檢視及編輯裝置保護原則

在 Microsoft 365 商務進階版 中，受控裝置的安全性設定是透過 Microsoft Defender 入口網站或 Microsoft Intune 系統管理中心的裝置保護原則來設定。 為了協助簡化您的安裝和設定體驗，有一些預先設定原則可在貴組織的裝置上線後協助保護裝置。 您可以使用預設原則、編輯原則，或建立您自己的原則。

本指南說明如何：

• 取得預設原則概觀
• 在 Microsoft Defender 入口網站或 Microsoft Intune 系統管理中心使用裝置原則。

關於預設裝置保護原則

Microsoft 365 商務進階版包含兩種主要類型的原則來保護組織的裝置：

• 新一代保護原則 能決定如何設定 Microsoft Defender 防毒軟體和其他威脅防護功能。

• 防火牆，決定允許哪些網路流量在貴組織的裝置之間流動。

其他原則包括：

• Web 內容篩選，可讓您的安全性小組根據成人內容、高頻寬、法律責任和訴訟) 等內容類別 (來追蹤及規範網站的存取。 如需詳細資訊，請參閱 適用於企業的 Microsoft Defender 中的Web內容篩選。
• 受控資料夾存取權，只允許受信任的應用程式存取 Windows 裝置上受保護的資料夾。 將這項功能視為勒索軟體保護。 如需詳細資訊，請參閱在 適用於企業的 Microsoft Defender 中設定或編輯受控資料夾存取原則。
• 受攻擊面縮小規則 ，可協助減少您的企業可能容易遭受網路威脅和攻擊的位置和方式。 如需詳細資訊，請參閱在 適用於企業的 Microsoft Defender 中啟用受攻擊面縮小規則。

這些原則是適用於企業的 Microsoft Defender 的一部分，包含在您的 Microsoft 365 商務進階版訂閱中。 提供的資訊可在 Microsoft Defender 入口網站或 Microsoft Intune 系統管理中心使用原則。

在 Microsoft Defender 入口網站中使用裝置原則

下列詳細數據適用於在 Microsoft Defender 入口網站 () https://security.microsoft.com 中使用您的原則。

在 Microsoft Defender 全面偵測回應 中檢視現有的裝置保護原則

1. 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ，在瀏覽窗格中，選擇 [裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代防護] 和 [防火牆]) 所組織的原則。

   

2. 選取作業系統索引標籤 (例如，[Windows 用戶端])，然後檢查 [新一代保護] 和 [防火牆] 類別下的原則清單。

3. 若要查看原則的更多詳細資料，請選取其名稱。 將會開啟側邊窗格，提供有關該原則的詳細資訊，例如哪些裝置受到該原則保護。

   

在 Microsoft Defender 全面偵測回應 中編輯現有的裝置保護原則

1. 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ，在瀏覽窗格中，選擇 [裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代保護] 和 [防火牆]) 所組織的原則。

2. 選取作業系統索引標籤 (例如，[Windows 用戶端])，然後檢查 [新一代保護] 和 [防火牆] 類別下的原則清單。

3. 若要編輯某個原則，請選取其名稱，然後選擇 [編輯]。

4. 在 [一般資訊] 索引標籤上，查看資訊。 如有必要，您可以編輯描述。 接著選擇 [下一步]。

5. 在 [裝置群組] 索引標籤上，決定哪些裝置群組應接收此原則。

   • 若要讓選取的裝置群組維持目前狀態，請選擇 [下一步]。
   • 若要從原則中移除裝置群組，請選取 [移除]。
   • 若要設定新的裝置群組，請選取 [建立新群組]，然後設定您的裝置群組。 (若要取得此工作的協助，請參閱 Microsoft 365 商務進階版中的裝置群組。)
   • 若要將原則應用於另一個裝置群組，請選取 [使用現有的群組]。

   指定應接收此原則的裝置群組之後，請選擇 [下一步]。

6. 在 [組態設定] 索引標籤上，檢查設定。 如有需要，您可以編輯您原則的設定。 若要取得這項工作的協助，請參閱下列文章：

   • 瞭解新一代組態設定
   • 防火牆設定

   指定新一代保護設定之後，請選擇 [下一步]。

7. 在 [檢視您的原則] 索引標籤上，查看一般資訊、目標裝置和組態設定。

   • 選取 [編輯]，以進行任何有需要的改變。
   • 當您準備好繼續進行時，請選擇 [更新原則]。

在 Microsoft Defender 全面偵測回應 中建立新的裝置保護原則

1. 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ，在瀏覽窗格中，選擇 [裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代防護] 和 [防火牆]) 所組織的原則。

2. 選取作業系統索引標籤 (例如， W[indows 用戶端])，然後檢查 [新一代防護] 原則。

3. 在 [新一代防護] 或 [防火牆]下，選取 [+ 新增]。

4. 在 [一般資訊] 索引標籤上，採取下列步驟：

   1. 指定名稱和描述。 這項資訊可協助您和您的團隊在稍後識別該原則。
   2. 請查閱該原則順序，並在必要時進行編輯。 如需詳細資訊，請參閱 原則順序。
   3. 選擇 [下一步]。

5. 在 [裝置群組] 索引標籤上，建立新裝置群組或使用現有的群組。 透過裝置群組將原則指派給裝置。 以下事項請謹記在心：

   • 一開始，您可能只有您的預設裝置群組，其中包括貴組織人員存取組織資料和電子郵件的裝置。 您可以保留並使用預設裝置群組。
   • 建立新裝置群組以使用與預設原則不同的特定設定來應用原則。
   • 當您設定裝置群組時，您可以指定特定準則，例如作業系統版本。 符合準則的裝置會包含在該裝置群組中，除非您將它們排除在外。
   • 所有裝置群組，包括您定義的預設和自定義裝置群組，都會儲存在 Microsoft Entra ID 中。

   若要深入了解裝置群組，請參閱適用於企業的 Microsoft Defender 中的裝置群組。

6. 在 [組態設定] 上，指定您原則的設定，然後選擇 [下一步]。 如需個別設定的詳細資訊，請參閱了解適用於企業的 Microsoft Defender 中的新一代設定。

7. 在 [檢視您的原則] 索引標籤上，查看一般資訊、目標裝置和組態設定。

   • 選取 [編輯]，以進行任何有需要的改變。
   • 當您準備好繼續進行時，請選擇 [ 建立原則]。

在 Microsoft Intune 系統管理中心使用裝置原則

使用下列資訊在 Intune 中建立和管理裝置原則，透過 Microsoft Intune 系統管理中心 () https://intune.microsoft.com 中的端點安全性來完成。

在 Intune 中建立原則

1. 在 Microsoft Intune 系統管理中心 (https://intune.microsoft.com) 中，選取 [端點安全性] 和您想要設定的原則類型，然後選取 [建立原則]。

2. 從下列原則類型中選擇：

   • 防毒軟體
   • 磁碟加密
   • 防火牆
   • 端點偵測及回應
   • 受攻擊面縮小
   • 帳戶防護

3. 指定下列屬性：

   • 平台：選擇您要建立原則的平臺。 可用的選項取決於您選取的原則類型。
   • 配置檔：從您所選取平臺的可用設定檔中選擇。 如需設定檔的相關資訊，請參閱本文中您所選原則類型的專門章節。

   然後，選取 [建立]。

4. 在 [基本] 頁面上，輸入新設定檔的名稱與描述，然後選擇 [下一步]。

5. 在 [組態設定] 頁面上，展開設定的每個群組，並且設定您要透過此設定檔管理的設定。 然後選取 [下一步]。

6. 在 [指派] 頁面上，選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。 然後選取 [下一步]。

7. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

在 Intune 中複製原則

1. 在 Microsoft Intune 系統管理中心 (https://intune.microsoft.com) 中，選取您要複製的原則。 接下來，選取 [重複]，或選取原則右邊的省略符號 (…)，然後選取 [複製]。

2. 提供原則的新名稱，然後選取 [儲存]。

在 Intune 中編輯原則

1. 在 Microsoft Intune 系統管理中心 (https://intune.microsoft.com) ，選取原則，然後選取 [屬性]。

2. 選取 [設定]，以展開原則中的組態設定清單。 您無法修改此檢視中的設定，但可以檢閱其設定方式。

3. 若要修改原則，請針對您要變更的每個類別選取 [編輯]：

   • 基本功能
   • 作業
   • 範圍標籤
   • 組態設定

4. 進行變更之後，請選取 [ 儲存 ] 以儲存您的編輯。 您必須先儲存一個類別的編輯，才能導入任何其他類別的編輯。

管理衝突

您可以使用端點安全性原則管理的許多裝置設定，也可以透過 Intune 中的其他原則類型來使用。 這些其他原則類型包括裝置設定原則和安全性基準。 因為設定可以透過數個不同的原則類型或相同原則類型的多個實例來管理，所以請準備好識別並解決未遵守您預期設定之裝置的原則衝突。

安全性基準可以設定 [設定] 的非預設值，以符合基準所指的建議設定。

其他原則類型，包括端點安全性原則，會將預設值設定為 [未設定]。 這些其他原則類型需要您在原則中明確地設定 [設定]。

不論原則方法為何，透過多個原則類型或透過相同原則類型的多個實例管理相同裝置上的相同設定，都可能導致應避免的衝突。

如果您遇到原則衝突，請參閱針對 Microsoft Intune 中的原則和配置檔進行疑難解答。

另請參閱

在 Microsoft Intune 中管理端點安全性

保護 Microsoft 365 商務版方案的最佳做法

下一步

設定和管理裝置群組。