在 Microsoft Intune 中管理端點安全性
身為安全性 管理員,請使用 Intune 中的端點安全性節點來設定裝置安全性,並在裝置有風險時管理裝置的安全性工作。 端點安全策略的設計目的是要協助您專注於裝置的安全性並降低風險。 可用的工作可協助您識別有風險的裝置、修復這些裝置,並將其還原為符合規範或更安全的狀態。
端點安全性節點會將可透過 Intune 取得的工具分組,以供您用來保護裝置安全:
檢閱所有受控裝置的狀態。 使用 [所有裝置 ] 檢視,您可以在其中檢視高層級的裝置合規性。 然後,深入瞭解特定裝置,以瞭解哪些合規性政策不符合,以便您解決它們。
部署安全性基準,以建立裝置的最佳做法安全性設定。 Intune 包含 Windows 裝置的安全性基準,以及不斷成長的應用程式清單,例如 適用於端點的 Microsoft Defender 和Microsoft Edge。 安全性基準是預先設定的 Windows 設定群組,可協助您套用相關安全性小組的建議設定。
透過緊密聚焦的原則來管理裝置上的安全性設定。 每個端點安全策略都著重於裝置安全性的各個層面,例如防病毒軟體、磁碟加密、防火牆,以及透過與 適用於端點的 Microsoft Defender整合而提供的數個區域。
透過合規性政策建立裝置和使用者需求。 透過 合規性政策,您可以設定裝置和用戶必須符合才能視為符合規範的規則。 規則可以包含操作系統版本、密碼需求、裝置威脅層級等等。
當您與 Microsoft Entra 條件式存取原則整合以強制執行合規性原則時,您可以限制受管理裝置和尚未受管理裝置的公司資源存取權。
將 Intune 與您的 適用於端點的 Microsoft Defender 小組整合。 藉由與 適用於端點的 Microsoft Defender 整合,您可以存取安全性工作。 安全性工作會將 適用於端點的 Microsoft Defender 和 Intune 緊密地系結在一起,以協助您的安全性小組識別有風險的裝置,並遞交詳細的補救步驟,以 Intune 可採取動作的系統管理員。
本文的下列各節討論您可以從系統管理中心的端點安全性節點執行的不同工作,以及角色型訪問控制 (RBAC) 使用它們所需的許可權。
端點安全性概觀
當您在 Microsoft Intune 系統管理中心開啟 [端點安全性] 節點時,它會預設為 [概觀] 頁面。
[端點安全性概觀] 頁面會顯示合併的儀錶板,其中包含從更著重的端點安全性節點提取的顯示和資訊,包括防病毒軟體、端點偵測和回應,以及 適用於端點的 Microsoft Defender:
適用於端點的 Defender 連接器狀態 – 此檢視會顯示適用於 端點連接器的全租使用者 Defender 的目前狀態。 此檢視的標籤也可作為連結,以開啟 適用於端點的 Microsoft Defender 入口網站。
此相同的檢視可在 [端點偵測和響應 原則] 節點的 [摘要] 索引標籤上取得。
已上線至適用於端點的Defender的 Windows 裝置 – 下表顯示 端點偵測和回應 (EDR) 上線的全租用戶狀態,以及已上線和未上線的裝置計數。 此檢視的標籤是一個連結,會開啟 [端點偵測和響應原則] 節點的 [摘要] 索引標籤。
另外包含兩個連結:
部署預先設定的原則 – 此鏈接會開啟 端點偵測和響應 的原則節點,您可以在其中將原則部署到將裝置上線至 Defender。
將裝置上線至適用於端點的Defender – 可開啟Defender入口網站的連結,您可以在其中採取其他步驟,讓裝置在Intune的簡化工作流程之外上線。
防病毒軟體代理程序狀態 – 此檢視會顯示 Intune 防病毒軟體代理程序狀態報告的摘要詳細數據,否則可在 Intune 系統管理中心取得,方法是移至 [摘要] 索引卷標上的 [報告>Microsoft Defender 防病毒軟體]。
其他監視報告 - 本節包含可開啟其他 Microsoft Defender 防病毒軟體報告的磚,包括偵測到的惡意代碼防火牆狀態。 另一個圖格會開啟 Defender 入口網站 ,您可以在其中檢視感測器和防病毒軟體健康情況數據。
管理裝置
端點安全性節點包含 [所有裝置] 檢視,您可以在其中檢視 Microsoft Intune 中可用 Microsoft Entra ID 的所有裝置清單。
在此檢視中,您可以選取要鑽研的裝置,以取得裝置不符合哪些原則的詳細資訊。 您也可以使用此檢視的存取權來補救裝置的問題,包括重新啟動裝置、啟動惡意代碼掃描,或在 Window 10 裝置上輪替 BitLocker 金鑰。
如需詳細資訊,請參閱在 Microsoft Intune 中管理具有端點安全性的裝置。
管理安全性基準
