Share via

Hallitse organisaatiosi peukaloinnin suojausta Microsoft Intune avulla

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Peukaloinnin suojaus auttaa suojaamaan tiettyjä suojausasetuksia, kuten viruksia ja uhkien suojausta, pois käytöstä poistamiselta tai muuttamiselta. Jos kuulut organisaatiosi suojaustiimiin ja käytät Microsoft Intune, voit hallita organisaatiosi peukalointisuojausta Intune hallintakeskuksessa. Voit myös käyttää Configuration Manager. Intune tai Configuration Manager avulla voit

Tärkeää

Jos käytät Microsoft Intune Defender for Endpoint -asetusten hallintaan, muista määrittää DisableLocalAdminMerge-arvoksi true laitteissa.

Kun peukaloinnin suojaus on käytössä, peukaloinnilla suojattuja asetuksia ei voi muuttaa. Jos haluat välttää hallintakokemusten katkeamisen, mukaan lukien Intune (ja Configuration Manager), muista, että peukaloinnilla suojattujen asetusten muutokset saattavat näyttää onnistuvan, mutta peukalointisuojaus estää ne. Käytettävissäsi on useita vaihtoehtoja skenaariostasi riippuen:

  • Jos sinun on tehtävä muutoksia laitteeseen ja peukalointisuojaus estää kyseiset muutokset, suosittelemme vianmääritystilan avulla laitteen peukalointisuojauksen tilapäistä käytöstä poistamista. Huomaa, että vianmääritystilan päätyttyä peukaloinnilla suojattuihin asetuksiin tehdyt muutokset palautetaan määritettyihin tilaan.
  • Voit Intune tai Configuration Manager avulla estää laitteita käyttämästä peukalointisuojausta.
  • Jos hallitset peukalointisuojausta Intune avulla, voit muuttaa peukaloinnilla suojattuja virustentorjuntaan liittyvät poikkeukset.

Peukaloinnin suojausta koskevat vaatimukset Intune

Vaatimus Tiedot
Roolit ja käyttöoikeudet Sinulla on oltava oikeudet, jotka on määritetty esimerkiksi yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan kautta. Katso roolien Microsoft Entra Intune käyttö.
Laitehallinta Organisaatiosi käyttää Intune laitteiden hallintaan.
Intune käyttöoikeuksia Intune käyttöoikeuksia vaaditaan. Katso Microsoft Intune käyttöoikeudet.
Käyttöjärjestelmä Windows-laitteissa on oltava käytössä Windows 10 versio 1709 tai uudempi versio tai Windows 11. (Lisätietoja julkaisuista on kohdassa Windowsin julkaisutiedot.)

Macille katso MacOS-suojausasetusten suojaaminen peukaloinnin suojauksella.
Suojaustiedot Käytössäsi on oltava Windowsin suojaustiedot , jotka on päivitetty versioon 1.287.60.0 (tai uudempaan).
Haittaohjelmien torjuntaympäristö Laitteissa on käytettävä haittaohjelmien torjuntaympäristön versiota 4.18.1906.3 (tai uudempaa versiota) ja haittaohjelmien torjuntaohjelman versiota (tai uudempaa versiota 1.1.15500.X ). Katso Microsoft Defender virustentorjuntapäivitysten hallinta ja ota käyttöön perusaikataulut.
Microsoft Entra ID Intune- ja Defender for Endpoint -vuokraajilla on oltava sama Microsoft Entra infrastruktuuri.
Defender for Endpoint Laitteesi on otettava käyttöön Defender for Endpointissa.

Huomautus

Jos laitteita ei ole rekisteröity Microsoft Defender for Endpoint, peukaloinnin suojaus näkyy Ei käytettävissä, ennen kuin perehdytysprosessi on valmis. Peukaloinnin suojaus voi estää suojausasetusten muutosten ilmenemisen. Jos näet virhekoodin, jonka tunnus on Tapahtumatunnus 5013, katso tapahtumalokien ja virhekoodien tarkastelu Microsoft Defender virustentorjuntaan liittyvien ongelmien vianmääritystä.

Peukaloinnin suojauksen ottaminen käyttöön (tai poistaminen käytöstä) Microsoft Intune

Peukaloinnin suojauksen ottaminen käyttöön Intune

  1. Siirry Intune hallintakeskuksessa kohtaan Päätepisteen suojauksen>virustentorjunta ja valitse sitten + Create Käytäntö.

    • Valitse Käyttöympäristö-luettelostaWindows 10, Windows 11 ja Windows Server.
    • Valitse Profiili-luettelostaWindowsin suojaus kokemus.

