Просмотр и изменение политик защиты устройств

В Microsoft 365 бизнес премиум параметры безопасности для управляемых устройств настраиваются с помощью политик защиты устройств на портале Microsoft Defender или в Центре администрирования Microsoft Intune. Для упрощения установки и настройки существуют предварительно настроенные политики, которые помогают защитить устройства организации с момента их подключения. Вы можете использовать политики по умолчанию, изменять существующие политики или создавать собственные политики.

В этом руководстве:

• Обзор ваших политик по умолчанию
• Работа с политиками устройств на портале Microsoft Defender или в Центре администрирования Microsoft Intune.

Сведения о политиках защиты устройств по умолчанию

Microsoft 365 бизнес премиум включает два основных типа политик для защиты устройств вашей организации:

• Политики защиты следующего поколения, определяющие настройки антивирусной программы в Microsoft Defender и другие функции защиты от угроз.

• Политики брандмауэра, определяющие разрешенный входящий и исходящий сетевой трафик для устройств организации.

К дополнительным политикам относятся:

• Фильтрация веб-содержимого, которая позволяет группе безопасности отслеживать и регулировать доступ к веб-сайтам на основе категорий контента (например, содержимого для взрослых, высокой пропускной способности, юридической ответственности и отдыха). Дополнительные сведения см. в разделе Фильтрация веб-содержимого в Microsoft Defender для бизнеса.
• Управляемый доступ к папкам, который позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов. Дополнительные сведения см. в статье Настройка или изменение политики управляемого доступа к папкам в Microsoft Defender для бизнеса.
• Правила сокращения направлений атак , которые помогают сократить места и способы уязвимости вашего бизнеса к киберугрозам и атакам. Дополнительные сведения см. в статье Включение правил сокращения направлений атак в Microsoft Defender для бизнеса.

Эти политики являются частью Microsoft Defender для бизнеса, который входит в вашу подписку на Microsoft 365 бизнес премиум. Сведения о работе с политиками предоставляются на портале Microsoft Defender или в Центре администрирования Microsoft Intune.

Работа с политиками устройств на портале Microsoft Defender

Следующие сведения относятся к работе с политиками на портале Microsoft Defender (https://security.microsoft.com).

Просмотр существующих политик защиты устройств в Microsoft Defender XDR

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Конфигурация устройства. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).

   

2. Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик в категорияхЗащита следующего поколения и Брандмауэр.

3. Чтобы просмотреть дополнительные сведения о политике, выберите ее имя. Откроется боковая панель с дополнительной информацией об этой политике, например о том, какие устройства защищены этой политикой.

   

Изменение существующей политики защиты устройств в Microsoft Defender XDR

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Конфигурация устройства. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).

2. Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик в категорияхЗащита следующего поколения и Брандмауэр.

3. Чтобы изменить политику, выберите ее имя, а затем нажмите Изменить.

4. Просмотрите информацию на вкладке Общие сведения. При необходимости вы можете отредактировать описание. Затем нажмите кнопку Далее.

5. На вкладке Группы устройств определите, какие группы устройств должны получить эту политику.

   • Чтобы сохранить выбранную группу устройств как есть, нажмитеДалее.
   • Чтобы удалить группу устройств из политики, выберите Удалить.
   • Чтобы настроить новую группу устройств, выберитеСоздать новую группу, а затем настройте свою группу устройств. (Чтобы получить справку по этой задаче, см. раздел Группы устройств в Microsoft 365 бизнес премиум.)
   • Чтобы применить политику к другой группе устройств, выберите Использовать существующую группу.

   После того как вы указали, какие группы устройств должны получить политику, нажмите кнопку Далее.

6. На вкладке Параметры конфигурации проверьте параметры. При необходимости вы можете отредактировать параметры своей политики. Чтобы получить справку по этой задаче, см. следующие статьи:

   • Понимание параметров конфигурации следующего поколения
   • Параметры брандмауэра

   После того, как вы указали параметры защиты следующего поколения, нажмитеДалее.

7. На вкладке Проверка политики просмотрите общую информацию, целевые устройства и параметры конфигурации.

   • Внесите необходимые изменения, выбрав Изменить.
   • Когда вы будете готовы продолжить, выберите Обновить политику.

Создание политики защиты устройств в Microsoft Defender XDR

1. На портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Конфигурация устройства. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).

2. Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик Защиты следующего поколения.

3. В разделе Защита следующего поколения или Брандмауэр выберите + Добавить.

4. На вкладке Общие сведения выполните следующие действия:

   1. Укажите имя и описание. Эта информация поможет вам и вашей команде определить политику позже.
   2. Просмотрите порядок политики и при необходимости отредактируйте его. (Подробнее см. Порядок политики.)
   3. Нажмите кнопку Далее.