Intune 中的安全性基準是預先設定的設定群組,這些設定是產品相關Microsoft安全性小組的最佳做法建議。 Intune 支援 Windows 10/11 裝置設定、Microsoft Edge、適用於端點的 Microsoft Defender 保護等的安全性基準。
您可以使用安全性基準,快速部署裝置和應用程式設定 的最佳做法 設定,以保護您的使用者和裝置。 執行 Windows 10 1809 版和更新版本的裝置支援安全性基準,Windows 11。
如需詳細資訊,請參閱使用安全性基準在 Intune 中設定 Windows 裝置。
安全性基準是 Intune 在裝置上設定設定的數種方法之一。 管理設定時,請務必了解環境中使用哪些其他方法可以設定您的裝置,以避免發生衝突。 請參閱本文稍後的 避免原則衝突 。
檢閱來自 適用於端點的 Microsoft Defender 的安全性工作
在整合 Intune 與 適用於端點的 Microsoft Defender 時,您可以檢閱 Intune 中識別有風險裝置的安全性工作,並提供降低該風險的步驟。 然後,您可以使用工作回報,以在成功降低這些風險時 適用於端點的 Microsoft Defender。
您的 適用於端點的 Microsoft Defender 小組會判斷哪些裝置有風險,並將該資訊傳遞給您的 Intune 小組作為安全性工作。 只要按幾下滑鼠,他們就可以為 Intune 建立安全性工作,以識別有風險的裝置、弱點,並提供如何降低該風險的指引。
Intune 系統管理員會檢閱安全性工作,然後在 Intune 內採取行動來補救這些工作。 緩和之後,他們會將工作設定為完成,這會將該狀態傳達給 適用於端點的 Microsoft Defender 小組。
透過安全性工作,這兩個小組會與哪些裝置有風險,以及補救這些風險的方式和時機保持同步。
若要深入瞭解如何使用安全性工作,請參閱使用 Intune 來補救 適用於端點的 Microsoft Defender 所識別的弱點。
使用原則來管理裝置安全性
身為安全性系統管理員,請使用在 [端點安全性] 節點的 [ 管理 ] 底下找到的安全策略。 透過這些原則,您可以設定裝置安全性,而不需要瀏覽裝置組態配置檔或安全性基準中較大的主體和設定範圍。
若要深入瞭解如何使用這些安全策略,請 參閱使用端點安全策略管理裝置安全性。
端點安全策略是 Intune 在裝置上設定設定的數種方法之一。 管理設定時,請務必了解環境中使用哪些其他方法可以設定您的裝置,並避免衝突。 請參閱本文稍後的 避免原則衝突 。
另請參閱管理下方的裝置合規性和條件式存取原則。 這些原則類型不是設定端點的重點安全策略,而是管理裝置和存取公司資源的重要工具。
使用裝置合規性政策
使用裝置合規性政策來建立允許裝置和使用者存取網路和公司資源的條件。
可用的合規性設定取決於您使用的平臺,但常見的原則規則包括:
- 要求裝置執行最低或特定作業系統版本
- 設定密碼需求
- 指定允許的最大裝置威脅層級,由 適用於端點的 Microsoft Defender 或其他Mobile Threat Defense合作夥伴決定
除了原則規則之外,合規性原則也支援不符合 規範的動作。 這些動作是一系列時間排序的動作,可套用至不符合規範的裝置。 動作包括傳送電子郵件或通知,以警示裝置使用者有關不符合規範、遠端鎖定裝置,或甚至淘汰不符合規範的裝置,以及移除任何可能在其中的公司數據。
當您整合 Intune Microsoft Entra 條件式存取原則來強制執行合規性原則時,條件式存取可以使用合規性數據來存取受管理裝置及未管理裝置的公司資源。
若要深入瞭解,請參閱在裝置上設定規則,以允許使用 Intune 存取組織中的資源。
裝置合規性原則是 Intune 在裝置上設定設定的數種方法之一。 管理設定時,請務必了解環境中使用哪些其他方法可以設定您的裝置,以及避免衝突。 請參閱本文稍後的 避免原則衝突 。
設定條件式存取
若要保護您的裝置和公司資源,您可以使用 Microsoft Entra 條件式存取原則搭配 Intune。
Intune 將裝置合規性政策的結果傳遞給 Microsoft Entra,然後使用條件式存取原則來強制哪些裝置和應用程式可以存取您的公司資源。 條件式存取原則也有助於針對您未使用 Intune 管理的裝置進行存取,而且可以使用與 Intune 整合之 Mobile Threat Defense 合作夥伴的合規性詳細數據。
以下是搭配使用條件式存取與 Intune 的兩個常見方法:
- 裝置型條件式存取,以確保只有受控和相容的裝置可以存取網路資源。
- 以應用程式為基礎的條件式存取,其使用應用程式保護原則來管理您未使用 Intune 管理之裝置上的使用者對網路資源的存取權。
