在適用於端點的 Microsoft Defender 中將裝置上線

  • 10 分鐘

當組織在 Intune 中啟用適用於端點的 Microsoft Defender 的支援時,它會在 Microsoft Intune 和適用於端點的 Microsoft Defender 之間建立服務對服務連線。 然後,組織就可以上線至適用於端點的 Microsoft Defender,使用 Intune 管理的裝置。 上線、依次、啟用有關裝置風險層級的資料集合。

之前的單位已檢視啟用適用於端點的 Microsoft Defender 的方式並進行設定以便與 Intune 整合。 此單位會繼續進行此整合流程。 它會檢查下列步驟將裝置上線,並設定合規性和條件式存取原則:

  • 將執行 Android、iOS/iPadOS 和 Windows 10/11 的裝置上線。

  • 使用合規性原則來設定裝置風險層級。

  • 使用合規性存取原則來封鎖超過預期風險層級的裝置。

    注意事項

    Android 和 iOS/iPadOS 裝置會使用可設定裝置風險層級的 應用程式保護 原則。 應用程式保護原則可與已註冊和未註冊的裝置一起使用。

下列各節概述這些步驟。

將 Windows 裝置上線

在組織連結 Intune 和適用於端點的 Microsoft Defender 之後,Intune 會收到來自適用於端點的 Microsoft Defender 的上線組態套件。 然後,組織會使用適用於端點的 Microsoft Defender 的裝置組態設定檔,將套件部署至 Windows 裝置。

組態套件會設定裝置以與 適用於端點的 Microsoft Defender 服務 進行溝通來掃描檔案和偵測威脅。 這些裝置會將其風險層級回報給適用於端點的 Microsoft Defender。 風險層級是以組織的合規性原則為依據。

注意事項

使用組態套件將裝置上線之後,就不需要再次執行。

組織也可以使用下列方式上線裝置:

  • 端點偵測及回應 (EDR) 原則。 Intune EDR 原則是 Intune 中端點安全性的一部分。 Intune 系統管理中心的 [適用於端點的 Microsoft Defender] 頁面包含直接開啟 EDR 原則建立工作流程的連結,這是 Intune 中端點安全性的一部分。 組織可以使用 EDR 原則來設定裝置安全性,而不需要在裝置組態配置檔中找到的較大設定主體額外負荷。 他們也可以搭配租用戶連結的裝置使用 EDR 原則。 組織會使用 Configuration Manager 來管理這些裝置。 當組織在連結 Intune 和適用於端點的 Microsoft Defender 之後設定 EDR 原則時, 原則設定 適用於端點的 Microsoft Defender 用戶端組態套件類型 有新的設定選項:從連接器自動。 使用此選項,Intune 會自動從您的適用於端點的 Defender 部署中取得上線套件 (blob),取代手動設定 上線 套件的需求。
  • 裝置設定原則。 建立裝置設定原則以將 Windows 裝置上線時,請選取 適用於端點的 Microsoft Defender 範本。 當您將 Intune 連線到 Defender 時,Intune 收到來自 Defender 的上線設定套件。 範本會使用此套件來設定裝置與 適用於端點的 Microsoft Defender 服務通訊,以及掃描檔案及偵測威脅。 上線的裝置也會根據您的合規性政策,回報其風險層級以 適用於端點的 Microsoft Defender。 使用組態套件將裝置上線之後,就不需要再次執行。
  • 群組原則或 Microsoft Endpoint Configuration Manager。 如需 適用於端點的 Microsoft Defender 設定的詳細資訊,請參閱使用 Microsoft Configuration Manager 將 Windows 機器上線

提示

當您使用裝置設定原則、端點偵測和響應原則等多個原則或原則類型來管理相同的裝置設定時,您可以建立裝置的原則衝突 (例如上線至適用於端點的 Defender) 。 如需詳細資訊,請參閱管理安全策略一文中的管理衝突

建立裝置組態設定檔以上線 Windows 裝置

  1. 您必須從瀏覽至 Microsoft Intune 系統管理中心 開始。 若要執行此動作,請在 Microsoft 365 系統管理中心,選取功能窗格的 [顯示全部]。 在 [系統管理中心] 群組下,選取 [端點管理員]

  2. Microsoft Intune 系統管理中心,選取左側瀏覽窗格中的 [端點安全性]

  3. 端點安全性中 |概觀 頁面,在中間窗格的 [ 管理] 區段下,選取 [端點偵測和回應]

  4. 端點安全性中 |端點偵測和回應 頁面,選取功能表欄上的 [+建立 原則]。

  5. 在出現的 [建立配置檔] 窗格中,選取 [平臺] 字段中的 [Windows 10] 和 [更新版本]。

  6. 在 [ 配置檔] 欄位中,選取 [端點偵測和回應]。

  7. 選取 [建立]。 這麼做會起始 [建立配置檔 精靈]。

  8. 在 [ 建立配置檔 精靈] 的 [基本 ] 索引標籤上,輸入配置檔的 [ 名稱 ] 和 [ 描述 (選擇性) ,然後選取 [ 下一步]

  9. 在 [ 組態設定] 索引標籤上 ,為 [端點偵測和回應 ] 設定下列選項,然後選取 [ 下一步]

    • 適用於端點的 Microsoft Defender 客戶端設定套件類型從連接器選取 [自動],即可從適用於端點的Defender部署中使用上線套件 (Blob) 。 如果您要上線至不同或中斷連線的適用於端點的Defender部署,請選取 [ 線],並將 WindowsDefenderATP.onboarding Blob 檔案中的文字貼到 [上線 (裝置) ] 字段中。
    • 範例共用。 返回或設定適用於端點的 Microsoft Defender範例共用設定參數。
    • [已淘汰] 遙測報告頻率。 針對高風險的裝置,啟用此設定可讓您更頻繁地向 適用於端點的 Microsoft Defender 服務報告遙測。

    如需適用於端點的 Microsoft Defender 的詳細資料,請參閱 使用 Microsoft Endpoint Configuration Manager 上線 Windows 電腦

    在 [建立設定檔] 頁面上適用於 [端點偵測和回應] 設定的設定選項螢幕擷取畫面。

  10. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

  11. [指派] 頁面上,選取將接收此設定檔的群組。 當您部署至使用者群組時,用戶必須在套用原則之前登入裝置,且裝置可以上線至適用於端點的 Defender。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。 選取[下一步]。

  12. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。 選取 [確定],然後選取 [建立 ] 以儲存變更,以建立配置檔。

將 macOS 裝置上線

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 MacOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與 Microsoft Defender Endpoint 溝通,之後便可收集有關裝置風險層級相關的資料。

其他閲讀資源。 如需 Intune 組態指引的詳細資訊,請參閱 macOS 的 適用於端點的 Microsoft Defender。 如需將macOS裝置上線的詳細資訊,請參閱mac版適用於端點的 Microsoft Defender

上線 Android 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 Android 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender溝通,之後便可收集有關裝置風險層級相關的資料。

沒有執行 Android 的裝置組態套件。 請改為參閱適用於 Android 的 適用於端點的 Microsoft Defender 概觀,以取得 Android 的必要條件和上線指示。 針對執行 Android 的裝置,您可以使用 Intune 原則來修改 Android 上適用於端點的 Microsoft Defender。。

其他閲讀資源。 如需詳細資訊,請參閲 適用於端點的 Microsoft Defender 網路保護

上線 iOS/iPadOS 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 iOS/iPadOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender 進行通訊。 然後它會收集有關裝置風險層級的資料。

沒有執行 iOS/iPadOS 的裝置組態套件。 請改為參閱適用於 iOS 的 適用於端點的 Microsoft Defender 概觀,以取得 iOS/iPadOS 的必要條件和上線指示。

針對執行 iOS/iPadOS (受監督的模式) 的裝置,由於平台在這些裝置類型上提供了更多的管理功能,因此具有專門化的功能。 若要充分利用這些功能,Defender 應用程式必須知道哪些裝置處於受監督的模式。 Intune 可讓您透過受控裝置) 的 應用程式組態 原則 (來設定適用於 iOS 的 Defender 應用程式。 最佳做法是,此原則應以所有 iOS 裝置為目標。 如需詳細資訊,請 參閱完成受監督裝置的部署