  2. Create profiilin, joka sisältää seuraavan asetuksen:

    • TamperProtection (laite): Käytössä

  3. Viimeistele käytäntösi asetusten ja asetusten valitseminen.

  4. Ota käytäntö käyttöön laitteissa.

Virustentorjunnan poissulkemisten peukalointisuojaus

Jos organisaatiollesi on määritetty poissulkemisia Microsoft Defender virustentorjuntaa varten, peukalointisuojaus suojaa nämä poikkeukset, kunhan kaikki seuraavat ehdot täyttyvät:

Kunnossa Kriteerit
Microsoft Defender-ympäristö Laitteissa on käytössä Microsoft Defender käyttöympäristö 4.18.2211.5 tai uudempi versio. Lisätietoja on kohdassa Kuukausittaiset käyttöympäristö- ja moduuliversiot.
DisableLocalAdminMerge Asetus Tätä asetusta kutsutaan myös paikallisten luetteloiden yhdistämisen estämiseksi. DisableLocalAdminMergeon käytössä, jotta laitteessa määritettyjä asetuksia ei yhdistetä organisaatiokäytäntöihin, kuten Intune asetuksiin. Lisätietoja on kohdassa DisableLocalAdminMerge.
Laitehallinta Laitteita hallitaan joko vain Intune tai vain Configuration Manager. Aisti on otettava käyttöön.
Virustentorjunnan poikkeukset Microsoft Defender virustentorjunnan poissulkemisia hallitaan Microsoft Intune. Lisätietoja on artikkelissa Windows-laitteiden Microsoft Intune Microsoft Defender virustentorjuntakäytännön asetukset.

Toiminnot, jotka suojaavat Microsoft Defender virustentorjunnan poikkeukset on otettu käyttöön laitteissa. Lisätietoja on ohjeaiheessa Virustentorjunnan poissulkemisten suojaus Windows-laitteessa.

Vihje

Lisätietoja virustentorjunnan poissulkemisten Microsoft Defender on artikkelissa Microsoft Defender for Endpoint ja Microsoft Defender virustentorjunnan poikkeukset.

Miten määritetään, suojataanko virustentorjuntaan liittyvät poikkeukset Windows-laitteessa

Rekisteriavaimen avulla voit määrittää, onko virustentorjunnan poissulkemisten Microsoft Defender suojaava toiminto käytössä. Seuraavassa ohjeartikkelissa kuvataan, miten voit tarkastella peukaloinnin suojaustilaa, mutta ei muuttaa sitä.

  1. Avaa Windows-laitteessa Rekisterin Kirjoitusavustaja. (Vain luku -tila ei kelpaa, et muokkaa rekisteriavainta.)

  2. Jos haluat varmistaa, että laitetta hallitsee vain Intune tai että sitä hallitaan vain Configuration Manager Sense-näppäimen ollessa käytössä, tarkista seuraavat rekisteriavainarvot:

    • ManagedDefenderProductType (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender tai HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (sijaitsee osoitteessa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM tai HKLM\SOFTWARE\Microsoft\SenseCM)

    Seuraavassa taulukossa on yhteenveto siitä, mitä rekisteriavainarvot tarkoittavat:

    ManagedDefenderProductType Arvo EnrollmentStatus Arvo Mitä arvo tarkoittaa?
    6 (mikä tahansa arvo) Laitetta hallitsevat vain Intune.
    (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
    7 4 Laitetta hallitsee Configuration Manager.
    (Täyttää vaatimuksen, jonka mukaan poissulkemisia on suojattava luvattomasti.)
    Arvo, joka on muu kuin 6 tai 7 (mikä tahansa arvo) Laitetta ei hallita vain Intune tai vain Configuration Manager.
    (Poissulkemisia ei suojata peukaloinnilla.)

  3. Jos haluat varmistaa, että peukalointisuojaus on käytössä ja että poikkeukset on suojattu peukaloinnilla, tarkista TPExclusions rekisteriavain (sijainnissa Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features tai HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

    TPExclusions Mitä arvo tarkoittaa?
    1 Pakolliset ehdot täyttyvät, ja uusi toiminnallisuus poissulkemisten suojaamiseksi on käytössä laitteessa.
    (Poikkeukset on suojattu peukaloinnilla.)
    0 Peukaloinnin suojaus ei tällä hetkellä suojaa laitteen poissulkemisia.
    (Jos kaikki vaatimukset täyttyvät ja tämä tila vaikuttaa virheellisltä, ota yhteyttä tukeen.)

Varoitus

Älä muuta rekisteriavainten arvoa. Käytä edellä olevaa toimintosarjaa vain tiedoksi. Avainten vaihtamisella ei ole vaikutusta siihen, sovelletaanko peukalointisuojausta poissulkemisiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.