Usare i criteri di sicurezza degli endpoint di Intune per gestire Microsoft Defender per endpoint nei dispositivi non registrati con Intune

  • Articolo

Integrando Microsoft Intune con Microsoft Defender per endpoint, è possibile usare i criteri di sicurezza degli endpoint di Intune per gestire le impostazioni di sicurezza di Defender nei dispositivi non registrati con Intune. Questa funzionalità è nota come gestione delle impostazioni di sicurezza di Defender per endpoint.

Quando si gestiscono i dispositivi tramite la gestione delle impostazioni di sicurezza:

  • È possibile usare l'interfaccia di amministrazione di Microsoft Intune o il portale di Microsoft 365 Defender per gestire i criteri di sicurezza degli endpoint di Intune per Defender per endpoint e assegnarli ai gruppi di ID di Microsoft Entra. Il portale di Defender include l'interfaccia utente per le visualizzazioni dei dispositivi, la gestione dei criteri e i report per la gestione delle impostazioni di sicurezza.

    Per gestire i criteri dall'interno del portale di Defender, vedere Gestire i criteri di sicurezza degli endpoint in Microsoft Defender per endpoint nel contenuto di Defender.

  • I dispositivi ottengono i criteri assegnati in base all'oggetto dispositivo Microsoft Entra ID. Un dispositivo che non è già registrato in Microsoft Entra viene aggiunto come parte di questa soluzione.

  • Quando un dispositivo riceve un criterio, i componenti di Defender per endpoint nel dispositivo applicano i criteri e segnalano lo stato del dispositivo. Lo stato del dispositivo è disponibile nell'interfaccia di amministrazione di Microsoft Intune e nel portale di Microsoft Defender.

Questo scenario estende la superficie di Microsoft Intune Endpoint Security ai dispositivi che non sono in grado di iscriversi a Intune. Quando un dispositivo è gestito da Intune (iscritto a Intune), il dispositivo non elabora i criteri per Defender per la gestione delle impostazioni di sicurezza degli endpoint. Usare invece Intune per distribuire i criteri per Defender per endpoint nei dispositivi.

Si applica a:

  • Windows 10 e Windows 11
  • Windows Server (2012 R2 e versioni successive)
  • Linux
  • macOS

Presentazione concettuale della soluzione Microsoft Defender per endpoint-Attach.

Prerequisiti

Esaminare le sezioni seguenti per i requisiti per lo scenario di gestione delle impostazioni di sicurezza di Defender per endpoint.

Ambiente

Quando un dispositivo supportato esegue l'onboarding in Microsoft Defender per endpoint:

  • Il dispositivo viene esaminato per una presenza Microsoft Intune esistente, che è un'iscrizione a Intune per la gestione dei dispositivi mobili (MDM).
  • I dispositivi senza presenza di Intune abilitano la funzionalità di gestione delle impostazioni di sicurezza.
  • Per i dispositivi non completamente registrati in Microsoft Entra, viene creata un'identità sintetica del dispositivo in Microsoft Entra ID che consente al dispositivo di recuperare i criteri. I dispositivi completamente registrati usano la registrazione corrente.
  • I criteri recuperati da Microsoft Intune vengono applicati nel dispositivo da Microsoft Defender per endpoint.

La gestione delle impostazioni di sicurezza non è ancora supportata dai cloud governativi. Per altre informazioni, vedere Parità di funzionalità con commerciale in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Requisiti di Connettività

I dispositivi devono avere accesso all'endpoint seguente:

  • *.dm.microsoft.com - L'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.

Piattaforme supportate

I criteri per la gestione della sicurezza di Microsoft Defender per endpoint sono supportati per le piattaforme di dispositivi seguenti:

Linux:

Con l'agente Microsoft Defender per endpoint per Linux versione 101.23052.0009 o successiva, la gestione delle impostazioni di sicurezza supporta le seguenti distribuzioni Linux:

  • Red Hat Enterprise Linux 7.2 o versione successiva
  • CentOS 7.2 o versione successiva
  • Ubuntu 16.04 LTS o versione successiva LTS
  • Debian 9 o versione successiva
  • SUSE Linux Enterprise Server 12 o versione successiva
  • Oracle Linux 7.2 o versione successiva
  • Amazon Linux 2
  • Fedora 33 o versione successiva

Per confermare la versione dell'agente di Defender, nel portale di Defender passare alla pagina dispositivi e nella scheda Inventari dei dispositivi cercare Defender per Linux. Per indicazioni sull'aggiornamento della versione dell'agente, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in Linux.

Problema noto: con l'agente Defender versione 101.23052.0009, i dispositivi Linux non riescono a registrarsi quando manca il percorso file seguente: /sys/class/dmi/id/board_vendor.

Problema noto: quando un dispositivo Linux esegue la registrazione sintetica, l'ID Device Entra (in precedenza noto come ID AAD del dispositivo) non sarà visibile nel portale di Defender. Queste informazioni possono essere visualizzate dai portali Intune o Entra. Gli amministratori potranno comunque gestire i dispositivi con i criteri in questo modo.

macOS:

Con Microsoft Defender per endpoint per macOS agent versione 101.23052.0004 o successiva, la gestione delle impostazioni di sicurezza supporta le seguenti versioni di macOS:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

Per confermare la versione dell'agente di Defender, nel portale di Defender passare alla pagina dispositivi e nella scheda Inventari dei dispositivi cercare Defender per macOS. Per indicazioni sull'aggiornamento della versione dell'agente, vedere Distribuire gli aggiornamenti per Microsoft Defender per endpoint in macOS.

Problema noto: con l'agente Defender versione 101.23052.0004, i dispositivi macOS registrati in Microsoft Entra ID prima di registrarsi alla gestione delle impostazioni di sicurezza ricevono un ID dispositivo duplicato in Microsoft Entra ID, che è una registrazione sintetica. Quando si crea un gruppo Microsoft Entra per i criteri di destinazione, è necessario usare l'ID dispositivo sintetico creato dalla gestione delle impostazioni di sicurezza. In Microsoft Entra ID, la colonna Tipo di join per l'ID dispositivo sintetico è vuota.

Problema noto: quando un dispositivo macOS esegue la registrazione sintetica, l'ID Device Entra (in precedenza noto come DEVICE AAD ID) non sarà visibile nel portale di Defender. Queste informazioni possono essere visualizzate dai portali Intune o Entra. Gli amministratori potranno comunque gestire i dispositivi con i criteri in questo modo.

Windows:

La gestione delle impostazioni di sicurezza non funziona e non è supportata con i dispositivi seguenti:

  • Desktop non persistenti, ad esempio client VDI (Virtual Desktop Infrastructure)
  • Desktop virtuale Azure (AVD e in precedenza Desktop virtuale Windows, WVD)
  • Controller di dominio
  • Versioni a 32 bit di Windows

Importante

In alcuni casi, i controller di dominio che eseguono un sistema operativo server di livello inferiore (2012 R2 o 2016) possono essere involontariamente gestiti da Microsoft Defender per endpoint. Per garantire che questo non accada nell'ambiente, ti consigliamo di verificare che i controller di dominio non siano etichettati come “MDE-Management” o gestiti da MDE.

Licenze e sottoscrizioni

Per usare la gestione delle impostazioni di sicurezza, è necessario:

  • Un abbonamento che concede licenze per Microsoft Defender per endpoint, come Microsoft 365, o una licenza autonoma per Microsoft Defender per endpoint. Un abbonamento che concede le licenze di Microsoft Defender per endpoint garantisce al tenant anche l'accesso al nodo di sicurezza Endpoint del centro di amministrazione di Microsoft Intune.

    Nota

    Eccezione: se si ha accesso a Microsoft Defender per endpoint solo tramite Microsoft Defender per server (parte di Microsoft Defender per il cloud, in precedenza Centro sicurezza di Azure), la funzionalità di gestione delle impostazioni di sicurezza non è disponibile. Sarà necessario avere almeno una licenza di sottoscrizione di Microsoft Defender per endpoint (utente) attiva.

    Nel nodo Sicurezza endpoint si configurano e si distribuiscono i criteri per la gestione di Microsoft Defender per endpoint per i dispositivi e per il monitoraggio dello stato dei dispositivi.

    Per informazioni aggiornate sulle opzioni, vedere Requisiti minimi per Microsoft Defender per endpoint.

Controllo degli accessi in base al ruolo (RBAC)

Per indicazioni sull'assegnazione del giusto livello di autorizzazioni e diritti agli amministratori che gestiranno i criteri di sicurezza degli endpoint Intune dall'interno del centro amministrativo Intune, vedere Assign-role-based-access-controls-for-endpoint-security-policy.

Architettura

Il diagramma seguente è una rappresentazione concettuale della soluzione di gestione della configurazione di sicurezza di Microsoft Defender per endpoint.

Diagramma concettuale della soluzione di gestione della configurazione della sicurezza di Microsoft Defender per endpoint

  1. Dispositivi di onboarding in Microsoft Defender per endpoint.
  2. I dispositivi comunicano con Intune. Questa comunicazione consente a Microsoft Intune di distribuire i criteri destinati ai dispositivi al momento dell'archiviazione.
  3. Viene stabilita una registrazione per ogni dispositivo in Microsoft Entra ID:
    • Se un dispositivo in precedenza era completamente registrato, ad esempio un dispositivo Hybrid Join, viene usata la registrazione esistente.
    • Per i dispositivi non registrati, viene creata un'identità di dispositivo sintetico in Microsoft Entra ID per consentire al dispositivo di recuperare i criteri. Quando un dispositivo con una registrazione sintetica ha creato una registrazione completa di Microsoft Entra, la registrazione sintetica viene rimossa e la gestione dei dispositivi continua ininterrotta usando la registrazione completa.
  4. Defender per endpoint segnala lo stato dei criteri a Microsoft Intune.

Importante

La gestione delle impostazioni di sicurezza usa una registrazione sintetica per i dispositivi che non si registrano completamente in Microsoft Entra ID e elimina i prerequisiti per l'aggiunta ibrida di Microsoft Entra. Con questa modifica, i dispositivi Windows che in precedenza presentavano errori di iscrizione inizieranno l'onboarding in Defender e quindi riceveranno ed elaboreranno i criteri di gestione delle impostazioni di sicurezza.

Per filtrare i dispositivi che non sono stati in grado di iscriversi perché non soddisfano il prerequisito di adesione ibrida di Microsoft Entra, passare all'elenco Dispositivi nel portale Microsoft Defender e filtrare per stato di iscrizione. Poiché questi dispositivi non sono completamente registrati, i loro attributi mostrano MDM = Intune e Join Type = Blank. Questi dispositivi verranno registrati con la gestione delle impostazioni di sicurezza usando la registrazione sintetica.

Dopo la registrazione, vengono visualizzati negli elenchi di dispositivi per i portali Microsoft Defender, Microsoft Intune e Microsoft Entra. Anche se i dispositivi non saranno completamente registrati con Microsoft Entra, la registrazione sintetica viene conteggiata come un unico oggetto dispositivo.

Cosa aspettarsi nel portale di Microsoft Defender

È possibile usare l'inventario dei dispositivi Microsoft Defender per endpoint per verificare che un dispositivo usi la funzionalità di gestione delle impostazioni di sicurezza in Defender per endpoint, esaminando lo stato dei dispositivi nella colonna Managed by. Le informazioni Gestito da sono disponibili anche nel pannello laterale dei dispositivi o nella pagina del dispositivo. Gestito da deve indicare in modo coerente che è gestito da MDE. 

È anche possibile verificare che un dispositivo sia registrato correttamente nella gestione delle impostazioni di sicurezza confermando che il pannello sul lato dispositivo o la pagina del dispositivo visualizza lo Stato registrazione MDE come Operazione riuscita.

Screenshot dello stato di registrazione della gestione delle impostazioni di sicurezza dei dispositivi nella pagina del dispositivo nel portale di Microsoft Defender.

Se lo stato registrazione MDE non visualizza Operazione riuscita, assicurarsi di esaminare un dispositivo che è stato aggiornato e che si trova nell'ambito della gestione delle impostazioni di sicurezza. (L'ambito viene configurato nella pagina Ambito di applicazione durante la configurazione della gestione delle impostazioni di sicurezza).

Cosa aspettarsi nell'interfaccia di amministrazione di Microsoft Intune

Nell'interfaccia di amministrazione di Microsoft Intune passare alla pagina Tutti i dispositivi. I dispositivi registrati con la gestione delle impostazioni di sicurezza vengono visualizzati qui come nel portale di Defender. Nell'interfaccia di amministrazione il campo Dispositivi gestiti da deve visualizzare MDE.

Screenshot della pagina del dispositivo nell'interfaccia di amministrazione di Intune con lo stato Gestito da del dispositivo evidenziato.

Consiglio

A giugno 2023, la gestione delle impostazioni di sicurezza ha iniziato a usare la registrazione sintetica per i dispositivi che non si registrano completamente in Microsoft Entra. Con questa modifica, i dispositivi che in precedenza avevano errori di registrazione inizieranno a eseguire l'onboarding in Defender e quindi riceveranno ed elaboreranno i criteri di gestione delle impostazioni di sicurezza.

Cosa aspettarsi nel portale di Microsoft Azure

Nella pagina Tutti i dispositivi nel portale di Microsoft Azure è possibile visualizzare i dettagli del dispositivo.

Screenshot della pagina Tutti i dispositivi nel portale di Microsoft Azure con un dispositivo di esempio evidenziato.

Per garantire che tutti i dispositivi registrati nella gestione delle impostazioni di sicurezza di Defender per endpoint ricevano i criteri, è consigliabile creare un gruppo Microsoft Entra dinamico in base al tipo di sistema operativo dei dispositivi. Con un gruppo dinamico, i dispositivi gestiti da Defender per endpoint vengono aggiunti automaticamente al gruppo senza che gli amministratori eseguano altre attività, ad esempio la creazione di un nuovo criterio.

Importante

Da luglio 2023 al 25 settembre 2023, la gestione delle impostazioni di sicurezza ha eseguito un'anteprima pubblica con consenso esplicito che ha introdotto un nuovo comportamento per i dispositivi gestiti e registrati nello scenario. A partire dal 25 settembre 2023, il comportamento dell'anteprima pubblica è diventato disponibile a livello generale e ora si applica a tutti i tenant che usano la gestione delle impostazioni di sicurezza.