  1. 依照先前的指示流覽至 Microsoft Intune 系統管理中心
  2. Microsoft Intune 系統管理中心,選取左側瀏覽窗格中的 [應用程式]。
  3. 應用程式上 |概觀 頁面 ,在中間 窗格的 [原則] 區段下,選取 [應用程式設定原則]
  4. 應用程式上 |應用程式設定原則 頁面,選取功能表欄上的 [+新增 ]。 在出現的下拉功能表中,選取 [ 受控裝置]。 這麼做會起始 [建立應用程式設定原則 精靈]。
  5. [應用程式設定原則 精靈] 的 [基本 ] 索引標籤上,輸入原則 名稱描述 (選擇性) 。
  6. 在 [ 平臺] 欄位中,選取 [iOS/iPadOS]。
  7. 在 [ 目標應用程式] 右側,選取 [ 選取應用程式] 連結。
  8. 在出現的 [相關聯的應用程式] 窗格中,選取 [Word],然後選取 [下一步]
  9. 選取 [下一步]。
  10. 在 [ 設定] 索引標籤 上,將 [組態 設定] 格式設定[使用設定設計工具]
  11. 在出現的 [ 組態密鑰 ] 字段中,輸入 [受監督]
  12. 在 [ 值類型] 欄位中,選取 [字串]
  13. 在 [ 組態值] 字段中,輸入 {{issupervised}}。
  14. 在 [設定] 索引標籤上選取 [下一步]。
  15. 在 [ 指派] 索引標籤 上,選取要接收此配置檔的群組。 在此案例中,選取 [包含的群組] 下功能表欄上的 [+新增所有裝置]。 最佳做法是以所有裝置為目標。 當系統管理員將使用者部署至使用者群組時,用戶必須在套用原則之前登入裝置。
  16. 在 [指派] 索引標籤上選取 [下一步]。
  17. 在 [ 檢閱 + 建立] 頁面上,於您完成檢閱並驗證詳細數據后選取 [ 建立 ]。 新的原則應該會出現在應用程式設定原則清單中。 如果未立即出現,請選取功能表列上的 [重新整理] 選項。

其他閲讀資源。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

建立並指派合規性原則以設定裝置風險層級

針對 Android、iOS/iPadOS 和 Windows 裝置,合規性原則會決定組織認為其裝置可接受的風險層級。 適用於端點的 Microsoft Defender 會使用合規性政策作為其中一個評定因素,針對每個裝置執行實際的風險層級評估。

當系統管理員在 Microsoft Intune 中建立合規性政策來設定裝置風險層級時,他們會定義裝置必須符合的準則,以符合其組織的安全性標準。 合規性原則會根據這些準則來評估裝置的目前狀態。 然後會產生合規性報告,並將其傳送至 適用於端點的 Microsoft Defender。

適用於端點的 Microsoft Defender 接著分析合規性報告以及其他安全性數據和威脅情報,以判斷裝置的整體風險層級。 風險層級是以各種因素為基礎,包括:

  • 裝置的合規性狀態
  • 裝置的軟體和硬體組態
  • 網路活動
  • 潛在安全性威脅的其他指標

總結:

  • 合規性原則會定義裝置合規性的準則。
  • 適用於端點的 Microsoft Defender 會執行裝置風險層級的實際評估。
  • Microsoft Intune 在裝置上部署並強制執行原則。

如果您對建立合規性原則不熟悉,請參照 在 Microsoft Intune 中建立合規性原則 文章中的 [建立原則] 流程。 下列資訊是專屬於將適用於端點的 Microsoft Defender 設定為合規性原則的一部分:

  1. 依照先前的指示流覽至 Microsoft Intune 系統管理中心

  2. Microsoft Intune 系統管理中心,選取左側瀏覽窗格中的 [裝置]。

  3. 裝置上 |概觀 頁面 ,在中間 窗格的 [原則] 區段下,選取 [ 合規性原則]

  4. 合規性原則上 |原則 頁面上,選取功能表欄上的 [+建立配置檔 ]。

  5. 在出現的 [ 建立原則 ] 窗格中,選取 [in] [平臺 ] 字段,然後從出現的下拉功能表中選取其中一個平臺。 選取 [建立]。 這麼做會起始 [選取的平臺] 合規性政策 精靈。

