将设备载入到 Microsoft Defender for Endpoint

  • 10 分钟

当在 Intune 中启用对 Microsoft Defender for Endpoint 的支持时,组织会在 Microsoft Intune 与 Microsoft Defender for Endpoint 之间建立服务到服务连接。 然后,组织可以将其通过 Intune 管理的设备载入到 Microsoft Defender for Endpoint。 而通过载入,则又可以收集有关设备风险级别的数据。

上一单元研究了如何启用 Microsoft Defender for Endpoint 并将其配置为可与 Intune 集成。 本单元将继续介绍此集成过程。 我们研究了以下步骤,以载入设备并配置合规性性和条件访问策略:

  • 载入运行 Android、iOS/iPadOS 和 Windows 10/11 的设备。

  • 使用合规性策略设置设备风险级别。

  • 使用合规性访问策略阻止超出预期风险级别的设备。

    注意

    Android 和 iOS/iPadOS 设备使用设置设备风险级别的 应用保护策略 。 应用保护策略对已注册和未注册的设备都适用。

以下部分概述了这些步骤。

载入 Windows 设备

在组织连接 Intune 和 Microsoft Defender for Endpoint 后,Intune 将会接收来自 Microsoft Defender for Endpoint 的载入配置包。 然后,组织将使用 Microsoft Defender for Endpoint 的设备配置文件将该配置包部署到其 Windows 设备。

配置包将设备配置为与 Microsoft Defender for Endpoint 服务进行通信以扫描文件和检测威胁。 设备还会向 Microsoft Defender for Endpoint 报告其风险级别。 风险级别将取决于组织的合规性策略。

注意

使用配置包载入设备后,无需再次执行本操作。

组织还可以使用以下方式载入设备:

  • 终结点检测和响应 (EDR) 策略。 Intune EDR 策略是 Intune 中终结点安全的一部分。 Intune管理中心中的Microsoft Defender for Endpoint页包含一个直接打开 EDR 策略创建工作流的链接,该工作流是 Intune 中的终结点安全性的一部分。 组织可以使用 EDR 策略来配置设备安全性,而无需在设备配置文件中找到的较大设置正文的开销。 他们还可以将 EDR 策略与租户附加的设备配合使用。 组织使用Configuration Manager来管理这些设备。 当组织在连接 Intune 和 Microsoft Defender for Endpoint 后配置 EDR 策略时,策略设置“Microsoft Defender for Endpoint 客户端配置包类型:具有新的配置选项:“从连接器自动获取”。 使用此选项,Intune 会自动从 Defender for Endpoint 部署获取载入包 (blob) ,从而替代手动配置载入包的需要。
  • 设备配置策略。 创建设备配置策略以载入 Windows 设备时,请选择Microsoft Defender for Endpoint模板。 将Intune连接到 Defender 时,Intune从 Defender 收到载入配置包。 模板使用此包将设备配置为与Microsoft Defender for Endpoint服务通信,以及扫描文件和检测威胁。 载入的设备还会根据合规性策略向Microsoft Defender for Endpoint报告其风险级别。 使用配置包载入设备后,无需再次执行本操作。
  • 组策略或 Microsoft Endpoint Configuration Manager。 有关Microsoft Defender for Endpoint设置的更多详细信息,请参阅使用Microsoft Configuration Manager载入 Windows 计算机

提示

使用多种策略或策略类型(如 设备配置 策略和 终结点检测和响应 策略)管理相同的设备设置 ((例如载入 Defender for Endpoint) ),可以为设备创建策略冲突。 有关详细信息,请参阅管理安全策略一文中的管理冲突

创建设备配置文件以载入 Windows 设备

  1. 首先,必须导航到Microsoft Intune 管理中心。 为此,请在 Microsoft 365 管理中心 的导航窗格中选择“显示全部”。 在“管理中心”组下,选择“Endpoint Manager”。

  2. Microsoft Intune 管理中心,选择左侧导航窗格中的“终结点安全性”。

  3. 终结点安全性 |“概述 ”页,在中间窗格的“ 管理 ”部分下,选择“ 终结点检测和响应”。

  4. 终结点安全性 |终结点检测和响应 页上,选择菜单栏上的“ +创建策略 ”。

  5. 在出现的“创建配置文件”窗格中,选择“平台”字段中的“Windows 10和更高版本”。

  6. “配置文件” 字段中,选择“ 终结点检测和响应”。

  7. 选择“创建”。 这样做会启动 “创建配置文件” 向导。

  8. “创建配置文件 ”向导的“ 基本信息 ”选项卡上,输入 “名称” 和“ 说明 ” (配置文件的可选) ,然后选择“ 下一步”。

  9. 在“ 配置设置 ”选项卡上,为 “终结点检测和响应 ”配置以下选项,然后选择“ 下一步”:

    • Microsoft Defender for Endpoint客户端配置包类型。 选择“ 从连接器自动 ”,使用 Defender for Endpoint 部署中的载入包 (blob) 。 如果要载入其他或断开连接的 Defender for Endpoint 部署,请选择“ 载入 ”并将 WindowsDefenderATP.onboarding blob 文件中的文本粘贴到“ 载入 (设备) ”字段中。
    • 示例共享。 返回或设置 Microsoft Defender for Endpoint 示例共享配置参数。
    • [已弃用] 遥测报告频率。 对于高风险设备,请启用此设置,以便更频繁地向Microsoft Defender for Endpoint服务报告遥测数据。

    有关 Microsoft Defender for Endpoint 设置的详细信息,请参阅使用 Microsoft Endpoint Configuration Manager 载入 Windows 计算机

    该屏幕截图显示了“创建配置文件”页面上的“终结点检测和响应”设置的配置选项。

  10. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”以继续。

  11. 在“分配”页上,选择将接收此配置文件的组。 部署到用户组时,用户必须先登录设备,然后才能应用策略,并且设备可以加入 Defender for Endpoint。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 选择 下一步

  12. 完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。 选择“ 确定”,然后选择“ 创建 ”以保存更改,这将创建配置文件。

载入 MacOS 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 macOS 设备载入到 Microsoft Defender for Endpoint。 载入将设备配置为与 Microsoft Defender Endpoint 进行通信,然后收集有关设备风险级别的数据。

其他读取。 有关Intune配置指南的详细信息,请参阅 macOS Microsoft Defender for Endpoint。 有关载入 macOS 设备的详细信息,请参阅 Microsoft Defender for Endpoint for Mac

载入 Android 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 Android 设备载入到 Microsoft Defender for Endpoint。 载入将设备配置为与 Defender for Endpoint 进行通信,然后收集有关设备风险级别的数据。

没有运行 Android 的设备的配置包。 有关 Android 的先决条件和载入说明,请参阅 Android Microsoft Defender for Endpoint概述。 对于运行 Android 的设备,你还可以使用 Intune 策略修改 Android 上的 Microsoft Defender for Endpoint。

其他读取。 有关详细信息,请参阅 Microsoft Defender for Endpoint Web 保护

载入 iOS/iPadOS 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 iOS/iPadOS 设备载入到 Microsoft Defender for Endpoint。 载入操作会将设备配置为与 Defender for Endpoint 通信。 然后,它会收集有关设备风险级别的数据。

没有运行 iOS/iPadOS 的设备的配置包。 有关 iOS/iPadOS 的先决条件和载入说明,请参阅适用于 iOS 的Microsoft Defender for Endpoint概述

对于运行 iOS/iPadOS 的设备(处于监督模式下),由于平台在这些类型的设备上提供了更多的管理功能,因此这些设备将具有专门的功能。 为了利用这些功能,Defender 应用需要知道设备是否处于监督模式。 Intune允许你通过应用程序配置策略 (为托管设备) 配置 Defender for iOS 应用。 最佳做法是,此策略应面向所有 iOS 设备。 有关详细信息,请参阅 受监督设备的完整部署

  1. 按照前面的指示导航到Microsoft Intune管理中心
  2. Microsoft Intune管理中心,在左侧导航窗格中选择“应用”。
  3. “应用”上 |“概述 ”页,在中间窗格的“ 策略 ”部分下,选择“ 应用配置策略”。
  4. “应用”上 |应用配置策略 页,在菜单栏上选择“ +添加 ”。 在显示的下拉菜单中,选择“ 托管设备”。 这样做会启动 “创建应用配置策略 ”向导。
  5. 应用配置策略向导的“基本信息”选项卡上,输入策略名称和说明 (可选) 。
  6. “平台 ”字段中,选择“ iOS/iPadOS”。
  7. “目标应用”右侧,选择“ 选择应用” 链接。
  8. 在显示的“关联应用”窗格中,选择“Word”,然后选择“下一步”。
  9. 选择“下一步”。
  10. “设置” 选项卡上,将 “配置设置”格式 设置为 “使用配置设计器”。
  11. 在显示的 “配置密钥 ”字段中,输入 处于监督状态
  12. “值类型 ”字段中,选择“ 字符串”。
  13. “配置值” 字段中,输入 {{issupervised}} 。
  14. “设置”选项卡上选择“下一步”。
  15. 在“ 分配 ”选项卡上,选择要接收此配置文件的组。 对于此方案,请在菜单栏上选择“包含的组”下的“+添加所有设备”。 最佳做法是面向所有设备。 当管理员将用户部署到用户组时,用户必须在应用策略之前登录设备。
  16. 在“分配”选项卡上选择“下一步”。
  17. 在“ 审阅 + 创建 ”页上,在完成查看和验证详细信息后,选择“ 创建 ”。 新策略应显示在应用配置策略列表中。 如果未立即显示,请选择菜单栏上的“刷新”选项。

其他读取。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

创建并分配合规性策略以设置设备风险级别

对于 Android、iOS/iPadOS 和 Windows 设备,合规性策略将确定组织认为其设备可接受的风险级别。 Microsoft Defender for Endpoint使用合规性策略作为评估因素之一,对每台设备执行实际风险级别评估。

当管理员在 Microsoft Intune 中创建符合性策略以设置设备风险级别时,他们定义设备必须满足的条件才能符合其组织的安全标准。 符合性策略根据这些条件评估设备的当前状态。 然后,它会生成一个合规性报告,并将其发送到Microsoft Defender for Endpoint。

然后,Microsoft Defender for Endpoint分析合规性报告以及其他安全数据和威胁情报,以确定设备的总体风险级别。 风险级别基于多种因素,包括:

  • 设备的符合性状态
  • 设备的软件和硬件配置
  • 网络活动
  • 潜在安全威胁的其他指标

摘要:

  • 符合性策略定义设备符合性的条件。
  • Microsoft Defender for Endpoint对设备的风险级别执行实际评估。
  • Microsoft Intune在设备上部署并强制实施策略。

如果对创建合规性策略不熟悉,请参考在 Microsoft Intune 中创建合规性策略一文中的创建策略过程。 以下信息具体介绍了如何将 Microsoft Defender for Endpoint 配置为合规性策略的一部分:

  1. 按照前面的指示导航到Microsoft Intune管理中心

  2. Microsoft Intune管理中心,在左侧导航窗格中选择“设备”。

  3. 设备上 |“概述 ”页,在中间窗格的“ 策略 ”部分下,选择“ 符合性策略”。

  4. 关于 合规性策略 |“策略 ”页,在菜单栏上选择“ +创建配置文件 ”。

  5. 在显示的“创建策略”窗格中,选择“平台”字段,然后从显示的下拉菜单中选择其中一个平台。 选择“创建”。 这样做会启动 [所选平台] 合规性策略 向导。

  6. [所选平台]合规性策略向导的“基本信息”选项卡上,输入策略名称和说明 (可选) 。 选择 下一步

  7. “符合性设置”选项卡上,展开“Microsoft Defender for Endpoint”组。 选择“ 要求设备位于计算机风险分数”字段或“计算机风险评分”字段下 。 在显示的下拉菜单中,选择首选级别。 有关详细信息,请参阅Microsoft Defender for Endpoint确定威胁级别分类

    • 明确。 此级别是最安全的。 设备不能存在任何威胁,且仍可访问公司资源。 Microsoft Defender for Endpoint评估具有任何威胁的设备不符合要求。 (Microsoft Defender for Endpoint 使用“安全”值。)
    • 。 如果仅存在低级别威胁,则设备合规。 Microsoft Defender for Endpoint将威胁级别中等或较高的设备评估为不符合要求。
    • 。 如果设备上发现的威胁为低级别或中等级别,则该设备合规。 Microsoft Defender for Endpoint将威胁级别较高的设备评估为不符合要求。
    • 。 此级别是最不安全的级别,允许所有威胁级别。 该策略将威胁级别高、中或低的设备分类为合规。

  8. 在“符合性设置”选项卡上选择“下一步”。

  9. “非符合性操作 ”选项卡上,添加对不符合设备的操作序列。 请注意标题为“标记设备不符合”的默认操作,该操作Microsoft Defender for Endpoint在将设备评估为不符合后立即执行。 如果不希望立即执行 操作,可以选择 更改此操作的计划。 根据组织要求添加任何其他不符合要求的操作,然后选择“ 下一步”。

  10. 在“ 分配 ”选项卡上,选择要接收此配置文件的组。 对于此方案,请在菜单栏上选择“包含的组”下的“+添加所有设备”。 最佳做法是面向所有设备。 当管理员将用户部署到用户组时,用户必须在应用策略之前登录设备。

  11. 在“分配”选项卡上选择“下一步”。

  12. 在“ 审阅 + 创建 ”页上,在完成查看和验证详细信息后,选择“ 创建 ”。 系统创建策略后,将显示新创建策略的窗口。

创建并分配应用保护策略以设置设备威胁级别

为受保护的应用创建应用保护策略时,Microsoft Intune将策略部署到设备。 然后,Microsoft Intune应用保护服务强制实施该策略。 但是,Microsoft Defender for Endpoint对设备的威胁级别执行评估。 为此,它会持续监视设备的潜在安全威胁和漏洞。

应用保护策略有助于保护设备上的应用及其数据,但它不会直接影响设备的威胁级别评估。 相反,Microsoft Defender for Endpoint根据多种因素来确定设备的威胁级别,包括:

  • 威胁智能
  • 行为分析
  • Microsoft Defender for Endpoint服务收集和分析的其他安全数据。

摘要:

  • Microsoft Intune部署并强制实施应用保护策略。
  • Microsoft Defender for Endpoint评估设备的威胁级别。

查看有关如何为 iOS/iPadOS 或 Android 创建应用程序保护策略的过程。 然后,在“应用”、“条件启动”和“分配”页面上使用以下信息:

  • 应用。 选择希望应用保护策略面向的应用。 然后,管理员可以根据所选移动威胁防御供应商的设备风险评估来阻止或选择性地擦除这些应用。

  • 条件启动。 在 “设备条件”下,使用下拉框选择“ 允许的最大设备威胁级别”。 为威胁级别“”选择以下选项之一:

