Freigeben über

Verwalten der Gerätesicherheit mit Endpunktsicherheitsrichtlinien in Microsoft Intune

Verwenden Sie als Sicherheitsadministrator Intune Sicherheitsrichtlinien für Endpunkte, um Sicherheitseinstellungen auf Ihren verwalteten Geräten zu konfigurieren und zu verwalten. Endpunktsicherheitsrichtlinien sind zweckorientierte Sicherheitsprofile, die sich auf bestimmte Gerätesicherheitsszenarien konzentrieren und einen optimierten Ansatz für die Implementierung und Verwaltung von Sicherheitskontrollen in Ihren organization bieten.

Im Vergleich zur Verwaltung von Sicherheitseinstellungen über Gerätekonfigurationsrichtlinien bieten Endpunktsicherheitsrichtlinien mehrere wichtige Vorteile:

  • Fokussierte Sicherheitsverwaltung: Jeder Richtlinientyp ist auf bestimmte Sicherheitsbereiche (Antivirensoftware, Firewall, Datenträgerverschlüsselung usw.) ausgerichtet, ohne die Komplexität umfassenderer Gerätekonfigurationsprofile zu berücksichtigen.
  • Security-First-Ansatz: Zweckorientierte Richtlinien, die speziell für Sicherheitsszenarien und nicht für die allgemeine Geräteverwaltung entwickelt wurden.
  • Nach Sicherheitsfunktion organisiert: Gruppiert nach Sicherheitsworkload (Antivirus, Firewall usw.) und nicht gemischt mit allgemeinen Geräteverwaltungseinstellungen.
  • Umfassende Überwachung: Integrierte Berichterstellung und Konflikterkennung, um sicherzustellen, dass Sicherheitsrichtlinien erfolgreich bereitgestellt werden.

Grundlegendes zur Integration von Endpunktsicherheitsrichtlinien

Wenn Sie Endpunktsicherheitsrichtlinien zusammen mit anderen Intune Richtlinientypen implementieren, planen Sie Ihren Ansatz, um Konfigurationskonflikte zu minimieren. Alle Intune Richtlinientypen werden als gleiche Quellen für Gerätekonfigurationseinstellungen behandelt, was bedeutet, dass Konflikte auftreten, wenn ein Gerät unterschiedliche Konfigurationen für dieselbe Einstellung aus mehreren Richtlinien erhält.

Häufige Konfliktszenarien:

  • Sicherheitsbaselines können nicht standardmäßige Werte für Einstellungen festlegen, um die empfohlenen Konfigurationen zu erfüllen, während Endpunktsicherheits- und Gerätekonfigurationsrichtlinien in der Regel standardmäßig Nicht konfiguriert sind. Durch das Mischen dieser Ansätze können Konflikte entstehen (Konflikte lösen).
  • Gerätekonfigurationsrichtlinien , die dieselben Einstellungen wie Endpunktsicherheitsrichtlinien verwalten (Konflikte lösen).
  • Mehrere Endpunktsicherheitsrichtlinien , die unterschiedliche Werte für dieselbe Einstellung festlegen (Konflikte verwalten).

Wenn Konflikte auftreten, können betroffene Einstellungen möglicherweise nicht ordnungsgemäß angewendet werden. Planen Sie Ihre Richtlinienarchitektur, und verwenden Sie den verknüpften Leitfaden, um Konflikte zu identifizieren und zu lösen.

Verfügbare Endpunktsicherheitsrichtlinientypen

Zugreifen auf Endpunktsicherheitsrichtlinien über Endpunktsicherheit>Verwalten im Microsoft Intune Admin Center.

Verwalten von Endpunktsicherheitsrichtlinien im Microsoft Intune Admin Center

Kontoschutz

  • Zweck: Schützen von Benutzeridentitäten und -konten durch moderne Authentifizierungsmethoden
  • Plattformunterstützung: Windows
  • Verfügbare Profile: Kontoschutz, Lokale Administratorkennwortlösung (Windows LAPS), Lokale Benutzergruppenmitgliedschaft
  • Anwendungsfall: Implementieren der kennwortlosen Authentifizierung und des Schutzes von Anmeldeinformationen

