Intune 中端點安全性的端點偵測和響應原則

在整合 Microsoft Defender for Endpoint 與 Intune 時，您可以使用端點偵測和回應 (EDR) 的端點安全策略來管理 EDR 設定，並將裝置上線至 Microsoft Defender for Endpoint。

適用於端點的 Microsoft Defender 的端點偵測和回應功能提供近乎即時且可採取動作的進階攻擊偵測。 安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌，並採取回應動作來補救威脅。

適用於：

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server 2012 R2 和更新版本 (由 Configuration Manager 透過 租使用者附加 案例管理時，或透過 適用於端點安全性Microsoft Defender 設定管理 案例)

關於端點偵測和回應的 Intune 原則

Intune 的端點偵測和響應原則包含平臺特定配置檔，可管理適用於端點的 Microsoft Defender 上線安裝。 每個配置檔都包含套用至原則目標裝置平台的上線 套件 。 上線套件是將裝置設定為使用適用於端點Microsoft Defender 的方式。 裝置上線之後，您可以開始使用來自該裝置的威脅數據。

您可以從位於 Microsoft Intune 系統管理中心端點安全性節點中的端點偵測和響應節點建立和管理 EDR 原則。

當您建立將裝置上線的 EDR 原則時，可以使用預先設定的原則選項，或建立需要手動設定設定的原則，包括識別上線套件：

• 預先設定的原則：僅支援 Windows 裝置，使用此選項可將預先設定的 EDR 上線原則快速部署到所有適用的裝置。 您可以針對使用 Intune 管理的裝置，以及透過 Configuration Manager 管理的租使用者連結裝置，使用預先設定的原則選項。 使用預先設定的選項時，您無法在原則的建立和初始部署之前編輯原則中的設定。 部署之後，您可以編輯一些選取設定。 如需詳細資訊，請參閱本文中的 使用預先設定的 EDR 原則。

• 手動建立原則：支援所有平臺，請使用此選項來建立可部署到離散裝置群組的上線原則。 使用此路徑時，您可以在原則中設定任何可用的設定，然後再將其部署至指派的群組。 如需詳細資訊，請 參閱本文中的使用手動建立的 EDR 原則。

根據原則目標平臺，您使用 Intune 管理之裝置的 EDR 原則會從 Microsoft Entra ID 部署到裝置群組，或部署到您透過 租使用者附加案例從 Configuration Manager 同步處理的內部部署裝置集合。

提示

除了 EDR 原則之外，您還可以使用 裝置設定 原則將裝置上線以 Microsoft 適用於端點的 Defender。 不過，裝置設定原則不支援租用戶連結的裝置。

使用裝置設定原則、端點偵測和響應原則等多個原則或原則類型來管理相同的裝置設定 (例如上線至適用於端點的 Defender) 時，您可以建立裝置的原則衝突。 若要深入了解衝突，請參閱管理安全策略一文中的管理衝突。

EDR 原則的必要條件

一般：

• 適用於 Microsoft Defender for Endpoint 的租使用者 – 適用於端點的 Microsoft Defender 租用戶必須與 Microsoft Intune 租使用者 (Intune 訂用帳戶整合) ，才能建立 EDR 原則。 如需詳細資訊，請參閱：

  • 使用適用於端點的 Microsoft Defender ，以取得整合適用於端點Microsoft Defender 與 Microsoft Intune 的指引。
  • 將 Microsoft Defender for Endpoint 連線到 Intune ，以設定 Intune 與 Microsoft Defender for Endpoint 之間的服務對服務連線。

支援 Configuration Manager 用戶端：

• 設定 Configuration Manager 裝置的租用戶連結 - 若要支援將 EDR 原則部署到 Configuration Manager 所管理的裝置，請設定 租使用者附加。 此工作包括設定 Configuration Manager 裝置集合，以支援來自 Intune 的端點安全策略。