Se è stata usata la gestione delle impostazioni di sicurezza prima del 25 settembre 2023 e non si è aggiunta all'anteprima pubblica con consenso esplicito eseguita da luglio 2023 al 25 settembre 2023, esaminare i gruppi di Microsoft Entra che si basano sulle etichette di sistema per apportare modifiche che identificheranno i nuovi dispositivi gestiti con la gestione delle impostazioni di sicurezza. Ciò è dovuto al fatto che prima del 25 settembre 2023, i dispositivi non gestiti tramite l'anteprima pubblica con consenso esplicito usavano le etichette di sistema (tag) seguenti di MDEManaged e MDEJoined per identificare i dispositivi gestiti. Queste due etichette di sistema non sono più supportate e non vengono più aggiunte ai dispositivi registrati.

Usare le indicazioni seguenti per i gruppi dinamici:

  • (Scelta consigliata) Quando si specificano i criteri di destinazione, usare gruppi dinamici basati sulla piattaforma del dispositivo usando l'attributo deviceOSType (Windows, Windows Server, macOS, Linux) per garantire che i criteri continuino a essere recapitati per i dispositivi che modificano i tipi di gestione, ad esempio durante la registrazione MDM.

  • Se necessario, i gruppi dinamici contenenti esclusivamente dispositivi gestiti da Defender per endpoint possono essere assegnati definendo un gruppo dinamico usando l'attributo managementTypeMicrosoftSense. L'uso di questo attributo è destinato a tutti i dispositivi gestiti da Defender per endpoint tramite la funzionalità di gestione delle impostazioni di sicurezza e i dispositivi rimangono in questo gruppo solo mentre sono gestiti da Defender per endpoint.

Inoltre, quando si configura la gestione delle impostazioni di sicurezza, se si intende gestire l'intera flotta di piattaforme del sistema operativo usando Microsoft Defender per endpoint, selezionando tutti i dispositivi anziché i dispositivi contrassegnati nella pagina Ambito di imposizione di Microsoft Defender per endpoint, tenere presente che le registrazioni sintetiche vengono conteggiate in base alle quote di Microsoft Entra ID come registrazioni complete.

Quale soluzione è consigliabile utilizzare?

Microsoft Intune include diversi metodi e tipi di criteri per gestire la configurazione di Defender per endpoint nei dispositivi. La tabella seguente identifica i criteri e i profili di Intune che supportano la distribuzione nei dispositivi gestiti dalla gestione delle impostazioni di sicurezza di Defender per endpoint e consente di identificare se questa soluzione è adatta alle proprie esigenze.

Quando si distribuiscono criteri di sicurezza degli endpoint supportati sia per la gestione delle impostazioni di sicurezza di Defender per endpoint che per Microsoft Intune, una singola istanza di tale criterio può essere elaborata da:

  • Dispositivi supportati tramite la gestione delle impostazioni di sicurezza (Microsoft Defender)
  • Dispositivi gestiti da Intune o Configuration Manager.

I profili per la piattaforma Windows 10 e versioni successive non sono supportati per i dispositivi gestiti dalla gestione delle impostazioni di sicurezza.

Per ogni tipo di dispositivo sono supportati i profili seguenti:

Linux

I tipi di criteri seguenti supportano la piattaforma Linux.

Criteri di sicurezza degli endpoint Profilo Gestione delle impostazioni di sicurezza di Defender per endpoint Microsoft Intune
Antivirus Antivirus Microsoft Defender Supportato Supportato
Antivirus Esclusioni di Microsoft Defender Antivirus Supportato Supportato
Rilevamento endpoint e risposta Rilevamento endpoint e risposta Supportato Supportato

macOS

I tipi di criteri seguenti supportano la piattaforma macOS.

Criteri di sicurezza degli endpoint Profilo Gestione delle impostazioni di sicurezza di Defender per endpoint Microsoft Intune
Antivirus Antivirus Microsoft Defender Supportato Supportato
Antivirus Esclusioni di Microsoft Defender Antivirus Supportato Supportato
Rilevamento endpoint e risposta Rilevamento endpoint e risposta Supportato Supportato

Windows

Per supportare l'uso con Microsoft Defender gestione delle impostazioni di sicurezza, i criteri per i dispositivi Windows devono usare la piattaforma Windows. Ogni profilo per la piattaforma Windows può essere applicato ai dispositivi gestiti da Intune e ai dispositivi gestiti dalla gestione delle impostazioni di sicurezza.

Criteri di sicurezza degli endpoint Profilo Gestione delle impostazioni di sicurezza di Defender per endpoint Microsoft Intune
Antivirus Controlli di Defender Update Supportato Supportato
Antivirus Antivirus Microsoft Defender Supportato Supportato
Antivirus Esclusioni di Microsoft Defender Antivirus Supportato Supportato
Antivirus Esperienza Sicurezza di Windows Nota 1 Supportato
Riduzione della superficie di attacco Regole per la riduzione della superficie di attacco Supportato Supportato
Rilevamento endpoint e risposta Rilevamento endpoint e risposta Supportato Supportato
Firewall Firewall Supportato Supportato
Firewall Regole del firewall Supportato Supportato

1 - Il profilo Esperienza di Sicurezza di Windows è disponibile nel portale Defender, ma si applica solo ai dispositivi gestiti da Intune. Non è supportato per i dispositivi gestiti dalla gestione delle impostazioni di sicurezza di Microsoft Defender.

