Wdrażanie zasad wykrywania punktów końcowych i reagowania przy użyciu Intune

Podczas integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Intune można użyć zasad zabezpieczeń punktu końcowego na potrzeby wykrywania i reagowania na punkty końcowe (EDR), aby zarządzać ustawieniami EDR i dołączać urządzenia do Ochrona punktu końcowego w usłudze Microsoft Defender.

Intune zasady dla EDR obejmują profile specyficzne dla platformy, które zarządzają dołączaniem (instalacją) Ochrona punktu końcowego w usłudze Microsoft Defender. Użycie pakietów dołączania to sposób, w jaki urządzenia są skonfigurowane do pracy z Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie do usługi Defender za pośrednictwem zasad Intune EDR konfiguruje urządzenia do wysyłania danych telemetrycznych zabezpieczeń do Ochrona punktu końcowego w usłudze Microsoft Defender, umożliwiając zaawansowane funkcje wykrywania zagrożeń, badania i reagowania.

W tym artykule opisano scenariusze wdrażania EDR, od automatycznego wdrażania opartego na łącznikach po ręczną konfigurację dla wyspecjalizowanych środowisk.

Omówienie dołączania EDR

Dołączanie EDR konfiguruje urządzenia, aby mogły wysyłać dane telemetryczne zabezpieczeń do dzierżawy usługi Defender for Endpoint. Pakiet dołączania to plik konfiguracji specyficzny dla platformy zawierający:

• Konfiguracja dzierżawy: identyfikuje określoną usługę Defender dla organizacji punktu końcowego.
• Punkty końcowe usługi: adresy URL do komunikacji z usługami Defender.
• Materiał uwierzytelniania: Certyfikaty i tokeny do bezpiecznej komunikacji między urządzeniami.
• Podstawowa konfiguracja: ustawienia rejestracji urządzeń i początkowe parametry komunikacji.

Kluczowe pojęcia:

• Urządzenia są wyświetlane w portalu usługi Defender wkrótce po pomyślnym dołączeniu i początkowym przesłaniu danych telemetrycznych.
• Dołączanie umożliwia przepływ telemetrii, ale nie konfiguruje zaawansowanych ustawień, takich jak zmniejszanie obszaru ataków, zapora lub zasady ochrony antywirusowej.
• Zasady EDR nie zarządzają regułami wyszukiwania zagrożeń, niestandardową logiką wykrywania, automatyzacją odpowiedzi ani przepływami pracy badania.

Aby uzyskać szczegółowe informacje techniczne, zobacz Dołączanie urządzeń do Ochrona punktu końcowego w usłudze Microsoft Defender.

Dotyczy:

• Linux
• macOS
• System Windows
• Windows Server 2012 R2 i nowsze są obsługiwane, gdy urządzenia są zarządzane za pośrednictwem jednego z następujących elementów:
  • Configuration Manager (dołączanie dzierżawy)
  • zarządzanie ustawieniami zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender

Wymagania wstępne

Przed wdrożeniem zasad EDR upewnij się, że twoja organizacja spełnia wymagania dotyczące licencjonowania i uprawnień.

Licencji

• Microsoft Intune (plan 1)

Potrzebne są licencje na Microsoft Defender:

• Licencja usługi Defender for Endpoint Plan 1 na użytkownika
• Microsoft 365 E5/A5/G5 (w tym defender for Endpoint Plan 2)
• Microsoft Defender XDR (autonomiczna)

Aby uzyskać szczegółowe informacje o licencjonowaniu, zobacz:

• Licencjonowanie usługi Microsoft Intune
• licencjonowanie Ochrona punktu końcowego w usłudze Microsoft Defender

Kontrola dostępu oparta na rolach

Aby skonfigurować zasady EDR, twoje konto musi mieć przypisaną rolę Intune z wystarczającymi uprawnieniami kontroli dostępu opartej na rolach (RBAC):

• Endpoint Security Manager: Rola programu Endpoint Security Manager obejmuje uprawnienia do tworzenia zasad zabezpieczeń punktu końcowego i zarządzania nimi.
• Rola niestandardowa: Co najmniej utwórz/ uprawnienia dousuwaniaaktualizacji/odczytu/ dla zabezpieczeń punktu końcowego.

