開始使用：從系統管理中心建立和部署端點安全策略

適用於：Configuration Manager (目前的分支)

Microsoft Intune系列產品是管理所有裝置的整合式解決方案。 Microsoft將 Configuration Manager 和 Intune 整合到名為 Microsoft Intune 系統管理中心的單一控制台。

必要條件

• 存取 Microsoft Intune 系統管理中心。
• 與 已上傳裝置連結的租用戶環境。
• 支援的 Configuration Manager 版本，以及已安裝的對應主控台版本。
  • 將目標裝置升級至 Configuration Manager 用戶端的最新版本。
• 至少有一個可用來指派端點安全策略的 Configuration Manager 集合
• 支援租用戶連結裝置此配置檔的 Windows 裝置

租用戶附加裝置的端點安全性防火牆原則

平台	端點安全性原則	設定檔	Endpoint Protection (Configuration Manager)	端點安全性 (租使用者附加)
Windows 10、Windows 11 和 Windows Server	防毒軟體	防毒軟體
Windows 10、Windows 11 和 Windows Server	防毒軟體	防病毒軟體排除專案
Windows 10、Windows 11 和 Windows Server	防毒軟體	竄改保護
Windows 10、Windows 11 和 Windows Server	受攻擊面縮小	受攻擊面縮小規則
Windows 10、Windows 11	受攻擊面縮小	應用程式防護 設定
Windows 10、Windows 11 和 Windows Server	受攻擊面縮小	入侵防護
Windows 10、Windows 11 和 Windows Server	端點偵測及回應	端點偵測及回應
Windows 10、Windows 11 和 Windows Server	防火牆	防火牆
Windows 10、Windows 11 和 Windows Server	防火牆	防火牆規則

透過租使用者附加案例，您使用最新分支 Configuration Manager 管理的裝置支援下列配置檔：

• 平台：Windows 10、Windows 11 與 Windows Server (ConfigMgr)

  • 配置檔：Microsoft Defender 防病毒軟體 - 當您使用租使用者附加時，管理 Configuration Manager 裝置的防病毒軟體原則設定。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)
    • Windows Server 2019 及更新版本 (x64)
    • Windows Server 2016 (x64)
    • Windows 8.1 (x86、x64)
    • Windows Server 2012 R2 (x64)

  • 配置檔：當您使用租使用者附加時，Windows 安全性 體驗 (ConfigMgr) - 管理 Configuration Manager 裝置的 Windows 安全性 應用程式設定。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)
    • Windows Server 2019 及更新版本 (x64)

  重要事項

  為了支援管理竄改防護，您的環境必須另外符合使用 Intune 管理竄改防護的必要條件，如 Windows 文件中所述。

  • 設定檔：端點偵測和回應 (ConfigMgr) - 管理端點偵測和回應原則設定 (當您使用租用戶附加時)。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)

    • Windows 8.1 (x84、x64)

    • Windows Server 2019 及更新版本 (x64)

    • Windows Server 2016 (x64)

    • Windows Server 2012 R2 (x64)

    • 配置檔：受攻擊面縮小規則 (ConfigMgr) - 當您使用租使用者附加時，在受攻擊面縮小原則中管理 Configuration Manager 裝置的受攻擊面縮小規則。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)
    • Windows Server 2019 及更新版本 (x64)
    • Windows Server 2016 (x64)
    • Windows Server 2012 R2 (x64)

    注意事項

    Windows Server 2012 R2 和 Windows Server 2016 可能無法使用「降低攻擊面」規則。 如需詳細資訊，請參閱 降低攻擊面規則檔。

• 平台：Windows 10 及更新版本

  • 配置檔：Microsoft Defender 使用租使用者附加時，防火牆 (ConfigMgr) - 管理 Configuration Manager 裝置的防火牆原則設定。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)

    重要事項

    需要支援的 Configuration Manager 版本才能支援防火牆原則。

  • 配置檔：惡意探索保護 (ConfigMgr) - 當您使用租使用者附加時，在受攻擊面縮小原則中管理 Configuration Manager 裝置的惡意探索保護設定。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)

  • 配置檔：Web 保護 (ConfigMgr) - 當您使用租使用者附加時，在受攻擊面縮小原則中管理 Configuration Manager 裝置的Web保護設定。

    此設定檔支援已進行租用戶附加且執行下列平台的裝置：

    • Windows 10 及更新版本 (x86、x64、ARM64)

提供 Configuration Manager 集合，以指派端點安全性原則

當您啟用裝置集合以搭配 Intune 的端點安全性原則運作時，您會將那些集合中的裝置設定為透過適用於端點的 Microsoft Defender 上線。

1. 從連線到最上層網站的 Configuration Manager 主控台，以滑鼠右鍵按下您同步至系統管理中心 Microsoft Intune 裝置集合，然後選取 [內容]。

2. 在 [雲端同步] 索引標籤上，啟用 [讓此集合可供使用] 選項，以從 Microsoft Intune 系統管理中心指派端點安全策略。

   • 如果您的 Configuration Manager 階層未附加租使用者，則無法選取此選項。
   • 此選項可用的集合受限於 針對租使用者附加上傳選取的集合範圍。

   

3. 選取 [新增]，然後選取您想要與 [收集成員資格結果] 同步處理的 Microsoft Entra 群組。

4. 選取 [確定 ] 以儲存設定。

   此集合中的裝置現在可以使用 適用於端點的 Microsoft Defender 上線，並支援使用 Intune 端點安全策略。

後續步驟

• 建立端點安全性防毒原則，並將其部署至租用戶附加裝置
• 建立端點安全性防火牆原則，並將其部署至租用戶附加裝置
• 建立端點安全性端點偵測及回應原則，並將其部署至租用戶附加裝置