    • 安全。 此级别是最安全的。 设备不能存在任何威胁,且仍可访问公司资源。 Microsoft Defender for Endpoint评估具有任何威胁的设备不符合要求。
    • 。 如果仅存在低级别威胁,则设备合规。 Microsoft Defender for Endpoint将威胁级别中等或较高的设备评估为不符合要求。
    • 。 如果设备上发现的威胁为低级别或中等级别,则该设备合规。 Microsoft Defender for Endpoint将威胁级别较高的设备评估为不符合要求。
    • 。 此级别是最不安全的,允许使用移动威胁防御 (MTD) 的所有威胁级别,仅用于报告目的。 设备必须使用此设置激活 MTD 应用。根据威胁级别 “操作”选择管理员要执行的以下建议选项之一:
      • 阻止访问
      • 擦除数据

  • 分配。 将策略分配给用户组。 Intune应用保护评估组成员用于访问目标应用上的公司数据的设备。

重要

如果为任何受保护的应用创建应用保护策略,Microsoft Defender for Endpoint评估设备的威胁级别。 根据配置,Microsoft Intune阻止或选择性地擦除 (通过条件启动) 不符合可接受级别的设备。 在所选 MTD 供应商解决设备上的威胁并将其报告给Intune之前,被阻止的设备无法访问公司资源。

创建条件访问策略

条件访问策略可以使用Microsoft Defender for Endpoint中的数据来阻止对超过所设置威胁级别的设备的资源的访问。 可以阻止设备访问公司资源,如 SharePoint 或 Exchange Online。 此服务将强制实施 Microsoft 365 和其他 Microsoft 云服务的条件访问策略。 当 Microsoft Defender for Endpoint 认为某个设备不合规时,条件访问服务会收到通知,并可以采取措施来阻止该设备访问企业资源。

摘要:

  • Microsoft Defender for Endpoint 提供条件访问服务用于确定设备是否合规的威胁情报和风险评估数据。
  • Microsoft Intune 将合规性策略部署到设备,并确保它们符合所需的安全标准。
  • Microsoft Entra ID 中的条件访问服务将阻止超过组织设置的威胁级别的设备。

提示

条件访问是一种Microsoft Entra技术。 在 Microsoft Intune 管理中心中找到的条件访问节点是 Microsoft Entra 中的节点。

完成以下步骤,基于设备合规性创建条件访问策略:

  1. 按照前面的指示导航到Microsoft Intune管理中心

  2. Microsoft Intune 管理中心,在左侧导航窗格中选择“终结点安全性”。

  3. 在“终结点安全|概述”页面中间窗格的“管理”部分下,选择“条件访问”。

  4. 在“条件访问|策略”页面,在菜单栏上选择“+新建策略”。

  5. 在“新建”页面上,输入策略名称。 然后定义与策略关联的“分配”和“访问控制”。 例如:

    • “用户 ”部分下,使用“ 包括 ”或“ 排除 ”选项卡配置接收此策略的组。

    • 对于“目标资源”,设置“选择将此策略应用于云应用”,然后选择要保护的应用。 例如,依次选择“选择应用”、“选择”、“Office 365 SharePoint OnlineOffice 365 Exchange Online”。

    • 对于 “条件”,选择“ 客户端应用 ”,然后将 “配置” 设置为 “是”。 接下来,选择“浏览器”、“移动应用”和“桌面客户端”检查框。 然后,选择“ 完成 ”以保存客户端应用配置。

    • 对于 “授予”,请根据设备符合性规则将此策略配置为应用。 例如:

      1. 选择 “授予访问权限”。
      2. 选中“要求设备标记为合规”检查框。
      3. 选择“ 需要所有选定的控件”。 选择 “选择” 以保存“授予”配置。

    • 对于 “启用策略”,请选择“ 打开 ”,然后选择 “创建 ”以保存更改。

知识检查

为以下每个问题选择最佳答案。

知识检查

1.

作为 Fabrikam Microsoft 365 管理员,Holly Spencer 正在考虑是否同时创建设备配置策略和终结点检测和响应策略来管理相同的设备设置 - 在本例中,将设备载入到Microsoft Defender for Endpoint。 如果贾勇创建这些策略,会发生什么情况?