Zasady wykrywania i reagowania punktów końcowych dla zabezpieczeń punktu końcowego w usłudze Intune

Podczas integracji usługi Microsoft Defender for Endpoint z usługą Intune można użyć zasad zabezpieczeń punktów końcowych do wykrywania punktów końcowych i reagowania na nie (EDR), aby zarządzać ustawieniami EDR i dołączać urządzenia do usługi Microsoft Defender for Endpoint.

Funkcje wykrywania punktów końcowych i reagowania w usłudze Microsoft Defender for Endpoint zapewniają zaawansowane wykrywanie ataków, które są niemal w czasie rzeczywistym i umożliwiają podjęcie działań. Analitycy zabezpieczeń mogą efektywnie ustalać priorytety alertów, uzyskiwać wgląd w pełny zakres naruszenia i podejmować działania reagowania w celu skorygowania zagrożeń.

Dotyczy:

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server 2012 R2 i nowsze (zarządzane przez program Configuration Manager za pośrednictwem scenariusza dołączania dzierżawy lub za pośrednictwem scenariusza zarządzania ustawieniami usługi Microsoft Defender for Endpoint Security )

Informacje o zasadach usługi Intune dotyczących wykrywania i reagowania na punkty końcowe

Zasady wykrywania i reagowania punktu końcowego usługi Intune obejmują profile specyficzne dla platformy do zarządzania instalacją dołączania usługi Microsoft Defender for Endpoint. Każdy profil zawiera pakiet dołączania , który ma zastosowanie do platformy urządzenia przeznaczonej dla zasad. Pakiety dołączania to sposób, w jaki urządzenia są skonfigurowane do pracy z usługą Microsoft Defender for Endpoint. Po dołączeniu urządzenia możesz zacząć używać danych o zagrożeniach z tego urządzenia.

Zasady EDR można tworzyć i zarządzać nimi z poziomu węzła wykrywania punktów końcowych i odpowiedzi , który znajduje się w węźle zabezpieczenia punktu końcowegocentrum administracyjnego usługi Microsoft Intune.

Podczas tworzenia zasad EDR do dołączania urządzeń można użyć wstępnie skonfigurowanej opcji zasad lub utworzyć zasady wymagające ręcznej konfiguracji ustawień, w tym identyfikacji pakietu dołączania:

• Wstępnie skonfigurowane zasady: obsługiwane tylko dla urządzeń z systemem Windows, użyj tej opcji, aby szybko wdrożyć wstępnie skonfigurowane zasady dołączania EDR na wszystkich odpowiednich urządzeniach. Można użyć wstępnie skonfigurowanej opcji zasad dla urządzeń zarządzanych za pomocą usługi Intune i urządzeń dołączonych do dzierżawy zarządzanych za pośrednictwem programu Configuration Manager. W przypadku korzystania ze wstępnie skonfigurowanej opcji nie można edytować ustawień zasad przed jej utworzeniem i początkowym wdrożeniem. Po wdrożeniu można edytować kilka wybranych ustawień. Aby uzyskać więcej informacji, zobacz Używanie wstępnie skonfigurowanych zasad EDR w tym artykule.

• Ręcznie utwórz zasady: obsługiwane dla wszystkich platform, użyj tej opcji, aby utworzyć zasady dołączania, które można wdrożyć w dyskretnych grupach urządzeń. W przypadku korzystania z tej ścieżki można skonfigurować dowolne z dostępnych ustawień zasad, zanim zostaną wdrożone w przypisanych grupach. Aby uzyskać więcej informacji, zobacz Używanie ręcznie utworzonych zasad EDR w tym artykule.

W oparciu o platformę docelowe zasady, zasady EDR dla urządzeń zarządzanych za pomocą usługi Intune są wdrażane w grupach urządzeń z identyfikatora Microsoft Entra lub w kolekcjach urządzeń lokalnych synchronizowanych z programu Configuration Manager za pośrednictwem scenariusza dołączania dzierżawy.

