowego i wybierz pozycję Oprogramowanie antywirusowe. Wybranie pozycji Program antywirusowy otwiera stronę Podsumowanie. Dodatkowe widoki raportów i stanu są dostępne jako dodatkowe strony.

Oprócz raportów opisanych w poniższych sekcjach dodatkowe raporty dotyczące programu antywirusowego Microsoft Defender można znaleźć w węźle Raporty centrum administracyjnego Microsoft Intune, jak opisano w artykule Intune Raporty:

• Raport o stanie agenta antywirusowego (organizacyjny)
• Wykryty raport o złośliwym oprogramowaniu (organizacyjny)

Podsumowanie

Na stronie Podsumowanie możesz utworzyć nowe zasady i wyświetlić listę wcześniej utworzonych zasad. Lista zawiera szczegółowe informacje na temat profilu, który zawiera zasady (typ zasad) oraz tego, czy zasady są przypisane.

Po wybraniu zasad z listy zostanie otwarta strona Przegląd dla tego wystąpienia zasad i zostanie wyświetlone więcej informacji. Po wybraniu kafelka w tym widoku Intune wyświetla dodatkowe szczegóły dotyczące tego profilu, jeśli są dostępne.

Punkty końcowe w złej kondycji

Na stronie Punkty końcowe w złej kondycji można wyświetlić informacje o stanie programu antywirusowego urządzeń z systemem Windows zarządzanych przez rozwiązanie MDM. Te informacje są zwracane z systemu Windows Program antywirusowy Defender uruchomionego na urządzeniu jako stan agenta zagrożeń. Na tej stronie wybierz pozycję Kolumny , aby wyświetlić pełną listę szczegółów dostępnych w raporcie.

W tym widoku są wyświetlane tylko urządzenia z wykrytymi problemami. W tym widoku nie są wyświetlane szczegóły dotyczące urządzeń, które zostały zidentyfikowane jako czyste.

Informacje dotyczące tego raportu są oparte na szczegółach dostępnych od następujących dostawców CSP, które zostały udokumentowane w dokumentacji zarządzania klientami systemu Windows:

• Defender CSP
• WindowsAdvancedThreatProtection CSP.

Następne kroki

Konfigurowanie zasad zabezpieczeń punktu końcowego

Wyświetl szczegóły ustawień systemu Windows w przestarzałych profilach dla przestarzałej Windows 10 i nowszej platformy:

• Ustawienia zasad ochrony antywirusowej
• Wykluczenia programu antywirusowego
• ustawienia aplikacji Zabezpieczenia Windows