Granska eller redigera nästa generations skyddsprinciper i Microsoft Defender för företag

I Defender för företag innehåller nästa generations skydd robust skydd mot antivirusprogram och program mot skadlig kod för datorer och mobila enheter. Standardprinciper med rekommenderade inställningar ingår i Defender för företag. Standardprinciperna är utformade för att skydda dina enheter och användare utan att hindra produktiviteten. Du kan dock anpassa dina principer så att de passar dina affärsbehov.

Du kan välja mellan flera alternativ för att hantera nästa generations skyddsprinciper:

• Använd Microsoft Defender-portalen på https://security.microsoft.com (rekommenderas om du använder den fristående versionen av Defender för företag utan Intune); eller
• Använd Microsoft Intune administrationscenter på https://intune.microsoft.com (tillgängligt om din prenumeration innehåller Intune)

Portalen för Microsoft Defender

1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.

2. I navigeringsfönstret går du till Konfigurationshantering>Enhetskonfiguration. Principer ordnas efter operativsystem och principtyp.

3. Välj en flik för operativsystemet (till exempel Windows).

4. Expandera Nästa generations skydd för att visa din lista över principer. Som minst visas en standardprincip med rekommenderade inställningar. Den här standardprincipen tilldelas till alla registrerade enheter som kör det operativsystem som du valde i föregående steg (till exempel Windows). Du kan:

   • Behåll standardprincipen som den är konfigurerad för tillfället.
   • Redigera standardprincipen för att göra nödvändiga justeringar.
   • Skapa en ny princip.

5. Använd någon av procedurerna i följande tabell:

   Uppgift	Förfarande
   Redigera din standardprincip	1. I avsnittet Nästa generations skydd väljer du din standardprincip och sedan Redigera. 2. Granska informationen i det allmänna informationssteget . Om det behövs redigerar du beskrivningen och väljer sedan Nästa. 3. I steget Enhetsgrupper använder du antingen en befintlig grupp eller konfigurerar en ny grupp. Välj sedan Nästa. 4. I steget Konfigurationsinställningar granskar du och vid behov redigerar du säkerhetsinställningarna och väljer sedan Nästa. Mer information om inställningarna finns i Nästa generations skyddsinställningar och alternativ (i den här artikeln). 5. Granska dina aktuella inställningar i steget Granska din princip . Välj Redigera för att göra nödvändiga ändringar. Välj sedan Uppdatera princip.
   Skapa en ny princip	1. I avsnittet Nästa generations skydd väljer du Lägg till. 2. I steget Allmän information anger du ett namn och en beskrivning för principen. Du kan också behålla eller ändra en principordning (se Förstå principordning i Microsoft Defender för företag). Välj sedan Nästa. 3. I steget Enhetsgrupper kan du antingen använda en befintlig grupp eller skapa en ny grupp (se Enhetsgrupper i Microsoft Defender för företag). Välj sedan Nästa. 4. I steget Konfigurationsinställningar granskar och redigerar du säkerhetsinställningarna och väljer sedan Nästa. Mer information om inställningarna finns i Nästa generations skyddsinställningar och alternativ (i den här artikeln). 5. Granska dina aktuella inställningar i steget Granska din princip . Välj Redigera för att göra nödvändiga ändringar. Välj sedan Skapa princip.

Intune administrationscenter

1. Gå till Microsoft Intune administrationscenter (https://intune.microsoft.com) och logga in.

2. Välj Slutpunktssäkerhet.

3. Välj Antivirus för att visa dina principer i den kategorin.

4. Välj en enskild princip för att redigera den.

   Om du vill ha hjälp med att hantera dina säkerhetsinställningar i Intune börjar du med Hantera slutpunktssäkerhet i Microsoft Intune.

Nästa generations skyddsinställningar och alternativ

I följande tabell visas inställningar och alternativ för nästa generations skydd i Defender för företag.

Inställning	Beskrivning
Realtidsskydd
Aktivera realtidsskydd	Realtidsskydd är aktiverat som standard och hindrar skadlig kod från att köras på enheter. Vi rekommenderar att realtidsskydd är aktiverat. När realtidsskydd är aktiverat konfigureras följande inställningar: – Beteendeövervakning är aktiverat (AllowBehaviorMonitoring). – Alla nedladdade filer och bifogade filer genomsöks (AllowIOAVProtection). – Skript som används i Microsoft-webbläsare genomsöks (AllowScriptScanning).
Blockera vid första anblicken	Aktiverat som standard blockerar blockering vid första anblicken skadlig kod inom några sekunder efter identifiering, ökar tiden (i sekunder) som tillåts att skicka exempelfiler för analys och anger din identifieringsnivå till Hög. Vi rekommenderar att du håller blockera vid första anblicken aktiverat. När blockera vid första anblicken är aktiverat konfigureras följande inställningar för Microsoft Defender Antivirus: – Blockering och genomsökning av misstänkta filer är inställt på nivån Hög blockering (CloudBlockLevel). – Antalet sekunder för en fil som ska blockeras och kontrolleras är inställt på 50 sekunder (CloudExtendedTimeout). Viktigt Om blockera vid första anblicken är inaktiverat påverkar CloudBlockLevel det och CloudExtendedTimeout för Microsoft Defender Antivirus.
Aktivera nätverksskydd	Nätverksskyddet är aktiverat i blockeringsläge som standard och skyddar mot nätfiskebedrägerier, webbplatser med exploateringsvärdar och skadligt innehåll på Internet. Det förhindrar också att användare inaktiverar nätverksskyddet. Nätverksskyddet kan ställas in på följande lägen: - Blockeringsläge är standardinställningen. Det hindrar användare från att besöka webbplatser som anses vara osäkra. Vi rekommenderar att du behåller nätverksskyddet inställt på Blockera läge. - Granskningsläget gör att användare kan besöka webbplatser som kan vara osäkra och spårar nätverksaktivitet till/från sådana webbplatser. - Inaktiverat läge blockerar varken användare från att besöka webbplatser som kan vara osäkra eller spårar nätverksaktivitet till/från sådana webbplatser.
Åtgärda
Åtgärder för att vidta åtgärder för potentiellt oönskade appar (PUA)	PUA-skydd är aktiverat som standard och blockerar objekt som identifieras som PUA. PUA kan innehålla reklamprogram; paketering av programvara som erbjuder att installera annan, osignerad programvara; och skatteundandragande programvara som försöker undvika säkerhetsfunktioner. Även om PUA inte nödvändigtvis är ett virus, skadlig kod eller någon annan typ av hot kan det påverka enhetens prestanda. Du kan ställa in PUA-skydd på följande lägen: - Aktiverad är standardinställningen. Den blockerar objekt som identifieras som PUA på enheter. Vi rekommenderar att pua-skydd är aktiverat. - Granskningsläget vidtar ingen åtgärd för objekt som identifierats som PUA. - Inaktiverad identifierar inte eller vidtar åtgärder för objekt som kan vara PUA.
Scan
Typ av schemalagd genomsökning	Aktiverad i Quickscan-läge som standard, kan du ange en dag och tid för att köra veckovisa antivirusgenomsökningar. Följande alternativ för genomsökningstyp är tillgängliga: - Quickscan kontrollerar platser, till exempel registernycklar och startmappar, där skadlig kod kan registreras för att starta tillsammans med en enhet. Vi rekommenderar att du använder alternativet quickscan. - Fullscan kontrollerar alla filer och mappar på en enhet. - Inaktiverad innebär att inga schemalagda genomsökningar kommer att ske. Användare kan fortfarande köra genomsökningar på sina egna enheter. (I allmänhet rekommenderar vi inte att du inaktiverar schemalagda genomsökningar.) Läs mer om genomsökningstyper.
Veckodag för att köra en schemalagd genomsökning	Välj en dag då dina vanliga antivirusgenomsökningar ska köras varje vecka.
Tid på dagen för att köra en schemalagd genomsökning	Välj en tid för att köra regelbundet schemalagda antivirusgenomsökningar som ska köras.
Använda låga prestanda	Den här inställningen är inaktiverad som standard. Vi rekommenderar att du inaktiverar den här inställningen. Du kan dock aktivera den här inställningen för att begränsa enhetens minne och resurser som används under schemalagda genomsökningar. Viktigt Om du aktiverar Använd låga prestanda konfigureras följande inställningar för Microsoft Defender Antivirus: - Arkivfiler skannas inte (AllowArchiveScanning). – Genomsökningar tilldelas låg CPU-prioritet (EnableLowCPUPriority). - Om en fullständig antivirusgenomsökning missas körs ingen catch-up-genomsökning (DisableCatchupFullScan). – Om en snabb antivirusgenomsökning missas körs ingen catch-up-genomsökning (DisableCatchupQuickScan). – Minskar den genomsnittliga CPU-belastningsfaktorn under en antivirusgenomsökning från 50 procent till 20 procent (AvgCPULoadFactor).
Användarupplevelse
Tillåt användare att komma åt Windows-säkerhet-appen	Aktivera den här inställningen så att användarna kan öppna Windows-säkerhet-appen på sina enheter. Användare kan inte åsidosätta inställningar som du konfigurerar i Defender för företag, men de kan köra en snabbsökning eller visa eventuella identifierade hot.
Antivirusundantag	Undantag är processer, filer eller mappar som hoppas över av Microsoft Defender Antivirus-genomsökningar. I allmänhet bör du inte behöva definiera undantag. Microsoft Defender Antivirus innehåller många automatiska undantag som baseras på kända operativsystemsbeteenden och vanliga hanteringsfiler. Varje undantag minskar din skyddsnivå, så det är viktigt att noga överväga vilka undantag som ska definieras. Innan du lägger till undantag kan du läsa Hantera undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.
Processundantag	Processundantag förhindrar att filer som öppnas av specifika processer genomsöks av Microsoft Defender Antivirus. När du lägger till en process i listan över processundantag söker Microsoft Defender Antivirus inte igenom filer som öppnas av den processen, oavsett var filerna finns. Själva processen genomsöks såvida den inte läggs till i listan över filundantag. Se Konfigurera undantag för filer som öppnas av processer.
Undantag för filnamnstillägg	Undantag för filnamnstillägg förhindrar att filer med specifika tillägg genomsöks av Microsoft Defender Antivirus. Se Konfigurera och validera undantag baserat på filnamnstillägg och mappplats.
Fil- och mappundantag	Fil- och mappundantag förhindrar att filer som finns i specifika mappar genomsöks av Microsoft Defender Antivirus. Se Kontextuella fil- och mappundantag.

Andra förkonfigurerade inställningar i Defender för företag

Följande säkerhetsinställningar är förkonfigurerade i Defender för företag:

• Genomsökning av flyttbara enheter är aktiverat (AllowFullScanRemovableDriveScanning).
• Dagliga snabbgenomsökningar har ingen förinställd tid (ScheduleQuickScanTime).
• Uppdateringar av säkerhetsinformation kontrolleras innan en antivirusgenomsökning körs (CheckForSignaturesBeforeRunningScan).
• Säkerhetskontroll utförs var fjärde timme (SignatureUpdateInterval).

Så här motsvarar standardinställningarna i Defender för företag inställningar i Microsoft Intune

I följande tabell beskrivs inställningar som är förkonfigurerade för Defender för företag och hur dessa inställningar motsvarar vad du kan se i Intune. Om du använder den förenklade konfigurationsprocessen i Defender för företag behöver du inte redigera de här inställningarna.

Inställning	Beskrivning
Molnskydd	Molnskydd kallas ibland molnbaserat skydd eller Microsoft Advanced Protection Service (MAPS) och fungerar med Microsoft Defender Antivirus och Microsoft-molnet för att identifiera nya hot, ibland även innan en enda enhet påverkas. Som standard är AllowCloudProtection aktiverat. Läs mer om molnskydd.
Övervakning av inkommande och utgående filer	Om du vill övervaka inkommande och utgående filer är RealTimeScanDirection inställt på att övervaka alla filer.
Sök igenom nätverksfiler	Som standard är AllowScanningNetworkFiles inte aktiverat och nätverksfiler skannas inte.
Skanna e-postmeddelanden	Som standard är AllowEmailScanning inte aktiverat och e-postmeddelanden genomsöks inte.
Antal dagar (0–90) för att behålla skadlig kod i karantän	Som standard är inställningen DaysToRetainCleanedMalware inställd på noll (0) dagar. Artefakter som är i karantän tas inte bort automatiskt.
Skicka medgivande för exempel	Som standard är SubmitSamplesConsent inställt på att skicka säkra exempel automatiskt. Exempel på säkra exempel är .bat, .scr, .dlloch .exe filer som inte innehåller personligt identifierbar information (PII). Om en fil innehåller PII får användaren en begäran om att tillåta att exempelöverföringen fortsätter. Läs mer om molnskydd och exempelöverföring.
Sök igenom flyttbara enheter	Som standard är AllowFullScanRemovableDriveScanning konfigurerat för genomsökning av flyttbara enheter, till exempel USB-tumenheter på enheter. Läs mer om principinställningar för program mot skadlig kod.
Köra daglig snabbsökningstid	Som standard är ScheduleQuickScanTime inställt på 02:00. Läs mer om genomsökningsinställningar.
Sök efter signaturuppdateringar innan du kör genomsökningen	Som standard är CheckForSignaturesBeforeRunningScan konfigurerat för att söka efter säkerhetsinformationsuppdateringar innan du kör genomsökningar av antivirus/program mot skadlig kod. Läs mer om genomsökningsinställningar och uppdateringar av säkerhetsinformation.
Hur ofta (0–24 timmar) för att söka efter säkerhetsinformationsuppdateringar	Som standard är SignatureUpdateInterval konfigurerat för att söka efter säkerhetsinformationsuppdateringar var fjärde timme. Läs mer om genomsökningsinställningar och uppdateringar av säkerhetsinformation.

Nästa steg

• Konfigurera brandväggsprinciper och anpassade regler för brandväggsprinciper.
• Konfigurera filtreringsprincipen för webbinnehåll och aktivera webbskydd automatiskt.
• Konfigurera din kontrollerade mappåtkomstprincip för skydd mot utpressningstrojaner.
• Aktivera reglerna för minskning av attackytan.
• Granska inställningarna för avancerade funktioner och Microsoft Defender portalen.
• Använd instrumentpanelen för sårbarhetshantering i Microsoft Defender för företag