Hantera manipuleringsskydd för din organisation med hjälp av Microsoft Intune

Gäller för:

Plattformar

  • Windows

Manipulationsskydd hjälper till att skydda vissa säkerhetsinställningar, till exempel virus- och hotskydd, från att inaktiveras eller ändras. Om du ingår i organisationens säkerhetsteam och använder Microsoft Intune kan du hantera manipulationsskydd för din organisation i Intune administrationscenter. Eller så kan du använda Configuration Manager. Med Intune eller Configuration Manager kan du utföra följande uppgifter:

Viktigt

Om du använder Microsoft Intune för att hantera Inställningar för Defender för Endpoint måste du ange DisableLocalAdminMerge till true på enheter.

När manipuleringsskydd är aktiverat kan manipuleringsskyddade inställningar inte ändras. För att undvika avbrott i hanteringsupplevelser, inklusive Intune (och Configuration Manager), bör du tänka på att ändringar av manipulationsskyddade inställningar kan verka vara slutförda men faktiskt blockeras av manipuleringsskydd. Beroende på ditt specifika scenario har du flera tillgängliga alternativ:

  • Om du måste göra ändringar på en enhet och dessa ändringar blockeras av manipulationsskydd rekommenderar vi att du använder felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. Observera att när felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.

  • Du kan använda Intune eller Configuration Manager för att undanta enheter från manipulationsskydd.

  • Om du hanterar manipuleringsskydd via Intune kan du ändra manipulationsskyddade antivirusundantag.

Krav för hantering av manipuleringsskydd i Intune

Krav Information
Roller och behörigheter Du måste ha rätt behörigheter tilldelade via roller, till exempel säkerhetsadministratör. Se Microsoft Entra roller med Intune åtkomst.
Enhetshantering Din organisation använder Configuration Manager eller Intune för att hantera enheter. Co-Managed enheter stöds inte för den här funktionen.
Intune licenser Intune licenser krävs. Se Microsoft Intune licensiering.
Operativsystem Windows-enheter måste köra Windows 10 version 1709 eller senare eller Windows 11. (Mer information om versioner finns i Versionsinformation för Windows.)

Information om Mac finns i Skydda macOS-säkerhetsinställningar med manipuleringsskydd.
Säkerhetsinsikter Du måste använda Windows-säkerhet med säkerhetsinformation uppdaterad till version 1.287.60.0 (eller senare).
Plattform för program mot skadlig kod Enheter måste använda plattformsversionen 4.18.1906.3 för program mot skadlig kod (eller senare) och motorversionen 1.1.15500.X mot skadlig kod (eller senare). Se Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.
Microsoft Entra ID Dina Intune- och Defender för Endpoint-klientorganisationer måste dela samma Microsoft Entra infrastruktur.
Defender för Endpoint Dina enheter måste vara registrerade i Defender för Endpoint.

Obs!

Om enheter inte har registrerats i Microsoft Defender för Endpoint visas manipuleringsskyddet som Inte tillämpligt förrän registreringsprocessen har slutförts. Manipuleringsskydd kan förhindra att ändringar av säkerhetsinställningarna sker. Om du ser en felkod med händelse-ID 5013 läser du Granska händelseloggar och felkoder för att felsöka problem med Microsoft Defender Antivirus.

Aktivera eller inaktivera manipuleringsskydd i Microsoft Intune

Aktivera manipuleringsskydd med Intune

  1. I Intune administrationscenter går du till Endpoint Security>Antivirus och väljer sedan + Skapa princip.

    • I listan Plattform väljer du Windows 10, Windows 11 och Windows Server.
    • I listan Profil väljer du Windows-säkerhet upplevelse.
  2. Skapa en profil som innehåller följande inställning:

    • ManipulationSkydd (enhet): På
  3. Slutför valet av alternativ och inställningar för principen.

  4. Distribuera principen till enheter.

Manipulationsskydd för antivirusundantag

Om din organisation har undantag som definierats för Microsoft Defender Antivirus skyddar manipuleringsskyddet dessa undantag, förutsatt att alla följande villkor är uppfyllda:

Villkor Kriterier
Microsoft Defender plattform Enheter körs Microsoft Defender plattform 4.18.2211.5 eller senare. Mer information finns i Månatliga plattforms- och motorversioner.
DisableLocalAdminMerge inställning Den här inställningen kallas även för att förhindra sammanslagning av lokala listor. DisableLocalAdminMergemåste vara aktiverat så att inställningar som konfigurerats på en enhet inte slås samman med organisationsprinciper, till exempel inställningar i Intune. Mer information finns i DisableLocalAdminMerge.
Enhetshantering Enheter hanteras antingen endast i Intune eller hanteras endast med Configuration Manager. Sense måste vara aktiverat.
Antivirusundantag Microsoft Defender antivirusundantag hanteras i Microsoft Intune eller Configuration Manager. Mer information finns i Inställningar för Microsoft Defender Antivirus-princip i Microsoft Intune för Windows-enheter.

Funktioner för att skydda Microsoft Defender Antivirus-undantag är aktiverade på enheter. Mer information finns i How to determine whether antivirus exclusions are manipulation protected on a Windows device.

Obs!

Om Configuration Manager till exempel enbart används för att hantera undantag och de obligatoriska villkoren uppfylls skyddas undantag från Configuration Manager. I det här fallet behöver du inte push-överföra antivirusundantag med hjälp av Microsoft Intune.

Mer detaljerad information om Microsoft Defender antivirusundantag finns i Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus.

Så här avgör du om antivirusundantag skyddas på en Windows-enhet

Du kan använda en registernyckel för att avgöra om funktionen för att skydda Microsoft Defender antivirusundantag är aktiverad. Följande procedur beskriver hur du visar, men inte ändrar, manipuleringsskyddsstatus.

  1. Öppna Register Editor på en Windows-enhet. (Skrivskyddat läge är bra. Du redigerar inte registernyckeln.)

  2. Kontrollera följande registernyckelvärden för att bekräfta att enheten endast hanteras av Intune eller hanteras av Configuration Manager, med Sense aktiverat:

    • ManagedDefenderProductType (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender eller HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM eller HKLM\SOFTWARE\Microsoft\SenseCM)

    I följande tabell sammanfattas vad registernyckelvärdena betyder:

    ManagedDefenderProductType värde EnrollmentStatus värde Vad värdet innebär
    6 (valfritt värde) Enheten hanteras endast med Intune.
    (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
    7 4 Enheten hanteras med Configuration Manager.
    (Uppfyller ett krav på att undantag ska vara manipuleringsskyddade.)
    7 3 Enheten samhanteras med Configuration Manager och Intune.
    (Detta stöds inte för undantag som ska manipuleras.)
    Ett annat värde än 6 eller 7 (valfritt värde) Enheten hanteras inte endast av Intune eller Configuration Manager.
    (Undantag är inte manipulationsskyddade.)
  3. Kontrollera registernyckeln TPExclusions (som finns på Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features eller HKLM\SOFTWARE\Microsoft\Windows Defender\Features) för att bekräfta att manipuleringsskydd har distribuerats och att undantag är manipulationsskyddade.

    TPExclusions Vad värdet innebär
    1 De nödvändiga villkoren uppfylls och de nya funktionerna för att skydda undantag är aktiverade på enheten.
    (Undantag är manipulationsskyddade.)
    0 Manipulationsskydd skyddar för närvarande inte undantag på enheten.
    (Om alla krav är uppfyllda och det här tillståndet verkar felaktigt kontaktar du supporten.)

Försiktighet

Ändra inte värdet för registernycklarna. Använd föregående procedur endast för information. Att ändra nycklar har ingen effekt på om manipuleringsskydd gäller för undantag.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.