Usare Microsoft Intune per configurare e gestire Microsoft Defender Antivirus

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Antivirus Microsoft Defender

Compatibilità

• Microsoft Defender Antivirus che usa Intune è disponibile nelle piattaforme seguenti:
• Windows 10 e versioni successive

È possibile usare la famiglia di prodotti Microsoft Intune per configurare Microsoft Defender impostazioni antivirus, ad esempio Microsoft Intune e Configuration Manager.

Configurare Microsoft Defender impostazioni antivirus in Intune

1. Passare all'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com) e accedere.

2. Passare a Endpoint Security.

3. In Gestisci scegliere Antivirus.

4. Fare clic su Crea criterio, scegliere Windows come piattaforma e Microsoft Defender Antivirus per il tipo di profilo e quindi selezionare in Crea.

5. Immettere un nome per il criterio e facoltativamente una descrizione e selezionare Avanti per passare alle impostazioni di configurazione.

6. Modificare le impostazioni Microsoft Defender Antivirus.

7. Scegliere Rivedi e salva.

È possibile esplorare l'elenco delle impostazioni che è possibile configurare in un criterio antivirus Microsoft Defender all'interno di Intune.

Criteri e impostazioni

Consenti analisi Archivio

CSP: AllowArchiveScanning

Questa impostazione di criterio consente di configurare le analisi di software dannoso all'interno di file di archivio, ad esempio file .ZIP o .CAB.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del client, ovvero l'analisi dei file archiviati. L'utente può disabilitare questa impostazione.
• Non consentito: i file Archivio non vengono analizzati, ma vengono sempre analizzati durante le analisi dirette.
• Consentito : abilitare le analisi dei file di archivio. Questa è la configurazione consigliata.

Le modifiche a questa impostazione non vengono applicate se è abilitata la protezione da manomissione.

Consenti monitoraggio del comportamento

CSP: AllowBehaviorMonitoring

Questa impostazione di criterio consente di configurare il monitoraggio del comportamento.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (il monitoraggio del comportamento in tempo reale è abilitato).

• Non consentito : l'impostazione è disabilitata.

• Consentito : il monitoraggio del comportamento in tempo reale è abilitato. Questa è la configurazione consigliata.

  Le modifiche a questa impostazione non vengono applicate se è abilitata la protezione da manomissione.

Attivare la protezione fornita dal cloud

CSP: AllowCloudProtection

Questa impostazione di criterio consente di aggiungere Microsoft MAPS (Microsoft Active Protection Service). Microsoft MAPS è la community online che consente di scegliere come rispondere a potenziali minacce. La comunità aiuta anche a fermare la diffusione di nuove infezioni software dannose.

Le informazioni sugli elementi rilevati nel computer vengono raccolte e inviate automaticamente a Microsoft.

Vengono raccolte le informazioni seguenti su qualsiasi software dannoso rilevato, spyware e software potenzialmente indesiderato:

• L'origine del software
• Le azioni applicate o applicate automaticamente e il relativo esito positivo,
• La posizione del software
• Nomi di file
• Funzionamento del software
• Il suo impatto sul computer.

Impostazioni:

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (la protezione fornita dal cloud è disattivata).
• Non consentito : la protezione fornita dal cloud è disattivata.
• Consentito : la protezione fornita dal cloud è attivata.

Le modifiche a questa impostazione non verranno applicate se è abilitata la protezione da manomissione.

Consenti analisi della posta elettronica

CSP: AllowEmailScanning

Questa impostazione di criterio consente di configurare l'analisi della posta elettronica. Quando l'analisi della posta elettronica è abilitata, il motore analizza i file della cassetta postale e della posta, in base al formato specifico, per analizzare i corpi e gli allegati della posta. Sono attualmente supportati diversi formati di posta elettronica, ad esempio pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email l'analisi non è supportata nei client di posta elettronica moderni.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (disattiva l'analisi della posta elettronica).
• Non consentito : disattivare l'analisi della posta elettronica.
• Consentito : attivare l'analisi della posta elettronica. Questa è la configurazione consigliata.

Consenti analisi completa nelle unità di rete mappate

CSP: AllowFullScanOnMappedNetworkDrives

Questa impostazione di criterio consente di configurare l'analisi delle unità di rete mappate.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (le unità di rete mappate non verranno analizzate).
• Non consentito : le unità di rete mappate non verranno analizzate.
• Consentito : abilitare le analisi delle unità di rete mappate.

