Intune 中端點安全性的防病毒軟體原則
Intune 端點安全性防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。
防病毒軟體原則包含數個配置檔。 每個配置檔只包含與 macOS 和 Windows 裝置的 適用於端點的 Microsoft Defender 防病毒軟體相關,或與 Windows 裝置上 Windows 安全性 應用程式中的使用者體驗相關的設定。
您會在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,找到 [管理] 底下的防病毒軟體原則。
防病毒軟體原則包含與找到的端點保護或裝置設定原則的裝置限制範本相同的設定。 不過,這些原則類型包含與防病毒軟體無關的其他設定類別。 其他設定可能會使設定防病毒軟體工作負載的工作變得複雜。 此外,macOS 防病毒軟體原則中找到的設定無法透過其他原則類型使用。 macOS 防病毒軟體配置檔會取代使用 .plist
檔案來設定設定的需求。
適用於:
- Linux
- macOS
- Windows 10
- Windows 11
- 透過 適用於端點的 Microsoft Defender 安全性設定管理案例 ( Windows Server)
防病毒軟體原則的必要條件
支援已註冊 Microsoft Intune (MDM) 裝置:
macOS
- 任何支援的macOS版本
- 若要 Intune 管理裝置上的防病毒軟體設定,適用於端點的 Microsoft Defender 必須安裝在該裝置上。 看。 macOS ( 的 適用於端點的 Microsoft Defender 在 適用於端點的 Microsoft Defender 檔)
Windows
- 不需要額外的必要條件。
支援 Configuration Manager 用戶端:
此案例處於預覽狀態,需要使用最新分支版本 2006 或更新版本 Configuration Manager。
設定 Configuration Manager 裝置的租使用者附加 - 若要支援將防病毒軟體原則部署到 Configuration Manager 所管理的裝置,請設定租使用者附加。 租使用者附加的設定包括設定 Configuration Manager 裝置集合,以支援來自 Intune 的端點安全策略。
若要設定租使用者附加, 請參閱設定租使用者附加以支援端點保護原則。
支援 適用於端點的 Microsoft Defender 用戶端:
- 適用於端點的 Defender 安全性設定管理 - 若要設定支援將防病毒軟體原則部署至由 Defender 管理但未向 Intune 註冊的裝置,請參閱使用 Microsoft Intune 管理裝置上的 適用於端點的 Microsoft Defender。 本文也包含此功能所支援平臺的相關信息,以及這些平臺支持的原則和配置檔。
角色型存取控制 (RBAC)
如需指派管理 Intune 防病毒軟體原則之許可權和許可權的正確層級指引,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy。
竄改保護的必要條件
竄改保護適用於執行下列其中一個操作系統的裝置:
- macOS (任何支援的版本)
- Windows 10 和11個 (,包括企業多重會話)
- Windows Server 1803 版或更新版本、Windows Server 2019、Windows Server 2022
- Windows Server 2012 R2 和 Windows Server 2016 (使用現代化的整合解決方案)
注意事項
裝置必須上線才能 適用於端點的 Microsoft Defender (P1 或 P2) 。 如果先前未上線到 適用於端點的 Microsoft Defender,裝置可能會看到啟用竄改保護的延遲。 在上線至 適用於端點的 Microsoft Defender 之後,將會在第一個裝置簽入時啟用竄改保護。
您可以使用 Intune 來管理 Windows 裝置上的竄改保護,作為防病毒軟體原則) (Windows 安全性 體驗配置檔的一部分。 這包括您使用 Intune 管理的裝置,以及透過租使用者附加案例 Configuration Manager 管理的裝置。 竄改保護現在也適用於 Azure 虛擬桌面。
Intune 受控裝置
支援受 Intune 管理之裝置的竄改保護的必要條件:
- 您的環境必須符合使用 Intune 管理竄改保護的必要條件
- 裝置已上線至 適用於端點的 Microsoft Defender (P1 或 P2)
支援受 Microsoft Intune 管理之裝置之竄改保護的防病毒軟體原則配置檔:
平臺: Windows
- 配置檔:Windows 安全性 體驗
注意事項
從 2022 年 4 月 5 日開始,Windows 10 和更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代,現在更直接命名為 Windows。
