步骤 6. 监视安全基线的设备风险和合规性
组织部署Microsoft Defender for Endpoint后,可以通过将Microsoft Intune与 Defender for Endpoint 集成来获取对设备的更深入的见解和保护。 对于移动设备,这包括监视设备风险作为访问条件的功能。 对于 Windows 设备,可以监视这些设备对安全基线的符合性。
部署 Microsoft Defender for Endpoint 包括载入终结点。 如果使用Intune加入 (建议) 的终结点,则表示已将Intune连接到 Defender for Endpoint。 如果使用其他方法将终结点载入 Defender for Endpoint,请参阅在 Intune中配置Microsoft Defender for Endpoint,以确保在 Intune 和 Defender for Endpoint 之间设置服务到服务连接。
在此图中:
- Microsoft Defender for Endpoint 大大提高了设备威胁防护的复杂性。
- Microsoft Intune允许设置应用保护策略和管理设备 (包括配置更改) 。 Defender for Endpoint 持续监视设备的威胁,并可以采取自动作来修正攻击。
- 可以使用 Intune 将设备载入到 Defender for Endpoint,这使这些设备能够使用 Microsoft Purview Endpoint 数据丢失防护 (DLP) 。
本文包括以下步骤:
- 监视设备风险
- 监视安全基线的合规性
如果尚未设置 Defender for Endpoint,请与威胁防护管理员协作设置评估和试点环境。 可以与试点组合作,试用本文中的功能。
监视设备风险作为访问条件
部署 Microsoft Defender for Endpoint 后,可以利用威胁风险信号。 这允许你根据设备的风险评分阻止对设备的访问。 Microsoft建议允许访问风险分数为中等或更低的设备。
对于 Android 和 iOS/iPadOS,可在应用保护策略中使用威胁信号。 有关详细信息,请参阅 创建和分配应用保护策略以设置设备风险级别。
对于所有平台,可以在现有设备符合性策略中设置风险级别。 有关详细信息,请参阅创建条件访问策略。
部署安全基线并监视这些设置的符合性
适用于:Windows 10、Windows 11
步骤 5。部署配置文件一文建议使用可用于Windows 10和Windows 11的Intune安全基线开始使用配置文件。 Intune还包括Microsoft Defender for Endpoint的安全基线,这些基线提供用于优化 Defender for Endpoint 堆栈中的所有安全控件的设置,包括终结点检测和响应 (EDR) 的设置。
理想情况下,载入到 Defender for Endpoint 的设备会收到两个基线:最初保护 Windows 的安全基线,然后是顶层分层的 Defender for Endpoint 安全基线,以优化配置 Defender for Endpoint 安全控制。
若要从有关风险和威胁的最新数据中获益,并在基线演变时将冲突降至最低,请始终在所有产品发布后立即将最新版本的基线应用于这些产品。
使用 Defender for Endpoint,可以监视这些基线的符合性。
若要部署安全基线并监视这些设置的符合性,请使用下表中的步骤。
| 步骤 | 说明 |
|---|---|
| 1 | 查看关键概念并比较Intune中的Microsoft Defender for Endpoint和 Windows 安全基线。 若要了解 Defender for Endpoint 的建议,请参阅提高对Microsoft Defender for Endpoint安全基线的合规性。 若要查看Intune可用的安全基线列表以及如何避免冲突,请参阅使用安全基线在 Intune 中配置 Windows 设备。 |
| 2 | 使用 Intune 部署 Windows 设置的安全基线。 有关详细信息,请参阅步骤 5 中的相关指南 。部署设备配置文件。 |
| 3 | 使用 Intune 部署 Defender for Endpoint 基线设置。 若要创建配置文件并选择正确的基线,请参阅在 Microsoft Intune 中管理安全基线配置文件。 还可以按照“查看”中的说明进行作,并分配 Defender for Endpoint 文档中Microsoft Defender for Endpoint安全基线。 |
| 4 | 在 Defender for Endpoint 文档中,查看确保设备配置正确,并且安全基线卡设备配置管理。 |