Consentire l'analisi completa dell'unità rimovibile

CSP: AllowFullScanRemovableDriveScanning

Questa impostazione di criterio consente di gestire se eseguire o meno l'analisi di software dannoso e software indesiderato nel contenuto di unità rimovibili, ad esempio unità flash USB, durante l'esecuzione di un'analisi completa.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (le unità rimovibili non verranno analizzate durante un'analisi completa, ma potrebbero comunque essere analizzate durante l'analisi rapida e l'analisi personalizzata).
• Non consentito : le unità rimovibili non verranno analizzate durante un'analisi completa, ma potrebbero comunque essere analizzate durante l'analisi rapida e l'analisi personalizzata.
• Consentito : le unità rimovibili vengono analizzate durante qualsiasi tipo di analisi. Questa è la configurazione consigliata.

Consenti l'analisi di tutti i file e gli allegati scaricati

CSP: AllowIOAVProtection

Questa impostazione di criterio consente di configurare l'analisi per tutti i file e gli allegati scaricati.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (l'analisi di tutti i file e gli allegati scaricati è abilitata).
• Non consentito : l'analisi di tutti i file e gli allegati scaricati è disabilitata.
• Consentito : l'analisi di tutti i file e gli allegati scaricati è abilitata. Questa è la configurazione consigliata.

Le modifiche a questa impostazione non verranno applicate se è abilitata la protezione da manomissione.

Consenti monitoraggio Real-Time

CSP: AllowRealtimeMonitoring

Abilita o disabilita la funzionalità di monitoraggio in tempo reale di Windows Defender.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (attiva ed esegue il servizio di monitoraggio in tempo reale).
• Non consentito : disattiva il servizio di monitoraggio in tempo reale.
• Consentito : attiva ed esegue il servizio di monitoraggio in tempo reale. Questa è la configurazione consigliata.

Le modifiche a questa impostazione non verranno applicate se è abilitata la protezione da manomissione.

Consenti analisi dei file di rete

CSP: enablescanningNetworkFiles

Questa impostazione di criterio consente di configurare sia le analisi pianificate che le analisi su richiesta (avviate manualmente) per i file a cui si accede tramite la rete.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (vengono analizzati i file di rete).
• Non consentito : i file di rete non vengono analizzati.
• Consentito : i file di rete vengono analizzati. Questa è la configurazione consigliata.

Consenti analisi script

CSP: enablescriptScanning

Questa impostazione di criterio abilita o disabilita la funzionalità di analisi degli script di Windows Defender.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (è consentita l'analisi degli script).
• Non consentito : l'impostazione è disabilitata, gli script non verranno analizzati.
• Consentito : l'impostazione è abilitata, gli script vengono analizzati(abilita l'interfaccia di analisi antimalware). Questa è la configurazione consigliata.

Le modifiche a questa impostazione non vengono applicate se l'impostazione di protezione da manomissione è abilitata.

Consenti accesso all'interfaccia utente

CSP: AllowUserUIAccess

Questa impostazione di criterio consente di configurare se visualizzare o meno l'interfaccia utente dell'app Microsoft Defender agli utenti.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (l'interfaccia utente e le notifiche sono consentite).
• Non consentito : l'impostazione è disabilitata. Impedisce agli utenti di accedere all'interfaccia utente e le notifiche vengono eliminate.
• Consentito : l'impostazione è abilitata. Gli utenti possono accedere all'interfaccia utente di Defender e le notifiche sono consentite. Questa è la configurazione consigliata.

Fattore di carico cpu medio

CSP: AvgCPULoadFactor

Questa impostazione di criterio consente di specificare il fattore di carico massimo della CPU per le analisi di Defender.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, in cui l'utilizzo della CPU non supera il valore predefinito del 50%.
• [0-100] - L'utilizzo della CPU non supererà la percentuale specificata. Il valore 0 indica che non è presente alcuna limitazione dell'utilizzo della CPU.

