Eszközbiztonság kezelése végpontbiztonsági szabályzatokkal a Microsoft Intune

Biztonsági rendszergazdaként az Intune Végpontok biztonsági csomópontja alatt található biztonsági szabályzatokkal konfigurálhatja az eszközbiztonságot. Ezekkel a biztonságközpontú szabályzatokkal elkerülheti az eszközkonfigurációs profilokban és biztonsági alapkonfigurációkban található, változatosabb beállítások egy nagyobb törzsében való navigálás többletterhelését.

Minden szabályzattípus egy vagy több profilt támogat. A profilokban konfigurálhatja a beállításokat, és csoportosíthatja a beállításokat a különböző platformokra vagy a nagyobb házirendterület különböző területeire.

Ezeket a szabályzatokat a Felügyeleti központ Végpontbiztonság csomópontjában, a Kezelés Microsoft Endpoint Manager találja.

A szabályzatok kezelése

Az alábbiakban röviden ismertetjük az egyes végpontbiztonsági szabályzattípusokat. Ha többet szeretne megtudni az egyes szabályzatok elérhető profiljairól, kövesse az egyes szabályzattípusokkal dedikált tartalomra mutató hivatkozásokat:

  • Víruskereső – A víruskereső szabályzatok segítenek a biztonsági rendszergazdáknak a felügyelt eszközökre vonatkozó víruskereső-beállítások különálló csoportjának kezelésére összpontosítani. A vírusvédelmi szabályzat használatához integrálja az Intune-t a Microsoft Defender for Endpoint alkalmazással Mobile Threat Defense-megoldásként.

  • Lemeztitkosítás – Az Endpoint Security Disk Encryption-profilok csak az eszközök beépített titkosítási módszeréhez kapcsolódó beállításokra koncentrálnak, például a FileVaultra vagy a BitLockerre. Ez a fókusz megkönnyíti a biztonsági rendszergazdák számára a lemeztitkosítási beállítások kezelését anélkül, hogy el kellene navigálnia a nem kapcsolódó beállítások között.

  • Tűzfal – Az Intune végpontbiztonsági tűzfalának szabályzatával konfigurálhat egy beépített tűzfalat a macOS és a Windows 10.

  • Végpontészlelés és -válasz – Amikor integrálja a Microsoft Defender for Endpointt az Intune-nal, az végponti észlelés és reagálás (EDR) végpontbiztonsági szabályzatával kezelheti az EDR beállításait, és eszközöket építhet be a Microsoft Defender for Endpoint szolgáltatásba.

  • Támadási felület csökkentése – Ha a Defender víruskereső használatban van a Windows 10-eszközökön, használja az Intune végpontbiztonsági szabályzatokat a támadási felület csökkentéséhez az eszközök beállításainak kezeléséhez.

  • Fiókvédelem – A fiókvédelmi szabályzatok segítenek megvédeni a felhasználók identitását és fiókjait. A fiókvédelmi szabályzat a Windows Hello és a Credential Guard beállításaira összpontosít, amely a Windows és hozzáférés-kezelés részét képezi.

A következő szakaszok az összes végpontbiztonsági szabályzatra vonatkoznak.

Végpontbiztonsági szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Endpoint Manager felügyeleti központjába.

  2. Válassza az Endpoint Security (Végpontbiztonság) lehetőséget, majd válassza ki a konfigurálni kívánt szabályzat típusát, majd válassza a Create Policy (Szabályzat létrehozása) lehetőséget. Válasszon az alábbi szabályzattípusok közül:

    • Vírusvédelem
    • Lemeztitkosítás
    • Tűzfal
    • Végpontészlelés és válasz
    • Támadási felület csökkentése
    • Fiókvédelem
  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki azt a platformot, amely számára szabályzatot hoz létre. Az elérhető beállítások a kiválasztott szabályzattípustól függenek:
      • macOS
      • Windows 10 és újabb
    • Profil: Válasszon a kiválasztott platformhoz elérhető profilok közül. A profilokkal kapcsolatos információkért tekintse meg a cikk dedikált szakaszát a választott szabályzattípushoz.
  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapvető adatok lapon adja meg a profil nevét és leírását, majd válassza a Tovább lehetőséget.

  6. A Konfigurációs beállítások lapon bontsa ki az egyes beállításcsoportokat, és konfigurálja az ezzel a profillal kezelni kívánt beállításokat.

    Ha végzett a beállítások konfigurálásával, válassza a Tovább lehetőséget.

  7. A Hatókörcímkék lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, és rendelje hozzá a hatókörcímkéket a profilhoz.

