在整合 Microsoft Intune 與適用於端點的 Microsoft Defender 時,您可以使用 Intune 端點安全性原則,在未向 Intune 註冊的裝置上管理 Defender 安全性設定。 這項功能稱為 適用於端點的 Defender 安全性設定管理。
當您透過安全性設定管理來管理裝置時:
您可以使用 Microsoft Intune 系統管理中心 或 Microsoft 365 Defender 入口網站 來管理適用於端點的 Defender 的 Intune 端點安全性原則,並將這些原則指派給 Microsoft Entra ID 群組。 Defender 入口網站包含用於裝置檢視、原則管理和安全性設定管理之報告的使用者介面。
若要從 Defender 入口網站內管理原則,請參閱 Defender 內容中的 管理適用於端點的 Microsoft Defender 中的端點安全性原則。
裝置會根據其 Microsoft Entra ID 裝置物件取得他們獲指派的原則。 尚未在 Microsoft Entra 中註冊的裝置已做為此解決方案的一部分而加入。
當裝置收到原則時,裝置上的適用於端點的 Defender 元件會強制執行原則,並回報裝置的狀態。 裝置的狀態可在 Microsoft Intune 系統管理中心和 Microsoft Defender 入口網站中取得。
此案例會將 Microsoft Intune 端點安全性介面延伸到無法在 Intune 中註冊的裝置。 當裝置受到 Intune 管理 (註冊到 Intune) 時,裝置不會處理適用於端點的 Defender 安全性設定管理的原則。 請改為使用 Intune 將適用於端點的 Defender 原則部署到您的裝置。
適用於:
- Windows
- Windows Server 2012 R2 及以後版本
- Linux
- macOS
先決條件
請查閱下列各節,取得適用於端點的 Defender 安全性設定管理案例的要求。
環境
當支援的裝置上線至適用於端點Microsoft Defender 時:
- 此裝置針對現有的 Microsoft Intune 狀態進行調查,這是向 Intune 註冊的行動裝置管理 (MDM)。
- 缺少 Intune 狀態的裝置會啟用安全性設定管理功能。
- 對於未完全向 Microsoft 註冊的裝置,會在可讓裝置擷取原則的 Microsoft Entra ID 中建立綜合裝置身分識別。 完全註冊的裝置會使用其目前的註冊。
- 在裝置上,適用於端點的 Microsoft Defender 會強制執行從 Microsoft Intune 取得的政策。
政府雲端支援
Defender for Endpoint 的安全設定管理場景由以下政府租戶支援:
- 美國政府社群雲 (GCC)
- 美國政府社區高中 (GCC高)
- 美國國防部 (DoD)
如需詳細資訊,請參閱:
- Intune 美國政府服務說明
- 適用於美國政府客戶的適用於端點的 Microsoft Defender
- 功能與美國政府客戶的 適用於端點的 Microsoft Defender 商業版相當。
連線要求
裝置必須能夠存取下列端點:
-
*.dm.microsoft.com- 可以使用萬用字元支援用於註冊、簽到及回報的雲端服務端點,而且可以隨著服務規模而變更。
注意事項
政府客戶的端點位於 美國政府部署的網路端點
支援的平台
下列裝置平台支援適用於端點的 Microsoft Defender 安全性管理的原則:
Linux:
在 適用於端點的 Microsoft Defender for Linux 代理程式版本 101.23052.0009 或更新版本中,所有列於支援 Linux 發行版的 Linux 發行版都支援安全設定管理。
你可以在 Microsoft Defender 入口網站中,透過以下方法找到你的 Defender 代理版本:
你可以透過瀏覽>資產裝置>概覽並檢視 Defender 引擎版本欄位來調查單一裝置。
您可以在 Reports > Endpoints > Device Health > Microsoft Defender Antivirus health 查看摘要報告並匯出完整清單,並匯出平台版本。
你可以在 「狩獵 > 進階狩獵 」中使用以下查詢,並檢視 SoftwareVersion 資料:
DeviceTvmSoftwareInventory | where SoftwareName == "defender_for_linux"
如需更新代理程式版本的指導方針,請參閱 在Linux 上部署適用於端點的 Microsoft Defender 更新。
