Hantera konfigurationsinställningar för Microsoft Defender för Endpoint på enheter med Microsoft Endpoint Manager
Gäller för:
- Hantera Microsoft Defender för slutpunkt på enheter med Microsoft Endpoint Manager
- Microsoft Defender för Endpoint
- Microsoft 365 Defender
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Säkerhetshantering för Microsoft Defender för Slutpunkt är en funktion för enheter som inte hanteras av en Microsoft Endpoint Manager, antingen Microsoft Intune eller Microsoft Endpoint Configuration Manager, för att ta emot säkerhetskonfigurationer för Microsoft Defender direkt Endpoint Manager.
Mer information om hantering av säkerhetskonfiguration, inklusive krav, plattformar som stöds och mer finns i Hantera Microsoft Defender för Slutpunkt på enheter med Microsoft Endpoint Manager.
Förutsättningar
Läs följande avsnitt för krav för säkerhetshantering för Microsoft Defender för slutpunktsscenario:
Miljö
När en enhet introduceras till Microsoft Defender för Slutpunkt:
- Enheten undersökas efter en befintlig Endpoint Manager närvaro, som är en MDM-registrering (Mobile Device Management) till Intune
- Enheter utan Endpoint Manager närvaro aktiverar funktionen Säkerhetshantering
- Ett förtroende skapas med Azure Active Directory om ett inte redan finns
- Azure Active Directory används för att kommunicera med Endpoint Manager (Intune) och hämta principer
- Principhämtningen från Endpoint Manager tillämpas på enheten av Microsoft Defender för Endpoint
Krav för Active Directory
När en enhet som är domänkoppling skapar ett förtroende med Azure Active Directory kallas det här scenariot för ett Hybrid-Azure Active Directory Join-scenario. Säkerhetshantering för Microsoft Defender för Endpoint har fullt stöd för det här scenariot med följande krav:
- Azure Active Directory Anslut (AAD Anslut) måste synkroniseras med den klientorganisation som används från Microsoft Defender för slutpunkten
- Hybrid Azure Active Directory-anslutning måste konfigureras i din miljö (antingen via federation eller AAD Anslut synkronisering)
- AAD Anslut synkronisering måste inkludera enhetens objekt i omfattningen för synkronisering med Azure Active Directory (vid behov för koppling)
- AAD Anslut för synkronisering måste ändras för Server 2012 R2 (när stöd för Server 2012 R2 krävs)
- Alla enheter måste registrera sig i Azure Active Directory i klientorganisationen som är värd för Microsoft Defender för Slutpunkt. Scenarier med flera klientorganisationar stöds inte.
Anslutningskrav
Enheter måste ha åtkomst till följande slutpunkter:
enterpriseregistration.windows.net- För Azure AD-registrering.login.microsoftonline.com- För Azure AD-registrering.*.dm.microsoft.com- Användningen av jokertecken stöder de molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.
Plattformar som stöds
Principer för Microsoft Defender för slutpunktssäkerhetshantering stöds för följande enhetsplattformar:
- Windows 10 Professional/Enterprise (med KB5006738)
- Windows Server 2012 R2 med Microsoft Defender för Down-Level enheter
- Windows Server 2016 med Microsoft Defender för Down-Level enheter
- Windows Server 2019 (med KB5006744)
- Windows Server 2022 (med KB5006745)
Licensiering och prenumerationer
Om du vill använda säkerhetshantering för Microsoft Defender för Endpoint behöver du:
En prenumeration som beviljar licenser för Microsoft Defender för Endpoint, till exempel Microsoft 365, eller en fristående licens för endast Microsoft Defender för Endpoint. En prenumeration som tilldelar Microsoft Defender för Slutpunktslicenser ger också din klientorganisations åtkomst till slutpunktssäkerhetsnoden i Microsoft Endpoint Manager administrationscenter.
Anteckning
Undantag: Om du har åtkomst till Microsoft Defender för Slutpunkt som en del av en licens för Microsoft Defender endast för molnet (tidigare Azure Säkerhetscenter) är säkerhetshantering för Microsoft Defender för slutpunkt inte tillgänglig.
Slutpunktssäkerhetsnoden är den plats där du konfigurerar och distribuerar principer för att hantera Microsoft Defender för Slutpunkt för dina enheter och övervaka enhetsstatus.
Aktuell information om alternativ finns i Minimikrav för Microsoft Defender för Slutpunkt.
Arkitektur
Följande diagram är en konceptuell representation av lösningen för hantering av säkerhetskonfiguration för Microsoft Defender för Endpoint.
