Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jako administrator zabezpieczeń skonfiguruj ustawienia zabezpieczeń na zarządzanych urządzeniach i zarządzaj nimi za pomocą zasad zabezpieczeń punktu końcowego Intune. Zasady zabezpieczeń punktu końcowego to specjalnie utworzone profile zabezpieczeń, które koncentrują się na konkretnych scenariuszach zabezpieczeń urządzeń, zapewniając usprawnione podejście do implementowania mechanizmów kontroli zabezpieczeń i zarządzania nimi w całej organizacji.
W porównaniu z zarządzaniem ustawieniami zabezpieczeń za pomocą zasad konfiguracji urządzeń zasady zabezpieczeń punktu końcowego oferują kilka kluczowych zalet:
- Ukierunkowane zarządzanie zabezpieczeniami: każdy typ zasad jest przeznaczony dla określonych obszarów zabezpieczeń (oprogramowanie antywirusowe, zapora, szyfrowanie dysków itp.) bez złożoności szerszych profilów konfiguracji urządzeń.
- Podejście oparte na zabezpieczeniach: specjalnie opracowane zasady przeznaczone specjalnie do scenariuszy zabezpieczeń, a nie do ogólnego zarządzania urządzeniami.
- Zorganizowane według funkcji zabezpieczeń: pogrupowane według obciążenia zabezpieczeń (oprogramowanie antywirusowe, zapora itp.), a nie mieszane z ogólnymi ustawieniami zarządzania urządzeniami.
- Kompleksowe monitorowanie: wbudowane raportowanie i wykrywanie konfliktów w celu zapewnienia pomyślnego wdrożenia zasad zabezpieczeń.
Omówienie integracji zasad zabezpieczeń punktu końcowego
Podczas implementowania zasad zabezpieczeń punktu końcowego wraz z innymi typami zasad Intune zaplanuj podejście, aby zminimalizować konflikty konfiguracji. Wszystkie typy zasad Intune są traktowane jako równe źródła ustawień konfiguracji urządzenia, co oznacza, że konflikty występują, gdy urządzenie odbiera różne konfiguracje dla tego samego ustawienia z wielu zasad.
Typowe scenariusze konfliktów:
- Punkty odniesienia zabezpieczeń mogą ustawiać wartości inne niż domyślne dla ustawień w celu zachowania zgodności z zalecanymi konfiguracjami, natomiast zasady zabezpieczeń punktu końcowego i konfiguracji urządzeń zazwyczaj są domyślne dla opcji Nieskonfigurowane — mieszanie tych metod może powodować konflikty (rozwiązywanie konfliktów).
- Zasady konfiguracji urządzeń zarządzające tymi samymi ustawieniami co zasady zabezpieczeń punktu końcowego (rozwiązywanie konfliktów).
- Zasady zabezpieczeń wielu punktów końcowych ustawiają różne wartości dla tego samego ustawienia (zarządzaj konfliktami).
Jeśli wystąpią konflikty, odpowiednie ustawienia mogą nie zostać prawidłowo zastosowane. Zaplanuj architekturę zasad i skorzystaj z połączonych wskazówek, aby identyfikować i rozwiązywać konflikty.
Dostępne typy zasad zabezpieczeń punktu końcowego
Dostęp do zasad zabezpieczeń punktu końcowego z poziomu zabezpieczeń punktu końcowego>Zarządzaj w centrum administracyjnym Microsoft Intune.
- Przeznaczenie: Ochrona tożsamości użytkowników i kont za pomocą nowoczesnych metod uwierzytelniania
- Obsługa platformy: Windows
- Dostępne profile: ochrona konta, rozwiązanie haseł administratora lokalnego (Windows LAPS), członkostwo w lokalnej grupie użytkowników
- Przypadek użycia: implementowanie uwierzytelniania bez hasła i ochrony poświadczeń
- Przeznaczenie: Konfigurowanie ustawień ochrony antywirusowej i zarządzanie nimi
- Obsługa platformy: Windows, macOS, Linux
- Dostępne profile: mechanizmy kontroli aktualizacji usługi Defender, program antywirusowy Microsoft Defender, wykluczenia programu antywirusowego Microsoft Defender, środowisko Zabezpieczenia Windows, program antywirusowy zabezpieczeń punktu końcowego systemu macOS
- Przypadek użycia: centralne zarządzanie zasadami ochrony antywirusowej Microsoft Defender na urządzeniach z systemem Windows
- Przeznaczenie: Kontrolowanie, które aplikacje mogą być uruchamiane na urządzeniach z systemem Windows przy użyciu kontroli aplikacji usługi Windows Defender (WDAC)
- Obsługa platformy: Windows
- Dostępne profile: Windows Defender Application Control (WDAC)
- Przypadek użycia: implementowanie listy dozwolonych aplikacji i kontrolowanie wykonywania oprogramowania
Zmniejszanie obszaru podatnego na ataki
- Przeznaczenie: Zmniejszanie potencjalnych wektorów ataków i luk w zabezpieczeniach systemu
- Obsługa platformy: Windows
- Dostępne profile: izolacja aplikacji i przeglądarki, reguły zmniejszania obszaru ataków, kontrola urządzenia, ochrona przed lukami w zabezpieczeniach, kontrola aplikacji
- Przypadek użycia: zabezpieczanie urządzeń przed typowymi metodami i technikami ataków
- Wymagania: program antywirusowy Microsoft Defender musi być podstawowym rozwiązaniem antywirusowym
- Przeznaczenie: Zarządzanie wbudowanymi metodami szyfrowania na potrzeby ochrony danych
- Obsługa platformy: Windows, macOS
- Dostępne profile: Funkcja BitLocker, szyfrowanie danych osobowych (PDE), magazyn plików systemu macOS
- Przypadek użycia: zapewnianie ochrony przed magazynem danych za pomocą natywnych technologii szyfrowania
Wykrywanie i reagowanie dotyczące punktów końcowych
- Przeznaczenie: Konfigurowanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender i dołączania
- Obsługa platformy: Windows, macOS, Linux
- Dostępne profile: wykrywanie i reagowanie punktów końcowych(na potrzeby dołączania i konfiguracji)
- Przypadek użycia: Włączanie zaawansowanych funkcji wykrywania zagrożeń i reagowania na nie
- Wymagania: Ochrona punktu końcowego w usłudze Microsoft Defender licencjonowanie i połączenie dzierżawy
- Przeznaczenie: Konfigurowanie wbudowanej ochrony zapory
- Obsługa platformy: Windows, macOS
- Dostępne profile: Zapora systemu Windows, reguły zapory systemu Windows, zapora systemu macOS
- Przypadek użycia: kontrolowanie dostępu do sieci i implementowanie segmentacji sieci
Rozszerzone funkcje zarządzania
Zasady zabezpieczeń punktu końcowego obejmują następujące możliwości zarządzania poza podstawowym wdrożeniem zasad:
Grupy ustawień wielokrotnego użytku: tworzenie ustandaryzowanych konfiguracji, które mogą być współużytkowane przez wiele zasad, co zmniejsza obciążenie administracyjne i zapewnia spójność. Obsługiwane przez:
- Zapora>Profil reguł zapory systemu Windows (platforma systemu Windows)
- Zmniejszanie obszaru podatnego> na atakiProfil sterowania urządzeniami (platforma systemu Windows)
Zarządzanie ustawieniami zabezpieczeń za pośrednictwem portalu Microsoft Defender: jeśli urządzenia mają Ochrona punktu końcowego w usłudze Microsoft Defender, ale nie są zarejestrowane w Intune, możesz użyć wybranych zasad zabezpieczeń punktu końcowego (oprogramowanie antywirusowe, zmniejszanie obszaru podatnego na ataki, EDR) bezpośrednio z usługi Defender portal. Zapewnia to:
- Rozszerzone zarządzanie zabezpieczeniami na urządzenia, które nie są zarejestrowane w Intune w środowisku.
- Ujednolicone środowisko zarządzania zasadami za pośrednictwem portalu usługi Defender.
- Spójne mechanizmy kontroli zabezpieczeń na zarejestrowanych i niezarejestrowanych urządzeniach.
Kontrola dostępu oparta na rolach dla zabezpieczeń punktu końcowego
Zarządzanie zasadami zabezpieczeń punktu końcowego wymaga odpowiednich Intune uprawnień kontroli dostępu opartej na rolach (RBAC). Zrozumienie bieżącego modelu uprawnień RBAC jest niezbędne do prawidłowego przypisywania ról i dostępu do zarządzania zasadami.
Uwaga
Intune przechodzi od używania ujednoliconego uprawnienia Punkty odniesienia zabezpieczeń dla wszystkich obciążeń zabezpieczeń punktu końcowego do szczegółowych uprawnień dla poszczególnych typów zasad. To przejście zapewnia bardziej precyzyjną kontrolę dostępu, ale powoduje różne wymagania dotyczące uprawnień w różnych typach zasad.
Wymagane uprawnienia RBAC
Zasady zabezpieczeń punktu końcowego używają szczegółowych uprawnień dla określonych obciążeń lub uprawnień Punkty odniesienia zabezpieczeń . Wymagane uprawnienia różnią się w zależności od typu zasad:
Uprawnienia szczegółowe (dostęp specyficzny dla zasad):
- Kontrola aplikacji dla firm — zasady i raporty kontroli aplikacji
- Zmniejszanie obszaru podatnego na ataki — większość zasad zmniejszania obszaru ataków. (Zobacz następującą ważną notatkę)
- Wykrywanie i reagowanie na punkty końcowe — zasady i raporty EDR
Uprawnienia punktów odniesienia zabezpieczeń (dostęp ujednolicony):
- Zasady ochrony antywirusowej (wszystkie profile)
- Zasady ochrony konta
- Zasady szyfrowania dysków
- Zasady zapory
- Niektóre profile zmniejszania obszaru ataków : izolacja aplikacji i przeglądarki, ochrona sieci Web, ochrona przed lukami w zabezpieczeniach, kontrolowany dostęp do folderów
Ważna
W przypadku zasad zmniejszania obszaru podatnego na ataki sprawdź określone wymagania dotyczące profilu. Niektóre profile korzystają ze szczegółowego uprawnienia do zmniejszania obszaru podatnego na ataki , podczas gdy inne wymagają uprawnień Punktów odniesienia zabezpieczeń .
Aby uzyskać szczegółowe wymagania dotyczące profilu, zobacz Zagadnienia dotyczące ról niestandardowych.
Ważna
Szczegółowe uprawnienia programu antywirusowego dla zasad zabezpieczeń punktu końcowego mogą być tymczasowo widoczne w niektórych dzierżawach. To uprawnienie nie jest zwalniane i nie jest obsługiwane do użycia. Konfiguracje uprawnień programu antywirusowego są ignorowane przez Intune. Gdy program antywirusowy stanie się dostępny do użycia jako szczegółowe uprawnienie, oznaj jego dostępność w artykule Co nowego w Microsoft Intune.
Wbudowane role RBAC
Następujące Intune wbudowane role zapewniają dostęp do obciążeń zabezpieczeń punktu końcowego:
- Endpoint Security Manager — pełne możliwości zarządzania we wszystkich zasadach zabezpieczeń punktu końcowego.
- Operator pomocy technicznej — ograniczone zadania operacyjne i dostęp do odczytu.
- Operator tylko do odczytu — dostęp tylko do wyświetlania do zasad i raportów.
Zagadnienia dotyczące roli niestandardowej
Dostęp do raportowania: ustawienie Wyświetl raporty odpowiednie dla konfiguracji urządzeń zapewnia również dostęp do raportów zasad zabezpieczeń punktu końcowego.
Integracja z portalem usługi Defender: zarządzanie ustawieniami zabezpieczeń za pośrednictwem portalu usługi Defender używa tych samych uprawnień Intune rbac.
Zatwierdzanie wielu Administracja: modyfikacje ról mogą wymagać zatwierdzenia przez dwóch administratorów w zależności od ustawień ładu organizacji.
Tworzenie zasad zabezpieczeń punktu końcowego
Postępuj zgodnie z tym ogólnym przepływem pracy podczas tworzenia zasad zabezpieczeń punktu końcowego:
Przejdź do tworzenia zasad:
- Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
- Przejdź do pozycji Zabezpieczenia> punktu końcowego wybierz żądany typ > zasad Utwórz zasady.
Konfigurowanie podstaw zasad:
- Platforma: wybierz docelową platformę urządzenia (opcje różnią się w zależności od typu zasad).
- Profil: wybierz spośród dostępnych profilów dla wybranej platformy.
- Wybierz pozycję Utwórz , aby kontynuować.
Pełna konfiguracja zasad:
- Podstawy: podaj opisową nazwę i opcjonalny opis profilu.
- Ustawienia konfiguracji: rozwiń każdą grupę ustawień i skonfiguruj ustawienia, które chcesz zarządzać przy użyciu tego profilu. Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.
- Tagi zakresu: wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi , aby przypisać tagi zakresu do profilu (opcjonalnie).
- Przypisania: wybierz grupy, które mają otrzymać ten profil. Zobacz Przypisywanie profilów użytkowników i urządzeń.
- Przejrzyj i utwórz: przejrzyj konfigurację i wybierz pozycję Utwórz , gdy wszystko będzie gotowe. Nowy profil zostanie wyświetlony na liście zasad.
Zaawansowane zarządzanie zasadami
Zduplikowane zasady
Duplikowanie zasad usprawnia wdrażanie, umożliwiając kopiowanie istniejących konfiguracji i modyfikowanie ich w różnych scenariuszach, a nie ponowne tworzenie złożonych zasad od podstaw.
Typowe przypadki użycia duplikowania zasad:
- Wdrażanie środowiska: skopiuj zasady produkcyjne do środowisk przejściowych lub testowych.
- Odmiany grup: utwórz podobne zasady dla różnych grup użytkowników (na przykład kadra kierownicza a użytkownicy ogólni z nieco innymi wymaganiami dotyczącymi zabezpieczeń).
- Dostosowywanie regionalne: dostosuj zasady dla różnych lokalizacji geograficznych o różnych wymaganiach dotyczących zgodności.
- Wdrożenia przyrostowe: utwórz wiele wersji tych samych zasad dla wdrożeń etapowych.
Przepływ pracy duplikowania:
- Znajdź zasady źródłowe na liście zasad.
- Wybierz wielokropek (...) >Duplikat.
- Podaj nową nazwę opisową i zapisz.
- Edytuj zduplikowane zasady, aby dostosować ustawienia dla określonego przypadku użycia.
- Skonfiguruj nowe przypisania grup dla scenariusza docelowego.
Uwaga
Zduplikowane zasady zachowują wszystkie ustawienia konfiguracji i tagi zakresu z oryginalnych zasad, ale nie dziedziczą przypisań. Należy skonfigurować nowe przypisania i zazwyczaj zmodyfikować niektóre ustawienia w celu dopasowania ich do scenariusza docelowego.
Modyfikowanie istniejących zasad
Zaktualizuj zasady za pomocą widoku Właściwości:
- Wybierz zasady do zmodyfikowania.
- Wybierz pozycję Edytuj dla każdej sekcji wymagającej zmian (podstawowe, przypisania, tagi zakresu, ustawienia konfiguracji).
- Zapisz zmiany po edycji sekcji przed przejściem do następnej.
Zarządzanie konfliktami zasad
Zapobieganie konfliktom zasad i ich rozwiązywanie za pomocą planowania strategicznego i monitorowania:
Strategie zapobiegania:
- Planowanie architektury zasad przed implementacją i dokumentowanie typów zasad, które zarządzają określonymi ustawieniami.
- Używaj spójnych metod konfiguracji w różnych typach zasad.
- W razie potrzeby zastosuj punkty odniesienia zabezpieczeń jako podstawowe źródła konfiguracji.
Omówienie granic zasad:
- Nakładanie się ustawień: wiele ustawień zarządzanych przez zasady zabezpieczeń punktu końcowego jest również dostępnych w zasadach konfiguracji urządzeń i punktach odniesienia zabezpieczeń.
- Równy priorytet: wszystkie typy zasad mają równe pierwszeństwo, gdy Intune ocenia konfigurację urządzenia.
- Zachowanie powodujące konflikt: jeśli wiele zasad konfiguruje to samo ustawienie z różnymi wartościami, może nie zostać zastosowane i oflagowane jako skonfliktowane.
Przepływ pracy rozwiązywania konfliktów:
- Identyfikowanie konfliktów: monitorowanie raportów wdrażania zasad pod kątem flag stanu błędu lub konfliktu.
- Sprawdź ustawienia: sprawdź, które typy zasad są przeznaczone dla tego samego ustawienia w wielu zasadach.
- Przejrzyj stan poszczególnych ustawień: użyj raportowania na poziomie urządzenia, aby określić, które zasady są stosowane.
- Sprawdź punkty odniesienia: określ, czy punkty odniesienia zabezpieczeń ustawiają wartości inne niż domyślne, które powodują konflikt z innymi zasadami.
- Zastosuj rozwiązanie: używaj wskazówek specyficznych dla zasad, aby systematycznie rozwiązywać konflikty.
Zasoby rozwiązania: rozwiązywanie problemów z zasadami i profilami w Intune i monitorowanie punktów odniesienia zabezpieczeń.
Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender
Wiele zasad zabezpieczeń punktów końcowych ma głęboką integrację z Ochrona punktu końcowego w usłudze Microsoft Defender— od opcjonalnego rozszerzenia po podstawową integrację. Zrozumienie tych relacji jest niezbędne do pomyślnego wdrożenia.
Zależności usługi Defender specyficzne dla zasad
Wykrywanie i reagowanie punktów końcowych (EDR):
- Wymaga integracji: połączenie dzierżawy usługi Defender for Endpoint z Intune.
- Dołączanie pakietów: używa konfiguracji dołączania specyficznych dla usługi Defender dla każdej platformy.
- Podstawowe funkcje: zapewnia funkcje wykrywania ataków i reagowania na nie w czasie rzeczywistym.
Oprogramowanie antywirusowe:
- Zarządzanie międzyplatformowe: urządzenia z systemem Windows korzystają z wbudowanego programu antywirusowego Microsoft Defender, podczas gdy urządzenia z systemem macOS używają Ochrona punktu końcowego w usłudze Microsoft Defender.
- Ochrona przed naruszeniami: dostępna w systemach Windows i macOS z usługą Defender for Endpoint P1 lub większymi licencjami.
Zmniejszanie obszaru podatnego na ataki:
- Wymagania: program antywirusowy Microsoft Defender musi być podstawowym rozwiązaniem antywirusowym.
- Reguły asr: reguły zmniejszania obszaru ataków są natywne Microsoft Defender funkcje antywirusowe zintegrowane z usługą Defender for Endpoint.
- Kontrola urządzenia: zaawansowane zasady sterowania urządzeniami korzystają z możliwości monitorowania peryferyjnego usługi Defender.
Kontrola aplikacji:
- Instalatorzy zarządzane: integracja z mechanizmami tagowania i zaufania aplikacji usługi Defender.
- Wymuszanie zasad: używa infrastruktury usługi Defender do podejmowania decyzji dotyczących kontroli aplikacji.
Korzyści z integracji z usługą Defender
- Ujednolicona postawa zabezpieczeń: scentralizowany wgląd w zasady zabezpieczeń punktu końcowego i wykrywanie zagrożeń.
- Zaawansowane raportowanie: połączone dane dotyczące zgodności urządzeń i analizy zagrożeń.
- Zarządzanie między platformami: spójne wdrażanie zasad zabezpieczeń w systemach Windows, macOS i Linux za pośrednictwem agenta usługi Defender.
- Zarządzanie ustawieniami zabezpieczeń: zarządzaj wybranymi zasadami zabezpieczeń punktów końcowych (oprogramowanie antywirusowe, zmniejszanie obszaru podatnego na ataki, EDR) na niezarejestrowanych urządzeniach za pośrednictwem portalu usługi Defender. Zobacz Ochrona punktu końcowego w usłudze Microsoft Defender zarządzanie ustawieniami zabezpieczeń.
Wymagania wstępne dotyczące integracji z usługą Defender
- Licencjonowanie: Ochrona punktu końcowego w usłudze Microsoft Defender licencję P1 lub większą.
- Połączenie dzierżawy: połączenie service-to-service między dzierżawami Intune i Defender for Endpoint.
- Wdrożenie agenta: agent usługi Defender dla punktu końcowego zainstalowany na urządzeniach docelowych (wymagany dla niektórych typów zasad).
-
Łączność sieciowa: dostęp urządzenia do
*.dm.microsoft.compunktów końcowych na potrzeby zarządzania ustawieniami zabezpieczeń usługi Defender i komunikacji z zasadami.
Następne kroki
- Omówienie zabezpieczeń punktu końcowego
- Przejrzyj punkty odniesienia zabezpieczeń pod kątem kompleksowych konfiguracji zabezpieczeń
- Dowiedz się więcej o grupach ustawień wielokrotnego użytku
- Konfigurowanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender
- Omówienie strategii ochrony urządzeń