Dołączanie dzierżawy: tworzenie i wdrażanie zasad zmniejszania obszaru ataków z poziomu centrum administracyjnego

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Utwórz zasady zmniejszania obszaru ataków w centrum administracyjnym Microsoft Intune i wdróż je w Configuration Manager kolekcji.

Wymagania wstępne

• Dostęp do centrum administracyjnego Microsoft Intune.
• Środowisko dzierżawy dołączone do przekazanych urządzeń.
• Obsługiwana wersja Configuration Manager i odpowiednia wersja zainstalowanej konsoli.
  • Uaktualnij urządzenia docelowe do najnowszej wersji klienta programu Configuration Manager.
• Co najmniej jedna kolekcja programu Configuration Manager, która jest dostępna do przypisywania zasad zabezpieczeń punktu końcowego
• Urządzenia z systemem Windows, które obsługują ten profil dla urządzeń dołączonych do dzierżawy

Przypisywanie zasad zmniejszania obszaru ataków do kolekcji

1. W przeglądarce przejdź do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęRedukcja obszaru ataków zabezpieczeń >punktu końcowego, a następnie pozycję Utwórz zasady.

3. Utwórz profil z następującymi ustawieniami:

   • Platforma: Windows 10 i nowsze (ConfigMgr)
   • Profil: wybierz jeden z następujących profilów:
     • Reguły zmniejszania obszaru ataków (ConfigMgr)
     • Exploit Protection (ConfigMgr)
     • Web Protection (ConfigMgr)

Uwaga

Instalator przeglądarki Microsoft Edge, aparat reguł zmniejszania obszaru podatnego na ataki dla dołączania dzierżawy i narzędzie CMPivot są obecnie podpisane przy użyciu certyfikatu PCA 2011 podpisywania kodu firmy Microsoft . W przypadku ustawienia zasad wykonywania programu PowerShell na wartość AllSigned należy upewnić się, że urządzenia ufają temu certyfikatowi podpisywania. Certyfikat można wyeksportować z komputera, na którym zainstalowano konsolę Configuration Manager. Wyświetl certyfikat w programie "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe", a następnie wyeksportuj certyfikat podpisywania kodu ze ścieżki certyfikacji. Następnie zaimportuj go do magazynu Zaufani wydawcyna urządzeniach zarządzanych. Możesz użyć tego procesu w poniższym blogu, ale pamiętaj o wyeksportowaniu certyfikatu podpisywania kodu ze ścieżki certyfikacji: dodawanie certyfikatu do zaufanych wydawców przy użyciu usługi Intune

1. Przypisz nazwę i opcjonalnie opis na stronie Podstawy .
2. Na stronie Ustawienia konfiguracji skonfiguruj ustawienia, którymi chcesz zarządzać za pomocą tego profilu. Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat dostępnych ustawień dla obu profilów, zobacz Ustawienia zasad zmniejszania obszaru ataków dla urządzeń dołączonych do dzierżawy.
3. Przypisz zasady do kolekcji Configuration Manager na stronie Przypisania.

Stan urządzenia

Możesz sprawdzić stan zasad zabezpieczeń punktów końcowych dla urządzeń dołączonych do dzierżawy. Dostęp do strony Stan urządzenia może być zapewniony dla wszystkich typów zasad zabezpieczeń punktów końcowych dla klientów dołączonych do dzierżawy. Aby wyświetlić stronę Stan urządzenia:

1. Wybierz zasady, które są docelowo kierowane do urządzeń ConfigMgr, aby wyświetlić stronę Przegląd dla tych zasad.
2. Wybierz pozycję Stan urządzenia, aby wyświetlić listę urządzeń, do których mają być docelowo kierowane zasady.
3. Nazwa urządzenia, stan zgodności i identyfikator SMS są wyświetlane dla każdego urządzenia na stronie Stan urządzenia.

Następne kroki

• Ustawienia zasad zmniejszania obszaru podatnego na ataki dla urządzeń dołączonych do dzierżawy.
• Tworzenie i wdrażanie zasad ochrony antywirusowej programu Endpoint Protection na urządzeniach dołączonych do dzierżawy
• Tworzenie i wdrażanie zasad wykrywania i reagowania punktu końcowego zabezpieczeń punktu końcowego na urządzeniach dołączonych do dzierżawy
• Tworzenie i wdrażanie zasad zapory zabezpieczeń punktu końcowego na urządzeniach dołączonych do dzierżawy