Wymagania wstępne dotyczące zasad EDR

Ogólne:

• Dzierżawa usługi Microsoft Defender dla punktu końcowego — dzierżawa usługi Microsoft Defender dla punktu końcowego musi być zintegrowana z dzierżawą usługi Microsoft Intune (subskrypcja usługi Intune), aby można było utworzyć zasady EDR. Więcej informacji można znaleźć w następujących artykułach:

  • Skorzystaj z usługi Microsoft Defender for Endpoint , aby uzyskać wskazówki dotyczące integracji usługi Microsoft Defender for Endpoint z usługą Microsoft Intune.
  • Połącz usługę Microsoft Defender for Endpoint z usługą Intune , aby skonfigurować połączenie service-to-service między usługą Intune i usługą Microsoft Defender dla punktu końcowego.

Obsługa klientów programu Configuration Manager:

• Konfigurowanie dołączania dzierżawy dla urządzeń programu Configuration Manager — aby obsługiwać wdrażanie zasad EDR na urządzeniach zarządzanych przez program Configuration Manager, skonfiguruj dołączanie dzierżawy. To zadanie obejmuje konfigurowanie kolekcji urządzeń programu Configuration Manager w celu obsługi zasad zabezpieczeń punktów końcowych z usługi Intune.

  Aby skonfigurować dołączanie dzierżawy, w tym synchronizację kolekcji programu Configuration Manager z centrum administracyjnym usługi Microsoft Intune i umożliwić im pracę z zasadami zabezpieczeń punktu końcowego, zobacz Konfigurowanie dołączania dzierżawy do obsługi zasad ochrony punktu końcowego.

  Aby uzyskać więcej informacji na temat korzystania z zasad EDR z urządzeniami dołączonymi do dzierżawy, zobacz Konfigurowanie programu Configuration Manager do obsługi zasad EDR w tym artykule.

Kontrola dostępu oparta na rolach (RBAC)

Aby uzyskać wskazówki dotyczące przypisywania odpowiedniego poziomu uprawnień i praw do zarządzania zasadami wykrywania punktów końcowych i reagowania w usłudze Intune, zobacz Przypisywanie zasad kontroli dostępu na podstawie ról dla punktu końcowego.

Informacje o węźle wykrywania i reagowania punktów końcowych

W centrum administracyjnym usługi Microsoft Intune węzeł wykrywania punktów końcowych i odpowiedzi jest podzielony na dwie karty:

Karta Podsumowanie:
Karta Podsumowanie zawiera ogólny widok wszystkich zasad EDR, zarówno ręcznie skonfigurowanych zasad, jak i zasad utworzonych przy użyciu opcji Wdróż wstępnie skonfigurowane zasady.

Karta Podsumowanie zawiera następujące obszary:

• Stan łącznika usługi Defender for Endpoint — w tym widoku jest wyświetlany bieżący stan łącznika dzierżawy. Etykieta Stan łącznika usługi Defender for Endpoint jest również linkiem otwieranym w portalu usługi Defender. Ten widok jest taki sam jak na stronie Przegląd zabezpieczeń punktu końcowego.

• Urządzenia z systemem Windows dołączone do usługi Defender for Endpoint — w tym widoku przedstawiono stan całej dzierżawy na potrzeby dołączania do funkcji wykrywania i reagowania na punkty końcowe (EDR) z liczbami dla obu urządzeń, które mają lub nie zostały dołączone do usługi Microsoft Defender for Endpoint.

• Zasady wykrywania i reagowania na punkty końcowe (EDR) — w tym miejscu można utworzyć nowe ręcznie skonfigurowane zasady EDR i wyświetlić listę wszystkich zasad EDR dla dzierżawy. Lista zasad zawiera zarówno ręcznie skonfigurowane zasady, jak i zasady utworzone przy użyciu opcji Wdróż wstępnie skonfigurowane zasady.

  Wybranie zasad z listy otwiera bardziej szczegółowy widok tych zasad, w którym można przejrzeć jego konfigurację i wybrać opcję edycji jej szczegółów i konfiguracji. Jeśli zasady zostały wstępnie skonfigurowane, ustawienia, które można edytować, są ograniczone.

Karta Stan dołączania EDR:
Ta karta zawiera ogólne podsumowanie urządzeń, które mają lub nie zostały dołączone do usługi Microsoft Defender for Endpoint, i obsługuje przechodzenie do szczegółów poszczególnych urządzeń. To podsumowanie obejmuje urządzenia zarządzane przez usługę Intune i urządzenia zarządzane za pośrednictwem scenariusza dołączania dzierżawy i programu Configuration Manager.

Ta karta zawiera również opcję tworzenia i wdrażania wstępnie skonfigurowanych zasad dołączania dla urządzeń z systemem Windows.

Karta Stan dołączania EDR obejmuje:

• Wdrażanie wstępnie skonfigurowanych zasad — ta opcja jest wyświetlana w górnej części strony powyżej wykresu podsumowania dołączania i służy do tworzenia wstępnie skonfigurowanych zasad dołączania urządzeń z systemem Windows do usługi Microsoft Defender for Endpoint.

• Wykres podsumowania stanu dołączania EDR — na tym wykresie przedstawiono liczbę urządzeń, które mają lub nie zostały dołączone do usługi Microsoft Defender for Endpoint.

• Lista urządzeń — poniżej wykresu podsumowania znajduje się lista urządzeń ze szczegółowymi informacjami, w tym:

  • Nazwa urządzenia
  • Jak zarządzane jest urządzenie
  • Stan dołączania EDR urządzeń
  • Godzina i data ostatniego zaewidencjonowania
  • Ostatni znany stan urządzeń Czujnik usługi Defender

Profile EDR

Urządzenia zarządzane przez usługę Microsoft Intune

Linux — aby zarządzać środowiskiem EDR dla urządzeń z systemem Linux, wybierz platformę systemu Linux . Dostępny jest następujący profil:

• Wykrywanie i reagowanie na punkty końcowe — usługa Intune wdraża zasady na urządzeniach w przypisanych grupach. Ten profil obsługuje:

  • Urządzenia zarejestrowane w usłudze Intune.
  • Urządzenia zarządzane za pośrednictwem usługi Security Management dla usługi Microsoft Defender dla punktu końcowego.

  Szablony EDR dla systemu Linux obejmują dwa ustawienia dla kategorii Tagi urządzeń z usługi Defender for Endpoint:

  • Wartość tagu — można ustawić tylko jedną wartość na tag. Typ tagu jest unikatowy i nie powinien być powtarzany w tym samym profilu.
  • Typ tagu — tag GROUP oznacza urządzenie określoną wartością. Tag znajduje odzwierciedlenie w centrum administracyjnym na stronie urządzenia i może służyć do filtrowania i grupowania urządzeń.

  Aby dowiedzieć się więcej na temat ustawień usługi Defender for Endpoint, które są dostępne dla systemu Linux, zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie Linux w dokumentacji usługi Defender.

macOS — aby zarządzać środowiskiem EDR dla urządzeń z systemem macOS, wybierz platformę systemu macOS . Dostępny jest następujący profil:

• Wykrywanie i reagowanie na punkty końcowe — usługa Intune wdraża zasady na urządzeniach w przypisanych grupach. Ten profil obsługuje:

  • Urządzenia zarejestrowane w usłudze Intune.
  • Urządzenia zarządzane za pośrednictwem usługi Security Management dla usługi Microsoft Defender dla punktu końcowego.

  Szablony EDR dla systemu macOS obejmują dwa ustawienia dla kategorii Tagi urządzeń z usługi Defender for Endpoint:

  • Typ tagu — tag GROUP oznacza urządzenie określoną wartością. Tag znajduje odzwierciedlenie w centrum administracyjnym na stronie urządzenia i może służyć do filtrowania i grupowania urządzeń.
  • Wartość tagu — można ustawić tylko jedną wartość na tag. Typ tagu jest unikatowy i nie powinien być powtarzany w tym samym profilu.

