使用 Microsoft Defender for Endpoint Security Settings Management 來管理 Microsoft Defender 防病毒軟體
適用於:
平台
- Windows
- Windows Server
- macOS
- Linux
使用適用於端點的 Microsoft Defender 安全性設定管理來管理裝置上的 Microsoft Defender 防病毒軟體安全策略。
先決條件:
請在這裡檢閱必要條件。
注意事項
Microsoft Defender 入口網站中的 [端點安全 策略] 頁面僅適用於 已指派安全性系統管理員角色的使用者。 任何其他使用者角色,例如安全性讀取者,都無法存取入口網站。 當使用者具有在 Microsoft Defender 入口網站中檢視原則的必要許可權時,數據會根據 Intune 許可權呈現。 如果使用者在 Intune 角色型訪問控制範圍內,則會套用至 Microsoft Defender 入口網站中顯示的原則清單。 建議您授與具有 Intune 內建角色「端點安全性管理員」的安全 性系統管理員,以有效調整 Intune 與 Microsoft Defender 入口網站之間的許可權層級。
身為安全性系統管理員,您可以在 Microsoft Defender 入口網站中設定不同的 Microsoft Defender 防病毒軟體安全 策略設定。
重要事項
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
您會在 [端點設定管理>端點>安全策略] 下找到端點安全策略。
下列清單提供每個端點安全策略類型的簡短描述:
防病毒軟體 - 防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。
磁碟加密 - 端點安全性磁碟加密配置檔只著重於與裝置內建加密方法相關的設定,例如 FileVault 或 BitLocker。 此焦點可讓安全性系統管理員輕鬆管理磁碟加密設定,而不需要流覽主機的不相關設定。
防火牆 - 使用 Intune 中的端點安全性防火牆原則,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。
端點偵測和回應 - 當您整合 Microsoft Defender for Endpoint 與 Intune 時,請使用端點偵測和回應 (EDR) 的端點安全策略來管理 EDR 設定,並將裝置上線以Microsoft適用於端點的 Defender。
受攻擊面縮小 - 當Microsoft Windows 10/11 裝置上使用Defender防病毒軟體時,請使用受攻擊面縮小的 Intune 端點安全策略來管理裝置的這些設定。
建立端點安全策略
至少使用安全性系統管理員角色登入 Microsoft Defender 入口網站 。
選 取 [端點設定>管理>端點安全策略] ,然後選取 [建立新原則]。
從下拉式清單中選取平臺。
選取範本,然後選取 [ 建立原則]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定] 頁面上,展開每個設定群組,並使用此配置檔設定您要管理的設定。
完成設定後,請選取 [下一步]。
在 [指派] 頁面上,選取將接收此設定檔的群組。
選取 [下一步]。
在 [ 檢閱 + 建立] 頁面上,當您完成時,選取 [ 儲存]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
注意事項
若要編輯範圍標籤,您必須移至 Microsoft Intune 系統管理中心。
編輯端點安全策略
選取新的原則,然後選取 [ 編輯]。
選取 [設定],以展開原則中的組態設定清單。 您無法修改此檢視中的設定,但可以檢閱其設定方式。
若要修改原則,請針對您要變更的每個類別選取 [編輯]:
- 基本功能
- 設定
- 作業
進行變更之後,請選取 [ 儲存 ] 以儲存您的編輯。 您必須先儲存一個類別的編輯,才能導入其他類別的編輯。
驗證端點安全策略
若要確認您已成功建立原則,請從端點安全策略清單中選取原則名稱。
注意事項
原則最多可能需要 90 分鐘的時間才能觸達裝置。 若要加速此程式,針對適用於端點的 Defender 所管理的裝置,您可以從 [動作] 選單中選取 [原則 同步 處理],以便在大約 10 分鐘內套用。
原則頁面會顯示摘要說明原則狀態的詳細數據。 您可以檢視原則的狀態、已套用原則的裝置,以及指派的群組。
在調查期間,您也可以檢視裝置頁面中的 [ 安全 策略] 索引標籤,以檢視套用至特定裝置的原則清單。 如需詳細資訊,請 參閱調查裝置。