已知問題
在 Defender 代理版本 101.23052.0009 中,若缺少以下檔案路徑,Linux 裝置將無法註冊:
/sys/class/dmi/id/board_vendor當 Linux 裝置進行合成註冊時,裝置 Entra ID (過去稱為裝置 AAD ID) 在 Defender 入口中不會顯示。 這些資訊可從 Intune 或 Microsoft Entra 入口網站查詢。 管理員仍可以此方式管理有政策的裝置。
macOS:
在 適用於端點的 Microsoft Defender for macOS 代理版本 101.23052.0004 或更新版本中,系統需求中列出的 macOS 版本支援安全設定管理
你可以在 Microsoft Defender 入口網站中找到以下方法的 Defender 代理版本:
你可以透過瀏覽>資產裝置>概覽並檢視 Defender 引擎版本欄位來調查單一裝置。
您可以在 Reports > Endpoints > Device Health > Microsoft Defender Antivirus health 查看摘要報告並匯出完整清單,並匯出平台版本。
你可以在 「狩獵 > 進階狩獵 」中使用以下查詢,並檢視 SoftwareVersion 資料:
DeviceTvmSoftwareInventory | where SoftwareName == "defender_for_mac"
如需更新代理程式版本的指導方針,請參閱 在macOS 上部署適用於端點的 Microsoft Defender 更新。
已知問題
- 當 macOS 裝置執行合成註冊時,裝置 Entra ID (過去稱為裝置 AAD ID) 在 Defender 入口中無法顯示。 這些資訊可從 Intune 或 Microsoft Entra 入口網站查詢。 管理員仍可以此方式管理有政策的裝置。
Windows:
Windows 10 個人/企業版 (含 KB5023773)
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
Windows 11 個人/企業版 (含 KB5023778)
Windows Server 2012 R2 含 適用於低階裝置的 Microsoft Defender
Windows Server 2016 含 適用於低階裝置的 Microsoft Defender
Windows Server 2019 (含 KB5025229)
Windows Server 2019 年核心 (,隨選安裝了 Server Core 應用程式相容功能)
Windows Server 2022,包含 Server Core (KB5025230)
Windows Server 2025
網域控制站。 請參閱本文中關於域 控制器安全設定管理 (重要資訊) 。
安全性設定管理無法在下列裝置上運作,也不支援下列裝置:
- Windows Server Core 2016 及更早版本
- 非持續性桌面,例如虛擬桌面基礎結構 (VDI) 用戶端
- Azure 虛擬桌面 (AVD 和先前的 Windows 虛擬桌面、WVD)
- 32 位元版本的 Windows
授權與訂閱
若要使用安全性設定管理,您需要:
授予適用於端點的 Microsoft Defender 授權的訂閱,例如 Microsoft 365,或僅適用於端點的 Microsoft Defender 的獨立授權。 授予適用於端點的 Microsoft Defender 授權的訂閱也可以向您的租用戶授予 Microsoft 365 系統管理中心的端點安全性存取權。
注意事項
例外狀況: 如果您 只能 透過適用於伺服器的 Microsoft Defender (為適用於雲端的 Microsoft Defender 的一部分,先前稱為 Azure 資訊安全中心) 存取適用於端點的 Microsoft Defender,則無法使用安全性設定管理功能。 您必須至少有一位適用於端點的 Microsoft Defender (使用者) 訂閱授權正在啟用。
[端點安全性] 節點可讓您設定和部署原則,為您的裝置管理適用於端點的 Microsoft Defender 並監視裝置狀態。
如需選項的目前資訊,請參閱 適用於端點的 Microsoft Defender 的最低需求。
角色型存取控制 (RBAC)
關於如何為管理端點安全Intune政策的管理員分配適當權限與權限的指引Intune請參見本文後面的「基於角色的端點安全存取控制」。 .