Do nawiązania połączenia z usługą potrzebne są również uprawnienia w Ochrona punktu końcowego w usłudze Microsoft Defender:

• Rola administratora zabezpieczeń w Tożsamość Microsoft Entra lub
• Rola niestandardowa z równoważnymi uprawnieniami: microsoft.directory/applications/create, microsoft.directory/applications/delete, microsoft.directory/servicePrincipals/create

Aby uzyskać szczegółowe wskazówki dotyczące uprawnień, zobacz Kontrola dostępu oparta na rolach dla zabezpieczeń punktu końcowego.

Obsługiwane platformy i profile

Windows:

• Profil: Wykrywanie i reagowanie punktów końcowych
  • Udostępnianie przykładowe: wybierz sposób wysyłania przez urządzenia przykładów plików do usługi Defender for Endpoint.
  • Opcje dołączania: Automatyczne z łącznika (dostępne po skonfigurowaniu połączenia z usługą) lub ręczne dodanie pakietu dołączania lub odłączania .
    • Automatyczne z łącznika (zalecane, gdy skonfigurowano połączenie między usługami).
    • Ręczne dołączanie przy użyciu dołączania lubdołączania pakietu z portalu usługi Defender.
  • Zarządzanie: Intune zarejestrowanych urządzeń lub niezarejestrowanych urządzeń za pośrednictwem zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint.

Macos:

• Profil: Wykrywanie i reagowanie punktów końcowych
  • Tagi urządzeń: Tagi urządzeń zawierają parę nazw i wartości używanych do organizowania urządzeń w usłudze Defender for Endpoint.
  • Metody zarządzania:
    • zarejestrowane Intune
    • Zarządzanie ustawieniami zabezpieczeń ochrony punktu końcowego w usłudze Defender

Linux:

• Profile:
  • Wykrywanie i reagowanie dotyczące punktów końcowych
    • Tagi urządzeń: Tagi urządzeń zawierają parę nazw i wartości używanych do organizowania urządzeń w usłudze Defender for Endpoint.
    • Metody zarządzania:
      • zarejestrowane Intune
      • Zarządzanie ustawieniami zabezpieczeń ochrony punktu końcowego w usłudze Defender
  • Microsoft Defender global exclusions (AV+EDR) — zobacz Profil wykluczeń globalnych systemu Linux w dalszej części tego artykułu.

Windows Server 2012 R2+:

• Profil: Wykrywanie i reagowanie punktów końcowych (ConfigMgr)
  • Zarządzanie:
    • dołączanie dzierżawy Configuration Manager
    • Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint.
  • Określanie wartości docelowej kolekcji: przypisz do kolekcji Configuration Manager zamiast grup identyfikatorów Entra.
  • Wymagania:
    • poprawka KB4563473
    • Kolekcje synchronizowane z Intune dla przypisań
    • Przypisania są stosowane do kolekcji Configuration Manager, a nie do grup identyfikatorów Entra

Konfigurowanie połączenia Intune–Defender dla punktu końcowego

Intune wymaga połączenia z Ochrona punktu końcowego w usłudze Microsoft Defender, aby automatycznie pobierać pakiety dołączania i obsługiwać wdrażanie zasad EDR.

Po włączeniu połączenia:

• Intune pobiera najnowszy pakiet dołączania z usługi Defender for Endpoint.
• Podczas tworzenia zasad jest używana najnowsza konfiguracja dołączania.
• W profilach EDR można używać funkcji Automatyczna z łącznika .

Aby skonfigurować połączenie:

1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiŁączniki i tokenyadministracji> dzierżawy >Ochrona punktu końcowego w usłudze Microsoft Defender.
2. Wybierz pozycję Połącz Ochrona punktu końcowego w usłudze Microsoft Defender z Intune.
3. Włącz połączenie i skonfiguruj preferencje udostępniania danych.
4. Sprawdź, czy stan połączenia zawiera wartość Połączono.

Aby uzyskać szczegółowe instrukcje dotyczące konfiguracji, zobacz Łączenie Ochrona punktu końcowego w usłudze Microsoft Defender z Intune.

Wdrażanie zasad EDR

Informacje o węźle Wykrywanie i reagowanie punktu końcowego:

W centrum administracyjnym Intune węzeł Wykrywanie i reagowanie punktu końcowego zawiera następujące karty:

• Podsumowanie — wyświetla listę wszystkich zasad EDR, stan łącznika i zawiera wykres "Urządzenia z systemem Windows dołączone do usługi Defender for Endpoint" i opcję Utwórz zasady .
• Stan dołączania EDR — pokazuje wykres podsumowania dołączania, listę urządzeń ze szczegółowym stanem oraz opcję Wdróż wstępnie skonfigurowane zasady . Aby uzyskać szczegółowe wskazówki dotyczące korzystania z tej karty, zobacz Raport o stanie dołączania EDR.

Każde urządzenie, które zgłasza dane telemetryczne zabezpieczeń do Ochrona punktu końcowego w usłudze Microsoft Defender, musi zostać dołączone przy użyciu pakietu konfiguracji (nazywanego dołączaniem "obiektu blob"). Ten pakiet zawiera:

• Konfiguracja specyficzna dla dzierżawy — informuje urządzenie, do którego organizacji usługi Defender for Endpoint raportować.
• Certyfikaty uwierzytelniania — umożliwia bezpieczną komunikację z usługami Defender.
• Ustawienia raportowania — konfiguruje dane do wysłania i częstotliwość.

Niezależnie od tego, czy używasz wdrożenia automatycznego, czy ręcznego, Intune stosuje tę samą konfigurację dołączania do urządzeń. Różnica polega na tym, jak Intune uzyskuje tę konfigurację:

• Automatyczne (zalecane) — Intune pobiera pakiet dołączania z usługi Defender for Endpoint za pośrednictwem skonfigurowanego połączenia z usługą.
• Ręczne — użyj pakietu dołączania pobranego z portalu usługi Defender, gdy automatyczne pobieranie nie jest dostępne.

Wybieranie metody wdrażania:

Tworzenie automatycznych zasad EDR

Najlepsze w przypadku środowisk ze standardową integracją Intune + Defender i pojedynczą dzierżawą usługi Defender for Endpoint.

Wymagania wstępne: Aktywne połączenie typu usługa-usługa między Intune a usługą Defender for Endpoint.

Wdrażanie wstępnie skonfigurowanych zasad EDR systemu Windows

Najszybszym sposobem wdrożenia dołączania EDR na wszystkich urządzeniach z systemem Windows jest użycie wstępnie skonfigurowanej opcji zasad dostępnej na karcie Stan dołączania EDR. Ta metoda automatycznie używa najnowszego pakietu dołączania z dzierżawy usługi Defender for Endpoint i jest wdrażana z zalecanymi ustawieniami.

Aby uzyskać szczegółowe instrukcje krok po kroku, zobacz Szybkie wdrażanie ze wstępnie skonfigurowanymi zasadami w sekcji Raport o stanie dołączania EDR.

Tworzenie niestandardowych zasad EDR (wszystkie platformy)

Jeśli musisz wdrożyć zasady EDR w określonych grupach lub na platformach z dostosowanymi ustawieniami, użyj opcji Utwórz zasady na karcie Podsumowanie. Takie podejście zapewnia pełną kontrolę nad wyborem platformy, ustawieniami konfiguracji i przypisaniami grup.

Kluczowe opcje konfiguracji obejmują:

• Ochrona punktu końcowego w usłudze Microsoft Defender typ pakietu konfiguracji klienta: wybierz opcję Automatycznie z łącznika, jeśli jest dostępny
• Udostępnianie przykładów: wybierz na podstawie wymagań dotyczących poufności danych
• Tagi urządzeń (macOS i Linux): konfigurowanie na potrzeby filtrowania i grupowania urządzeń

Aby uzyskać szczegółowe wskazówki dotyczące tworzenia zasad, zobacz Temat Ukierunkowane korygowanie w sekcji Raport o stanie dołączania EDR.

Ręczne tworzenie zasad EDR

Użyj tej metody, gdy organizacja nie może używać połączenia z usługą (wiele dzierżaw, środowisk z powietrzem lub ścisła kontrola zmian).

Pobierz pakiet dołączania:

1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Punkty końcowe>Dołączanie urządzeń dozarządzania urządzeniami>.
2. Wybierz system operacyjny i wybierz pozycję Mobile Zarządzanie urządzeniami/Microsoft Intune.
3. Wybierz pozycję Pobierz pakiet.

Utwórz zasady:

1. W Intune przejdź do obszaruWykrywanie punktu końcowegozabezpieczeń >punktu końcowegoi odpowiedź > Utwórz zasady.
2. Wybierz platformę i profil.
3. W polu Typ pakietu wybierz pozycję Dołączanie lub odłączanie.
4. Wklej zawartość pobranego pliku dołączania.
5. Skonfiguruj pozostałe ustawienia, a następnie przypisz i utwórz zasady.

Dodatkowe profile dla urządzeń z systemem Linux

Po utworzeniu podstawowych zasad EDR można wdrożyć dodatkowe wyspecjalizowane profile na potrzeby rozszerzonego zarządzania zabezpieczeniami.

Tworzenie globalnych zasad wykluczeń systemu Linux

1. Przejdź do obszaruWykrywanie i reagowanie> punktu końcowego zabezpieczeń> punktu końcowegoUtwórz zasady.
2. Wybierz pozycję Linux dla platformy i Microsoft Defender Global Exclusions (AV+EDR) dla profilu.
3. Skonfiguruj wykluczenia, dodając wpisy za pomocą:
   • Ścieżka: ścieżka pliku lub katalogu do wykluczenia (nie są obsługiwane żadne symbole wieloznaczne).
   • Nazwa procesu: nazwa procesu do wykluczenia z monitorowania EDR (nie są obsługiwane żadne symbole wieloznaczne).
4. Przypisz do grup urządzeń z systemem Linux zarządzanych za pośrednictwem MDE zarządzania ustawieniami zabezpieczeń.

wdrożenie Configuration Manager

Dołączanie dzierżawy

Dołączanie dzierżawy umożliwia Intune wdrażanie zasad EDR na urządzeniach z systemem Windows zarządzanych przez Configuration Manager.

wymagania Configuration Manager:

• Bieżąca gałąź 2002 lub nowsza
• W 2002 r. zainstaluj KB4563473 (poprawka)

Konfiguracja dołączania dzierżawy:

• Synchronizuj kolekcje urządzeń z usługą Intune (Cloud Sync).
• Upewnij się , że wszystkie komputery stacjonarne i klient serwera są włączone i synchronizowane (wymagane dla wstępnie skonfigurowanych zasad EDR systemu Windows).

Uprawnienia:

• Intune wbudowaną rolę entra identyfikatora administratora usługi lub równoważną rolę do dołączania dzierżawy i zarządzania zasadami zabezpieczeń punktu końcowego.

Konfigurowanie Configuration Manager dla środowiska EDR

1. Zainstaluj aktualizację Configuration Manager: zastosuj poprawkę KB4563473 dla Configuration Manager 2002 r.
2. Konfigurowanie dołączania dzierżawy: synchronizuj kolekcje Configuration Manager z Intune.
3. Sprawdź łączność: upewnij się, że kolekcje są wyświetlane w centrach administracyjnych Configuration Manager i Intune.

Wdrażanie zasad EDR do Configuration Manager kolekcji

1. W centrum administracyjnym Intune przejdź do obszaruWykrywanie punktów końcowychzabezpieczeń >punktu końcowegoi odpowiedź >Utwórz zasady.
2. Wybierz pozycję Platforma systemu Windows (ConfigMgr) oraz profil wykrywania i reagowania punktów końcowych (ConfigMgr).
3. Skonfiguruj te same ustawienia zasad dostępne dla urządzeń zarządzanych Intune.
4. W obszarze Przypisania wybierz pozycję Configuration Manager kolekcje zamiast grup identyfikatorów Entra.
5. Utwórz i wdróż zasady.

Po wdrożeniu zasad poczekaj na synchronizację Intune ConfigMgr i Configuration Manager oceny zasad klienta, zanim urządzenia będą wyświetlane jako dołączone.

Aby uzyskać szczegółową konfigurację dołączania dzierżawy, zobacz Konfigurowanie dołączania dzierżawy do zasad ochrony punktu końcowego.

Raport o stanie dołączania EDR

Raport o stanie dołączania EDR zapewnia administratorom kompleksowy wgląd w postęp dołączania urządzeń w całej organizacji. Ten raport ułatwia śledzenie urządzeń, które zostały pomyślnie dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender i identyfikowanie urządzeń, które mogą wymagać uwagi.

Uzyskiwanie dostępu do raportu o stanie dołączania EDR

1. W centrum administracyjnym Microsoft Intune przejdź do obszaruWykrywanie i reagowanie punktów końcowychzabezpieczeń> punktu końcowego.
2. Wybierz kartę Stan dołączania EDR .

Omówienie raportu

Karta Stan dołączania EDR zawiera następujące elementy:

• Wykres podsumowania dołączania: urządzenia z systemem Windows dołączone do usługi Defender for Endpoint — ten wykres zawiera liczbę urządzeń, które zostały dołączone, i urządzeń, które nie zostały dołączone.

• Lista urządzeń ze szczegółowymi informacjami: Ta lista urządzeń zawiera następujące kolumny szczegółów:

  • Nazwa urządzenia: nazwa każdego urządzenia w organizacji
  • Zarządzane przez: sposób zarządzania urządzeniem (Intune, Configuration Manager za pośrednictwem dołączania dzierżawy lub zarządzania ustawieniami zabezpieczeń MDE)
  • Stan czujnika usługi Defender: bieżący stan kondycji czujnika defender for Endpoint.
    • Aktywne: Czujnik działa i komunikuje się normalnie
    • Nieaktywne: Czujnik nie został ostatnio zgłoszony
    • Upośledzone: w czujniku występują problemy
  • Stan dołączania: bieżący stan dołączania dla każdego urządzenia.
    • Dołączone: urządzenie pomyślnie wysyła dane telemetryczne do usługi Defender for Endpoint
    • Nie dołączono: urządzenie nie ukończyło procesu dołączania
    • Oczekujące: urządzenie jest w trakcie dołączania
    • Ostatnie zaewidencjonowanie: godzina i data najnowszej komunikacji z urządzenia do Intune
    • Podstawowa nazwa UPN: główna nazwa użytkownika skojarzona z urządzeniem

Korzystanie z raportu na potrzeby wdrożenia EDR

Szybkie wdrażanie ze wstępnie skonfigurowanymi zasadami

W celu szybkiego wdrożenia na wszystkich kwalifikujących się urządzeniach z systemem Windows bezpośrednio z karty Stan dołączania EDR:

1. Na karcie Stan dołączania EDR wybierz pozycję Wdróż wstępnie skonfigurowane zasady.

   

2. Wybierz zakres wdrożenia:

   • Wykrywanie i reagowanie na punkty końcowe w systemie Windows + : w przypadku urządzeń zarządzanych Intune
   • Windows (ConfigMgr) + Wykrywanie i reagowanie na punkty końcowe (ConfigMgr): W przypadku kolekcji Configuration Manager

3. Podaj nazwę zasad i opcjonalny opis.

4. Wybierz pozycję Utwórz , aby natychmiast wdrożyć.

Te wstępnie skonfigurowane zasady są automatycznie:

• Używa najnowszego pakietu dołączania z dzierżawy usługi Defender for Endpoint
• Wdraża na wszystkich odpowiednich urządzeniach w organizacji
• Stosuje zalecane ustawienia zabezpieczeń

Używanie raportu do ukierunkowanego korygowania

Raport o stanie dołączania EDR pomaga zidentyfikować urządzenia wymagające uwagi, które można następnie rozwiązać za pomocą docelowego wdrożenia zasad:

Identyfikowanie urządzeń z problemami

Użyj listy urządzeń na karcie Stan dołączania EDR , aby zidentyfikować określone urządzenia wymagające uwagi:

1. Filtrowanie urządzeń według stanu: skoncentruj się na urządzeniach "Nie dołączone" lub "Oczekujące"
2. Przeglądanie metod zarządzania: Upewnij się, że urządzenia są zarządzane za pośrednictwem odpowiedniego kanału
3. Sprawdzanie kondycji czujnika: identyfikowanie urządzeń z czujnikami nieaktywnymi lub upośledzonymi

Tworzenie zasad docelowych

Po zidentyfikowaniu urządzeń z problemami utwórz określone zasady EDR przy użyciu opcji Utwórz zasady na karcie Podsumowanie:

Scenariusze monitorowania

Raport o stanie dołączania EDR obsługuje kilka kluczowych scenariuszy administracyjnych:

Wstępna weryfikacja wdrożenia

Po wdrożeniu zasad EDR:

• Monitorowanie wykresu podsumowania dołączania pod kątem zwiększania liczby "dołączonych"
• Przeglądanie postępu poszczególnych urządzeń na liście urządzeń
• Identyfikowanie urządzeń, które nie mogą zostać dołączone w oczekiwanych przedziałach czasu

Bieżące monitorowanie zgodności

W przypadku ciągłego zarządzania stanem zabezpieczeń:

• Konfigurowanie regularnych przeglądów stanu dołączania.
• Śledzenie kondycji czujników we flocie urządzeń.
• Identyfikowanie urządzeń, które z czasem stają się nieaktywne lub upośledzone.

