Gerir definições de configuração do Microsoft Defender para Endpoint em dispositivos com o Microsoft Endpoint Manager

Aplica-se a:

Quer experimentar o Defender para Endpoint? Inscreva-se numa versão de avaliação gratuita.

A Gestão de Microsoft Defender para Endpoint é uma funcionalidade para dispositivos que não são geridos por um Microsoft Endpoint Manager, Microsoft Intune ou Microsoft Endpoint Configuration Manager, para receber configurações de segurança para o Microsoft Defender diretamente a partir Endpoint Manager.

Para obter mais informações sobre a Gestão de Configuração de Segurança, incluindo pré-requisitos, plataformas suportadas e muito mais, consulte Gerir Microsoft Defender para Endpoint em dispositivos com Microsoft Endpoint Manager.

Pré-requisitos

Reveja as secções seguintes para ver os requisitos de Gestão de Microsoft Defender para Endpoint Cenário:

Ambiente

Quando um dispositivo é Microsoft Defender para Endpoint:

  • O dispositivo é pesquisado para ver uma presença existente do Endpoint Manager, que é uma inscrição na gestão de dispositivos móveis (MDM) para Intune
  • Os dispositivos sem um estado Endpoint Manager irão ativar a funcionalidade Gestão de Segurança
  • É criada uma confiança com Azure Active Directory se ainda não existir uma
  • Azure Active Directory confiança é utilizada para comunicar com o Endpoint Manager (Intune) e obter políticas
  • A política de Endpoint Manager é impoda no dispositivo por Microsoft Defender para Endpoint

Requisitos do Active Directory

Quando um dispositivo associado a um domínio cria uma confiança com o Azure Active Directory, este cenário é referido como um cenário Híbrido Azure Active Directory Associação. A Gestão de Segurança Microsoft Defender para Endpoint suporta totalmente este cenário com os seguintes requisitos:

  • Azure Active Directory Ligação (AAD Ligação) tem de ser sincronizado com o inquilino utilizado a partir do Microsoft Defender para Endpoint
  • A Azure Active Directory Aderir à Híbrida tem de ser configurada no seu ambiente (através de Federação ou AAD Ligação Sincronização)
  • AAD Ligação Sincronização tem de incluir os objetos do dispositivo no âmbito de sincronização com Azure Active Directory (quando necessário para associação)
  • AAD Ligação de sincronização têm de ser modificadas para o Server 2012 R2 (quando é necessário suporte para o Server 2012 R2)
  • Todos os dispositivos têm de se registar no Azure Active Directory do inquilino que alo Microsoft Defender para Endpoint. Os cenários entre inquilinos não são suportados.

Requisitos de Conectividade

Os dispositivos têm de ter acesso aos seguintes pontos finais:

  • enterpriseregistration.windows.net- Para Azure AD registo.
  • login.microsoftonline.com- Para Azure AD registo.
  • *.dm.microsoft.com - A utilização de um cartão wildcard suporta os pontos finais de serviço em nuvem utilizados para a inscrição, entrada e relatórios, e que podem ser alterados à medida que as escalas de serviço.

Plataformas suportadas

As políticas para Microsoft Defender para Endpoint segurança de segurança são suportadas para as seguintes plataformas de dispositivos:

Licenciamento e subscrições

Para utilizar a gestão de segurança Microsoft Defender para Endpoint segurança, precisa de:

  • Uma subscrição que concede licenças para utilizadores Microsoft Defender para Endpoint, Microsoft 365, ou uma licença ativa apenas para Microsoft Defender para Endpoint. Uma subscrição que concede Microsoft Defender para Endpoint licenças do inquilino também concede ao seu inquilino acesso ao nó de segurança Endpoint do Microsoft Endpoint Manager de administração.

    Nota

    Exceção: se tiver acesso ao Microsoft Defender para Endpoint como parte de uma licença Microsoft Defender para a Cloud (anteriormente Centro de Segurança do Azure), a Gestão de Segurança para Microsoft Defender para Endpoint funcionalidade não está disponível.

O nó de segurança ponto final é onde irá configurar e implementar políticas para gerir os Microsoft Defender para Endpoint dos seus dispositivos e monitorizar o estado do dispositivo.

Para obter informações atuais sobre opções, consulte Requisitos mínimos para Microsoft Defender para Endpoint.

Arquitetura

O seguinte diagrama é uma representação conceptual da solução de gestão Microsoft Defender para Endpoint de configuração de segurança.

Representação conceptual da solução de Microsoft Defender para Endpoint de gestão da configuração de segurança

  1. Dispositivos a Microsoft Defender para Endpoint.

  2. É estabelecida uma confiança entre cada dispositivo e Azure AD. Quando um dispositivo tem uma confiança existente, esta é utilizada. Quando os dispositivos não estão registados, é criada uma nova confiança.

