Windows intune endpoint protection что это

Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Windows Intune представляет собой готовое решение по защите и управлению ПК (естественно, только под управлением Windows), многие функции которого известны специалистам по продуктам из состава System Center.

Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Читатели iXBT.com уже имели возможность познакомиться с одним из таких сервисов — Office 365, который позволяет компаниям любых размеров быстро и без больших начальных вложений воспользоваться возможностями серьезных корпоративных продуктов, таких как Exchange, Lync, SharePoint. Сегодняшний пример — из несколько иной области. Windows Intune представляет собой готовое решение по защите и управлению ПК (естественно, только под управлением Windows), многие функции которого известны специалистам по продуктам из состава System Center.

Intune была запущена Microsoft весной 2011 г., а спустя полгода уже обновилась до версии 2.0. Впрочем, в «облаке» всякая нумерация достаточно условна, ведь веб-приложения могут изменяться на лету — в этом как раз заключается одно из их преимуществ. Тем не менее, обновление свидетельствует в пользу серьезного отношения со стороны Microsoft.

Общее представление

Основные характеристики Intune проистекают из ее облачного характера. Служба представляет собой готовое решение (т. е. не требует развертывания и обслуживания), автоматически масштабируется, оплачивается в форме подписки. Стандартная цена в 11 долларов за один обслуживаемый ПК в месяц кроме собственно возможности централизованного управления включает лицензию на антивирус Windows Intune Endpoint Protection, а также право на модернизацию имеющихся ОС до Windows 7 Enterprise Edition и даже (в течение действия подписки) до будущих версий. По заказу Microsoft компания IDC оценила экономический эффект от использования Intune — конкретные цифры не так важны, поскольку они базируются на западных реалиях, но источники экономии достаточно очевидны: сокращение трудозатрат ИТ-персонала, исключение потребности в ряде дополнительных инструментов, повышение продуктивности конечных пользователей (за счет предупреждения сбоев и простоев ПК).

Соответственно, есть два основных сценария применения Intune:

  • в крупных организациях с развитой инфраструктурой служба может использоваться наравне с другими средствами для управления компьютерами мобильных и надомных сотрудников. Это особенно пригодится в тех случаях, когда невозможно воспользоваться VPN или такой вид доступа не предусмотрен. Intune масштабируется до 20 тыс. рабочих мест, хотя основная ее аудитория относится к категории до 500;
  • малому и среднему бизнесу Intune позволяет быстро и без больших затрат перейти к использованию современных методов обслуживания и поддержки ПК, унифицировать программную среду, обеспечить централизованную защиту.

Второй сценарий кажется наиболее оправданным, тем более что цены на Intune достаточно гуманны даже по нашим меркам. К сожалению, на момент написания статьи на территории СНГ Intune была недоступна. Более того, даже ее тестирование в наших странах формально невозможно, хотя обойти это ограничение довольно просто — достаточно всего лишь завести учетную запись Windows Live, указав «правильную» страну. Вряд ли здесь стоит усматривать какой-то злой умысел, скорее всего дело в необходимости согласования юридических деталей (как было и в случае с Office 365). Во всяком случае, интерфейс Intune и значительная часть документации уже переведены на русский язык.

Приступая к работе

Итак, подписавшись на тестирование Intune с помощью «специального» Live ID, вы через некоторое время получите письмо с приглашением (на языке выбранной страны) в свой раздел службы — впрочем, попасть туда можно и напрямую, по адресу manage.microsoft.com. Для работы с веб-консолью потребуется браузер с поддержкой Silverlight и немного терпения, пока загрузятся локальные компоненты приложения. Владелец службы автоматически становится ее администратором, он также может делегировать права управления (или разрешить только доступ к консоли, но не внесение изменений) другим Live ID.

Консоль Windows Intune

Рис. 1. Консоль Windows Intune выполнена средствами Silverlight и в работе мало отличается от обычного приложения: можно использовать контекстные меню, с помощью мыши менять размеры элементов, конфигурировать табличные представления и пр.

Настройка и подключение ПК (в режиме тестирования — не более 25) выполняются также несложно. Слева в веб-консоли имеется список разделов, последний из них — Администрирование. Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время, но, как правило, в течение получаса управляемый компьютер появляется в соответствующем списке в консоли Intune (раздел Компьютеры). Параллельно выполняется первичный сбор информации и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (про сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», затем их можно объединять в группы для более простого управления.

Вместе с клиентским ПО поставляется специальный сертификат

Рис. 2. Вместе с клиентским ПО поставляется специальный сертификат, который привяжет управляемый ПК к вашей учетной записи в Intune. Очень удобно, что большинство информационных страниц содержит ссылки на соответствующие разделы документации (Дополнительные сведения).

Интерфейс административной консоли Intune достаточно прозрачен. Слева находится список разделов, при заходе в каждый появляется панель с подразделами: стандартный Обзор представляет краткую информационную сводку и обеспечивает доступ к основным задачам, остальные отображают списки соответствующих объектов. Применение Silverlight сделало веб-консоль практически неотличимой от обычного приложения: используются контекстные меню, можно корректировать табличное представление данных и т. д. Общее управление функционированием Intune осуществляется в разделе Администрирование.

Для управляемых компьютеров контекстное меню позволяет выполнять небольшой список удаленных задач

Рис. 3. Для управляемых компьютеров контекстное меню позволяет выполнять небольшой список удаленных задач. Обратите внимание, что в сведениях о компьютерах Intune пытается различать физические и виртуальные машины (VMware, очевидно, пока не поддерживается). Поскольку клиентская виртуализация постепенно набирает популярность, Microsoft планирует разрешать обслуживание по одной виртуальной машине на каждой физической без дополнительной оплаты.

Основные возможности

Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми — к примеру, политики используются для управления обновлениями и антивирусной защитой, — но в целом деление выглядит логичным и удобным.

Обновления

Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS, с той лишь разницей, что локальное хранилище обновлений по понятным причинам не предусмотрено. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы заплаток, формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела Администрирование.

Управление обновлениями ПО самой Microsoft выполняется так же, как и в WSUS

Рис. 4. Управление обновлениями ПО самой Microsoft выполняется так же, как и в WSUS: можно выбирать категории продуктов и обновлений, формировать правила автоматического утверждения и применения.

Также имеется возможность обновления стороннего ПО. Для этого администратор с помощью специального мастера должен сформировать программный пакет и загрузить его в хранилище Intune. Для EXE-модулей этот процесс может оказаться достаточно трудоемким, так как нужно четко описать принципы проверки наличия ПО, его версии и пр., а для MSI и MSP — все гораздо проще, так как часть нужной информации зашита прямо в сами модули. В любом случае надо иметь в виду, что обновления устанавливаются только в «тихом» (не интерактивном) режиме, то есть необходимо сразу указывать все ключи, опции и пр.

Обновление стороннего ПО требует подготовки

Рис. 5. Обновление стороннего ПО требует подготовки. С помощью специального мастера нужно сформировать модуль заплатки с описанием многочисленных параметров.

Endpoint Protection

Как уже упоминалось, подписка на Intune включает в себя лицензии на антивирусную поддержку Endpoint Protection. В данном случае она носит имя Intune, а не Forefront, но понятно, что это то же самое решение. Клиентское ПО должно быть предварительно развернуто — оно устанавливается вместе с агентами собственно Intune, в дальнейшем обновление осуществляется стандартно через Windows Update. Интерфейс Intune позволяет контролировать состояние защиты на управляемых компьютерах, централизованно назначать проверки и конфигурировать привычные параметры — это выполняется в разделе Политика. Как только политики вступают в силу, изменять настройки Intune Endpoint Protection локально становится невозможно. В итоге имеем более-менее типичный корпоративный антивирус.

Антивирус Intune Endpoint Protection как две капли воды похож на Windows Security Essentials

Рис. 6. Антивирус Intune Endpoint Protection как две капли воды похож на Windows Security Essentials, однако поддерживает централизованное управление. После применения соответствующих политик Intune локальное управление его параметрами блокируется.

Оповещения

Функционирование ПК зависит не только от обновления ОС и основных приложений, но также от множества других факторов, поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах — похожую функциональность обеспечивает Microsoft SCOM. Всего таких оповещений насчитывается порядка двухсот: о сбоях в работе различных системных служб и приложений (только самой Microsoft), о критическом заполнении дисков, высокой загрузке процессора и пр. — они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам — к примеру, каждый может отвечать за определенную категорию событий (всё это, естественно, настраивается). Правда, выбор последующих действий не слишком широк: в Intune 2.0 появилась поддержка некоторых удаленных задач (обновление антивируса, выполнение проверки, перезагрузка ПК), но, к примеру, даже заметив приближение проблемы, администратор не имеет явной возможности предложить пользователю установить сеанс дистанционной помощи (подробнее ниже).

Оповещения — один из наиболее интересных механизмов Intune

Рис. 7. Оповещения — один из наиболее интересных механизмов Intune. Они позволяют контролировать работу ОС и отдельных приложений (Microsoft) и в указанных случаях уведомлять администратора, чтобы он мог принять оперативные меры.

Для многих оповещений можно тонко настраивать пороговые значения и другие параметры

Рис. 8. Для многих оповещений можно тонко настраивать пороговые значения и другие параметры.

Программное обеспечение

Соответствующий блок включает инструменты для инвентаризации ПО на клиентских ПК и централизованного развертывания приложений. Функция инвентаризации достаточно очевидна — клиентские агенты собирают информацию об установленном ПО, извлекают, насколько это возможно, информацию о нем и передают в службу, где все данные систематизируются и представляются администратору. По мере унификации процедур установки ПО в Windows собранная таким образом информация становится все более полной и адекватной. В большинстве случаев совершенно корректно определяется название, издатель, номер версии и т. д. Исключением является, конечно, лицензия (см. ниже), так как все разработчики применяют собственные методы ее привязки к конкретному экземпляру.

Инвентаризация ПО позволяет унифицировать программную среду

Рис. 9. Инвентаризация ПО позволяет унифицировать программную среду на управляемых ПК, контролировать появление «лишних» программ и вести учет лицензий.

Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью онлайновой библиотеки. На тестовый период для этих целей выделяется 2 ГБ в облачном хранилище Microsoft; при оформлении подписки — 20 ГБ, и при необходимости можно приобрести дополнительное пространство (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Развертываться такие пакеты могут исключительно по расписанию, и к сожалению, нет возможности делегировать конечным пользователям право их загрузки из библиотеки по требованию. Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP. Хотя изначально данный пакет ориентирован на корпоративных лицензиатов Microsoft, он также доступен подписчикам Intune, причем по очень умеренной цене — дополнительный доллар на рабочее место.

Лицензии

Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. К сожалению, в полной мере эта функциональность предоставляется только для приложений самой Microsoft — в этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune все-таки берет на себя. В целом этот блок функциональности сильно напоминает другую службу Microsoft — Asset Inventory Service, которая предлагается в составе MDOP и может использоваться независимо.

В полной мере учет лицензий обеспечивается только для ПО самой Microsoft

Рис. 10. В полной мере учет лицензий обеспечивается только для ПО самой Microsoft (что тоже немало), в других случаях можно ориентироваться фактически только по числу инсталляций.

Политика

Политики Intune представляют собой средство управления функционированием самой системы — в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаются — в частности, те, что управляют работой Windows Firewall, — и в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно, политики создаются на основе немногочисленных предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры.

Хотя Политики Intune не призваны подменить стандартные групповые политики, их набор все же кажется слишком узким

Рис. 11. Хотя Политики Intune не призваны подменить стандартные групповые политики, их набор все же кажется слишком узким. Вероятно, это будет одно из направлений будущего совершенствования службы.

На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать, но допустимое минимальное значение составляет 8 часов. Вероятно, это сделано с целью ограничения трафика Intune.

Дополнительно

В Intune имеется еще целый ряд вспомогательных инструментов, список которых постоянно расширяется. Так, в версии 2.0 появились дистанционные задачи: антивирусные проверки, обновление баз с сигнатурами, перезагрузка. Кроме инвентаризации ПО также выполняется инвентаризация аппаратного обеспечения, имеется возможность строить различные отчеты (для чего предназначен соответствующий раздел консоли) и т. д. Впрочем, один дополнительный инструмент заслуживает подробного рассмотрения.

Удаленная помощь

На каждый управляемый ПК устанавливается программа Windows Intune Center, в которой присутствует инструмент Microsoft Easy Assist. С его помощью пользователь может отправить администратору запрос на организацию сеанса удаленной помощи. Такие заявки фиксируется в Intune в качестве оповещений специального типа — администратор всегда о них уведомляется, после чего может принять их и тут же установить сеанс.

Easy Assist позволяет наблюдать за удаленным рабочим столом

Рис. 12. Easy Assist позволяет наблюдать за удаленным рабочим столом или использовать его в режиме общего доступа.

Параллельно поддерживается чат и некоторые другие функции

Рис. 13. Параллельно поддерживается чат и некоторые другие функции. Хотя, учитывая арсенал Microsoft, коммуникационные возможности могли бы быть и более широкими.

Вообще-то похожая функция имеется в самой Windows, однако она работает только в локальной сети и, соответственно, для мобильных пользователей далеко не всегда доступна (к примеру, при невозможности установления VPN-соединения). Поэтому в Intune применяется более универсальный метод: на лету создается специальное мероприятие в онлайновом Microsoft LiveMeeting, и обе стороны приглашаются к участию в нем (при необходимости загружается клиентское ПО). Дальнейшая работа происходит в режиме разделения рабочего стола, администратор видит происходящее на пользовательском компьютере и может запросить управление им, чтобы самостоятельно выполнить необходимые действия. В сеансе также работает текстовый чат, так что можно просто передать пользователю необходимые инструкции.

Резюме

Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения — в этом как раз и заключается одно из преимуществ облачного подхода.

Intune, конечно, нельзя напрямую сравнивать с System Center. Однако эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Кроме того, в нынешнем виде Intune представляет собой прекрасный «каркас» для дальнейшего расширения функциональности, и, как видим, оно действительно происходит.

Источник

Представляем семейство продуктов Microsoft Intune

Теперь, когда мы выпустили наши расширенные функции, Microsoft Intune (ранее — компонент Microsoft Endpoint Manager) превращается в семейство продуктов для управления конечными точками. Configuration Manager остается ключевым элементом этого семейства.

Централизованный просмотр, администрирование и защита всех конечных точек

Управляйте конечными точками и защищайте их для улучшения гибридной работы и снижения совокупной стоимости владения с помощью Intune.

Более простое управление конечными точками

Сократите расходы и уменьшите сложность благодаря возможности управлять любым устройством с помощью единого унифицированного инструмента, уже встроенного в Microsoft 365. Полностью контролируйте работоспособность, соответствие требованиям и состояние безопасности своих облачных и локальных конечных точек.

Защита гибридных рабочих ресурсов

Разверните архитектуру безопасности «Никому не доверяй» с помощью решения для централизованного управления безопасностью конечных точек и нормативным соответствием устройств на основе удостоверений. Обеспечьте защиту данных на устройствах, принадлежащих компании и пользователям.

Более удобная среда для работы

Помогите своим ИТ-специалистам создать оптимальную среду для работы с конечными точками с использованием автоматизированного развертывания, гибких и не нарушающих рабочий процесс средств управления мобильными приложениями, а также упреждающих рекомендаций на основе данных Microsoft Cloud.

Посмотрите, как Intune позволяет ИТ-службам настраивать и защищать конечные точки для улучшения гибридной рабочей среды.

Возможности Microsoft Intune

Список всех устройств, подключенных к учетной записи в центре администрирования Microsoft Endpoint Manager.

Кроссплатформенное управление конечными точками

Управление локальными, облачными, мобильными, настольными и виртуализированными конечными точками на разных платформах, включая операционные системы Windows, macOS, iOS, Android и Linux.

Экран с обзором безопасности конечных точек в центре администрирования Microsoft Endpoint Manager.

Безопасность встроенных конечных точек

Сократите риски, связанные с уязвимостями конечных точек, с помощью средств автоматического обнаружения и устранения угроз.

Статус защиты приложений в центре администрирования Microsoft Endpoint Manager, где показаны назначенные пользователи и процент устройств с лицензиями и без.

Управление мобильными приложениями

Обеспечьте защиту данных без обязательной регистрации мобильных устройств в рамках гибкой и не нарушающей рабочий процесс среды для сотрудников.

Аналитика конечных точек в центре администрирования Microsoft Endpoint Manager, где отображается показатель удаленной работы пользователя с детализацией.

Аналитика конечных точек

Обеспечьте постоянное улучшение рабочей среды для своих пользователей с помощью показателей работоспособности приложений и устройств. Избавьтесь от влияющих на продуктивность замедлений в работе с помощью рекомендаций на основе данных.

Специализированные и общие устройства для сотрудников первой линии

Обеспечьте разнообразные технологические потребности своих работников первой линии с помощью таких функций, как режим общего устройства, периоды обслуживания и средства управления конечными точками для специализированных устройств.

Назад к вкладкам

Признание в отрасли

Gartner

Gartner

Компания Gartner в своем отчете Magic Quadrant за 2022 год признала корпорацию Майкрософт лидером в сфере решений для единого управления конечными точками. Мы достигли высоких показателей полноты видения и способности к реализации1, 2.

IDC

IDC

Компания IDC признала корпорацию Майкрософт лидером в своем отчете MarketScape с обзором рынка ПО для единого управления конечными точками за 2022 год3.

Forrester

Forrester

Консалтинговая компания Forrester провела исследование общего экономического эффекта для Microsoft Endpoint Manager. В отчете Total Economic Impact™ показано, как организации добились уровня рентабельности инвестиций в 278 %4.

Отзывы наших клиентов

Сопутствующие продукты

Показано элементов: %{start}%{separator}%{end} из %{total}

Пропустить Карусель возможностей null

Человек работает за столом.

Microsoft Configuration Manager

Управляйте локальными конечными точками, такими как компьютеры и серверы с Windows.

Человек держит мобильный телефон в одной руке, вторая лежит на ноутбуке.

Microsoft Defender для конечной точки

Пресекайте атаки, масштабируйте ресурсы для обеспечения безопасности и управляйте защитой операционных систем и сетевых устройств.

Люди в конференц-зале участвуют в видеочате, изображение которого выводится на телевизор у них за спиной.

Azure Active Directory

Обеспечьте защиту удостоверений с помощью облачного решения для управления идентификацией и доступом.

Человек наклонился за столом и работает с ноутбуком.

Windows Autopilot

Легко подготавливайте и настраивайте новые устройства.

Человек сидит за прилавком и работает с планшетом.

Windows 11 Корпоративная

Система Windows 11 Корпоративная создана для гибридной работы, безопасна по умолчанию и позволяет эффективно работать как ИТ-службам, так и обычным сотрудникам.

Два человека вместе работают за столом.

Автоисправление Windows

Укрепите безопасность своей среды с помощью средств для ИТ-специалистов для автоматизированной установки обновлений для Windows и Microsoft 365.

Окончание — Карусель возможностей Раздел

Следить за новостями в Twitter

Подпишитесь на страницу @MSIntune в Twitter, чтобы оставаться в курсе новостей.

Дополнительные ресурсы, посвященные Intune

Гибкая система цен

Купите Intune в рамках планов Microsoft 365 E3, E5, F1, F3, Enterprise Mobility + Security E3 и E5, а также бизнес премиум. Большинство пакетов включают лицензию на Configuration Manager.

Блог Intune

Узнайте об обновлениях, улучшениях и новых функциях продукта Intune.

Изучите продукт подробнее с помощью учебных материалов Intune

Расширьте свои знания об Intune с помощью технических ресурсов и сведений о предстоящих трансляциях.

Техническая документация по Intune

Ознакомьтесь с официальной документацией по Microsoft Intune.

Следите за новостями Майкрософт

  • Блог о безопасности: логотип

Источник

Со временем Microsoft планирует перенести все функции серверов System Center в «облако», по мере возможности упрощая серверные механизмы. И в этом, наверное, заключается главная изюминка Intune: это не просто экземпляр системы Microsoft System Center Configuration Manager (SCCM), размещенный в «облаке»: в своем нынешнем состоянии он не впечатляет. Перед нами совершенно новый продукт, оптимизированный под определенные сценарии, в котором явно заложен огромный потенциал

Тот факт, что компания Microsoft находится на стадии кардинального переосмысления своих продуктов, не должен ни для кого оказаться сюрпризом: компания стремительно движется к тому, чтобы занять доминирующую позицию в роли поставщика «облачных» услуг в дополнение к своим традиционным клиентским и серверным решениям. На сегодня, среди прочих продуктов, компания предлагает оба вида «облачных» технологий: как наиболее популярные серверные системы, например Exchange Server и SharePoint Server, размещенные в «облаке», так и совершенно новые «облачные» платформы, такие как Windows Azure и SQL Azure.

В дополнение к множеству различных продуктов Microsoft предлагает клиентам как традиционные локальные системы и «облачные» механизмы, так и гибридные модели развертывания, в которых и локальные, и «облачные» службы могут быть подобраны и объединены в общую корпоративную среду. Когда «облачные» продукты Microsoft достигли достаточного уровня развития и расширились, компания начала продвигаться в новые сферы рынка. В этом году Microsoft заменит пакет Business Productivity Online Standard Suite (BPOS) и другие смежные продукты на более целостную службу Office 365, тем самым решительно продвигая семейство продуктов под маркой Office в «облачную» среду. А с помощью системы Windows Intune компания приступила к решению грандиозной задачи по внедрению механизмов управления персональными компьютерами, которые на сегодня доступны в локальных сетях через System Center, в публичное «облако».

.

Действительно, уровень открытости, который демонстрирует команда разработчиков Windows Intune, весьма высок, особенно по сравнению с другими группами компании Microsoft, включая те, что работают над Windows Phone и клиентскими системами Windows. Компания Microsoft понимает, что работает на быстрорастущем рынке, и намерена в течение нескольких лет реализовать много новых возможностей, заполнив пробел с помощью System Center и со временем сделав Intune более целостным решением, оптимальным для большего числа клиентов.

На этом мы еще остановимся, но сначала давайте рассмотрим, чем система Windows Intune может похвастаться на данный момент, и какие компании получат наибольшую выгоду от набора возможностей данного продукта.

Что такое Windows Intune?

Windows Intune — это «облачное» решение для управления персональными компьютерами, которое Microsoft планирует предлагать компаниям любого масштаба. Данное решение состоит из простой консоли управления на основе веб-интерфейса, механизма установки клиентской программы (агента), встроенной клиентской системы защиты на основе технологии Microsoft Forefront и подписки на обновление системы Windows 7 Enterprise для каждого управляемого компьютера. Доплатив немного за каждый персональный компьютер, вы можете приобрести подписку на пакет Microsoft Desktop Optimization Pack (MDOP), который предоставляет доступ к богатому набору средств, используемых в процессах управления компьютерами, виртуализации и отладки.

В отличие от устоявшихся продуктов Microsoft System Center, системе Windows Intune для работы не требуется наличие инфраструктуры Active Directory (AD). На самом деле она в принципе не использует (и не поддерживает) никакую «внутреннюю» серверную инфраструктуру. Наоборот, система Intune, как служба в «облаке», физически существует только в центрах обработки данных Microsoft, и доступ к ней возможен только по Интернету.

Конечно, определенная часть кода размещается и в локальной системе, этот код используется при установке системы, а со временем и в процессах управления компьютерами. Для развертывания Windows Intune в организации можно использовать существующие средства Electronic Software Distribution (ESD), созданные компанией Microsoft или сторонними производителями. И хотя сама по себе система Intune не интегрирована со службой AD, она с ней совместима — то есть политики системы Intune, о которых я расскажу ниже, всегда будут применяться с учетом политик Group Policy. При этом политики Group Policy будут иметь приоритет перед всеми политиками системы Intune.

В первую версию системы Intune включено множество функций, в том числе:

  • управление персональными компьютерами вне зависимости от их физического местоположения или подключения к общей сети;
  • централизованный мониторинг состояния подключенных компьютеров;
  • получение подробной информации об установленных (или неустановленных) обновлениях на подключенных компьютерах;
  • встроенный клиент Endpoint Protection, основанный на технологии Forefront;
  • гибкая система настройки оповещений с возможностью вызова удаленного помощника;
  • инвентаризация программного обеспечения клиентских систем;
  • управление лицензиями программного обеспечения клиентских систем;
  • упрощенное управление политикой клиента;
  • эффективные средства работы с отчетами.

Использование Windows Intune

После оформления подписки на систему Intune вы сможете получить доступ к средствам управления системой Windows Intune, перейдя по адресу manage.microsoft.com в своем любимом веб-браузере и авторизовавшись на данном ресурсе. Представителям каждой отдельной компании будет предоставлена консоль администрирования системы Intune, показанная на экране 1. Компания Microsoft также предоставляет разделяемую многопользовательскую консоль (экран 2), предназначенную для партнеров, перед которыми стоит задача управления сразу несколькими клиентскими средами. Эта многопользовательская консоль позволяет сортировать доступные окружения по различным критериям, таким как имя («по умолчанию») или состояние: окружения, включающие проблемные компьютеры, окажутся вверху списка.

Экран 1. Консоль администрирования Windows Intune
Экран 2. Многопользовательская консоль Windows Intune

Неважно, являетесь вы представителем одной компании или партнером, обслуживающим несколько офисов, в любом случае вам придется управлять отдельным окружением — и вот здесь на сцене появляется консоль администрирования Windows Intune. Данная консоль проста, как и все семейство интерфейсов, содержащих навигационную панель, разделенную на рабочие области, главную информационную панель и панель с контекстно-зависимым набором задач. Если вы пользовались любой другой консолью Microsoft, у вас не возникнет проблем и с этой. На самом деле система Intune ориентирована и на малые предприятия, в которых отсутствует отдел ИТ, поэтому интерфейс консоли интуитивно понятен.

Обзор системы. Рабочие области в Windows Intune точно отражают возможности системы. Рабочая область System Overview позволяет выполнить общую оценку состояния сетевого окружения, предоставляя возможность в одном окне проверить статус безопасности, состояние агента и просмотреть ожидающие установки обновления для каждого подключенного компьютера, а также любые оповещения. В этой рабочей области также можно быстро формировать группы компьютеров, используемые для логического разделения подключенных компьютеров и выборочного применения политик, либо просматривать отчеты.

Управление компьютерами. Для просмотра и управления компьютерами можно использовать рабочую область Computers. Также можно создавать группы компьютеров, копируя отдельные компьютеры или ряд устройств в группу (только в одну группу — используется не иерархическая, а одноуровневая система) и решать другие задачи, относящиеся к управляемым компьютерам. Основное предназначение данной области — управление группами компьютеров. По умолчанию каждый компьютер, на который вы загрузили и установили агент системы Intune, попадает в группу Unassigned Computers. Хотя вы можете (а чаще всего должны) назначить политики для компьютеров в этой группе, даже в малой сети процесс управления будет эффективнее, если разделить компьютеры на более мелкие группы. В демонстрационном окружении я создавал группы по географическому положению, но принцип группировки может быть любым и зависит от нужд компании.

При просмотре компьютеров, входящих в группу, вам доступен широкий набор данных, таких как операционная система компьютера, имя компьютера, членство в группе, а также состояния оповещений, обновлений и безопасности. При работе с системами, которым необходимо вмешательство администратора (например, требуется подтвердить установку обновления), можно щелкнуть мышью по ссылке, чтобы уяснить проблему и предпринять необходимые шаги для ее решения. Например, можно выбрать несколько новых или уже ожидающих подтверждения обновлений и нажать кнопку Approve на панели инструментов, чтобы изменения вступили в силу.

Также можно просмотреть подробную информацию о каждом компьютере, включая обнаруженные вредоносные программы, оповещения, полный профиль оборудования и полный перечень программного обеспечения. Каждый из этих объектов может выступать в роли значения, по которому выполняется сортировка. Например, если вы обнаружили определенную версию пакета Adobe Reader на одном из компьютеров, то, выбрав его в списке программ, вы увидите, на каких еще компьютерах в вашем окружении установлена данная версия.

Обновление программного обеспечения. В соответствии с основной задачей системы, Windows Intune можно использовать для просмотра ожидающих подтверждения на установку пакетов обновлений, срочных исправлений и других модулей коррекции на подключенных компьютерах, а также для выполнения связанных задач. Рабочая область Updates содержит текущие данные о количестве обновлений в вашем окружении, ожидающих подтверждения установки, позволяя подтвердить (или отклонить) сразу некоторые из них или просмотреть каждое, подтверждая установку только необходимых пакетов.

Рабочая область Updates также предоставляет гибкие инструменты для определения тех типов программ, обновлениями которых вы будете управлять. Вы можете взвалить все на себя (выбрав все категории) или подойти к вопросу более обдуманно, выбрав классы обновлений (пакеты обновлений, инструменты и т. д.) и создав правила автоматического подтверждения определенных типов обновлений (основанные на выбранных категориях и классах).

Защита клиента. В составе подписки на систему Intune вы получаете право на установку специальной версии клиентской программы Forefront Endpoint Protection (FEP), названной Windows Intune Endpoint Protection, на каждый подключенный компьютер. Принимая решение о том, устанавливать данный клиент или нет, можно рассуждать по-разному, в частности подумать о том, что средства Endpoint Protection стоит устанавливать лишь в случаях, когда на целевом компьютере отсутствуют альтернативные механизмы защиты. С другой стороны, можно просто отключить имеющиеся на компьютере средства защиты и заменить их службами Endpoint Protection.

В рабочей области Endpoint Protection система Intune позволяет быстро просматривать состояние компьютеров и реагировать на любые проблемы, связанные с безопасностью. Во время тестирования я не столкнулся с существенными проблемами, но обнаружил, что при необходимости можно отдельно просмотреть список зараженных и вызывающих подозрение систем. Система Intune содержит список самых новых вредоносных программ, независимо от того, существуют механизмы защиты против них или еще нет.

Оповещения и удаленная помощь. Система Windows Intune настроена так, чтобы оповещения создавались в ответ на определенные события, нарушающие нормальное функционирование системы, и запросы пользователей об удаленной помощи. На главном экране рабочей области Alerts неотработанные сообщения отображаются в списке следующим образом: критические предупреждения находятся наверху, а информационные оповещения внизу.

Помимо этого, система Intune содержит около 400 различных настроенных оповещений, большинство из которых отключено по умолчанию, а также набор базовых правил для уведомлений. Вы можете определить, кто будет получать оповещения (получатель), в каких случаях (правила) и каким образом (на данный момент только через e-mail). Базовое правило уведомлений, такое как All Critical Alerts, срабатывает при каждом критическом событии и посылает предупреждения всем выбранным пользователям (на электронную почту). На данный момент система не предоставляет возможности редактирования базовых правил, за исключением функции выбора получателей электронных сообщений.

Рабочая область Alerts также предоставляет доступ к небольшому набору функций. Можно указать список администраторов системы Intune (никак не связанный со списком действующих администраторов сети), указав адрес электронной почты каждого из них. Имейте в виду, что для администраторов Windows Intune рекомендуется указывать почтовые адреса, связанные с учетными записями системы Windows Live. Права администратора позволят пользователю авторизоваться на сайте управления системой Intune (при условии, что адрес электронной почты зарегистрирован в Windows Live) и управлять компьютерами. Это также означает, что пользователь окажется в списке возможных получателей оповещений.

Рабочая область Alerts содержит ссылку на загрузку агента Windows Intune и соответствующего сертификата. Он запускается на любой из 32-разрядных или 64-разрядных версий Windows 7 (Professional, Enterprise или Ultimate), Windows Vista (Business, Enterprise или Ultimate) и Windows XP Professional (SP2 или SP3).

И самое главное — рабочая область Alerts содержит интерфейс, с помощью которого администратор может отвечать на запросы пользователя об удаленной помощи. Пользователи создают такие запросы с помощью программы Windows Intune Center, которая устанавливается вместе с агентом, а у администратора оповещение появляется на консоли администратора в двух рабочих областях — System Overview и Alerts. Окно Intune Center, показанное на экране 3, также включает интерфейс для работы с клиентами Windows Update и Windows Intune Endpoint Protection.

Экран 3. Windows Intune Center

Перечень программного обеспечения. Механизм инвентаризации программного обеспечения, включенный в систему Intune, использует решение Asset Inventory Service (AIS) из состава MDOP, обеспечивая интересный подход к обзору программного обеспечения, задействованного в вашем окружении. Вы можете выполнить сортировку по количеству установленных экземпляров (чтобы узнать, какие программы наиболее популярны), по имени, по издателю или по категории. Можно подробнее изучить отдельное приложение и узнать, на каких компьютерах оно установлено, определить версию приложения и является ли оно частью пакета виртуальных приложений Microsoft Application Virtualization (App-V).

Не секрет, что компания Microsoft активно редактирует список категорий для реестра программного обеспечения, так что со временем в этой области следует ожидать улучшений. Тем не менее список уже сейчас содержит достаточно много информации о наиболее популярных программах сторонних производителей и послужит отличным подспорьем при анализе вашего окружения.

Управление лицензиями. В рабочей области Licenses администраторы, представляющие крупные компании, заключившие корпоративные лицензионные соглашения (например, для продуктов Windows, Office), могут загрузить в данную область свои соглашения и убедиться в том, что они соблюдаются.

Политики Intune. Рабочая область Policy, пожалуй, на данный момент является сердцем системы Windows Intune. Хотя ветераны администрирования семейства System Center и политик Group Policy найдут интерфейс данной области «весьма неплохим», для администраторов, не имеющих опыта подобного контроля над окружением, он может стать откровением. В этом простом пользовательском интерфейсе можно настраивать политики Intune, которые, как упоминалось выше, применяются только для компьютеров, управляемых системой Intune, и существуют независимо от политик Group Policy (если вы используете их в своем окружении).

В некотором смысле система Intune в целом представляется решением, в большей степени подходящим для малых, слабо централизованных окружений. Но хотя я и согласен с этим утверждением, исследования компании Microsoft показывают, что использование системы Intune в крупных окружениях также может быть обоснованным. Когда многие сотрудники используют компьютер дома или в разъездах, практически не взаимодействуя с корпоративной сетью, появляется необходимость организовать защиту компьютеров, выходящих за ее периметр. Некоторые компании даже устанавливают агенты Intune на компьютеры руководства. Даже первая версия системы Intune предлагает эффективное решение при таком подходе и может работать совместно с более мощными корпоративными (внутренними) решениями для управления персональными компьютерами.

Политики Windows Intune могут использоваться совместно с политиками Group Policy. Компания Microsoft не рекомендует применять такой подход, но главное помнить об основном правиле — политики Group Policy имеют приоритет перед политиками Intune. Отметим также, что политики Intune намного проще политик Group Policy, потому что могут применяться только на одном уровне, а именно к группам компьютеров. Исходя из этого, не стоит (во всяком случае, пока) беспокоиться о том, что множество политик будут противоречить друг другу. Управление политиками может усложниться в будущем, по мере развития Windows Intune, хотя в Microsoft заявляют, что выбранный подход к разработке системы позволит избежать подобной проблемы.

Хотя сами по себе политики просты, при первом использовании каждая из них будет иметь обширный список параметров для управления, кроме того, вы сможете использовать один из трех начальных шаблонов. Шаблоны Windows Intune Agent Settings, Windows Intune Center Settings и Windows Firewall Settings, в которые входят наборы настроенных параметров, фактически определяют, к какому объекту будут применяться параметры, содержащиеся в политике. Шаблоны, относящиеся к агенту, определяют множество настроек, связанных с механизмами Endpoint Protection и обновлениями программного обеспечения, а шаблоны, относящиеся к службе Windows Firewall, как вы догадываетесь, управляют настройками межсетевого экрана и позволяют добавлять исключения.

После создания политики можно управлять ее развертыванием на компьютере, который является базовым для группы компьютеров. Нужно просто расставить галочки.

Отчетность. Windows Intune также обладает богатым набором функций для работы с отчетами, основанным на различных особенностях продукта. Можно создавать отчеты об обновлениях, установленном программном обеспечении и лицензиях. Можно создать отчет прямо в процессе работы и затем распечатать его из консоли или экспортировать в файл HTML или CSV.

Можно создавать отчеты и в других частях консоли администратора. Например, когда вы просматриваете список оповещений в рабочей области Alerts или список Definition Updates в рабочей области Updates, под рукой всегда есть кнопка Export List.

Администрирование. В рабочей области Administration можно задать параметры, относящиеся к учетным записям администраторов, настроить механизм классификации категорий и правил, типы оповещений и правила уведомлений, а также вручную загружать программное обеспечение для клиентских машин.

Опыт работы с клиентом

Я установил Windows Intune и соответствующее программное обеспечение на свои клиентские компьютеры, заменив использовавшиеся технологии безопасности Microsoft Security Essentials (MSE) службой Intune Endpoint Protection. В предварительной версии система Intune поставлялась с отдельными клиентскими программами для 32-разрядных и 64-разрядных компьютеров, но в окончательной версии используется единый клиент. В общем, применение механизмов Intune Endpoint Protection практически не отразилось на производительности или повседневном использовании компьютера. К тому же служба Intune Endpoint Protection выглядит и работает почти так же, как и пакет MSE.

Служба Intune Endpoint Protection, как и FEP 2011, и MSE 2, использует эвристический метод для проверки подозрительного программного обеспечения на предмет обнаружения новых вредоносных программ. Поскольку «изнутри» система представляет собой совместно используемую инфраструктуру под управлением комплекса System Center, общая точность эвристических методов растет по мере увеличения количества пользователей и получения данных с их компьютеров (дополнительная выгода для заказчиков системы). Я использую службу безопасности MSE 2 на своих компьютерах и настоятельно рекомендую ее вам.

Приложение Windows Intune Center, как я упоминал выше, предоставляет интерфейсную часть для служб Windows Update, Endpoint Protection и, конечно же, для механизмов удаленной помощи, реализованных в компоненте, названном Microsoft Easy Assist. Преимущество заключается в том, что эта программа может работать без доступа к Интернету, и вашим клиентам не надо подключаться к корпоративной сети, чтобы получить помощь, — на самом деле большинство конечных пользователей системы Intune никогда не будут напрямую подключены к сети вашей компании.

Стоимость и дополнительные преимущества

Безусловно, Windows Intune — не самое дешевое решение: стоимость использования системы составляет 11 долл. за каждый компьютер в месяц. Но в стоимость также входит лицензированная копия системы Windows 7 Enterprise для каждого компьютера, которая, как утверждают в Microsoft, поможет поддерживать стабильность в вашем окружении. Это хорошее предложение для заказчиков, заинтересованных в приобретении данной операционной системы, но я бы предпочел более дешевый вариант, пусть в него и не будет входить лицензия на Windows 7. К радости заказчиков, заключивших соглашение о корпоративных лицензиях, их ожидает скидка по совокупности предыдущих покупок. В данном случае стоит отметить простоту лицензирования, что обычно не является сильной стороной Microsoft.

За дополнительную плату в 1 долл. за каждый компьютер в месяц пользователи системы Intune могут получить доступ к полному набору MDOP. Если вы уже оплачиваете Intune, то данное предложение, несомненно, для вас: пакет MDOP содержит множество эффективных инструментов и утилит, таких как App-V и Microsoft Enterprise Desktop Virtualization (MED-V), Microsoft Advanced Group Policy Management (AGPM), System Center Desktop Error Monitoring (DEM), Microsoft Diagnostics, Recovery Toolset (DaRT) и AIS. Таким образом, пакет MDOP на сегодня является лучшим предложением для крупных компаний.

Подобные схемы ценообразования, включающие условия «за компьютер», «в месяц», весьма характерны для «облачных» услуг, и, как любая подписка, за которую вы платите дома, эти относительно низкие месячные расходы могут накладываться друг на друга. Например, приобретение и системы Intune, и пакета Office 365 может привести к нехватке ресурсов у обычной маленькой фирмы. Возможно, со временем Microsoft разработает подход, при котором клиенты, подписавшиеся на оба продукта, будут получать скидку.

А пока Microsoft всячески оправдывает установленную общую стоимость доступа к этим услугам. В случае с Intune компания объявляет, что с помощью данной системы покупатель экономит в среднем около 700 долл. за компьютер в год, 520 из которых экономятся за счет сокращения загруженности отдела ИТ. И это не считая экономии от 150 долл. до 1400 долл. за компьютер в год, в зависимости от начальной технической базы, за счет перехода на Windows 7.

Рекомендации

Хотя Windows Intune, скорее всего, будет иметь успех в верхнем эшелоне рынка малого и среднего бизнеса, то есть у организаций, в которых используется от 50 до 1000 персональных компьютеров, это решение должно получить широкое распространение. Отсутствие настоящей совместимости с AD для некоторых может показаться негативным аспектом, но я думаю, что у данного подхода с узкоспециализированным управлением есть будущее в нижнем эшелоне рынка, и я бы не рекомендовал компании Microsoft немедленно исправлять этот «недостаток». В век ориентирования на пользователя в области ИТ все больше и больше пользователей приносят собственные компьютеры и устройства на рабочее место или, по крайней мере, используют собственные компьютеры для работы. А система Intune идеально подходит для таких случаев.

Если у вас развернута корпоративная инфраструктура, вам придется дублировать часть инфраструктуры в системе Intune, что по мере роста бизнеса становится все более трудоемким процессом. Но, как заметили представители компании Microsoft на недавней встрече, даже крупнейшие предприятия получат выгоду от использования системы Intune в качестве дополнительного средства защиты тех систем, которые никогда не подключатся к общей сети, — сценарий, который становится все более привычным.

Забегая вперед, скажу, что компания Microsoft планирует обновлять системы Intune на постоянной основе, и уже появилась информация о планах разработки новых версий. Компания ожидает, что система Intune сравнится по возможностям с современным уровнем управления, обеспечиваемым комплексом System Center, в течение двух-трех лет, и планирует развивать продукт, чтобы включить возможность установки программного обеспечения в ближайшую версию.

Планы компании Microsoft по развитию Windows Intune довольно захватывающие. Но даже в первой версии система Intune — отличный пример возможности применения «облачных» технологий. Данный продукт обеспечивает отличное решение для компаний, попадающих в его «зону охвата».

Поль Тюрро (thurrott@windowsitpro.com) — редактор новостей в Windows IT Pro

Источник

Набор облачных сервисов под коммерческим названием Windows Intune, предназначен для управления и обслуживания рабочих станций в организации. Windows Intune, по своему функционалу вобрал в себя функции присущие System Center Configuration Manager и Forefront End protection а также System Center Operation Manager, объединяя достоинства этих программных продуктов. В этой статье пойдет речь о применении рабочей области «Endpoint Protection» консоли администрирования Windows Intune.

Рабочая область «Endpoint Protection» консоли администрирования Windows Intune создана, для управления агентом Endpoint Protection, который в свою очередь создан для защиты управляемых компьютеров от различных видов угроз в реальном времени.

Угрозами являются вирусы, троянские программы, всевозможные исполняемые скрипты. Нужно отметить, что в последнее время подобные программы стараются не мешать работе пользователя, и не портить программы и файлы, которые пользователь создает. Исключение составляют зловредные программы, которые хотят денег прямо сейчас. К примеру, есть трояны, которые шифруют файлы с паролем и предлагают пользователю купить этот пароль за определенную плату, например, с помощью смс-сообщения. Итак, с целю тестирования скачайте вирус EICAR (рисунок 1).

clip_image002

Рисунок 1. Вирус Eicar – самый популярный вирус для проверки антивирусов.

Точнее попробуйте скачать, со стороны клиента, на котором установлено программное обеспечение Windows Intune. Клиент Windows Intune Endpoint Protection, обнаружит попытку проникновения вируса EICAR и заблокирует её (рисунок 2).

clip_image003

Рисунок 2. Обнаружение угрозы Windows Intune Endpoint Protection.

Также, Windows Intune Endpoint Protection предложит выполнить полную очистку компьютера, с целью выявления угроз, кнопка «Clean computer» (Очистить компьютер). После проверки, в клиенте на закладке «История» (History), можно посмотреть более подробную информация об угрозе (рисунок 3).

clip_image005

Рисунок 3. Информация об обнаруженной угрозе Windows Intune Endpoint Protection.

Интересная деталь, до клиента Windows Intune Endpoint Protection стоял клиент Microsoft Security Essential 2.0. Ни одного успешного проникновения в операционную систему не было обнаружено. Антивирусы не дают полной защиты, поэтому периодически проверяю работу операционной системы самостоятельно.

С одной стороны скучно без постоянных сообщений об атаках, обновлений или предупреждений альтернативных антивирусов, с другой стороны, если стоит один из клиентов семейства Forefront Protection, к которому относятся и Windows Intune Endpoint Protection и Microsoft Security Essential 2.0, можно сосредоточиться на основной работе, а не на обслуживании антивирусного программного обеспечения.

Загрузить можно отсюда, — программный продукт Microsoft Security Essential 2.0 для домашнего использования и для малого бизнеса абсолютно бесплатен http://www.microsoft.com/ru-ru/security_essentials/default.aspx.

Подробная информация о развертывании клиентского программного обеспечения предоставлена в статье этого блога «Windows Intune – Настройка программного обеспечения клиента».

Для защиты управляемых компьютеров в организации Windows Intune™ Endpoint Protection предоставляет следующие возможности и функции, — защита от потенциальных и фиксированных угроз в режиме реального времени, отслеживание экземпляров вредоносных программ, поддержание базы определений в актуальном состоянии, решение принимается в течение 8 часов, и автоматический запуск проверок системы. Windows Intune предоставляет средства для облегчения и централизации управления компьютерами. В число таких средств относится шаблон политики с параметрами агента Endpoint Protection, с помощью которого можно создать политику и развернуть ее на нескольких компьютерах.

Сводки состояния Endpoint Protection, доступные в Консоль администрирования Windows Intune, позволяют быстро идентифицировать зараженные или незащищенные компьютеры и предпринять соответствующие действия. С помощью ссылок на разделы Центра Майкрософт по защите от вредоносных программ, доступных в консоли, можно получить дополнительные сведения о вредоносных программах, обнаруженных на компьютерах организации.

Со стороны управляемого клиента Windows Intune посмотрели работу Windows Intune Endpoint Protection, теперь рассмотрим рабочую область «Endpoint Protection» консоли администрирования Windows Intune (рисунок 4).

clip_image007

Рисунок 4. Рабочая область Windows Intune «Endpoint Protection».

Рабочая область Windows Intune Endpoint Protection состоит из нескольких секций, основная секция представлена на рисунке 5.

clip_image008

Рисунок 5. Рабочая область «Endpoint Protection» – основная секция.

Здесь есть два узла, «Обзор», — в котором можно узнать основную информацию о рабочей области Endpoint Protection, и «Все вредоносные программы» — где можно узнать более подробную информацию об обнаруженных вредоносных программах, и на каких управляемых компьютерах произошло обнаружение.

Следующая секция рабочей области «Endpoint Protection» консоли администрирования Windows Intune — секция «Обзор Endpoint Protection» (рисунок 6).

clip_image009

Рисунок 6. Рабочая область «Endpoint Protection» – обзорная секция.

В этой секции можно получить самые важные сгруппированные сообщения, об обнаруженных угрозах и вредоносных программах, обнаруженных в управляемом окружении. Также доступно состояние защиты конечных точек для управляемых компьютеров Windows Intune.

Следующая секция рабочей области «Endpoint Protection» — секция «Поиск» (рисунок 7).

clip_image010

Рисунок 7. Рабочая область «Endpoint Protection» – секция поиска вредоносных программ.

С помощью данной секции можно быстро найти ресурсные записи обнаруженных вредоносных программ по части слова, или по полному наименованию. К примеру, нужно найти все компьютеры, на которых обнаружен вирус «EICAR». Введите в строке поиска строку «EICAR», нажмите на поиск.

Следующая секция рабочей области «Endpoint Protection» — секция «Дополнительные сведения» (рисунок 8).

clip_image011

Рисунок 8. Рабочая область «Endpoint Protection» – секция дополнительных сведений.

Секция выполняет задачу краткого справочника информации, необходимой для выполнения задач рабочей области «Endpoint Protection». По мере увеличения количества выполняемых задач, количество ссылок также будет увеличиваться. На момент написания статьи доступны ссылки на следующие ресурсы:

1. Центр Майкрософт по защите от вредоносных программ [1].

2. Обзор Endpoint Protection [4].

3. Планирование сканирования [3].

4. Настройка параметров агента Endpoint Protection [2].

Есть еще одна информационная секция в рабочей области «Endpoint Protection» – секция сведений об угрозах (рисунок 9).

clip_image012

Рисунок 9. Рабочая область «Endpoint Protection» – секция сведений об угрозах.

В этой секции аккумулированы самые распространённые угрозы, обнаруженные в управляемом окружении Windows Intune. Сейчас там отображается вирус «EICAR», чтобы посмотреть дополнительные сведения об этой угрозе, можно нажать на ссылку «Virus:DOS/EICAR_Test_File». Произойдет переход на узел «Все вредоносные программы» (рисунок 10).

clip_image014

Рисунок 10. Рабочая область «Endpoint Protection» – выбор и просмотр свойств.

Здесь доступны две кнопки «Просмотреть свойства» и «Дополнительные сведения о вредоносной программе». Нажмите на кнопку «Просмотреть свойства» (рисунок 11).

clip_image016

Рисунок 11. Рабочая область «Endpoint Protection» – свойства вредоносной программы.

На главной странице свойств, есть две секции «Состояние вредоносной программы» и «Дополнительные сведения», их содержание чисто информационно. На данной странице перейдите на закладку «Компьютеры» (рисунок 12).

clip_image018

Рисунок 12. Свойства вредоносной программы – информация о компьютерах.

Можно заметить, на каком именно управляемом компьютере был обнаружен вирус, и его состояние. Сообщение информационное, поэтому сразу видно, что угрозы нет.

Перейдите по ссылке «Дополнительные сведения» (рисунок 13).

clip_image020

Рисунок 13. Расширенные сведения о вредоносной программе.

В открывшейся странице расширенных дополнительных сведениях об обнаруженной вредоносной программе, можно увидеть статус сообщения, алиасы вирусной программы в альтернативных антивирусах, и дату занесения в энциклопедию.