架構
下圖是適用於端點的 Microsoft Defender 安全性設定管理解決方案的概念表示。
- 上線至適用於端點的 Microsoft Defender 的裝置。
- 裝置會與 Intune 通訊。 此通訊可讓 Microsoft Intune 在裝置簽到時發佈以裝置為目標的原則。
- 系統會在 Microsoft Entra ID 中為每個裝置建立註冊:
- 如果裝置先前已完全註冊,例如混合式聯結裝置,則會使用現有的註冊。
- 對於未註冊的裝置,則會在 Microsoft Entra ID 中建立綜合裝置身分識別,讓裝置能夠擷取原則。 當具有綜合註冊的裝置擁有為其建立的完整 Microsoft Entra 註冊時,系統會移除其綜合註冊,並透過使用完整註冊在不受干擾時繼續進行裝置管理。
- 適用於端點的 Defender 會將原則的狀態回報給 Microsoft Intune。
重要事項
安全性設定管理會針對未在 Microsoft Entra ID 中完整註冊的裝置使用綜合註冊,並丟棄 Microsoft Entra 混合式聯結必要條件。 隨著這項變更,先前有註冊錯誤的 Windows 裝置開始向 Defender 導引,並接收並處理安全設定管理政策。
若要篩選因無法符合 Microsoft Entra 混合式聯結必要條件而無法註冊的裝置,請瀏覽至 Microsoft Defender 入口網站中的 [裝置] 清單,然後依註冊狀態進行篩選。 由於這些裝置尚未完全註冊,其裝置屬性顯示為 MDMIntune = 和Join 類型 = 為空白。 這些裝置現在會透過合成註冊來管理安全設定。
這些裝置在註冊之後會顯示在 Microsoft Defender、Microsoft Intune 和 Microsoft Entra 入口網站的裝置清單中。 雖然這些裝置不會完全註冊到 Microsoft Entra,但它們的合成註冊會被視為一個裝置物件。
在 Microsoft Defender 入口網站中的預期事項
您可以使用 適用於端點的 Microsoft Defender 裝置清單,透過檢視「管理者」欄位中的裝置狀態,確認裝置是否使用了 Defender for Endpoint 的安全設定管理功能。 裝置側邊面板或裝置頁面上也提供 [管理者] 資訊。 管理者 應一致地指出其受到 MDE 管理。
您也可以透過確認裝置側邊面板或裝置頁面將 [MDE 註冊狀態] 顯示為 [成功],一併確認裝置已在 安全性設定管理 中成功註冊。
如果 MDE 註冊 狀態未顯示 [成功],請確定您正在查看的裝置為已更新且在安全性設定管理範圍內的裝置。 (您在設置安全性設定管理時,於 [強制執行] 範圍頁面上設定範圍。)
在 Microsoft Intune 系統管理中心中的預期事項
在 Microsoft Intune 系統管理中心,移至 [所有裝置] 頁面。 使用安全性設定管理註冊的裝置會在此處顯示,就如同在 Defender 入口網站中一樣顯示。 在系統管理中心,依欄位管理的裝置應該會顯示 MDE。
提示
在 2023 年 6 月,安全性設定管理開始針對未在 Microsoft Entra 中完整註冊的裝置使用綜合註冊。 隨著此變更,先前有註冊錯誤的裝置開始導入 Defender,並接收並處理安全設定管理政策。
Microsoft Azure 入口網站中的預期事項
在 Microsoft Azure 入口網站中的 [所有裝置] 頁面上,您可以檢視裝置詳細資料。
![Microsoft Azure 入口網站中 [所有裝置] 頁面的螢幕擷取畫面,其中已醒目提示範例裝置。](media/mde-security-integration/azure-enrollment-validation.png#lightbox)
若要確保所有在適用於端點的 Defender 安全性設定管理中註冊的裝置都會收到原則,建議您根據裝置的作業系統類型建立 動態 Microsoft Entra 群組。 使用動態群組時,由適用於端點的 Defender 所管理的裝置會自動新增至群組,而不需要系統管理員執行其他工作,例如建立新原則。
重要事項
從 2023 年 7 月到 2023 年 9 月 25 日,安全性設定管理執行了加入公開預覽版,為受管理且註冊到案例的裝置引入新的行為。 從 2023 年 9 月 25 日開始,公開預覽行為已正式推出,現在適用於所有使用安全性設定管理的租用戶。
