Добавление параметров Endpoint Protection в Intune

С помощью Intune вы можете использовать профили конфигурации устройств для управления общими функциями безопасности для защиты Endpoint Protection на устройствах, в том числе следующими:

  • Брандмауэр
  • BitLocker
  • Разрешение и блокировка приложений
  • Microsoft Defender и шифрование

Например, можно создать профиль Endpoint Protection, который разрешает пользователям macOS устанавливать приложения только из Mac App Store. Или включите Windows SmartScreen при запуске приложений на устройствах Windows.

Перед созданием профиля ознакомьтесь со следующими статьями, в которых рассматриваются параметры Endpoint Protection, применяемые Intune для каждой поддерживаемой платформы:

Создание профиля устройства с параметрами Endpoint Protection

Важно!

Шаблон защиты конечных точек macOS устарел. Существующие политики остаются неизменными, но вы больше не можете создавать новые политики с помощью этого шаблона. Мы рекомендуем использовать каталог параметров для создания новых политик конфигурации для полезных данных FileVault, брандмауэра и управления системными политиками (Gatekeeper). Дополнительные сведения см. в каталоге параметров macOS.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Настройка>создать.

  3. Укажите следующие свойства:

    • Платформа: выберите платформу устройств. Доступны следующие параметры:

      • macOS
      • Windows 10 и более поздние версии

    • Профиль: выберите Шаблоны>Endpoint Protection.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

  7. Нажмите кнопку Далее.

  8. В поле Назначения выберите пользователей или группы, которые будет принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  9. В разделе Правила применимости используйте параметры Правило, Свойство и Значение, чтобы определить, как этот профиль применяется в назначенных группах. Intune применяет профиль к устройствам, которые соответствуют введенным правилам. Дополнительные сведения о правилах применения см. в разделе Правила применения.

    Нажмите кнопку Далее.

  10. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Добавление настраиваемых правил брандмауэра для устройств Windows

При настройке брандмауэра Windows в составе профиля, включающего правила защиты конечных точек для Windows, можно настроить настраиваемые правила для брандмауэров. Настраиваемые правила позволяют развернуть предварительно определенный набор правил брандмауэра, поддерживаемых для устройств с Windows.

При планировании профилей с настраиваемыми правилами брандмауэра учитывайте следующие сведения, которые могут повлиять на выбор способа группировки правил брандмауэра в профилях.

  • Каждый профиль поддерживает до 150 правил брандмауэра. Если используется более 150 правил, создайте дополнительные профили, каждый из которых ограничен 150 правилами.

  • Если для какого-то профиля не удается применить одно правило, все правила в этом профиле будут считаться неудачными и ни одно из правил не будет применено к устройству.

  • Если правило не удается применить, все правила в профиле будут отображаться как неудачные. Intune не может выяснить, какое именно правило оказалось неудачным.

Правила брандмауэра, которыми может управлять Intune, подробно описаны в поставщике службы конфигурации брандмауэра Windows (CSP). Чтобы просмотреть список настраиваемых параметров брандмауэра для устройств с Windows, поддерживаемых Intune, см. раздел Настраиваемые правила брандмауэра.

Добавление настраиваемых правил брандмауэра в профиль защиты конечной точки

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Настройка>создать.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздняя версия.

    • Профиль: выберите Шаблоны>Endpoint Protection.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В разделе Параметры конфигурации разверните узел Брандмауэр Windows. Затем в области Правила брандмауэра выберите Добавить, чтобы открыть страницу Создание правила.

  7. Укажите параметры правила брандмауэра и нажмите кнопку Сохранить, чтобы сохранить правило. Сведения о доступных параметрах настраиваемых правил брандмауэра см. в разделе документации Настраиваемые правила брандмауэра.

    1. Правило отображается на странице Брандмауэр Windows в списке правил.
    2. Чтобы изменить правило, выберите его из списка, чтобы открыть страницу Изменение правила.
    3. Чтобы удалить правило из профиля, нажмите кнопку с многоточием (...) для правила, а затем выберите команду Удалить.
    4. Чтобы изменить порядок, в котором отображаются правила, используйте значки со стрелкой вверх и стрелкой вниз в верхней части списка правил.

    Нажмите кнопку Далее.

  8. В разделе Назначения выберите группы устройств, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  9. В разделе Правила применимости используйте параметры Правило, Свойство и Значение, чтобы определить, как этот профиль применяется в назначенных группах. Intune применяет профиль к устройствам, которые соответствуют введенным правилам. Дополнительные сведения о правилах применения см. в разделе Правила применения.

    Нажмите кнопку Далее.

  10. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Дальнейшие действия

Отслеживание состояния профиля.

  • Last updated on