  Aby dowiedzieć się więcej o ustawieniach usługi Defender for Endpoint, które są dostępne dla systemu macOS, zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS w dokumentacji usługi Defender.

Windows — aby zarządzać środowiskiem EDR dla urządzeń z systemem Windows, wybierz platformę systemu Windows . Dostępny jest następujący profil:

• Wykrywanie i reagowanie na punkty końcowe — usługa Intune wdraża zasady na urządzeniach w przypisanych grupach. Ten profil obsługuje:

  • Urządzenia zarejestrowane w usłudze Intune.
  • Urządzenia zarządzane za pośrednictwem usługi Security Management dla usługi Microsoft Defender dla punktu końcowego.

  Uwaga

  Począwszy od 5 kwietnia 2022 r ., platforma Systemu Windows 10 i nowszych została zastąpiona przez platformę Windows 10, Windows 11 i Windows Server, która jest teraz nazywana bardziej po prostu systemem Windows.

  Platforma systemu Windows obsługuje urządzenia komunikujące się za pośrednictwem usługi Microsoft Intune lub usługi Microsoft Defender dla punktu końcowego. Te profile dodają również obsługę platformy systemu Windows Server, która nie jest natywnie obsługiwana za pośrednictwem usługi Microsoft Intune.

  Profile dla tej nowej platformy używają formatu ustawień, jak można znaleźć w katalogu ustawień. Każdy nowy szablon profilu dla tej nowej platformy zawiera te same ustawienia co starszy szablon profilu, który zastępuje. Dzięki tej zmianie nie można już tworzyć nowych wersji starych profilów. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.

  Opcje dlatypu pakietu konfiguracji klienta programu Microsoft Defender for Endpoint:

  • Dotyczy tylko urządzeń z systemem Windows

  Po skonfigurowaniu połączenia service-to-service między usługą Intune i usługą Microsoft Defender dla punktu końcowego opcja Auto z łącznika staje się dostępna dla ustawienia typu pakietu konfiguracji klienta programu Microsoft Defender for Endpoint. Ta opcja nie jest dostępna, dopóki nie skonfigurujesz połączenia.

  Po wybraniu opcji Automatycznie z łącznika usługa Intune automatycznie pobiera pakiet dołączania (obiekt blob) z wdrożenia usługi Defender for Endpoint. Ten wybór zastępuje konieczność ręcznego skonfigurowania pakietu dołączania dla tego profilu. Nie ma opcji automatycznego konfigurowania pakietu odłączanego.

Urządzenia zarządzane przez program Configuration Manager

Wykrywanie i reagowanie dotyczące punktów końcowych

Aby zarządzać ustawieniami zasad wykrywania punktów końcowych i reagowania dla urządzeń programu Configuration Manager podczas korzystania z dołączania dzierżawy.

Platforma: Windows (ConfigMgr)

Profil: Wykrywanie i reagowanie punktów końcowych (ConfigMgr)

Wymagana wersja programu Configuration Manager:

• Bieżąca gałąź programu Configuration Manager w wersji 2002 lub nowszej z aktualizacją programu Configuration Manager 2002 w konsoli (KB4563473)
• Configuration Manager Technical Preview 2003 lub nowszy

Obsługiwane platformy urządzeń programu Configuration Manager:

• Windows 8.1 (x86, x64), poczynając od programu Configuration Manager w wersji 2010
• Windows 10 lub nowszy (x86, x64, ARM64)
• Windows 11 lub nowszy (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), poczynając od programu Configuration Manager w wersji 2010
• Windows Server 2016 i nowsze (x64)

Konfigurowanie programu Configuration Manager do obsługi zasad EDR

Przed wdrożeniem zasad EDR na urządzeniach programu Configuration Manager wykonaj konfiguracje opisane w poniższych sekcjach.

