使用 Intune 将 Windows 设备载入 Defender for Endpoint

项目
11/02/2024

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

可以使用移动设备管理 (MDM) 解决方案来配置Windows 10设备。 Defender for Endpoint 通过提供 OMA-URIs 来创建用于管理设备的策略，从而支持 MDM。

有关使用 Defender for Endpoint CSP 的详细信息，请参阅 WindowsAdvancedThreatProtection CSP 和 WindowsAdvancedThreatProtection DDF 文件。

开始之前

必须将设备注册到 Intune 作为移动设备管理 (MDM) 解决方案。

有关使用 Microsoft Intune 启用 MDM 的详细信息，请参阅设备注册 (Microsoft Intune) 。

使用 Microsoft Intune 载入设备

请参阅标识 Defender for Endpoint 体系结构和部署方法，了解部署 Defender for Endpoint 时的各种路径。

按照 Intune 中的说明进行操作。

有关使用 Defender for Endpoint CSP 的详细信息，请参阅 WindowsAdvancedThreatProtection CSP 和 WindowsAdvancedThreatProtection DDF 文件。

注意

载入设备的运行状况状态策略使用只读属性，无法修正。
诊断数据报告频率的配置仅适用于 Windows 10 版本 1703 上的设备。
加入 Defender for Endpoint 会将设备加入数据丢失防护 (DLP) ，这也是 Microsoft 365 合规性的一部分。

运行检测测试以验证载入

载入设备后，可以选择运行检测测试，以验证设备是否已正确载入服务。有关详细信息，请参阅在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试。

使用移动设备管理工具的卸载设备

出于安全原因，用于卸载设备的程序包在下载之日起七天后过期。发送到设备的过期卸载包将被拒绝。下载卸载包时，系统会通知包的到期日期，并且包名称中包含该日期。

注意

为了避免不可预测的策略冲突，不得同时在设备上部署载入和卸载策略。

从 Microsoft Defender 门户获取卸载包，如下所示：
1. 在导航窗格中，选择 “设置>终结点>设备管理>卸载”。
2. 选择“Windows 10”或“Windows 11”作为操作系统。
3. 在“部署方法”字段中，选择“移动设备管理/Microsoft Intune”。
4. 选择“ 下载包”，并保存 .zip 文件。
将文件的内容 .zip 提取到可供部署包的网络管理员访问的共享只读位置。应有一个名为的文件 WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding。

在Microsoft Intune管理中心，可以使用自定义配置策略或 EDR 策略。

方法 Procedure

自定义配置策略 1. 在导航窗格中，选择 “设备>按平台>”“Windows>管理设备>配置”。

2. 在 “策略” 下，选择“ 创建新>策略”。

3. 在“创建配置文件”幻灯片中，选择“Windows 10”，然后选择“平台”和“模板”作为“配置文件类型”。

4. 在 “模板名称”下，选择“ 自定义 模板”，然后选择“ 创建”。

5.输入 “名称” 值，然后选择“ 下一步”。

6. 在 “配置设置”下，选择“ 添加 ”，并使用以下 OMA-URI 设置：
- 名称：提供名称
- OMA-URI： ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding
- 日期类型：字符串
- 值：复制并粘贴卸载文件内容中的 WindowsDefenderATP_valid_until_YYYY-MM-DD 值。

7. 创建适当的组分配和适用性规则，在 “查看 + 创建 ”步骤中，选择“ 创建”。

EDR 策略 1. 在导航窗格中，选择 “终结点安全性>管理>终结点检测和响应”。

2. 在 “终结点检测和响应 (EDR) 策略”下，选择“ 创建策略”。

3. 在 “创建配置文件” 中滑出，选择“ Windows ”作为 “平台 ”和“ 终结点检测和响应 ”，然后选择“ 创建”。

5.输入 “名称” 值，然后选择“ 下一步”。

6. 在“配置设置”下，选择“卸载”作为客户端配置包类型的设置Microsoft Defender for Endpoint。

7. 复制卸载文件内容中的 WindowsDefenderATP_valid_until_YYYY-MM-DD 值，并将其粘贴到 “卸载 (设备) 设置中。然后选择“下一步”。

8. 根据需要指定任何范围标记，进行适当的组分配，并在 “查看 + 创建 ”步骤中选择“ 创建”。

方法	Procedure
自定义配置策略	1. 在导航窗格中，选择 “设备>按平台>”“Windows>管理设备>配置”。 2. 在 “策略” 下，选择“ 创建新>策略”。 3. 在“创建配置文件”幻灯片中，选择“Windows 10”，然后选择“平台”和“模板”作为“配置文件类型”。 4. 在 “模板名称”下，选择“ 自定义模板”，然后选择“ 创建”。 5.输入 “名称” 值，然后选择“ 下一步”。 6. 在 “配置设置”下，选择“ 添加 ”，并使用以下 OMA-URI 设置： - 名称：提供名称 - OMA-URI： `./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding` - 日期类型：字符串 - 值：复制并粘贴卸载文件内容中的 `WindowsDefenderATP_valid_until_YYYY-MM-DD` 值。 7. 创建适当的组分配和适用性规则，在 “查看 + 创建 ”步骤中，选择“ 创建”。
EDR 策略	1. 在导航窗格中，选择 “终结点安全性>管理>终结点检测和响应”。 2. 在 “终结点检测和响应 (EDR) 策略”下，选择“ 创建策略”。 3. 在 “创建配置文件” 中滑出，选择“ Windows ”作为 “平台 ”和“ 终结点检测和响应 ”，然后选择“ 创建”。 5.输入 “名称” 值，然后选择“ 下一步”。 6. 在“配置设置”下，选择“卸载”作为客户端配置包类型的设置Microsoft Defender for Endpoint。 7. 复制卸载文件内容中的 `WindowsDefenderATP_valid_until_YYYY-MM-DD` 值，并将其粘贴到 “卸载 (设备) 设置中。然后选择“下一步”。 8. 根据需要指定任何范围标记，进行适当的组分配，并在 “查看 + 创建 ”步骤中选择“ 创建”。

有关Microsoft Intune策略设置的详细信息，请参阅 Microsoft Intune 中的Windows 10策略设置。

注意

卸载设备的运行状况状态策略使用只读属性，无法修正。

重要

卸载会导致设备停止向 Defender for Endpoint 发送传感器数据，但来自设备的数据（包括对其具有的任何警报的引用）将保留长达 6 个月。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。

通过

使用 Intune 将 Windows 设备载入 Defender for Endpoint

开始之前

使用 Microsoft Intune 载入设备

运行检测测试以验证载入

使用移动设备管理工具的卸载设备

反馈

其他资源

通过

使用 Intune 将 Windows 设备载入 Defender for Endpoint

开始之前

使用 Microsoft Intune 载入设备

运行检测测试以验证载入

使用移动设备管理工具的卸载设备

相关文章

反馈

其他资源