在 Intune 中添加终结点保护设置

使用 Intune，可以使用设备配置文件来管理设备上的公共终结点保护安全功能，包括：

• 防火墙
• BitLocker
• 允许和阻止应用
• Microsoft Defender 和加密

例如，可以创建一个终结点保护配置文件，仅允许 macOS 用户安装来自 Mac App Store 的应用。 或者在 Windows 10/11 设备上运行应用时启用 Windows SmartScreen。

在创建配置文件之前，请查看详细介绍 Intune 可以针对每个支持平台管理的终结点保护设置的以下文章：

• macOS 设置
• Windows 设置

创建包含终结点保护设置的设备配置文件

重要

macOS 终结点保护模板已弃用。 现有策略保持不变，但不能再使用此模板创建新策略。 建议使用设置目录为 FileVault、防火墙和系统策略控制 (网关守卫) 有效负载创建新的配置策略。 有关详细信息，请参阅 macOS 设置目录。

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “设备>管理设备>”“配置>创建”。

3. 输入以下属性：

   • 平台：选择设备平台。 选项包括：

     • macOS
     • Windows 10 及更高版本

   • 配置文件：选择“模板”>“终结点保护”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，好的策略名称可包括配置文件类型和平台。
   • 说明：输入策略的说明。 此设置是可选的，但建议进行。

   选择 下一步。

6. 在“配置设置”中，根据所选择的平台，可配置的设置有所不同。 选择平台，以了解详细设置：

   • macOS 设置
   • Windows 设置

7. 选择 下一步。

8. 在“分配”中，选择将接收配置文件的用户或组。 有关分配配置文件的详细信息，请参阅分配用户和设备配置文件。

   选择 下一步。

9. 在“适用性规则”中，使用“规则”、“属性”和“值”选项来定义此配置文件如何在已分配的组中应用。 Intune 会将配置文件应用到满足你输入的规则的设备。 有关适用性规则的详细信息，请参阅适用性规则。

   选择 下一步。

10. 在“查看并创建”中查看设置。 选择“创建”时，将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

为 Windows 10/11 设备添加自定义防火墙规则

将 Windows 防火墙配置为包含 Windows 10/11 终结点保护规则的配置文件的一部分时，可以为防火墙配置自定义规则。 通过自定义规则，可以扩展 Windows 设备支持的预定义防火墙规则集。

在计划使用带自定义防火墙规则的配置文件时，请考虑以下信息，这些信息可能会影响在配置文件中对防火墙规则进行分组的方式：

• 每个配置文件最多支持 150 个防火墙规则。 使用超过 150 个规则时，请创建其他配置文件，每个配置文件限制为 150 个规则。

• 对于每个配置文件，如果单个规则无法使用，则该配置文件中的所有规则都无法使用，并且不会将任何规则应用于设备。

• 如果某个规则无法使用，则配置文件中的所有规则都将报告为无法使用。 Intune 无法识别哪个单独的规则无法使用。

Windows 防火墙配置服务提供程序 (CSP) 中详细介绍了 Intune 可以管理的防火墙规则。 若要查看 Intune 支持的 Windows 设备自定义防火墙设置列表，请参阅自定义防火墙规则。

向 Endpoint Protection 配置文件添加自定义防火墙规则

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “设备>管理设备>”“配置>创建”。

3. 输入以下属性：

   • 平台：选择“Windows 10 及更高版本”。

   • 配置文件：选择“模板”>“终结点保护”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，好的策略名称可包括配置文件类型和平台。
   • 说明：输入策略的说明。 此设置是可选的，但建议进行。

   选择 下一步。

6. 在 “配置设置”中，展开 “Windows 防火墙”。 接下来，对于“防火墙规则”，选择“添加”以打开“创建规则”页。

7. 指定“防火墙规则”的设置，然后选择“保存”以保存该设置。 若要查看文档中可用的自定义防火墙规则选项，请参阅自定义防火墙规则。

   1. 规则显示在 规则列表中的“Windows 防火墙 ”页上。
   2. 若要修改规则，请从列表中选择规则，以打开“编辑规则”页。
   3. 若要从配置文件中删除规则，请选择规则的省略号“(…)”，然后选择“删除”。
   4. 若要更改规则的显示顺序，请选择规则列表顶部的向上箭头、向下箭头图标。

   选择 下一步。

8. 在“分配”中，选择将接收此配置文件的设备组。 有关分配配置文件的详细信息，请参阅分配用户和设备配置文件。

   选择 下一步。

9. 在“适用性规则”中，使用“规则”、“属性”和“值”选项来定义此配置文件如何在已分配的组中应用。 Intune 会将配置文件应用到满足你输入的规则的设备。 有关适用性规则的详细信息，请参阅适用性规则。

   选择 下一步。

10. 在“查看并创建”中查看设置。 选择“创建”时，将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

后续步骤

监视配置文件状态。