  若要設定租使用者附加，包括將 Configuration Manager 集合同步處理至 Microsoft Intune 系統管理中心，並讓它們使用端點安全性的原則，請參閱設定 租使用者附加以支援端點保護原則。

  如需搭配租用戶連結裝置使用 EDR 原則的詳細資訊，請參閱本文中的 設定 Configuration Manager 以支援 EDR 原則 。

角色型訪問控制 (RBAC)

如需指派管理 Intune 端點偵測和響應原則之正確許可權層級的指引，請 參閱 Assign-role-based-access-controls-for-endpoint-security-policy。

關於端點偵測和響應節點

在 Microsoft Intune 系統管理中心， 端點偵測和響應節點 會分成兩個索引標籤：

[摘要] 索引標籤：
[摘要] 索引標籤提供所有 EDR 原則的高階檢視，包括手動設定的原則，以及您使用 [部署預先設定的原則] 選項所建立的原則。

[摘要] 索引標籤包含下列區域：

• 適用於端點的 Defender 連接器狀態 – 此檢視會顯示租使用者目前的連接器狀態。 適用於端點的 Defender 連接器狀態標籤也是開啟 Defender 入口網站的連結。 此檢視與在 [端點安全性概觀] 頁面上找到的相同。

• 已上線至適用於端點的 Defender 的 Windows 裝置 – 此檢視會顯示端點偵測和回應 (EDR) 上線的全租用戶狀態，其中包含已上線或尚未上線至 Microsoft Defender for Endpoint 的兩個裝置計數。

• 端點偵測和回應 (EDR) 原則 – 您可以在這裡建立新的手動設定的 EDR 原則，並檢視租使用者的所有 EDR 原則清單。 原則清單包含手動設定的原則，以及您使用 [部署預先設定的原則] 選項所建立的原則。

  從清單中選取原則會開啟該原則的更深入檢視，您可以在其中檢閱其設定，並選擇編輯其詳細數據和設定。 如果已預先設定原則，您可以編輯的設定會受到限制。

[EDR 上線狀態] 索引標籤：
此索引標籤會顯示已上線或尚未上線到適用於端點的 Defender Microsoft 裝置的高階摘要，並支援鑽研至個別裝置。 此摘要包含 Intune 所管理的裝置，以及透過租使用者附加案例和 Configuration Manager 管理的裝置。

此索引標籤也包含為 Windows 裝置建立和部署預先設定上線原則的選項。

[EDR 上線狀態] 索引標籤包括：

• 部署預先設定 的原則 – 此選項會顯示在頁面頂端的上線摘要圖表上方，並用來建立預先設定的原則，讓 Windows 裝置上線至適用於端點Microsoft Defender。

• EDR 上線狀態摘要圖表 – 此圖表會顯示已上線或尚未上線至適用於端點的 Defender Microsoft的裝置計數。

• 裝置清單 – 摘要圖表下方是包含詳細數據的裝置清單，包括：

  • 裝置名稱
  • 裝置的管理方式
  • 裝置 EDR 上線狀態
  • 上次簽入時間和日期
  • 裝置的最後一個已知狀態 Defender 感測器

EDR 配置檔

Microsoft Intune 管理的裝置

Linux - 若要管理適用於 Linux 裝置的 EDR，請選取 Linux 平臺。 下列設定檔可供使用：

• 端點偵測和回應 - Intune 會將原則部署到指派群組中的裝置。 設定檔支援搭配下列專案使用：

  • 向 Intune 註冊的裝置。
  • 透過 適用於端點的 Microsoft Defender 的安全性管理所管理的裝置。

  適用於 Linux 的 EDR 範本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的兩個設定：

  • tag 的值 - 每個標籤只能設定一個值。 卷標的類型是唯一的，不應該在相同的配置檔中重複。
  • 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。 標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。