  3. Os dispositivos utilizam a Azure AD de Rede para comunicar com Endpoint Manager. Esta identidade permite que Microsoft Endpoint Manager de distribuição de políticas direcadas para os dispositivos quando darem a sua dar check-in.

  4. O Defender para Ponto Final reporta o estado da política novamente à Endpoint Manager.

Que solução devo utilizar?

Microsoft Endpoint Manager inclui vários métodos e tipos de política para gerir a configuração do Defender para Ponto Final em dispositivos.

Quando as necessidades de proteção do dispositivo ultrapassarem a gestão do Defender para Pontos Finais, consulte o resumo da proteção de dispositivos para saber mais sobre as funcionalidades adicionais fornecidas pelo Microsoft Endpoint Manager para ajudar a proteger os dispositivos, incluindo a conformidade dos dispositivos , aplicações geridas , políticas de proteção de aplicações e integração com parceiros de defesa contra ameaças móveis e conformidade de terceiros.

A tabela seguinte pode ajudá-lo a compreender que políticas que podem configurar definições de MDE são suportadas por dispositivos geridos pelos diferentes cenários. Quando implementa uma política suportada tanto para a configuração de segurança MDE como para o Microsoft Endpoint Manager, uma única instância desta política pode ser processada por dispositivos que executam apenas MDE e dispositivos geridos por Intune ou Configuration Manager.

Microsoft Endpoint Manager Carga de trabalho Configuração de Segurança MDE Microsoft Endpoint Manager
Segurança do ponto final Antivírus Suportada Suportada
Encriptação de Disco Suportada
Firewall (Perfil e Regras) Suportada Suportada
Deteção e resposta de pontos finais Suportada Suportada
Redução da superfície de ataque Suportada
Proteção da Conta Suportada
Conformidade do Dispositivo Suportada
Acesso Condicional Suportada
Linhas de base de segurança Suportada

As políticas de segurança de pontos finais são grupos discretos de definições que se destinam a ser utilizados por administradores de segurança que se focam na proteção de dispositivos na sua organização.

  • As políticas antivírus gerem as configurações de segurança que se Microsoft Defender para Endpoint. Consulte a política antivírus para saber como segurança de pontos finais.
  • As políticas de redução da superfície de ataque focam-se na minimização dos locais em que a sua organização está vulnerável a ciberataques e ataques. Para obter mais informações, consulte o resumo da redução da superfície de ataque na Windows Proteção contra ameaças e Política de redução da superfície de ataque para segurança de pontos finais.
  • As políticas de deteção e resposta (DRP) de pontos finais gerem o Defender para funcionalidades de Pontos Finais que fornecem deteções de ataque avançadas próximas e acionáveis em tempo real. Com base em configurações do DRP, os analistas de segurança podem atribuir prioridades a alertas de forma eficaz, obter visibilidade para o âmbito completo de uma violação e tomar ações de resposta para remediar ameaças. Consulte deteção e resposta de pontos finais de segurança de pontos finais.
  • As políticas de firewall focam-se na firewall do Defender nos seus dispositivos. Consulte a política de firewall para saber como segurança do ponto final.
  • As Regras de Firewall configuram regras granulares para Firewalls, incluindo portas, protocolos, aplicações e redes específicos. Consulte a política de firewall para saber como segurança do ponto final.
  • As linhas de base de segurança incluem definições de segurança pré-configuradas que definem a postura de segurança recomendada da Microsoft para diferentes produtos como o Defender, Edge ou Windows. As recomendações predefinida são das equipas de produtos relevantes e permitem-lhe implementar rapidamente a configuração segura recomendada em dispositivos. Embora as definições sejam pré-configuradas em cada linha de base, pode criar instâncias personalizadas das definições para estabelecer as expectativas de segurança da sua organização. Consulte as linhas de base de segurança para Intune.

Configurar o seu inquilino para suportar Microsoft Defender para Endpoint Gestão da Configuração de Segurança

Para suportar Microsoft Defender para Endpoint gestão de configuração de segurança através do Microsoft Endpoint Manager de administração, tem de ativar a comunicação entre os dois a partir de cada consola.

  1. Inscreva-se no portal Microsoft 365 Defender e vá para o âmbito Definições > EndpointsConfiguration > ManagementEnforcement > e ative as plataformas para a gestão de definições de segurança:

    Ative Microsoft Defender para Endpoint gestão de definições na consola do Defender.

    Nota

    Para controlar granularmente o âmbito dos pontos finais geridos através da gestão de definições MDE, considere utilizar o Modo Piloto.

  2. Certifique-se de que os utilizadores relevantes têm permissões para gerir as definições de segurança de pontos finais no Microsoft Endpoint Manager ou conceder essas permissões ao configurar uma função no portal do Defender. Ir para Definições > O > itemAdições:

    Crie uma nova função no portal do Defender.

    Dica

    Pode modificar funções existentes e adicionar as permissões necessárias em vez de criar funções adicionais no Microsoft Defender para Endpoint

  3. Ao configurar a função, adicione utilizadores e certifique-se de que seleciona Gerir definições de segurança de pontos finais Microsoft Endpoint Manager:

    Conceda permissões aos utilizadores para gerirem as definições.

  4. Inscreva-se no Microsoft Endpoint Manager de administração.

  5. Selecione Segurança do ponto > final Microsoft Defender para Endpoint e defina a opção Permitir Microsoft Defender para Endpoint para impor As Configurações de Segurança do Ponto Final (Pré-visualização) como Ativado.

    Ative Microsoft Defender para Endpoint gestão de definições no Microsoft Endpoint Manager de administração.

    Quando definir esta opção para Aativado , todos os dispositivos no âmbito da plataforma no Microsoft Defender para Endpoint que não são geridos pelo Microsoft Endpoint Manager serão qualificados para a aplicação Microsoft Defender para Endpoint.

Dispositivos móveis para Microsoft Defender para Endpoint

Microsoft Defender para Endpoint suporta várias opções para dispositivos ativos. Para orientação atual, consulte Ferramentas de ativação e métodos de Windows dispositivos na documentação do Defender para Pontos Finais.

Importante

Depois de um dispositivo ser Microsoft Defender para Endpoint, tem e tem de estar etiquetado com a MDE-Management antes de poder inscrever-se com a Gestão de Segurança para Microsoft Defender para Endpoint. Para obter mais informações sobre a etiquetação de dispositivos em MDE, consulte Criar e gerir etiquetas de dispositivo.

Co-existência com Microsoft Endpoint Configuration Manager

Em alguns ambientes, poderá querer utilizar a Gestão de Segurança para o Microsoft Defender em conjunto com o Configuration Manager. Isto é possível ao desativar o botão Gerir Definições de Segurança através do Configuration Manager na página Definições (Definições > Pontos finais > Gestão de Configuração > Âmbito de Imposição):

Faça a gestão das definições de segurança Configuration Manager definições de segurança.

Nota

Ao utilizar a Gestão de Segurança Microsoft Defender para Endpoint com Configuration Manager, a política de segurança de pontos finais deve ser isolada a um único plano de controlo. Controlar a política através de ambos os canais pode causar conflitos e resultados indesejáveis.

Criar Azure AD Grupos

Após os dispositivos ativados para o Defender para Ponto Final, terá de criar grupos de dispositivos para suportar a implementação de políticas para Microsoft Defender para Endpoint.

Para identificar dispositivos que se inscreveram com Microsoft Defender para Endpoint mas que não são geridos por Intune ou Configuration Manager:

  1. Inscreva-se Microsoft Endpoint Manager centro de administração.

  2. Vá para DispositivosTodos > os dispositivos e, em seguida, selecione a coluna Gerido por para ordenar a vista de dispositivos.

    Os dispositivos que são Microsoft Defender para Endpoint e que se registaram mas não são geridos pelo Intune mostram Microsoft Defender para Endpoint na coluna Gerido por. Estes são os dispositivos que podem receber políticas de gestão de segurança para Microsoft Defender para Endpoint.

    Também encontrará duas etiquetas para dispositivos que utilizam a gestão de segurança para Microsoft Defender para Endpoint:

    • MDEJoined - Adicionado aos dispositivos que estão associados ao diretório como parte deste cenário.
    • MDEManaged – adicionado aos dispositivos que estão a utilizar ativamente o cenário de gestão de segurança. Esta etiqueta é removida do dispositivo se o Defender para Pontos Finais parar de gerir a configuração de segurança.

Pode criar grupos para estes dispositivos no Azure AD ou a partir do Microsoft Endpoint Manager de administração.

Implementar política

Depois de criar um ou mais Azure AD grupos que contêm dispositivos geridos pelo Microsoft Defender para Endpoint, pode criar e implementar para esses grupos as seguintes políticas de Gestão de Segurança Microsoft Defender para Endpoint:

  • Antivírus
  • Firewall
  • Regras da Firewall
  • Deteção e Resposta de Pontos Finais

Dica

Evite implementar múltiplas políticas que gerem a mesma definição num dispositivo.

Microsoft Endpoint Manager suporta a implementação de múltiplas instâncias de cada tipo de política de segurança de ponto final no mesmo dispositivo, sendo cada instância de política recebida separadamente pelo dispositivo. Por conseguinte, um dispositivo pode receber configurações separadas para a mesma definição de diferentes políticas, o que resulta num conflito. Algumas definições (como as Exclusões de Antivírus) serão aplicadas com êxito no cliente.