Windows 平臺支援透過 Microsoft Intune 或 適用於端點的 Microsoft Defender 與 Intune 通訊的裝置。 這些配置檔也會新增 Windows Server 平台的支援,而 windows Server 平臺不是透過原生 Microsoft Intune 支援。
這個新平臺的配置檔會使用設定格式,如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更,您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。
您也可以使用裝置設定原則的 Endpoint Protection 配置檔,為受 Intune 管理的裝置設定竄改保護。
Configuration Manager 透過租使用者附加案例管理的用戶端
支援使用這些設定檔管理竄改保護的必要條件:
- 您的環境必須符合使用 Intune 管理竄改保護的必要條件,如 Windows 檔中所述。
- 您必須使用最新分支 2006 或更新版本 Configuration Manager。
- 您必須設定租使用者附加以支援端點保護原則。 這包括設定 Configuration Manager 裝置集合以與 Intune 同步處理。
- 裝置已上線至 適用於端點的 Microsoft Defender (P1 或 P2)
支援受 Configuration Manager 管理之裝置之竄改保護的防病毒軟體原則配置檔:
- 平臺:Windows (ConfigMgr)
- 設定檔:Windows 安全性 預覽) (體驗
防病毒軟體配置檔
由 Microsoft Intune管理的裝置
您使用 Intune 管理的裝置支援下列設定檔:
macOS:
平臺: macOS
配置檔: 防病毒軟體 - 管理 macOS 的防病毒軟體原則設定 。
當您使用 適用於端點的 Microsoft Defender for Mac 時,您可以透過 Intune 來設定及部署防病毒軟體設定至受控 macOS 裝置,而不是使用
.plist
檔案來設定這些設定。
Windows:
平臺: Windows
此平臺的配置檔可以與向 Intune 註冊的裝置搭配使用,以及透過安全性管理來管理 適用於端點的 Microsoft Defender 的裝置。注意事項
從 2022 年 4 月 5 日開始,Windows 10 和更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代,現在更直接命名為 Windows。
Windows 平臺支援透過 Microsoft Intune 或 適用於端點的 Microsoft Defender 與 Intune 通訊的裝置。 這些配置檔也會新增 Windows Server 平台的支援,而 windows Server 平臺不是透過原生 Microsoft Intune 支援。
這個新平臺的配置檔會使用設定格式,如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更,您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。
配置檔:Microsoft Defender 防病毒軟體 - 管理 Windows 裝置的防病毒軟體原則設定。
Defender 防毒軟體 是 適用於端點的 Microsoft Defender 的新一代保護元件。 新一代保護結合機器學習和雲端基礎結構等技術,以保護企業組織中的裝置。
Microsoft Defender 防病毒軟體配置檔是在裝置設定原則的裝置限制配置檔中找到的個別防病毒軟體設定實例。
不同於 裝置限制配置檔中的防病毒軟體設定,您可以將這些設定與共同管理的裝置搭配使用。 若要使用這些設定,Endpoint Protection 的共同管理工作負載滑桿必須設定為 Intune。
配置檔:Microsoft Defender 防病毒軟體排除專案 - 僅管理防病毒軟體排除的原則設定。
使用此原則,您可以管理下列 Microsoft Defender 防病毒軟體設定服務提供者的設定, (定義防病毒軟體排除專案的 CSP) :
- Defender/ExcludedPaths
- Defender/ExcludedExtensions
- Defender/ExcludedProcesses
這些防病毒軟體排除的 CSP 也受 Microsoft Defender 防病毒軟體原則管理,其中包含相同的排除設定。 來自兩種原則類型的設定 (防病毒軟體 和 防病毒軟體排除 範圍) 會受限於 原則合併,併為適用的裝置和使用者建立一組超多的排除專案。
警告
定義排除專案可降低 Microsoft Defender 防病毒軟體所提供的保護。 一律評估與實作排除專案相關聯的風險。 僅排除您知道不是惡意的檔案。
如需詳細資訊,請參閱 Microsoft Defender 檔中的排除概觀。
配置檔:Windows 安全性 體驗 - 管理使用者可在 Microsoft Defender 資訊安全中心檢視的 Windows 安全性 應用程式設定,以及他們收到的通知。