  若要深入瞭解適用於Linux的適用於端點的Defender設定，請參閱Defender檔中的設定 Linux上適用於端點的 Microsoft Defender 的喜好 設定。

macOS - 若要管理 macOS 裝置的 EDR，請選取 macOS 平臺。 下列設定檔可供使用：

• 端點偵測和回應 - Intune 會將原則部署到指派群組中的裝置。 設定檔支援搭配下列專案使用：

  • 向 Intune 註冊的裝置。
  • 透過 適用於端點的 Microsoft Defender 的安全性管理所管理的裝置。

  適用於 macOS 的 EDR 樣本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的兩個設定：

  • 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。 標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。
  • tag 的值 - 每個標籤只能設定一個值。 卷標的類型是唯一的，不應該在相同的配置檔中重複。

  若要深入瞭解適用於 macOS 的適用於端點的 Defender 設定，請參閱 Defender 檔中的設定 macOS 上適用於端點Microsoft Defender 的喜好 設定。

Windows - 若要管理 Windows 裝置的 EDR，請選取 Windows 10、Windows 11 和 Windows Server 平臺。 下列設定檔可供使用：

• 端點偵測和回應 - Intune 會將原則部署到指派群組中的裝置。 設定檔支援搭配下列專案使用：

  • 向 Intune 註冊的裝置。
  • 透過 適用於端點的 Microsoft Defender 的安全性管理所管理的裝置。

  注意事項

  從 2022 年 4 月 5 日開始， Windows 10 和 更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代。

  Windows 10、Windows 11 和 Windows Server 平台支援透過 Microsoft Intune 或 Microsoft Defender for Endpoint 進行通訊的裝置。 這些配置檔也會新增對 Windows Server 平台的支援，而非透過原生Microsoft Intune 支援。

  這個新平臺的配置檔會使用設定格式，如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更，您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。

  適用於端點Microsoft Defender 用戶端設定套件類型的選項：

  • 僅適用於 Windows 裝置

  設定 Intune 與 Microsoft Defender for Endpoint 之間的服務對服務連線之後，適用於適用於端點的 Defender 用戶端設定套件類型設定Microsoft[自動從連接器] 選項變成可用。 在您設定連線之前，無法使用此選項。

  當您 從連接器選取 [自動] 時，Intune 會自動從適用於端點的Defender部署取得 (Blob) 的上線套件。 這個選項取代手動設定此設定檔上 線套件 的需求。 沒有自動設定離線套件的選項。

由 Configuration Manager 管理的裝置

端點偵測及回應

若要在使用租使用者附加時管理 Configuration Manager 裝置的端點偵測和響應原則設定。

平臺： Windows 10、Windows 11 和 Windows Server (ConfigMgr)

設定檔： ConfigMgr (端點偵測和回應)

Configuration Manager 的必要版本：

• Configuration Manager 最新分支 2002 版或更新版本，具有控制台內更新 Configuration Manager 2002 Hotfix (KB4563473)
• Configuration Manager Technical Preview 2003 或更新版本

支援的 Configuration Manager 裝置平臺：

• Windows 8.1 (x86、x64)，從 Configuration Manager 版本 2010 開始
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11 和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64)，從 Configuration Manager 版本 2010 開始
• windows Server 2016 和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，則建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

設定 Configuration Manager 以支援 EDR 原則

在您可以將 EDR 原則部署至 Configuration Manager 裝置之前，請先完成下列各節中詳述的設定。

這些設定是在 Configuration Manager 控制台和 Configuration Manager 部署中進行。 如果您不熟悉 Configuration Manager，請規劃與 Configuration Manager 系統管理員合作，以完成這些工作。

下列各節涵蓋必要的工作：

1. 安裝 Configuration Manager 的更新
2. 啟用租用戶附加

提示

若要深入瞭解如何搭配使用適用於端點的 Microsoft Defender 與 Configuration Manager，請參閱 Configuration Manager 內容中的下列文章：

• 透過 Microsoft Intune 系統管理中心將 Configuration Manager 用戶端上線至適用於端點Microsoft Defender
• Microsoft Intune 租用戶連結：裝置同步處理和裝置動作

工作 1：安裝 Configuration Manager 的更新

Configuration Manager 2002 版需要更新，才能支援與您從 Microsoft Intune 系統管理中心部署的端點偵測和響應原則搭配使用。

更新詳細資料：

• Configuration Manager 2002 Hotfix (KB4563473)

此更新可作為 Configuration Manager 2002 的控制台內更新 。

若要安裝此更新，請遵循 Configuration Manager 檔 中安裝控制台內更新 中的指引。

安裝更新之後，請返回這裡繼續設定您的環境，以從 Microsoft Intune 系統管理中心支援 EDR 原則。

工作 2：設定租使用者附加和同步處理集合

使用租使用者附加，您可以指定 Configuration Manager 部署中要與 Microsoft Intune 系統管理中心同步的裝置集合。 同步處理集合之後，請使用系統管理中心來檢視這些裝置的相關信息，並將 EDR 原則從 Intune 部署到這些裝置。

如需租使用者附加案例的詳細資訊，請參閱 啟用 Configuration Manager 內容中的租使用者附加。

未啟用共同管理時啟用租使用者附加

提示

您可以使用 Configuration Manager 控制台中的 [共同管理 設定精靈] 來啟用租用戶連結，但不需要啟用共同管理。

如果您打算啟用共同管理，請先熟悉共同管理、其必要條件，以及如何在繼續之前管理工作負載。 請參閱 Configuration Manager 檔中 的共同管理功能 。

若要在未啟用共同管理時啟用租使用者附加，您必須登入您環境的 AzurePublicCloud 。 繼續之前，請先檢閱 Configuration Manager 檔中的權 限和角色 ，以確保您有可完成程式的帳戶。

1. 在 Configuration Manager 管理控制台中，移至 [ 系統管理>概觀>] [雲端服務>共同管理]。
2. 在功能區中，選取 設定共同管理 以開啟精靈。
3. 在 租用戶上線 頁面上，選取 AzurePublicCloud 環境。 不支援 Azure Government 雲端。
   1. 選 取 [登入 ]，並指定對 您的 AzurePublicCloud 環境具有足夠許可權的帳戶。

您使用 Intune 管理的裝置支援下列專案：

• 平臺： Windows 10、Windows 11 和 Windows Server - Intune 會將原則部署到Microsoft Entra 群組中的裝置。
• 配置檔： 端點偵測和回應

使用預先設定的 EDR 原則

Intune 支援針對 Intune 所管理的 Windows 裝置，以及透過租使用者附加案例，使用預先設定的 EDR 原則。

在 Intune 端點偵測和響應原則的 [ EDR 上線狀態 ] 頁面上，選取 [ 部署預先設定的原則 ] 選項，讓 Intune 建立並部署預先設定的原則，以在適用的裝置上安裝適用於端點的 Microsoft Defender。

此選項位於頁面頂端附近，位於已上線至適用於端點的 Defender 的 Windows 裝置報告上方：

您必須先成功設定 適用於端點的Defender連接器，以在Intune與適用於端點的Defender之間建立服務對服務連線 Microsoft，才能選取此選項。 此原則會使用連接器來取得適用於端點的 Microsoft Defender 上線 Blob，以用於將裝置上線。 如需設定此連接器的相關信息，請參閱設定適用於端點的 Defender 一文中的將適用於端點Microsoft Defender 連線到 Intune。

如果您使用租使用者附加案例來支援由 Configuration Manager 管理的裝置，請從 Microsoft Intune 系統管理中心設定 Configuration Manager 以支援 EDR 原則。 請 參閱設定租使用者附加以支援端點保護原則。

建立預先設定的 EDR 原則

使用 [ 部署預先設定 的原則] 選項時，您無法變更安裝適用於端點Microsoft Defender、範圍卷標或指派的默認原則設定。 不過，建立原則之後，您可以編輯其部分詳細數據，包括指派篩選的設定。

若要建立原則：

1. 在 Microsoft Intune 系統管理中心，移至 [端點安全>性端點偵測並回應>] 開啟 [EDR 上線狀態] 索引卷標>，選取 [部署預先設定的原則]。

2. 在 [ 建立配置檔] 頁面上，指定下列其中一個組合，然後選取 [ 建立]：

   • 針對 Intune 管理的裝置：

     • 平臺 = Windows 10、Windows 11 和 Windows Server
     • 配置檔 = 端點偵測和回應

   • 針對透過 租使用者附加案例管理的裝置：

     • 平臺 = Windows 10、Windows 11 和 Windows Server (ConfigMgr)
     • 設定檔 = ConfigMgr (端點偵測和回應)

     重要事項

     部署至租用戶連結裝置需要在租用戶中啟用和同步處理 所有桌面和伺服器客戶 端集合。

3. 在 [ 基本] 頁面上，提供此原則的 [名稱]。 您也可以選擇性地新增描述。

4. 在 [ 檢閱和建立] 頁面上，您可以展開可用的類別來檢閱原則設定，但無法進行變更。 Intune 只會根據您選取的 [平臺] 和 [配置檔] 組合，使用適用的設定。 例如，針對 Intune 管理的裝置，原則會以 [所有裝置] 群組為目標。 [所有桌面和伺服器客戶端] 群組是以租用戶連結裝置為目標。

選 取 [儲存 ] 以建立並部署預先設定的原則。

編輯預先設定的 EDR 原則

建立預先設定的原則之後，您可以在端點偵測和響應原則的 [ 摘要 ] 索引標籤上找到它。 藉由選取原則，您可以接著選擇編輯一些原則選項，但不是所有原則選項。 例如，針對 Intune 裝置，您可以編輯下列選項：

• 基本：您可以編輯下列選項：
  • 名稱
  • 描述
• 組態設定：下列兩個設定可以從預設的 [未設定] 變更：
  • 範例共用
  • [已淘汰]遙測報告頻率
• 工作分派：您無法變更群組指派，但可以新增指派篩選。

使用手動建立的 EDR 原則

在 Intune 的端點偵測和響應原則的 [EDR 摘要] 頁面上，您可以選取 [ 建立 原則] 以開始手動設定 EDR 原則以將裝置上線至 Microsoft Defender for Endpoint 的程式。

此選項位於頁面頂端附近，位於已上線至適用於端點的 Defender 的 Windows 裝置報告上方：

建立手動設定的 EDR 原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [端點安全性]>[端點偵測及回應]>[建立原則]。

3. 選取您原則的平臺和配置檔。 下列資訊可識別您的選項：

   • Intune - Intune 會將原則部署到指派群組中的裝置。 當您建立原則時，請選取：

     • 平臺： Linux、 macOS 或 Windows 10、Windows 11 和 Windows Server
     • 配置檔： 端點偵測和回應

   • Configuration Manager - Configuration Manager 會將原則部署至 Configuration Manager 集合中的裝置。 當您建立原則時，請選取：

     • 平台：Windows 10、Windows 11 與 Windows Server (ConfigMgr)
     • 設定檔：端點偵測及回應 (ConfigMgr)

4. 選取 [建立]。

5. 在 [基本] 頁面上，輸入新設定檔的名稱與描述，然後選擇 [下一步]。

6. 在 [組態設定] 頁面上，針對適用於端點的 Defender 用戶端設定套件類型，選擇 [從連接器自動Microsoft] 。 設定您想要使用此設定檔管理的範 例共用 和 遙測報告頻率 設定。

   注意事項

   若要使用適用於端點的 Microsoft Defender 入口網站中的上線或離線租使用者，請選取 [ 上 線] 或 [ 下線 ]，並將上線檔案的內容提供給選取範圍正下方的輸入。