  6. [選取的平臺] 合規性政策 精靈的 [ 基本 ] 索引卷標上,輸入原則 名稱描述 (選擇性) 。 選取 [下一步]

  7. 在 [兼容性設定] 索引卷標上,展開 [適用於端點的 Microsoft Defender] 群組。 選取 [ 需要裝置位於計算機風險分數] 字段或 [計算機風險分數] 字段下 方。 在出現的下拉功能表中,選取您慣用的層級。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 判斷威脅等級分類

    • 清楚。 此層級是最安全的。 裝置不可以有任何既有的威脅,但仍可存取公司資源。 適用於端點的 Microsoft Defender 會將具有任何威脅的裝置評估為不符合規範。 (適用於端點的 Microsoft Defender 使用 安全 值。)
    • 。 如果僅有低威脅層級,則此裝置符合規範。 適用於端點的 Microsoft Defender 評估具有中度或高威脅等級的裝置是否不相容。
    • 一般。 如果裝置上發現的威脅為低或一般,則裝置符合規範。 適用於端點的 Microsoft Defender 將具有高威脅等級的裝置評估為不符合規範。
    • 。 此等級是最不安全的,且允許所有威脅等級。 此原則會將具有高、中或低威脅層級的裝置分類為符合規範。

  8. 在 [合規性設定] 索引卷標上選取 [下一步]。

  9. 在 [ 不符合規範的 動作] 索引標籤上,新增不相容裝置上的動作順序。 請注意標題為標記裝置不符合規範的默認動作,適用於端點的 Microsoft Defender 在評估裝置不符合規範之後立即執行。 如果您不想立即採取動作,您可以選擇性地變更此動作的排程。 視組織需求新增任何其他不符合規範的動作,然後選取 [ 下一步]

  10. 在 [ 指派] 索引標籤 上,選取要接收此配置檔的群組。 在此案例中,選取 [包含的群組] 下功能表欄上的 [+新增所有裝置]。 最佳做法是以所有裝置為目標。 當系統管理員將使用者部署至使用者群組時,用戶必須在套用原則之前登入裝置。

  11. 在 [指派] 索引標籤上選取 [下一步]。

  12. 在 [ 檢閱 + 建立] 頁面上,於您完成檢閱並驗證詳細數據后選取 [ 建立 ]。 一旦系統建立原則,新建立的原則就會出現視窗。

建立並指派應用程式保護原則以設定裝置威脅層級

當您為受保護的應用程式建立應用程式保護原則時,Microsoft Intune 將原則部署到裝置。 Microsoft Intune 應用程式保護服務接著會強制執行原則。 不過,適用於端點的 Microsoft Defender 會執行裝置威脅等級的評量。 若要這樣做,它會持續監視裝置是否有潛在的安全性威脅和弱點。

應用程式保護原則有助於保護應用程式及其在裝置上的數據,但不會直接影響裝置的威脅等級評估。 相反地,適用於端點的 Microsoft Defender 會根據各種因素來判斷裝置的威脅等級,包括:

  • 威脅情報
  • 行為分析
  • 適用於端點的 Microsoft Defender 服務所收集和分析的其他安全性數據。

總結:

  • Microsoft Intune部署並強制執行應用程式保護原則。
  • 適用於端點的 Microsoft Defender 評估裝置的威脅等級。

請檢視如何 為 iOS/iPadOS 或 Android 建立應用程式原則 上的流程。 然後,使用下列位於 應用程式、條件式啟動和指派 頁面上的資訊:

  • 應用程式。 選取您想要讓應用程式保護原則設為目標的應用程式。 系統管理員接著可以根據所選Mobile ThreatDefense廠商的裝置風險評估,封鎖或選擇性地抹除這些應用程式。

  • 條件式啟動。 在 [裝置狀況] 下,使用下拉式方塊選取 [允許的裝置威脅等級上限]。 選取下列其中一個威脅等級 的選項:

    • 安全的。 此層級是最安全的。 裝置不可以有任何威脅存在,且仍可存取公司資源。 適用於端點的 Microsoft Defender 會將具有任何威脅的裝置評估為不符合規範。
    • 。 如果僅有低威脅等級,則此裝置符合規範。 適用於端點的 Microsoft Defender 會將具有中度或高威脅等級的裝置評估為不符合規範。
    • 一般。 如果裝置上發現的威脅為低或一般等級,則裝置符合規範。 適用於端點的 Microsoft Defender 將具有高威脅等級的裝置評估為不符合規範。
    • 。 此層級最不安全,並允許所有威脅層級,使用Mobile Threat Defense (MTD) 僅供報告之用。 裝置必須使用此設定啟動 MTD 應用程式。選取下列其中一個建議選項,讓系統管理員根據威脅層級 動作來執行:
      • 封鎖存取
      • 抹除資料

  • 作業。 將原則指派給使用者群組。 Intune 應用程式保護會評估群組成員用來存取目標應用程式上公司數據的裝置。

重要事項

如果您為任何受保護的應用程式建立應用程式保護原則,適用於端點的 Microsoft Defender 評估裝置的威脅等級。 視設定而定,Microsoft Intune 封鎖或選擇性地透過不符合可接受層級的裝置) 條件式啟動來抹除 (。 除非所選的 MTD 廠商解決裝置上的威脅,並將它回報給 Intune,否則封鎖的裝置無法存取公司資源。

建立條件式存取原則

條件式存取原則可以使用來自 適用於端點的 Microsoft Defender 的數據,來封鎖超過您所設定威脅層級之裝置的資源存取。 您可以封鎖從裝置存取公司資源,例如 SharePoint 或 Exchange Online。 此服務會強制執行 Microsoft 365 和其他 Microsoft 雲端服務的條件式存取原則。 當適用於端點的 Microsoft Defender 認為裝置不符合規範時,條件式存取服務會收到通知,並可採取動作來封鎖對該裝置的公司資源的存取權。

總結:

  • 適用於端點的 Microsoft Defender 提供威脅情報和風險評估資料,而條件式存取服務會使用這些資料來判斷裝置是否符合規範。
  • Microsoft Intune 會將合規性原則部署到裝置,並確保它們符合所需的安全性標準。
  • Microsoft Entra ID 中的條件式存取服務會封鎖超過組織所設定之威脅層級的裝置。

提示

條件式存取是一種 Microsoft Entra 技術。 在 Microsoft Intune 系統管理中心找到的條件式存取節點是來自 Microsoft Entra 的節

完成下列步驟,以根據裝置合規性建立條件式存取原則:

  1. 依照先前的指示,流覽至 Microsoft Intune 系統管理中心

  2. Microsoft Intune 系統管理中心,選取左側瀏覽窗格中的 [端點安全性]

  3. [端點安全性 | 概觀] 頁面,在中間窗格中的 [管理] 區段下,選取 [條件式存取]

  4. [條件式存取 | 原則] 頁面上,選取功能表列上的 [+新增原則]

  5. [新增] 頁面上,輸入原則 [名稱]。 然後定義與原則相關聯的 [指派][存取控制]。 例如:

    • 在 [ 使用者] 區段下,使用 [ 包含 ] 或 [ 排除] 索引卷標來設定接收此原則的群組。

    • 針對 [目標資源],設定 [選取此原則適用於雲端應用程式的內容],然後選擇要保護的應用程式。 例如,選擇 [選取應用程式],然後針對 [取],搜尋並選取 [Office 365 SharePoint Online],然後 Office 365 Exchange Online

    • 針對 [條件],選取 [用戶端應用程式 ],然後將 [設定 ] 設定為 [是]。 接下來,選取 [瀏覽器] 和 [行動 應用程式] 和 [桌面客戶端] 的複選框。 然後,選 取 [完成 ] 以儲存用戶端應用程式組態。

    • 針對 [授與],設定此原則以根據裝置合規性規則套用。 例如:

      1. 取 [授與存取權]
      2. 選取 [ 需要將裝置標示為符合規範] 的複選框。
      3. 取 [需要所有選取的控件]。 選擇 [選取 ] 以儲存授與設定。

    • 針對 [啟用原則],選取 [ 開啟 ],然後選取 [ 建立 ] 以儲存變更。

知識檢查

為以下每個問題選擇最佳的答案。