如果你在 2023 年 9 月 25 日之前使用過安全設定管理,且沒有參加從 2023 年 7 月到 2023 年 9 月 25 日期間的選擇加入公開預覽版,請檢視你依賴系統標籤來做變更的 Microsoft Entra 群組,這些群組會用安全設定管理來識別你管理的新裝置。 這是因為在 2023 年 9 月 25 日之前,未透過加入公開預覽版管理的裝置會使用下列 MDEManaged 和 MDEJoined 的系統標籤 (類別) 來識別受管理的裝置。 這兩個系統標籤不再受到支援,且不會再新增到註冊裝置中。
針對您的動態群組使用下列指導方針:
(建議) 當鎖定目標原則時,透過使用 deviceOSType 屬性 (Windows, Windows Server, macOS, Linux),依據裝置平台使用動態群組,確認會持續為可變更管理類型的裝置傳達原則,例如在 MDM 註冊期間。
如有必要,包含僅受到適用於端點的 Defender 管理之裝置的動態群組可以透過使用 managementType 屬性 MicrosoftSense 定義來設為目標。 使用此屬性時,會以所有透過安全性設定管理功能由適用於端點的 Defender 所管理的裝置為目標,而裝置只會受到適用於端點的 Defender 管理時,才會保留在此群組中。
此外,在設置安全性設定管理時,如果您想要使用適用於端點的 Microsoft Defender 來管理整個 OS 平台團隊,請在適用於端點的 Microsoft Defender 強制執行範圍頁面中選取 所有裝置,而不是 標記的裝置,須留意,任何綜合註冊都會與完整註冊一樣,都會計入 Microsoft Entra ID 配額。
應該使用哪個解決方案?
Microsoft Intune 包含數種方法和原則類型,可用來管理裝置上適用於端點的 Defender 設定。 下表識別會支援部署至受適用於端點的 Defender 安全性設定管理所管理之裝置的 Intune 原則和設定檔,並可協助您識別此解決方案是否適合您的需求。
當你部署一個同時支援 Defender for Endpoint 安全設定管理與 Microsoft Intune 的端點安全政策時,該政策的單一實例會被以下機構處理:
- 透過安全性設定管理 (Microsoft Defender) 支援的裝置
- 由 Intune 或 Configuration Manager 管理的裝置。
透過安全性設定管理所管理的裝置不支援 Windows 10 和更新版本平台 的設定檔。
每個裝置類型都支援下列設定檔:
Linux
下列原則類型支援 Linux 平台。
| 端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
|---|---|---|---|
| 防毒軟體 | Microsoft Defender 防毒軟體 |
|
|
| 防毒軟體 | Microsoft Defender 防毒軟體排除 |
|
|
| 端點偵測及回應 | 端點偵測及回應 |
|
|
| 端點偵測及回應 | Microsoft Defender AV+EDR (全域排除) |
|
|
macOS
下列原則類型支援 macOS 平台。
| 端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
|---|---|---|---|
| 防毒軟體 | Microsoft Defender 防毒軟體 |
|
|
| 防毒軟體 | Microsoft Defender 防毒軟體排除 |
|
|
| 端點偵測及回應 | 端點偵測及回應 |
|
|
Windows
為了支援 Microsoft Defender 的安全設定管理,Windows 裝置的政策必須使用 Windows 平台。 Windows 平台的每個設定檔都可以適用於由 Intune 管理的裝置,以及由安全設定管理管理的裝置。
| 端點安全性原則 | 設定檔 | 適用於端點的 Defender 安全性設定管理 | Microsoft Intune |
|---|---|---|---|
| 防毒軟體 | Defender 更新控制項 |
|
|
| 防毒軟體 | Microsoft Defender 防毒軟體 |
|
|
| 防毒軟體 | Microsoft Defender 防毒軟體排除 |
|
|
| 防毒軟體 | Windows 安全性體驗設定 |
|
|
| 受攻擊面縮小 | 受攻擊面縮小規則 |
|
|
| 受攻擊面縮小 | 裝置控制 | 註1 |
|
| 端點偵測及回應 | 端點偵測及回應 |
|
|
| 防火牆 | 防火牆 |
|
|
| 防火牆 | 防火牆規則 |
|
|
1 - 此設定檔在 Defender 入口網站可見,但不支援僅由 Microsoft Defender 透過 Microsoft Defender 安全設定管理情境管理的裝置。 此設定檔僅支援 Intune 管理的裝置。
每個 Intune 端點安全設定檔都是一組獨立的設定,供專注於保護組織內裝置的安全管理員使用。 以下是安全設定管理情境所支援的設定檔描述:
防毒軟體 原則會管理在適用於端點的 Microsoft Defender 中找到的安全性設定。
注意事項
雖然端點不需要重新啟動即可套用修改的設定或新政策,但 AllowOnAccessProtection 和 DisableLocalAdminMerge 的設定有時會要求終端使用者重新啟動裝置才能更新這些設定。 此議題正在調查中,以尋求解決方案。
受攻擊面縮小 (ASR) 原則著重在將貴組織容易遭受網路威脅和攻擊的位置減到最少。 透過安全性設定管理,ASR 規則會套用到執行 Windows 10、Windows 11 和 Windows Server 的裝置。
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
如需目前關於哪些設定適用於不同平台和版本的指導方針,請參閱 Windows 威脅防護文件中的 ASR 規則支援的作業系統。
提示
若要協助將支援的端點保持在最新狀態,請考慮使用適用於 Windows Server 2012 R2 和 2016 的 新式整合解決方案。
另請參閱:
- Windows 威脅防護文件中 受攻擊面縮小的概觀。
端點偵測和回應 (EDR) 原則可提供管理適用於端點的 Defender 的功能,可提供近乎可即時採取行動的進階攻擊偵測。 依據 EDR 設定,安全性分析人員可以有效地排定警示的優先順序、深入了解安全性缺口的全貌,並採取回應動作來補救威脅。
防火牆 原則著重於裝置上的 Defender 防火牆。
防火牆規則 是一種防 火牆 政策的設定檔,包含針對防火牆的細緻規則,包括特定的埠口、協定、應用程式和網路。
設定您的租用戶以支援適用於端點的 Defender 安全性設定管理
若要透過 Microsoft Intune 系統管理中心支援安全性設定管理,您必須從每個主機內部啟用它們之間的通訊。
下列各節會引導您完成這個流程。
設定適用於端點的 Microsoft Defender
在 Microsoft Defender 入口網站中,作為安全管理員:
登入 Microsoft Defender 入口網站,前往設定>端點>配置管理>強制範圍,啟用安全設定管理平台。
注意事項
如果你在 Microsoft Defender 入口網站中擁有安全中心的管理安全設定權限,並且同時啟用了查看所有裝置群組的裝置,且使用者權限) (沒有基於角色的存取控制限制,你也可以執行此操作。
一開始,建議您透過選取 [在已標記的裝置上] 的平台選項,測試每個平台的功能,接著標記含
MDE-Management標籤的裝置。提示
使用適當的裝置標籤來測試和驗證您在少數裝置上的推出。
當你部署到 All devices 群組時,任何落在設定範圍內的裝置都會自動被註冊。
雖然大部分裝置會在幾分鐘內完成註冊並套用指派的原則,但裝置有時最多可能需要 24 小時才能完成註冊。
重要事項
自 2025 年 7 月 3 日起,公開預覽版中已支援動態資產規則來定義 MDE-Management 標籤中的裝置。
設定適用於雲端的 Microsoft Defender 上線裝置的功能和 Configuration Manager 授權單位設定以符合貴組織的需求:
提示
為了確保您的 Microsoft Defender 入口網站使用者在各入口網站間擁有一致的權限(如果尚未提供),請請求您的 IT 管理員授權他們擁有 Microsoft Intune 端點安全管理員內建的 RBAC 角色。
設定 Intune
在 Microsoft Intune 系統管理中心,您的帳戶需要等同於端點安全性管理員內建角色型存取控制 (RBAC) 角色的權限。
選取 [端點安全性]>[適用於端點的 Microsoft Defender],並將 [允許適用於端點的 Microsoft Defender 強制執行端點安全性設定] 設為 [開啟]。
當您將此選項設定為 [開啟] 時,所有位於未受 Microsoft Intune 管理之適用於端點的 Microsoft Defender 平台範圍內的裝置都符合上線至適用於端點的 Microsoft Defender 的資格。
將裝置上線至適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 支援數個上線裝置的選項。 如需目前的指導方針,請參閱適用於端點的 Defender 文件中的 上線至適用於端點的 Microsoft Defender。
與 Microsoft Configuration Manager 共存
在某些環境中,可能需要使用由 Configuration Manager 管理的裝置來管理安全設定管理。 如果您同時使用這兩者,則必須透過單一通道來控制原則。 使用多個通道會為衝突和非預期結果創造機會。
若要支援此功能,請將 使用 Configuration Manager 管理安全性設定 設定為 關閉。 登入 Microsoft Defender 入口網站,然後移至 [設定]>[端點]>[組態管理]>[強制執行範圍]:
![Defender 入口網站的螢幕擷取畫面,顯示 [使用 Configuration Manager 管理安全性設定] 切換設定為 [關閉]。](media/mde-security-integration/disable-configuration-manager-toggle.png#lightbox)
建立 Microsoft Entra 群組
裝置上線至適用於端點的 Defender 之後,您必須建立裝置群組以支援部署適用於端點的 Microsoft Defender 原則。 若要識別已向適用於端點的 Microsoft Defender 註冊但未受 Intune 或 Configuration Manager 管理的裝置:
移至 [裝置]>[所有裝置],然後選取 [管理者] 欄位,以排序裝置檢視。
已適用於端點的 Microsoft Defender 並已註冊但未由 Intune 管理的裝置,會在「管理者」欄位顯示「適用於端點的 Microsoft Defender」。 這些裝置可以接收適用於端點的 Microsoft Defender 的安全性管理原則。
從 2023 年 9 月 25 日開始,使用適用於端點的 Microsoft Defender 安全性管理的裝置無法再透過使用下列系統標籤進行識別:
- MDEJoined - 現已淘汰的標籤,先前已新增至目錄做為此案例的一部分。
- MDEManaged - 現已淘汰的標籤,先前已新增至曾主動使用安全性管理案例的裝置。 如果適用於端點的 Defender 停止管理安全性設定,則會從裝置移除此標籤。
與其使用系統標籤,您可以改為使用管理類型屬性,並將其設定為 MicrosoftSense。
您可以在 Microsoft Entra 或 從 Microsoft Intune 系統管理中心內 為這些裝置建立群組。 建立群組時,如果您要將原則部署到執行 Windows Server 的裝置,以及執行 Windows 用戶端版本的裝置,您可以為裝置使用 OS 值:
- Windows 10 與 Windows 11 - 裝置OSType或作業系統顯示為Windows。
- Windows Server - deviceOSType 或 OS 會顯示為 Windows Server
- Linux 裝置 - deviceOSType 或 OS 會顯示為 Linux
具有規則語法的範例 Intune 動態群組
Windows 工作站:
Windows 伺服器:
Linux 裝置:
重要事項
在 2023 年 5 月,deviceOSType 已更新,以區別 Windows 用戶端 和 Windows Server。
在此變更之前建立的自訂指令碼和 Microsoft Entra dynamic device groups 會指定只參照 Windows 的規則,在搭配使用適用於端點的 Microsoft Defender 解決方案的安全性管理時,可能會排除 Windows Servers。 例如:
- 如果你有規則
equals使用 ornot equals操作符來識別 Windows,這個變更會影響你的規則。 這是因為先前 Windows 和 Windows Server 都回報為 Windows。 若要繼續同時包含這兩者,您必須更新規則以同時參考 Windows Server。 - 如果你有規則
contains用 orlike運算子來指定 Windows,那麼你的規則不會受到這個變更的影響。 這些運算子可以同時找到 Windows 和 Windows Server。