    A folytatáshoz válassza a Tovább gombot.

  8. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. További információ a profilok hozzárendeléséről: Felhasználói és eszközprofilok hozzárendelése.

    Kattintson a Tovább gombra.

  9. Az Áttekintés + létrehozás oldalon, ha végzett, válassza a Létrehozás lehetőséget. Az új profil megjelenik a listában, amikor kiválasztja a létrehozott profil szabályzattípusát.

Szabályzat duplikálva

A végpontbiztonsági szabályzatok támogatják az ismétlődéseket az eredeti házirend másolatának létrehozásához. Hasznos lehet, ha egy szabályzatot meg kell ismételni, ha hasonló szabályzatokat kell hozzárendelni különböző csoportokhoz, de nem szeretné manuálisan újra létrehozni a teljes szabályzatot. Ehelyett duplikálhatja az eredeti házirendet, és csak az új szabályzat által megkövetelt módosításokat vezetheti be. Előfordulhat, hogy csak egy adott beállítást módosít, és az a csoport, amelyhez a szabályzat hozzá van rendelve.

Duplikált példány létrehozásakor új nevet fog adni a másolatnak. A másolás ugyanazokkal a beállításkonfigurációk és hatókörcímkék használatával készül, mint az eredeti, de nem fog hozzárendeléseket hozzárendelni. A hozzárendelések létrehozásához később szerkesztenie kell az új szabályzatot.

A következő szabályzattípusok támogatják az ismétlődéseket:

  • Vírusvédelem
  • Lemeztitkosítás
  • Tűzfal
  • Végpontészlelés és válasz
  • Támadási felület csökkentése
  • Fiókvédelem

Az új szabályzat létrehozása után tekintse át és szerkessze a szabályzatot, és módosítsa annak konfigurációját.

Szabályzat duplikálva

  1. Jelentkezzen be a Microsoft Endpoint Manager felügyeleti központjába.
  2. Válassza ki a másolni kívánt szabályzatot. Ezután válassza a Duplikáció lehetőséget, vagy válassza a szabályzattól jobbra található három pont (...) lehetőséget, és válassza a Duplikáció lehetőséget.
  3. Adjon egy Új nevet a szabályzatnak, majd válassza a Mentés lehetőséget.

Szabályzat szerkesztése

  1. Válassza ki az új szabályzatot, majd válassza a Tulajdonságok lehetőséget.
  2. Válassza Gépház lehetőséget a szabályzat konfigurációs beállításainak listájának kibontásához. Ebben a nézetben nem módosíthatja a beállításokat, de áttekintheti azok konfigurálását.
  3. A szabályzat módosításához válassza a Szerkesztés lehetőséget minden olyan kategóriához, ahol módosítani szeretne:
    • Alapvető beállítások
    • Hozzárendelések
    • Hatókörcímkék
    • Konfigurációs beállítások
  4. Miután végrehajtotta a módosításokat, kattintson a Mentés gombra a módosítások mentéséhez. Ahhoz, hogy további kategóriákat is szerkesztsen, menteni kell az egyik kategóriára való módosításokat.

Ütközések kezelése

A végpontbiztonsági szabályzatokkal (biztonsági szabályzatokkal) kezelhető eszközbeállítások közül számos más szabályzattípuson keresztül is elérhető az Intune-ban. Az egyéb szabályzattípusok közé tartoznak az eszközkonfigurációs szabályzatok és a biztonsági alapkonfigurációk. Mivel a beállítások több különböző házirendtípussal vagy ugyanazon házirendtípus több példánya által is kezelhetők, készüljön fel a várt konfigurációknak nem megfelelő eszközök házirendütközések azonosítására és feloldására.

  • A biztonsági alapkonfigurációk nem alapértelmezett értéket állíthatnak be egy beállításhoz, hogy megfeleljenek az ajánlott alapkonfigurációnak.
  • Más házirendtípusok, beleértve a végpontbiztonsági szabályzatokat is, alapértelmezés szerint a Nincs konfigurálva értéket állítják. Ezekhez az egyéb szabályzattípusokhoz explicit módon kell konfigurálnia a beállításokat a szabályzatban.

A házirend módszerétől függetlenül ugyanazon eszköz ugyanazon beállításának kezelése több házirendtípuson keresztül vagy ugyanazon házirendtípus több példányán keresztül elkerülendő ütközéseket eredményezhet.

Az alábbi hivatkozásokon található információk segíthetnek az ütközések azonosításában és feloldásában:

Következő lépések

Végpontbiztonság kezelése az Intune-ban