  1. Inscreva-se no Microsoft Endpoint Manager de administração.

  2. Vá para Segurança do ponto final e, em seguida, selecione o tipo de política que pretende configurar, Antivírus ou Firewall e, em seguida, selecione Criar Política.

  3. Introduza as seguintes propriedades ou o tipo de política que selecionou:

    • Para a política de Antivírus, selecione:

      • Plataforma: Windows 10, Windows 11 e Windows Server (Pré-visualização)
      • Perfil: Antivírus do Microsoft Defender (Pré-visualização)
    • Para a Política de Firewall, selecione:

      • Plataforma: Windows 10, Windows 11 e Windows Server (Pré-visualização)
      • Perfil: Firewall do Microsoft Defender (Pré-visualização)
    • Para a política Regras da Firewall, selecione:

      • Plataforma: Windows 10, Windows 11 e Windows Server (Pré-visualização)
      • Perfil: Regras de Firewall do Microsoft Defender (Pré-visualização)
    • Para a Política de Deteção e Resposta de Pontos Finais, selecione:

      • Plataforma: Windows 10, Windows 11 e Windows Server (Pré-visualização)
      • Perfil: Deteção e resposta a pontos finais (Pré-visualização)

    Nota

    Estes perfis aplicam-se aos dois dispositivos que comuniquem através do Mobile Gestão de Dispositivos (MDM) com Microsoft Intune, bem como aos dispositivos que estão a comunicar através do cliente Microsoft Defender para Endpoint Rede.

    Certifique-se de que revê a sua direcção e grupos conforme necessário.

  4. Selecione Criar.

  5. Na página Noções Básicas , introduza um nome e uma descrição para o perfil e, em seguida, selecionar Seguinte.

  6. Na página Definições de configuração , selecione as definições que pretende gerir com este perfil. Para saber mais sobre uma definição, expanda a caixa de diálogo informações e selecione a ligação Saiba mais para ver as informações do CSP sobre a definição na documentação online.

    Quando terminar de configurar as definições, selecione Seguinte.

  7. Na página Tarefas, selecione o Azure AD grupos que irão receber este perfil. Para obter mais informações sobre como atribuir perfis, consulte Atribuir perfis de utilizador e de dispositivo.

    Selecione Seguinte para continuar.

    Dica

    • Os filtros de atribuição não são suportados para perfis de Gestão de Configuração de Segurança.
    • Apenas os Objetos de Dispositivo são aplicáveis à Microsoft Defender para Endpoint dispositivos. A ação de direcções para utilizadores não é suportada.
    • As políticas configuradas serão aplicadas tanto a clientes Microsoft Intune como Microsoft Defender para Endpoint cliente
  8. Conclua o processo de criação de políticas e, em seguida , na página Rever + criar , selecione Criar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.

  9. Aguarde que a política seja atribuída e veja uma indicação de êxito para a mesma ter sido aplicada.

  10. Pode validar que as definições foram aplicadas localmente no cliente ao utilizar o utilitário de comandos Get-MpPreference .

Nota

Esta funcionalidade está a ser gradualmente adicionada.

Para obter mais informações sobre a Gestão de Configuração de Segurança, consulte Gerir Microsoft Defender para Endpoint dispositivos com Microsoft Endpoint Manager.

Se encontrar problemas de inscrição, consulte Realização de Problemas de Gestão de Configuração de Segurança.

Nota

Esta funcionalidade não se aplica a dispositivos que já estão inscritos no Microsoft Endpoint Manager (Intune ou Configuration Manager). Os dispositivos inscritos no Intune continuarão a receber políticas através do canal de gestão estabelecido.

Identificar dispositivos iboarded

Utilize os seguintes passos para validar que os seus pontos finais concluíram com êxito a Gestão de Segurança Microsoft Defender para Endpoint processo de ativação.

  1. Verifique se o dispositivo aparece na secção Inventário de Dispositivos do Microsoft 365 Defender.

  2. No portal Azure Active Directory, verifique se o dispositivo foi inscrito com êxito.

  3. No Centro de Administração Microsoft Endpoint Manager, verifique se o dispositivo foi inscrito com êxito ao procurá-lo na secção Dispositivos > Todos os dispositivos.

Excluir dispositivos

Para os dispositivos offboard que foram alocados através da Gestão de Segurança Microsoft Defender para Endpoint, consulte Dispositivos offboard do serviço Microsoft Defender para Endpoint dispositivos.

Nota

O offboarding irá desativar a Proteção contra Adulteração se estiver ativada.

Remoção de Problemas de Gestão de Segurança

Para remoção de problemas de Gestão de Segurança Microsoft Defender para Endpoint problemas de inscrição, consulte Remoção de problemas de idolaboração relacionados com a Gestão de Segurança Microsoft Defender para Endpoint.