Ogni criterio di sicurezza degli endpoint di Intune è un gruppo discreto di impostazioni destinate all'uso da parte degli amministratori della sicurezza che si concentrano sulla protezione dei dispositivi nell'organizzazione. Di seguito sono riportate le descrizioni dei criteri che supportano la gestione delle impostazioni di sicurezza:

  • I criteri antivirus gestiscono le configurazioni di sicurezza disponibili in Microsoft Defender per endpoint.

    Nota

    Sebbene gli endpoint non richiedano un riavvio per applicare le impostazioni modificate o i nuovi criteri, siamo a conoscenza di un problema in cui le impostazioni AllowOnAccessProtection e DisableLocalAdminMerge potrebbero talvolta richiedere il riavvio dei dispositivi da parte degli utenti finali per l'aggiornamento delle impostazioni. Il problema è attualmente in fase di analisi per fornire una soluzione.

  • I criteri di riduzione della superficie di attacco (ASR) si concentrano sulla minimizzazione dei punti in cui l'organizzazione è vulnerabile alle minacce e agli attacchi informatici. Con la gestione delle impostazioni di sicurezza, le regole ASR si applicano ai dispositivi con Windows 10, Windows 11 e Windows Server.

    Per informazioni aggiornate sulle impostazioni applicabili alle diverse piattaforme e versioni, consultare le regole ASR dei sistemi operativi supportati nella documentazione di Protezione dalle minacce di Windows.

    Consiglio

    Per mantenere aggiornati gli endpoint supportati, è consigliabile usare la soluzione unificata moderna per Windows Server 2012 R2 e 2016.

    Vedere anche:

  • I criteri di rilevamento e risposta degli endpoint (EDR) gestiscono le funzionalità di Defender for Endpoint, che forniscono rilevamenti avanzati di attacchi quasi in tempo reale e sono attivabili. In base alle configurazioni dell'EDR, gli analisti della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere visibilità sull'intera portata di una violazione e intraprendere azioni di risposta per rimediare alle minacce.

  • I criteri del firewal si concentrano sul firewall di Defender nei dispositivi.

  • Le regole del firewall sono un tipo di profilo per i criteri del firewall che sono costituite da regole granulari per i firewall, tra cui porte, protocolli, applicazioni e reti specifiche.

Configurare il tenant per supportare la gestione delle impostazioni di sicurezza di Defender per endpoint

Per supportare la gestione delle impostazioni di sicurezza tramite l'interfaccia di amministrazione di Microsoft Intune, è necessario abilitare la comunicazione tra di esse all'interno di ogni console.

Le sezioni seguenti illustrano questo processo.

Configurare Microsoft Defender per endpoint

Nel portale di Microsoft Defender per endpoint, come amministratore della sicurezza:

  1. Accedere al portale di Microsoft Defender e passare a Impostazioni>Endopoint>Configurazione della gestione>Ambito di applicazione e abilitare le piattaforme per la gestione delle impostazioni di sicurezza.

    Abilitare la gestione delle impostazioni di Microsoft Defender per endpoint nel portale di Microsoft Defender.

    Nota

    Se si dispone dell'autorizzazione Gestisci impostazioni di sicurezza nel Centro sicurezza nel portale di Microsoft Defender per endpoint e si è abilitati contemporaneamente per visualizzare i dispositivi da tutti i gruppi di dispositivi (nessun limite di controllo degli accessi in base al ruolo per le autorizzazioni utente), è anche possibile eseguire questa azione.

  2. Inizialmente, è consigliabile testare la funzionalità per ogni piattaforma selezionando l'opzione piattaforme per Nei dispositivi con tag e quindi contrassegnando i dispositivi con il tag MDE-Management.

    Importante

    L'uso di Funzionalità di tag dinamico di Microsoft Defender per endpoint per contrassegnare i dispositivi con gestione MDE non è attualmente supportato con la gestione delle impostazioni di sicurezza. I dispositivi contrassegnati tramite questa funzionalità non verranno registrati correttamente. Questo problema rimane in fase di indagine.

    Consiglio

    Usare i tag del dispositivo appropriati per testare e convalidare l'implementazione in un numero ridotto di dispositivi.

    Quando si esegue la distribuzione al gruppo Tutti i dispositivi, ogni dispositivo che rientra nell'ambito configurato viene automaticamente iscritto.

    Anche se la maggior parte dei dispositivi completa la registrazione e applica i criteri assegnati in pochi minuti, a volte il completamento della registrazione può richiedere fino a 24 ore.

  3. Configurare la funzione per i dispositivi di cui è stato eseguito l'onboarding di Microsoft Defender per il cloud e le impostazioni dell'autorità di Gestione configurazione per adattarle alle esigenze dell'organizzazione:

    Configurare la modalità pilota per la gestione delle impostazioni degli endpoint nel portale Microsoft Defender.

    Consiglio

    Per garantire che gli utenti del portale Microsoft Defender per endpoint dispongano di autorizzazioni coerenti tra i portali, se non sono già state fornite, richiedere all'amministratore IT di assegnare loro il ruolo RBAC integrato di Microsoft Intune Endpoint Security Manager.