Te konfiguracje są wykonywane w konsoli programu Configuration Manager i we wdrożeniu programu Configuration Manager. Jeśli nie znasz programu Configuration Manager, zaplanuj współpracę z administratorem programu Configuration Manager w celu wykonania tych zadań.

Poniższe sekcje obejmują wymagane zadania:

1. Instalowanie aktualizacji programu Configuration Manager
2. Włączanie dołączania dzierżawy

Zadanie 1. Instalowanie aktualizacji programu Configuration Manager

Program Configuration Manager w wersji 2002 wymaga aktualizacji do obsługi zasad wykrywania punktów końcowych i reagowania wdrożonych z poziomu centrum administracyjnego usługi Microsoft Intune.

Szczegóły aktualizacji:

• Poprawka programu Configuration Manager 2002 (KB4563473)

Ta aktualizacja jest dostępna jako aktualizacja w konsoli programu Configuration Manager 2002.

Aby zainstalować tę aktualizację, postępuj zgodnie ze wskazówkami z tematu Instalowanie aktualizacji w konsoli w dokumentacji programu Configuration Manager.

Po zainstalowaniu aktualizacji wróć tutaj, aby kontynuować konfigurowanie środowiska do obsługi zasad EDR z poziomu centrum administracyjnego usługi Microsoft Intune.

Zadanie 2. Konfigurowanie dołączania dzierżawy i synchronizowania kolekcji

W przypadku dołączania dzierżawy należy określić kolekcje urządzeń z wdrożenia programu Configuration Manager do synchronizacji z centrum administracyjnym usługi Microsoft Intune. Po zsynchronizowaniu kolekcji użyj centrum administracyjnego, aby wyświetlić informacje o tych urządzeniach i wdrożyć na nich zasady EDR z usługi Intune.

Aby uzyskać więcej informacji na temat scenariusza dołączania dzierżawy, zobacz Włączanie dołączania dzierżawy w zawartości programu Configuration Manager.

Włączanie dołączania dzierżawy, gdy współzarządzanie nie jest włączone

Jeśli planujesz włączyć współzarządzanie, zapoznaj się ze współzarządzaniem, jego wymaganiami wstępnymi i sposobem zarządzania obciążeniami przed kontynuowaniem. Zobacz Co to jest współzarządzanie w dokumentacji programu Configuration Manager.

Aby włączyć dołączanie dzierżawy, gdy współzarządzanie nie jest włączone, musisz zalogować się do usługi AzurePublicCloud dla swojego środowiska. Przed kontynuowaniem zapoznaj się z tematem Uprawnienia i role w dokumentacji programu Configuration Manager, aby upewnić się, że masz dostępne konto, które może ukończyć procedurę.

1. W konsoli administracyjnej programu Configuration Manager przejdź doobszaru Omówienie>administracji>Współzarządzanie usługami>w chmurze.
2. Na wstążce wybierz pozycję Konfiguruj współzarządzanie , aby otworzyć kreatora.
3. Na stronie Dołączanie dzierżawy wybierz pozycję AzurePublicCloud dla swojego środowiska. Chmura azure government nie jest obsługiwana.
   1. Wybierz pozycję Zaloguj się i określ konto, które ma wystarczające uprawnienia do środowiska AzurePublicCloud .

W przypadku urządzeń zarządzanych za pomocą usługi Intune są obsługiwane następujące elementy:

• Platforma: Windows — usługa Intune wdraża zasady na urządzeniach w grupach Microsoft Entra.
• Profil: Wykrywanie i reagowanie punktów końcowych

Używanie wstępnie skonfigurowanych zasad EDR

Usługa Intune obsługuje korzystanie ze wstępnie skonfigurowanych zasad EDR dla urządzeń z systemem Windows zarządzanych przez usługę Intune i przez program Configuration Manager za pośrednictwem scenariusza dołączania dzierżawy.