Antivirus

  • Zweck: Konfigurieren und Verwalten von Antivirenschutzeinstellungen
  • Plattformunterstützung: Windows, macOS, Linux
  • Verfügbare Profile: Defender Update-Steuerelemente, Microsoft Defender Antivirus, Microsoft Defender Antivirusausschlüsse, Windows-Sicherheit Erfahrung, macOS Endpoint Security Antivirus
  • Anwendungsfall: Zentrales Verwalten Microsoft Defender Antivirus-Richtlinien auf Windows-Geräten

App Control for Business

  • Zweck: Steuern, welche Anwendungen auf Windows-Geräten ausgeführt werden können, mithilfe der Windows Defender-Anwendungssteuerung (WDAC)
  • Plattformunterstützung: Windows
  • Verfügbare Profile: Windows Defender-Anwendungssteuerung (WDAC)
  • Anwendungsfall: Implementieren der Zulassungsliste von Anwendungen und Steuern der Softwareausführung

Angriffsfläche verringern

  • Zweck: Reduzieren potenzieller Angriffsvektoren und Systemrisiken
  • Plattformunterstützung: Windows
  • Verfügbare Profile: App- und Browserisolation, Regeln zur Verringerung der Angriffsfläche, Gerätesteuerung, Exploit-Schutz, Anwendungssteuerung
  • Anwendungsfall: Härten von Geräten gegen gängige Angriffsmethoden und -techniken
  • Anforderungen: Microsoft Defender Antivirus muss die primäre Antivirenlösung sein

Datenträgerverschlüsselung

  • Zweck: Verwalten integrierter Verschlüsselungsmethoden für den Datenschutz
  • Plattformunterstützung: Windows, macOS
  • Verfügbare Profile: BitLocker, Personal Data Encryption (PDE), macOS FileVault
  • Anwendungsfall: Sicherstellen des Schutzes ruhender Daten mit nativen Verschlüsselungstechnologien

Erkennung und Reaktion am Endpunkt

  • Zweck: Konfigurieren Microsoft Defender for Endpoint Integration und Onboarding
  • Plattformunterstützung: Windows, macOS, Linux
  • Verfügbare Profile: Endpunkterkennung und -antwort (für Onboarding und Konfiguration)
  • Anwendungsfall: Erweiterte Funktionen zur Bedrohungserkennung und -reaktion aktivieren
  • Anforderungen: Microsoft Defender for Endpoint Lizenzierung und Mandantenverbindung

Firewall

  • Zweck: Konfigurieren des integrierten Firewallschutzes
  • Plattformunterstützung: Windows, macOS
  • Verfügbare Profile: Windows-Firewall, Windows-Firewallregeln, macOS-Firewall
  • Anwendungsfall: Steuern des Netzwerkzugriffs und Implementieren der Netzwerksegmentierung

Erweiterte Verwaltungsfeatures

Endpunktsicherheitsrichtlinien umfassen die folgenden Verwaltungsfunktionen, die über die grundlegende Richtlinienbereitstellung hinausgehen:

Wiederverwendbare Einstellungsgruppen: Erstellen Sie standardisierte Konfigurationen, die über mehrere Richtlinien hinweg freigegeben werden können, um den Verwaltungsaufwand zu reduzieren und die Konsistenz sicherzustellen. Unterstützt von:

  • Firewall>Profil für Windows-Firewallregeln (Windows-Plattform)
  • Verringerung der> AngriffsflächeGerätesteuerungsprofil (Windows-Plattform)

Verwaltung von Sicherheitseinstellungen über Microsoft Defender Portal: Wenn Geräte über Microsoft Defender for Endpoint verfügen, aber nicht bei Intune registriert sind, können Sie ausgewählte Endpunktsicherheitsrichtlinien (Antivirus, Verringerung der Angriffsfläche, EDR) direkt im Defender-Portal verwenden. Dies bietet Folgendes:

  • Erweiterte Sicherheitsverwaltung auf Geräte, die nicht bei Intune in Ihrer Umgebung registriert sind.
  • Einheitliche Benutzeroberfläche für die Richtlinienverwaltung über das Defender-Portal.
  • Konsistente Sicherheitskontrollen für registrierte und nicht registrierte Geräte.

Rollenbasierte Zugriffssteuerung für Endpunktsicherheit

Für die Verwaltung von Endpunktsicherheitsrichtlinien sind geeignete Intune Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) erforderlich. Das Verständnis des aktuellen RBAC-Berechtigungsmodells ist für einen ordnungsgemäßen Rollenzuweisungs- und Richtlinienverwaltungszugriff unerlässlich.

Hinweis

Intune wechselt von der Verwendung der einheitlichen Berechtigung Sicherheitsbaselines für alle Endpunktsicherheitsworkloads zu differenzierten Berechtigungen für einzelne Richtlinientypen. Dieser Übergang bietet eine präzisere Zugriffssteuerung, führt aber zu unterschiedlichen Berechtigungsanforderungen für alle Richtlinientypen.

Erforderliche RBAC-Berechtigungen

Endpunktsicherheitsrichtlinien verwenden entweder präzise Berechtigungen für bestimmte Workloads oder die Berechtigung Sicherheitsbaselines . Die erforderliche Berechtigung variiert je nach Richtlinientyp:

Präzise Berechtigungen (richtlinienspezifischer Zugriff):

  • Anwendungssteuerung für Unternehmen – Richtlinien und Berichte zur Anwendungssteuerung
  • Verringerung der Angriffsfläche : Die meisten Richtlinien zur Verringerung der Angriffsfläche. (Siehe den folgenden wichtigen Hinweis)
  • Endpunkterkennung und -reaktion : EDR-Richtlinien und -Berichte

Berechtigung für Sicherheitsbaselines (einheitlicher Zugriff):

  • Antivirenrichtlinien (alle Profile)
  • Kontoschutzrichtlinien
  • Datenträgerverschlüsselungsrichtlinien
  • Firewallrichtlinien
  • Einige Profile zur Verringerung der Angriffsfläche : App- und Browserisolation, Webschutz, Exploit-Schutz, Kontrollierter Ordnerzugriff

Wichtig

Überprüfen Sie für Richtlinien zur Verringerung der Angriffsfläche die spezifischen Profilanforderungen. Einige Profile verwenden die differenzierte Berechtigung Zur Verringerung der Angriffsfläche , während andere die Berechtigung Sicherheitsbaselines erfordern.

Ausführliche profilspezifische Anforderungen finden Sie unter Überlegungen zu benutzerdefinierten Rollen.

Wichtig

Die differenzierte Berechtigung von Antivirus für Endpunktsicherheitsrichtlinien ist möglicherweise vorübergehend in einigen Mandanten sichtbar. Diese Berechtigung wird nicht freigegeben und nicht für die Verwendung unterstützt. Konfigurationen der Antivirenberechtigung werden von Intune ignoriert. Wenn Antivirus als präzise Berechtigung zur Verfügung steht, können Sie die Verfügbarkeit im Artikel Neuerungen in Microsoft Intune ankündigen.

Integrierte RBAC-Rollen

Die folgenden Intune integrierten Rollen bieten Zugriff auf Endpunktsicherheitsworkloads:

  • Endpoint Security Manager : Vollständige Verwaltungsfunktionen für alle Endpunktsicherheitsrichtlinien.
  • Helpdeskoperator : Eingeschränkter Betriebsaufgaben und Lesezugriff.
  • Schreibgeschützter Operator : Nur-Anzeigen-Zugriff auf Richtlinien und Berichte.

Überlegungen zu benutzerdefinierten Rollen

Berichterstellungszugriff: Das Recht Berichte anzeigen für Gerätekonfigurationen bietet auch Zugriff auf Endpunktsicherheitsrichtlinienberichte.

Integration des Defender-Portals: Die Verwaltung von Sicherheitseinstellungen über das Defender-Portal verwendet die gleichen Intune RBAC-Berechtigungen.

Multi-Admin-Genehmigung: Rollenänderungen erfordern möglicherweise eine genehmigung durch einen doppelten Administrator, abhängig von den Governanceeinstellungen Ihres organization.

Erstellen von Endpunktsicherheitsrichtlinien

Befolgen Sie diesen allgemeinen Workflow zum Erstellen von Endpunktsicherheitsrichtlinien:

  1. Navigieren Sie zur Richtlinienerstellung:

    • Melden Sie sich beim Microsoft Intune Admin Center an.
    • Wechseln Sie zu Endpunktsicherheit> wählen Sie den gewünschten Richtlinientyp >Richtlinie erstellen aus.

  2. Konfigurieren von Richtliniengrundlagen:

    • Plattform: Wählen Sie die Zielgeräteplattform aus (die Optionen variieren je nach Richtlinientyp).
    • Profil: Wählen Sie aus den verfügbaren Profilen für die ausgewählte Plattform aus.
    • Wählen Sie Erstellen aus, um den Vorgang fortzusetzen.

  3. Vollständige Richtlinienkonfiguration:

    • Grundlagen: Geben Sie einen beschreibenden Namen und eine optionale Beschreibung für das Profil an.
    • Konfigurationseinstellungen: Erweitern Sie jede Gruppe von Einstellungen, und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten. Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, wählen Sie Weiter aus.
    • Bereichstags: Wählen Sie Bereichstags auswählen aus, um den Bereich Tags auswählen zu öffnen, um dem Profil Bereichstags zuzuweisen (optional).
    • Zuweisungen: Wählen Sie die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
    • Überprüfen + erstellen: Überprüfen Sie Ihre Konfiguration, und wählen Sie Erstellen aus, wenn Sie bereit sind. Das neue Profil wird dann in der Richtlinienliste angezeigt.

Erweiterte Richtlinienverwaltung

Doppelte Richtlinien

Die Richtlinienduplizierung optimiert die Bereitstellung, indem Sie vorhandene Konfigurationen kopieren und für verschiedene Szenarien ändern können, anstatt komplexe Richtlinien von Grund auf neu zu erstellen.

Häufige Anwendungsfälle für Richtlinienduplizierung:

  • Umgebungsbereitstellung: Kopieren Sie Produktionsrichtlinien in Staging- oder Testumgebungen.
  • Gruppenvariationen: Erstellen Sie ähnliche Richtlinien für verschiedene Benutzergruppen (z. B. Führungskräfte im Vergleich zu allgemeinen Benutzern mit leicht unterschiedlichen Sicherheitsanforderungen).
  • Regionale Anpassung: Passen Sie Richtlinien für verschiedene geografische Standorte mit unterschiedlichen Complianceanforderungen an.
  • Inkrementelle Rollouts: Erstellen Sie mehrere Versionen derselben Richtlinie für stufenweise Bereitstellungen.

Duplizierungsworkflow:

  1. Suchen Sie die Quellrichtlinie in der Richtlinienliste.
  2. Wählen Sie die Auslassungspunkte (...) aus. >Duplizieren.
  3. Geben Sie einen neuen beschreibenden Namen an, und speichern Sie sie.
  4. Bearbeiten Sie die duplizierte Richtlinie, um die Einstellungen für Ihren spezifischen Anwendungsfall anzupassen.
  5. Konfigurieren Sie neue Gruppenzuweisungen für das Zielszenario.

Hinweis

Duplizierte Richtlinien behalten alle Konfigurationseinstellungen und Bereichstags aus der ursprünglichen Richtlinie bei, erben jedoch keine Zuweisungen. Sie müssen neue Zuweisungen konfigurieren und in der Regel einige Einstellungen an Ihr Zielszenario anpassen.

Ändern vorhandener Richtlinien

Aktualisieren Sie Richtlinien über die Ansicht Eigenschaften:

  1. Wählen Sie die zu ändernde Richtlinie aus.
  2. Wählen Sie Bearbeiten für jeden Abschnitt aus, der Änderungen erfordert (Grundlagen, Zuweisungen, Bereichstags, Konfigurationseinstellungen).
  3. Speichern Sie die Änderungen nach dem Bearbeiten eines Abschnitts, bevor Sie mit dem nächsten Abschnitt fortfahren.

Verwalten von Richtlinienkonflikten

Verhindern und lösen Sie Richtlinienkonflikte durch strategische Planung und Überwachung:

Präventionsstrategien:

  • Planen Sie die Richtlinienarchitektur vor der Implementierung, und dokumentieren Sie, welche Richtlinientypen bestimmte Einstellungen verwalten.
  • Verwenden Sie konsistente Konfigurationsansätze für alle Richtlinientypen.
  • Wenden Sie ggf. Sicherheitsbaselines als primäre Konfigurationsquellen an.

Grundlegendes zu Richtliniengrenzen:

  • Einstellungsüberschneidung: Viele Einstellungen, die von Endpunktsicherheitsrichtlinien verwaltet werden, sind auch in Gerätekonfigurationsrichtlinien und Sicherheitsbaselines verfügbar.
  • Gleiche Priorität: Alle Richtlinientypen haben die gleiche Priorität, wenn Intune die Gerätekonfiguration auswertet.
  • Konfliktverhalten: Wenn mehrere Richtlinien dieselbe Einstellung mit unterschiedlichen Werten konfigurieren, kann die Einstellung möglicherweise nicht angewendet werden und als Konflikt gekennzeichnet werden.