Configurare Intune

Nell'interfaccia di amministrazione di Microsoft Intune, l'account deve avere le stesse autorizzazioni del ruolo RBAC (Role based access control) di Endpoint Security Manager.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Sicurezza endpoint>Microsoft Defender per endpoint e impostare Consenti a Microsoft Defender per endpoint di applicare le configurazioni di sicurezza endpoint su On.

    Abilitare Microsoft Defender per la gestione delle impostazioni degli endpoint nell'interfaccia di amministrazione di Microsoft Intune.

    Quando si imposta questa opzione su Abilitato, tutti i dispositivi nell'ambito della piattaforma per Microsoft Defender per endpoint che non sono gestiti da Microsoft Intune sono idonei per l'onboarding in Microsoft Defender per endpoint.

Aggiungere dispositivi a Microsoft Defender per endpoint

Microsoft Defender per endpoint supporta diverse opzioni per l'onboarding dei dispositivi. Per informazioni aggiornate, vedere Eseguire l'onboarding in Microsoft Defender per endpoint nella documentazione di Defender per endpoint.

Coesistenza con Microsoft Configuration Manager

In alcuni ambienti potrebbe essere opportuno usare la gestione delle impostazioni di sicurezza con i dispositivi gestiti da Gestione configurazione. Se si usano entrambi, è necessario controllare i criteri tramite un singolo canale. L'uso di più canali crea l'opportunità di conflitti e risultati indesiderati.

A tale scopo, configurare Gestisci impostazioni di sicurezza usando Gestione configurazione su Disattivato. Accedere al portale Microsoft Defender e andare su Impostazioni>Endpoint>Gestione configurazione>Ambito di applicazione:

Screenshot del portale Defender che mostra Gestione impostazioni di sicurezza tramite Configuration Manager impostato su Disattivato.

Creare gruppi di Microsoft Entra

Dopo aver eseguito l'onboarding dei dispositivi in Defender per endpoint, è necessario creare gruppi di dispositivi per supportare la distribuzione dei criteri per Microsoft Defender per endpoint. Per identificare i dispositivi registrati in Microsoft Defender per endpoint ma non gestiti da Intune o Gestione configurazione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

  2. Passare a Dispositivi>Tutti i dispositivi e quindi selezionare la colonna Gestito da per ordinare la visualizzazione dei dispositivi.

    I dispositivi che sono stati registrati in Microsoft Defender per endpoint, ma non sono gestiti da Intune, visualizzano Microsoft Defender per endpoint nella colonna Gestito da. Questi sono i dispositivi che possono ricevere i criteri per la gestione della sicurezza per Microsoft Defender per endpoint.

    A partire dal 25 settembre 2023, i dispositivi che usano la gestione della sicurezza per Microsoft Defender per endpoint non possono più essere identificati usando le etichette di sistema seguenti:

    • MDEJoined - Un tag ora deprecato che veniva precedentemente aggiunto ai dispositivi uniti alla directory come parte di questo scenario.
    • MDEManaged - Un tag ora deprecato che veniva precedentemente aggiunto ai dispositivi che utilizzavano attivamente lo scenario di gestione della sicurezza. Questo tag viene rimosso dal dispositivo se Defender per endpoint interrompe la gestione di configurazione di sicurezza.

    Invece di utilizzare le etichette di sistema, è possibile utilizzare l'attributo del tipo di gestione e configurarlo su MicrosoftSense.

È possibile creare gruppi per questi dispositivi in Microsoft Entra o dall'interfaccia di amministrazione di Microsoft Intune. Quando si creano i gruppi, è possibile utilizzare il valore del sistema operativo per un dispositivo se si distribuiscono i criteri a dispositivi che eseguono Windows Server rispetto a dispositivi che eseguono una versione client di Windows:

  • Windows 10 e Windows 11 - Il tipo di dispositivo o il sistema operativo viene visualizzato come Windows
  • Windows Server - Il tipo di dispositivo o il sistema operativo viene visualizzato come Windows Server
  • Dispositivo Linux - Il tipo di dispositivo o il sistema operativo viene visualizzato come Linux

Esempio di gruppi dinamici Intune con sintassi delle regole

Workstation Windows:

Screenshot del gruppo dinamico di Intune per workstation Windows.

Server Windows:

Screenshot del Gruppo dinamico Intune per i server Windows.

Dispositivi Linux:

Screenshot del gruppo dinamico di Intune per Windows Linux.

Importante

A maggio 2023 deviceOSType è stato aggiornato per distinguere tra client Windows e server Windows.

Gli script personalizzati e i gruppi di dispositivi dinamici di Microsoft Entra creati prima di questa modifica che specificano regole che fanno riferimento solo a Windows potrebbero escludere i server Windows se usati con la soluzione Gestione sicurezza per Microsoft Defender per endpoint. Ad esempio:

  • Se si dispone di una regola che usa l'operatore equals o not equals per identificare Windows, questa modifica influirà sulla regola. Ciò è dovuto al fatto che in precedenza sia Windows che Windows Server venivano segnalati come Windows. Per continuare a includere entrambi, è necessario aggiornare la regola per fare riferimento anche a Windows Server.
  • Se si dispone di una regola che usa l'operatore contains o like per specificare Windows, la regola non sarà interessata da questa modifica. Questi operatori possono trovare sia Windows che Windows Server.

Consiglio

Gli utenti a cui è stata delegata la capacità di gestire le impostazioni di sicurezza degli endpoint potrebbero non avere la possibilità di implementare configurazioni a livello di tenant in Microsoft Intune. Rivolgersi all'amministratore di Intune per altre informazioni sui ruoli e le autorizzazioni nell'organizzazione.

Distribuire criterio

Dopo aver creato uno o più gruppi Microsoft Entra che contengono dispositivi gestiti da Microsoft Defender per endpoint, è possibile creare e distribuire i seguenti criteri per la gestione delle impostazioni di sicurezza a tali gruppi. I criteri e i profili disponibili variano in base alla piattaforma.

Per l'elenco delle combinazioni di criteri e profili supportati per la gestione delle impostazioni di sicurezza, vedere il grafico in Quale soluzione utilizzare, disponibile in questo articolo.

Consiglio

Evitare di distribuire più criteri che gestiscono la stessa impostazione in un dispositivo.

Microsoft Intune supporta la distribuzione di più istanze di ogni tipo di criterio di sicurezza degli endpoint nello stesso dispositivo, con ogni istanza dei criteri ricevuta dal dispositivo separatamente. Pertanto, un dispositivo potrebbe ricevere configurazioni separate per la stessa impostazione da criteri diversi, con conseguente conflitto. Alcune impostazioni, ad esempio le esclusioni antivirus, verranno unite nel client e applicate correttamente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Sicurezza degli endpoint e il tipo di criteri da configurare, quindi selezionare Crea criterio.

  3. Per il criterio, selezionare la piattaforma e il profilo da distribuire. Per un elenco delle piattaforme e dei profili che supportano la gestione delle impostazioni di sicurezza, vedere il grafico in Quale soluzione è consigliabile usare? in questo articolo.

    Nota

    I profili supportati si applicano ai dispositivi che comunicano tramite Gestione dispositivi mobili (MDM) con Microsoft Intune e dispositivi che comunicano usando il client Microsoft Defender per endpoint.

    Verificare di esaminare la destinazione e i gruppi in base alle esigenze.

  4. Selezionare Crea.

  5. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.

  6. Nella pagina Impostazioni di configurazione configurare le impostazioni da gestire con questo profilo.

    Per ulteriori informazioni su un'impostazione, espandere la finestra di dialogo delle informazioni e selezionare il collegamento Ulteriori informazioni per visualizzare la documentazione on-line del Configuration Service Provider (CSP) o i relativi dettagli, per quell'impostazione.

    Al termine della configurazione delle impostazioni, selezionare Avanti.

  7. Nella pagina Assegnazioni selezionare i gruppi Microsoft Entra che ricevono questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Selezionare Avanti per continuare.

    Consiglio

    • I filtri di assegnazione non sono supportati per i dispositivi gestiti dalla gestione delle impostazioni di sicurezza.
    • Solo gli Oggetti dispositivo sono applicabili a Microsoft Defender per la gestione degli endpoint. La destinazione degli utenti non è supportata.
    • I criteri configurati verranno applicati sia ai client Microsoft Intune che a Microsoft Defender per endpoint.

  8. Completare il processo di creazione dei criteri, quindi nella pagina Rivedi e crea selezionare Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

  9. Attendere l'assegnazione del criterio e visualizzare un'indicazione dell'esito positivo dell'applicazione del criterio.

  10. È possibile verificare che le impostazioni siano state applicate localmente nel client usando l'utilità di comando Get-MpPreference.

Monitorare lo stato

Lo stato e i report per i criteri destinati ai dispositivi in questo canale sono disponibili dal nodo dei criteri in Sicurezza degli endpoint nell'interfaccia di amministrazione di Microsoft Intune.

Eseguire il drill-in del tipo di criterio e quindi selezionare il criterio per visualizzarne lo stato. È possibile visualizzare l'elenco di piattaforme, tipi di criteri e profili che supportano la gestione delle impostazioni di sicurezza nella tabella in Quale soluzione usare, in questo articolo.

Quando si seleziona un criterio, è possibile visualizzare le informazioni sullo stato di archiviazione del dispositivo e selezionare:

  • Visualizza report: consente di visualizzare un elenco di dispositivi che hanno ricevuto i criteri. È possibile selezionare un dispositivo per eseguire il drill-in e visualizzarne lo stato per impostazione. È quindi possibile selezionare un'impostazione per visualizzare altre informazioni su di essa, inclusi altri criteri che gestiscono la stessa impostazione, che potrebbe essere una fonte di conflitto.

  • Per stato dell'impostazione - Visualizza le impostazioni gestite dal criterio e il conteggio di successi, errori o conflitti per ciascuna impostazione.

Domande frequenti e considerazioni

Frequenza di archiviazione del dispositivo

I dispositivi gestiti da questa funzionalità di archiviazione con Microsoft Intune ogni 90 minuti per aggiornare i criteri.

È possibile sincronizzare manualmente un dispositivo su richiesta dal Portale di Microsoft Defender. Accedere al portale e passare a Dispositivi. Selezionare un dispositivo gestito da Microsoft Defender per endpoint e quindi selezionare il pulsante Sincronizzazione dei criteri:

Sincronizzare manualmente i dispositivi gestiti da Microsoft Defender per endpoint.

Il pulsante di sincronizzazione dei criteri viene visualizzato solo per i dispositivi gestiti correttamente da Microsoft Defender per endpoint.

Dispositivi protetti da protezione antimanomissione

Se in un dispositivo è attivata la protezione antimanomissione, non è possibile modificare i valori delle impostazioni di Protezione antimanomissione senza prima disabilitare Protezione antimanomissione.

Gestione dei filtri di assegnazione e delle impostazioni di sicurezza

I filtri di assegnazione non sono supportati per i dispositivi che comunicano attraverso il canale di Microsoft Defender per endpoint. Sebbene sia possibile aggiungere filtri di assegnazione a un criterio che potrebbe essere destinato a questi dispositivi, questi ultimi ignorano i filtri di assegnazione. Per il supporto del filtro di assegnazione, il dispositivo deve essere iscritto a Microsoft Intune.

Eliminazione e rimozione di dispositivi

È possibile eliminare i dispositivi che usano questo flusso usando uno dei due metodi seguenti:

  • Dall'interfaccia di amministrazione di Microsoft Intune, andare su Dispositivi>Tutti i dispositivi, selezionare un dispositivo che mostra MDEJoined o MDEManaged nella colonna Managed by, quindi selezionare Elimina.
  • È anche possibile rimuovere i dispositivi dall'ambito di Gestione configurazione nel Centro sicurezza.

Una volta rimosso un dispositivo da una delle due posizioni, la modifica viene propagata all'altro servizio.

Non è possibile abilitare la gestione della sicurezza per Microsoft Defender per il carico di lavoro degli endpoint in Endpoint Security.

Anche se i flussi di provisioning iniziale possono essere completati da un amministratore con autorizzazioni in entrambi i servizi, i ruoli seguenti sono sufficienti per completare le configurazioni in ogni servizio separato:

  • Per Microsoft Defender usare il ruolo Amministratore della sicurezza.
  • Per Microsoft Intune usare il ruolo Endpoint Security Manager.

Dispositivi aggiunti a Microsoft Entra

I dispositivi aggiunti ad Active Directory usano l’infrastruttura esistente per completare il processo di aggiunta ibrida di Microsoft Entra.

Impostazioni di sicurezza non supportate

Le impostazioni di sicurezza seguenti sono in sospeso. Il flusso di gestione delle impostazioni di sicurezza di Defender per endpoint non supporta queste impostazioni:

  • Velocizzare la frequenza dei report di telemetria (in Rilevamento endpoint e risposta)
  • AllowIntrusionPreventionSystem (in Antivirus)
  • Protezione da manomissione (in Esperienza di Sicurezza di Windows). Questa impostazione non è deprecata in sospeso, ma non è attualmente supportata.

Uso della gestione delle impostazioni di sicurezza nei controller di dominio

Poiché è richiesta attendibilità in Microsoft Entra ID, i controller di dominio non sono attualmente supportati. Stiamo esaminando i modi per aggiungere questo supporto.

Importante

In alcuni casi, i controller di dominio che eseguono un sistema operativo server di livello inferiore (2012 R2 o 2016) possono essere involontariamente gestiti da Microsoft Defender per endpoint. Per garantire che questo non accada nell'ambiente, ti consigliamo di verificare che i controller di dominio non siano etichettati come “MDE-Management” o gestiti da MDE.

Installazione dei componenti di base del server

La gestione delle impostazioni di sicurezza non supporta le installazioni dei componenti di base del server a causa delle limitazioni della piattaforma Server core.

Modalità di limitazione di PowerShell

PowerShell deve essere abilitato.

La gestione delle impostazioni di sicurezza non funziona per un dispositivo con PowerShell LanguageMode configurato con la modalità enabledConstrainedLanguage. Per altre informazioni, vedere about_Language_Modes nella documentazione di PowerShell.

Gestione della sicurezza tramite MDE se in precedenza si usava uno strumento di sicurezza di terze parti

Se in precedenza si disponeva di uno strumento di sicurezza di terze parti nel computer e ora lo si gestisce con MDE, è possibile che si verifichi un impatto sulla capacità di MDE di gestire le impostazioni di sicurezza in rari casi. In questi casi, come misura di risoluzione dei problemi, disinstallare e reinstallare la versione più recente di MDE nel computer.

Passaggi successivi