Na stronie Stan dołączania EDR zasad wykrywania i reagowania punktu końcowego usługi Intune wybierz opcję Wdróż wstępnie skonfigurowane zasady , aby usługa Intune utworzyła i wdrożyła wstępnie skonfigurowane zasady instalowania usługi Microsoft Defender for Endpoint na odpowiednich urządzeniach.

Ta opcja znajduje się w górnej części strony powyżej raportu Urządzenia z systemem Windows dołączonego do usługi Defender for Endpoint:

Przed wybraniem tej opcji należy pomyślnie skonfigurować łącznik usługi Defender dla punktów końcowych, który ustanawia połączenie między usługą Intune a usługą Microsoft Defender dla punktu końcowego. Zasady używają łącznika do pobierania obiektu blob dołączania usługi Microsoft Defender for Endpoint do użycia do dołączania urządzeń. Aby uzyskać informacje na temat konfigurowania tego łącznika, zobacz Connect Microsoft Defender for Endpoint to Intune (Łączenie usługi Microsoft Defender for Endpoint z usługą Intune ) w artykule Konfigurowanie usługi Defender dla punktu końcowego .

Jeśli używasz scenariusza dołączania dzierżawy do obsługi urządzeń zarządzanych przez program Configuration Manager, skonfiguruj program Configuration Manager do obsługi zasad EDR z poziomu centrum administracyjnego usługi Microsoft Intune. Zobacz Konfigurowanie dołączania dzierżawy w celu obsługi zasad ochrony punktu końcowego.

Tworzenie wstępnie skonfigurowanych zasad EDR

W przypadku korzystania z opcji Wdróż wstępnie skonfigurowane zasady nie można zmienić domyślnych konfiguracji zasad instalowania programu Microsoft Defender dla punktu końcowego, tagów zakresu ani przypisań. Jednak po utworzeniu zasad można edytować niektóre szczegóły, w tym konfigurację filtrów przypisania.

Aby utworzyć zasady:

1. W centrum administracyjnym usługi Microsoft Intune przejdź do obszaruWykrywanie punktów końcowych zabezpieczeń>punktu końcowegoi odpowiedź > otwórz kartę >Stan dołączania EDR wybierz pozycję Wdróż wstępnie skonfigurowane zasady.

2. Na stronie Tworzenie profilu określ jedną z następujących kombinacji, a następnie wybierz pozycję Utwórz:

   • W przypadku urządzeń zarządzanych przez usługę Intune:

     • Platforma = Windows
     • Profil = wykrywanie punktów końcowych i reagowanie na nie

   • W przypadku urządzeń zarządzanych za pośrednictwem scenariusza dołączania dzierżawy:

     • Platform = Windows (ConfigMgr)
     • Profil = wykrywanie i reagowanie punktów końcowych (ConfigMgr)

     Ważna

     Wdrożenie na urządzeniach dołączonych do dzierżawy wymaga włączenia i zsynchronizowania kolekcji All Desktop i Server Client w dzierżawie.

3. Na stronie Podstawy podaj nazwę dla tych zasad. Opcjonalnie możesz również dodać opis.

4. Na stronie Przeglądanie i tworzenie możesz rozszerzyć dostępne kategorie, aby przejrzeć konfigurację zasad, ale nie możesz wprowadzać zmian. Usługa Intune używa tylko odpowiednich ustawień na podstawie wybranej kombinacji Platformy i profilu. Na przykład w przypadku urządzeń zarządzanych przez usługę Intune zasady są przeznaczone dla grupy Wszystkie urządzenia . Grupa Klientów wszystkich komputerów stacjonarnych i serwerów jest przeznaczona dla urządzeń dołączonych do dzierżawy.

Wybierz pozycję Zapisz , aby utworzyć, i wdróż wstępnie skonfigurowane zasady.

Edytowanie wstępnie skonfigurowanych zasad EDR

Po utworzeniu wstępnie skonfigurowanych zasad można je znaleźć na karcie Podsumowanie zasad wykrywania punktów końcowych i reagowania. Wybierając zasady, możesz wybrać opcję edycji niektórych, ale nie wszystkich opcji zasad. Na przykład w przypadku urządzeń usługi Intune można edytować następujące opcje:

• Podstawowe: możesz edytować następujące opcje:
  • Name (Nazwa)
  • Opis
• Ustawienie konfiguracji: Następujące dwa ustawienia można zmienić z domyślnego ustawienia Nieskonfigurowane:
  • Udostępnianie przykładowe
  • [Przestarzałe] Częstotliwość raportowania danych telemetrycznych
• Przypisania: nie można zmienić przypisania grupy, ale można dodać filtry przypisania.

Używanie ręcznie utworzonych zasad EDR

Na stronie Podsumowanie EDR zasad wykrywania i reagowania punktów końcowych usługi Intune możesz wybrać pozycję Utwórz zasady , aby rozpocząć proces ręcznego konfigurowania zasad EDR w celu dołączania urządzeń do usługi Microsoft Defender dla punktu końcowego.

Ta opcja znajduje się w górnej części strony powyżej raportu Urządzenia z systemem Windows dołączonego do usługi Defender for Endpoint:

Tworzenie ręcznie skonfigurowanych zasad EDR

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia punktu końcowego>Wykrywanie i reagowanie dotyczące punktów końcowych>Tworzenie zasad.

3. Wybierz platformę i profil dla swoich zasad. Następujące informacje identyfikują opcje:

   • Intune — usługa Intune wdraża zasady na urządzeniach w przypisanych grupach. Podczas tworzenia zasad wybierz:

     • Platforma: Linux, macOS lub Windows
     • Profil: Wykrywanie i reagowanie punktów końcowych

   • Configuration Manager — program Configuration Manager wdraża zasady na urządzeniach w kolekcjach programu Configuration Manager. Podczas tworzenia zasad wybierz:

     • Platforma: Windows (ConfigMgr)
     • Profil: Wykrywanie i reagowanie dotyczące punktów końcowych (ConfigMgr)

4. Wybierz pozycję Utwórz.

5. Na stronie Podstawowe wprowadź nazwę i opis dla profilu, a następnie wybierz pozycję Dalej.

6. Na stronie Ustawienia konfiguracji wybierz opcję Automatycznie z łącznika dla typu pakietu konfiguracji klienta programu Microsoft Defender dla punktu końcowego. Skonfiguruj ustawienia częstotliwości udostępniania przykładów i telemetrii raportowania , które chcesz zarządzać przy użyciu tego profilu.

   Uwaga

   Aby dołączyć lub odłączyć dzierżawy przy użyciu pliku dołączania z portalu programu Microsoft Defender for Endpoint, wybierz pozycję Dołącz lub Odłącz i podaj zawartość pliku dołączania do danych wejściowych bezpośrednio poniżej zaznaczenia.

   Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.

7. Jeśli używasz tagów zakresu, na stronie Tagi zakresu wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi , aby przypisać tagi zakresu do profilu.

   Wybierz przycisk Dalej, aby kontynuować.

8. Na stronie Przypisania wybierz grupy lub kolekcje, które otrzymują te zasady. Wybór zależy od wybranej platformy i profilu:

   • W przypadku usługi Intune wybierz grupy z witryny Microsoft Entra.
   • W obszarze Configuration Manager wybierz kolekcje z programu Configuration Manager, które zostały zsynchronizowane z centrum administracyjnym usługi Microsoft Intune i włączone dla zasad programu Microsoft Defender dla punktu końcowego.

   W tej chwili możesz nie przypisywać grup ani kolekcji, a później edytować zasady, aby dodać przypisanie.

   Gdy wszystko będzie gotowe, wybierz przycisk Dalej, aby kontynuować.

9. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz.

   Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Aktualizowanie stanu dołączania urządzenia

Organizacje mogą wymagać zaktualizowania informacji o dołączaniu na urządzeniu za pośrednictwem usługi Microsoft Intune.

Ta aktualizacja może być konieczna ze względu na zmianę ładunku dołączania dla usługi Microsoft Defender dla punktu końcowego lub w przypadku, gdy jest ona kierowana przez pomoc techniczną firmy Microsoft.