Операционный тестовый цикл завершен, угроза выявлена и уничтожена, дополнительные проявления изучены с помощью онлайновой энциклопедии Malware Protection Center Threat Research and Response.

Теперь, хочется отметить еще одну возможность, которая присутствует на любом узле рабочей области «Endpoint Protection» Windows Intune, в котором есть списки. Эта функция экспорта списка. Нажмите на значок экспорта списка clip_image021 (рисунок 14).

clip_image022

Рисунок 14. Экспорт списка обнаруженных вредоносных программ.

В первом окне экспорта списка, выберете формат файла экспортируемого списка. Предложено два формата «CSV-Файл» и «HTML-файл». «CSV-Файл» хорошо подойдет для обработки данных с помощью дополнительных приложений, таких как Microsoft Excel. «HTML-файл», представляет собой сразу отформатированный отчет, хорошо подходящий для передачи вышестоящему руководству. Итак, если объем данных не большой, кофе заваривать не надо, нажмите кнопку «Экспорт» для начала процесса. Отменить экспорт данных можно кнопкой «Отмена» (рисунок 15).

clip_image023

Рисунок 15. Завершение экспорта списка обнаруженных вредоносных программ.

В последнем окне экспорта списка, просмотрите краткую информацию о количестве экспортированных строк, или предупреждения о проблемах, возникших при экспорте. Нажмите кнопку «Закрыть», для завершения работы мастера экспорта списков.

Также, в вместо экспорта списка, его можно сразу распечатать, для этого нажмите на кнопку clip_image024 (рисунок 16).

clip_image025

Рисунок 16. Пример распечатки обнаруженных вредоносных программ.

В распечатке выводятся сгруппированные сведения о состоянии вредоносной программы, наименовании, дальнейшие сведения, недавно устраненные, количестве обнаружений, уровень оповещения и последнее действие, произведенное над данным вирусом.

Для защиты управляемых компьютеров в организации Windows Intune™ Endpoint Protection предоставляет следующие возможности и функции: защита от потенциальных угроз в режиме реального времени, отслеживание экземпляров вредоносных программ, поддержание базы определений в актуальном состоянии и автоматический запуск проверок системы. Windows Intune предоставляет средства для облегчения и централизации управления компьютерами. К числу таких средств относится шаблон политики с параметрами агента Endpoint Protection, с помощью которого можно создать политику и развернуть ее на нескольких компьютерах.

Сводки состояния Endpoint Protection, доступные в Консоль администрирования Windows Intune, позволяют быстро идентифицировать зараженные или незащищенные компьютеры и предпринять соответствующие действия. С помощью ссылок на разделы Центра Майкрософт по защите от вредоносных программ, доступных в консоли, можно получить дополнительные сведения о вредоносных программах, обнаруженных на компьютерах организации.

Опубликованные обновления становятся доступными для развертывания в среде, а значит и для утверждения или отклонения администратором. На протяжении жизненного цикла обновления его состояние изменяется несколько раз. Большинство состояний отображаются в консоли администрирования в качестве ссылок на статистические данные или в качестве фильтров представлений. Возможные состояния обновления описаны в следующей таблице. Если не указано иное, описанные состояния относятся к одному обновлению на одном компьютере. И так далее.

В статье более подробно рассмотрена рабочая область «Endpoint Protection» консоли администрирования Windows Intune. В дальнейшем цикле статей по рабочим областям консоли администрирования будет подробно рассмотрены дополнительные возможности, предоставленными облачными сервисами Windows Intune.

Полезные ссылки:

1. Malware Protection Center Threat Research and Response http://www.microsoft.com/security/portal/default.aspx

2. Настройка параметров агента Endpoint Protection http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189259.aspx

3. Планирование сканирования http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189288.aspx

4. Рабочая область Windows Intune™ Endpoint http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff398985.aspx

5. Virus:DOS/EICAR_Test_File – дополнительная информация http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Virus%3aDOS%2fEICAR_Test_File&threatid=2147519003

6. Microsoft Online Services Customer Portal — Windows Intune™ https://mocp.microsoftonline.com/Site/ProductCatalogPostSignin.aspx

7. Windows Intune™ administration console https://manage.microsoft.com/WindowsIntune/

8. Проверка сводки состояния Endpoint Protection для всех компьютеров http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189266.aspx

9. Проверка сводки состояния и сведений о Endpoint Protection для группы компьютеров http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189291.aspx

10. Проверка сводки состояния Endpoint Protection и подробных сведений о вредоносных программах для компьютера http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189271.aspx

11. Проверка вредоносных программ, для которых требуются дальнейшие действия http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189243.aspx

12. Проверка незащищенных компьютеров http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189229.aspx

13. Планирование сканирования http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff189288.aspx

14. Проверка наличия других приложений для защиты от вредоносных программ на компьютерах http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff770835.aspx

15. Устранение неполадок Endpoint Protection http://onlinehelp.microsoft.com/ru-ru/windowsintune/ff462934.aspx

Источник
title description keywords author ms.author manager ms.date ms.topic ms.service ms.subservice ms.localizationpriority ms.technology ms.assetid ms.reviewer ms.suite search.appverid ms.custom ms.collection

Protection settings for Windows 10 devices in Microsoft Intune — Azure | Microsoft Docs

On Windows 10 devices, use or configure endpoint protection settings to enable Microsoft Defender features, including Application Guard, Firewall, SmartScreen, encryption and BitLocker, Exploit Guard, Application Control, Security Center, and security on local devices in Microsoft Intune.

brenduns

brenduns

dougeby

03/03/2020

reference

microsoft-intune

protect

medium

3af7c91b-8292-4c7e-8d25-8834fcf3517a

mattsha

ems

MET150

intune-azure; seodec18

M365-identity-device-management

Windows 10 (and later) settings to protect devices using Intune

Microsoft Intune includes many settings to help protect your devices. This article describes all the settings you can enable and configure in Windows 10 and newer devices. These settings are created in an endpoint protection configuration profile in Intune to control security, including BitLocker and Microsoft Defender.

To configure Microsoft Defender Antivirus, see Windows 10 device restrictions.

Before you begin

Create an endpoint protection device configuration profile.

For more information about configuration service providers (CSPs), see Configuration service provider reference.

Microsoft Defender Application Guard

While using Microsoft Edge, Microsoft Defender Application Guard protects your environment from sites that aren’t trusted by your organization. When users visit sites that aren’t listed in your isolated network boundary, the sites open in a Hyper-V virtual browsing session. Trusted sites are defined by a network boundary, which are configured in Device Configuration.

Application Guard is only available for Windows 10 (64-bit) devices. Using this profile installs a Win32 component to activate Application Guard.

  • Application Guard
    Default: Not configured
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Enabled for Edge — Turns on this feature, which opens untrusted sites in a Hyper-V virtualized browsing container.
    • Not configured — Any site (trusted and untrusted) can open on the device.

  • Clipboard behavior
    Default: Not configured
    Application Guard CSP: Settings/ClipboardSettings

    Choose what copy and paste actions are allowed between the local PC and the Application Guard virtual browser.

    • Not configured
    • Allow copy and paste from PC to browser only
    • Allow copy and paste from browser to PC only
    • Allow copy and paste between PC and browser
    • Block copy and paste between PC and browser

  • Clipboard content
    This setting is available only when Clipboard behavior is set to one of the allow settings.
    Default: Not configured
    Application Guard CSP: Settings/ClipboardFileType

    Select the allowed clipboard content.

    • Not configured
    • Text
    • Images
    • Text and images

  • External content on enterprise sites
    Default: Not configured
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • Block — Block content from unapproved websites from loading.
    • Not configured — Non-enterprise sites can open on the device.

  • Print from virtual browser
    Default: Not configured
    Application Guard CSP: Settings/PrintingSettings

    • Allow — Allows the printing of selected content from the virtual browser.
    • Not configured Disable all print features.

    When you Allow printing, you then can configure the following setting:

    • Printing type(s)
      Select one or more of the following options:

      • PDF
      • XPS
      • Local printers
      • Network printers

  • Collect logs
    Default: Not configured
    Application Guard CSP: Audit/AuditApplicationGuard

    • Allow — Collect logs for events that occur within an Application Guard browsing session.
    • Not configured — Don’t collect any logs within the browsing session.

  • Retain user-generated browser data
    Default: Not configured
    Application Guard CSP: Settings/AllowPersistence

    • Allow Save user data (such as passwords, favorites, and cookies) that’s created during an Application Guard virtual browsing session.
    • Not configured Discard user-downloaded files and data when the device restarts, or when a user signs out.

  • Graphics acceleration
    Default: Not configured
    Application Guard CSP: Settings/AllowVirtualGPU

    • Enable — Load graphic-intensive websites and video faster by getting access to a virtual graphics processing unit.
    • Not configured Use the device’s CPU for graphics; Don’t use the virtual graphics processing unit.

  • Download files to host file system
    Default: Not configured
    Application Guard CSP: Settings/SaveFilesToHost

    • Enable — Users can download files from the virtualized browser onto the host operating system.
    • Not configured — Keeps the files local on the device, and doesn’t download files to the host file system.

Microsoft Defender Firewall

Global settings

These settings are applicable to all network types.

  • File Transfer Protocol
    Default: Not configured
    Firewall CSP: MdmStore/Global/DisableStatefulFtp

    • Block — Disable stateful FTP.
    • Not configured — The firewall does stateful FTP filtering to allow secondary connections.

  • Security association idle time before deletion
    Default: Not configured
    Firewall CSP: MdmStore/Global/SaIdleTime

    Specify an idle time in seconds, after which security associations are deleted.

  • Pre-shared key encoding
    Default: Not configured
    Firewall CSP: MdmStore/Global/PresharedKeyEncoding

    • Enable — Encode presheared keys using UTF-8.
    • Not configured — Encode presheared keys using the local store value.

  • IPsec exemptions
    Default: 0 selected
    Firewall CSP: MdmStore/Global/IPsecExempt

    Select one or more of the following types of traffic to be exempt from IPsec:

    • Neighbor discover IPv6 ICMP type-codes
    • ICMP
    • Router discover IPv6 ICMP type-codes
    • Both IPv4 and IPv6 DHCP network traffic

  • Certificate revocation list verification
    Default: Not configured
    Firewall CSP: MdmStore/Global/CRLcheck

    Choose how the device verifies the certificate revocation list. Options include:

    • Disable CRL verification
    • Fail CRL verification on revoked certificate only
    • Fail CRL verification on any error encountered.

  • Opportunistically match authentication set per keying module
    Default: Not configured
    Firewall CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Enable Keying modules must ignore only the authentication suites that they don’t support.
    • Not configured, Keying modules must ignore the entire authentication set if they don’t support all of the authentication suites specified in the set.

  • Packet queuing
    Default: Not configured
    Firewall CSP: MdmStore/Global/EnablePacketQueue

    Specify how software scaling on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. This setting confirms the packet order is preserved. Options include:

    • Not configured
    • Disable all packet queuing
    • Queue inbound encrypted packets only
    • Queue packets after decryption is performed for forwarding only
    • Configure both inbound and outbound packets

Network settings

The following settings are each listed in this article a single time, but all apply to the three specific network types:

  • Domain (workplace) network
  • Private (discoverable) network
  • Public (non-discoverable) network

General settings

  • Microsoft Defender Firewall
    Default: Not configured
    Firewall CSP: EnableFirewall

    • Enable — Turn on the firewall, and advanced security.
    • Not configured Allows all network traffic, regardless of any other policy settings.

  • Stealth mode
    Default: Not configured
    Firewall CSP: DisableStealthMode

    • Not configured
    • Block — Firewall is blocked from operating in stealth mode. Blocking stealth mode allows you to also block IPsec secured packet exemption.
    • Allow — The firewall operates in stealth mode, which helps prevent responses to probing requests.

  • IPsec secured packet exemption with Stealth Mode
    Default: Not configured
    Firewall CSP: DisableStealthModeIpsecSecuredPacketExemption

    This option is ignored if Stealth mode is set to Block.

    • Not configured
    • Block — IPSec secured packets do not receive exemptions.
    • Allow — Enable exemptions. The firewall’s stealth mode MUST NOT prevent the host computer from responding to unsolicited network traffic that is secured by IPsec.

  • Shielded
    Default: Not configured
    Firewall CSP: Shielded

    • Not configured
    • Block — When the Microsoft Defender Firewall is on and this setting is set to Block, all incoming traffic is blocked, regardless of other policy settings.
    • Allow — When set to Allow, this setting is turned off — and incoming traffic is allowed based on other policy settings.

  • Unicast responses to multicast broadcasts
    Default: Not configured
    Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

    Typically, you don’t want to receive unicast responses to multicast or broadcast messages. These responses can indicate a denial of service (DOS) attack, or an attacker trying to probe a known live computer.

    • Not configured
    • Block — Disable unicast responses to multicast broadcasts.
    • Allow — Allow unicast responses to multicast broadcasts.

  • Inbound notifications
    Default: Not configured
    Firewall CSP: DisableInboundNotifications

    • Not configured
    • Block — Hide notifications to uses when an app is blocked from listening on a port.
    • Allow — Enables this setting, and may show a notification to users when an app is blocked from listening on a port.

  • Default action for outbound connections
    Default: Not configured
    Firewall CSP: DefaultOutboundAction

    Configure the default action firewall performs on outbound connections. This setting will get applied to Windows version 1809 and above.

    • Not configured
    • Block — The default firewall action isn’t run on outbound traffic unless it’s explicitly specified not to block.
    • Allow — Default firewall actions run on outbound connections.

  • Default action for inbound connections
    Default: Not configured
    Firewall CSP: DefaultInboundAction

    • Not configured
    • Block — The default firewall action isn’t run on inbound connections.
    • Allow — Default firewall actions run on inbound connections.

Rule merging

  • Authorized application Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: AuthAppsAllowUserPrefMerge

    • Not configured
    • Block — The authorized application firewall rules in the local store are ignored and not enforced.
    • Allow
      Choose Enable Applies firewall rules in the local store so they’re recognized and enforced.

  • Global port Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: GlobalPortsAllowUserPrefMerge

    • Not configured
    • Block — The global port firewall rules in the local store are ignored and not enforced.
    • Allow — Apply global port firewall rules in the local store to be recognized and enforced.

  • Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: AllowLocalPolicyMerge

    • Not configured
    • Block — Firewall rules from the local store are ignored and not enforced.
    • Allow — Apply firewall rules in the local store to be recognized and enforced.

  • IPsec rules from the local store
    Default: Not configured
    Firewall CSP: AllowLocalIpsecPolicyMerge

    • Not configured
    • Block — The connection security rules from the local store are ignored and not enforced, regardless of the schema version and connection security rule version.
    • Allow — Apply connection security rules from the local store, regardless of schema or connection security rule versions.

Firewall rules

You can Add one or more custom Firewall rules. For more information, see Add custom firewall rules for Windows 10 devices.

Custom Firewall rules support the following options:

General settings:

  • Name
    Default: No name

    Specify a friendly name for your rule. This name will appear in the list of rules to help you identify it.

  • Description
    Default: No description

    Provide a description of the rule.

  • Direction
    Default: Not configured
    Firewall CSP: FirewallRules/FirewallRuleName/Direction

    Specify if this rule applies to Inbound, or Outbound traffic. When set as Not configured, the rule automatically applies to Outbound traffic.

  • Action
    Default: Not configured
    Firewall CSP: FirewallRules/FirewallRuleName/Action, and FirewallRules/FirewallRuleName/Action/Type

    Select from Allow or Block. When set as Not configured, the rule defaults to allow traffic.

  • Network type
    Default: 0 selected
    Firewall CSP: FirewallRules/FirewallRuleName/Profiles

    Select up to three types of network types to which this rule belongs. Options include Domain, Private, and Public. If no network types are selected, the rule applies to all three network types.

Application settings

  • Application(s)
    Default: All

    Control connections for an app or program. Select one of the following options, and then complete the additional configuration:

    • Package family name – Specify a package family name. To find the package family name, use the PowerShell command Get-AppxPackage.
      Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • File path – You must specify a file path to an app on the client device, which can be an absolute path, or a relative path. For example: C:WindowsSystemNotepad.exe or %WINDIR%Notepad.exe.
      Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows service – Specify the Windows service short name if it’s a service and not an application that sends or receives traffic. To find the service short name, use the PowerShell command Get-Service.
      Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • AllNo additional configuration is available.

IP address settings

Specify the local and remote addresses to which this rule applies.

  • Local addresses
    Default: Any address
    Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Select Any address or Specified address.

    When you use Specified address, you add one or more addresses as a comma-separated list of local addresses that are covered by the rule. Valid tokens include:

    • Use an asterisk “*” for any local address. If you use an asterisk, it must be the only token you use.
    • To specify a subnet use either the subnet mask or network prefix notation. If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • A valid IPv6 address.
    • An IPv4 address range in the format of «start address — end address» with no spaces included.
    • An IPv6 address range in the format of «start address — end address» with no spaces included.

  • Remote addresses
    Default: Any address
    Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Select Any address or Specified address.

    When you use Specified address, you add one or more addresses as a comma-separated list of remote addresses that are covered by the rule. Tokens aren’t case-sensitive. Valid tokens include:

    • Use an asterisk “*” for any remote address. If you use an asterisk, it must be the only token you use.
    • «Defaultgateway»
    • «DHCP»
    • «DNS»
    • «WINS»
    • «Intranet» (supported on Windows versions 1809 and later)
    • «RmtIntranet» (supported on Windows versions 1809 and later)
    • «Internet» (supported on Windows versions 1809 and later)
    • «Ply2Renders» (supported on Windows versions 1809 and later)
    • «LocalSubnet» indicates any local address on the local subnet.
    • To specify a subnet use either the subnet mask or network prefix notation. If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • A valid IPv6 address.
    • An IPv4 address range in the format of «start address — end address» with no spaces included.
    • An IPv6 address range in the format of «start address — end address» with no spaces included.

Port and protocol settings

Specify the local and remote ports to which this rule applies.

  • Protocol
    Default: Any
    Firewall CSP: FirewallRules/FirewallRuleName/Protocol
    Select from the following, and complete any required configurations:

    • All – No additional configuration is available.
    • TCP – Configure local and remote ports. Both options support All ports or Specified ports. Enter Specified ports by using a comma-separated list.
      • Local ports — Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
      • Remote ports — Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
    • UDP – Configure local and remote ports. Both options support All ports or Specified ports. Enter Specified ports by using a comma-separated list.
      • Local ports — Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
      • Remote ports — Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
    • Custom – Specify a custom protocol number from 0 to 255.

Advanced configuration

  • Interface types
    Default: 0 selected
    Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Select from the following options:

    • Remote access
    • Wireless
    • Local area network

  • Only allow connections from these users
    Default: All users (Defaults to all uses when no list is specified)
    Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Specify a list of authorized local users for this rule. A list of authorized users can’t be specified if this rule applies to a Windows service.

Microsoft Defender SmartScreen settings

Microsoft Edge must be installed on the device.

  • SmartScreen for apps and files
    Default: Not configured
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Not configured — Disables use of SmartScreen.
    • Enable — Enable Windows SmartScreen for file execution, and running apps. SmartScreen is a cloud-based anti-phishing and anti-malware component.

  • Unverified files execution
    Default: Not configured
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Not configured — Disables this feature, and allows end users to run files that haven’t been verified.
    • Block — Prevent end users from running files that haven’t been verified by Windows SmartScreen.

Windows Encryption

Windows Settings

  • Encrypt devices
    Default: Not configured
    BitLocker CSP: RequireDeviceEncryption

    • Require — Prompt users to enable device encryption. Depending on the Windows edition and system configuration, users may be asked:
      • To confirm that encryption from another provider isn’t enabled.
      • Be required to turn off BitLocker Drive Encryption, and then turn BitLocker back on.
    • Not configured

    If Windows encryption is turned on while another encryption method is active, the device might become unstable.

  • Encrypt storage card (mobile only)
    This setting only applies to Windows 10 mobile.
    Default: Not configured
    BitLocker CSP: RequireStorageCardEncryption

    • Require to encrypt any removable storage cards used by the device.
    • Not configured — Don’t require storage card encryption, and don’t prompt the user to turn it on.

BitLocker base settings

Base settings are universal BitLocker settings for all types of data drives. These settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Warning for other disk encryption
    Default: Not configured
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Block — Disable the warning prompt if another disk encryption service is on the device.
    • Not configured — Allow the warning for other disk encryption to be shown.

    [!TIP]
    To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must be set to Block. For more information, see Silently enable BitLocker on devices.

    When set to Block, you can then configure the following setting:

    • Allow standard users to enable encryption during Azure AD Join
      This setting only applies to Azure Active Directory Joined (Azure ADJ) devices, and depends on the previous setting, Warning for other disk encryption.
      Default: Not configured
      BitLocker CSP: AllowStandardUserEncryption

      • Allow — Standard users (non-administrators) can enable BitLocker encryption when signed in.
      • Not configured only Administrators can enable BitLocker encryption on the device.

    [!TIP]
    To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must be set to Allow. For more information, see Silently enable BitLocker on devices.

  • Configure encryption methods
    Default: Not configured
    BitLocker CSP: EncryptionMethodByDriveType

    • Enable — Configure encryption algorithms for operating system, data, and removable drives.
    • Not configured — BitLocker uses XTS-AES 128 bit as the default encryption method, or uses the encryption method specified by any setup script.

    When set to Enable, you can configure the following settings:

    • Encryption for operating system drives
      Default: XTS-AES 128-bit

      Choose the encryption method for operating system drives. We recommend you use the XTS-AES algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

    • Encryption for fixed data-drives
      Default: AES-CBC 128-bit

      Choose the encryption method for fixed (built-in) data drives. We recommend you use the XTS-AES algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

    • Encryption for removable data-drives
      Default: AES-CBC 128-bit

      Choose the encryption method for removable data drives. If the removable drive is used with devices that aren’t running Windows 10, then we recommend you use the AES-CBC algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

BitLocker OS drive settings

These settings apply specifically to operating system data drives.

  • Additional authentication at startup
    Default: Not configured
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Require — Configure the authentication requirements for computer startup, including the use of Trusted Platform Module (TPM).
    • Not configured — Configure only basic options on devices with a TPM.

    When set to Require, you can configure the following settings:

    • BitLocker with non-compatible TPM chip
      Default: Not configured

      • Block — Disable use of BitLocker when a device doesn’t have a compatible TPM chip.
      • Not configured — Users can use BitLocker without a compatible TPM chip. BitLocker may require a password or a startup key.

    • Compatible TPM startup
      Default: Allow TPM

      Configure if TPM is allowed, required, or not allowed.

      • Allow TPM
      • Do not allow TPM
      • Require TPM

    • Compatible TPM startup PIN
      Default: Allow startup PIN with TPM

      Choose to allow, not allow, or require using a startup PIN with the TPM chip. Enabling a startup PIN requires interaction from the end user.

      • Allow startup PIN with TPM
      • Do not allow startup PIN with TPM
      • Require startup PIN with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup PIN with TPM. For more information, see Silently enable BitLocker on devices.

    • Compatible TPM startup key
      Default: Allow startup key with TPM

      Choose to allow, not allow, or require using a startup key with the TPM chip. Enabling a startup key requires interaction from the end user.

      • Allow startup key with TPM
      • Do not allow startup key with TPM
      • Require startup key with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup key with TPM. For more information, see Silently enable BitLocker on devices.

    • Compatible TPM startup key and PIN
      Default: Allow startup key and PIN with TPM

      Choose to allow, not allow, or require using a startup key and PIN with the TPM chip. Enabling startup key and PIN requires interaction from the end user.

      • Allow startup key and PIN with TPM
      • Do not allow startup key and PIN with TPM
      • Require startup key and PIN with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup key and PIN with TPM. For more information, see Silently enable BitLocker on devices.

  • Minimum PIN Length
    Default: Not configured
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Enable Configure a minimum length for the TPM startup PIN.
    • Not configured — Users can configure a startup PIN of any length between 6 and 20 digits.

    When set to Enable, you can configure the following setting:

    • Minimum characters
      Default: Not configured
      BitLocker CSP: SystemDrivesMinimumPINLength

      Enter the number of characters required for the startup PIN from 420.

  • OS drive recovery
    Default: Not configured
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Enable — Control how BitLocker-protected operating system drives recover when the required start-up information isn’t available.
    • Not configured — Default recovery options are supported for BitLocker recovery. By default, a DRA is allowed, the recovery options are chosen by the user, including the recovery password and recovery key, and recovery information isn’t backed up to AD DS.

    When set to Enable, you can configure the following settings:

    • Certificate-based data recovery agent
      Default: Not configured

      • Block — Prevent use of data recovery agent with BitLocker-protected OS drives.
      • Not configured — Allow data recovery agents to be used with BitLocker-protected operating system drives.

    • User creation of recovery password
      Default: Allow 48-digit recovery password

      Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Allow 48-digit recovery password
      • Do not allow 48-digit recovery password
      • Require 48-digit recovery password

    • User creation of recovery key
      Default: Allow 256-bit recovery key

      Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Allow 256-bit recovery key
      • Do not allow 256-bit recovery key
      • Require 256-bit recovery key

    • Recovery options in the BitLocker setup wizard
      Default: Not configured

      • Block — Users can’t see and change the recovery options. When set to
      • Not configured — Users can see and change the recovery options when they turn on BitLocker.

    • Save BitLocker recovery information to Azure Active Directory
      Default: Not configured

      • Enable — Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Not configured — BitLocker recovery information isn’t stored in AAD.

    • BitLocker recovery Information stored to Azure Active Directory
      Default: Backup recovery passwords and key packages

      Configure what parts of BitLocker recovery information are stored in Azure AD. Choose from:

      • Backup recovery passwords and key packages
      • Backup recovery passwords only

    • Client-driven recovery password rotation
      Default: Key rotation enabled for Azure AD-joined devices
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Not configured
      • Key rotation disabled
      • Key rotation enabled for Azure AD-joined deices
      • Key rotation enabled for Azure AD and Hybrid-joined devices

    • Store recovery information in Azure Active Directory before enabling BitLocker
      Default: Not configured

      Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Require — Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Not configured — Users can turn on BitLocker, even if recovery information isn’t successfully stored in Azure AD.

  • Pre-boot recovery message and URL
    Default: Not configured
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Enable — Configure the message and URL that display on the pre-boot key recovery screen.
    • Not configured — Disable this feature.

    When set to Enable, you can configure the following setting:

    • Pre-boot recovery message
      Default: Use default recovery message and URL

      Configure how the pre-boot recovery message displays to users. Choose from:

      • Use default recovery message and URL
      • Use empty recovery message and URL
      • Use custom recovery message
      • Use custom recovery URL

BitLocker fixed data-drive settings

These settings apply specifically to fixed data drives.

  • Write access to fixed data-drive not protected by BitLocker
    Default: Not configured
    BitLocker CSP: FixedDrivesRequireEncryption

    • Block — Give read-only access to data drives that aren’t BitLocker-protected.
    • Not configured — By default, read and write access to data drives that aren’t encrypted.

  • Fixed drive recovery
    Default: Not configured
    BitLocker CSP: FixedDrivesRecoveryOptions

    • Enable — Control how BitLocker-protected fixed drives recover when the required start-up information isn’t available.
    • Not configured — Disable this feature.

    When set to Enable, you can configure the following settings:

    • Data recovery agent
      Default: Not configured

      • Block — Prevent use of the data recovery agent with BitLocker-protected fixed drives Policy Editor.
      • Not configured — Enables use of data recovery agents with BitLocker-protected fixed drives.

    • User creation of recovery password
      Default: Allow 48-digit recovery password

      Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Allow 48-digit recovery password
      • Do not allow 48-digit recovery password
      • Require 48-digit recovery password

    • User creation of recovery key
      Default: Allow 256-bit recovery key

      Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Allow 256-bit recovery key
      • Do not allow 256-bit recovery key
      • Require 256-bit recovery key

    • Recovery options in the BitLocker setup wizard
      Default: Not configured

      • Block — Users can’t see and change the recovery options. When set to
      • Not configured — Users can see and change the recovery options when they turn on BitLocker.

    • Save BitLocker recovery information to Azure Active Directory
      Default: Not configured

      • Enable — Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Not configured — BitLocker recovery information isn’t stored in AAD.

    • BitLocker recovery Information stored to Azure Active Directory
      Default: Backup recovery passwords and key packages

      Configure what parts of BitLocker recovery information are stored in Azure AD. Choose from:

      • Backup recovery passwords and key packages
      • Backup recovery passwords only

    • Client-driven recovery password rotation
      Default: Key rotation enabled for Azure AD-joined devices
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Not configured
      • Key rotation disabled
      • Key rotation enabled for Azure AD-joined deices
      • Key rotation enabled for Azure AD and Hybrid-joined devices

    • Store recovery information in Azure Active Directory before enabling BitLocker
      Default: Not configured

      Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Require — Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Not configured — Users can turn on BitLocker, even if recovery information isn’t successfully stored in Azure AD.

BitLocker removable data-drive settings

These settings apply specifically to removable data drives.

  • Write access to removable data-drive not protected by BitLocker
    Default: Not configured
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Block — Give read-only access to data drives that aren’t BitLocker-protected.
    • Not configured — By default, read and write access to data drives that aren’t encrypted.

    When set to Enable, you can configure the following setting:

    • Write access to devices configured in another organization
      Default: Not configured

      • Block — Block write access to devices configured in another organization.
      • Not configured — Deny write access.

Microsoft Defender Exploit Guard

Use exploit protection to manage and reduce the attack surface of apps used by your employees.

Attack Surface Reduction

Attack surface reduction rules help prevent behaviors malware often uses to infect computers with malicious code.

Attack Surface Reduction rules

  • Flag credential stealing from the Windows local security authority subsystem
    Default: Not configured
    Rule: Block credential stealing from the Windows local security authority subsystem (lsass.exe)

    Help prevent actions and apps that are typically used by exploit-seeking malware to infect machines.

    • Not configured
    • Enable — Flag credential stealing from the Windows local security authority subsystem (lsass.exe).
    • Audit only

  • Process creation from Adobe Reader (beta)
    Default: Not configured
    Rule: Block Adobe Reader from creating child processes

    • Not configured
    • Enable — Block child processes that are created from Adobe Reader.
    • Audit only

Rules to prevent Office Macro threats

Block Office apps from taking the following actions:

  • Office apps injecting into other processes (no exceptions)
    Default: Not configured
    Rule: Block Office applications from injecting code into other processes

    • Not configured
    • Block — Block Office apps from injecting into other processes.
    • Audit only

  • Office apps/macros creating executable content
    Default: Not configured
    Rule: Block Office applications from creating executable content

    • Not configured
    • Block — Block Office apps and macros from creating executable content.
    • Audit only

  • Office apps launching child processes
    Default: Not configured
    Rule: Block all Office applications from creating child processes

    • Not configured
    • Block — Block Office apps from launching child processes.
    • Audit only

  • Win32 imports from Office macro code
    Default: Not configured
    Rule: Block Win32 API calls from Office macros

    • Not configured
    • Block — Block Win32 imports from macro code in Office.
    • Audit only

  • Process creation from Office communication products
    Default: Not configured
    Rule: Block Office communication application from creating child processes

    • Not configured
    • Enable — Block child process creation from Office communications apps.
    • Audit only

Rules to prevent script threats

Block the following to help prevent against script threats:

  • Obfuscated js/vbs/ps/macro code
    Default: Not configured
    Rule: Block execution of potentially obfuscated scripts

    • Not configured
    • Block — Block any obfuscated js/vbs/ps/macro code.
    • Audit only

  • js/vbs executing payload downloaded from Internet (no exceptions)
    Default: Not configured
    Rule: Block JavaScript or VBScript from launching downloaded executable content

    • Not configured
    • Block — Block js/vbs from executing payload downloaded from Internet.
    • Audit only

  • Process creation from PSExec and WMI commands
    Default: Not configured
    Rule: Block process creations originating from PSExec and WMI commands

    • Not configured

    • Block — Block process creations originating from PSExec and WMI commands.

    • Audit only

  • Untrusted and unsigned processes that run from USB
    Default: Not configured
    Rule: Block untrusted and unsigned processes that run from USB

    • Not configured
    • Block — Block untrusted and unsigned processes that run from USB.
    • Audit only

  • Executables that don’t meet a prevalence, age, or trusted list criteria
    Default: Not configured
    Rule: Block executable files from running unless they meet a prevalence, age, or trusted list criterion

    • Not configured
    • Block — Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
    • Audit only

Rules to prevent email threats

Block the following to help prevent email threats:

  • Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    Default: Not configured
    Rule: Block executable content from email client and webmail

    • Not configured
    • Block — Block execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail-client).
    • Audit only

Rules to protect against ransomware

  • Advanced ransomware protection
    Default: Not configured
    Rule: Use advanced protection against ransomware

    • Not configured
    • Enable — Use aggressive ransomware protection.
    • Audit only

Attack Surface Reduction exceptions

  • Files and folder to exclude from attack surface reduction rules
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Import a .csv file that contains files and folders to exclude from attack surface reduction rules.
    • Add local files or folders manually.

[!IMPORTANT]
To allow proper installation and execution of LOB Win32 apps, anti-malware settings should exclude the following directories from being scanned:
On X64 client machines:
C:Program Files (x86)Microsoft Intune Management ExtensionContent
C:windowsIMECache

On X86 client machines:
C:Program FilesMicrosoft Intune Management ExtensionContent
C:windowsIMECache

Controlled folder access

Help protect valuable data from malicious apps and threats, such as ransomware.

  • Folder protection
    Default: Not configured
    Defender CSP: EnableControlledFolderAccess

    Protect files and folders from unauthorized changes by unfriendly apps.

    • Not configured
    • Enable
    • Audit only
    • Block disk modification
    • Audit disk modification

    When you select a configuration other than Not configured, you can then configure:

    • List of apps that have access to protected folders
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Import a .csv file that contains an app list.
      • Add apps to this list manually.

    • List of additional folders that need to be protected
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Import a .csv file that contains a folder list.
      • Add folders to this list manually.

Network filtering

Block outbound connections from any app to IP addresses or domains with low reputations. Network filtering is supported in both Audit and Block mode.

  • Network protection
    Default: Not configured
    Defender CSP: EnableNetworkProtection

    The intent of this setting is to protect end users from apps with access to phishing scams, exploit-hosting sites, and malicious content on the Internet. It also prevents third-party browsers from connecting to dangerous sites.

    • Not configured — Disable this feature. Users and apps aren’t blocked from connecting to dangerous domains. Administrators can’t see this activity in Microsoft Defender Security Center.
    • Enable — Turn on network protection, and block users and apps from connecting to dangerous domains. Administrators can see this activity in Microsoft Defender Security Center.
    • Audit only: — Users and apps aren’t blocked from connecting to dangerous domains. Administrators can see this activity in Microsoft Defender Security Center.

Exploit protection

  • Upload XML
    Default: Not configured

    To use exploit protection to protect devices from exploits, create an XML file that includes the system and application mitigation settings you want. There are two methods to create the XML file:

    • PowerShell — Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets. The cmdlets configure mitigation settings, and export an XML representation of them.

    • Microsoft Defender Security Center UI — In the Microsoft Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. First, use the System settings and Program settings tabs to configure mitigation settings. Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

  • User editing of the exploit protection interface
    Default: Not configured
    ExploitGuard CSP: ExploitProtectionSettings

    • Block — Upload an XML file that allows you to configure memory, control flow, and policy restrictions. The settings in the XML file can be used to block an application from exploits.
    • Not configured — No custom configuration is used.

Microsoft Defender Application Control

Choose additional apps that either need to be audited by, or can be trusted to run by Microsoft Defender Application Control. Windows components and all apps from Windows store are automatically trusted to run.

  • Application control code integrity policies
    Default: Not configured
    CSP: AppLocker CSP

    • Enforce — Choose the application control code integrity policies for your users’ devices.

      After being enabled on a device, Application Control can only be disabled by changing the mode from Enforce to Audit only. Changing the mode from Enforce to Not Configured results in Application Control continuing to be enforced on assigned devices.

    • Not Configured — Application Control is not added to devices. However, settings that were previously added continue to be enforced on assigned devices.

    • Audit only — Applications aren’t blocked. All events are logged in the local client’s logs.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protects against credential theft attacks. It isolates secrets so that only privileged system software can access them.

  • Credential Guard
    Default: Disable
    DeviceGuard CSP

    • Disable — Turn off Credential Guard remotely, if it was previously turned on with the Enabled without UEFI lock option.​

    • Enable with UEFI lock — Credential Guard can’t be disabled remotely by using a registry key or group policy.

      [!NOTE]
      If you use this setting, and then later want to disable Credential Guard, you must set the Group Policy to Disabled. And, physically clear the UEFI configuration information from each computer. As long as the UEFI configuration persists, Credential Guard is enabled.​

    • Enable without UEFI lock — Allows Credential Guard to be disabled remotely by using Group Policy. The devices that use this setting must be running Windows 10 version 1511 and newer.​

    When you enable Credential Guard, the following required features are also enabled:

    • Virtualization-based Security (VBS)
      Turns on during the next reboot. Virtualization-based security uses the Windows Hypervisor to provide support for security services.
    • Secure Boot with Directory Memory Access
      Turns on VBS with Secure Boot and direct memory access (DMA) protections. DMA protections require hardware support, and are only enabled on correctly configured devices.

Microsoft Defender Security Center

Microsoft Defender Security Center operates as a separate app or process from each of the individual features. It displays notifications through the Action Center. It acts as a collector or single place to see the status and run some configuration for each of the features. Find out more in the Microsoft Defender docs.

Microsoft Defender Security Center app and notifications

Block end-user access to the various areas of the Microsoft Defender Security Center app. Hiding a section also blocks related notifications.

  • Virus and threat protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configure if end users can view the Virus and threat protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Virus and threat protection.

    • Not configured
    • Hide

  • Ransomware protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configure if end users can view the Ransomware protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Ransomware protection.

    • Not configured
    • Hide

  • Account protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configure if end users can view the Account protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Account protection.

    • Not configured
    • Hide

  • Firewall and network protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configure if end users can view the Firewall and network protection area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to Firewall and network protection.

    • Not configured
    • Hide

  • App and browser Control
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configure if end users can view the App and browser control area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to App and browser control.

    • Not configured
    • Hide

  • Hardware protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configure if end users can view the Hardware protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Hardware protection.

    • Not configured
    • Hide

  • Device performance and health
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configure if end users can view the Device performance and health area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to Device performance and health.

    • Not configured
    • Hide

  • Family options
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configure if end users can view the Family options area in the Microsoft Defender Security center. Hiding this section will also block all notifications-related to Family options.

    • Not configured
    • Hide

  • Notifications from the displayed areas of app
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Choose which notifications to display to end users. Non-critical notifications include summaries of Microsoft Defender Antivirus activity, including notifications when scans have completed. All other notifications are considered critical.

    • Not configured
    • Block non-critical notifications
    • Block all notifications

  • Windows Security Center icon in the system tray
    Default: Not configured

    Configure the display of the notification area control. The user needs to either sign out and sign in or reboot the computer for this setting to take effect.

    • Not configured
    • Hide

  • Clear TPM button
    Default: Not configured

    Configure the display of the Clear TPM button.

    • Not configured
    • Disable

  • TPM firmware update warning
    Default: Not configured

    Configure the display of update TPM Firmware when a vulnerable firmware is detected.

    • Not configured
    • Hide

  • Tamper Protection
    Default: Not configured

    Turn Tamper Protection on or off on devices. To use Tamper Protection, you must integrate Microsoft Defender Advanced Threat Protection with Intune, and have Enterprise Mobility + Security E5 Licenses.

    • Not configured — No change is made to device settings.
    • Enabled — Tamper Protection is turned on and restrictions are enforced on devices.
    • Disabled — Tamper Protection is turned off and restrictions are not enforced.

IT contact Information

Provide IT contact information to appear in the Microsoft Defender Security Center app and the app notifications.

You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don’t display. Enter the IT organization name, and at least one of the following contact options:

  • IT contact information
    Default: Don’t display
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configure where to display IT contact information to end users.

    • Display in app and in notifications
    • Display only in app
    • Display only in notifications
    • Don’t display

    When configured to display, you can configure the following settings:

    • IT organization name​
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT department phone number or Skype ID
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: Phone

    • IT department email address
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: Email

    • IT support website URL
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: URL

Local device security options

Use these options to configure the local security settings on Windows 10 devices.

Accounts

  • Add new Microsoft accounts
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • Block Prevent users from adding new Microsoft accounts to the device.
    • Not configured — Users can use Microsoft accounts on the device.

  • Remote log on without password
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Block — Allow only local accounts with blank passwords to sign in using the device’s keyboard.
    • Not configured — Allow local accounts with blank passwords to sign in from locations other than the physical device.

Admin

  • Local admin account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Block Prevent use of a local admin account.
    • Not configured

  • Rename admin account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

    Define a different account name to be associated with the security identifier (SID) for the account “Administrator”.

Guest

  • Guest account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Block — Prevent use of a Guest account.
    • Not configured

  • Rename guest account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Define a different account name to be associated with the security identifier (SID) for the account “Guest”.

Devices

  • Undock device without logon
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • Block — Users can press a docked portable device’s physical eject button to safely undock the device.
    • Not configured — A user must sign in to the device, and receive permission to undock the device.

  • Install printer drivers for shared printers
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Enabled — Any user can install a printer driver as part of connecting to a shared printer.
    • Not configured — Only Administrators can install a printer driver as part of connecting to a shared printer.

  • Restrict CD-ROM access to local active user
    Default: Not configured
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Enabled — Only the interactively logged-on user can use the CD-ROM media. If this policy is enabled, and no one is logged on interactively, then the CD-ROM is accessed over the network.
    • Not configured — Anyone has access to the CD-ROM.

  • Format and eject removable media
    Default: Administrators
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Define who is allowed to format and eject removable NTFS media:

    • Not configured
    • Administrators
    • Administrators and Power Users
    • Administrators and Interactive Users

Interactive Logon

  • Minutes of lock screen inactivity until screen saver activates
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    Enter the maximum minutes of inactivity on the interactive desktop’s sign-in screen until the screen saver starts. (099999)

  • Require CTRL+ALT+DEL to log on
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Enable — Pressing CTRL+ALT+DEL isn’t required for users to sign in.
    • Not configured Require users to press CTRL+ALT+DEL before logging on to Windows.

  • Smart card removal behavior
    Default: Lock workstation
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determines what happens when the smart card for a logged-on user is removed from the smart card reader. Your options:

    • Lock Workstation — The workstation is locked when the smart card is removed. This option allows users to leave the area, take their smart card with them, and still maintain a protected session.​
    • No action
    • Force Logoff — The user is automatically logged off when the smart card is removed.
    • Disconnect if a Remote Desktop Services session — Removal of the smart card disconnects the session without logging off the user. This option allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to sign in again. If the session is local, this policy functions identically to Lock Workstation.

Display

  • User information on lock screen
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure the user information that is displayed when the session is locked. If not configured, user display name, domain, and username are shown.

    • Not configured
    • User display name, domain, and user name
    • User display name only
    • Do not display user information

  • Hide last signed-in user
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Enable — Hide the username.
    • Not configured — Show the last username.

  • Hide username at sign-in
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Enable — Hide the username.
    • Not configured — Show the last username.

  • Logon message title
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Set the message title for users signing in.

  • Logon message text
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Set the message text for users signing in.

Network access and security

  • Anonymous access to Named Pipes and Shares
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Not configured — Restrict anonymous access to share and Named Pipe settings. Applies to the settings that can be accessed anonymously.
    • Block — Disable this policy, making anonymous access available.

  • Anonymous enumeration of SAM accounts
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Not configured — Anonymous users can enumerate SAM accounts.
    • Block — Prevent anonymous enumeration of SAM accounts.

  • Anonymous enumeration of SAM accounts and shares
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Not configured — Anonymous users can enumerate the names of domain accounts and network shares.
    • Block — Prevent anonymous enumeration of SAM accounts and shares.

  • LAN Manager hash value stored on password change
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine if the hash value for passwords is stored the next time the password is changed.

    • Not configured — The hash value isn’t stored
    • Block — The LAN Manager (LM) stores the hash value for the new password.

  • PKU2U authentication requests
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Not configured— Allow PU2U requests.
    • Block — Block PKU2U authentication requests to the device.

  • Restrict remote RPC connections to SAM
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Not configured — Use the default security descriptor, which may allow users and groups to make remote RPC calls to the SAM.

    • Allow — Deny users and groups from making remote RPC calls to the Security Accounts Manager (SAM), which stores user accounts and passwords. Allow also lets you change the default Security Descriptor Definition Language (SDDL) string to explicitly allow or deny users and groups to make these remote calls.

      • Security descriptor
        Default: Not configured

  • Minimum Session Security For NTLM SSP Based Clients
    Default: None
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security.

    • None
    • Require NTLMv2 session security
    • Require 128-bit encryption
    • NTLMv2 and 128-bit encryption

  • Minimum Session Security For NTLM SSP Based Server
    Default: None
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    This security setting determines which challenge/response authentication protocol is used for network logons.

    • None
    • Require NTLMv2 session security
    • Require 128-bit encryption
    • NTLMv2 and 128-bit encryption

  • LAN Manager Authentication Level
    Default: LM and NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM and NTLM
    • LM, NTLM and NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 and not LM
    • NTLMv2 and not LM or NTLM

  • Insecure Guest Logons
    Default: Not configured
    LanmanWorkstation CSP: LanmanWorkstation

    If you enable this setting, the SMB client will reject insecure guest logons.

    • Not configured
    • Block — The SMB client rejects insecure guest logons.

Recovery console and shutdown

  • Clear virtual memory pagefile when shutting down
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • Enable — Clear the virtual memory pagefile when the device is powered down.
    • Not configured — Doesn’t clear the virtual memory.

  • Shut down without log on
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Block — Hide the shutdown option on the Windows sign in screen. Users must sign in to the device, and then shut down.
    • Not configured — Allow users to shut down the device from the Windows sign in screen.

User account control

  • UIA integrity without secure location
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Block — Apps that are in a secure location in the file system will run only with UIAccess integrity.
    • Not configured — Enables apps to run with UIAccess integrity, even if the apps aren’t in a secure location in the file system.

  • Virtualize file and registry write failures to per-user locations
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Enabled — Applications that write data to protected locations fail.
    • Not configured — Application write failures are redirected at run time to defined user locations for the file system and registry.

  • Only elevate executable files that are signed and validated
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Enabled — Enforce the PKI certification path validation for an executable file before it can run.
    • Not configured — Don’t enforce PKI certification path validation before an executable file can run.

UIA elevation prompt behavior​

  • Elevation prompt for admins
    Default: Prompt for consent for non-Windows binaries
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Define the behavior of the elevation prompt for admins in Admin Approval Mode.

    • Not configured
    • Elevate without prompting
    • Prompt for credentials on the secure desktop
    • Prompt for credentials
    • Prompt for consent
    • Prompt for consent for non-Windows binaries

  • Elevation prompt for standard users
    Default: Prompt for credentials
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Define the behavior of the elevation prompt for standard users.

    • Not configured
    • Automatically deny elevation requests
    • Prompt for credentials on the secure desktop
    • Prompt for credentials

  • Route elevation prompts to user’s interactive desktop
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Enabled — All elevation requests to go to the interactive user’s desktop rather than the secure desktop. Any prompt behavior policy settings for administrators and standard users are used.
    • Not configured — Force all elevation requests go to the secure desktop, regardless of any prompt behavior policy settings for administrators and standard users.

  • Elevated prompt for app installations
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Enabled — Application installation packages aren’t detected or prompted for elevation.
    • Not configured — Users are prompted for an administrative user name and password when an application installation package requires elevated privileges.

  • UIA elevation prompt without secure desktop
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Enable — Allow UIAccess apps to prompt for elevation, without using the secure desktop.

  • Not configured — Elevation prompts use a secure desktop.

Admin Approval Mode

  • Admin Approval Mode For Built-in Administrator
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • Enabled — Allow the built-in Administrator account to use Admin Approval Mode. Any operation that requires elevation of privilege prompts the user to approve the operation.
    • Not configured — runs all apps with full admin privileges.

  • Run all admins in Admin Approval Mode
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Enabled— Enable Admin Approval Mode.
    • Not configured — Disable Admin Approval Mode and all related UAC policy settings.

Microsoft Network Client

  • Digitally sign communications (if server agrees)
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determines if the SMB client negotiates SMB packet signing.

    • Block — The SMB client never negotiates SMB packet signing.
    • Not configured — The Microsoft network client asks the server to run SMB packet signing upon session setup. If packet signing is enabled on the server, packet signing is negotiated.

  • Send unencrypted password to third-party SMB servers
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Block — The Server Message Block (SMB) redirector can send plaintext passwords to non-Microsoft SMB servers that don’t support password encryption during authentication.
    • Not configured — Block sending of plaintext passwords. The passwords are encrypted.

  • Digitally sign communications (always)
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Enable — The Microsoft network client doesn’t communicate with a Microsoft network server unless that server agrees to SMB packet signing.
    • Not configured — SMB packet signing is negotiated between the client and server.

Microsoft Network Server

  • Digitally sign communications (if client agrees)
    Default: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Enable — The Microsoft network server negotiates SMB packet signing as requested by the client. That is, if packet signing is enabled on the client, packet signing is negotiated.
    • Not configured — The SMB client never negotiates SMB packet signing.

  • Digitally sign communications (always)
    Default: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Enable — The Microsoft network server doesn’t communicate with a Microsoft network client unless that client agrees to SMB packet signing.
    • Not configured — SMB packet signing is negotiated between the client and server.

Xbox services

  • Xbox Game Save Task
    Default: Not configured
    CSP: TaskScheduler/EnableXboxGameSaveTask

    This setting determines whether the Xbox Game Save Task is Enabled or Disabled.

    • Enabled
    • Not configured

  • Xbox Accessory Management Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

    This setting determines the Accessory Management Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Auth Manager Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

    This setting determines the Live Auth Manager Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Game Save Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

    This setting determines the Live Game Save Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Networking Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

    This setting determines the Networking Service’s start type.

    • Manual
    • Automatic
    • Disabled

User Rights

  • Access Credential Manager as trusted caller
    Default: Not configured
    CSP: UserRights/AccessCredentialManagerAsTrustedCaller

    This user right is used by Credential Manager during Backup and Restore operations. Users’ saved credentials might be compromised if this privilege is given to other entities.

    • Not configured
    • Allow

  • Allow local log on
    Default: Not configured
    CSP: UserRights/AllowLocalLogOn

    This user right determines which users can log on to the computer.

    • Not configured
    • Allow

  • Allow Access From Network
    Default: Not configured
    CSP: UserRights/AccessFromNetwork

    This user right determines which users and groups are allowed to connect to the computer over the network.

    • Not configured
    • Allow

  • Act As Part Of The OS
    Default: Not configured
    CSP: UserRights/ActAsPartOfTheOperatingSystem

    Act As Part Of The OS

    • Not configured
    • Allow

  • Backup files and directories
    Default: Not configured
    CSP: UserRights/BackupFilesAndDirectories

    This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when backing up files and directories.

    • Not configured
    • Allow

  • Change the system time
    Default: Not configured
    CSP: UserRights/ChangeSystemTime

    This user right determines which users and groups can change the time and date on the internal clock of the computer.

    • Not configured
    • Allow

  • Create global objects
    Default: Not configured
    CSP: UserRights/CreateGlobalObjects

    This security setting determines whether users can create global objects that are available to all sessions. Users who can create global objects could affect processes that run under other users’ sessions, which could lead to application failure or data corruption.

    • Not configured
    • Allow

  • Create pagefile
    Default: Not configured
    CSP: UserRights/CreatePageFile

    This user right determines which users and groups can call an internal API to create and change the size of a page file.

    • Not configured
    • Allow

  • Create permanent shared objects
    Default: Not configured
    CSP: UserRights/CreatePermanentSharedObjects

    This user right determines which accounts can be used by processes to create a directory object using the object manager.

    • Not configured
    • Allow

  • Create symbolic links
    Default: Not configured
    CSP: UserRights/CreateSymbolicLinks

    This user right determines if the user can create a symbolic link from the computer to which they are logged on.

    • Not configured
    • Allow

  • Create tokens
    Default: Not configured
    CSP: UserRights/CreateToken

    This user right determines which users/groups can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal API to create an access token.

    • Not configured
    • Allow

  • Debug programs
    Default: Not configured
    CSP: UserRights/DebugPrograms

    This user right determines which users can attach a debugger to any process or to the kernel.

    • Not configured
    • Allow

  • Deny Access From Network
    Default: Not configured
    CSP: UserRights/DenyAccessFromNetwork

    This user right determines which users are prevented from accessing a computer over the network.

    • Not configured
    • Allow

  • Deny log on as a service
    Default: Not configured
    CSP: UserRights/DenyLocalLogOn

    This security setting determines which service accounts are prevented from registering a process as a service.

    • Not configured
    • Allow

  • Deny log on through Remote Desktop Services
    Default: Not configured
    CSP: UserRights/DenyRemoteDesktopServicesLogOn

    This user right determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

    • Not configured
    • Allow

  • Enable delegation
    Default: Not configured
    CSP: UserRights/EnableDelegation

This user right determines which users can set the Trusted for Delegation setting on a user or computer object.

  • Not configured

  • Allow

  • Generate security audits
    Default: Not configured
    CSP: UserRights/GenerateSecurityAudits

    This user right determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access.

    • Not configured
    • Allow

  • Impersonate a client
    Default: Not configured
    CSP: UserRights/ImpersonateClient

    Assigning this user right to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect to a service that they have created and then impersonating that client, which can elevate the unauthorized user’s permissions to administrative or system levels.

    • Not configured
    • Allow

  • Increase scheduling priority
    Default: Not configured
    CSP: UserRights/IncreaseSchedulingPriority

    This user right determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process.

    • Not configured
    • Allow

  • Load and unload device drivers
    Default: Not configured
    CSP: UserRights/LoadUnloadDeviceDrivers

    This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode.

    • Not configured
    • Allow

  • Lock pages in memory
    Default: Not configured
    CSP: UserRights/LockMemory

    This user right determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk.

    • Not configured
    • Allow

  • Manage auditing and security log
    Default: Not configured
    CSP: UserRights/ManageAuditingAndSecurityLog

    This user right determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

    • Not configured
    • Allow

  • Perform volume maintenance tasks
    Default: Not configured
    CSP: UserRights/ManageVolume

    This user right determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

    • Not configured
    • Allow

  • Modify firmware environment values
    Default: Not configured
    CSP: UserRights/ModifyFirmwareEnvironment

    This user right determines who can modify firmware environment values.

    • Not configured
    • Allow

  • Modify an object label
    Default: Not configured
    CSP: UserRights/ModifyObjectLabel

    This user right determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users.

    • Not configured
    • Allow

  • Profile single process
    Default: Not configured
    CSP: UserRights/ProfileSingleProcess

    This user right determines which users can use performance monitoring tools to monitor the performance of system processes.

    • Not configured
    • Allow

  • Remote shutdown
    Default: Not configured
    CSP: UserRights/RemoteShutdown

    This user right determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

    • Not configured
    • Allow

  • Restore files and directories
    Default: Not configured
    CSP: UserRights/RestoreFilesAndDirectories

    This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

    • Not configured
    • Allow

  • Take ownership of files or objects
    Default: Not configured
    CSP: UserRights/TakeOwnership

    This user right determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

    • Not configured
    • Allow

Next steps

The profile is created, but it’s not doing anything yet. Next, assign the profile, and monitor its status.

Configure endpoint protections settings on macOS devices.

Источник
title description keywords author ms.author manager ms.date ms.topic ms.service ms.subservice ms.localizationpriority ms.technology ms.assetid ms.reviewer ms.suite search.appverid ms.custom ms.collection

Protection settings for Windows 10 devices in Microsoft Intune — Azure | Microsoft Docs

On Windows 10 devices, use or configure endpoint protection settings to enable Microsoft Defender features, including Application Guard, Firewall, SmartScreen, encryption and BitLocker, Exploit Guard, Application Control, Security Center, and security on local devices in Microsoft Intune.

brenduns

brenduns

dougeby

03/03/2020

reference

microsoft-intune

protect

medium

3af7c91b-8292-4c7e-8d25-8834fcf3517a

mattsha

ems

MET150

intune-azure; seodec18

M365-identity-device-management

Windows 10 (and later) settings to protect devices using Intune

Microsoft Intune includes many settings to help protect your devices. This article describes all the settings you can enable and configure in Windows 10 and newer devices. These settings are created in an endpoint protection configuration profile in Intune to control security, including BitLocker and Microsoft Defender.

To configure Microsoft Defender Antivirus, see Windows 10 device restrictions.

Before you begin

Create an endpoint protection device configuration profile.

For more information about configuration service providers (CSPs), see Configuration service provider reference.

Microsoft Defender Application Guard

While using Microsoft Edge, Microsoft Defender Application Guard protects your environment from sites that aren’t trusted by your organization. When users visit sites that aren’t listed in your isolated network boundary, the sites open in a Hyper-V virtual browsing session. Trusted sites are defined by a network boundary, which are configured in Device Configuration.

Application Guard is only available for Windows 10 (64-bit) devices. Using this profile installs a Win32 component to activate Application Guard.

  • Application Guard
    Default: Not configured
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Enabled for Edge — Turns on this feature, which opens untrusted sites in a Hyper-V virtualized browsing container.
    • Not configured — Any site (trusted and untrusted) can open on the device.

  • Clipboard behavior
    Default: Not configured
    Application Guard CSP: Settings/ClipboardSettings

    Choose what copy and paste actions are allowed between the local PC and the Application Guard virtual browser.

    • Not configured
    • Allow copy and paste from PC to browser only
    • Allow copy and paste from browser to PC only
    • Allow copy and paste between PC and browser
    • Block copy and paste between PC and browser

  • Clipboard content
    This setting is available only when Clipboard behavior is set to one of the allow settings.
    Default: Not configured
    Application Guard CSP: Settings/ClipboardFileType

    Select the allowed clipboard content.

    • Not configured
    • Text
    • Images
    • Text and images

  • External content on enterprise sites
    Default: Not configured
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • Block — Block content from unapproved websites from loading.
    • Not configured — Non-enterprise sites can open on the device.

  • Print from virtual browser
    Default: Not configured
    Application Guard CSP: Settings/PrintingSettings

    • Allow — Allows the printing of selected content from the virtual browser.
    • Not configured Disable all print features.

    When you Allow printing, you then can configure the following setting:

    • Printing type(s)
      Select one or more of the following options:

      • PDF
      • XPS
      • Local printers
      • Network printers

  • Collect logs
    Default: Not configured
    Application Guard CSP: Audit/AuditApplicationGuard

    • Allow — Collect logs for events that occur within an Application Guard browsing session.
    • Not configured — Don’t collect any logs within the browsing session.

  • Retain user-generated browser data
    Default: Not configured
    Application Guard CSP: Settings/AllowPersistence

    • Allow Save user data (such as passwords, favorites, and cookies) that’s created during an Application Guard virtual browsing session.
    • Not configured Discard user-downloaded files and data when the device restarts, or when a user signs out.

  • Graphics acceleration
    Default: Not configured
    Application Guard CSP: Settings/AllowVirtualGPU

    • Enable — Load graphic-intensive websites and video faster by getting access to a virtual graphics processing unit.
    • Not configured Use the device’s CPU for graphics; Don’t use the virtual graphics processing unit.

  • Download files to host file system
    Default: Not configured
    Application Guard CSP: Settings/SaveFilesToHost

    • Enable — Users can download files from the virtualized browser onto the host operating system.
    • Not configured — Keeps the files local on the device, and doesn’t download files to the host file system.

Microsoft Defender Firewall

Global settings

These settings are applicable to all network types.

  • File Transfer Protocol
    Default: Not configured
    Firewall CSP: MdmStore/Global/DisableStatefulFtp

    • Block — Disable stateful FTP.
    • Not configured — The firewall does stateful FTP filtering to allow secondary connections.

  • Security association idle time before deletion
    Default: Not configured
    Firewall CSP: MdmStore/Global/SaIdleTime

    Specify an idle time in seconds, after which security associations are deleted.

  • Pre-shared key encoding
    Default: Not configured
    Firewall CSP: MdmStore/Global/PresharedKeyEncoding

    • Enable — Encode presheared keys using UTF-8.
    • Not configured — Encode presheared keys using the local store value.

  • IPsec exemptions
    Default: 0 selected
    Firewall CSP: MdmStore/Global/IPsecExempt

    Select one or more of the following types of traffic to be exempt from IPsec:

    • Neighbor discover IPv6 ICMP type-codes
    • ICMP
    • Router discover IPv6 ICMP type-codes
    • Both IPv4 and IPv6 DHCP network traffic

  • Certificate revocation list verification
    Default: Not configured
    Firewall CSP: MdmStore/Global/CRLcheck

    Choose how the device verifies the certificate revocation list. Options include:

    • Disable CRL verification
    • Fail CRL verification on revoked certificate only
    • Fail CRL verification on any error encountered.

  • Opportunistically match authentication set per keying module
    Default: Not configured
    Firewall CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Enable Keying modules must ignore only the authentication suites that they don’t support.
    • Not configured, Keying modules must ignore the entire authentication set if they don’t support all of the authentication suites specified in the set.

  • Packet queuing
    Default: Not configured
    Firewall CSP: MdmStore/Global/EnablePacketQueue

    Specify how software scaling on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. This setting confirms the packet order is preserved. Options include:

    • Not configured
    • Disable all packet queuing
    • Queue inbound encrypted packets only
    • Queue packets after decryption is performed for forwarding only
    • Configure both inbound and outbound packets

Network settings

The following settings are each listed in this article a single time, but all apply to the three specific network types:

  • Domain (workplace) network
  • Private (discoverable) network
  • Public (non-discoverable) network

General settings

  • Microsoft Defender Firewall
    Default: Not configured
    Firewall CSP: EnableFirewall

    • Enable — Turn on the firewall, and advanced security.
    • Not configured Allows all network traffic, regardless of any other policy settings.

  • Stealth mode
    Default: Not configured
    Firewall CSP: DisableStealthMode

    • Not configured
    • Block — Firewall is blocked from operating in stealth mode. Blocking stealth mode allows you to also block IPsec secured packet exemption.
    • Allow — The firewall operates in stealth mode, which helps prevent responses to probing requests.

  • IPsec secured packet exemption with Stealth Mode
    Default: Not configured
    Firewall CSP: DisableStealthModeIpsecSecuredPacketExemption

    This option is ignored if Stealth mode is set to Block.

    • Not configured
    • Block — IPSec secured packets do not receive exemptions.
    • Allow — Enable exemptions. The firewall’s stealth mode MUST NOT prevent the host computer from responding to unsolicited network traffic that is secured by IPsec.

  • Shielded
    Default: Not configured
    Firewall CSP: Shielded

    • Not configured
    • Block — When the Microsoft Defender Firewall is on and this setting is set to Block, all incoming traffic is blocked, regardless of other policy settings.
    • Allow — When set to Allow, this setting is turned off — and incoming traffic is allowed based on other policy settings.

  • Unicast responses to multicast broadcasts
    Default: Not configured
    Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

    Typically, you don’t want to receive unicast responses to multicast or broadcast messages. These responses can indicate a denial of service (DOS) attack, or an attacker trying to probe a known live computer.

    • Not configured
    • Block — Disable unicast responses to multicast broadcasts.
    • Allow — Allow unicast responses to multicast broadcasts.

  • Inbound notifications
    Default: Not configured
    Firewall CSP: DisableInboundNotifications

    • Not configured
    • Block — Hide notifications to uses when an app is blocked from listening on a port.
    • Allow — Enables this setting, and may show a notification to users when an app is blocked from listening on a port.

  • Default action for outbound connections
    Default: Not configured
    Firewall CSP: DefaultOutboundAction

    Configure the default action firewall performs on outbound connections. This setting will get applied to Windows version 1809 and above.

    • Not configured
    • Block — The default firewall action isn’t run on outbound traffic unless it’s explicitly specified not to block.
    • Allow — Default firewall actions run on outbound connections.

  • Default action for inbound connections
    Default: Not configured
    Firewall CSP: DefaultInboundAction

    • Not configured
    • Block — The default firewall action isn’t run on inbound connections.
    • Allow — Default firewall actions run on inbound connections.

Rule merging

  • Authorized application Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: AuthAppsAllowUserPrefMerge

    • Not configured
    • Block — The authorized application firewall rules in the local store are ignored and not enforced.
    • Allow
      Choose Enable Applies firewall rules in the local store so they’re recognized and enforced.

  • Global port Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: GlobalPortsAllowUserPrefMerge

    • Not configured
    • Block — The global port firewall rules in the local store are ignored and not enforced.
    • Allow — Apply global port firewall rules in the local store to be recognized and enforced.

  • Microsoft Defender Firewall rules from the local store
    Default: Not configured
    Firewall CSP: AllowLocalPolicyMerge

    • Not configured
    • Block — Firewall rules from the local store are ignored and not enforced.
    • Allow — Apply firewall rules in the local store to be recognized and enforced.

  • IPsec rules from the local store
    Default: Not configured
    Firewall CSP: AllowLocalIpsecPolicyMerge

    • Not configured
    • Block — The connection security rules from the local store are ignored and not enforced, regardless of the schema version and connection security rule version.
    • Allow — Apply connection security rules from the local store, regardless of schema or connection security rule versions.

Firewall rules

You can Add one or more custom Firewall rules. For more information, see Add custom firewall rules for Windows 10 devices.

Custom Firewall rules support the following options:

General settings:

  • Name
    Default: No name

    Specify a friendly name for your rule. This name will appear in the list of rules to help you identify it.

  • Description
    Default: No description

    Provide a description of the rule.

  • Direction
    Default: Not configured
    Firewall CSP: FirewallRules/FirewallRuleName/Direction

    Specify if this rule applies to Inbound, or Outbound traffic. When set as Not configured, the rule automatically applies to Outbound traffic.

  • Action
    Default: Not configured
    Firewall CSP: FirewallRules/FirewallRuleName/Action, and FirewallRules/FirewallRuleName/Action/Type

    Select from Allow or Block. When set as Not configured, the rule defaults to allow traffic.

  • Network type
    Default: 0 selected
    Firewall CSP: FirewallRules/FirewallRuleName/Profiles

    Select up to three types of network types to which this rule belongs. Options include Domain, Private, and Public. If no network types are selected, the rule applies to all three network types.

Application settings

  • Application(s)
    Default: All

    Control connections for an app or program. Select one of the following options, and then complete the additional configuration:

    • Package family name – Specify a package family name. To find the package family name, use the PowerShell command Get-AppxPackage.
      Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • File path – You must specify a file path to an app on the client device, which can be an absolute path, or a relative path. For example: C:WindowsSystemNotepad.exe or %WINDIR%Notepad.exe.
      Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows service – Specify the Windows service short name if it’s a service and not an application that sends or receives traffic. To find the service short name, use the PowerShell command Get-Service.
      Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • AllNo additional configuration is available.

IP address settings

Specify the local and remote addresses to which this rule applies.

  • Local addresses
    Default: Any address
    Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Select Any address or Specified address.

    When you use Specified address, you add one or more addresses as a comma-separated list of local addresses that are covered by the rule. Valid tokens include:

    • Use an asterisk “*” for any local address. If you use an asterisk, it must be the only token you use.
    • To specify a subnet use either the subnet mask or network prefix notation. If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • A valid IPv6 address.
    • An IPv4 address range in the format of «start address — end address» with no spaces included.
    • An IPv6 address range in the format of «start address — end address» with no spaces included.

  • Remote addresses
    Default: Any address
    Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Select Any address or Specified address.

    When you use Specified address, you add one or more addresses as a comma-separated list of remote addresses that are covered by the rule. Tokens aren’t case-sensitive. Valid tokens include:

    • Use an asterisk “*” for any remote address. If you use an asterisk, it must be the only token you use.
    • «Defaultgateway»
    • «DHCP»
    • «DNS»
    • «WINS»
    • «Intranet» (supported on Windows versions 1809 and later)
    • «RmtIntranet» (supported on Windows versions 1809 and later)
    • «Internet» (supported on Windows versions 1809 and later)
    • «Ply2Renders» (supported on Windows versions 1809 and later)
    • «LocalSubnet» indicates any local address on the local subnet.
    • To specify a subnet use either the subnet mask or network prefix notation. If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • A valid IPv6 address.
    • An IPv4 address range in the format of «start address — end address» with no spaces included.
    • An IPv6 address range in the format of «start address — end address» with no spaces included.

Port and protocol settings

Specify the local and remote ports to which this rule applies.

  • Protocol
    Default: Any
    Firewall CSP: FirewallRules/FirewallRuleName/Protocol
    Select from the following, and complete any required configurations:

    • All – No additional configuration is available.
    • TCP – Configure local and remote ports. Both options support All ports or Specified ports. Enter Specified ports by using a comma-separated list.
      • Local ports — Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
      • Remote ports — Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
    • UDP – Configure local and remote ports. Both options support All ports or Specified ports. Enter Specified ports by using a comma-separated list.
      • Local ports — Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
      • Remote ports — Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
    • Custom – Specify a custom protocol number from 0 to 255.

Advanced configuration

  • Interface types
    Default: 0 selected
    Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Select from the following options:

    • Remote access
    • Wireless
    • Local area network

  • Only allow connections from these users
    Default: All users (Defaults to all uses when no list is specified)
    Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Specify a list of authorized local users for this rule. A list of authorized users can’t be specified if this rule applies to a Windows service.

Microsoft Defender SmartScreen settings

Microsoft Edge must be installed on the device.

  • SmartScreen for apps and files
    Default: Not configured
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Not configured — Disables use of SmartScreen.
    • Enable — Enable Windows SmartScreen for file execution, and running apps. SmartScreen is a cloud-based anti-phishing and anti-malware component.

  • Unverified files execution
    Default: Not configured
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Not configured — Disables this feature, and allows end users to run files that haven’t been verified.
    • Block — Prevent end users from running files that haven’t been verified by Windows SmartScreen.

Windows Encryption

Windows Settings

  • Encrypt devices
    Default: Not configured
    BitLocker CSP: RequireDeviceEncryption

    • Require — Prompt users to enable device encryption. Depending on the Windows edition and system configuration, users may be asked:
      • To confirm that encryption from another provider isn’t enabled.
      • Be required to turn off BitLocker Drive Encryption, and then turn BitLocker back on.
    • Not configured

    If Windows encryption is turned on while another encryption method is active, the device might become unstable.

  • Encrypt storage card (mobile only)
    This setting only applies to Windows 10 mobile.
    Default: Not configured
    BitLocker CSP: RequireStorageCardEncryption

    • Require to encrypt any removable storage cards used by the device.
    • Not configured — Don’t require storage card encryption, and don’t prompt the user to turn it on.

BitLocker base settings

Base settings are universal BitLocker settings for all types of data drives. These settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Warning for other disk encryption
    Default: Not configured
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Block — Disable the warning prompt if another disk encryption service is on the device.
    • Not configured — Allow the warning for other disk encryption to be shown.

    [!TIP]
    To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must be set to Block. For more information, see Silently enable BitLocker on devices.

    When set to Block, you can then configure the following setting:

    • Allow standard users to enable encryption during Azure AD Join
      This setting only applies to Azure Active Directory Joined (Azure ADJ) devices, and depends on the previous setting, Warning for other disk encryption.
      Default: Not configured
      BitLocker CSP: AllowStandardUserEncryption

      • Allow — Standard users (non-administrators) can enable BitLocker encryption when signed in.
      • Not configured only Administrators can enable BitLocker encryption on the device.

    [!TIP]
    To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must be set to Allow. For more information, see Silently enable BitLocker on devices.

  • Configure encryption methods
    Default: Not configured
    BitLocker CSP: EncryptionMethodByDriveType

    • Enable — Configure encryption algorithms for operating system, data, and removable drives.
    • Not configured — BitLocker uses XTS-AES 128 bit as the default encryption method, or uses the encryption method specified by any setup script.

    When set to Enable, you can configure the following settings:

    • Encryption for operating system drives
      Default: XTS-AES 128-bit

      Choose the encryption method for operating system drives. We recommend you use the XTS-AES algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

    • Encryption for fixed data-drives
      Default: AES-CBC 128-bit

      Choose the encryption method for fixed (built-in) data drives. We recommend you use the XTS-AES algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

    • Encryption for removable data-drives
      Default: AES-CBC 128-bit

      Choose the encryption method for removable data drives. If the removable drive is used with devices that aren’t running Windows 10, then we recommend you use the AES-CBC algorithm.

      • AES-CBC 128-bit
      • AES-CBC 256-bit
      • XTS-AES 128-bit
      • XTS-AES 256-bit

BitLocker OS drive settings

These settings apply specifically to operating system data drives.

  • Additional authentication at startup
    Default: Not configured
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Require — Configure the authentication requirements for computer startup, including the use of Trusted Platform Module (TPM).
    • Not configured — Configure only basic options on devices with a TPM.

    When set to Require, you can configure the following settings:

    • BitLocker with non-compatible TPM chip
      Default: Not configured

      • Block — Disable use of BitLocker when a device doesn’t have a compatible TPM chip.
      • Not configured — Users can use BitLocker without a compatible TPM chip. BitLocker may require a password or a startup key.

    • Compatible TPM startup
      Default: Allow TPM

      Configure if TPM is allowed, required, or not allowed.

      • Allow TPM
      • Do not allow TPM
      • Require TPM

    • Compatible TPM startup PIN
      Default: Allow startup PIN with TPM

      Choose to allow, not allow, or require using a startup PIN with the TPM chip. Enabling a startup PIN requires interaction from the end user.

      • Allow startup PIN with TPM
      • Do not allow startup PIN with TPM
      • Require startup PIN with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup PIN with TPM. For more information, see Silently enable BitLocker on devices.

    • Compatible TPM startup key
      Default: Allow startup key with TPM

      Choose to allow, not allow, or require using a startup key with the TPM chip. Enabling a startup key requires interaction from the end user.

      • Allow startup key with TPM
      • Do not allow startup key with TPM
      • Require startup key with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup key with TPM. For more information, see Silently enable BitLocker on devices.

    • Compatible TPM startup key and PIN
      Default: Allow startup key and PIN with TPM

      Choose to allow, not allow, or require using a startup key and PIN with the TPM chip. Enabling startup key and PIN requires interaction from the end user.

      • Allow startup key and PIN with TPM
      • Do not allow startup key and PIN with TPM
      • Require startup key and PIN with TPM

      [!TIP]
      To install BitLocker automatically and silently on a device that’s Azure AD joined and runs Windows 1809 or later, this setting must not be set to Require startup key and PIN with TPM. For more information, see Silently enable BitLocker on devices.

  • Minimum PIN Length
    Default: Not configured
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Enable Configure a minimum length for the TPM startup PIN.
    • Not configured — Users can configure a startup PIN of any length between 6 and 20 digits.

    When set to Enable, you can configure the following setting:

    • Minimum characters
      Default: Not configured
      BitLocker CSP: SystemDrivesMinimumPINLength

      Enter the number of characters required for the startup PIN from 420.

  • OS drive recovery
    Default: Not configured
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Enable — Control how BitLocker-protected operating system drives recover when the required start-up information isn’t available.
    • Not configured — Default recovery options are supported for BitLocker recovery. By default, a DRA is allowed, the recovery options are chosen by the user, including the recovery password and recovery key, and recovery information isn’t backed up to AD DS.

    When set to Enable, you can configure the following settings:

    • Certificate-based data recovery agent
      Default: Not configured

      • Block — Prevent use of data recovery agent with BitLocker-protected OS drives.
      • Not configured — Allow data recovery agents to be used with BitLocker-protected operating system drives.

    • User creation of recovery password
      Default: Allow 48-digit recovery password

      Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Allow 48-digit recovery password
      • Do not allow 48-digit recovery password
      • Require 48-digit recovery password

    • User creation of recovery key
      Default: Allow 256-bit recovery key

      Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Allow 256-bit recovery key
      • Do not allow 256-bit recovery key
      • Require 256-bit recovery key

    • Recovery options in the BitLocker setup wizard
      Default: Not configured

      • Block — Users can’t see and change the recovery options. When set to
      • Not configured — Users can see and change the recovery options when they turn on BitLocker.

    • Save BitLocker recovery information to Azure Active Directory
      Default: Not configured

      • Enable — Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Not configured — BitLocker recovery information isn’t stored in AAD.

    • BitLocker recovery Information stored to Azure Active Directory
      Default: Backup recovery passwords and key packages

      Configure what parts of BitLocker recovery information are stored in Azure AD. Choose from:

      • Backup recovery passwords and key packages
      • Backup recovery passwords only

    • Client-driven recovery password rotation
      Default: Key rotation enabled for Azure AD-joined devices
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Not configured
      • Key rotation disabled
      • Key rotation enabled for Azure AD-joined deices
      • Key rotation enabled for Azure AD and Hybrid-joined devices

    • Store recovery information in Azure Active Directory before enabling BitLocker
      Default: Not configured

      Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Require — Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Not configured — Users can turn on BitLocker, even if recovery information isn’t successfully stored in Azure AD.

  • Pre-boot recovery message and URL
    Default: Not configured
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Enable — Configure the message and URL that display on the pre-boot key recovery screen.
    • Not configured — Disable this feature.

    When set to Enable, you can configure the following setting:

    • Pre-boot recovery message
      Default: Use default recovery message and URL

      Configure how the pre-boot recovery message displays to users. Choose from:

      • Use default recovery message and URL
      • Use empty recovery message and URL
      • Use custom recovery message
      • Use custom recovery URL

BitLocker fixed data-drive settings

These settings apply specifically to fixed data drives.

  • Write access to fixed data-drive not protected by BitLocker
    Default: Not configured
    BitLocker CSP: FixedDrivesRequireEncryption

    • Block — Give read-only access to data drives that aren’t BitLocker-protected.
    • Not configured — By default, read and write access to data drives that aren’t encrypted.

  • Fixed drive recovery
    Default: Not configured
    BitLocker CSP: FixedDrivesRecoveryOptions

    • Enable — Control how BitLocker-protected fixed drives recover when the required start-up information isn’t available.
    • Not configured — Disable this feature.

    When set to Enable, you can configure the following settings:

    • Data recovery agent
      Default: Not configured

      • Block — Prevent use of the data recovery agent with BitLocker-protected fixed drives Policy Editor.
      • Not configured — Enables use of data recovery agents with BitLocker-protected fixed drives.

    • User creation of recovery password
      Default: Allow 48-digit recovery password

      Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Allow 48-digit recovery password
      • Do not allow 48-digit recovery password
      • Require 48-digit recovery password

    • User creation of recovery key
      Default: Allow 256-bit recovery key

      Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Allow 256-bit recovery key
      • Do not allow 256-bit recovery key
      • Require 256-bit recovery key

    • Recovery options in the BitLocker setup wizard
      Default: Not configured

      • Block — Users can’t see and change the recovery options. When set to
      • Not configured — Users can see and change the recovery options when they turn on BitLocker.

    • Save BitLocker recovery information to Azure Active Directory
      Default: Not configured

      • Enable — Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Not configured — BitLocker recovery information isn’t stored in AAD.

    • BitLocker recovery Information stored to Azure Active Directory
      Default: Backup recovery passwords and key packages

      Configure what parts of BitLocker recovery information are stored in Azure AD. Choose from:

      • Backup recovery passwords and key packages
      • Backup recovery passwords only

    • Client-driven recovery password rotation
      Default: Key rotation enabled for Azure AD-joined devices
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Not configured
      • Key rotation disabled
      • Key rotation enabled for Azure AD-joined deices
      • Key rotation enabled for Azure AD and Hybrid-joined devices

    • Store recovery information in Azure Active Directory before enabling BitLocker
      Default: Not configured

      Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Require — Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Not configured — Users can turn on BitLocker, even if recovery information isn’t successfully stored in Azure AD.

BitLocker removable data-drive settings

These settings apply specifically to removable data drives.

  • Write access to removable data-drive not protected by BitLocker
    Default: Not configured
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Block — Give read-only access to data drives that aren’t BitLocker-protected.
    • Not configured — By default, read and write access to data drives that aren’t encrypted.

    When set to Enable, you can configure the following setting:

    • Write access to devices configured in another organization
      Default: Not configured

      • Block — Block write access to devices configured in another organization.
      • Not configured — Deny write access.

Microsoft Defender Exploit Guard

Use exploit protection to manage and reduce the attack surface of apps used by your employees.

Attack Surface Reduction

Attack surface reduction rules help prevent behaviors malware often uses to infect computers with malicious code.

Attack Surface Reduction rules

  • Flag credential stealing from the Windows local security authority subsystem
    Default: Not configured
    Rule: Block credential stealing from the Windows local security authority subsystem (lsass.exe)

    Help prevent actions and apps that are typically used by exploit-seeking malware to infect machines.

    • Not configured
    • Enable — Flag credential stealing from the Windows local security authority subsystem (lsass.exe).
    • Audit only

  • Process creation from Adobe Reader (beta)
    Default: Not configured
    Rule: Block Adobe Reader from creating child processes

    • Not configured
    • Enable — Block child processes that are created from Adobe Reader.
    • Audit only

Rules to prevent Office Macro threats

Block Office apps from taking the following actions:

  • Office apps injecting into other processes (no exceptions)
    Default: Not configured
    Rule: Block Office applications from injecting code into other processes

    • Not configured
    • Block — Block Office apps from injecting into other processes.
    • Audit only

  • Office apps/macros creating executable content
    Default: Not configured
    Rule: Block Office applications from creating executable content

    • Not configured
    • Block — Block Office apps and macros from creating executable content.
    • Audit only

  • Office apps launching child processes
    Default: Not configured
    Rule: Block all Office applications from creating child processes

    • Not configured
    • Block — Block Office apps from launching child processes.
    • Audit only

  • Win32 imports from Office macro code
    Default: Not configured
    Rule: Block Win32 API calls from Office macros

    • Not configured
    • Block — Block Win32 imports from macro code in Office.
    • Audit only

  • Process creation from Office communication products
    Default: Not configured
    Rule: Block Office communication application from creating child processes

    • Not configured
    • Enable — Block child process creation from Office communications apps.
    • Audit only

Rules to prevent script threats

Block the following to help prevent against script threats:

  • Obfuscated js/vbs/ps/macro code
    Default: Not configured
    Rule: Block execution of potentially obfuscated scripts

    • Not configured
    • Block — Block any obfuscated js/vbs/ps/macro code.
    • Audit only

  • js/vbs executing payload downloaded from Internet (no exceptions)
    Default: Not configured
    Rule: Block JavaScript or VBScript from launching downloaded executable content

    • Not configured
    • Block — Block js/vbs from executing payload downloaded from Internet.
    • Audit only

  • Process creation from PSExec and WMI commands
    Default: Not configured
    Rule: Block process creations originating from PSExec and WMI commands

    • Not configured

    • Block — Block process creations originating from PSExec and WMI commands.

    • Audit only

  • Untrusted and unsigned processes that run from USB
    Default: Not configured
    Rule: Block untrusted and unsigned processes that run from USB

    • Not configured
    • Block — Block untrusted and unsigned processes that run from USB.
    • Audit only

  • Executables that don’t meet a prevalence, age, or trusted list criteria
    Default: Not configured
    Rule: Block executable files from running unless they meet a prevalence, age, or trusted list criterion

    • Not configured
    • Block — Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
    • Audit only

Rules to prevent email threats

Block the following to help prevent email threats:

  • Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    Default: Not configured
    Rule: Block executable content from email client and webmail

    • Not configured
    • Block — Block execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail-client).
    • Audit only

Rules to protect against ransomware

  • Advanced ransomware protection
    Default: Not configured
    Rule: Use advanced protection against ransomware

    • Not configured
    • Enable — Use aggressive ransomware protection.
    • Audit only

Attack Surface Reduction exceptions

  • Files and folder to exclude from attack surface reduction rules
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Import a .csv file that contains files and folders to exclude from attack surface reduction rules.
    • Add local files or folders manually.

[!IMPORTANT]
To allow proper installation and execution of LOB Win32 apps, anti-malware settings should exclude the following directories from being scanned:
On X64 client machines:
C:Program Files (x86)Microsoft Intune Management ExtensionContent
C:windowsIMECache

On X86 client machines:
C:Program FilesMicrosoft Intune Management ExtensionContent
C:windowsIMECache

Controlled folder access

Help protect valuable data from malicious apps and threats, such as ransomware.

  • Folder protection
    Default: Not configured
    Defender CSP: EnableControlledFolderAccess

    Protect files and folders from unauthorized changes by unfriendly apps.

    • Not configured
    • Enable
    • Audit only
    • Block disk modification
    • Audit disk modification

    When you select a configuration other than Not configured, you can then configure:

    • List of apps that have access to protected folders
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Import a .csv file that contains an app list.
      • Add apps to this list manually.

    • List of additional folders that need to be protected
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Import a .csv file that contains a folder list.
      • Add folders to this list manually.

Network filtering

Block outbound connections from any app to IP addresses or domains with low reputations. Network filtering is supported in both Audit and Block mode.

  • Network protection
    Default: Not configured
    Defender CSP: EnableNetworkProtection

    The intent of this setting is to protect end users from apps with access to phishing scams, exploit-hosting sites, and malicious content on the Internet. It also prevents third-party browsers from connecting to dangerous sites.

    • Not configured — Disable this feature. Users and apps aren’t blocked from connecting to dangerous domains. Administrators can’t see this activity in Microsoft Defender Security Center.
    • Enable — Turn on network protection, and block users and apps from connecting to dangerous domains. Administrators can see this activity in Microsoft Defender Security Center.
    • Audit only: — Users and apps aren’t blocked from connecting to dangerous domains. Administrators can see this activity in Microsoft Defender Security Center.

Exploit protection

  • Upload XML
    Default: Not configured

    To use exploit protection to protect devices from exploits, create an XML file that includes the system and application mitigation settings you want. There are two methods to create the XML file:

    • PowerShell — Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets. The cmdlets configure mitigation settings, and export an XML representation of them.

    • Microsoft Defender Security Center UI — In the Microsoft Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. First, use the System settings and Program settings tabs to configure mitigation settings. Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

  • User editing of the exploit protection interface
    Default: Not configured
    ExploitGuard CSP: ExploitProtectionSettings

    • Block — Upload an XML file that allows you to configure memory, control flow, and policy restrictions. The settings in the XML file can be used to block an application from exploits.
    • Not configured — No custom configuration is used.

Microsoft Defender Application Control

Choose additional apps that either need to be audited by, or can be trusted to run by Microsoft Defender Application Control. Windows components and all apps from Windows store are automatically trusted to run.

  • Application control code integrity policies
    Default: Not configured
    CSP: AppLocker CSP

    • Enforce — Choose the application control code integrity policies for your users’ devices.

      After being enabled on a device, Application Control can only be disabled by changing the mode from Enforce to Audit only. Changing the mode from Enforce to Not Configured results in Application Control continuing to be enforced on assigned devices.

    • Not Configured — Application Control is not added to devices. However, settings that were previously added continue to be enforced on assigned devices.

    • Audit only — Applications aren’t blocked. All events are logged in the local client’s logs.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protects against credential theft attacks. It isolates secrets so that only privileged system software can access them.

  • Credential Guard
    Default: Disable
    DeviceGuard CSP

    • Disable — Turn off Credential Guard remotely, if it was previously turned on with the Enabled without UEFI lock option.​

    • Enable with UEFI lock — Credential Guard can’t be disabled remotely by using a registry key or group policy.

      [!NOTE]
      If you use this setting, and then later want to disable Credential Guard, you must set the Group Policy to Disabled. And, physically clear the UEFI configuration information from each computer. As long as the UEFI configuration persists, Credential Guard is enabled.​

    • Enable without UEFI lock — Allows Credential Guard to be disabled remotely by using Group Policy. The devices that use this setting must be running Windows 10 version 1511 and newer.​

    When you enable Credential Guard, the following required features are also enabled:

    • Virtualization-based Security (VBS)
      Turns on during the next reboot. Virtualization-based security uses the Windows Hypervisor to provide support for security services.
    • Secure Boot with Directory Memory Access
      Turns on VBS with Secure Boot and direct memory access (DMA) protections. DMA protections require hardware support, and are only enabled on correctly configured devices.

Microsoft Defender Security Center

Microsoft Defender Security Center operates as a separate app or process from each of the individual features. It displays notifications through the Action Center. It acts as a collector or single place to see the status and run some configuration for each of the features. Find out more in the Microsoft Defender docs.

Microsoft Defender Security Center app and notifications

Block end-user access to the various areas of the Microsoft Defender Security Center app. Hiding a section also blocks related notifications.

  • Virus and threat protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configure if end users can view the Virus and threat protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Virus and threat protection.

    • Not configured
    • Hide

  • Ransomware protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configure if end users can view the Ransomware protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Ransomware protection.

    • Not configured
    • Hide

  • Account protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configure if end users can view the Account protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Account protection.

    • Not configured
    • Hide

  • Firewall and network protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configure if end users can view the Firewall and network protection area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to Firewall and network protection.

    • Not configured
    • Hide

  • App and browser Control
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configure if end users can view the App and browser control area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to App and browser control.

    • Not configured
    • Hide

  • Hardware protection
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configure if end users can view the Hardware protection area in the Microsoft Defender Security Center. Hiding this section will also block all notifications related to Hardware protection.

    • Not configured
    • Hide

  • Device performance and health
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configure if end users can view the Device performance and health area in the Microsoft Defender Security center. Hiding this section will also block all notifications related to Device performance and health.

    • Not configured
    • Hide

  • Family options
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configure if end users can view the Family options area in the Microsoft Defender Security center. Hiding this section will also block all notifications-related to Family options.

    • Not configured
    • Hide

  • Notifications from the displayed areas of app
    Default: Not configured
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Choose which notifications to display to end users. Non-critical notifications include summaries of Microsoft Defender Antivirus activity, including notifications when scans have completed. All other notifications are considered critical.

    • Not configured
    • Block non-critical notifications
    • Block all notifications

  • Windows Security Center icon in the system tray
    Default: Not configured

    Configure the display of the notification area control. The user needs to either sign out and sign in or reboot the computer for this setting to take effect.

    • Not configured
    • Hide

  • Clear TPM button
    Default: Not configured

    Configure the display of the Clear TPM button.

    • Not configured
    • Disable

  • TPM firmware update warning
    Default: Not configured

    Configure the display of update TPM Firmware when a vulnerable firmware is detected.

    • Not configured
    • Hide

  • Tamper Protection
    Default: Not configured

    Turn Tamper Protection on or off on devices. To use Tamper Protection, you must integrate Microsoft Defender Advanced Threat Protection with Intune, and have Enterprise Mobility + Security E5 Licenses.

    • Not configured — No change is made to device settings.
    • Enabled — Tamper Protection is turned on and restrictions are enforced on devices.
    • Disabled — Tamper Protection is turned off and restrictions are not enforced.

IT contact Information

Provide IT contact information to appear in the Microsoft Defender Security Center app and the app notifications.

You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don’t display. Enter the IT organization name, and at least one of the following contact options:

  • IT contact information
    Default: Don’t display
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configure where to display IT contact information to end users.

    • Display in app and in notifications
    • Display only in app
    • Display only in notifications
    • Don’t display

    When configured to display, you can configure the following settings:

    • IT organization name​
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT department phone number or Skype ID
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: Phone

    • IT department email address
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: Email

    • IT support website URL
      Default: Not configured
      WindowsDefenderSecurityCenter CSP: URL

Local device security options

Use these options to configure the local security settings on Windows 10 devices.

Accounts

  • Add new Microsoft accounts
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • Block Prevent users from adding new Microsoft accounts to the device.
    • Not configured — Users can use Microsoft accounts on the device.

  • Remote log on without password
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Block — Allow only local accounts with blank passwords to sign in using the device’s keyboard.
    • Not configured — Allow local accounts with blank passwords to sign in from locations other than the physical device.

Admin

  • Local admin account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Block Prevent use of a local admin account.
    • Not configured

  • Rename admin account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

    Define a different account name to be associated with the security identifier (SID) for the account “Administrator”.

Guest

  • Guest account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Block — Prevent use of a Guest account.
    • Not configured

  • Rename guest account
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Define a different account name to be associated with the security identifier (SID) for the account “Guest”.

Devices

  • Undock device without logon
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • Block — Users can press a docked portable device’s physical eject button to safely undock the device.
    • Not configured — A user must sign in to the device, and receive permission to undock the device.

  • Install printer drivers for shared printers
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Enabled — Any user can install a printer driver as part of connecting to a shared printer.
    • Not configured — Only Administrators can install a printer driver as part of connecting to a shared printer.

  • Restrict CD-ROM access to local active user
    Default: Not configured
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Enabled — Only the interactively logged-on user can use the CD-ROM media. If this policy is enabled, and no one is logged on interactively, then the CD-ROM is accessed over the network.
    • Not configured — Anyone has access to the CD-ROM.

  • Format and eject removable media
    Default: Administrators
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Define who is allowed to format and eject removable NTFS media:

    • Not configured
    • Administrators
    • Administrators and Power Users
    • Administrators and Interactive Users

Interactive Logon

  • Minutes of lock screen inactivity until screen saver activates
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    Enter the maximum minutes of inactivity on the interactive desktop’s sign-in screen until the screen saver starts. (099999)

  • Require CTRL+ALT+DEL to log on
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Enable — Pressing CTRL+ALT+DEL isn’t required for users to sign in.
    • Not configured Require users to press CTRL+ALT+DEL before logging on to Windows.

  • Smart card removal behavior
    Default: Lock workstation
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determines what happens when the smart card for a logged-on user is removed from the smart card reader. Your options:

    • Lock Workstation — The workstation is locked when the smart card is removed. This option allows users to leave the area, take their smart card with them, and still maintain a protected session.​
    • No action
    • Force Logoff — The user is automatically logged off when the smart card is removed.
    • Disconnect if a Remote Desktop Services session — Removal of the smart card disconnects the session without logging off the user. This option allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to sign in again. If the session is local, this policy functions identically to Lock Workstation.

Display

  • User information on lock screen
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure the user information that is displayed when the session is locked. If not configured, user display name, domain, and username are shown.

    • Not configured
    • User display name, domain, and user name
    • User display name only
    • Do not display user information

  • Hide last signed-in user
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Enable — Hide the username.
    • Not configured — Show the last username.

  • Hide username at sign-in
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Enable — Hide the username.
    • Not configured — Show the last username.

  • Logon message title
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Set the message title for users signing in.

  • Logon message text
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Set the message text for users signing in.

Network access and security

  • Anonymous access to Named Pipes and Shares
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Not configured — Restrict anonymous access to share and Named Pipe settings. Applies to the settings that can be accessed anonymously.
    • Block — Disable this policy, making anonymous access available.

  • Anonymous enumeration of SAM accounts
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Not configured — Anonymous users can enumerate SAM accounts.
    • Block — Prevent anonymous enumeration of SAM accounts.

  • Anonymous enumeration of SAM accounts and shares
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Not configured — Anonymous users can enumerate the names of domain accounts and network shares.
    • Block — Prevent anonymous enumeration of SAM accounts and shares.

  • LAN Manager hash value stored on password change
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine if the hash value for passwords is stored the next time the password is changed.

    • Not configured — The hash value isn’t stored
    • Block — The LAN Manager (LM) stores the hash value for the new password.

  • PKU2U authentication requests
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Not configured— Allow PU2U requests.
    • Block — Block PKU2U authentication requests to the device.

  • Restrict remote RPC connections to SAM
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Not configured — Use the default security descriptor, which may allow users and groups to make remote RPC calls to the SAM.

    • Allow — Deny users and groups from making remote RPC calls to the Security Accounts Manager (SAM), which stores user accounts and passwords. Allow also lets you change the default Security Descriptor Definition Language (SDDL) string to explicitly allow or deny users and groups to make these remote calls.

      • Security descriptor
        Default: Not configured

  • Minimum Session Security For NTLM SSP Based Clients
    Default: None
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security.

    • None
    • Require NTLMv2 session security
    • Require 128-bit encryption
    • NTLMv2 and 128-bit encryption

  • Minimum Session Security For NTLM SSP Based Server
    Default: None
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    This security setting determines which challenge/response authentication protocol is used for network logons.

    • None
    • Require NTLMv2 session security
    • Require 128-bit encryption
    • NTLMv2 and 128-bit encryption

  • LAN Manager Authentication Level
    Default: LM and NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM and NTLM
    • LM, NTLM and NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 and not LM
    • NTLMv2 and not LM or NTLM

  • Insecure Guest Logons
    Default: Not configured
    LanmanWorkstation CSP: LanmanWorkstation

    If you enable this setting, the SMB client will reject insecure guest logons.

    • Not configured
    • Block — The SMB client rejects insecure guest logons.

Recovery console and shutdown

  • Clear virtual memory pagefile when shutting down
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • Enable — Clear the virtual memory pagefile when the device is powered down.
    • Not configured — Doesn’t clear the virtual memory.

  • Shut down without log on
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Block — Hide the shutdown option on the Windows sign in screen. Users must sign in to the device, and then shut down.
    • Not configured — Allow users to shut down the device from the Windows sign in screen.

User account control

  • UIA integrity without secure location
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Block — Apps that are in a secure location in the file system will run only with UIAccess integrity.
    • Not configured — Enables apps to run with UIAccess integrity, even if the apps aren’t in a secure location in the file system.

  • Virtualize file and registry write failures to per-user locations
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Enabled — Applications that write data to protected locations fail.
    • Not configured — Application write failures are redirected at run time to defined user locations for the file system and registry.

  • Only elevate executable files that are signed and validated
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Enabled — Enforce the PKI certification path validation for an executable file before it can run.
    • Not configured — Don’t enforce PKI certification path validation before an executable file can run.

UIA elevation prompt behavior​

  • Elevation prompt for admins
    Default: Prompt for consent for non-Windows binaries
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Define the behavior of the elevation prompt for admins in Admin Approval Mode.

    • Not configured
    • Elevate without prompting
    • Prompt for credentials on the secure desktop
    • Prompt for credentials
    • Prompt for consent
    • Prompt for consent for non-Windows binaries

  • Elevation prompt for standard users
    Default: Prompt for credentials
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Define the behavior of the elevation prompt for standard users.

    • Not configured
    • Automatically deny elevation requests
    • Prompt for credentials on the secure desktop
    • Prompt for credentials

  • Route elevation prompts to user’s interactive desktop
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Enabled — All elevation requests to go to the interactive user’s desktop rather than the secure desktop. Any prompt behavior policy settings for administrators and standard users are used.
    • Not configured — Force all elevation requests go to the secure desktop, regardless of any prompt behavior policy settings for administrators and standard users.

  • Elevated prompt for app installations
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Enabled — Application installation packages aren’t detected or prompted for elevation.
    • Not configured — Users are prompted for an administrative user name and password when an application installation package requires elevated privileges.

  • UIA elevation prompt without secure desktop
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Enable — Allow UIAccess apps to prompt for elevation, without using the secure desktop.

  • Not configured — Elevation prompts use a secure desktop.

Admin Approval Mode

  • Admin Approval Mode For Built-in Administrator
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • Enabled — Allow the built-in Administrator account to use Admin Approval Mode. Any operation that requires elevation of privilege prompts the user to approve the operation.
    • Not configured — runs all apps with full admin privileges.

  • Run all admins in Admin Approval Mode
    Default: Not Configured
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Enabled— Enable Admin Approval Mode.
    • Not configured — Disable Admin Approval Mode and all related UAC policy settings.

Microsoft Network Client

  • Digitally sign communications (if server agrees)
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determines if the SMB client negotiates SMB packet signing.

    • Block — The SMB client never negotiates SMB packet signing.
    • Not configured — The Microsoft network client asks the server to run SMB packet signing upon session setup. If packet signing is enabled on the server, packet signing is negotiated.

  • Send unencrypted password to third-party SMB servers
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Block — The Server Message Block (SMB) redirector can send plaintext passwords to non-Microsoft SMB servers that don’t support password encryption during authentication.
    • Not configured — Block sending of plaintext passwords. The passwords are encrypted.

  • Digitally sign communications (always)
    Default: Not configured
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Enable — The Microsoft network client doesn’t communicate with a Microsoft network server unless that server agrees to SMB packet signing.
    • Not configured — SMB packet signing is negotiated between the client and server.

Microsoft Network Server

  • Digitally sign communications (if client agrees)
    Default: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Enable — The Microsoft network server negotiates SMB packet signing as requested by the client. That is, if packet signing is enabled on the client, packet signing is negotiated.
    • Not configured — The SMB client never negotiates SMB packet signing.

  • Digitally sign communications (always)
    Default: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Enable — The Microsoft network server doesn’t communicate with a Microsoft network client unless that client agrees to SMB packet signing.
    • Not configured — SMB packet signing is negotiated between the client and server.

Xbox services

  • Xbox Game Save Task
    Default: Not configured
    CSP: TaskScheduler/EnableXboxGameSaveTask

    This setting determines whether the Xbox Game Save Task is Enabled or Disabled.

    • Enabled
    • Not configured

  • Xbox Accessory Management Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

    This setting determines the Accessory Management Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Auth Manager Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

    This setting determines the Live Auth Manager Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Game Save Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

    This setting determines the Live Game Save Service’s start type.

    • Manual
    • Automatic
    • Disabled

  • Xbox Live Networking Service
    Default: Manual
    CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

    This setting determines the Networking Service’s start type.

    • Manual
    • Automatic
    • Disabled

User Rights

  • Access Credential Manager as trusted caller
    Default: Not configured
    CSP: UserRights/AccessCredentialManagerAsTrustedCaller

    This user right is used by Credential Manager during Backup and Restore operations. Users’ saved credentials might be compromised if this privilege is given to other entities.

    • Not configured
    • Allow

  • Allow local log on
    Default: Not configured
    CSP: UserRights/AllowLocalLogOn

    This user right determines which users can log on to the computer.

    • Not configured
    • Allow

  • Allow Access From Network
    Default: Not configured
    CSP: UserRights/AccessFromNetwork

    This user right determines which users and groups are allowed to connect to the computer over the network.

    • Not configured
    • Allow

  • Act As Part Of The OS
    Default: Not configured
    CSP: UserRights/ActAsPartOfTheOperatingSystem

    Act As Part Of The OS

    • Not configured
    • Allow

  • Backup files and directories
    Default: Not configured
    CSP: UserRights/BackupFilesAndDirectories

    This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when backing up files and directories.

    • Not configured
    • Allow

  • Change the system time
    Default: Not configured
    CSP: UserRights/ChangeSystemTime

    This user right determines which users and groups can change the time and date on the internal clock of the computer.

    • Not configured
    • Allow

  • Create global objects
    Default: Not configured
    CSP: UserRights/CreateGlobalObjects

    This security setting determines whether users can create global objects that are available to all sessions. Users who can create global objects could affect processes that run under other users’ sessions, which could lead to application failure or data corruption.

    • Not configured
    • Allow

  • Create pagefile
    Default: Not configured
    CSP: UserRights/CreatePageFile

    This user right determines which users and groups can call an internal API to create and change the size of a page file.

    • Not configured
    • Allow

  • Create permanent shared objects
    Default: Not configured
    CSP: UserRights/CreatePermanentSharedObjects

    This user right determines which accounts can be used by processes to create a directory object using the object manager.

    • Not configured
    • Allow

  • Create symbolic links
    Default: Not configured
    CSP: UserRights/CreateSymbolicLinks

    This user right determines if the user can create a symbolic link from the computer to which they are logged on.

    • Not configured
    • Allow

  • Create tokens
    Default: Not configured
    CSP: UserRights/CreateToken

    This user right determines which users/groups can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal API to create an access token.

    • Not configured
    • Allow

  • Debug programs
    Default: Not configured
    CSP: UserRights/DebugPrograms

    This user right determines which users can attach a debugger to any process or to the kernel.

    • Not configured
    • Allow

  • Deny Access From Network
    Default: Not configured
    CSP: UserRights/DenyAccessFromNetwork

    This user right determines which users are prevented from accessing a computer over the network.

    • Not configured
    • Allow

  • Deny log on as a service
    Default: Not configured
    CSP: UserRights/DenyLocalLogOn

    This security setting determines which service accounts are prevented from registering a process as a service.

    • Not configured
    • Allow

  • Deny log on through Remote Desktop Services
    Default: Not configured
    CSP: UserRights/DenyRemoteDesktopServicesLogOn

    This user right determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

    • Not configured
    • Allow

  • Enable delegation
    Default: Not configured
    CSP: UserRights/EnableDelegation

This user right determines which users can set the Trusted for Delegation setting on a user or computer object.

  • Not configured

  • Allow

  • Generate security audits
    Default: Not configured
    CSP: UserRights/GenerateSecurityAudits

    This user right determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access.

    • Not configured
    • Allow

  • Impersonate a client
    Default: Not configured
    CSP: UserRights/ImpersonateClient

    Assigning this user right to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect to a service that they have created and then impersonating that client, which can elevate the unauthorized user’s permissions to administrative or system levels.

    • Not configured
    • Allow

  • Increase scheduling priority
    Default: Not configured
    CSP: UserRights/IncreaseSchedulingPriority

    This user right determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process.

    • Not configured
    • Allow

  • Load and unload device drivers
    Default: Not configured
    CSP: UserRights/LoadUnloadDeviceDrivers

    This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode.

    • Not configured
    • Allow

  • Lock pages in memory
    Default: Not configured
    CSP: UserRights/LockMemory

    This user right determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk.

    • Not configured
    • Allow

  • Manage auditing and security log
    Default: Not configured
    CSP: UserRights/ManageAuditingAndSecurityLog

    This user right determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

    • Not configured
    • Allow

  • Perform volume maintenance tasks
    Default: Not configured
    CSP: UserRights/ManageVolume

    This user right determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

    • Not configured
    • Allow

  • Modify firmware environment values
    Default: Not configured
    CSP: UserRights/ModifyFirmwareEnvironment

    This user right determines who can modify firmware environment values.

    • Not configured
    • Allow

  • Modify an object label
    Default: Not configured
    CSP: UserRights/ModifyObjectLabel

    This user right determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users.

    • Not configured
    • Allow

  • Profile single process
    Default: Not configured
    CSP: UserRights/ProfileSingleProcess

    This user right determines which users can use performance monitoring tools to monitor the performance of system processes.

    • Not configured
    • Allow

  • Remote shutdown
    Default: Not configured
    CSP: UserRights/RemoteShutdown

    This user right determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

    • Not configured
    • Allow

  • Restore files and directories
    Default: Not configured
    CSP: UserRights/RestoreFilesAndDirectories

    This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

    • Not configured
    • Allow

  • Take ownership of files or objects
    Default: Not configured
    CSP: UserRights/TakeOwnership

    This user right determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

    • Not configured
    • Allow

Next steps

The profile is created, but it’s not doing anything yet. Next, assign the profile, and monitor its status.

Configure endpoint protections settings on macOS devices.

Источник

Содержание

  1. Смартсорсинг.ру
  2. Авторизация
  3. Новым пользователям
  4. Зачем?
  5. Windows Intune — «свой среди чужих»
  6. Компьютеры
  7. Обновления
  8. Endpoint Protection
  9. Оповещения
  10. Программное обеспечение
  11. Лицензии
  12. Руководство. Пошаговое руководство по Intune в Microsoft Endpoint Manager
  13. Предварительные условия
  14. Регистрация для использования бесплатной пробной версии Microsoft Intune
  15. Обзор Microsoft Intune в Центре администрирования Microsoft Endpoint Manager
  16. Настройка Центра администрирования Microsoft Endpoint Manager
  17. Изменение панели мониторинга
  18. Изменение параметров портала
  19. Дальнейшие шаги

Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

участников являются сотрудниками ИТ-компаний

20% из них — совладельцы бизнеса

работают в ИТ-службах других компаний

Авторизация

Новым пользователям

Зачем?

Windows Intune — «свой среди чужих»

post 559

Windows Intune — «облачное» решение для организации удаленного обслуживания компьютеров и наведения порядка в ИТ инфраструктуре предприятий малого и среднего бизнеса. Он упрощает управление и повышает защищенность рабочих станций, предоставляя основной функционал достаточно сложных и дорогостоящих продуктов семейства Microsoft System Center.

Сервис состоит из единой панели администрирования, расположенной на интернет сервере Microsoft :

1

и приложений-агентов, устанавливаемых на рабочих станциях:

5

Агент запускает применение политики, инвентаризацию оборудования и инвентаризацию программного обеспечения, а затем отправляет данные в Консоль администрирования Windows Intune, используя описанную ниже процедуру.

одновременно с агентом на рабочую станцию устанавливается антивирус Windows Intune Endpoint Protection, внешне напоминающий интерфейс Windows Security Essentials и автоматически замещающий его в системе. На другие установленные антивирусы внимания не обращается. (По крайней мере, на тестовой системе Eset NOD32 остался и продолжил работать без конфликтов. Пришлось прибегнуть к ручному удалению.)

7

В Консоль администрирования Windows Intune задачи управления распределены по следующим рабочим областям. Управлять всеми этими рабочими областями можно практически из любого браузера, поддерживающего Microsoft Silverlight.

Компьютеры

Чтобы обеспечить простоту и гибкость управления, в в рабочей области «Компьютеры» можно создавать группы компьютеров и управлять ими. Можно организовывать группы в соответствии с потребностями организации (например, по географическому положению, отделам или характеристикам оборудования). На странице Обзор компьютеров отображаются сводки состояния оповещений, обновлений и Endpoint Protection, позволяющие быстро оценить работоспособность компьютеров организации. Сводки состояния указывают на возможные или имеющиеся проблемы, что позволяет рационально распределять время и принимать необходимые меры. В Windows Intune можно представить группы компьютеров в виде иерархической структуры, что позволяет просматривать сводки состояния для определенной группы компьютеров, а также выявлять и устранять проблемы, связанные с непосредственными членами этой группы.

Обновления

Рабочая область «Обновления» предназначена для эффективного управления обновлениями ПО для всех управляемых компьютеров в организации. Консоль администрирования Windows Intune поддерживает и предлагает оптимальные методики управления обновлениями. Управление обновлениями происходит путем настройки политик для групп компьютеров, включающих как автоматическое так и ручное утверждение различных категорий обновлений для различных типов ПО и операционных систем.

2

Endpoint Protection

Windows Intune Endpoint Protection позволяет повысить безопасность управляемых компьютеров организации за счет обеспечения защиты от потенциальных угроз в реальном времени, обновления определений вредоносных программ и автоматического выполнения проверок. Сводки состояния Endpoint Protection, доступные в Консоль администрирования Windows Intune, позволяют быстро идентифицировать зараженные или незащищенные компьютеры и предпринять соответствующие действия. С помощью ссылок на разделы Центра Майкрософт по защите от вредоносных программ, доступных в консоли, можно получить дополнительные сведения о вредоносных программах, обнаруженных на компьютерах организации.

Оповещения

Для быстрой оценки общей работоспособности управляемых компьютеров организации можно использовать рабочую область «Оповещения». Оповещения позволяют выявлять потенциальные или имеющиеся проблемы и принимать соответствующие меры, чтобы предотвратить или свести к минимуму негативное воздействие на бизнес-операции. Чтобы обеспечить уведомление соответствующих лиц о новых оповещениях, можно настроить правила для отправки из Windows Intune уведомлений по электронной почте о новых оповещениях определенного уровня серьезности, о всех оповещениях или оповещениях о запросах удаленной помощи указанным получателям. В этом же разделе отображаются запросы от пользователей на удаленное подключение к их компьютерам для оказания удаленной помощи.

Программное обеспечение

В рабочей области «Программное обеспечение» выводится список программ, установленных на всех клиентских компьютерах, управление которыми выполняется с помощью Windows Intune. Этот список можно сортировать по издателю, имени, количеству установок или по категории программного обеспечения. Для каждой программы в списке предусмотрена отдельная позиция. Можно также выполнять поиск конкретной программы.

4

Лицензии

Из недостатков сервиса хотелось бы отметить отсутствие поддержки серверов — клиентов и невозможность удаленного подключения к рабочей станции пользователя без запроса с его стороны (unattended connect). Но, на форуме разработчиков оба этих пожелания уже неоднократно высказывались, и разработчики обещали их принять во внимание в следующих версиях и апдейтах.

images

В заключении краткого обзора хотелось бы задать участникам сообщества вопрос, так как перспектива прихода Windows Intune в Россию до сих пор туманна, и, даже сотрудники Microsoft пока не могут до сих пор сказать ничего определенного, может существуют альтернативные варианты сервиса с подобным или близким функционалом?

Источник

Руководство. Пошаговое руководство по Intune в Microsoft Endpoint Manager

Служба Microsoft Intune, которая входит в состав Microsoft Endpoint Manager, предоставляет облачную инфраструктуру, облачную систему управления мобильными устройствами (MDM), облачную систему управления мобильными приложениями (MAM) и облачную систему управления компьютерами для организации. Intune помогает обеспечивать соответствие устройств, приложений и данных организации требованиям безопасности. Вы можете настроить требования, которые должны проверяться, и действия, выполняемые при их несоблюдении. В Центре администрирования Microsoft Endpoint Manager можно найти службу Microsoft Intune, а также другие параметры, связанные с управлением устройствами. Знание возможностей Intune поможет вам в выполнении различных задач по управлению мобильными устройствами (MDM) и мобильными приложениями (MAM).

Microsoft Endpoint Manager — это единая интегрированная платформа для управления всеми конечными точками. Центр администрирования Microsoft Endpoint Manager интегрируется с ConfigMgr и Microsoft Intune.

В этом руководстве выполняются следующие задачи:

Предварительные условия

Перед настройкой Microsoft Intune изучите следующие требования.

Регистрация для использования бесплатной пробной версии Microsoft Intune

Пробная версия Intune предоставляется бесплатно на 30 дней. Если уже есть рабочая или учебная учетная запись, выполните вход под этой учетной записью и добавить в свою подписку Intune. Если же нет, зарегистрируйте бесплатную пробную учетную запись для использования Intune в своей организации.

Зарегистрировав новую учетную запись, вы не сможете объединить ее с уже существующей рабочей или учебной учетной записью.

Обзор Microsoft Intune в Центре администрирования Microsoft Endpoint Manager

Чтобы ознакомиться с Intune в Центре администрирования Microsoft Endpoint Manager, выполните следующие действия. Завершив обзор, вы будете лучше понимать, как устроены некоторые из основных областей в Intune.

Откройте браузер и войдите в Центр администрирования Microsoft Endpoint Manager. Если вы только приступаете к работе с Intune, используйте бесплатную пробную подписку.

tutorial walkthrough mem 01

При открытии Microsoft Endpoint Manager служба отобразится в области браузера. Вот некоторые рабочие нагрузки, с которых вы, скорее всего, начнете работу в Intune: Устройства, Приложения, Пользователи и Группы. Рабочая нагрузка — это попросту раздел службы. При выборе рабочей нагрузки соответствующая панель открывается на всю страницу. Другие открываемые панели разворачиваются из правой части панели и сворачиваются, открывая предыдущую панель.

По умолчанию при открытии Microsoft Endpoint Manager отображается панель Домашняя страница. На ней в наглядной форме представлена общая информация о состоянии клиента и соответствия требованиям, а также приводятся другие полезные ссылки.

В области навигации выберите Панель мониторинга для просмотра общих сведений об устройствах и клиентских приложениях в клиенте Intune. Если у вас новый клиент Intune, то зарегистрированных устройств пока нет.

tutorial walkthrough mem 02

Intune позволяет управлять устройствами и приложениями в рамках рабочего процесса, включая способ их доступа к корпоративным данным. Прежде чем использовать службу управления мобильными устройствами (MDM), зарегистрируйте устройства в Intune. После регистрации выдается сертификат MDM. Этот сертификат используется для обмена данными со службой Intune.

Есть несколько способов регистрации корпоративных устройств в Intune. Каждый способ зависит от типа владения (личное или корпоративное), типа устройства (iOS/iPadOS, Windows, Android) и требований к управлению (сброс, сопоставление, блокировка). Однако, прежде чем регистрировать устройства, необходимо настроить инфраструктуру Intune. В частности, для регистрации устройств нужно настроить центр MDM. Дополнительные сведения о подготовке среды (клиента) Intune см. в статье Настройка Intune. Подготовив клиент Intune, вы можете регистрировать устройства. Дополнительные сведения о регистрации устройств см. в статье Что такое регистрация устройств?.

В области навигации выберите Устройства, чтобы просмотреть сведения о зарегистрированных устройствах в клиенте Intune.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Устройства.

В области Устройства — обзор есть несколько вкладок, где можно просмотреть сводку по следующим состояниям и оповещениям:

tutorial walkthrough mem 03

В области Устройства — обзор выберите Политики соответствия, чтобы просмотреть сведения о соответствии находящихся под управлением Intune устройств необходимым требованиям. Откроется страница наподобие приведенной ниже.

tutorial walkthrough mem 04

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Соответствие устройств.

Требования соответствия — это, по сути, правила, такие как требование ПИН-кода устройства или требование шифрования устройства. Политики соответствия устройств определяют правила и параметры, которым должно соответствовать устройство, чтобы считаться соответствующим требованиям. Для использования политик соответствия устройств требуются следующие элементы:

В области Устройства — обзор выберите Условный доступ, чтобы просмотреть сведения о политиках доступа.

tutorial walkthrough mem 05

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Условный доступ.

Условный доступ — это способ управления устройствами и приложениями, которым разрешено подключаться к вашей электронной почте и ресурсам компании. Сведения об условном доступе для устройств и приложений, а также описание распространенных сценариев использования условного доступа в Intune см. в статье Что такое условный доступ?

В области навигации выберите Устройства > Профили конфигурации, чтобы просмотреть сведения о профилях устройств в Intune.

tutorial walkthrough mem 06

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Конфигурация устройств.

Intune содержит параметры и функции, которые можно включать или отключать на различных устройствах в вашей организации. Эти параметры и компоненты добавляются в «профили конфигурации». Вы можете создавать профили для различных устройств и платформ, включая iOS/iPadOS, Android, macOS и Windows. Затем с помощью Intune можно применять профили к устройствам в организации.

В области навигации выберите Устройства > Все устройства, чтобы просмотреть сведения о зарегистрированных устройствах в клиенте Intune. Если у вас новый клиент Intune, то зарегистрированных устройств пока нет.

tutorial walkthrough mem 07

В этом списке устройств отображаются основные сведения о соответствии требованиям, версии ОС и дате последнего возврата.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Устройства > Все устройства.

В области навигации выберите Приложения, чтобы просмотреть общие сведения о состоянии приложения. Эта панель предоставляет состояние установки приложения на основе следующих вкладок:

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Клиентские приложения.

В области Приложения — обзор есть две вкладки, где можно просмотреть сводку по следующим состояниям:

tutorial walkthrough mem 08

Как ИТ-администратор, вы можете использовать Microsoft Intune для управления клиентскими приложениями, которые используют сотрудники организации. Эта функция дополняет возможности управления устройствами и защиты данных. Одна из основных задач администратора — убедиться в том, что пользователи имеют доступ к приложениям, необходимым им для работы. Кроме того, может потребоваться назначать приложения и управлять ими на устройствах, которые не зарегистрированы в Intune. Intune предлагает широкий набор возможностей, позволяющих получить нужные приложения на требуемых устройствах.

В области Приложения — обзор также содержатся сведения о состоянии клиента и учетной записи.

В области Приложения — обзор выберите Все приложения, чтобы просмотреть список приложений, добавленных в Intune.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Клиентские приложения > Приложения.

Вы можете добавить различные типы приложений на основе платформы в Intune. После добавления приложения его можно назначать группам пользователей.

tutorial walkthrough mem 09

В области навигации выберите Пользователи, чтобы просмотреть сведения о пользователях, добавленных в Intune. Пользователи являются сотрудниками вашей организации.

tutorial walkthrough mem 10

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Пользователи.

Вы можете добавлять пользователей в Intune напрямую или синхронизировать их из локальной службы Active Directory. После добавления пользователи могут регистрировать устройства и получать доступ к ресурсам организации. Вы также можете предоставит пользователям дополнительные разрешения на доступ к Intune. Дополнительные сведения см. в статье Добавление пользователей и предоставление административных разрешений для Intune.

В области навигации выберите Группы, чтобы просмотреть сведения о группах Azure Active Directory (Azure AD), добавленных в Intune. Администраторы Intune используют группы для управления устройствами и пользователями.

tutorial walkthrough mem 11

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Группы.

Группы можно настраивать необходимым образом. Создавайте группы, чтобы упорядочить пользователей или устройства по географическому расположению, отделу или характеристикам оборудования. Используйте группы для управления задачами в требуемом масштабе. Например, вы можете настроить политики для многих пользователей или развернуть приложения для набора устройств. Дополнительные сведения о группах см. в статье Добавление групп для организации пользователей и устройств.

В области навигации выберите Администрирование клиента, чтобы просмотреть сведения о клиенте Intune.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Состояние клиента.

В области Администратор клиента — состояние клиента содержатся вкладки Сведения о клиенте, Состояние соединителя и Панель мониторинга работоспособности службы. Если возникли проблемы с вашим клиентом или самой службой Intune, в этой области вы найдете подробные сведения.

tutorial walkthrough mem 12

В области навигации выберите Устранение неполадок и поддержка > Устранение неполадок для проверки сведений о состоянии конкретного пользователя.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Устранение неполадок.

В раскрывающемся списке Назначения можно просмотреть целевые назначения клиентских приложений, политик, колец обновлений и ограничений регистрации. Кроме того, эта область содержит сведения об устройстве, состоянии защиты приложений и сбоях регистрации для конкретного пользователя.

tutorial walkthrough mem 13

Дополнительные сведения об устранении неполадок в службе Intune см. в статье Использование портала диагностики для оказания помощи пользователям в вашей компании.

В области навигации выберите Устранение неполадок и поддержка > Справка и поддержка для запроса справки.

Если вы ранее использовали Intune на портале Azure, вы могли видеть эти сведения на портале Azure в службе Intune в разделе Справка и поддержка.

ИТ-администратор может искать сведения о решении проблем, а также регистрировать обращения в службу поддержки, связанные с Intune, через Интернет, выбрав пункт Справка и поддержка.

tutorial walkthrough mem 14

Для создания обращения в службу поддержки вашей учетной записи должна быть назначена роль администратора в Azure Active Directory. Имеются следующие роли администраторов: администратор Intune, глобальный администратор и администратор служб.

В области навигации выберите Устранение неполадок и поддержка > Интерактивные сценарии, чтобы отобразить доступные интерактивные сценарии Intune.

Интерактивный сценарий — это настраиваемая последовательность действий, ориентированная на один сквозной вариант использования. Распространенные сценарии определяются с учетом роли администратора, пользователя или устройства в организации. Эти роли обычно нуждаются в наборе тщательно управляемых профилей, параметров, приложений и элементов управления безопасностью для обеспечения оптимального взаимодействия с пользователем и безопасности.

Если вы не знакомы с действиями и ресурсами, необходимыми для реализации конкретного сценария Intune, в качестве отправной точки можно использовать интерактивные сценарии.

tutorial walkthrough mem 15

Дополнительные сведения об интерактивных сценариях см. в статье Обзор интерактивных сценариев.

Настройка Центра администрирования Microsoft Endpoint Manager

Центр администрирования Microsoft Endpoint Manager позволяет вам настраивать отображение портала.

Изменение панели мониторинга

На панели мониторинга отображаются общие сведения об устройствах и клиентских приложениях в клиенте Intune. Панели мониторинга позволяют создавать упорядоченные представления в Центре администрирования Microsoft Endpoint Manager. Используйте панели мониторинга в качестве рабочей области, где можно быстро запускать задачи для повседневных операций и мониторинга ресурсов. Например, создавайте настраиваемые панели мониторинга на основе проектов, задач или ролей пользователей. Центр администрирования Microsoft Endpoint Manager предоставляет панель мониторинга по умолчанию в качестве отправной точки. Вы можете изменить панель мониторинга по умолчанию, создать и настроить дополнительные панели мониторинга, а также опубликовать панели мониторинга или предоставить к ним общий доступ, чтобы ими могли пользоваться другие пользователи.

tutorial walkthrough mem 16

Чтобы изменить текущую панель мониторинга, нажмите кнопку Изменить. Если вы не хотите изменять панель мониторинга по умолчанию, можно создать новую панель мониторинга. При создании панели мониторинга вы получаете пустую закрытую панель мониторинга с коллекцией плиток. Вы можете добавлять плитки и менять их местами. Плитки можно найти по категории или типу ресурса. Можно также искать определенные плитки. Выберите Моя панель мониторинга, чтобы выбрать любую из существующих настраиваемых панелей мониторинга.

Изменение параметров портала

Центр администрирования Microsoft Endpoint Manager можно настроить, выбрав представление по умолчанию, тему, время ожидания учетных данных, а также параметры языка и региона.

tutorial walkthrough mem 17

Дальнейшие шаги

Чтобы быстро приступить к работе с Microsoft Intune, ознакомьтесь с краткими руководствами, предварительно зарегистрировав бесплатную учетную запись Intune.

Источник

Источник

Обновлено: 04.02.2023

Intune была запущена Microsoft весной 2011 г., а спустя полгода уже обновилась до версии 2.0. Впрочем, в «облаке» всякая нумерация достаточно условна, ведь веб-приложения могут изменяться на лету — в этом как раз заключается одно из их преимуществ. Тем не менее, обновление свидетельствует в пользу серьезного отношения со стороны Microsoft.

Общее представление
  • в крупных организациях с развитой инфраструктурой служба может использоваться наравне с другими средствами для управления компьютерами мобильных и надомных сотрудников. Это особенно пригодится в тех случаях, когда невозможно воспользоваться VPN или такой вид доступа не предусмотрен. Intune масштабируется до 20 тыс. рабочих мест, хотя основная ее аудитория относится к категории до 500;
  • малому и среднему бизнесу Intune позволяет быстро и без больших затрат перейти к использованию современных методов обслуживания и поддержки ПК, унифицировать программную среду, обеспечить централизованную защиту.

Второй сценарий кажется наиболее оправданным, тем более что цены на Intune достаточно гуманны даже по нашим меркам. К сожалению, на момент написания статьи на территории СНГ Intune была недоступна. Более того, даже ее тестирование в наших странах формально невозможно, хотя обойти это ограничение довольно просто — достаточно всего лишь завести учетную запись Windows Live, указав «правильную» страну. Вряд ли здесь стоит усматривать какой-то злой умысел, скорее всего дело в необходимости согласования юридических деталей (как было и в случае с Office 365). Во всяком случае, интерфейс Intune и значительная часть документации уже переведены на русский язык.

Приступая к работе

Рис. 1. Консоль Windows Intune выполнена средствами Silverlight и в работе мало отличается от обычного приложения: можно использовать контекстные меню, с помощью мыши менять размеры элементов, конфигурировать табличные представления и пр.

Настройка и подключение ПК (в режиме тестирования — не более 25) выполняются также несложно. Слева в веб-консоли имеется список разделов, последний из них — Администрирование. Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время, но, как правило, в течение получаса управляемый компьютер появляется в соответствующем списке в консоли Intune (раздел Компьютеры). Параллельно выполняется первичный сбор информации и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (про сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», затем их можно объединять в группы для более простого управления.

Рис. 2. Вместе с клиентским ПО поставляется специальный сертификат, который привяжет управляемый ПК к вашей учетной записи в Intune. Очень удобно, что большинство информационных страниц содержит ссылки на соответствующие разделы документации (Дополнительные сведения).
Рис. 3. Для управляемых компьютеров контекстное меню позволяет выполнять небольшой список удаленных задач. Обратите внимание, что в сведениях о компьютерах Intune пытается различать физические и виртуальные машины (VMware, очевидно, пока не поддерживается). Поскольку клиентская виртуализация постепенно набирает популярность, Microsoft планирует разрешать обслуживание по одной виртуальной машине на каждой физической без дополнительной оплаты.

Основные возможности

Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми — к примеру, политики используются для управления обновлениями и антивирусной защитой, — но в целом деление выглядит логичным и удобным.

Обновления

Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS, с той лишь разницей, что локальное хранилище обновлений по понятным причинам не предусмотрено. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы заплаток, формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела Администрирование.

Рис. 4. Управление обновлениями ПО самой Microsoft выполняется так же, как и в WSUS: можно выбирать категории продуктов и обновлений, формировать правила автоматического утверждения и применения.

Также имеется возможность обновления стороннего ПО. Для этого администратор с помощью специального мастера должен сформировать программный пакет и загрузить его в хранилище Intune. Для EXE-модулей этот процесс может оказаться достаточно трудоемким, так как нужно четко описать принципы проверки наличия ПО, его версии и пр., а для MSI и MSP — все гораздо проще, так как часть нужной информации зашита прямо в сами модули. В любом случае надо иметь в виду, что обновления устанавливаются только в «тихом» (не интерактивном) режиме, то есть необходимо сразу указывать все ключи, опции и пр.

Рис. 5. Обновление стороннего ПО требует подготовки. С помощью специального мастера нужно сформировать модуль заплатки с описанием многочисленных параметров.

Endpoint Protection

Рис. 6. Антивирус Intune Endpoint Protection как две капли воды похож на Windows Security Essentials, однако поддерживает централизованное управление. После применения соответствующих политик Intune локальное управление его параметрами блокируется.

Оповещения

Функционирование ПК зависит не только от обновления ОС и основных приложений, но также от множества других факторов, поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах — похожую функциональность обеспечивает Microsoft SCOM. Всего таких оповещений насчитывается порядка двухсот: о сбоях в работе различных системных служб и приложений (только самой Microsoft), о критическом заполнении дисков, высокой загрузке процессора и пр. — они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам — к примеру, каждый может отвечать за определенную категорию событий (всё это, естественно, настраивается). Правда, выбор последующих действий не слишком широк: в Intune 2.0 появилась поддержка некоторых удаленных задач (обновление антивируса, выполнение проверки, перезагрузка ПК), но, к примеру, даже заметив приближение проблемы, администратор не имеет явной возможности предложить пользователю установить сеанс дистанционной помощи (подробнее ниже).

Рис. 7. Оповещения — один из наиболее интересных механизмов Intune. Они позволяют контролировать работу ОС и отдельных приложений (Microsoft) и в указанных случаях уведомлять администратора, чтобы он мог принять оперативные меры.
Рис. 8. Для многих оповещений можно тонко настраивать пороговые значения и другие параметры.

Программное обеспечение

Рис. 9. Инвентаризация ПО позволяет унифицировать программную среду на управляемых ПК, контролировать появление «лишних» программ и вести учет лицензий.

Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью онлайновой библиотеки. На тестовый период для этих целей выделяется 2 ГБ в облачном хранилище Microsoft; при оформлении подписки — 20 ГБ, и при необходимости можно приобрести дополнительное пространство (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Развертываться такие пакеты могут исключительно по расписанию, и к сожалению, нет возможности делегировать конечным пользователям право их загрузки из библиотеки по требованию. Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP. Хотя изначально данный пакет ориентирован на корпоративных лицензиатов Microsoft, он также доступен подписчикам Intune, причем по очень умеренной цене — дополнительный доллар на рабочее место.

Лицензии

Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. К сожалению, в полной мере эта функциональность предоставляется только для приложений самой Microsoft — в этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune все-таки берет на себя. В целом этот блок функциональности сильно напоминает другую службу Microsoft — Asset Inventory Service, которая предлагается в составе MDOP и может использоваться независимо.

Рис. 10. В полной мере учет лицензий обеспечивается только для ПО самой Microsoft (что тоже немало), в других случаях можно ориентироваться фактически только по числу инсталляций.

Политика

Политики Intune представляют собой средство управления функционированием самой системы — в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаются — в частности, те, что управляют работой Windows Firewall, — и в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно, политики создаются на основе немногочисленных предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры.

Рис. 11. Хотя Политики Intune не призваны подменить стандартные групповые политики, их набор все же кажется слишком узким. Вероятно, это будет одно из направлений будущего совершенствования службы.

На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать, но допустимое минимальное значение составляет 8 часов. Вероятно, это сделано с целью ограничения трафика Intune.

Дополнительно

Удаленная помощь

Рис. 12. Easy Assist позволяет наблюдать за удаленным рабочим столом или использовать его в режиме общего доступа.
Рис. 13. Параллельно поддерживается чат и некоторые другие функции. Хотя, учитывая арсенал Microsoft, коммуникационные возможности могли бы быть и более широкими.

Вообще-то похожая функция имеется в самой Windows, однако она работает только в локальной сети и, соответственно, для мобильных пользователей далеко не всегда доступна (к примеру, при невозможности установления VPN-соединения). Поэтому в Intune применяется более универсальный метод: на лету создается специальное мероприятие в онлайновом Microsoft LiveMeeting, и обе стороны приглашаются к участию в нем (при необходимости загружается клиентское ПО). Дальнейшая работа происходит в режиме разделения рабочего стола, администратор видит происходящее на пользовательском компьютере и может запросить управление им, чтобы самостоятельно выполнить необходимые действия. В сеансе также работает текстовый чат, так что можно просто передать пользователю необходимые инструкции.

Резюме

Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения — в этом как раз и заключается одно из преимуществ облачного подхода.

Intune, конечно, нельзя напрямую сравнивать с System Center. Однако эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Кроме того, в нынешнем виде Intune представляет собой прекрасный «каркас» для дальнейшего расширения функциональности, и, как видим, оно действительно происходит.

Сведения о получении Intune

Intune используется во многих секторах, включая государственные организации, образование, киоск или специальное устройство для производства и розничной торговли и многое другое.

Управление приложениями

Управление мобильными приложениями (MAM) в Intune предназначено для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения Магазина. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах.

При управлении приложениями в Intune администраторы могут:

  • Добавлять и назначать мобильные приложения группам пользователей и устройствам, включая пользователей в конкретных группах, устройств в конкретных группах и т. д.
  • Настроить приложения для запуска или выполнения с включенными специальными настройками и обновить существующие приложения на устройстве.
  • Просматривать отчеты, в которых используются приложения, и следить за их использованием.
  • Выполнить выборочную очистку, удалив из приложений только данные организации.

Одним из способов обеспечения безопасности мобильных приложений в Intune является политика защиты приложений . Политики защиты приложений:

Например, пользователь входит на устройство с учетными данными организации. Идентификатор организации позволяет получить доступ к данным, которые запрещены для их личного идентификатора. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. Когда пользователи входят с помощью личного идентификатора, эти средства защиты не применяются. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными.

Кроме того, Intune можно использовать с другими службами EMS. Эта функция обеспечивает безопасность ваших мобильных приложений организации за пределами операционной системы и любых других приложений. Приложения, управляемые с помощью EMS, имеют доступ к более широкому набору мобильных приложений и функций защиты данных.

Изображение, показывающее уровни безопасности данных при управлении приложениями

Управление устройствами

В Intune вы управляете устройствами с помощью подхода, который подходит вам. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. При таком подходе устройства и пользователи этих устройств «регистрируются» в Intune. После регистрации они получат правила и параметры с помощью политик, настроенных в Intune. Например, можно установить требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое.

Для персональных или собственных устройств (BYOD) пользователи могут запретить полный доступ для администраторов организации. При использовании такого метода пользователям следует предоставить параметры. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. Если этим пользователям нужен доступ только к электронной почте или Microsoft Teams, то для использования этих приложений следует использовать политики защиты приложений, для которых требуется многофакторная проверка подлинности (MFA).

Когда устройства регистрируются и управляются в Intune, администраторы могут:

Онлайн-ресурсы:

Попробуйте интерактивное руководство

Интерактивное руководство Управление устройствами с помощью Microsoft Endpoint Manager описывает, как в центре администрирования Microsoft Endpoint Manager можно управлять мобильными и настольными приложениями и защищать их.

Описание службы Microsoft Intune

Intune — это облачная служба управления корпоративной мобильностью (EMM), которая повышает производительность труда персонала, при этом обеспечивая защиту корпоративных данных. С помощью Intune можно выполнять следующие задачи:

  • Управление мобильными устройствами, которые сотрудники используют для доступа к данным организации.
  • Управление клиентскими приложениями, используемыми сотрудниками.
  • Защита данных организации посредством управления обращением к ним и их совместного использования.
  • Обеспечение соответствия устройств и приложений требованиям безопасности организации.

Intune тесно интегрируется с Azure Active Directory (Azure AD) для управления удостоверениями и контроля доступа, а также с Azure Information Protection для защиты данных. Вы также можете интегрировать Intune с Configuration Manager для расширения возможностей управления.

Дополнительные сведения о том, как управлять устройствами и приложениями, а также защищать корпоративные данные с помощью Intune, см. в документации по Intune.

Преимущество перехода в Intune

Корпорация Майкрософт предлагает преимущество адаптации Intune для соответствующих служб в подходящих планах. Преимущество адаптации позволяет привлечь удаленных специалистов корпорации Майкрософт для подготовки вашей среды Intune к работе. Дополнительные сведения о преимуществе адаптации см. в разделе Описание преимущества адаптации Microsoft Intune.

Языковая поддержка

Intune запускается на портале Azure, который поддерживает следующие языки: китайский (упрощенное письмо), китайский (традиционное письмо), чешский, нидерландский, английский, французский, немецкий, венгерский, итальянский, японский, корейский, польский, португальский (Бразилия), португальский (Португалия), русский, испанский, шведский, турецкий.

Помимо всех языков, поддерживаемых на портале Azure, консоль администрирования Intune и мобильный пользовательский интерфейс поддерживают датский, греческий, финский, норвежский и румынский языки.

Соответствие требованиям и условный доступ

Intune интегрируется с Azure AD, чтобы поддерживать широкий набор сценариев контроля доступа. Например, требуйте, чтобы перед доступом к сетевым ресурсам мобильные устройства соответствовали стандартам организации, определенным в Intune, таким как электронная почта или SharePoint. Аналогичным образом, вы можете заблокировать доступ к сервисам, чтобы они были доступны только для определенного набора мобильных приложений. Например, можно разрешить доступ к Exchange Online только из Outlook или Outlook Mobile.

Онлайн-ресурсы:

Microsoft Intune — это поставщик MDM и MAM для устройств

Microsoft Intune — это облачная служба, в которой основное внимание уделяется управлению мобильными устройствами (MDM) и управлению мобильными приложениями (MAM). Вы контролируете использование устройств организации, включая мобильные телефоны, планшеты и ноутбуки. Вы также можете настроить определенные политики для управления приложениями. Например, вы можете запретить отправку электронных писем людям за пределами вашей организации. Intune также позволяет сотрудникам вашей организации использовать личные устройства для учебы или работы. На личных устройствах Intune помогает обеспечить защиту данных вашей организации и может изолировать данные организации от личных данных.

Intune является компонентом решения Microsoft Enterprise Mobility + Security (EMS). Intune интегрируется с Azure Active Directory (Azure AD), чтобы контролировать доступ для пользователей и доступ к продуктам. Эта служба также интегрируется с Azure Information Protection для защиты данных. Ее можно использовать с набором продуктов Microsoft 365. Например, вы можете развернуть на устройствах Microsoft Teams, OneNote и другие приложения Microsoft 365. Эта функция позволяет сотрудникам работать на всех устройствах организации, обеспечивая при этом защиту данных организации с помощью создаваемых вами политик.

Изображение архитектуры Intune

С помощью Intune можно выполнять следующие задачи:

  • Выбрать значение «100 % облака с Intune» или совместно управляемый с помощью Configuration Manager и Intune.
  • Задать правила и настроить параметры на персональных и корпоративных устройствах для доступа к данным и сетям.
  • Выполнять развертывание и проверку подлинности приложений на устройствах — локальных и мобильных.
  • Защитить сведения о компании, контролируя способ доступа к информации и совместного пользования информацией.
  • Быть уверенным, что для устройств и приложений обеспечено соответствие требованиям к безопасности.

Управление мобильными устройствами с помощью Microsoft Intune

Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего — запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?

Давайте узнаем ответы на эти и другие вопросы.

Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?

«Возьми Свое Собственное Устройство на работу» — именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства — это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.

Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.

Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.

Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).

Microsoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC

Много кто пытался создавать, продвигать свое решение, но не все «выжили».

Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:

  1. Автономная — Intune
  2. Гибридная — Intune + SCCM 2012 или Intune + SCCM 2012 + Azure

Весь процесс управления можно разделить на 5 основных шагов:

Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.

Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок, данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.

  • Приложения — список всех доступных пользователю приложений
  • Мои Устройства — список устройств пользователя (максимум 5)
  • Обратится в отдел ИТ — контактная информация для связи с ИТ отделом
Развертывание приложений
  • Установщик — указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
  • Внешняя ссылка — указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile

Выбираем установочный файл:

Заполняем описание:

Задаем требования к версии операционной системы:

Приложение добавлено в список приложений в панели управления:

Указываем ссылку на приложение в маркете:

После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment. » назначаем приложение на группу пользователей или группу устройств.

На пользовательском устройстве появится приложение назначенное на соответствующую группу.

Android:

Windows Mobile:

Windows 10

iOS:

Настройка
  • Параметры оборудования, такие как разрешение на использование Bluetooth, NFC.
  • Параметры пароля, включая длину и качество пароля
  • Параметры шифрования
  • Настройки браузера, например запрет на сохранение cookie, блокировка jscript
  • Разрешенные и запрещенные приложения
  • Политики соответствия требованиям, например версия ОС

Например, политика запрещающая использовать камеру

При запуске камеры пользователь будет уведомлен:

Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI — это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.

Развертывание настроек происходит аналогичным образом как и развертывание приложений.

Мониторинг

После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.

На вкладке »Dashboard» отображается общий статус всех компонентов

Более детальная информация о статусе приложений отображается на вкладке »APPS»

Кликнув по приложению мы увидим детали:

Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.

На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.

Защита

В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.

Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:

В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.

Сведения о том, как обновления службы Intune затрагивают именно вас

Так как экосистема управления мобильными устройствами часто изменяется с выходом обновлений ОС и новых мобильных приложений, корпорация Майкрософт регулярно обновляет Intune. Узнать об изменениях в службе Intune можно тремя способами.

Новые возможности Microsoft Intune Эта статья пополняется ежемесячно при выходе обновлений службы, а также еженедельно, например при выпуске новых версий таких приложений, как корпоративный портал.

Несколько полезных советов:

Вы сможете отслеживать работоспособность службы Intune в центре администрирования Microsoft 365. Выберите Работоспособность службы в области слева. Также вы можете просматривать сведения о работоспособности с помощью мобильного приложения администратора Microsoft 365.

Покорение Android и iOS с помощью Enterprise Mobility Suite

Всего несколько лет назад практически не допускалась возможность работы пользователей с корпоративными данными со своих личных устройств. Причем речь не заходила даже об использовании ноутбуков, не то, что о мобильных телефонах и планшетах. Но технологии не стоят на месте. Сегодня планшеты и мобильные устройства настолько плотно вошли в нашу жизнь, что организации должны предусматривать работу с них пользователей. Тем не менее возникает вечный вопрос о том, как обеспечить безопасность корпоративных данных при работе пользователей с личных устройств. Причем, если с устройствами Windows проблема хоть как-то, но решалась, то пользователи Android и iOS оставались в стороне. Так было до последнего времени. Теперь с личными устройствами на Android или iOS можно работать, т.к. IT-служба организации получила возможность контролировать эти устройства с помощью Enterprise Mobility Suite.

Немного о EMS
  • Microsoft Azure Active Directory Premium (позволяет управлять идентификацией и доступом для локальных, гибридных и облачных сред)
  • Microsoft Intune (позволяет управлять ПК и мобильными устройствами, а также обеспечивает защиту данных)
  • Microsoft Azure Rights Management (обеспечивает защиту информации в облаке или в гибридной среде, в составе которой имеется локальная инфраструктура)
Microsoft Intune
  • Apple iOS 6 и более поздних версий.
  • Google Android 2.3.4 и более поздней версии (включая Samsung KNOX).
  • Windows Phone 8.0 и более поздней версии.
  • Windows RT и более поздней версии.
  • Компьютеры Windows 8.1.
Company Portal

Как мы могли убедиться, Microsoft Intune – один из элементов EMS – позволяет управлять различными мобильными устройствами пользователей, независимо от того, какая на них операционная система – Android, iOS или Windows Phone. Если вы хотите получить больше информации о том, как управлять корпоративными мобильными устройствами, то 26 марта будет проходить JumpStart на эту тему — регистрируйтесь и смотрите.

Типы уведомлений, предоставляемые корпорацией Майкрософт о службе Intune

При планировании изменений службы вы получите уведомление по меньшей мере за 7–90 дней до изменения службы в зависимости от влияния, оказываемого такими изменениями. Эти изменения могут относиться к любой из следующих категорий:

Уведомления об устаревании версий в большинстве случаев направляются за 90 дней. Например, в случае прекращения поддержки определенной версии IE мы постараемся уведомить вас об этом за 90 дней. Но если об устаревании версии объявляет другая компания, эти сроки могут изменяться. Например, если компания-производитель браузера объявляет о прекращении поддержки Silverlight в последней сборке, мы уведомим об этом наших клиентов, однако это может произойти меньше чем за 90 дней.

В случае прекращения использования службы Intune вы получите уведомление за 12 месяцев.

Наконец, после инцидента может потребоваться выполнить определенные действия для восстановления работоспособности службы или после серьезных изменений наши клиенты могут сообщать о возможных нарушениях в работе. В таких случаях мы направим соответствующие уведомления администраторам службы, используя заданные параметры связи Microsoft 365 (в этом случае нам потребуется действительный и предпочтительно рабочий адрес электронной почты).

30-дневная бесплатная пробная версия

Можно установить 30-дневную бесплатную ознакомительную версию Intune, которая включает 100 пользовательских лицензий. Для запуска бесплатной пробной версии перейдите на страницу регистрации Intune. Если в организации имеется соглашение Enterprise Agreement или эквивалентное соглашение о корпоративном лицензировании, обратитесь к представителю Майкрософт, чтобы установить бесплатную ознакомительную версию.

Если в организации есть рабочая или учебная учетная запись служб Microsoft Online Services и по истечении пробного периода эту подписку Intune планируется задействовать в рабочей среде, нажмите на этой странице кнопку Войти и пройдите проверку подлинности, используя учетную запись глобального администратора для вашей организации. Это действие обеспечит подключение пробной версии Intune к существующей рабочей или учебной учетной записи.

Читайте также:

      

  • Как выглядят оксалаты в реальной жизни

    •   

  • Как отключить защиту спавна minecraft

    •   

  • Ark как приручить грифона

    •   

  • Как достать факел в assassins creed valhalla

    •   

  • Где играть в диабло 2

Источник

Доступны облачные сервисы Microsoft Windows Intune с последней версией 2.0. Релиз был сделан 17 октября, и теперь он доступен для 30-дневной пробной версии. Windows Intune , первое крупное обновление облачного решения для управления компьютерами от Microsoft для малого и среднего бизнеса, теперь доступно в бета-версии для квалифицированных пользователей.

Содержание

  1. Windows Intune
  2. Цены на Windows Intune
  3. Загрузка Windows Intune
  4. Руководства по Windows Intune

Windows Intune

Windows Intune позволяет предприятиям управлять и защищать ПК. Он также предоставляет пользователям права на текущие и будущие версии Windows. Эта версия Windows Intune улучшает интерфейс пользователя по сравнению с первой версией и добавляет несколько запрошенных пользователем функций, в частности улучшенную возможность развертывания программного обеспечения на удаленных ПК из учетной записи облачного хранилища.

В этой версии произошли некоторые существенные улучшения. Они включают:

  1. Улучшен пользовательский интерфейс.
  2. 2 ГБ облачного хранилища для удаленного развертывания упакованных приложений на управляемых ПК.
  3. Улучшенная панель мониторинга оборудования.
  4. Сторонний менеджер лицензий, который также обрабатывает корпоративные лицензии Microsoft, поддерживает развертывание образов и многое другое.

Безопасность также хорошо рассматривается в этой версии. Новые функции, касающиеся поддержания безопасности:

  1. Запуск полной проверки на клиентском компьютере.
  2. Запуск сканирования на наличие вредоносных программ.
  3. Обновите определения вредоносных программ, которые инструктируют клиентское программное обеспечение на управляемом ПК проверять наличие последних определений вредоносных программ Windows Intune.

«Наше видение Windows Intune велико – мы хотим использовать все возможности, предоставляемые нашими локальными решениями (такими как System Center Configuration Manager с Forefront Endpoint Protection, System Center Essentials, Microsoft Desktop Optimization Pack, а также управление Windows Enterprise и функции безопасности) и включить их через облако. В конечном итоге Windows Intune предоставит больше возможностей управления, чем локальные решения, но с меньшими затратами и более высокой производительностью », – сказал Эрик Мейн в блоге Windows Team.

По словам представителей Microsoft, нынешние клиенты Windows Intune будут автоматически обновлены «через несколько недель после 17 октября», и от них не требуется никаких действий. Текущие пользователи Intune увидят предупреждение, отображаемое в консоли администрирования Windows Intune, с указанием точной даты и времени обновления Intune. Бета-тестирование Intune 2.0 будет завершено 17 ноября.

Microsoft также планирует интегрировать Windows Intune с Office 365, чтобы ИТ-специалисты могли использовать Intune для развертывания Office в облаке. Но теперь эта интеграция отсутствует для Windows Intune 2.0.

Цены на Windows Intune

Стоимость подписки на ПК составляет 11 долларов США, включая облачные сервисы и права на обновление до Windows 7 Enterprise.

Загрузка Windows Intune

Вы можете скачать Windows Intune с здесь.

Руководства по Windows Intune

Эти ресурсы также могут вас заинтересовать:

  1. Руководство по Windows Intune
  2. Руководство по подсказкам и хитростям в Windows Intune
  3. Новые функции в Windows Intune
  4. Руководство по началу работы с Windows Intune
  5. Управление Windows Phone 8 с помощью Windows Intune
  6. Учебные пособия по Windows Intune.
Источник

Понравилась статья? Поделить с друзьями:
  • Windows internet explorer что это за программа
  • Windows internals 7th edition part 2 pdf
  • Windows internal low level app manager что это
  • Windows internal composableshell experiences textinput inputapp что это
  • Windows integrated authentication to allow all authenticated users