若要深入瞭解如何搭配使用條件式存取與 Intune,請參閱瞭解條件式存取和 Intune。
設定與 適用於端點的 Microsoft Defender整合
在整合 適用於端點的 Microsoft Defender 與 Intune 時,您可以改善識別和響應風險的能力。
雖然 Intune 可以與數個Mobile Threat Defense 合作夥伴整合,但是當您使用 適用於端點的 Microsoft Defender 您在 適用於端點的 Microsoft Defender 與 Intune 之間取得緊密整合,並可存取深層裝置保護選項,包括:
- 安全性工作 – 適用於端點的 Defender 與 Intune 系統管理員之間順暢地溝通有風險的裝置、如何補救裝置,以及確認何時可降低這些風險。
- 用戶端上 適用於端點的 Microsoft Defender的簡化上線。
- 在 Intune 合規性原則和應用程式保護原則中使用適用於端點的 Defender 裝置風險訊號。
- 存取 竄改保護 功能。
若要深入瞭解如何搭配 Intune 使用 適用於端點的 Microsoft Defender,請參閱在 Intune 中使用條件式存取強制 適用於端點的 Microsoft Defender 合規性。
角色型訪問控制需求
若要在 Microsoft Intune 系統管理中心的端點安全性節點中管理工作,帳戶必須:
- 獲指派 Intune 的授權。
- 將角色型訪問控制 (RBAC) 許可權等於端點安全性管理員內建 Intune 角色所提供的許可權。 端點安全性管理員角色會授與 Microsoft Intune 系統管理中心的存取權。 此角色可供管理安全性與合規性功能的個人使用,包括安全性基準、裝置合規性、條件式存取和 適用於端點的 Microsoft Defender。
如需詳細資訊,請參閱角色型訪問控制 (RBAC) 與 Microsoft Intune。
端點安全性管理員角色所授與的許可權
您可以移至 [租用戶系統管理>角色>][所有角色],選取 [端點安全性管理員屬性],在 Microsoft Intune 系統管理中心檢視下列權>限清單。
權限:
-
Android FOTA
- 讀取
-
Android for Work
- 讀取
-
稽核數據
- 讀取
-
憑證連接器
- 讀取
-
公司裝置標識碼
- 讀取
-
衍生認證
- 讀取
-
裝置合規性原則
- Assign
- 建立
- Delete
- 讀取
- 更新
- 檢視報告
-
裝置設定
- 讀取
- 檢視報告
-
裝置註冊管理員
- 讀取
-
端點保護報告
- 讀取
-
註冊計劃
- 讀取裝置
- 讀取配置檔
- 讀取令牌
-
篩選
- 讀取
-
Intune 數據倉儲
- 讀取
-
Managed 應用程式
- 讀取
-
受管理裝置
- 刪除
- 讀取
- 設定主要使用者
- 更新
- 檢視報告
-
Microsoft Defender ATP
- 讀取
-
商務用 Microsoft Store
- 讀取
-
行動威脅防禦應用程式
- 修改
- 讀取
-
行動裝置應用程式
- 讀取
-
組織
- 讀取
-
合作夥伴 裝置管理
- 讀取
-
原則集
- 讀取
-
遠端協助連接器
- 讀取
- 檢視報告
-
遠端工作
- 取得 FileVault 金鑰
- 起始組態管理員動作
- 立即重新啟動
- 遠端鎖定
- 輪替 BitLockerKeys (預覽)
- 輪替 FileVault 金鑰
- 關閉
- 同步裝置
- Windows Defender
-
角色
- 讀取
-
安全性基準
- Assign
- 建立
- Delete
- 讀取
- 更新
-
安全性工作
- 讀取
- 更新
-
條款及條件
- 讀取
-
Windows 企業版憑證
- 讀取
避免原則衝突
您可以為裝置設定的許多設定,都可以由 Intune 中的不同功能來管理。 這些功能包括但不限於:
- 端點安全策略
- 安全性基準
- 裝置設定原則
- Windows 註冊原則
例如,在端點安全策略中找到的設定是裝置設定原則中 端點保護 和 裝置限制 配置檔中所找到設定的子集,也會透過各種安全性基準進行管理。
避免衝突的方法之一,就是不要使用不同的基準、相同基準的實例,或不同的原則類型和實例來管理裝置上的相同設定。 這需要規劃要用來將設定部署至不同裝置的方法。 當您使用相同方法的多個方法或實例來設定相同的設定時,請確定您的不同方法同意或未部署到相同的裝置。
如果發生衝突,您可以使用 Intune 的內建工具來識別和解決這些衝突的來源。 如需詳細資訊,請參閱:
後續步驟
設定: