在 Microsoft Intune 中管理端點安全性

身為安全性管理員，請使用 Intune 中的端點安全性節點來設定裝置安全性，並在這些裝置面臨風險時管理裝置的安全性工作。端點安全策略旨在幫助您專注於設備的安全並降低風險。可用的工作可協助您識別有風險的裝置、補救這些裝置，並將其還原為符合規範或更安全的狀態。

端點安全性節點會將透過 Intune 取得的工具分組，可用來確保裝置安全：

檢閱所有受管理裝置的狀態。使用 [ 所有裝置 ] 檢視，您可以從高層級檢視裝置合規性。然後，切入至特定裝置，以瞭解哪些合規性原則未符合，以便您可以解決這些原則。
部署安全性基準，為裝置建立最佳做法安全性設定。 Intune 包含 Windows 裝置的安全性基準，以及不斷成長的應用程式清單，例如適用於端點的 Microsoft Defender 和 Microsoft Edge。安全性基準是預先設定的 Windows 設定群組，可協助您套用相關安全性小組的建議設定。
透過緊密集中的原則來管理裝置上的安全性設定。每個端點安全性原則都著重於裝置安全性的層面，例如防病毒軟體、磁碟加密、防火牆，以及透過與適用於端點的 Microsoft Defender 整合而提供的數個區域。
透過合規性原則建立裝置和使用者需求。使用合規性原則，您可以設定裝置和使用者必須符合的規則，才能被視為合規。規則可以包括作業系統版本、密碼需求、裝置威脅層級等。

當您與 Microsoft Entra 條件式存取原則整合以強制執行合規性原則時，您可以限制受控裝置和尚未受控裝置的公司資源存取權。
將 Intune 與您的適用於端點的 Microsoft Defender團隊整合。藉由與適用於端點的 Microsoft Defender 整合，您可以存取安全性工作。安全性工作會將適用於端點的 Microsoft Defender 和 Intune 緊密連結在一起，以協助您的安全性小組識別有風險的裝置，並將詳細的補救步驟移交給 Intune 系統管理員，然後他們可以採取動作。

本文的下列各節討論您可以從系統管理中心的端點安全性節點執行的不同工作，以及使用它們所需的角色型存取控制 (RBAC) 許可權。

端點安全概觀

當您在 Microsoft Intune 系統管理中心開啟端點安全性節點時，預設會是 [概觀] 頁面。

端點安全性概觀頁面會呈現合併的儀錶板，其中包含從端點安全性更集中的節點提取的顯示和資訊，包括防病毒軟體、端點偵測和回應，以及適用於端點的 Microsoft Defender：

適用於端點的 Defender 連接器狀態 – 此檢視會顯示全租用戶適用於 端點的 Defender 連接器的目前狀態。此檢視的標籤也可以作為開啟適用於端點的 Microsoft Defender 入口網站的連結。

此相同的檢視可在 [端點偵測與回應 原則] 節點的 [摘要] 索引標籤上使用。
上線至適用於端點的 Defender 的 Windows 裝置 – 此數據表會顯示 端點偵測和回應 (EDR) 上線的全租用戶狀態，以及已上線和未上線的裝置計數。此檢視的標籤是開啟 [端點偵測與回應原則] 節點的 [摘要] 索引標籤的連結。

包括兩個額外的連結：
- 部署預先設定的原則 – 此連結會開啟 端點偵測和回應 的原則節點，您可以在其中部署原則，將裝置上線至 Defender。
- 將裝置上線至適用於端點的 Defender – 開啟 Defender 入口網站的連結，您可以在其中採取其他步驟，在 Intune 簡化的工作流程之外將裝置上線。
防病毒軟體代理程式狀態 – 此檢視會顯示 Intune 防病毒軟體代理程式狀態報告的摘要詳細數據，否則可在 Intune 系統管理中心取得，方法是移至 [報表>] Microsoft Defender 防病毒軟體，其中報表位於 [摘要] 索引標籤上。
其他監視報告 - 本節包含開啟其他 Microsoft Defender 防病毒軟體報告的磚，包括偵測到的惡意代碼防火牆狀態。另一個磚會開啟 Defender 入口網站 ，您可以在其中檢視感測器和防病毒軟體健康情況數據。

管理裝置

端點安全性節點包含 [所有裝置] 檢視，您可以在其中檢視 Microsoft Intune 中可用的 Microsoft Entra ID 中所有裝置清單。

從此檢視中，您可以選取要鑽研的裝置，以取得詳細資訊，例如裝置不符合哪些原則。您也可以使用此檢視的存取權來補救裝置的問題，包括重新啟動裝置、啟動惡意代碼掃描，或在 Window 10 裝置上輪替 BitLocker 金鑰。

如需詳細資訊，請參閱在 Microsoft Intune 中使用端點安全性管理裝置。

管理安全性基準

Intune 中的安全性基準是預先設定的 Windows 裝置組態設定群組，這些設定已預先設定預設值，以設定來自相關 Microsoft 安全性小組的最佳做法建議。 Intune 支援 Windows 裝置設定、Microsoft Edge、適用於端點的 Microsoft Defender Protection 等的安全性基準。

如需詳細資訊，請參閱使用安全性基準在 Intune 中設定 Windows 裝置。

安全性基準是 Intune 中設定裝置組態設定的數種方法之一。管理設定時，請務必瞭解您的環境中使用哪些其他方法可以設定您的裝置，以避免衝突。請參閱本文稍後的避免原則衝突。

檢閱適用於端點的 Microsoft Defender 的安全性工作

當您將 Intune 與適用於端點的 Microsoft Defender 整合時，您可以檢閱 Intune 中的安全性工作，以識別有風險的裝置，並提供降低該風險的步驟。然後，當成功降低這些風險時，您可以使用工作回報給適用於端點的 Microsoft Defender。

您的適用於端點的 Microsoft Defender 小組會判斷哪些裝置有風險，並將該資訊作為安全性工作傳遞給您的 Intune 小組。只需按幾下，他們就會為 Intune 建立安全性工作，以識別有風險的裝置、弱點，並提供如何降低該風險的指引。
Intune 系統管理員可以選取並檢閱安全性工作，然後在 Intune 內採取行動來補救這些工作。一旦緩解，他們就會將工作設定為完成，這會將該狀態傳達回適用於端點的 Microsoft Defender 小組。

透過安全性工作，兩個團隊在哪些裝置面臨風險，以及如何以及何時補救這些風險方面保持同步。

若要深入瞭解如何使用安全性工作，請參閱使用 Intune 補救適用於端點的 Microsoft Defender所識別的弱點。

使用原則來管理裝置安全性

身為安全管理員，請使用端點安全 節點中管理 下的安全原則。使用這些原則，您可以設定裝置安全性，而不需要瀏覽透過裝置組態配置檔或安全性基準提供的較大內文和裝置組態設定範圍。

管理原則

若要深入瞭解如何使用這些安全性原則，請參閱使用端點安全性原則管理裝置安全性。

端點安全性原則是 Intune 中設定裝置上設定的數種方法之一。管理設定時，請務必瞭解您的環境中使用哪些其他方法來設定您的裝置，並避免衝突。請參閱本文稍後的避免原則衝突。

此外，在 [管理] 底下也有 [裝置合規性和條件式存取原則]。這些原則類型不是設定端點的重點安全性原則，而是管理裝置和存取公司資源的重要工具。

使用裝置合規性原則

使用裝置合規性原則來建立允許裝置和使用者存取您的網路和公司資源的條件。

可用的合規性設定取決於您使用的平台，但常見的原則規則包括：

要求裝置執行最低或特定作業系統版本
設定密碼需求
指定允許的裝置威脅層級上限，由適用於端點的 Microsoft Defender 或其他行動威脅防禦合作夥伴所決定

除了原則規則之外，合規性原則還支援不合規的動作。這些動作是套用至不符合規範裝置的按時間順序排列的動作序列。動作包括傳送電子郵件或通知，以警示裝置使用者不合規、遠端鎖定裝置，甚至淘汰不合規的裝置，以及移除其上可能存在的任何公司資料。

當您整合 Intune Microsoft Entra 條件式存取原則來強制執行合規性原則時，條件式存取可以使用合規性資料來控制受控裝置的公司資源存取權，以及從您未管理的裝置存取。

若要深入瞭解，請參閱在裝置上設定規則，以允許使用 Intune 存取組織中的資源。

裝置合規性原則是 Intune 中設定裝置上設定的數種方法之一。管理設定時，請務必瞭解您的環境中使用哪些其他方法來設定您的裝置，並避免衝突。請參閱本文稍後的避免原則衝突。

設定條件式存取

若要保護您的裝置和公司資源，您可以搭配 Intune 使用 Microsoft Entra 條件式存取原則。

Intune 會將裝置合規性原則的結果傳遞至 Microsoft Entra，然後使用條件式存取原則來強制執行哪些裝置和應用程式可以存取您的公司資源。條件式存取原則也有助於門控您未使用 Intune 管理之裝置的存取，而且可以使用您與 Intune 整合的行動威脅防禦合作夥伴的合規性詳細數據。

以下是搭配 Intune 使用條件式存取的兩種常見方法：

裝置型條件式存取，以確保只有受控且符合規範的裝置才能存取網路資源。
應用程式型條件式存取，它會使用應用程式保護原則來管理使用者在您未使用 Intune 管理之裝置上對網路資源的存取。

若要深入瞭解如何搭配 Intune 使用條件式存取，請參閱瞭解條件式存取和 Intune。

設定與適用於端點的 Microsoft Defender 整合

當您將適用於端點的 Microsoft Defender 與 Intune 整合時，您可以改善識別和回應風險的能力。

雖然 Intune 可以與數個行動威脅防禦合作夥伴整合，但當您使用適用於端點的 Microsoft Defender 時，您會獲得適用於端點的 Microsoft Defender 與 Intune 之間的緊密整合，並存取深層裝置保護選項，包括：

安全性工作 – 適用於端點的 Defender 與 Intune 系統管理員之間，針對有風險的裝置、如何補救裝置，以及確認何時降低這些風險，進行順暢的通訊。
簡化用戶端上適用於端點的 Microsoft Defender 上線。
在 Intune 合規性原則和應用程式保護原則中使用適用於端點的 Defender 裝置風險訊號。
存取 竄改保護 功能。

若要深入瞭解如何搭配 Intune 使用適用於端點的 Microsoft Defender，請參閱在 Intune 中使用條件式存取強制執行適用於端點的 Microsoft Defender 合規性。

角色型存取控制需求

若要管理 Microsoft Intune 系統管理中心端點安全性節點中的工作，帳戶必須：

獲指派 Intune 的授權。
具有角色型存取控制 (RBAC) 許可權，等於 Endpoint Security Manager 內建 Intune 角色所提供的許可權。 端點安全性管理員角色會授與 Microsoft Intune 系統管理中心的存取權。此角色可供管理安全性與合規性功能的個人使用，包括安全性基準、裝置合規性、條件式存取和適用於端點的 Microsoft Defender。

如需詳細資訊，請參閱使用 Microsoft Intune (RBAC) 角色型存取控制。

Endpoint Security Manager 角色授與的權限

您可以在 Microsoft Intune 系統管理中心檢視下列許可權清單，方法是移至 [租用戶系統管理>角色]> [所有角色]，選取 [Endpoint Security Manager>屬性]。

權限：

安卓 FOTA
- 讀取
Android 工作版
- 讀取
稽核資料
- 讀取
憑證連接器
- 讀取
公司裝置識別碼
- 讀取
衍生認證
- 讀取
裝置合規性原則
- Assign
- 建立
- Delete
- 讀取
- 更新
- 檢視報告
裝置設定
- 讀取
- 檢視報告
裝置註冊管理員
- 讀取
端點保護報告
- 讀取
招生計劃
- 讀取裝置
- 閱讀個人資料
- 讀取權杖
篩選
- 讀取
Intune 資料倉儲
- 讀取
受管理的應用程式
- 讀取
受管理裝置
- 刪除
- 讀取
- 設定主要使用者
- 更新
- 檢視報告
Microsoft Defender ATP
- 讀取
商務用 Microsoft Store
- 讀取
行動威脅防禦應用程式
- 修改
- 讀取
行動裝置應用程式
- 讀取
組織
- 讀取
合作夥伴裝置管理
- 讀取
原則集
- 讀取
遠端協助連接器
- 讀取
- 檢視報告
遠端任務
- 取得 FileVault 金鑰
- 起始配置管理員動作
- 立即重新啟動
- 遠端鎖定
- 旋轉 BitLockerKeys (預覽)
- 輪換 FileVault 金鑰
- 關閉
- 同步裝置
- Windows Defender
角色
- 讀取
安全性基準
- Assign
- 建立
- Delete
- 讀取
- 更新
安全性工作
- 讀取
- 更新
條款及條件
- 讀取
Windows 企業版憑證
- 讀取

避免政策衝突

您可以為裝置設定的許多設定都可以由 Intune 中的不同功能來管理。這些功能包括但不限於：

端點安全政策
安全性基準
裝置設定原則
Windows 註冊原則

例如，端點安全性原則中找到的設定是裝置組態原則中端 點保護 和 裝置限制 配置檔中找到的設定子集，而且也會透過各種安全性基準進行管理。

避免衝突的一種方法是不要使用不同的基準、相同基準的執行個體或不同的原則類型和執行個體來管理裝置上的相同設定。這需要規劃要使用哪些方法將組態部署至不同的裝置。當您使用多個方法或相同方法的實例來設定相同的設定時，請確定您的不同方法同意或未部署至相同的裝置。

如果發生衝突，您可以使用 Intune 的內建工具來識別和解決這些衝突的來源。如需詳細資訊，請參閱：

配置：

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-10-04