Windows 安全性應用程式是由一些 Windows 安全性功能用來提供機器健康情況和安全性的相關通知。 安全性應用程式通知包括防火牆、防病毒軟體產品、Windows Defender SmartScreen 等等。
設定檔:Defender 更新控制件 - 管理 Microsoft Defender 的更新設定,包括直接從 Defender CSP 取得的下列設定:
由 Configuration Manager 管理的裝置
防毒軟體
當您使用租使用者附加時,管理 Configuration Manager 裝置的防病毒軟體設定。
原則路徑:
- 端點安全>性防病毒軟體 > Windows (ConfigMgr)
設定檔:
- Microsoft Defender 防病毒軟體 (預覽)
- Windows 安全性 預覽) (體驗
Configuration Manager 的必要版本:
- Configuration Manager 最新分支版本 2006 或更新版本
支援的 Configuration Manager 裝置平臺:
- 從 2010 Configuration Manager 版開始,Windows 8.1 (x86、x64)
- Windows 10 及更新版本 (x86、x64、ARM64)
- Windows 11 和更新版本 (x86、x64、ARM64)
- Windows Server 2012 R2 (x64) ,從 2010 Configuration Manager 版開始
- x64) (Windows Server 2016 和更新版本
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
設定的原則合併
某些防病毒軟體原則設定支持 原則合併。 當多個原則套用至相同的裝置並設定相同的設定時,原則合併有助於避免衝突。 Intune 會根據所有適用的原則,針對每個使用者或裝置評估原則合併支持的設定。 這些設定接著會合併成單一原則超集。
例如,您會建立三個不同的防病毒軟體原則,以定義不同的防病毒軟體檔案路徑排除專案。 最後,這三個原則都會指派給相同的使用者。 因為 Microsoft Defender 檔案路徑排除 CSP 支援原則合併,Intune 會評估並結合使用者所有適用原則的檔案排除專案。 排除專案會新增至超集,並將單一排除清單傳遞至用戶的裝置。
當設定不支持原則合併時,可能會發生衝突。 衝突可能會導致使用者或裝置未收到任何設定原則。 例如,原則合併不支援 CSP 防止安裝相符的裝置標識碼 (PreventInstallationOfMatchingDeviceIDs) 。 此 CSP 的設定不會合併,而且會個別處理。
個別處理時,會解決原則衝突,如下所示:
- 套用最安全的原則。
- 如果兩個原則同樣安全,則會套用上次修改的原則。
- 如果上次修改的原則無法解決衝突,則不會將任何原則傳遞至裝置。
支持原則合併的設定和 CSP
下列設定支持原則合併:
- 排除的進程 - CSP: Defender/ExcludedProcesses
- 排除的擴充 功能 - CSP: Defender/ExcludedExtensions
- 排除的路徑 - CSP: Defender/ExcludedPaths
防病毒軟體原則報告
防病毒軟體原則報告會顯示端點安全性防病毒軟體原則和裝置狀態的狀態詳細數據。 這些報告可在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中取得。
若要檢視報告,請在 Microsoft Intune 系統管理中心,移至 [端點安全性],然後選取 [防病毒軟體]。 選取 [防病毒軟體] 會開啟 [摘要] 頁面。 其他報表和狀態檢視可做為其他頁面使用。
除了下列各節中詳述的報告之外,Microsoft Defender 防病毒軟體的其他報告也可在 Microsoft Intune 系統管理中心的 [報告] 節點中找到,如 Intune 報告一文中所述:
摘要
在 [ 摘要] 頁面上,您可以 建立新的原則 ,並檢視先前建立的原則清單。 此清單包含原則包含 (原則類型) ,以及是否已指派原則之配置檔的高階詳細數據。
當您從清單中選取原則時,該原則實例的 [ 概觀 ] 頁面會開啟並顯示詳細資訊。 從此檢視中選取磚之後,Intune 會顯示該配置檔可用的其他詳細數據。
狀況不良的端點
在 [ 狀況不良的端點 ] 頁面上,您可以檢視 MDM 受控 Windows 裝置防病毒軟體狀態的相關信息。 此資訊會從裝置上執行的 Windows Defender 防毒軟體 傳回,作為威脅代理程序狀態。 在此頁面上,選取 [ 數據行] 以檢視報表中可用的完整詳細數據清單。
只有偵測到問題的裝置才會出現在此檢視中。 此檢視不會顯示識別為乾淨之裝置的詳細數據。
此報告的資訊是根據下列 CSP 提供的詳細資料,如 Windows 用戶端管理檔中所述:
後續步驟
檢視已淘汰 Windows 10 和更新平臺之已淘汰配置檔中 Windows 設定的詳細資料: