在 Microsoft Intune 中管理终结点安全性
作为安全管理员,请使用 Intune 中的 终结点安全 节点配置设备安全性,并在设备面临风险时管理设备的安全任务。 终结点安全策略旨在帮助你专注于设备的安全性并降低风险。 可用任务可帮助你识别有风险的设备,以修正这些设备,并将其还原到合规或更安全的状态。
终结点安全节点对 Intune 中可用于确保设备安全的工具进行分组:
查看所有托管设备的状态。 使用 “所有设备 ”视图,你可以在其中从高级别查看设备符合性。 然后,钻取到特定设备,以了解哪些符合性策略未满足,以便可以解决这些问题。
部署安全基线,为设备建立最佳做法安全配置。 Intune 包括 Windows 设备 的安全基线 和越来越多的应用程序列表,例如 Microsoft Defender for Endpoint 和 Microsoft Edge。 安全基线是预配置的 Windows 设置组,可帮助你应用来自相关安全团队的建议配置。
通过集中策略管理设备上的安全配置。 每个 终结点安全策略 都侧重于设备安全性的各个方面,例如防病毒、磁盘加密、防火墙,以及通过与 Microsoft Defender for Endpoint 集成提供的多个区域。
通过合规性策略建立设备和用户要求。 使用 合规性策略,可以设置设备和用户必须满足的规则才能被视为合规。 规则可以包括 OS 版本、密码要求、设备威胁级别等。
与 Microsoft Entra 条件访问策略 集成以强制实施合规性策略时,可以为托管设备和尚未管理的设备限制对公司资源的访问。
将 Intune 与 Microsoft Defender for Endpoint 团队集成。 通过 与 Microsoft Defender for Endpoint 集成 ,可以访问 安全任务。 安全任务Microsoft Defender for Endpoint 和 Intune 紧密联系在一起,以帮助安全团队识别存在风险的设备,并将详细的修正步骤移交给 Intune 管理员,后者随后可以采取行动。
本文的以下部分讨论了可以从管理中心的终结点安全节点执行的不同任务,以及基于角色的访问控制 (RBAC) 使用这些任务所需的权限。
终结点安全性概述
在 Microsoft Intune 管理中心打开终结点安全节点时,默认为“概述”页。
终结点安全性“概述”页显示一个合并的仪表板,其中包含从终结点安全性更集中的节点(包括 防病毒、终结点检测和响应以及 Microsoft Defender for Endpoint)中拉取的显示和信息:
Defender for Endpoint Connector 状态 – 此视图显示租户范围的 Defender for Endpoint Connector 的当前状态。 此视图的标签还用作打开 Microsoft Defender for Endpoint 门户的链接。
终结点 检测和响应 策略节点的“摘要”选项卡上提供了相同的视图。
载入到 Defender for Endpoint 的 Windows 设备 – 此表显示 EDR) 载入 (终结点检测和响应 的租户范围状态,以及已载入和未载入的设备计数。 此视图的标签是一个链接,用于打开终结点检测和响应策略节点的“摘要”选项卡。
还包含两个附加链接:
部署预配置策略 – 此链接打开 终结点检测和响应 的策略节点,你可以在其中部署策略以将设备载入 Defender。
将设备载入到 Defender for Endpoint – 打开 Defender 门户的链接,可在其中执行其他步骤,在 Intune 简化的工作流之外载入设备。
防病毒代理状态 – 此视图显示 Intune 防病毒代理状态报告的摘要详细信息,否则可通过转到“报告Microsoft Defender 防病毒”>(报告位于“摘要”选项卡上)在 Intune 管理中心提供。
其他监视报告 - 此部分包括打开其他Microsoft Defender 防病毒报告的磁贴,包括 检测到的恶意软件防火墙状态。 另一个磁贴将打开 Defender 门户 ,可在其中查看传感器和防病毒运行状况数据。
管理设备
终结点安全节点包括 “所有设备 ”视图,可在其中查看 Microsoft Intune 中提供的 Microsoft Entra ID 中的所有设备的列表。
在此视图中,你可以选择要钻取的设备,以获取详细信息,例如设备不符合哪些策略。 还可以使用此视图中的访问来修正设备问题,包括重启设备、开始扫描恶意软件或在 Window 10 设备上轮换 BitLocker 密钥。
有关详细信息,请参阅 在 Microsoft Intune 中使用终结点安全性管理设备。
管理安全基线
