Hantera enhetssäkerhet med slutpunktssäkerhetsprinciper i Microsoft Intune

  • Artikel

Använd Intune slutpunktssäkerhetsprinciper för att hantera säkerhetsinställningar på enheter. Varje slutpunktssäkerhetsprincip stöder en eller flera profiler. De här profilerna liknar en principmall för enhetskonfiguration, en logisk grupp med relaterade inställningar.

Som säkerhetsadministratör som arbetar med enhetssäkerhet kan du använda dessa säkerhetsfokuserade profiler för att undvika omkostnaderna för enhetskonfigurationsprofiler eller säkerhetsbaslinjer. Enhetskonfigurationsprofiler och baslinjer innehåller en stor mängd olika inställningar utanför omfånget för att skydda slutpunkter. Däremot fokuserar varje slutpunktssäkerhetsprofil på en specifik delmängd av enhetsinställningarna som är avsedda att konfigurera en aspekt av enhetssäkerheten.

När du använder slutpunktssäkerhetsprinciper tillsammans med andra principtyper som säkerhetsbaslinjer eller mallar för slutpunktsskydd från enhetskonfigurationsprinciper är det viktigt att utveckla en plan för att använda flera principtyper för att minimera risken för motstridiga inställningar. Säkerhetsbaslinjer, enhetskonfigurationsprinciper och slutpunktssäkerhetsprinciper behandlas alla som lika källor för enhetskonfigurationsinställningar av Intune. En inställningskonflikt uppstår när en enhet tar emot två olika konfigurationer för en inställning från flera källor. Flera källor kan innehålla separata principtyper och flera instanser av samma princip.

När Intune utvärderar en princip för en enhet och identifierar motstridiga konfigurationer för en inställning kan den aktuella inställningen flaggas för ett fel eller en konflikt och kan inte tillämpas. Varje typ av konfigurationsprincip stöder identifiering och lösning av konflikter om de skulle uppstå:

Du hittar principer för slutpunktssäkerhet under Hantera i noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.

Hantera slutpunktssäkerhetsprinciper i Microsoft Intune administrationscenter

Här följer en kort beskrivning av varje principtyp för slutpunktssäkerhet. Om du vill veta mer om dem, inklusive tillgängliga profiler för var och en, följer du länkarna till innehåll som är dedikerat till varje principtyp:

  • Kontoskydd – Kontoskyddsprinciper hjälper dig att skydda dina användares identiteter och konton. Kontoskyddsprincipen fokuserar på inställningar för Windows Hello och Credential Guard, som är en del av Windows identitets- och åtkomsthantering.

  • Antivirus – Antivirusprinciper hjälper säkerhetsadministratörer att fokusera på att hantera den diskreta gruppen med antivirusinställningar för hanterade enheter.

  • Appkontroll för företag (förhandsversion) – Hantera godkända appar för Windows-enheter med appkontroll för företag-princip och hanterade installationsprogram för Microsoft Intune. Intune App Control for Business-principer är en implementering av Windows Defender Application Control (WDAC).

  • Minskning av attackytan – När Defender antivirus används på dina Windows 10/11-enheter använder du Intune slutpunktssäkerhetsprinciper för minskning av attackytan för att hantera dessa inställningar för dina enheter.

  • Diskkryptering – Diskkrypteringsprofiler för slutpunktssäkerhet fokuserar bara på de inställningar som är relevanta för en inbyggd krypteringsmetod för enheter, till exempel FileVault eller BitLocker. Det här fokuset gör det enkelt för säkerhetsadministratörer att hantera inställningar för diskkryptering utan att behöva navigera i en mängd orelaterade inställningar.

  • Slutpunktsidentifiering och svar – När du integrerar Microsoft Defender för Endpoint med Intune använder du slutpunktssäkerhetsprinciperna för slutpunktsidentifiering och svar (EDR) för att hantera EDR-inställningarna och registrera enheter för att Microsoft Defender för Endpoint.

  • Brandvägg – Använd brandväggsprincipen för slutpunktssäkerhet i Intune för att konfigurera en inbyggd brandvägg för enheter som kör macOS och Windows 10/11.

Följande avsnitt gäller för alla slutpunktssäkerhetsprinciper.