Enheter introduceras till Microsoft Defender för Endpoint.
Ett förtroende upprättas mellan varje enhet och Azure AD. När en enhet har ett befintligt förtroende, som används. När enheter inte har registrerats skapas ett nytt förtroende.
Enheter använder sin Azure AD-identitet för att kommunicera med Endpoint Manager. Den här identiteten Microsoft Endpoint Manager distribuera principer som är riktade till enheterna när de checkar in.
Defender för Endpoint rapporterar statusen för principen tillbaka till Endpoint Manager.
Vilken lösning ska jag använda?
Microsoft Endpoint Manager flera metoder och principtyper för att hantera konfigurationen av Defender för Slutpunkt på enheter.
När ditt enhetsskydd kräver mer än att hantera Defender för Endpoint kan du läsa Översikt över enhetsskydd och lära dig mer om ytterligare funktioner som tillhandahålls av Microsoft Endpoint Manager för att skydda enheter, inklusive enhetsefterlevnad, hanterade appar, appskyddsprinciper och integrering med tredjepartspartner för efterlevnad och skydd av mobila hot.
I följande tabell får du veta vilka principer som kan konfigurera MDE-inställningar som stöds av enheter som hanteras av olika scenarier. När du distribuerar en princip som stöds för både MDE-säkerhetskonfiguration och Microsoft Endpoint Manager kan en enda instans av den principen bearbetas av enheter som endast kör MDE och enheter som hanteras av Intune eller Configuration Manager.
| Microsoft Endpoint Manager | Arbetsbelastning | MDE-säkerhetskonfiguration | Microsoft Endpoint Manager |
|---|---|---|---|
| Slutpunktssäkerhet | Antivirus | ![]() |
![]() |
| Diskkryptering | ![]() |
||
| Brandvägg (profil och regler) | ![]() |
![]() |
|
| Identifiering och svar av slutpunkt | ![]() |
![]() |
|
| Minska attackytan | ![]() |
||
| Kontoskydd | ![]() |
||
| Enhetsefterlevnad | ![]() |
||
| Villkorsstyrd åtkomst | ![]() |
||
| Säkerhetsbaslinjer | ![]() |
Slutpunktssäkerhetsprinciper är fristående grupper av inställningar avsedda att användas av säkerhetsadministratörer som fokuserar på att skydda enheter i din organisation.
- Antivirusprogram hanterar säkerhetskonfigurationerna i Microsoft Defender för Endpoint. Se antivirusprincip för slutpunktssäkerhet.
- Minskningsprinciper för attackytor fokuserar på att minimera platserna där organisationen är sårbar för cyberhot och attacker. Mer information finns i Översikt över minskning av attackytan i dokumentationen Windows om skydd mot hot och minskning av attackytan för slutpunktssäkerhet.
- Principer för identifiering och Identifiering och åtgärd på slutpunkt slutpunkt hanterar Defender för slutpunktsfunktioner som tillhandahåller avancerade attackidentifieringar som är nästan i realtid och kan hanteras. Baserat på Identifiering och åtgärd på slutpunkt konfigurationer kan säkerhetsanalytiker prioritera aviseringar effektivt, få insyn i den fullständiga omfattningen av ett intrång och vidta åtgärder för att åtgärda hot. Se identifiering och åtgärd på slutpunkt princip för slutpunktssäkerhet.
- Brandväggsprinciper fokuserar på Defender-brandväggen på dina enheter. Se brandväggsprincipen för slutpunktssäkerhet.
- Brandväggsregler konfigurerar detaljerade regler för brandväggar, inklusive specifika portar, protokoll, program och nätverk. Se brandväggsprincipen för slutpunktssäkerhet.
- Säkerhetsbaslinjer innehåller förkonfigurerade säkerhetsinställningar som definierar microsoft rekommenderade säkerhetsinställningar för olika produkter som Defender, Edge eller Windows. Standardrekommendationerna kommer från relevanta produktteam och gör att du snabbt kan distribuera den rekommenderade säkra konfigurationen till enheter. Inställningarna är förkonfigurerade i varje originalplan, men du kan skapa anpassade instanser av dem för att åstadkomma organisationens säkerhetsförväntningar. Se säkerhetsbaslinjer för Intune.
Konfigurera din klientorganisation för att stödja Microsoft Defender för Hantering av säkerhetskonfiguration för slutpunkt
Om du vill stödja Microsoft Defender för hantering av säkerhetskonfiguration för slutpunkt Microsoft Endpoint Manager administrationscentret måste du aktivera kommunikation mellan dem från varje konsol.
Logga in på Microsoft 365 Defender och gå Inställningar > slutpunkter tillämpningsomfång för konfigurationshantering och aktivera plattformarna för hantering av > > säkerhetsinställningar:
Se till att relevanta användare har behörigheter för att hantera säkerhetsinställningar för slutpunkter i Microsoft Endpoint Manager eller bevilja dessa behörigheter genom att konfigurera en roll i Defender-portalen. Gå till Inställningar > Lägg till > objekt:
Tips
Du kan ändra befintliga roller och lägga till nödvändiga behörigheter jämfört med att skapa ytterligare roller i Microsoft Defender för Slutpunkt
När du konfigurerar rollen lägger du till användare och ser till att välja Hantera säkerhetsinställningar för slutpunkt i Microsoft Endpoint Manager:
Logga in till administrationscentret för Microsoft Endpoint Manager.
Välj Slutpunktssäkerhet Microsoft Defender för Slutpunkt och ställ in Tillåt Microsoft Defender för Slutpunkt att framtvinga > Slutpunktssäkerhetskonfigurationer (förhandsversion) till På.
När du ställer in det här alternativet på På blir alla enheter i plattformsomfattningen i Microsoft Defender för Endpoint som inte hanteras av Microsoft Endpoint Manager berättigade att registrera sig i Microsoft Defender för Endpoint.
Registrera enheter till Microsoft Defender för Endpoint
Microsoft Defender för Slutpunkt har stöd för flera alternativ för att hantera enheter. Aktuell vägledning finns i Onboarding-verktyg och -metoder för Windows i Defender för Endpoint-dokumentationen.
Viktigt
När en enhet registreras med Microsoft Defender för Endpoint måste den och märkas med MDE-Hantering innan den kan registreras med Säkerhetshantering för Microsoft Defender för Endpoint. Mer information om enhetstaggar i MDE finns i Skapa och hantera enhetstaggar.
Samexisten med Microsoft Endpoint Configuration Manager
När du använder Konfigurationshanteraren är den bästa sökvägen för hantering av säkerhetsprincip att använda Configuration Manager-klientorganisationen bifoga. I vissa miljöer kan du behöva använda Säkerhetshantering för Microsoft Defender. När du använder säkerhetshantering för Microsoft Defender med Konfigurationshanteraren bör slutpunktssäkerhetsprincipen isoleras till ett enda kontrollplan. Om du kontrollerar principen i båda kanalerna skapas en möjlighet till konflikter och oönskade resultat.
Skapa Azure AD-grupper
När enheter har introduceras i Defender för Endpoint måste du skapa enhetsgrupper för att stödja distribution av principen för Microsoft Defender för Slutpunkt.
Identifiera enheter som har registrerats med Microsoft Defender för Endpoint men inte hanteras av Intune eller Konfigurationshanteraren:
Logga in på Microsoft Endpoint Manager administrationscenter.
Gå till Enheter > alla enheter och välj kolumnen Hanteras av för att sortera vyn på enheter.
Enheter som registreras i Microsoft Defender för Endpoint och har registrerats men inte hanteras av Intune visar Microsoft Defender för Endpoint i kolumnen Hanteras av. Det här är de enheter som kan få en princip för säkerhetshantering för Microsoft Defender för Endpoint.
Du hittar också två etiketter för enheter som använder säkerhetshantering för Microsoft Defender för Slutpunkt:
- MDEJoined – läggs till på enheter som är anslutna till katalogen som en del av det här scenariot.
- MDEManaged – har lagts till på enheter som aktivt använder säkerhetshanteringsscenariot. Den här taggen tas bort från enheten om Defender för Endpoint slutar hantera säkerhetskonfigurationen.
Du kan skapa grupper för dessa enheter i Azure AD eller Microsoft Endpoint Manager administrationscentret.
Distribuera princip
När du har skapat en eller flera Azure AD-grupper som innehåller enheter som hanteras av Microsoft Defender för Endpoint kan du skapa och distribuera följande principer för säkerhetshantering för Microsoft Defender för slutpunkt till de grupperna:
- Antivirus
- Brandvägg
- Brandväggsregler
- Identifiering och svar av slutpunkt
Tips
Undvik att distribuera flera principer som hanterar samma inställning på en enhet.
Microsoft Endpoint Manager stöd för distribution av flera instanser av varje slutpunktssäkerhetsprinciptyp till samma enhet, där varje principinstans tas emot av enheten separat. Därför kan en enhet få separata konfigurationer för samma inställning från olika principer, vilket leder till en konflikt. Vissa inställningar (t.ex. undantag för antivirus) slås ihop på klienten och tillämpas korrekt.
Logga in till administrationscentret för Microsoft Endpoint Manager.
Gå till Slutpunktssäkerhet och välj sedan den typ av princip du vill konfigurera, antingen Antivirus eller Brandvägg, och välj sedan Skapa princip.
Ange följande egenskaper eller den principtyp som du har valt:
För antivirusprincip väljer du:
- Plattform: Windows 10, Windows 11 och Windows Server (förhandsversion)
- Profil: Microsoft Defender Antivirus (förhandsversion)
För brandväggsprincip väljer du:
- Plattform: Windows 10, Windows 11 och Windows Server (förhandsversion)
- Profil: Microsoft Defender-brandväggen (förhandsversion)
För princip för brandväggsregler väljer du:
- Plattform: Windows 10, Windows 11 och Windows Server (förhandsversion)
- Profil: Microsoft Defender-brandväggsregler (förhandsversion)
För Slutpunktsidentifierings- och svarsprincip väljer du:
- Plattform: Windows 10, Windows 11 och Windows Server (förhandsversion)
- Profil: Identifiering och svar av slutpunkt (förhandsversion)
Anteckning
Profilerna gäller både enheter som kommunicerar via MDM (Mobile Device Management) med Microsoft Intune och enheter som kommunicerar med Microsoft Defender för Endpoint-klienten.
Se till att granska din målgrupp och grupper efter behov.
Välj Skapa.
På sidan Grundläggande inställningar anger du ett namn och en beskrivning för profilen. Välj sedan Nästa.
På sidan Konfigurationsinställningar väljer du de inställningar du vill hantera med den här profilen. Om du vill ha mer information om en inställning expanderar du dialogrutan med information och väljer länken Läs mer för att visa information om CSP för inställningen i dokumentationen som finns på raden.
När du har konfigurerat inställningarna väljer du Nästa.
På sidan Assignments väljer du de Azure AD-grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.
Gå vidare genom att klicka på Nästa.
Tips
- Tilldelningsfilter stöds inte för profiler för säkerhetskonfigurationshantering.
- Endast enhetsobjekt är tillämpliga för Microsoft Defender för Slutpunktshantering. Det går inte att rikta användare.
- Konfigurerade principer gäller både för Microsoft Intune och Microsoft Defender för Endpoint-klienter
Slutför processen för att skapa principen och välj sedan Skapa på sidan Granska + skapa. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.
Vänta tills principen har tilldelats och visa en indikation på att principen har tillämpats.
Du kan verifiera att inställningarna har tillämpats lokalt på klienten med hjälp av kommandoverktyget Get-MpPreference.
Anteckning
Den här funktionen distribueras gradvis.
Mer information om hantering av säkerhetskonfiguration finns i Hantera Microsoft Defender för Slutpunkt på enheter med Microsoft Endpoint Manager.
Om du stöter på registreringsproblem kan du gå till Felsöka problem med hantering av säkerhetskonfiguration .
Anteckning
Den här funktionen gäller inte för enheter som redan är registrerade på Microsoft Endpoint Manager (antingen Intune eller Configuration Manager). Enheter som har registrerats i Intune fortsätter att ta emot principer via sin etablerade hanteringskanal.
Identifiera onboarded-enheter
Använd följande steg för att verifiera att slutpunkterna har slutfört säkerhetshanteringen för Microsoft Defender för slutpunkts onboarding-processen.
Kontrollera att enheten visas i avsnittet Enhetsinventering i Microsoft 365 Defender.
I Azure Active Directory kontrollerardu att enheten har registrerats.
I Microsoft Endpoint Manager administrationscenterkontrollerar du att enheten har registrerats genom att leta upp den i avsnittet Enheter > alla enheter.
Offboard-enheter
Information om offboard-enheter som har hanterats via säkerhetshantering för Microsoft Defender för slutpunkt finns i Offboard-enheter från Microsoft Defender för slutpunktstjänsten.
Anteckning
Offboarding inaktiverar skydd mot manipulering om det är aktiverat.
Felsökning av säkerhetshantering
Information om hur du felsöker säkerhetshantering för Microsoft Defender för slutpunktsregistrering finns i Felsöka onboarding-problem som rör säkerhetshantering för Microsoft Defender för slutpunkt.
