瞭解如何使用 Intune 端點安全策略來管理未向 Intune 註冊之裝置上的 適用於端點的 Microsoft Defender
在整合 Microsoft Intune 與適用於端點的 Microsoft Defender 時,您可以使用 Intune 端點安全性原則,在未向 Intune 註冊的裝置上管理 Defender 安全性設定。 這項功能稱為 適用於端點的 Defender 安全性設定管理。
當您透過安全性設定管理來管理裝置時:
您可以使用 Microsoft Intune 系統管理中心 或 Microsoft 365 Defender 入口網站 來管理適用於端點的 Defender 的 Intune 端點安全性原則,並將這些原則指派給 Microsoft Entra ID 群組。 Defender 入口網站包含用於裝置檢視、原則管理和安全性設定管理之報告的使用者介面。
若要從 Defender 入口網站內管理原則,請參閱 Defender 內容中的 管理適用於端點的 Microsoft Defender 中的端點安全性原則。
裝置會根據其 Microsoft Entra ID 裝置物件取得他們獲指派的原則。 尚未在 Microsoft Entra 中註冊的裝置已做為此解決方案的一部分而加入。
當裝置收到原則時,裝置上的適用於端點的 Defender 元件會強制執行原則,並回報裝置的狀態。 裝置的狀態可在 Microsoft Intune 系統管理中心和 Microsoft Defender 入口網站中取得。
此案例會將 Microsoft Intune 端點安全性介面延伸到無法在 Intune 中註冊的裝置。 當裝置受到 Intune 管理 (註冊到 Intune) 時,裝置不會處理適用於端點的 Defender 安全性設定管理的原則。 請改為使用 Intune 將適用於端點的 Defender 原則部署到您的裝置。
適用於:
- Windows 10 和 Windows 11
- Windows Server (2012 R2 及更新版本)
- Linux
- macOS
先決條件
請查閱下列各節,取得適用於端點的 Defender 安全性設定管理案例的要求。
環境
當支援的裝置上線至適用於端點Microsoft Defender 時:
- 此裝置針對現有的 Microsoft Intune 狀態進行調查,這是向 Intune 註冊的行動裝置管理 (MDM)。
- 缺少 Intune 狀態的裝置會啟用安全性設定管理功能。
- 對於未完全向 Microsoft 註冊的裝置,會在可讓裝置擷取原則的 Microsoft Entra ID 中建立綜合裝置身分識別。 完全註冊的裝置會使用其目前的註冊。
- 適用於端點的 Microsoft Defender 會在裝置上強制執行從 Microsoft Intune 擷取的原則。
政府雲端支援
下列政府租用戶支援適用於端點的 Defender 安全性設定管理案例:
- 美國政府社群雲端 (GCC)
- 美國政府社群高 (GCC High)
- 美國國防部 (DoD)
如需詳細資訊,請參閱:
- Intune 美國政府服務描述
- 適用於美國政府客戶的適用於端點的 Microsoft Defender
- 美國政府客戶在 適用於端點的 Microsoft Defender 中與商業功能同位。
連線要求
裝置必須能夠存取下列端點:
-
*.dm.microsoft.com
- 可以使用萬用字元支援用於註冊、簽到及回報的雲端服務端點,而且可以隨著服務規模而變更。
支援的平台
下列裝置平台支援適用於端點的 Microsoft Defender 安全性管理的原則:
Linux:
使用 Linux 版適用於端點的 Microsoft Defender 代理程式版本 101.23052.0009 或更新版本,安全性設定管理支援下列 Linux 發行版本:
- Red Hat Enterprise Linux 7.2 或更新版本
- CentOS 7.2 或更高版本
- Ubuntu 16.04 LTS 或更高版本的 LTS
- Debian 9 或更新版本
- SUSE Linux Enterprise Server 12 或更新版本
- Oracle Linux 7.2 或更新版本
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33 或更新版本
若要確認 Defender 代理程式的版本,在 Defender 入口網站中移至 [裝置] 頁面,然後在裝置 [清查] 索引標籤上,搜尋 Linux 版 Defender。 如需更新代理程式版本的指導方針,請參閱 在Linux 上部署適用於端點的 Microsoft Defender 更新。
已知問題: 使用 Defender 代理程式版本 101.23052.0009 時,Linux 裝置在遺失下列檔案路徑時無法註冊: /sys/class/dmi/id/board_vendor
。
已知問題:當 Linux 裝置執行綜合註冊時,在 Defender 入口網站中不會顯示先前稱為裝置 AAD 標識符 (裝置 AAD 標識子) 。 您可以從 Intune 或 Microsoft Entra 入口網站檢視此資訊。 系統管理員仍然可以使用這種方式來管理具有原則的裝置。
macOS:
使用 macOS 版適用於端點的 Microsoft Defender 代理程式版本 101.23052.0004 或更新版本,安全性設定管理支援下列 macOS 版本:
- macOS 15 (Sequoia)
- macOS 14 (Sonoma)
- macOS 13 (Ventura)
- macOS 12 (Monterey)
- macOS 11 (Big Sur)
若要確認 Defender 代理程式的版本,在 Defender 入口網站中移至 [裝置] 頁面,然後在裝置 [清查] 索引標籤上,搜尋 macOS 版 Defender。 如需更新代理程式版本的指導方針,請參閱 在macOS 上部署適用於端點的 Microsoft Defender 更新。
已知問題: 使用 Defender 代理程式版本 101.23052.0004 時,在註冊安全性設定管理之前,已註冊 Microsoft Entra ID 的 macOS 裝置會在 Microsoft Entra ID 中收到重複的裝置識別碼,此即為綜合註冊。 當您為目標原則建立 Microsoft Entra 群組時,您必須使用透過安全性設定管理所建立的綜合裝置識別碼。 在 Microsoft Entra ID 中,綜合裝置識別碼的 [聯結類型] 欄位是空白的。
已知問題:當 macOS 裝置執行綜合註冊時,在 Defender 入口網站中看不到先前稱為裝置 AAD 標識符) (裝置編碼標識碼。 您可以從 Intune 或 Microsoft Entra 入口網站檢視此資訊。 系統管理員仍然可以使用這種方式來管理具有原則的裝置。
Windows:
- Windows 10 個人/企業版 (含 KB5023773)
- Windows 11 個人/企業版 (含 KB5023778)
- Windows Server 2012 R2 含 適用於低階裝置的 Microsoft Defender
- Windows Server 2016 含 適用於低階裝置的 Microsoft Defender
- Windows Server 2019 (含 KB5025229)
- Windows Server 2019 Core (已安裝 Server Core 應用程式相容性功能隨選安裝)
- Windows Server 2022 年,包括具有 KB5025230) 的 Server Core (
- 域控制器 (預覽) 。 請參閱本文) 在 域控制器上使用安全性設定管理 (中的重要資訊。
安全性設定管理無法在下列裝置上運作,也不支援下列裝置:
- Windows Server Core 2016 和更早版本
- 非持續性桌面,例如虛擬桌面基礎結構 (VDI) 用戶端
- Azure 虛擬桌面 (AVD 和先前的 Windows 虛擬桌面、WVD)
- 32 位元版本的 Windows
授權與訂閱
若要使用安全性設定管理,您需要:
授予適用於端點的 Microsoft Defender 授權的訂閱,例如 Microsoft 365,或僅適用於端點的 Microsoft Defender 的獨立授權。 授予適用於端點的 Microsoft Defender 授權的訂閱也可以向您的租用戶授予 Microsoft 365 系統管理中心的端點安全性存取權。
注意事項
例外狀況: 如果您 只能 透過適用於伺服器的 Microsoft Defender (為適用於雲端的 Microsoft Defender 的一部分,先前稱為 Azure 資訊安全中心) 存取適用於端點的 Microsoft Defender,則無法使用安全性設定管理功能。 您必須至少有一個使用中的適用於端點的 Microsoft Defender (使用者) 訂閱授權。
[端點安全性] 節點可讓您設定和部署原則,為您的裝置管理適用於端點的 Microsoft Defender 並監視裝置狀態。
如需選項的目前資訊,請參閱 適用於端點的 Microsoft Defender 的最低需求。
角色型存取控制 (RBAC)
如需從 Intune 系統管理中心內將存取權限和權限指派給管理 Intune 端點安全性原則的系統管理員指導方針,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy。
架構
下圖是適用於端點的 Microsoft Defender 安全性設定管理解決方案的概念表示。
- 上線至適用於端點的 Microsoft Defender 的裝置。
- 裝置會與 Intune 通訊。 此通訊可讓 Microsoft Intune 在裝置簽到時發佈以裝置為目標的原則。
- 系統會在 Microsoft Entra ID 中為每個裝置建立註冊:
- 如果裝置先前已完全註冊,例如混合式聯結裝置,則會使用現有的註冊。
- 對於未註冊的裝置,則會在 Microsoft Entra ID 中建立綜合裝置身分識別,讓裝置能夠擷取原則。 當具有綜合註冊的裝置擁有為其建立的完整 Microsoft Entra 註冊時,系統會移除其綜合註冊,並透過使用完整註冊在不受干擾時繼續進行裝置管理。
- 適用於端點的 Defender 會將原則的狀態回報給 Microsoft Intune。
重要事項
安全性設定管理會針對未在 Microsoft Entra ID 中完整註冊的裝置使用綜合註冊,並丟棄 Microsoft Entra 混合式聯結必要條件。 透過這項變更,先前發生註冊錯誤的 Windows 裝置將會開始上線至 Defender,然後接收並處理安全性設定管理原則。
若要篩選因無法符合 Microsoft Entra 混合式聯結必要條件而無法註冊的裝置,請瀏覽至 Microsoft Defender 入口網站中的 [裝置] 清單,然後依註冊狀態進行篩選。 因為這些裝置尚未完全註冊,所以其裝置屬性會顯示 MDM = Intune 和 聯結類型 = 空白。 這些裝置現在會使用綜合註冊透過安全性設定管理進行註冊。
這些裝置在註冊之後會顯示在 Microsoft Defender、Microsoft Intune 和 Microsoft Entra 入口網站的裝置清單中。 雖然裝置無法完整註冊 Microsoft Entra,但其綜合註冊會計入為一個裝置物件。
在 Microsoft Defender 入口網站中的預期事項
您可以使用 適用於端點的 Microsoft Defender 裝置清查來確認裝置正在使用適用於端點的 Defender 中的安全性設定管理功能,方法是檢閱 [受管理者] 資料行中的裝置狀態。 裝置側邊面板或裝置頁面上也提供 [管理者] 資訊。 管理者 應一致地指出其受到 MDE 管理。
您也可以透過確認裝置側邊面板或裝置頁面將 [MDE 註冊狀態] 顯示為 [成功],一併確認裝置已在 安全性設定管理 中成功註冊。
如果 MDE 註冊 狀態未顯示 [成功],請確定您正在查看的裝置為已更新且在安全性設定管理範圍內的裝置。 (您在設置安全性設定管理時,於 [強制執行] 範圍頁面上設定範圍。)
在 Microsoft Intune 系統管理中心中的預期事項
在 Microsoft Intune 系統管理中心,移至 [所有裝置] 頁面。 使用安全性設定管理註冊的裝置會在此處顯示,就如同在 Defender 入口網站中一樣顯示。 在系統管理中心,依欄位管理的裝置應該會顯示 MDE。
提示
在 2023 年 6 月,安全性設定管理開始針對未在 Microsoft Entra 中完整註冊的裝置使用綜合註冊。 透過這項變更,先前發生註冊錯誤的裝置將會開始上線至 Defender,然後接收並處理安全性設定管理原則。
Microsoft Azure 入口網站中的預期事項
在 Microsoft Azure 入口網站中的 [所有裝置] 頁面上,您可以檢視裝置詳細資料。
若要確保所有在適用於端點的 Defender 安全性設定管理中註冊的裝置都會收到原則,建議您根據裝置的作業系統類型建立 動態 Microsoft Entra 群組。 使用動態群組時,由適用於端點的 Defender 所管理的裝置會自動新增至群組,而不需要系統管理員執行其他工作,例如建立新原則。
重要事項
從 2023 年 7 月到 2023 年 9 月 25 日,安全性設定管理執行了加入公開預覽版,為受管理且註冊到案例的裝置引入新的行為。 從 2023 年 9 月 25 日開始,公開預覽行為已正式推出,現在適用於所有使用安全性設定管理的租用戶。
如果您在 2023 年 9 月 25 日之前使用了安全性設定管理,但未聯結加入從 2023 年 7 月到 2023 年 9 月 25 日執行的公開預覽,請審查仰賴系統標籤的 Microsoft Entra 群組以進行變更,這可識別您使用安全性設定管理所管理的新裝置。 這是因為在 2023 年 9 月 25 日之前,未透過加入公開預覽版管理的裝置會使用下列 MDEManaged 和 MDEJoined 的系統標籤 (類別) 來識別受管理的裝置。 這兩個系統標籤不再受到支援,且不會再新增到註冊裝置中。
針對您的動態群組使用下列指導方針:
(建議) 當鎖定目標原則時,透過使用 deviceOSType 屬性 (Windows, Windows Server, macOS, Linux),依據裝置平台使用動態群組,確認會持續為可變更管理類型的裝置傳達原則,例如在 MDM 註冊期間。
如有必要,包含僅受到適用於端點的 Defender 管理之裝置的動態群組可以透過使用 managementType 屬性 MicrosoftSense 定義來設為目標。 使用此屬性時,會以所有透過安全性設定管理功能由適用於端點的 Defender 所管理的裝置為目標,而裝置只會受到適用於端點的 Defender 管理時,才會保留在此群組中。
此外,在設置安全性設定管理時,如果您想要使用適用於端點的 Microsoft Defender 來管理整個 OS 平台團隊,請在適用於端點的 Microsoft Defender 強制執行範圍頁面中選取 所有裝置,而不是 標記的裝置,須留意,任何綜合註冊都會與完整註冊一樣,都會計入 Microsoft Entra ID 配額。
應該使用哪個解決方案?
Microsoft Intune 包含數種方法和原則類型,可用來管理裝置上適用於端點的 Defender 設定。 下表識別會支援部署至受適用於端點的 Defender 安全性設定管理所管理之裝置的 Intune 原則和設定檔,並可協助您識別此解決方案是否適合您的需求。
當您部署同時支援 適用於端點的 Defender 安全性設定管理 和 Microsoft Intune 的端點安全性原則時,可以透過下列方式處理該原則的單一執行個體:
- 透過安全性設定管理 (Microsoft Defender) 支援的裝置
- 由 Intune 或 Configuration Manager 管理的裝置。
透過安全性設定管理所管理的裝置不支援 Windows 10 和更新版本平台 的設定檔。
每個裝置類型都支援下列設定檔:
Linux
下列原則類型支援 Linux 平台。
端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
---|---|---|---|
防毒軟體 | Microsoft Defender 防毒軟體 | ||
防毒軟體 | Microsoft Defender 防毒軟體排除 | ||
端點偵測及回應 | 端點偵測及回應 |
macOS
下列原則類型支援 macOS 平台。
端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
---|---|---|---|
防毒軟體 | Microsoft Defender 防毒軟體 | ||
防毒軟體 | Microsoft Defender 防毒軟體排除 | ||
端點偵測及回應 | 端點偵測及回應 |
Windows
若要支援與 Microsoft Defender 安全性設定管理搭配使用,您的 Windows 裝置原則必須使用 Windows 平臺。 Windows 平臺的每個配置檔都可以套用至由 Intune 管理的裝置,以及由安全性設定管理所管理的裝置。
端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
---|---|---|---|
防毒軟體 | Defender 更新控制項 | ||
防毒軟體 | Microsoft Defender 防毒軟體 | ||
防毒軟體 | Microsoft Defender 防毒軟體排除 | ||
防毒軟體 | Windows 安全性體驗設定 | ||
受攻擊面縮小 | 受攻擊面縮小規則 | ||
受攻擊面縮小 | 裝置控制件 | 注意事項 1 | |
端點偵測及回應 | 端點偵測及回應 | ||
防火牆 | 防火牆 | ||
防火牆 | 防火牆規則 |
1 - 此設定檔可在 Defender 入口網站中顯示,但不支援僅由 Microsoft Defender 透過 Microsoft Defender 安全性設定管理案例管理的裝置。 只有由 Intune 管理的裝置才支援此配置檔。
每個 Intune 端點安全性配置檔都是一組個別的設定,供專注於保護組織中裝置的安全性系統管理員使用。 以下是安全性設定管理案例所支援之設定檔的描述:
防毒軟體 原則會管理在適用於端點的 Microsoft Defender 中找到的安全性設定。
注意事項
雖然端點不需要重新啟動就可套用修改的設定或新的原則,但我們了解 AllowOnAccessProtection 和 DisableLocalAdminMerge 設定可能出現問題,有時可能需要使用者重新啟動其裝置,才能更新這些設定。 我們目前正在調查此問題才能提供解決方案。
受攻擊面縮小 (ASR) 原則著重在將貴組織容易遭受網路威脅和攻擊的位置減到最少。 透過安全性設定管理,ASR 規則會套用到執行 Windows 10、Windows 11 和 Windows Server 的裝置。
如需目前關於哪些設定適用於不同平台和版本的指導方針,請參閱 Windows 威脅防護文件中的 ASR 規則支援的作業系統。
提示
若要協助將支援的端點保持在最新狀態,請考慮使用適用於 Windows Server 2012 R2 和 2016 的 新式整合解決方案。
另請參閱:
- Windows 威脅防護文件中 受攻擊面縮小的概觀。
端點偵測和回應 (EDR) 原則可提供管理適用於端點的 Defender 的功能,可提供近乎可即時採取行動的進階攻擊偵測。 依據 EDR 設定,安全性分析人員可以有效地排定警示的優先順序、深入了解安全性缺口的全貌,並採取回應動作來補救威脅。
防火牆 原則著重於裝置上的 Defender 防火牆。
防火牆規則 是 防火牆 原則的一種設定檔類型,由防火牆的細微規則所組成,包括特定連接埠、通訊協定、應用程式和網路。
設定您的租用戶以支援適用於端點的 Defender 安全性設定管理
若要透過 Microsoft Intune 系統管理中心支援安全性設定管理,您必須從每個主機內部啟用它們之間的通訊。
下列各節會引導您完成這個流程。
設定適用於端點的 Microsoft Defender
在 Microsoft Defender 入口網站中,以安全性系統管理員身分:
登入 Microsoft Defender 入口網站,然後移至 [設定>端點>設定管理>強制範圍],並啟用安全性設定管理的平臺。
注意事項
如果您在 Microsoft Defender 入口網站中具有資訊安全中心管理安全性設定的許可權,而且同時啟用以檢視來自所有裝置 群組 的裝置, (用戶權力) 沒有角色型訪問控制限制,您也可以執行此動作。
一開始,建議您透過選取 [在已標記的裝置上] 的平台選項,測試每個平台的功能,接著標記含
MDE-Management
標籤的裝置。重要事項
目前不支援使用安全性設定管理使用 適用於端點的 Microsoft Defender 的動態標籤功能 來標記含 MDE-管理 的裝置。 透過這項功能標記的裝置將無法成功註冊。 此問題仍在調查中。
提示
使用適當的裝置標籤來測試和驗證您在少數裝置上的推出。
部署至 [所有裝置] 群組時,所有落於設定範圍內的裝置都會自動進行註冊。
雖然大部分裝置會在幾分鐘內完成註冊並套用指派的原則,但裝置有時最多可能需要 24 小時才能完成註冊。
設定適用於雲端的 Microsoft Defender 上線裝置的功能和 Configuration Manager 授權單位設定以符合貴組織的需求:
提示
若要確保您的 Microsoft Defender 入口網站使用者在入口網站之間具有一致的許可權,如果尚未提供,請要求 IT 系統管理員授與他們 Microsoft Intune 端點安全性管理員內建 RBAC 角色。
設定 Intune
在 Microsoft Intune 系統管理中心,您的帳戶需要等同於端點安全性管理員內建角色型存取控制 (RBAC) 角色的權限。
選取 [端點安全性]>[適用於端點的 Microsoft Defender],並將 [允許適用於端點的 Microsoft Defender 強制執行端點安全性設定] 設為 [開啟]。
當您將此選項設定為 [開啟] 時,所有位於未受 Microsoft Intune 管理之適用於端點的 Microsoft Defender 平台範圍內的裝置都符合上線至適用於端點的 Microsoft Defender 的資格。
將裝置上線至適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 支援數個上線裝置的選項。 如需目前的指導方針,請參閱適用於端點的 Defender 文件中的 上線至適用於端點的 Microsoft Defender。
與 Microsoft Configuration Manager 共存
在某些環境中,可能需要搭配受 Configuration Manager 管理的裝置使用安全性設定管理。 如果您同時使用這兩者,則必須透過單一通道來控制原則。 使用多個通道會為衝突和非預期結果創造機會。
若要支援此功能,請將 使用 Configuration Manager 管理安全性設定 設定為 關閉。 登入 Microsoft Defender 入口網站,然後移至 [設定]>[端點]>[組態管理]>[強制執行範圍]:
建立 Microsoft Entra 群組
裝置上線至適用於端點的 Defender 之後,您必須建立裝置群組以支援部署適用於端點的 Microsoft Defender 原則。 若要識別已向適用於端點的 Microsoft Defender 註冊但未受 Intune 或 Configuration Manager 管理的裝置:
移至 [裝置]>[所有裝置],然後選取 [管理者] 欄位,以排序裝置檢視。
已上線至適用於端點的 Microsoft Defender 且已註冊、但未受 Intune 管理的裝置,會在 [管理者] 欄位中顯示 [適用於端點的 Microsoft Defender]。 這些裝置可以接收適用於端點的 Microsoft Defender 的安全性管理原則。
從 2023 年 9 月 25 日開始,使用適用於端點的 Microsoft Defender 安全性管理的裝置無法再透過使用下列系統標籤進行識別:
- MDEJoined - 現已淘汰的標籤,先前已新增至目錄做為此案例的一部分。
- MDEManaged - 現已淘汰的標籤,先前已新增至曾主動使用安全性管理案例的裝置。 如果適用於端點的 Defender 停止管理安全性設定,則會從裝置移除此標籤。
與其使用系統標籤,您可以改為使用管理類型屬性,並將其設定為 MicrosoftSense。
您可以在 Microsoft Entra 或 從 Microsoft Intune 系統管理中心內 為這些裝置建立群組。 建立群組時,如果您要將原則部署到執行 Windows Server 的裝置,以及執行 Windows 用戶端版本的裝置,您可以為裝置使用 OS 值:
- Windows 10 和 Windows 11 - deviceOSType 或 OS 會顯示為 Windows
- Windows Server - deviceOSType 或 OS 會顯示為 Windows Server
- Linux 裝置 - deviceOSType 或 OS 會顯示為 Linux
具有規則語法的範例 Intune 動態群組
Windows 工作站:
Windows 伺服器:
Linux 裝置:
重要事項
在 2023 年 5 月,deviceOSType 已更新,以區別 Windows 用戶端 和 Windows Server。
在此變更之前建立的自訂指令碼和 Microsoft Entra dynamic device groups 會指定只參照 Windows 的規則,在搭配使用適用於端點的 Microsoft Defender 解決方案的安全性管理時,可能會排除 Windows Servers。 例如:
- 如果您有使用
equals
或not equals
運算子來識別 Windows 的規則時,這項變更將會影響您的規則。 這是因為先前 Windows 和 Windows Server 都回報為 Windows。 若要繼續同時包含這兩者,您必須更新規則以同時參考 Windows Server。 - 如果您有使用
contains
或like
運算子來指定 Windows 的規則,則此變更不會影響規則。 這些運算子可以同時找到 Windows 和 Windows Server。
提示
獲委派管理端點安全性設定能力的使用者可能無法在 Microsoft Intune 中執行全租用戶設定。 請洽詢您的 Intune 系統管理員取得關於貴組織中角色和權限的詳細資訊。
部署原則
建立一或多個包含受適用於端點的 Microsoft Defender 管理之裝置的 Microsoft Entra 群組之後,您可以建立下列安全性設定管理原則,並部署到這些群組。 提供的原則和設定檔會依平台而改變。
如需安全性設定管理支援的原則和設定檔組合清單,請參閱 應使用哪一個解決方案 中的圖表,可在本文中找到。
提示
避免將管理相同設定的多個原則部署到裝置。
Microsoft Intune 支援將每個端點安全性原則類型的多個執行個體部署到相同的裝置,裝置會個別接收每個原則執行個體。 因此,裝置可能會收到來自不同原則的相同設定的不同組態,這會導致衝突發生。 部分設定 (例如防病毒軟體排除項目) 會在用戶端上合併並成功套用。
移至 [端點安全性],選取您想要設定的原則類型,然後選取 [建立原則]。
針對原則,選取您要部署的 [平台] 和 [設定檔]。 如需支援安全性設定管理的平台和設定檔清單,請參閱本文先前的 應使用哪一個解決方案? 中的圖表。
注意事項
支援的設定檔適用於透過行動裝置管理 (MDM) 與 Microsoft Intune 通訊的裝置,以及使用適用於端點的 Microsoft Defender 用戶端進行通訊的裝置。
確定您可以視需要檢視您的目標設定和群組。
選取 [建立]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [組態設定] 頁面上,選取您要透過此設定檔管理的設定。
若要深入了解設定,請展開其 資訊 對話框,然後選取 [深入了解] 連結以檢視該設定的線上設定服務提供者 (CSP) 文件或相關詳細資料。
完成設定後,請選取 [下一步]。
在 [指派] 頁面上,選取可接收此設定檔的 Microsoft Entra 群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
選取 [下一步] 繼續。
提示
- 安全性設定管理所管理的裝置不支援指派篩選。
- 只有 裝置物件 適用於適用於端點的 Microsoft Defender 管理。 不支援鎖定目標的使用者。
- 設定的原則會同時套用至 Microsoft Intune 和適用於端點的 Microsoft Defender 用戶端。
完成原則建立流程,然後在 [檢視 + 建立] 頁面上,選取 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
等候指派原則,並檢視已套用原則的成功指示。
您可以透過使用 Get-MpPreference 命令公用程式,驗證設定是否已在本機用戶端上套用。
監視狀態
Intune:
以此通道中裝置為目標的原則狀態和報告可以從 Microsoft Intune 系統管理中心的 [端點安全性] 底下的原則節點取得。
深入研究原則類型,然後選取原則以檢視其狀態。 在本文先前的 應使用哪一個解決方案 中的資料表,您可以檢視支援安全性設定管理的平台、原則類型和設定檔清單。
當您選取原則時,您可以檢視裝置簽到狀態的相關資訊,並可選取:
- 檢視報告 - 檢視可接收原則的裝置清單。 您可以選取要深入研究的裝置,並查看其個別設定狀態。 然後,您可以選取設定來檢視詳細資訊,包括管理相同設定的其他原則,這可能是衝突發生的來源。
- 個別設定狀態 - 檢視原則所管理的設定,以及每個設定的成功、錯誤或衝突計數。
Defender 入口網站:
您也可以監視從 Microsoft Defender 入口網站套用的 Intune 原則。 在入口網站中,移至 [端點],展開 [組態管理],然後選取 [端點安全策略]。 選取原則以檢視其狀態,然後選取:
- 概觀 - 檢視套用原則的群組、套用的原則設定,以及裝置簽入狀態的概觀。
- 原則設定值 - 檢視原則所設定的設定。
- 原則設定狀態 - 檢視原則所管理的設定,以及每個設定的成功、錯誤或衝突計數。
- 已套用的裝置 - 檢視套用原則的裝置。
- 指派 群組 - 檢視指派原則的群組。
如需詳細資訊,請參閱Defender內容中的管理 適用於端點的 Microsoft Defender中的端點安全策略。
常見問題和考量
裝置簽到頻率
此功能所管理的裝置會每隔 90 分鐘會使用 Microsoft Intune 簽到以更新原則。
您可以從 Microsoft Defender 入口網站手動同步裝置隨選。 登入至入口網站並移至 [裝置]。 選取由適用於端點的 Microsoft Defender 管理的裝置,然後選取 [原則同步處理] 按鈕:
[原則同步處理] 按鈕只會針對成功受適用於端點的 Microsoft Defender 管理的裝置顯示。
受竄改保護的裝置
如果裝置已開啟竄改保護,則無法在未先停用竄改保護的情況下編輯受 竄改保護的設定 值。
指派篩選和安全性設定管理
透過適用於端點的 Microsoft Defender 通道進行通訊的裝置不支援指派篩選。 雖然指派篩選條件可以新增至可以將這些裝置設為目標的原則,但裝置會忽略指派篩選。 針對指派篩選支援,裝置必須註冊到 Microsoft Intune。
刪除和移除裝置
您可以使用下列兩種方法之一來刪除使用此流程的裝置:
- 從 Microsoft Intune admin center 內,移至 [裝置]>[所有裝置],選取在 管理者 欄位中顯示 MDEJoined 或 MDEManaged 的裝置,然後選取 [刪除]。
- 您也可以從資訊安全中心的組態管理範圍中移除裝置。
從任一位置移除裝置之後,該變更就會傳播到另一個服務。
無法在 [端點安全性] 中啟用適用於端點的 Microsoft Defender 之安全性管理工作負載cur
雖然具有這兩個服務權限的系統管理員可以完成初始佈建流程,但下列角色足以完成每項個別服務中的設定:
- 對於 Microsoft Defender,請使用 [安全性系統管理員] 角色。
- 對於 Microsoft Intune,請使用 [端點安全性管理員] 角色。
Microsoft Entra 聯結的裝置
已聯結至 Active Directory 的裝置會使用其 現有的基礎結構 來完成 Microsoft Entra 混合式聯結流程。
不支援的安全性設定
下列安全性設定已擱置淘汰。 適用於端點的 Defender 安全性設定管理流程不支援下列設定:
- 加速遙測回報頻率 (位於 端點偵測和回應 底下)
- AllowIntrusionPreventionSystem (位於 Antivirus 底下)
- 竄改防護 (位於 Windows 安全性體驗 底下)。 此設定不會擱置淘汰,但目前不支援此設定。
在網域控制站上使用安全性設定管理
目前處於預覽狀態,域控制器現在支援安全性設定管理。 若要管理域控制器上的安全性設定,您必須在強制範圍頁面中啟用它 (移至 [ 設定>端點強制執行範圍 ]) 。 Windows Server 必須先啟用裝置,才能啟用域控制器的設定。 此外,如果已針對 Windows Server 選取 [ 在已標記的裝置上 ] 選項,域控制器的設定也僅限於已標記的裝置。
注意
- 域控制器設定錯誤可能會對您的安全性狀態和作業持續性造成負面影響。
- 如果您的租使用者已啟用域控制器設定,請務必檢閱所有 Windows 原則,以確定您不會無意中將目標設為包含域控制器的 Microsoft Entra 裝置群組。 為了將生產力的風險降至最低,域控制器不支援防火牆原則。
- 建議您先檢閱以域控制器為目標的所有原則,再取消註冊這些裝置。 請先進行任何必要的設定,然後取消註冊域控制器。 裝置取消註冊之後,每個裝置上都會維護適用於端點的 Defender 設定。
PowerShell 限制模式
必須啟用 PowerShell。
安全性設定管理不適用於已搭配 ConstrainedLanguage 模式 enabled
設定的 PowerShell LanguageMode 裝置。 如需詳細資訊,請參閱 PowerShell 文件中的 about_Language_Modes。
如果您先前使用第三方安全性工具,請透過適用於端點的 Defender 管理安全性
如果您先前在計算機上有第三方安全性工具,而且現在使用適用於端點的 Defender 進行管理,您可能會看到在極少數情況下,對適用於端點的 Defender 管理安全性設定的功能有一些影響。 在這種情況下,作為疑難解答措施,請在您的電腦上卸載並重新安裝適用於端點的Defender最新版本。