5. На вкладке Группы устройств создайте новую группу устройств или используйте существующую группу. Политики назначаются устройствам через группы устройств. Моменты, о которых следует помнить:

   • Первоначально у вас может быть только группа устройств по умолчанию, используемых сотрудниками вашей организации для доступа к корпоративным данным и электронной почте. Вы можете сохранить и использовать группу устройств по умолчанию.
   • Создайте новую группу устройств, чтобы применить политику с определенными параметрами, отличными от политики по умолчанию.
   • При настройке группы устройств указываются определенные критерии, например версия операционной системы. Устройства, соответствующие критериям, включаются в эту группу устройств, если вы не исключите их.
   • Все группы устройств, включая определяемые по умолчанию и пользовательские группы устройств, хранятся в идентификаторе Microsoft Entra.

   Дополнительные сведения о группах устройств см. в разделе Группы устройств в Microsoft Defender для бизнеса.

6. На вкладке Параметры конфигурации укажите параметры политики, а затем нажмите Далее. Дополнительные сведения об отдельных параметрах см. в статьеОбщие сведения о параметрах конфигурации нового поколения в Microsoft Defender для бизнеса.

7. На вкладке Проверка политики просмотрите общую информацию, целевые устройства и параметры конфигурации.

   • Внесите необходимые изменения, выбрав Изменить.
   • Когда вы будете готовы продолжить, выберите Создать политику.

Работа с политиками устройств в Центре администрирования Microsoft Intune

Используйте следующие сведения для создания политик устройств и управления ими в Intune, которые выполняются через безопасность конечных точек в Центре администрирования Microsoft Intune (https://intune.microsoft.com).

Создание политик в Intune

1. В центре администрирования Microsoft Intune (https://intune.microsoft.com) выберите Безопасность конечных точек и тип политики, которую вы хотите настроить, а затем выберите Создать политику.

2. Выберите один из следующих типов политик.

   • антивирусная программа
   • Шифрование диска
   • Брандмауэр
   • Обнаружение и нейтрализация атак на конечные точки
   • Сокращение направлений атак
   • Защита учетной записи

3. Укажите следующие свойства:

   • Платформа. Выберите платформу, для которой создается политика. Доступные параметры зависят от выбранного типа политики.
   • Профиль. Выберите один из доступных профилей для выбранной платформы. Сведения о профилях см. в специальном разделе этой статьи для выбранного типа политики.

   Затем нажмите кнопку Создать.

4. На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.

5. На странице "Параметры конфигурации" разверните каждую группу параметров и настройте параметры, которыми требуется управлять с помощью этого профиля. Нажмите кнопку Далее.

6. На странице Назначения выберите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

7. На странице Проверка и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Дублирование политики в Intune

1. В Центре администрирования Microsoft Intune (https://intune.microsoft.com) выберите политику, которую нужно скопировать. Затем выберите Дублировать или нажмите кнопку с многоточием (...) справа от политики и выберите Дублировать.

2. В поле "Новое имя" укажите имя политики, а затем нажмите Сохранить.

Изменение политики в Intune

1. В центре администрирования Microsoft Intune (https://intune.microsoft.com) выберите политику, а затем выберите Свойства.

2. Выберите Параметры, чтобы развернуть список параметров конфигурации в политике. Вы не можете изменить параметры из этого представления, но можете просмотреть, как они настроены.

3. Чтобы изменить политику, выберите Изменить для каждой категории, в которой нужно внести изменения:

   • Основы
   • Задания
   • Теги области
   • параметры конфигурации;

4. После внесения изменений нажмите кнопку Сохранить , чтобы сохранить изменения. Изменения в одной категории необходимо сохранить, прежде чем можно будет внести изменения в любые дополнительные категории.

Управление конфликтами

Многие параметры устройств, которыми можно управлять с помощью политик безопасности конечных точек, также доступны в других типах политик в Intune. К этим типам политик относятся политики конфигурации устройств и базовые показатели безопасности. Так как управление параметрами может выполняться с помощью нескольких разных типов политик или нескольких экземпляров одного типа политики, подготовьтесь к выявлению и устранению конфликтов политик для устройств, которые не соответствуют ожидаемым конфигурациям.

Базовые показатели безопасности могут задавать для параметра значение, отличное от значения по умолчанию, в соответствии с рекомендуемой конфигурацией, для которой применяют базовые показатели.

Другие типы политик, включая политики безопасности конечных точек, задают значение "Не настроено" по умолчанию. Эти другие типы политик требуют явной настройки параметров в политике.

Независимо от метода политики, управление одним параметром на одном устройстве с помощью нескольких типов политик или нескольких экземпляров одного типа политики может привести к конфликтам, которых следует избегать.

Если у вас возникнут конфликты политик, см. статью Устранение неполадок с политиками и профилями в Microsoft Intune.

См. также

Управление безопасностью конечных точек в Microsoft Intune

Рекомендации для защиты планов Microsoft 365 для бизнеса

Следующее действие

Настройка групп устройств и управление ими.