Profondità massima Archivio

CSP: ArchiveMaxDepth

Questa impostazione di criterio consente di specificare la profondità massima della cartella da estrarre dai file di archivio per l'analisi.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (tutti gli archivi vengono estratti fino alla cartella più profonda per l'analisi).
• [0-4294967295] - Tutti gli archivi vengono estratti fino alla profondità specificata nel criterio.

dimensioni massime Archivio

CSP: ArchiveMaxSize

Questa impostazione di criterio consente di specificare le dimensioni massime, in KB, dei file di archivio da estrarre e analizzare.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, in cui tutti gli archivi vengono estratti e analizzati indipendentemente dalle dimensioni.
• [0-4294967295] - Gli archivi vengono estratti e analizzati se le dimensioni sono inferiori alle dimensioni massime specificate nel criterio.

Verificare la presenza di firme prima di eseguire l'analisi

CSP: CheckForSignaturesBeforeRunningScan

Questa impostazione di criterio consente di gestire se prima di eseguire un'analisi si verifica un controllo della presenza di nuove informazioni di sicurezza di virus e spyware. Questo è applicabile solo alle analisi pianificate.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, in cui l'analisi inizia a usare l'intelligence di sicurezza corrente.
• Disabilitato : l'analisi inizia a usare l'intelligence di sicurezza esistente.
• Abilitato : prima di eseguire un'analisi, il sistema verifica la presenza di nuove informazioni di sicurezza. Questa è la configurazione consigliata.

Livello blocco cloud

CSP: CloudBlockLevel

Questa impostazione di criterio controlla il livello di intensità usato da Microsoft Defender Antivirus durante il blocco e l'analisi di file sospetti. Per usare questa funzionalità, è necessario abilitare Consenti protezione cloud

• Non configurata : l'impostazione ripristina il livello di blocco predefinito del sistema (0x0).

• (0x0)Stato predefinito - Livello di blocco predefinito Microsoft Defender Antivirus.

• (0x2)Alto - Livello di blocco elevato: blocca in modo aggressivo le incognite ottimizzando le prestazioni del client (maggiori probabilità di falsi positivi). Questa è la configurazione consigliata

• (0x4)High Plus - High+ blocking level -aggressive block unknowns and apply other protection measures (might affect client performance).

• (0x6)Tolleranza zero - Livello di blocco di tolleranza zero - Blocca tutti i file eseguibili sconosciuti

  Le modifiche a questa impostazione non vengono applicate se è abilitata la protezione da manomissione.

Timeout esteso del cloud

CSP: CloudExtendedTimeout

Questa funzionalità consente Microsoft Defender Antivirus di bloccare un file sospetto per un massimo di 60 secondi e analizzarlo nel cloud per assicurarsi che sia sicuro.

Il timeout del controllo cloud predefinito è di 10 secondi. Per abilitare questa funzionalità, specificare il tempo esteso in secondi. Il timeout massimo è di 50 secondi.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (il timeout del cloud è di 10 secondi).
• [0-50] - Il timeout del cloud viene esteso con la quantità specificata. Il valore consigliato è 50.

Giorni per conservare il malware pulito

CSP: DaysToRetainCleanedMalware

Questa impostazione di criterio definisce il numero di giorni in cui gli elementi devono essere conservati nella cartella Quarantena prima di essere rimossi.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema. Gli elementi vengono mantenuti nella cartella di quarantena a tempo indeterminato e non verranno rimossi automaticamente.
• [0-90] - Gli elementi vengono rimossi dalla cartella Quarantena dopo il numero di giorni specificato.

Disabilitare l'analisi completa di recupero

CSP: DisableCatchupFullScan

Questa impostazione dei criteri consente di configurare le analisi di recupero per le analisi complete pianificate. Un'analisi di recupero è un'analisi avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema.
• Disabilitato : le analisi di recupero per le analisi complete pianificate sono attivate. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero alla successiva accesso del computer da parte di un utente. Se non è configurata alcuna analisi pianificata, non viene eseguita alcuna analisi di recupero.
• Abilitato : le analisi di recupero per le analisi complete pianificate sono disabilitate.

Disabilitare l'analisi rapida di recupero

CSP: DisableCatchupQuickScan

Questa impostazione dei criteri consente di configurare le analisi di recupero per le analisi rapide pianificate. Un'analisi di recupero è un'analisi avviata perché è stata persa un'analisi pianificata regolarmente. In genere queste analisi pianificate vengono perse perché il computer è stato spento all'ora pianificata.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (le analisi di recupero per le analisi rapide pianificate sono attivate).
• Disabilitato : le analisi di recupero per le analisi rapide pianificate sono attivate. Se un computer è offline per due analisi pianificate consecutive, viene avviata un'analisi di recupero alla successiva accesso del computer da parte di un utente. Se non è configurata alcuna analisi pianificata, non viene eseguita alcuna analisi di recupero.
• Abilitato : le analisi di recupero per le analisi rapide pianificate sono disabilitate.

Abilitare la priorità bassa della CPU

CSP: EnableLowCPUPriority

Questa impostazione di criterio consente di abilitare o disabilitare la priorità bassa della CPU per le analisi pianificate.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero non viene apportata alcuna modifica alla priorità della CPU per le analisi pianificate.
• Disabilitato : non viene apportata alcuna modifica alla priorità della CPU per le analisi pianificate.
• Abilitato : durante le analisi pianificate viene usata la priorità bassa della CPU.

Abilitare la protezione di rete

CSP: EnableNetworkProtection

Abilitare o disabilitare Microsoft Defender protezione di rete di Exploit Guard per impedire ai dipendenti di usare applicazioni per accedere a domini pericolosi che potrebbero ospitare truffe di phishing, siti di hosting di exploit e altri contenuti dannosi su Internet.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, il che significa che agli utenti e alle applicazioni non verrà impedito di connettersi a domini pericolosi.
• Disabilitato : agli utenti e alle applicazioni non viene impedito di connettersi a domini pericolosi.
• Abilitato (modalità blocco): utenti e applicazioni non saranno in grado di accedere a domini pericolosi. Questa è la configurazione consigliata.
• Abilitato (modalità di controllo): gli utenti e le applicazioni possono connettersi a domini pericolosi. Tuttavia, se questa funzionalità avrebbe bloccato l'accesso quando è impostata su Blocca, nei log eventi verrà registrato un record dell'evento.

Estensioni escluse

CSP: ExcludedExtensions

Consente agli amministratori di specificare un elenco di estensioni di file da ignorare durante un'analisi. Per altre informazioni su come definire queste esclusioni, è possibile leggere questo articolo: Esclusioni in base all'estensione del file e al percorso della cartella

Percorsi esclusi

CSP: ExcludedPaths

Consente agli amministratori di specificare un elenco di percorsi di directory da ignorare durante un'analisi. Per altre informazioni su come definire queste esclusioni, è possibile leggere questo articolo: Esclusioni in base all'estensione del file e al percorso della cartella

Processi esclusi

CSP: ExcludedProcesses

Consente agli amministratori di specificare un elenco di file che i processi possono aprire senza essere analizzati. Per altre informazioni su come definire queste esclusioni, è possibile leggere questo articolo: Esclusioni in base all'estensione del file e al percorso della cartella

Protezione PUA

CSP: PUAProtection

Abilitare o disabilitare il rilevamento per le applicazioni potenzialmente indesiderate. È possibile scegliere di bloccare, controllare o consentire quando si scarica software potenzialmente indesiderato o si tenta di installarsi nel computer.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, il che significa che il software potenzialmente indesiderato non verrà bloccato.
• Disabilitato : la protezione PUA è disattivata, il che significa che il software potenzialmente indesiderato non verrà bloccato.
• Blocca : la protezione PUA è attiva, il che significa che il software potenzialmente indesiderato è bloccato. Questa è la configurazione consigliata.
• Modalità di controllo : il software potenzialmente indesiderato non verrà bloccato. Tuttavia, se questa funzionalità avrebbe bloccato l'accesso quando è impostata su Blocca, nei log eventi verrà registrato un record dell'evento.

Direzione analisi in tempo reale

CSP: RealTimeScanDirection

Questa impostazione di criterio consente di configurare il monitoraggio per i file in ingresso e in uscita senza disabilitare completamente il monitoraggio. È consigliabile per i server con volumi elevati di attività di file, in cui l'analisi deve essere disabilitata per una direzione specifica per mantenere le prestazioni. La configurazione appropriata deve essere valutata in base al ruolo del server.

Questa configurazione è applicabile solo ai volumi NTFS. Per qualsiasi altro tipo di file system, il monitoraggio completo dell'attività di file e programmi verrà applicato a tali volumi.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il monitoraggio dei file in ingresso e in uscita è abilitato.
• Monitorare tutti i file (bidirezionali) - Analizzare i file in ingresso e in uscita (impostazione predefinita)
• Monitorare i file in ingresso : analizza solo i file in ingresso.
• Monitorare i file in uscita : analizza solo i file in uscita.

Parametro di analisi

CSP: ScanParameter

Questa impostazione di criterio consente di specificare il tipo di analisi usato durante un'analisi pianificata. Questa impostazione interagisce con le impostazioni Schedule Scan Day e Schedule Scan Time.This setting interacts with the settings Schedule Scan Day and Schedule Scan Time.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema.
• Analisi rapida (impostazione predefinita): Defender esegue un'analisi rapida pianificata.
• Analisi completa : Defender esegue un'analisi completa pianificata.

Pianificare l'ora di analisi rapida

CSP: ScheduleQuickScanTime

Questa impostazione di criterio consente di specificare l'ora del giorno in cui eseguire un'analisi rapida giornaliera. Il valore di ora è rappresentato come numero di minuti trascorsi la mezzanotte. Questa impostazione non interagisce con le impostazioni Scan Parameter,Schedule Scan Day e Schedule Scan Time.This setting doesn't interact with the settings Scan Parameter, Schedule Scan Day and Schedule Scan Time.This setting doesn't interact with the settings Scan Parameter, Schedule Scan Day and Schedule Scan Time.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'analisi rapida giornaliera controllata da questa configurazione non viene eseguita.
• [0-1380] - Un'analisi rapida giornaliera viene eseguita all'ora del giorno specificata.

Pianificare il giorno dell'analisi

CSP: ScheduleScanDay

Questa impostazione di criterio consente di specificare il giorno della settimana per eseguire un'analisi pianificata. L'analisi può anche essere configurata per l'esecuzione ogni giorno o per non essere mai eseguita affatto. Questa impostazione interagisce con le impostazioni Scan Parameter e Schedule Scan Time.This setting interacts with the settings Scan Parameter and Schedule Scan Time.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema.
• Ogni giorno (impostazione predefinita): un'analisi pianificata viene eseguita ogni giorno.
• Domenica/Lunedì/Martedì/Mercoledì/Giovedì/Venerdì/Sabato - Un'analisi pianificata viene eseguita una volta alla settimana nel giorno selezionato.
• Nessuna analisi pianificata : nessuna analisi pianificata.

Pianificazione dell'ora di analisi

CSP: ScheduleScanTime

Questa impostazione di criterio consente di specificare l'ora del giorno per eseguire un'analisi pianificata. L'ora è rappresentata come numero di minuti trascorsi la mezzanotte, con il valore predefinito 120 minuti (che corrisponde alle 2:00). Questa impostazione interagisce con le impostazioni Scan Parameter e Schedule Scan Day.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (un'analisi pianificata viene eseguita in un'ora predefinita).
• [0-1380] - Un'analisi pianificata viene eseguita all'ora del giorno specificata.

Ordine di fallback dell'aggiornamento della firma

CSP: SignatureUpdateFallbackOrder

Questa impostazione di criterio consente di specificare l'ordine in cui vengono contattate diverse origini di aggiornamento dell'intelligence per la sicurezza. Immettere il valore come stringa separata da pipe, elencando le origini di aggiornamento dell'intelligence di sicurezza nell'ordine desiderato. I valori possibili includono: "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" e "FileShares".

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema. Ciò significa che le origini di aggiornamento dell'intelligence per la sicurezza vengono contattate in un ordine predefinito.
• Abilitato : le origini di aggiornamento dell'intelligence per la sicurezza vengono contattate nell'ordine specificato.

Origini delle condivisioni file di aggiornamento delle firme

CSP: SignatureUpdateFileSharesSources

Questa impostazione di criterio consente di configurare le origini di condivisione file UNC per scaricare gli aggiornamenti di Security Intelligence. Le origini vengono contattate nell'ordine specificato. Il valore di questa impostazione deve essere immesso come stringa separata da pipe che enumera le origini di aggiornamento dell'intelligence per la sicurezza.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema. Ciò significa che l'elenco rimane vuoto per impostazione predefinita e non vengono contattate origini.
• Abilitato : le origini specificate vengono contattate per gli aggiornamenti delle informazioni di sicurezza.

Intervallo di aggiornamento della firma

CSP: SignatureUpdateInterval

Questa impostazione di criterio consente di specificare un intervallo in corrispondenza del quale verificare la disponibilità di aggiornamenti delle informazioni di sicurezza. Il valore di ora è rappresentato come numero di ore tra i controlli di aggiornamento. Il valore predefinito è 8h.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema. Ciò significa che verifica che gli aggiornamenti delle informazioni di sicurezza si verifichino all'intervallo predefinito.
• [0-24] - I controlli per gli aggiornamenti delle informazioni di sicurezza vengono eseguiti all'intervallo specificato. Il valore consigliato è 4.

Invia il consenso degli esempi

CSP: SubmitSamplesConsent

Questa impostazione di criterio configura il comportamento dell'invio di esempi quando viene impostato il consenso esplicito per i dati di telemetria di MAPS.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'invio automatico di campioni sicuri.
• Richiedi sempre conferma : all'utente viene sempre richiesto il consenso prima dell'invio di file.
• Invia campioni sicuri automaticamente : gli esempi sicuri sono esempi considerati non contenenti in genere dati pii(esempi includono .bat, .scr, .dll e .exe). Se è probabile che il file contenga informazioni personali, l'utente riceve una richiesta per consentire l'invio di esempi di file.
• Non inviare mai : impedisce il blocco al primo rilevamento in base all'analisi di esempio di file. I metadati vengono inviati per i rilevamenti anche se l'invio di campioni è disabilitato.
• Invia tutti gli esempi automaticamente : tutti gli esempi vengono inviati automaticamente. Questa è la configurazione consigliata.

Disabilitare l'unione Amministrazione locale

CSP: DisableLocalAdminMerge

Quando questo valore è impostato su no, offre a un amministratore locale la possibilità di specificare alcune impostazioni nei propri dispositivi usando l'app Sicurezza di Windows, le impostazioni di Criteri di gruppo locali o i cmdlet di PowerShell (se appropriato).

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema.
• Abilitare l'unione amministrativa locale (impostazione predefinita): elementi univoci definiti nelle impostazioni delle preferenze configurate da un amministratore locale si uniscono ai criteri effettivi risultanti. In caso di conflitti, le impostazioni di gestione di Intune criteri sostituiscono le impostazioni delle preferenze locali.
• Disabilitare l'unione amministrativa locale : solo gli elementi definiti dalla gestione vengono usati nei criteri effettivi risultanti. Le impostazioni gestite sostituiscono le impostazioni delle preferenze configurate dall'amministratore locale. Questa è la configurazione consigliata.

Consenti la protezione dall'accesso

CSP: AllowOnAccessProtection

Questa impostazione di criterio consente di configurare il monitoraggio per l'attività di file e programmi.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il monitoraggio dell'attività di file e programmi abilitata.
• Consentito : il monitoraggio per l'attività di file e programmi è abilitato.
• Non consentito : il monitoraggio per l'attività di file e programmi è disabilitato.

Le modifiche a questa impostazione non vengono applicate se è abilitata la protezione da manomissione.

Azione predefinita per la gravità della minaccia

CSP: ThreatSeverityDefaultAction

Questa impostazione di criterio consente di personalizzare l'azione di correzione automatica per ogni livello di avviso delle minacce. Gli elenchi seguenti contengono le azioni di correzione valide:

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema che prevede l'applicazione dell'azione in base alla definizione dell'aggiornamento.
• Pulisci : il servizio tenta di ripristinare i file e tenta di disinfettare.
• Quarantena : sposta i file in quarantena.
• Rimuovi : rimuove i file dal sistema.
• Consenti : abilita il file e non esegue altre azioni.
• Definito dall'utente : l'utente del dispositivo prende la decisione sull'azione da intraprendere.
• Blocca : blocca l'esecuzione del file.

Le modifiche a questa impostazione non vengono applicate se è abilitata la protezione da manomissione.

Consenti livello di protezione di rete inattivo

CSP: AllowNetworkProtectionDownLevel

Questa impostazione determina se protezione di rete può essere configurata in modalità di blocco o di controllo nel livello inferiore di RS3 di Windows. Se false, il valore di EnableNetworkProtection viene ignorato.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero la protezione di rete è disabilitata a livello inferiore.
• Abilitato : la protezione di rete è abilitata a livello inferiore.
• Disabilitato : la protezione di rete è disabilitata a livello inferiore.

Consenti elaborazione datagramma in Win Server

CSP: AllowDatagramProcessingOnWinServer

Questa impostazione determina se Protezione rete può abilitare l'elaborazione dei datagrammi in Windows Server. Se impostato su false, il valore di DisableDatagramProcessing viene ignorato e l'ispezione del datagramma è disabilitata per impostazione predefinita.

