在 Microsoft Intune 中管理具有终结点安全性的设备

作为安全管理员，请使用Microsoft Intune管理中心内的“所有设备”视图查看和管理设备。 该视图显示Microsoft Entra ID中所有设备的列表，包括通过以下方式管理的设备：

• Intune
• Configuration Manager
• Intune和Configuration Manager) 共同管理 (
• 针对未注册Intune) 设备的 Defender for Endpoint 安全设置管理 (

与Microsoft Entra ID集成后，设备可以位于云中，也可以来自本地基础结构。

若要查找视图，请打开Microsoft Intune管理中心，然后选择“终结点安全性>”“所有设备”。

初始“ 所有设备 ”视图显示你的设备，并包括有关每个设备的关键信息：

• 如何管理设备
• 符合性状态
• 操作系统详细信息
• 设备上次签入时间
• 其他信息

查看设备详细信息时，你可以选择要钻取的设备以获取详细信息。

按管理类型提供的详细信息

在Microsoft Intune管理中心查看设备时，请考虑如何管理设备。 管理源会影响管理中心中显示的信息以及可用于管理设备的操作。

请考虑以下字段：

• 管理者 – 此列标识如何管理设备。 托管选项包括：

  • MDM - Intune管理这些设备。 Intune收集设备的符合性数据并将其报告给管理中心。

  • ConfigMgr - 使用租户附加添加使用 Configuration Manager 管理的设备时，这些设备将显示在 Microsoft Intune 管理中心。 若要进行管理，设备必须运行 Configuration Manager 客户端，并且必须：

    • 在工作组中， (Microsoft Entra 已加入，否则)
    • 域加入
    • Microsoft Entra已加入 AD 和Microsoft Entra ID) 的混合联接 (

    Configuration Manager管理的设备的符合性状态在 Microsoft Intune 管理中心中不可见。

    有关详细信息，请参阅Configuration Manager文档中的启用租户附加。

  • MDM/ConfigMgr 代理 – 这些设备在Intune和Configuration Manager之间共同管理。

    通过共同管理，可以选择不同的共同管理工作负载，以确定哪些方面由Configuration Manager或Intune进行管理。 这些选择会影响设备应用的策略，以及向管理中心报告合规性数据的方式。

    例如，可以使用 Intune 为防病毒、防火墙和加密配置策略。 这些策略都被视为 Endpoint Protection 的策略。 若要让共同管理的设备使用Intune策略而不是Configuration Manager策略，请将 Endpoint Protection 的共同管理滑块设置为Intune或试点Intune。 如果滑块设置为Configuration Manager，则设备将改用Configuration Manager中的策略和设置。

  • MDE - 这些设备未注册Intune。 而是加入 Defender for Endpoint，并且可以处理许多Intune终结点安全策略。 注册了安全设置管理的设备会显示在 Intune 管理中心和 Defender 门户中。 在管理中心，“托管者”字段显示这些设备的MDE。

• 符合性：根据分配给设备的符合性策略评估符合性。 这些策略的来源以及控制台中的信息取决于设备的管理方式;Intune、Configuration Manager或共同管理。 若要让共同管理的设备报告符合性，请将“设备符合性”的共同管理滑块设置为“Intune”或“试点Intune”。

  向设备的管理中心报告符合性后，可以钻取详细信息以查看更多详细信息。 当设备不符合要求时，请深入了解其详细信息，了解哪些策略不符合。 该信息可以帮助你调查并帮助你使设备符合性。

• 上次检查：此字段标识设备上次报告其状态的时间。

查看设备策略

若要查看适用于 MDM 和Intune管理的设备的设备配置策略的信息，请参阅安全报告。 终结点安全性和安全基线策略都是设备配置策略。

若要查看报告，请选择设备，然后选择“ 设备配置”，位于 “监视器 ”类别下。

由 Configuration Manager 管理的设备不会在报表中显示策略详细信息。 若要查看这些设备的其他信息，请使用 Configuration Manager 控制台。

查看终结点安全策略的配置文件

在管理中心的 “终结点安全 ”节点中，可以选择特定策略类型的“ 摘要 ”选项卡，以查看、选择和编辑为该策略类型创建的所有配置文件。 在此视图中：

• 策略类型 标识配置文件。
• 平台 标识设备平台。

除了不同的终结点安全策略视图，还可以转到 “设备>”“所有设备 ”和“ 管理设备”下方，选择“ 配置 ”以查看和编辑 macOS 和 Windows 平台的终结点安全配置文件以及设备配置文件。 在此视图中，终结点安全策略按模板类型标识，例如“策略类型”列中的“Microsoft Defender防病毒”。 请参阅在 Microsoft Intune 中监视设备配置策略。

设备的远程操作

远程操作是可以从Microsoft Intune管理中心启动或应用于设备的操作。 查看设备的详细信息时，可以访问适用于设备的远程操作。

远程操作显示在设备 “概述 ”页的顶部。 通过选择右侧的省略号，可以执行因屏幕上空间有限而无法显示的操作：

可用的远程操作取决于设备的管理方式：

• Intune：适用于设备平台的所有Intune远程操作都可用。

• Configuration Manager：可以使用以下Configuration Manager操作：

  • 同步计算机策略
  • 同步用户策略
  • 应用评估周期

• 共同管理：可以访问Intune远程操作和Configuration Manager操作。

• Defender for Endpoint 安全设置管理 - 这些设备不由Intune管理，不支持远程操作。

某些Intune远程操作可帮助保护设备或保护设备上的数据。 使用远程操作，可以：

• 锁定设备
• 重置设备
• 删除公司数据
• 扫描计划运行之外的恶意软件
• 轮换 BitLocker 密钥

以下Intune远程操作是安全管理员感兴趣的，并且是完整列表的子集。 并非所有操作都适用于所有设备平台。 这些链接指向提供每个操作的深入详细信息的内容。

• 同步设备 - 让设备立即检查Intune。 当设备签入时，它会收到分配给它的任何挂起操作或策略。

• 重启 - 在五分钟内强制Windows 10/11 设备重启。 设备所有者不会自动收到重启通知，并且可能会丢失工作。

• 快速扫描 - 让 Defender 对设备运行恶意软件的快速扫描，然后将结果提交到Intune。 快速扫描可查看可能注册恶意软件的常见位置，例如注册表项和已知的 Windows 启动文件夹。

• 完全扫描 - 让 Defender 对设备运行恶意软件扫描，然后将结果提交到Intune。 完全扫描将查看可能注册恶意软件的常见位置，并扫描设备上的每个文件和文件夹。

• 更新 Windows Defender 安全智能 - 让设备更新Microsoft Defender防病毒的恶意软件定义。 此操作不会启动扫描。

• BitLocker 密钥轮换 – 远程轮换运行Windows 10版本 1909 或更高版本的设备或Windows 11的 BitLocker 恢复密钥。

还可以使用 批量设备操作 来管理某些操作 ，例如同时 停用和 擦除 多个设备。 批量操作 可从 “所有设备 ”视图获取。 选择平台、操作，然后指定最多 100 台设备。

在设备使用 Intune 签入之前，你为设备管理的选项才会生效。

后续步骤

在 Intune 中管理终结点安全性