HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护

        Windows Defender 中的防篡改保护（Tamper Protection）有助于防止恶意应用更改其重要的防病毒设置，包括“实时保护”和“云提供的保护”。如果当时前是管理员登录，则仍可以在“病毒和威胁保护”设置中关闭“篡改保护”，但其他程序仍无法更改这个设置。

        篡改保护并不影响第三方防病毒应用的工作方式，也不影响这些应用注册 Windows 安全中心的方式。默认情况下篡改保护处于打开状态。

        作为企业 IT 管理员或安全管理员，当然希望能够强制开启篡改保护，且禁止修改其设置。如果当前组织已经在使用现代管理模式，如 Intune！则可以通过 Endpoint Manager Center 进行策略的下发。为此，访问 Endpoint Manager Center，定位至“终结点安全性 - 防病毒 - AV 策略”，并创建该策略，选择“Windows 10、Windows 11 和 Windows Server (预览版)”平台，配置文件选择“Windows Security Experience”，跟随向导创建策略名称等信息，并在配置中打开“TamperProtection(设备)”。

        注意，在 Intune 中管理篡改保护的要求如下：

• 必须分配适当的 权限 ，例如全局管理员、安全管理员或安全操作。
• 组织使用Intune来管理设备。 需要 (Intune许可证;Intune包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5、Microsoft 365 商业高级版、Microsoft 365 F1/F3、Microsoft 365 政府版 G3/G5 和相应的教育许可证中。)
• Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息，请参阅 Windows 版本信息。)
• 必须将 Windows 安全性与 安全智能 更新到版本 1.287.60.0 (或更高版本) 结合使用。
• 你的设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。)
• Intune和 Defender for Endpoint 租户必须共享同一Microsoft Entra (Azure Active Directory) 基础结构。
• 设备必须载入到 Defender for Endpoint。

        当下发防篡改保护策略后，本机管理员将无法更改相关的设置，也无法关闭篡改防护。

        具有计算机管理权限的账户在使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 强行关闭时将会报错。

参考资料：

使用 Microsoft Intune 管理组织的篡改防护 | Microsoft Learn

使用篡改保护保护安全设置 | Microsoft Learn