提示
被授權管理端點安全設定的使用者,可能無法在 Microsoft Intune 中實作租戶範圍的配置。 請洽詢您的 Intune 系統管理員取得關於貴組織中角色和權限的詳細資訊。
部署原則
建立一或多個包含受適用於端點的 Microsoft Defender 管理之裝置的 Microsoft Entra 群組之後,您可以建立下列安全性設定管理原則,並部署到這些群組。 提供的原則和設定檔會依平台而改變。
如需安全性設定管理支援的原則和設定檔組合清單,請參閱 應使用哪一個解決方案 中的圖表,可在本文中找到。
提示
避免將管理相同設定的多個原則部署到裝置。
Microsoft Intune 支援將每個端點安全性原則類型的多個執行個體部署到相同的裝置,裝置會個別接收每個原則執行個體。 因此,裝置可能會收到來自不同原則的相同設定的不同組態,這會導致衝突發生。 有些設定 (像是防毒排除) 在客戶端合併並成功套用。
移至 [端點安全性],選取您想要設定的原則類型,然後選取 [建立原則]。
針對原則,選取您要部署的 [平台] 和 [設定檔]。 如需支援安全性設定管理的平台和設定檔清單,請參閱本文先前的 應使用哪一個解決方案? 中的圖表。
注意事項
支援的設定檔適用於透過行動裝置管理 (MDM) 與 Microsoft Intune 通訊的裝置,以及使用適用於端點的 Microsoft Defender 用戶端進行通訊的裝置。
確定您可以視需要檢視您的目標設定和群組。
選取 [建立]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [組態設定] 頁面上,選取您要透過此設定檔管理的設定。
若要深入了解設定,請展開其 資訊 對話框,然後選取 [深入了解] 連結以檢視該設定的線上設定服務提供者 (CSP) 文件或相關詳細資料。
完成設定後,請選取 [下一步]。
在 [指派] 頁面上,選取可接收此設定檔的 Microsoft Entra 群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
選取 [下一步] 繼續。
提示
- 由安全設定管理管理的裝置不支援指派篩選器。
- 只有 裝置物件 適用於適用於端點的 Microsoft Defender 管理。 不支援鎖定目標的使用者。
- 政策同時適用於 Microsoft Intune 與 適用於端點的 Microsoft Defender 用戶端。
完成原則建立流程,然後在 [檢視 + 建立] 頁面上,選取 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
等候指派原則,並檢視已套用原則的成功指示。
您可以透過使用 Get-MpPreference 命令公用程式,驗證設定是否已在本機用戶端上套用。
監視狀態
Intune:
以此通道中裝置為目標的原則狀態和報告可以從 Microsoft Intune 系統管理中心的 [端點安全性] 底下的原則節點取得。
深入研究原則類型,然後選取原則以檢視其狀態。 在本文先前的 應使用哪一個解決方案 中的資料表,您可以檢視支援安全性設定管理的平台、原則類型和設定檔清單。
當您選取原則時,您可以檢視裝置簽到狀態的相關資訊,並可選取:
- 檢視報告 - 檢視可接收原則的裝置清單。 您可以選取要深入研究的裝置,並查看其個別設定狀態。 然後,您可以選取設定來檢視詳細資訊,包括管理相同設定的其他原則,這可能是衝突發生的來源。
- 個別設定狀態 - 檢視原則所管理的設定,以及每個設定的成功、錯誤或衝突計數。
Defender Portal:
您也可以監控從 Microsoft Defender 入口網站中套用的 Intune 政策。 在入口網站中,前往 端點,展開 組態管理 並選擇 端點安全政策。 選擇一個政策以查看其狀態,然後選擇:
- 概述 - 查看政策套用的群組概覽、套用的政策設定,以及裝置簽入狀態。
- 政策設定值 - 查看由政策設定的設定。
- 政策設定狀態 - 查看由政策管理的設定,以及每個設定的成功、錯誤或衝突數量。
- 套用裝置 - 查看該政策套用的裝置。
- 分配群組 - 查看政策分配給的群組。
欲了解更多資訊,請參閱 Defender 內容中的「管理端點安全政策」,適用於端點的 Microsoft Defender。
常見問題和考量
裝置簽到頻率
此功能所管理的裝置會每隔 90 分鐘會使用 Microsoft Intune 簽到以更新原則。