Intune 中的安全基线是预配置的设置组,这些设置是产品相关Microsoft安全团队的最佳做法建议。 Intune 支持 Windows 10/11 设备设置、Microsoft Edge、Microsoft Defender for Endpoint Protection 等的安全基线。
可以使用安全基线快速部署设备和应用程序设置的 最佳做法 配置,以保护用户和设备。 运行 Windows 10 版本 1809 及更高版本以及 Windows 11 的设备支持安全基线。
有关详细信息,请参阅使用安全基线在 Intune 中配置 Windows 设备。
安全基线是在 Intune 中配置设备上的设置的几种方法之一。 管理设置时,请务必了解环境中正在使用哪些其他方法可以配置设备,以便避免冲突。 请参阅本文后面的 避免策略冲突 。
查看 Microsoft Defender for Endpoint 中的安全任务
将 Intune 与 Microsoft Defender for Endpoint 集成后,可以查看 Intune 中标识有风险的设备的安全 任务 ,并提供缓解风险的步骤。 然后,可以使用这些任务在成功缓解这些风险时向 Microsoft Defender for Endpoint 报告。
Microsoft Defender for Endpoint 团队确定哪些设备存在风险,并将该信息作为安全任务传递给 Intune 团队。 只需单击几下,他们就会为 Intune 创建一个安全任务,用于识别面临风险的设备、漏洞,并提供有关如何缓解该风险的指导。
Intune 管理员查看安全任务,然后在 Intune 中采取行动来修正这些任务。 缓解后,他们将任务设置为完成,从而将状态传达回 Microsoft Defender for Endpoint 团队。
通过安全任务,两个团队在哪些设备存在风险以及如何以及何时修正这些风险时保持同步。
若要了解有关使用安全任务的详细信息,请参阅 使用 Intune 修正 Microsoft Defender for Endpoint 识别的漏洞。
使用策略管理设备安全性
作为安全管理员,请使用在终结点安全节点的 “管理” 下找到的安全策略。 使用这些策略,可以配置设备安全性,而无需在设备配置文件或安全基线中导航更大的正文和设置范围。
若要详细了解如何使用这些安全策略,请参阅 使用终结点安全策略管理设备安全性。
终结点安全策略是 Intune 中用于在设备上配置设置的几种方法之一。 管理设置时,请务必了解环境中正在使用哪些其他方法可以配置设备并避免冲突。 请参阅本文后面的 避免策略冲突 。
还可以在 “管理” 下找到 “设备符合性” 和 “条件访问 策略”。 这些策略类型不是用于配置终结点的重点安全策略,而是用于管理设备和访问公司资源的重要工具。
使用设备符合性策略
使用设备符合性策略建立允许设备和用户访问网络和公司资源的条件。
可用的符合性设置取决于你使用的平台,但常见策略规则包括:
- 要求设备运行最低或特定 OS 版本
- 设置密码要求
- 指定允许的最大设备威胁级别,由 Microsoft Defender for Endpoint 或其他移动威胁防御合作伙伴确定
除了策略规则之外,合规性策略还支持 针对不符合性操作。 这些操作是应用于不合规设备的按时间排序的操作序列。 操作包括发送电子邮件或通知,以提醒设备用户不合规、远程锁定设备,甚至停用不合规的设备,以及删除其上可能存在的任何公司数据。
将 Intune Microsoft Entra 条件访问策略 集成以强制实施合规性策略时,条件访问可以使用符合性数据来限制对托管设备和未管理设备的公司资源的访问。
若要了解详细信息,请参阅 在设备上设置规则以允许使用 Intune 访问组织中的资源。
设备符合性策略是在 Intune 中配置设备上的设置的几种方法之一。 管理设置时,请务必了解环境中正在使用哪些其他方法可以配置设备并避免冲突。 请参阅本文后面的 避免策略冲突 。
配置条件访问
若要保护设备和公司资源,可以将 Microsoft Entra 条件访问策略与 Intune 配合使用。
Intune 将设备符合性策略的结果传递给Microsoft Entra,然后 Entra 使用条件访问策略强制哪些设备和应用可以访问公司资源。 条件访问策略还有助于限制未使用 Intune 管理的设备的访问权限,并且可以使用与 Intune 集成的 移动威胁防御合作伙伴 提供的合规性详细信息。
以下是通过 Intune 使用条件访问的两种常见方法:
- 基于设备的条件访问,以确保只有托管且合规的设备可以访问网络资源。
- 基于应用的条件访问,它使用应用保护策略来管理未使用 Intune 管理的设备上的用户对网络资源的访问。
若要详细了解如何将条件访问与 Intune 配合使用,请参阅 了解条件访问和 Intune。