• Non configurata: l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'elaborazione del datagramma in Windows Server è disabilitata.
• Abilitato: l'elaborazione dei datagrammi in Windows Server è abilitata.
• Disabilitato: l'elaborazione dei datagrammi in Windows Server è disabilitata.

Disabilitare l'analisi DNS su TCP

CSP: DisableDnsOverTcpParsing

Questa impostazione disabilita l'analisi DNS su TCP per Protezione di rete.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'analisi DNS su TCP è abilitata.
• Abilitato : l'analisi DNS su TCP è disabilitata.
• Disabilitato : l'analisi DNS su TCP è abilitata.

Disabilitare l'analisi HTTP

CSP: DisableHttpParsing

Questa impostazione disabilita l'analisi HTTP per La protezione di rete.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'analisi HTTP è abilitata.
• Abilitato : l'analisi HTTP è disabilitata.
• Disabilitato : l'analisi HTTP è abilitata.

Disabilitare l'analisi Ssh

CSP: DisableSshParsing

Questa impostazione disabilita l'analisi SSH per Protezione di rete.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (l'analisi SSH è abilitata).
• Abilitato : l'analisi SSH è disabilitata.
• Disabilitato : l'analisi SSH è abilitata.

Disabilitare l'analisi di Tls

CSP: DisableTlsParsing

Questa impostazione disabilita l'analisi TLS per La protezione di rete.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero l'analisi TLS è abilitata.
• Abilitato : l'analisi TLS è disabilitata.
• Disabilitato : l'analisi TLS è abilitata.

Canale Aggiornamenti motore

CSP: EngineUpdatesChannel

Abilitare questo criterio per specificare quando i dispositivi ricevono Microsoft Defender aggiornamenti del motore durante l'implementazione graduale mensile.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il dispositivo rimane aggiornato automaticamente durante il ciclo di rilascio graduale. Adatto per la maggior parte dei dispositivi.
• Canale beta : i dispositivi impostati su questo canale sono i primi a ricevere nuovi aggiornamenti. Selezionare Canale beta per partecipare all'identificazione e alla segnalazione dei problemi a Microsoft. Per impostazione predefinita, i dispositivi del programma Windows Insider sono sottoscritti da questo canale. Solo per l'uso in ambienti di test (manuali) e in un numero limitato di dispositivi.
• Canale corrente (anteprima): ai dispositivi impostati su questo canale vengono offerti gli aggiornamenti meno recenti durante il ciclo di rilascio graduale mensile. Consigliato per ambienti di pre-produzione/convalida.
• Canale corrente (staged): i dispositivi vengono offerti aggiornamenti dopo il ciclo di rilascio graduale mensile. Consigliato di applicare a una piccola parte rappresentativa della popolazione di produzione (circa il 10%).
• Canale corrente (generale): ai dispositivi vengono offerti aggiornamenti solo dopo il completamento del ciclo di rilascio graduale. Suggerito di applicare a un ampio set di dispositivi nella popolazione di produzione (~10-100%).
• Critico - Ritardo tempo : ai dispositivi vengono offerti aggiornamenti con un ritardo di 48 ore. Consigliato solo per ambienti critici.

Aggiornamenti connessione a consumo

CSP: MeteredConnectionUpdates

Questa impostazione consente ai dispositivi gestiti di eseguire l'aggiornamento tramite connessioni a consumo.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (non consentita).
• Consentito : i dispositivi gestiti vengono aggiornati tramite connessioni a consumo.
• Non consentito : i dispositivi gestiti non vengono aggiornati tramite connessioni a consumo.

Canale Aggiornamenti piattaforma

CSP: EngineUpdatesChannel

Abilitare questo criterio per specificare quando i dispositivi ricevono Microsoft Defender aggiornamenti della piattaforma durante l'implementazione graduale mensile.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il dispositivo rimane aggiornato automaticamente durante il ciclo di rilascio graduale. Adatto per la maggior parte dei dispositivi.
• Canale beta : i dispositivi impostati su questo canale sono i primi a ricevere nuovi aggiornamenti. Selezionare Canale beta per partecipare all'identificazione e alla segnalazione dei problemi a Microsoft. Per impostazione predefinita, i dispositivi del programma Windows Insider sono sottoscritti da questo canale. Solo per l'uso in ambienti di test (manuali) e in un numero limitato di dispositivi.
• Canale corrente (anteprima): ai dispositivi impostati su questo canale vengono offerti gli aggiornamenti meno recenti durante il ciclo di rilascio graduale mensile. Consigliato per ambienti di pre-produzione/convalida.
• Canale corrente (staged): i dispositivi vengono offerti aggiornamenti dopo il ciclo di rilascio graduale mensile. Consigliato di applicare a una piccola parte rappresentativa della popolazione di produzione (circa il 10%).
• Canale corrente (generale): ai dispositivi vengono offerti aggiornamenti solo dopo il completamento del ciclo di rilascio graduale. Suggerito di applicare a un ampio set di dispositivi nella popolazione di produzione (~10-100%).
• Critico - Ritardo tempo : ai dispositivi vengono offerti aggiornamenti con un ritardo di 48 ore. Consigliato solo per ambienti critici.

Security Intelligence Aggiornamenti Channel

CSP: SecurityIntelligenceUpdatesChannel

Abilitare questo criterio per specificare quando i dispositivi ricevono Microsoft Defender aggiornamenti dell'intelligence di sicurezza durante l'implementazione graduale giornaliera.

• Non configurato : Microsoft assegnerà il dispositivo a Current Channel (Broad) o a un canale beta all'inizio del ciclo di rilascio graduale. Il canale selezionato da Microsoft potrebbe essere quello che riceve gli aggiornamenti in anticipo durante il ciclo di rilascio graduale, che potrebbe non essere adatto per i dispositivi in un ambiente di produzione o critico.
• Canale corrente (a fasi) - Uguale al canale corrente (generale).
• Canale corrente (generale): ai dispositivi vengono offerti aggiornamenti solo dopo il completamento del ciclo di rilascio graduale. Consigliato di applicare a un ampio set di dispositivi in tutte le popolazioni, inclusa la produzione.

Pianificare in modo casuale i tempi delle attività

CSP: RandomizeScheduleTaskTimes

In Microsoft Defender Antivirus, rendere casuale l'ora di inizio dell'analisi a qualsiasi intervallo compreso tra 0 e 23 ore. Può essere utile nelle macchine virtuali o nelle distribuzioni VDI.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (le attività pianificate sono randomizzate).
• Ampliare o limitare il periodo di casualizzazione per le analisi pianificate. Specificare una finestra di randomizzazione compresa tra 1 e 23 ore usando l'impostazione SchedulerRandomizationTime
• Le attività pianificate non verranno casualizzate

Tempo di randomizzazione dell'utilità di pianificazione

CSP: SchedulerRandomizationTime

Questa impostazione consente di configurare la casualizzazione dell'utilità di pianificazione in ore. L'intervallo di casualizzazione è [1 - 23] ore.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema (4 ore).
• [1-23] - L'intervallo di casualizzazione è definito dal valore specificato nel criterio.

Disabilitare l'integrazione ecs del servizio core

CSP: DisableCoreServiceECSIntegration

Disattivare l'integrazione ECS per il servizio Core Defender.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il servizio di base di Defender usa ECS.
• Il servizio di base di Defender userà il servizio Sperimentazione e configurazione (ECS) per fornire rapidamente correzioni critiche specifiche dell'organizzazione.
• Il servizio Di base di Defender smette di usare il servizio Sperimentazione e configurazione (ECS). Le correzioni continueranno a essere recapitate tramite gli aggiornamenti dell'intelligence per la sicurezza.

Disabilitare i dati di telemetria del servizio core

CSP: DisableCoreServiceTelemetry

Disattivare i dati di telemetria di OneDsCollector per il servizio di base di Defender.

• Non configurata : l'impostazione ripristina l'impostazione predefinita del sistema, ovvero il servizio di base di Defender usa il framework OneDsCollector.
• Il servizio di base di Defender userà il framework OneDsCollector per raccogliere rapidamente i dati di telemetria.
• Il servizio di base di Defender smette di usare il framework OneDsCollector per raccogliere rapidamente i dati di telemetria, influendo sulla capacità di Microsoft di riconoscere e risolvere rapidamente prestazioni scarse, falsi positivi e altri problemi.

Articoli correlati

• Analizzatore prestazioni per Microsoft Defender Antivirus
• Articoli di riferimento per gli strumenti di gestione e configurazione
• Antivirus Microsoft Defender in Windows 10