入门:从管理中心创建和部署终结点安全策略
适用于: Configuration Manager(current branch)
Microsoft Intune 系列产品是用于管理所有设备的集成解决方案。 Microsoft将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。
先决条件
- 访问 Microsoft Intune 管理中心。
- 环境是附加了已上传设备的租户。
- 已安装 Configuration Manager 的受支持版本和相应版本的控制台。
- 将目标设备升级到 Configuration Manager 客户端的最新版本。
- 至少一个可用于分配终结点安全策略的Configuration Manager 集合
- Windows为租户附加设备支持此配置文件的设备
适用于租户附加设备的受支持终结点安全配置文件
平台 | 终结点安全策略 | 配置文件 | Endpoint Protection (Configuration Manager) | 终结点安全性 (租户附加) |
---|---|---|---|---|
Windows 10、Windows 11 和 Windows Server | 防病毒 | 防病毒 | ||
Windows 10、Windows 11 和 Windows Server | 防病毒 | 防病毒排除项 | ||
Windows 10、Windows 11 和 Windows Server | 防病毒 | 篡改防护 | ||
Windows 10、Windows 11 和 Windows Server | 攻击面减少 | 攻击面减少规则 | ||
Windows 10、Windows 11 | 攻击面减少 | 应用程序防护设置 | ||
Windows 10、Windows 11 和 Windows Server | 攻击面减少 | 漏洞保护 | ||
Windows 10、Windows 11 和 Windows Server | 终结点检测和响应 | 终结点检测和响应 | ||
Windows 10、Windows 11 和 Windows Server | 防火墙 | 防火墙 | ||
Windows 10、Windows 11 和 Windows Server | 防火墙 | 防火墙规则 |
使用 Configuration Manager 当前分支通过租户附加方案管理的设备支持以下配置文件:
平台:Windows 10、Windows 11 和 Windows Server (ConfigMgr)
配置文件:使用租户附加时 ,Microsoft Defender 防病毒 - 管理 Configuration Manager 设备的防病毒策略设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
- Windows Server 2016 (x64)
- Windows 8.1 (x86、x64)
- Windows Server 2012 R2 (x64)
配置文件:使用租户附加时, Windows 安全体验 (ConfigMgr) - 管理 Configuration Manager 设备的 Windows 安全应用设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
重要
为了支持管理防篡改,你所在的环境必须额外满足 Windows 文档中已详细阐述的使用 Intune 管理篡改防护的先决条件。
配置文件:终结点检测和响应 (ConfigMgr) - 使用租户附加时,管理 的终结点检测和响应策略设置。
此配置文件支持附加租户和运行以下平台的设备:
Windows 10 及更高版本(x86, x64, ARM64)
Windows 8.1 (x84, x64)
Windows Server 2019 及更高版本 (x64)
Windows Server 2016 (x64)
Windows Server 2012 R2 (x64)
配置文件:使用租户附加时 ,将攻击面减少规则 (ConfigMgr) - 管理 Configuration Manager 设备的攻击面减少规则作为攻击面减少策略的一部分。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
- Windows Server 2016 (x64)
- Windows Server 2012 R2 (x64)
注意
攻击面减少规则可能在 Windows Server 2012 R2 和 Windows Server 2016 上不可用。 有关详细信息,请参阅 攻击面减少规则文档。
平台:Windows 10 及更高版本
配置文件: Microsoft Defender 防火墙 (ConfigMgr) - 使用租户附加时管理 Configuration Manager 设备的防火墙策略设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
重要
要支持防火墙策略,需要受支持版本的 Configuration Manager。
配置文件: Exploit Protection (ConfigMgr) - 使用租户附加时,将 Configuration Manager 设备的 Exploit Protection 设置 作为攻击面减少策略的一部分进行管理。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
配置文件: Web 保护 (ConfigMgr) - 使用租户附加时,在攻击面减少策略中管理 Configuration Manager 设备的 Web 保护设置 。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
让 Configuration Manager 集合可用于分配终结点安全策略
在从 Intune 启用设备集合以使用终结点安全策略时,你要将这些集合中的设备配置为加入 Microsoft Defender for Endpoint。
从连接到顶级站点的 Configuration Manager 控制台中,右键单击同步到 Microsoft Intune 管理中心的设备集合,然后选择“ 属性”。
在“ 云同步 ”选项卡上,启用“ 使此集合可用”选项,以便从 Intune 管理中心Microsoft分配终结点安全策略。
- 如果 Configuration Manager 层次结构未附加租户,则无法选择此选项。
- 此选项的可用集合受 为租户附加上传选择的集合范围的限制。
选择“ 添加 ”,然后选择要与 “收集成员身份结果”同步Microsoft Entra 组。
选择 “确定” 以保存配置。
此集合中的设备现在可以加入 Microsoft Defender for Endpoint,并支持使用 Intune 终结点安全策略。