设置与 Microsoft Defender for Endpoint 的集成
将 Microsoft Defender for Endpoint 与 Intune 集成后,可提高识别和应对风险的能力。
虽然 Intune 可以与多个 移动威胁防御合作伙伴集成,但使用 Microsoft Defender for Endpoint 时,可以在 Microsoft Defender for Endpoint 和 Intune 之间紧密集成,并访问深层设备保护选项,包括:
- 安全任务 - Defender for Endpoint 与 Intune 管理员之间就有风险的设备、如何修正设备以及确认何时缓解这些风险进行无缝通信。
- 简化了客户端上 Microsoft Defender for Endpoint 的载入。
- 在 Intune 合规性策略和应用保护策略中使用 Defender for Endpoint 设备风险信号。
- 访问 篡改防护 功能。
若要详细了解如何将 Microsoft Defender for Endpoint 与 Intune 配合使用,请参阅 在 Intune 中使用条件访问强制实施 Microsoft Defender for Endpoint 的合规性。
基于角色的访问控制要求
若要在 Microsoft Intune 管理中心的终结点安全节点中管理任务,帐户必须:
- 为 Intune 分配许可证。
- 将基于角色的访问控制 (RBAC) 权限与 终结点安全管理器的内置 Intune 角色提供的权限相等。 Endpoint Security Manager 角色授予对 Microsoft Intune 管理中心的访问权限。 此角色可由管理安全性和合规性功能(包括安全基线、设备符合性、条件访问和 Microsoft Defender for Endpoint)的人员使用。
有关详细信息,请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)。
Endpoint Security Manager 角色授予的权限
可以在 Microsoft Intune 管理中心查看以下权限列表,方法是转到 “租户管理>角色”“>所有角色”,选择“ 终结点安全管理器>属性”。
权限:
-
Android FOTA
- 阅读
-
Android for work
- 阅读
-
审核数据
- 阅读
-
证书连接器
- 阅读
-
公司设备标识符
- 阅读
-
派生凭据
- 阅读
-
设备符合性策略
- Assign
- 创建
- 删除
- 阅读
- 更新
- 查看报告
-
设备配置
- 阅读
- 查看报告
-
设备注册管理器
- 阅读
-
终结点保护报告
- 阅读
-
注册计划
- 读取设备
- 读取配置文件
- 读取令牌
-
筛选器
- 阅读
-
Intune 数据仓库
- 阅读
-
托管应用
- 阅读
-
托管设备
- Delete
- 阅读
- 设置主要用户
- 更新
- 查看报告
-
Microsoft Defender ATP
- 阅读
-
适用于企业的 Microsoft Store
- 阅读
-
移动威胁防御
- 修改
- 阅读
-
移动应用程序
- 阅读
-
组织
- 阅读
-
合作伙伴设备管理
- 阅读
-
PolicySets
- 阅读
-
远程协助连接器
- 阅读
- 查看报告
-
远程任务
- 获取 FileVault 密钥
- 启动配置管理器操作
- 立即重新启动
- 远程锁定
- 旋转 BitLockerKeys (预览版)
- 轮换 FileVault 密钥
- 关闭
- 同步设备
- Windows Defender
-
Roles
- 阅读
-
安全基线
- Assign
- 创建
- 删除
- 阅读
- 更新
-
安全任务
- 阅读
- 更新
-
条款和条件
- 阅读
-
Windows 企业证书
- 阅读
避免策略冲突
可为设备配置的许多设置都可以由 Intune 中的不同功能进行管理。 这些功能包括但不限于:
- 终结点安全策略
- 安全基线
- 设备配置策略
- Windows 注册策略
例如,在终结点安全策略中找到的设置是设备配置策略中的终结点保护和设备限制配置文件中找到的设置的子集,这些设置也通过各种安全基线进行管理。
避免冲突的一种方法是不要使用不同的基线、同一基线的实例或不同的策略类型和实例来管理设备上的相同设置。 这需要规划用于将配置部署到不同设备的方法。 使用同一方法的多个方法或实例配置同一设置时,请确保不同的方法要么同意,要么未部署到同一设备。
如果发生冲突,可以使用 Intune 的内置工具来识别和解决这些冲突的根源。 有关更多信息,请参阅:
后续步骤
配置: