Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки

Как администратор безопасности вы можете создавать политики безопасности конечных точек и управлять ими непосредственно на портале Microsoft Defender без переключения в центр администрирования Microsoft Intune. Этот подход имеет следующие преимущества:

  • Работайте в единой консоли.
  • Примените одну политику как к устройствам, зарегистрированным в Intune, так и к устройствам, управляемым Defender для управления параметрами безопасности конечной точки (устройства, подключенные к Defender для конечной точки, но не зарегистрированные в Intune).
  • Управляйте параметрами безопасности, используя разрешения Defender for Endpoint, вместо полной роли администратора Intune.

Чтобы управлять параметрами на устройствах, которые не зарегистрированы в Intune, сначала включите управление параметрами безопасности. Чтобы узнать, почему вы используете его и как включить его, включая область применения и предварительные требования, см. статью "Управление Microsoft Defender для конечной точки на устройствах, которые не зарегистрированы в Intune".

Страница Политики безопасности конечных точек доступна на портале Microsoft Defender в разделе Конечные точки>Управление конфигурацией>Политики безопасности конечных точек или напрямую по адресу https://security.microsoft.com/policy-inventory.

В следующей таблице перечислены типы политик безопасности конечных точек, которыми можно управлять, и платформы, поддерживаемые каждым типом:

Policy Windows macOS Linux
Правила уменьшения поверхности атаки (ASR) Да
элементы управления обновлениями Defender Да
Управление устройством Да¹
Обнаружение и нейтрализация атак на конечные точки (EDR) Да Да Да
Антивирусная программа Microsoft Defender Yes Yes Yes
Исключения антивирусной программы Microsoft Defender Yes Yes Yes
Брандмауэр в Microsoft Defender Да
правила брандмауэра Microsoft Defender Да
Глобальные исключения Microsoft Defender (антивирус и EDR) Да
интерфейс Безопасность Windows Да

Политики управления устройствами доступны на портале Defender, но эта политика применяется только к устройствам, зарегистрированным в Microsoft Intune. Он не применяется к устройствам, управляемым с помощью Defender для управления параметрами безопасности конечных точек (устройства, подключенные к Defender для конечной точки, но не зарегистрированные в Intune).

Снимок экрана: страница политик безопасности конечных точек на портале Microsoft Defender.

Prerequisites

Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения.

  • Ваши разрешения должны применяться ко всем устройствам. Если ваша роль ограничена определенными группами устройств, вы не можете открыть страницу Политики безопасности конечных точек.
  • Независимо от того, какой из следующих вариантов дает вам доступ, список политик, отображаемых в портале Microsoft Defender, определяется вашими назначениями RBAC в Intune.

У вас есть следующие параметры для назначения необходимых разрешений:

  • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC):

    • Создание политик и управление ими: авторизация и параметры, параметры безопасности/основные параметры безопасности (управление)
    • Доступ только для чтения к политикам: авторизация и параметры безопасности/основные параметры безопасности (чтение)
  • Microsoft Intune: управление доступом на основе ролей (RBAC): Microsoft рекомендует встроенную в Intune роль Endpoint Security Manager, чтобы согласовать уровень разрешений между Intune и порталом Microsoft Defender.

  • Разрешения Microsoft Entra: членство в одной из ролей Глобальный администратор*, Администратор безопасности или Администратор Intune предоставляет пользователям необходимые разрешения а также разрешения для использования других функций Microsoft 365.

    Important

    * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Создание политики безопасности конечной точки

Чтобы создать политику безопасности конечной точки, выполните следующие действия.

  1. На странице политик безопасности конечных точек на портале https://security.microsoft.com/policy-inventoryMicrosoft Defender выберите "Создать политику".

    Неважно, с какой вкладки вы начнёте. Политики для любой операционной системы можно создавать на любой вкладке.

  2. В открывающемся всплывающем элементе "Создать новую политику " выберите из следующих параметров:

    • Выберите платформу: выберите одно из следующих значений:

      • Windows
      • macOS
      • Linux
    • После выбора платформы появится шаблон select . Доступные шаблоны для выбора по платформе описаны в таблице ранее в этой статье.