您可以從 Microsoft Defender 入口網站手動同步裝置隨選。 登入至入口網站並移至 [裝置]。 選取由適用於端點的 Microsoft Defender 管理的裝置,然後選取 [原則同步處理] 按鈕:
[原則同步處理] 按鈕只會針對成功受適用於端點的 Microsoft Defender 管理的裝置顯示。
受防篡改保護的裝置
如果裝置開啟了防篡改保護,就無法在未先關閉防篡改保護的情況下編輯防 篡改設定 的數值。
指派篩選和安全性設定管理
透過適用於端點的 Microsoft Defender 通道進行通訊的裝置不支援指派篩選。 雖然指派篩選條件可以新增至可以將這些裝置設為目標的原則,但裝置會忽略指派篩選。 針對指派篩選支援,裝置必須註冊到 Microsoft Intune。
刪除和移除裝置
您可以使用下列兩種方法之一來刪除使用此流程的裝置:
- 從 Microsoft Intune admin center 內,移至 [裝置]>[所有裝置],選取在 管理者 欄位中顯示 MDEJoined 或 MDEManaged 的裝置,然後選取 [刪除]。
- 您也可以從資訊安全中心的組態管理範圍中移除裝置。
從任一位置移除裝置之後,該變更就會傳播到另一個服務。
無法在 [端點安全性] 中啟用適用於端點的 Microsoft Defender 之安全性管理工作負載cur
雖然擁有兩項服務權限的管理員可以完成初始配置流程,但以下角色足以完成各自服務的設定:
- 對於 Microsoft Defender,請使用 [安全性系統管理員] 角色。
- 對於 Microsoft Intune,請使用 [端點安全性管理員] 角色。
Microsoft Entra 聯結的裝置
已聯結至 Active Directory 的裝置會使用其 現有的基礎結構 來完成 Microsoft Entra 混合式聯結流程。
不支援的安全性設定
下列安全性設定已擱置淘汰。 適用於端點的 Defender 安全性設定管理流程不支援下列設定:
加速遙測回報頻率 (位於 端點偵測和回應 底下)
AllowIntrusionPreventionSystem (位於 Antivirus 底下)
允許在地政策合併
在網域控制站上使用安全性設定管理
網域控制器支援安全設定管理。 要管理網域控制器的安全設定,必須在執行範圍頁面啟用, (到 設定>端點執行範圍) 。 必須先啟用 Windows Server 裝置,才能啟用網域控制站的設定。 此外,如果 Windows 伺服器選擇了 標籤裝置 上的選項,網域控制器的設定也會限制在標籤裝置上。
注意
- 網域控制器的錯誤設定可能對您的安全態勢與營運連續性造成負面影響。
- 如果您的租戶啟用了網域控制站設定,請務必檢視所有 Windows 政策,確保您不會無意中針對包含網域控制站的 Microsoft Entra 裝置群組。 為了降低生產力風險,防火牆政策在網域控制站上不被支援。
- 我們建議在取消註冊前,先檢視所有針對網域控制站的政策。 先完成所有必要的設定,然後再取消註冊網域控制器。 每台裝置在取消註冊後,都會維持 Defender for Endpoint 的設定。
適用於端點的 Microsoft Defender 與 PowerShell
部分 適用於端點的 Microsoft Defender 用戶端功能使用 PowerShell。 例如,Live Response 可以執行經核准函式庫的自訂腳本。 這些函式執行於由 Defender for Endpoint 用戶端執行的 PowerShell 實例中。
如果管理員被阻止執行 PowerShell,裝置問題的故障排除會更困難。 效能與通訊問題可以透過 PowerShell 腳本更容易診斷。
適用於端點的 Microsoft Defender 安全設定管理無法適用於設定為受限語言模式的 PowerShell 裝置。 如需詳細資訊,請參閱 PowerShell 文件中的 about_Language_Modes。
如果你之前使用第三方安全工具,如何透過 Defender for Endpoint 管理安全
如果你之前在機器上安裝了第三方安全工具,現在改用 Defender for Endpoint 來管理,那麼在少數情況下,可能會看到 Defender for Endpoint 管理安全設定的能力受到一些影響。 在這種情況下,作為故障排除措施,請在你的電腦上卸載並重新安裝最新版本的 Defender for Endpoint。