Intune中终结点安全的终结点检测和响应策略

将 Microsoft Defender for Endpoint 与 Intune 集成后,可以使用终结点安全策略进行终结点检测和响应, (EDR) 来管理 EDR 设置并载入设备以Microsoft Defender for Endpoint。

Microsoft Defender for Endpoint的终结点检测和响应功能提供近乎实时且可操作的高级攻击检测。 安全分析员可以有效地确定警报的优先级,了解整个泄露范围,并采取响应措施来修正威胁。

应用于:

关于终结点检测和响应Intune策略

Intune的终结点检测和响应策略包括特定于平台的配置文件,用于管理Microsoft Defender for Endpoint的载入安装。 每个配置文件都包含一个 载入包 ,该包适用于策略面向的设备平台。 载入包是将设备配置为使用Microsoft Defender for Endpoint的方式。 设备载入后,可以开始使用该设备的威胁数据。

可以从Microsoft Intune管理中心的终结点安全节点中的终结点检测和响应节点创建和管理 EDR 策略。

创建 EDR 策略以载入设备时,可以使用预配置策略选项,或创建需要手动配置设置的策略,包括加入包的标识:

  • 预配置策略:仅支持 Windows 设备,使用此选项可将预配置的 EDR 载入策略快速部署到所有适用的设备。 对于使用 Intune 管理的设备和通过 Configuration Manager 管理的租户附加设备,可以使用预配置策略选项。 使用预配置选项时,无法在创建和初始部署策略之前编辑策略中的设置。 部署后,可以编辑一些选择设置。 有关详细信息,请参阅本文中的 使用预配置的 EDR 策略

  • 手动创建策略:受所有平台支持,使用此选项创建可部署到离散设备组的载入策略。 使用此路径时,可以在策略部署到分配的组之前配置策略中的任何可用设置。 有关详细信息,请参阅本文中的 使用手动创建的 EDR 策略

基于策略所面向的平台,使用管理的设备的 EDR 策略Intune部署到Microsoft Entra ID的设备组,或者部署到从Configuration Manager同步到租户附加方案的本地设备的集合。

提示

除了 EDR 策略,还可以使用设备配置策略将设备载入到Microsoft Defender for Endpoint。 但是,设备配置策略不支持租户附加设备。

如果使用多个策略或策略类型(如“设备配置”策略和“终结点检测和响应”策略)来管理相同的设备设置(如加入 Defender for Endpoint),可能会导致设备存在策略冲突。 如需了解有关冲突的详细信息,请参阅管理安全策略一文中的管理冲突

EDR 策略的先决条件

常规

  • Microsoft Defender for Endpoint租户 – Microsoft Defender for Endpoint租户必须与Microsoft Intune租户 (Intune 订阅) 集成,然后才能创建 EDR 策略。 有关更多信息,请参阅:

支持Configuration Manager客户端

  • 为Configuration Manager设备设置租户附加 - 若要支持将 EDR 策略部署到由 Configuration Manager 管理的设备,请配置租户附加。 此任务包括配置Configuration Manager设备集合以支持来自Intune的终结点安全策略。

    若要设置租户附加,包括将Configuration Manager集合同步到 Microsoft Intune 管理中心,并使它们能够使用终结点安全策略,请参阅配置租户附加以支持终结点保护策略

    有关将 EDR 策略用于租户附加设备的详细信息,请参阅本文中的设置Configuration Manager以支持 EDR 策略

基于角色的访问控制(RBAC)

有关分配适当级别的权限和权限以管理Intune终结点检测和响应策略的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

关于终结点检测和响应节点

在Microsoft Intune管理中心,终结点检测和响应节点分为两个选项卡:

“摘要”选项卡
“摘要”选项卡提供所有 EDR 策略的高级视图,包括手动配置的策略,以及使用“部署预配置策略”选项创建的策略。

“摘要”选项卡包括以下区域:

  • Defender for Endpoint 连接器状态 – 此视图显示租户的当前连接器状态。 标签 Defender for Endpoint Connector Status 也是用于打开 Defender 门户的链接。 此视图与“终结点安全性概述”页上的视图相同。

  • 载入到 Defender for Endpoint 的 Windows 设备 – 此视图显示 EDR) 载入 (终结点检测和响应的租户范围状态,以及已或尚未载入到Microsoft Defender for Endpoint的两个设备的计数。

  • 终结点检测和响应 (EDR) 策略 – 可以在此处创建新的手动配置的 EDR 策略,并查看租户的所有 EDR 策略的列表。 策略列表包括手动配置的策略以及使用“部署预配置策略”选项创建的策略。

    从列表中选择策略可打开该策略的更深入视图,可在其中查看其配置并选择编辑其详细信息和配置。 如果已预配置策略,则可以编辑的设置受到限制。

EDR 载入状态选项卡
此选项卡显示已载入或尚未载入Microsoft Defender for Endpoint并支持钻取单个设备的简要摘要。 此摘要包括由 Intune 管理的设备,以及通过租户附加方案和Configuration Manager管理的设备。

此选项卡还包括用于为 Windows 设备创建和部署预配置的载入策略的选项。

EDR 载入状态选项卡包括:

  • 部署预配置策略 – 此选项显示在页面顶部附近,位于载入摘要图表上方,用于创建预配置策略,以便将 Windows 设备加入到Microsoft Defender for Endpoint。

  • EDR 载入状态摘要图表 - 此图表显示已或尚未载入Microsoft Defender for Endpoint的设备计数。

  • 设备列表 – 摘要图表下方是包含详细信息的设备列表,包括:

    • 设备名称
    • 如何管理设备
    • 设备 EDR 载入状态
    • 上次检查时间和日期
    • 设备 Defender 传感器的最后已知状态

EDR 配置文件

由 Microsoft Intune 管理的设备

Linux - 若要管理适用于 Linux 设备的 EDR,请选择 Linux 平台。 以下配置文件可用:

  • 终结点检测和响应 - Intune将策略部署到分配的组中的设备。 此配置文件支持用于:

    适用于 Linux 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的两个设置:

    • 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的,不应在同一配置文件中重复。
    • 标记的类型 – GROUP 标记,使用指定值标记设备。 标记反映在设备页上的管理中心中,可用于筛选和分组设备。

    若要详细了解适用于 Linux 的 Defender for Endpoint 设置,请参阅 Defender 文档中的在 Linux 上设置Microsoft Defender for Endpoint首选项。

macOS - 若要管理 macOS 设备的 EDR,请选择 macOS 平台。 以下配置文件可用:

  • 终结点检测和响应 - Intune将策略部署到分配的组中的设备。 此配置文件支持用于:

    适用于 macOS 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的两个设置:

    • 标记的类型 – GROUP 标记,使用指定值标记设备。 标记反映在设备页上的管理中心中,可用于筛选和分组设备。
    • 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的,不应在同一配置文件中重复。

    若要详细了解适用于 macOS 的 Defender for Endpoint 设置,请参阅 Defender 文档中的在 macOS 上设置Microsoft Defender for Endpoint首选项。

Windows - 若要管理 Windows 设备的 EDR,请选择 Windows 平台。 以下配置文件可用:

  • 终结点检测和响应 - Intune将策略部署到分配的组中的设备。 此配置文件支持用于:

    注意

    从 2022 年 4 月 5 日开始,Windows 10及更高版本的平台被Windows 10、Windows 11和 Windows Server 平台所取代,现在更简单地命名为 Windows

    Windows 平台支持设备通过Microsoft Intune或Microsoft Defender for Endpoint进行通信。 这些配置文件还添加了对 Windows Server 平台的支持,而 windows Server 平台在本机Microsoft Intune不受支持。

    此新平台的配置文件使用设置目录中的设置格式。 此新平台的每个新配置文件模板都包含与它替换的旧配置文件模板相同的设置。 通过此更改,你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。

    客户端配置包类型Microsoft Defender for Endpoint选项

    • 仅适用于 Windows 设备

    在 Intune 和 Microsoft Defender for Endpoint 之间配置服务到服务连接后,“自动从连接器”选项可用于客户端配置包类型Microsoft Defender for Endpoint设置。 在配置连接之前,此选项不可用。

    选择“从连接器自动”时,Intune会自动从 Defender for Endpoint 部署获取载入包 (blob) 。 此选项无需为此配置文件手动配置 载入 包。 没有自动配置离机包的选项。

由 Configuration Manager 管理的设备

终结点检测和响应

使用租户附加时管理Configuration Manager设备的终结点检测和响应策略设置。

平台Windows (ConfigMgr)

配置文件终结点检测和响应 (ConfigMgr)

所需的Configuration Manager版本

  • Configuration Manager当前分支版本 2002 或更高版本,使用控制台内更新Configuration Manager 2002 修补程序 (KB4563473)
  • Configuration Manager技术预览版 2003 或更高版本

支持Configuration Manager设备平台

  • Windows 8.1 (x86, x64)(从 Configuration Manager 版本 2010 开始)
  • Windows 10 及更高版本(x86, x64, ARM64)
  • Windows 11 及更高版本 (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64)(从 Configuration Manager 版本 2010 开始)
  • Windows Server 2016 及更高版本 (x64)

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

设置Configuration Manager以支持 EDR 策略

在将 EDR 策略部署到Configuration Manager设备之前,请完成以下部分详述的配置。

这些配置是在Configuration Manager控制台和Configuration Manager部署中进行的。 如果不熟悉Configuration Manager,请计划与Configuration Manager管理员合作来完成这些任务。

以下部分介绍所需的任务:

  1. 安装适用于Configuration Manager的更新
  2. 启用租户附加

提示

若要详细了解如何将 Microsoft Defender for Endpoint 与 Configuration Manager 配合使用,请参阅Configuration Manager内容中的以下文章:

任务 1:安装Configuration Manager的更新

Configuration Manager版本 2002 需要更新,以支持使用从 Microsoft Intune 管理中心部署的终结点检测和响应策略。

更新详细信息

  • Configuration Manager 2002 修补程序 (KB4563473)

此更新作为 Configuration Manager 2002 的控制台内更新提供。

若要安装此更新,请按照Configuration Manager文档中的安装控制台内更新中的指南进行操作。

安装更新后,请返回此处,继续从Microsoft Intune管理中心配置环境以支持 EDR 策略。

任务 2:配置租户附加和同步集合

使用租户附加,可以指定Configuration Manager部署中的设备集合以与Microsoft Intune管理中心同步。 集合同步后,使用管理中心查看有关这些设备的信息,并将 EDR 策略从Intune部署到这些设备。

有关租户附加方案的详细信息,请参阅在Configuration Manager内容中启用租户附加

未启用共同管理时启用租户附加

提示

使用 Configuration Manager 控制台中的共同管理配置向导来启用租户附加,但不需要启用共同管理。

如果计划启用共同管理,请在继续操作之前熟悉共同管理、其先决条件以及如何管理工作负载。 请参阅Configuration Manager文档中的什么是共同管理

若要在未启用共同管理时启用租户附加,需要登录到环境的 AzurePublicCloud 。 在继续操作之前,请查看Configuration Manager文档中的权限和角色,以确保你有一个可以完成此过程的帐户。

  1. 在Configuration Manager管理控制台中,转到“管理>概述>云服务>Co-management”。
  2. 在功能区中, 选择配置共同管理以打开向导。
  3. 租户载入页面上,选择适用于你的环境的 AzurePublicCloud。 不支持Azure 政府云。
    1. 选择“ 登录 ”,并指定对 AzurePublicCloud 环境具有足够权限的帐户。

使用 Intune 管理的设备支持以下各项:

  • 平台:Windows - Intune将策略部署到Microsoft Entra组中的设备。
  • 配置文件: 终结点检测和响应

使用预配置的 EDR 策略

Intune支持对由 Intune 管理的 Windows 设备以及通过租户附加方案Configuration Manager使用预配置的 EDR 策略。

在Intune终结点检测和响应策略的“EDR 载入状态”页上,选择“部署预配置策略”选项,Intune创建和部署预配置策略,以在适用的设备上安装Microsoft Defender for Endpoint。

此选项位于页面顶部附近,位于载入到 Defender for Endpoint 报表的 Windows 设备上方:

管理中心的屏幕截图,其中显示了在何处查找“部署预配置策略”选项。

必须先成功配置 Defender for Endpoint Connector,以便在Intune与Microsoft Defender for Endpoint之间建立服务到服务连接,然后才能选择此选项。 该策略使用连接器获取用于载入设备的Microsoft Defender for Endpoint加入 blob。 有关配置此连接器的信息,请参阅配置 Defender for Endpoint 一文中的将Microsoft Defender for Endpoint连接到Intune

如果使用租户附加方案来支持由 Configuration Manager 管理的设备,请从Microsoft Intune管理中心设置Configuration Manager以支持 EDR 策略。 请参阅 配置租户附加以支持终结点保护策略

创建预配置的 EDR 策略

使用“部署预配置策略”选项时,无法更改用于安装Microsoft Defender for Endpoint、范围标记或分配的默认策略配置。 但是,创建策略后,可以编辑其一些详细信息,包括分配筛选器的配置。

若要创建策略,请执行以下操作:

  1. Microsoft Intune管理中心,转到“终结点安全>终结点检测和响应”>,打开“EDR 载入状态”选项卡>,选择“部署预配置策略”。

  2. “创建配置文件 ”页上,指定以下组合之一,然后选择“ 创建”:

    • 对于由 Intune 管理的设备:

      • 平台 = Windows
      • 配置文件 = 终结点检测和响应
    • 对于通过 租户附加方案管理的设备:

      • 平台 = Windows (ConfigMgr)
      • 配置文件 = 终结点检测和响应 (ConfigMgr)

      重要

      部署到租户附加设备需要在租户中启用和同步 “所有桌面和服务器客户端” 集合。

  3. “基本信息 ”页上,提供此策略的名称。 (可选)还可以添加“说明”。

  4. 在“ 查看和创建 ”页上,可以展开可用类别以查看策略配置,但无法进行更改。 Intune仅使用基于所选平台和配置文件组合的适用设置。 例如,对于由 Intune 管理的设备,策略面向“所有设备”组。 “所有桌面和服务器客户端”组面向租户附加设备。

选择“ 保存” 以创建并部署预配置的策略。

编辑预配置的 EDR 策略

创建预配置策略后,可以在终结点检测和响应策略的“ 摘要 ”选项卡上找到它。 通过选择策略,你可以选择编辑某些策略选项,但不是所有策略选项。 例如,对于Intune设备,可以编辑以下选项:

  • 基本:可以编辑以下选项:
    • 名称
    • 说明
  • 配置设置:可以从默认值“未配置”更改以下两个设置:
    • 示例共享
    • [已弃用]遥测报告频率
  • 工作分配:无法更改组分配,但可以添加 工作分配筛选器

使用手动创建的 EDR 策略

在Intune终结点检测和响应策略的“EDR 摘要”页上,可以选择“创建策略”,开始手动配置 EDR 策略以将设备载入Microsoft Defender for Endpoint的过程。

此选项位于页面顶部附近,位于载入到 Defender for Endpoint 报表的 Windows 设备上方:

管理中心的屏幕截图,其中显示了在何处查找“创建策略”选项。

创建手动配置的 EDR 策略

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全性”>“终结点检测和响应”>“创建策略”。

  3. 选择策略的平台和配置文件。 以下信息标识了你的选项:

    • Intune - Intune将策略部署到分配的组中的设备。 创建策略时,选择:

      • 平台: LinuxmacOSWindows
      • 配置文件: 终结点检测和响应
    • Configuration Manager - Configuration Manager将策略部署到Configuration Manager集合中的设备。 创建策略时,选择:

      • 平台:Windows (ConfigMgr)
      • 配置文件:终结点检测和响应 (ConfigMgr)
  4. 选择“创建”。

  5. 在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。

  6. “配置设置”页上,选择“从连接器中自动Microsoft Defender for Endpoint客户端配置包类型”。 配置要使用此配置文件管理 的示例共享遥测报告频率 设置。

    注意

    若要在Microsoft Defender for Endpoint门户中使用载入文件加入或卸载租户,请选择“载入”或“离开”,并将载入文件的内容提供给所选内容正下方的输入。

    完成配置设置后,选择“下一步”

  7. 如果使用“作用域标记”,请在“ 作用域标记 ”页上选择 “选择范围标记 ”,打开“ 选择标记 ”窗格,将范围标记分配给配置文件。

    选择“下一步”以继续。

  8. “分配” 页上,选择接收此策略的组或集合。 选择取决于所选的平台和配置文件:

    • 对于Intune,请从Microsoft Entra选择组。
    • 对于Configuration Manager,请选择已同步到Microsoft Intune管理中心并启用Microsoft Defender for Endpoint策略的Configuration Manager集合。

    此时可以选择不分配组或集合,然后编辑策略以添加分配。

    准备好继续后,选择“下一步”。

  9. 完成后,在“查看 + 创建”页上,选择“创建”。

    为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

更新设备的载入状态

组织可能需要通过Microsoft Intune更新设备上的载入信息。

由于Microsoft Defender for Endpoint的载入有效负载发生更改,或者Microsoft支持人员指示,可能需要此更新。

更新载入信息会指示设备在下一次 重启时开始使用新的载入有效负载。

注意

如果不从原始租户中完全卸载设备,此信息不一定会在租户之间移动设备。 有关在Microsoft Defender for Endpoint组织之间迁移设备的选项,请Microsoft 支持部门。

更新有效负载的过程

  1. 从Microsoft Defender for Endpoint控制台下载新的移动设备管理新的载入有效负载。

  2. 创建新 以验证新策略的有效性。

  3. 从现有 EDR 策略中排除 新组

  4. 创建新的终结点检测和响应策略,如创建 EDR 策略中所述。

  5. 创建策略时,请从客户端包配置类型中选择“载入”,并从 Microsoft Defender for Endpoint 控制台指定载入文件的内容

  6. 将策略分配给 为验证创建的新组。

  7. 现有设备添加到验证组,并确保更改按预期工作。

  8. 逐步扩展部署,最终解除原始策略的授权。

注意

如果以前使用 “自动从连接器 ”选项检索加入信息,请与Microsoft支持人员联系,确认新加入信息的使用。

对于在Microsoft支持方向更新载入信息的组织,Microsoft会在连接器更新后指导你,以利用新的载入有效负载。

EDR 策略报告和监视

可以查看有关在 Microsoft Intune 管理中心的终结点部署和响应节点中使用的 EDR 策略的详细信息。

有关策略详细信息,请在管理中心转到 “终结点安全>终结点部署和响应>摘要 ”选项卡,然后选择要查看其符合性详细信息的策略:

  • 对于面向 LinuxmacOSWindows 平台 (Intune) 的策略,Intune显示策略符合性的概述。 还可以选择图表以查看已接收策略的设备列表,并钻取到各个设备以了解更多详细信息。

  • 对于 Windows 设备,载入到 Defender for Endpoint 的 Windows 设备的图表显示已成功载入Microsoft Defender for Endpoint且尚未载入的设备计数。

    若要确保在此图表中具有设备的完整表示形式,请将载入配置文件部署到所有设备。 通过外部方式加入Microsoft Defender for Endpoint的设备(如 组策略 或 PowerShell)将计为没有 Defender for Endpoint 传感器的设备

  • 对于面向 Windows (ConfigMgr) 平台 (Configuration Manager) 的策略,Intune显示不支持钻取的策略符合性的概述,以查看其他详细信息。 视图受到限制,因为管理中心从 Configuration Manager 接收有限的状态详细信息,后者管理Configuration Manager设备的策略部署。

若要查看单个设备的详细信息,请转到 “终结点安全>终结点部署和响应>EDR 载入状态 ”选项卡,然后从列表中选择设备以查看其他特定于设备的详细信息。

后续步骤