Skapa en slutpunktssäkerhetsprincip

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet och välj sedan den typ av princip som du vill konfigurera och välj sedan Skapa princip. Välj mellan följande principtyper:

    • Kontoskydd
    • Antivirus
    • Programkontroll (förhandsversion)
    • Minska attackytan
    • Diskkryptering
    • Identifiering och svar av slutpunkt
    • Brandvägg

  3. Ange följande egenskaper:

    • Plattform: Välj den plattform som du skapar princip för. Vilka alternativ som är tillgängliga beror på vilken principtyp du väljer.
    • Profil: Välj bland de tillgängliga profilerna för den plattform som du har valt. Information om profilerna finns i det dedikerade avsnittet i den här artikeln för den valda principtypen.

  4. Välj Skapa.

  5. På sidan Grundläggande inställningar anger du ett namn och en beskrivning för profilen. Välj sedan Nästa.

  6. På sidan Konfigurationsinställningar expanderar du varje grupp med inställningar och konfigurerar de inställningar som du vill hantera med den här profilen.

    När du har konfigurerat inställningarna väljer du Nästa.

  7. På sidan Omfångstaggar väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.

    Gå vidare genom att klicka på Nästa.

  8. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  9. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Duplicera en princip

Slutpunktssäkerhetsprinciper stöder duplicering för att skapa en kopia av den ursprungliga principen. Ett scenario när du duplicerar en princip är användbart om du behöver tilldela liknande principer till olika grupper men inte vill återskapa hela principen manuellt. I stället kan du duplicera den ursprungliga principen och sedan bara introducera de ändringar som den nya principen kräver. Du kanske bara ändrar en specifik inställning och den grupp som principen är tilldelad till.

När du skapar en dubblett ger du kopian ett nytt namn. Kopian görs med samma inställningskonfigurationer och omfångstaggar som originalet, men har inga tilldelningar. Du måste redigera den nya principen senare för att skapa tilldelningar.

Följande principtyper stöder duplicering:

  • Kontoskydd
  • Programkontroll (förhandsversion)
  • Antivirus
  • Minska attackytan
  • Diskkryptering
  • Identifiering och svar av slutpunkt
  • Brandvägg

När du har skapat den nya principen granskar och redigerar du principen för att göra ändringar i dess konfiguration.

Duplicera en princip

  1. Logga in på Microsoft Intune administrationscenter.
  2. Välj den princip som du vill kopiera. Välj sedan Duplicera eller välj ellipsen (...) till höger om principen och välj Duplicera.
  3. Ange ett nytt namn för principen och välj sedan Spara.

Redigera en princip

  1. Välj den nya principen och välj sedan Egenskaper.
  2. Välj Inställningar om du vill visa en lista över konfigurationsinställningarna i principen. Du kan inte ändra inställningarna från den här vyn, men du kan granska hur de konfigureras.
  3. Om du vill ändra principen väljer du Redigera för varje kategori där du vill göra en ändring:
    • Grunderna
    • Uppgifter
    • Omfattningstaggar
    • Konfigurationsinställningar
  4. När du har gjort ändringar väljer du Spara för att spara dina ändringar. Ändringar i en kategori måste sparas innan du kan introducera ändringar i ytterligare kategorier.

Hantera konflikter

Många av de enhetsinställningar som du kan hantera med slutpunktssäkerhetsprinciper (säkerhetsprinciper) är också tillgängliga via andra principtyper i Intune. Dessa andra principtyper är enhetskonfigurationsprinciper och säkerhetsbaslinjer. Eftersom inställningar kan hanteras via flera olika principtyper eller av flera instanser av samma principtyp bör du vara beredd på att identifiera och lösa principkonflikter för enheter som inte följer de konfigurationer du förväntar dig.

  • Säkerhetsbaslinjer kan ange ett värde som inte är standard för en inställning så att den överensstämmer med den rekommenderade konfiguration som baslinjen adresserar.
  • Andra principtyper, inklusive slutpunktssäkerhetsprinciper, anger värdet Inte konfigurerad som standard. Dessa andra principtyper kräver att du uttryckligen konfigurerar inställningar i principen.

Oavsett principmetod kan hantering av samma inställning på samma enhet via flera principtyper eller flera instanser av samma principtyp resultera i konflikter som bör undvikas.

Informationen på följande länkar kan hjälpa dig att identifiera och lösa konflikter:

Nästa steg

Hantera slutpunktssäkerhet i Intune