Workflow zur Problembehandlung bei Konflikten:

  1. Identifizieren von Konflikten: Überwachen Sie Richtlinienbereitstellungsberichte auf Fehler- oder Konflikt-status-Flags.
  2. Einstellungen überprüfen: Überprüfen Sie, welche Richtlinientypen für mehrere Richtlinien auf dieselbe Einstellung abzielen.
  3. Überprüfen Sie status pro Einstellung: Verwenden Sie die Berichterstellung auf Geräteebene, um zu ermitteln, welche Richtlinien angewendet werden.
  4. Überprüfen von Baselines: Ermitteln Sie, ob Sicherheitsbaselines Nicht-Standardwerte festlegen, die mit anderen Richtlinien in Konflikt stehen.
  5. Lösung anwenden: Verwenden Sie richtlinienspezifische Anleitungen, um Konflikte systematisch zu lösen.

Lösungsressourcen: Behandeln von Problemen mit Richtlinien und Profilen in Intune und Überwachen von Sicherheitsbaselines.

Integration in Microsoft Defender für Endpunkt

Viele Endpunktsicherheitsrichtlinien verfügen über eine umfassende Integration in Microsoft Defender for Endpoint, die von optionalen Erweiterungen bis hin zu grundlegenden Integrationen reicht. Das Verständnis dieser Beziehungen ist für eine erfolgreiche Implementierung von entscheidender Bedeutung.

Richtlinienspezifische Defender-Abhängigkeiten

Endpunkterkennung und -antwort (EDR):

  • Integration erforderlich: Defender für Endpunkt-Mandantenverbindung mit Intune.
  • Onboarding von Paketen: Verwendet Defender-spezifische Onboardingkonfigurationen für jede Plattform.
  • Kernfunktionalität: Bietet Echtzeitfunktionen zur Erkennung und Reaktion auf Angriffe.

Antivirus:

  • Plattformübergreifende Verwaltung: Windows-Geräte verwenden die integrierte Microsoft Defender Antivirus, während macOS-Geräte Microsoft Defender for Endpoint verwenden.
  • Manipulationsschutz: Verfügbar unter Windows und macOS mit Defender für Endpunkt P1-Lizenzen oder höher.

Verringerung der Angriffsfläche:

  • Anforderungen: Microsoft Defender Antivirus muss die primäre Antivirenlösung sein.
  • ASR-Regeln: Regeln zur Verringerung der Angriffsfläche sind nativ Microsoft Defender Antivirus-Features, die in Defender für Endpunkt integriert werden können.
  • Gerätesteuerung: Erweiterte Gerätesteuerungsrichtlinien verwenden die Peripherieüberwachungsfunktionen von Defender.

Anwendungssteuerung:

  • Verwaltete Installationsprogramme: Integration in die Anwendungstagging- und Vertrauensmechanismen von Defender.
  • Richtlinienerzwingung: Verwendet die Defender-Infrastruktur für Entscheidungen zur Anwendungssteuerung.

Vorteile der Defender-Integration

  • Einheitlicher Sicherheitsstatus: Zentralisierte Transparenz über Endpunktsicherheitsrichtlinien und Bedrohungserkennung hinweg.
  • Erweiterte Berichterstellung: Kombinierte Gerätekonformität und Threat Intelligence-Daten.
  • Plattformübergreifende Verwaltung: Konsistente Bereitstellung von Sicherheitsrichtlinien unter Windows, macOS und Linux über den Defender-Agent.
  • Verwaltung von Sicherheitseinstellungen: Verwalten Sie ausgewählte Endpunktsicherheitsrichtlinien (Antivirus, Verringerung der Angriffsfläche, EDR) auf nicht registrierten Geräten über das Defender-Portal. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen.

Voraussetzungen für die Defender-Integration

  • Lizenzierung: Microsoft Defender for Endpoint P1-Lizenz oder höher.
  • Mandantenverbindung: Dienst-zu-Dienst-Verbindung zwischen Intune- und Defender für Endpunkt-Mandanten.
  • Agent-Bereitstellung: Defender für Endpunkt-Agent auf Zielgeräten installiert (für einige Richtlinientypen erforderlich).
  • Netzwerkkonnektivität: Gerätezugriff auf *.dm.microsoft.com Endpunkte für die Verwaltung von Defender-Sicherheitseinstellungen und die Richtlinienkommunikation.

Nächste Schritte

  • Last updated on