使用Microsoft Intune安全任务修正终结点Microsoft Defender标识的设备漏洞

将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成后，可以通过Intune安全任务来利用 Defender 的危险和漏洞管理。 这些任务可帮助Intune管理员根据 Defender for Endpoint 的指导了解和解决当前漏洞。 此集成可增强漏洞的发现和优先级，从而缩短整个环境的修正响应时间。

威胁和漏洞管理属于 Microsoft Defender for Endpoint。

集成的工作原理

将 Intune 与 Microsoft Defender for Endpoint 集成后，Defender for Endpoint 会收到来自Intune托管设备的威胁和漏洞详细信息。 这些详细信息对Microsoft Defender 安全中心控制台中的安全管理员可见。

在安全中心控制台中，安全管理员可以查看终结点漏洞，并创建通过Intune管理的安全任务。 这些任务显示在 Microsoft Intune 管理中心，Intune管理员可以根据 Defender 的指导采取行动和修正问题：

• 漏洞通过扫描和评估Microsoft Defender for Endpoint进行识别。
• 并非所有已识别的漏洞都支持通过Intune进行修正;只有那些兼容的漏洞才能执行安全任务。

安全任务标识：

• 漏洞类型
• 优先级
• 状态
• 修正步骤

Intune管理员可以查看安全任务，然后选择接受或拒绝该任务。 对于接受的任务，管理员遵循提供的指南使用Intune进行修正。 修正成功后，管理员会将任务设置为“完成任务”，这会在 Intune 和 Defender for Endpoint 中更新其状态，安全管理员可以在其中验证漏洞的修订状态。

安全任务类型

每个安全任务都有一个 修正类型：

• 应用程序：例如，Microsoft Defender for Endpoint在 Contoso Media Player v4 等应用中查找漏洞。 管理员创建一个任务来更新应用，这可能涉及应用安全更新或安装新版本。
• 配置：例如，如果设备无法从可能不需要的应用程序 (PUA) 提供保护，管理员将创建一个任务来配置Microsoft Defender防病毒配置文件中的设置。

当Intune不支持实现适当的修正时，Microsoft Defender for Endpoint不会创建安全任务。

修正操作

常见的安全任务修正包括：

• 阻止 应用程序运行。
• 部署操作系统更新，从而缓解漏洞。
• 部署终结点安全策略，以减小漏洞的影响。
• 修改注册表值。
• 禁用或启用某个配置，从而影响漏洞。
• 需要注意，当没有合适的建议可用时，会向管理员发出警报。

工作流示例

下面是用于发现和修正应用程序漏洞的工作流示例：

• Microsoft Defender for Endpoint扫描可识别 Contoso Media Player v4 应用中的漏洞，该应用是Intune未部署的非托管应用。 管理员创建安全任务来更新应用。
• 安全任务显示在Microsoft Intune管理中心，状态为“挂起”。
• Intune管理员查看任务详细信息并选择“接受”，这会在 Intune 和 Defender for Endpoint 中将任务状态更改为“已接受”。
• 管理员遵循提供的修正指南。 对于托管应用，Intune可能包含更新应用的说明或链接。 对于非托管应用，Intune只能提供文本说明。
• 解决漏洞后，Intune管理员将任务标记为“完成任务”。 此操作将更新 Intune 和 Defender for Endpoint 中的状态，其中安全管理员确认修正已成功且已完成。

先决条件

订阅：

• Microsoft Intune 计划 1
• Microsoft Defender for Endpoint（注册免费试用版。）

Defender for Endpoint 的 Intune 配置：

• 使用 Microsoft Defender for Endpoint 配置服务到服务连接。
• 部署Intune策略，该策略配置设备Microsoft Defender for Endpoint设置以评估风险。

使用安全任务

在管理安全任务之前，必须在 Defender 安全中心内创建这些任务。 有关详细说明，请参阅有关 修正漏洞的 Defender for Endpoint 文档。

若要管理安全任务，请执行以下操作：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“终结点安全”>“安全任务”。

3. 选择安全任务以查看其详细信息。 在任务窗口中，可以选择其他链接，包括：

   • 托管应用 - 查看易受攻击的应用。 当漏洞应用于多个应用时，Intune显示筛选的应用列表。
   • 设备 - 查看 易受攻击设备 的列表，你可以从中链接到一个条目，其中包含有关该设备漏洞的更多详细信息。
   • 请求者 - 使用该链接将邮件发送给提交了此安全任务的管理员。
   • 说明 - 打开安全任务时读取由请求者提交的自定义消息。

4. 选择“接受”或“拒绝”将通知发送到 Defender for Endpoint 以执行计划的操作。 接受或拒绝任务后，可以提交发送到 Defender for Endpoint 的说明。

5. 接受任务后，重新打开安全任务（如果已关闭），然后按照修正详细信息修正漏洞。 安全任务详细信息中 Defender for Endpoint 提供的说明因所涉及的漏洞而异。

6. 完成修正步骤后，打开安全任务并选择“完成任务”。 此操作将更新 Intune 和 Defender for Endpoint 中的安全任务状态。

成功修正可以降低 Defender for Endpoint 中的风险暴露分数，具体取决于已修正设备的后续状态更新。

相关内容

• 了解有关 Intune 和 Microsoft Defender for Endpoint 的详细信息。
• 查看 Intune 移动威胁防御。
• 查看 Microsoft Defender for Endpoint 中的威胁和漏洞管理仪表板。