      После выбора шаблона нажмите кнопку "Создать политику".

  3. Откроется мастер новой политики. На странице Основные настройте следующие параметры:

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание. По желанию введите описание политики.

    Завершив работу на странице Основные сведения , нажмите кнопку Далее.

  4. На странице параметров конфигурации то, что вы видите, зависит от платформы политики и шаблона.

    Вы можете использовать поле Поиск для поиска параметров.

    Завершив работу на странице Параметры конфигурации , нажмите кнопку Далее.

  5. На странице Назначения используйте поле поиска, чтобы найти и выбрать группу, которой нужно назначить политику.

    Important

    Для устройств, управляемых через управление параметрами безопасности в Defender for Endpoint (устройства, подключенные к Defender for Endpoint, но не зарегистрированные в Intune), назначения можно выполнять только для объектов устройств. Назначьте политику Microsoft Entra группам устройств, а не группам пользователей, так как назначение пользователей не поддерживается для этих устройств. Для зарегистрированных в Intune устройств можно назначить политику группам пользователей или группам устройств.

    После выбора группы на странице отображаются следующие сведения:

    • Группа: имя группы.
    • Участники группы: количество затронутых устройств и пользователей.
    • Тип целевого объекта: можно выбрать "Включить" (по умолчанию) или "Исключить ", чтобы включить или исключить членов группы из политики.

    Повторите этот шаг нужное количество раз.

    Завершив работу на странице Назначения , нажмите кнопку Далее.

  6. На странице Просмотр и создание просмотрите параметры. Нажмите кнопку "Назад ", чтобы изменить параметры.

    Завершив работу на странице Проверка и создание , нажмите кнопку Сохранить.

После завершения создания политики вы перейдете к подробным параметрам политики, как если бы вы выбрали ее на странице политик безопасности конечной точки .

Note

Чтобы использовать теги области в политике, необходимо создать политику в центре администрирования Microsoft Intune.

Изменение политики безопасности конечной точки

Чтобы изменить политику безопасности конечной точки, выполните следующие действия.

  1. На странице политик безопасности конечных точек на портале Defender выберите доступную вкладку:

  2. На соответствующей вкладке выберите политику с помощью любого из следующих методов:

    • Установите флажок рядом с политикой и выберите отображаемое действие "Изменить".
    • Выберите имя политики (ссылка). На открывающейся странице политики нажмите кнопку "Изменить".
    • Щёлкните в любом месте строки, кроме флажка и имени политики. В открываемом всплывающем элементе сведений о политике нажмите кнопку "Изменить".
  3. Мастер политики открывается, как описано на шаге 3 в разделе "Создание политики безопасности конечной точки".

Шаги по редактированию политики такие же, как и при ее создании.

Проверка политик безопасности конечных точек

Чтобы подтвердить, что вы успешно создали политику, проверьте, что она указана на соответствующей вкладке страницы Политики безопасности конечных точек на портале Defender по адресу https://security.microsoft.com/policy-inventory.

Выберите имя политики (ссылка), чтобы открыть страницу политики. Страница политики суммирует состояние политики. Вы можете просмотреть статус политики, к каким устройствам она применяется, и назначенные группы.

Чтобы политика достигла устройства, может потребоваться до 90 минут. Чтобы ускорить процесс для устройств, управляемых Defender for Endpoint, используйте действие Синхронизация политики на странице устройства:

  1. На соответствующей вкладке страницы инвентаризации устройств на портале https://security.microsoft.com/machinesDefender выберите значение имени устройства.
  2. На открывающейся странице сущности устройства выберите "Дополнительные действия">для синхронизации политик.

Политика должна применяться около 10 минут.

Снимок экрана: кнопка синхронизации политики в меню действий.

Во время исследования можно также просмотреть вкладку "Политики безопасности " на вкладке "Управление конфигурацией " на странице сущности устройства, чтобы просмотреть список политик, применяемых к устройству. Дополнительные сведения см. в разделе Исследование устройств.

Снимок экрана: вкладка