Rozwiązywanie problemów z wdrażaniem

Jeśli nie można dołączyć urządzeń:

• Użyj listy urządzeń, aby zidentyfikować problematyczne urządzenia.
• Przejrzyj metody zarządzania, aby zapewnić prawidłowe określanie wartości docelowej zasad.
• Sprawdź stan czujnika dla urządzeń ze stanem "Nie dołączono".
• Odsyłacz do raportów zgodności zasad EDR.

Najlepsze rozwiązania dotyczące korzystania z raportu

• Regularne monitorowanie: co tydzień przeglądaj raport o stanie dołączania EDR, aby zapewnić ciągłą ochronę.
• Proaktywne korygowanie: natychmiast zaareguj urządzenia "Nie dołączone" w celu zachowania stanu zabezpieczeń.
• Korelacja z innymi raportami: użyj wraz z poszczególnymi raportami zgodności zasad EDR, aby uzyskać kompleksową widoczność wdrożenia.
• Metryki punktu odniesienia dokumentu: śledzenie wskaźników powodzenia dołączania w czasie w celu zidentyfikowania trendów.

Dodatkowa widoczność dołączania

Poza dedykowanym raportem o stanie dołączania do usługi EDR możesz również wyświetlać stan dołączania urządzeń za pośrednictwem raportów Microsoft Defender antywirusowych Intune. Te raporty obejmują informacje o stanie dołączania dla urządzeń MDM z systemem Windows i zapewniają inny sposób monitorowania wdrożenia usługi Defender for Endpoint w organizacji:

• Raport o stanie agenta antywirusowego: pokazuje kompleksowy stan urządzenia, w tym stan dołączania usługi Defender for Endpoint
• Raport dotyczący punktów końcowych w złej kondycji: wyświetla urządzenia z wykrytymi problemami, w tym problemy z dołączaniem

Te raporty są dostępne w centrum administracyjnym w następujących kodach:

• Przejdź do obszaru Raporty> zabezpieczeń >punktu końcowego Microsoft Defender kafelekStan agenta antywirusowegoraportów>antywirusowych>.
• Przejdź do karty Punktykońcowe programu antywirusowego> zabezpieczeń >punktu końcowegowzłej kondycji.

Monitorowanie i weryfikowanie wdrożenia EDR

raportowanie Intune:

Wyniki wdrożenia i dołączania można przejrzeć w centrum administracyjnym Intune w sekcjiWykrywanie i reagowanie punktów końcowych zabezpieczeń >punktu końcowego punktu końcowego:

• Zgodność zasad: na karcie Podsumowanie możesz wybrać zasady, aby wyświetlić stan wdrożenia.
• Szczegóły urządzenia: na karcie Stan dołączania EDR można wyświetlić prosty raport pokazujący liczbę urządzeń, przejrzeć listę urządzeń ze szczegółami dotyczącymi stanu dołączania i kondycji czujnika, a następnie wybrać urządzenia, aby przejść do szczegółów, aby uzyskać więcej informacji.

Aby uzyskać kompleksowy nadzór nad dołączaniem urządzeń, użyj raportu o stanie dołączania EDR.

walidacja portalu Microsoft Defender:

W portalu usługi Defender:

1. Spis urządzeń (urządzenia z zasobami>) zawiera listę dołączonych urządzeń wkrótce po odebraniu danych telemetrycznych.

2. Kondycja czujnika pokazuje ostatni raz widziany czas, wersję czujnika i stan komunikacji.

3. Ocena ryzyka rozpoczyna się po przesłaniu przez urządzenia początkowych danych telemetrycznych.

Bieżące monitorowanie

Przejrzyj następujące kwestie, aby upewnić się, że ciągłe dołączanie powodzenie:

• Wskaźniki powodzenia wdrażania zasad
• Stan dołączania urządzenia
• Kondycja czujnika i komunikacja
• Nieudane wdrożenia wymagające korygowania

Rozwiązywanie problemów

Urządzenia nie są wyświetlane w portalu usługi Defender

• Upewnij się, że urządzenie może uzyskać dostęp do wymaganych punktów końcowych (na przykład *.securitycenter.windows.com i *.protection.outlook.com).
• Sprawdź stan zgodności zasad EDR w Intune i przejrzyj szczegóły dotyczące urządzenia w raporcie Stan dołączania EDR.
• Upewnij się, że usługa Ochrona punktu końcowego w usłudze Microsoft Defender jest uruchomiona na urządzeniu.

Opcja "Auto z łącznika" jest niedostępna

• Sprawdź, czy połączenie usługi Defender zawiera pozycję Połączone w obszarzeŁączniki i tokenyadministracji> dzierżawy.
• Odczekaj do 15 minut po włączeniu połączenia, aby opcja była wyświetlana.
• Upewnij się, że Twoje konto ma odpowiednie uprawnienia administracyjne.

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z dołączaniem Ochrona punktu końcowego w usłudze Microsoft Defender.

Odłączanie urządzeń

Intune zasady EDR obsługują opcję używania obiektu blob do odłączania urządzeń. Odłączanie urządzeń z usługi Defender for Endpoint jest zwykle nietypowym, ale planowanym procesem. Niektóre sytuacje, które wymagają odłączenia, obejmują między innymi przeniesienie urządzenia z laboratorium testowego, część zarządzania cyklem życia urządzenia lub wymagane podczas konsolidacji dzierżawy.

Aby utworzyć zasady odłączania:

1. Pobierz nowy pakiet odłączania z portalu Microsoft Defender, przechodząc do pozycji Ustawienia>Punkty końcowe>Odłączaniezarządzania urządzeniami>.
2. Wybierz system operacyjny i wybierz pozycję Mobile Zarządzanie urządzeniami/Microsoft Intune.
3. Wybierz pozycję Pobierz pakiet.
4. Utwórz nowe zasady EDR z typem pakietu ustawionym na Odłączanie i wklej zawartość obiektu blob odłączania lub zaktualizuj istniejące zasady odłączania, zastępując zawartość obiektu blob.

Podczas wdrażania zasad odłączania EDR w Intune:

• Ze względów bezpieczeństwa odłączanie obiektu blob lub pakietu z usługi Defender wygaśnie siedem dni po pobraniu. Wygasłe pakiety odłączania wysyłane do urządzeń są odrzucane.
• Po wdrożeniu na urządzeniu odłączanie obiektu blob wyłącza czujnik usługi Defender for Endpoint, ale nie usuwa klienta usługi Defender for Endpoint.
• Urządzenia przestają wysyłać dane telemetryczne do portalu usługi Defender for Endpoint.
• Urządzenia są wyświetlane jako "nieaktywne" w usłudze Defender po siedmiu dniach.
• Stan zgodności zasad Intune EDR powinien pokazywać pomyślne wdrożenie.
• Dane historyczne pozostają w usłudze Defender do momentu usunięcia ich przez zasady przechowywania.

Po odłączeniu urządzenia z usługi Defender for Endpoint:

• Zatrzymywanie danych telemetrycznych: do portalu Microsoft Defender nie są wysyłane żadne nowe wykrycia, luki w zabezpieczeniach ani dane zabezpieczeń.
• Zmiany stanu urządzenia: siedem dni po odłączeniu stan urządzenia zmieni się na "nieaktywny".
• Przechowywanie danych: przeszłe dane (alerty, luki w zabezpieczeniach, oś czasu urządzenia) pozostają w portalu usługi Defender do momentu wygaśnięcia skonfigurowanego okresu przechowywania.
• Widoczność urządzenia: Profil urządzenia (bez danych) pozostaje widoczny w spisie urządzeń przez maksymalnie 180 dni.
• Wskaźnik ekspozycji: Urządzenia nieaktywne przez ponad 30 dni nie uwzględniają wskaźnika narażenia organizacji.

Aby uzyskać więcej informacji, zobacz następujące tematy w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender:

• Odłączanie urządzeń przy użyciu narzędzi mobile Zarządzanie urządzeniami
• Odłączanie urządzeń

Zawartość pokrewna

Po dołączeniu urządzeń z zasadami EDR rozważ wdrożenie dodatkowych mechanizmów kontroli zabezpieczeń punktów końcowych:

• Reguły zmniejszania obszaru podatnego na ataki
• Zasady ochrony przed złośliwym oprogramowaniem
• Zasady zapory
• Zasady zgodności urządzeń