Zaktualizowanie informacji o dołączaniu powoduje, że urządzenie zacznie korzystać z nowego ładunku dołączania przy następnym ponownym uruchomieniu.

Proces aktualizowania ładunku

1. Pobierz nowy ładunek Nowego ładunku dołączania do zarządzania urządzeniami przenośnymi z konsoli programu Microsoft Defender dla punktów końcowych.

2. Utwórz nową grupę , aby zweryfikować skuteczność nowych zasad.

3. Wyklucz nową grupę z istniejących zasad EDR.

4. Utwórz nowe zasady wykrywania i reagowania punktów końcowych opisane w temacie Tworzenie zasad EDR.

5. Podczas tworzenia zasad wybierz pozycję Dołącz z typu konfiguracji pakietu klienta i określ zawartość pliku dołączania z konsoli programu Microsoft Defender for Endpoint.

6. Przypisz zasady do nowej grupy utworzonej na potrzeby weryfikacji.

7. Dodaj istniejące urządzenia do grupy weryfikacji i upewnij się, że zmiany działają zgodnie z oczekiwaniami.

8. Stopniowo rozwiń wdrożenie, ostatecznie likwidując oryginalne zasady.

Raporty i monitorowanie zasad EDR

Możesz wyświetlić szczegółowe informacje o zasadach EDR używanych we wdrożeniu punktu końcowego i w węźle odpowiedzi centrum administracyjnego usługi Microsoft Intune.

Aby uzyskać szczegółowe informacje o zasadach, w centrum administracyjnym przejdźdo karty Podsumowaniei wdrażanie punktu końcowegozabezpieczeń> punktu końcowego punktu końcowego i odpowiedzi>, a następnie wybierz zasady, dla których chcesz wyświetlić szczegóły zgodności:

• W przypadku zasad przeznaczonych dla platform Linux, macOS lub Windows (Intune) usługa Intune wyświetla przegląd zgodności z zasadami. Możesz również wybrać wykres, aby wyświetlić listę urządzeń, które otrzymały zasady, oraz przejść do szczegółów poszczególnych urządzeń, aby uzyskać więcej szczegółów.

• W przypadku urządzeń z systemem Windows wykres dla urządzeń z systemem Windows dołączonych do usługi Defender for Endpoint zawiera liczbę urządzeń, które zostały pomyślnie dołączone do usługi Microsoft Defender for Endpoint i które nie zostały jeszcze dołączone.

  Aby zapewnić pełną reprezentację urządzeń na tym wykresie, wdróż profil dołączania na wszystkich urządzeniach. Urządzenia dołączane do usługi Microsoft Defender for Endpoint za pomocą środków zewnętrznych, takich jak zasady grupy lub program PowerShell, są liczone jako urządzenia bez czujnika usługi Defender for Endpoint.

• W przypadku zasad przeznaczonych dla platformy Windows (ConfigMgr) (Configuration Manager) usługa Intune wyświetla przegląd zgodności z zasadami, które nie obsługują przechodzenia do szczegółów w celu wyświetlenia dodatkowych szczegółów. Widok jest ograniczony, ponieważ centrum administracyjne otrzymuje ograniczone szczegóły stanu z programu Configuration Manager, który zarządza wdrażaniem zasad na urządzeniach programu Configuration Manager.

Aby wyświetlić szczegóły dotyczące poszczególnych urządzeń, przejdź do karty Standołączaniapunktu końcowego zabezpieczeń>punktu końcowegoi odpowiedzi > EDR, a następnie wybierz urządzenie z listy, aby wyświetlić dodatkowe szczegóły specyficzne dla urządzenia.

Następne kroki

• Konfigurowanie zasad zabezpieczeń punktu końcowego.
• Dowiedz się więcej o wykrywaniu i reagowaniu na punkty końcowe w dokumentacji usługi Microsoft Defender for Endpoint.