   完成設定後，請選取 [下一步]。

7. 如果您使用範圍標籤，請在 [ 範圍卷標 ] 頁面上，選擇 [ 選取範圍卷標 ] 以開啟 [ 選取卷標 ] 窗格，將範圍卷標指派給配置檔。

   選取 [下一步] 繼續。

8. 在 [ 指派] 頁面上，選取接收此原則的群組或集合。 選擇要選擇您選擇的平台與設定檔：

   • 針對 Intune，從 Microsoft Entra 中選取群組。
   • 針對 Configuration Manager，從已同步處理至 Microsoft Intune 系統管理中心的 Configuration Manager 選取集合，並針對適用於端點Microsoft Defender 原則啟用這些集合。

   您目前可以選擇不指派群組或集合，稍後再編輯原則以新增指派。

   在您準備好繼續時，請選取 [下一步]。

9. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。

   新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

更新裝置的上線狀態

組織可能需要透過 Microsoft Intune 更新裝置上的上線資訊。

這項更新可能是因為適用於端點的 Microsoft Defender 上線承載變更，或由Microsoft支援人員指示時所造成。

更新上線資訊會指示裝置在下次 重新啟動時開始使用新的上線承載。

注意事項

此資訊不一定會在租用戶之間行動裝置，而不需將裝置從原始租使用者完全脫機。 如需在適用於端點Microsoft Defender 組織之間移轉裝置的選項，請Microsoft支援。

更新承載的程式

1. 從適用於端點的 Microsoft Defender 控制台下載新的行動裝置管理 新 上線承載。

2. 建立 新群組 以驗證新原則的有效性。

3. 從現有的 EDR 原則中排除 新群組 。

4. 建立 [建立EDR 原則] 中所述的新端點偵測和響應原則。

5. 建立原則時 ，請從 用戶端套件組態類型中選取 [上線]，然後從適用於端點的 Microsoft Defender 控制台中指定上線檔案 的內容 。

6. 將原則指派 給為驗證而建立的新群組。

7. 將 現有的裝置新增至驗證群組，並確保變更如預期般運作。

8. 逐漸展開部署，最終解除委任原始原則。

注意事項

如果先前使用 [自動從連接器] 選項來擷取上線資訊，請洽詢Microsoft支援以確認是否使用新的上線資訊。

針對以支援Microsoft方向更新上線信息的組織，Microsoft會在連接器更新時指示您利用新的上線承載。

EDR 原則報告和監視

您可以檢視您在 Microsoft Intune 系統管理中心的端點部署和回應節點中使用的 EDR 原則詳細數據。

如需原則詳細數據，請在系統管理中心中，移至 [端點安全>性端點部署和回應>摘要] 索引卷標，然後選取您要檢視合規性詳細數據的原則：

• 針對以 Intune) (Linux、 macOS 或 Windows 10、Windows 11 和 Windows Server 平臺為目標的原則，Intune 會顯示原則合規性的概觀。 您也可以選取圖表來檢視已收到原則的裝置清單，並鑽研至個別裝置以取得詳細數據。

• 針對 Windows 裝置， 上線至適用於端點的 Defender 的 Windows 裝置 圖表會顯示已成功上線至適用於端點的 Microsoft Defender 且尚未上線的裝置計數。

  若要確保您在此圖表中具有裝置的完整表示法，請將上線配置檔部署到所有裝置。 透過組策略或 PowerShell 等外部方式上架Microsoft適用於端點的 Defender 的裝置，會視為 沒有適用於端點的 Defender 感測器的裝置。

• 針對以 Windows 10、Windows 11 和 Windows Server (ConfigMgr) 平臺 (Configuration Manager) 為目標的原則，Intune 會顯示不支持鑽研以檢視其他詳細數據的原則合規性概觀。 檢視受到限制，因為系統管理中心會從 Configuration Manager 收到有限的狀態詳細數據，而 Configuration Manager 會管理將原則部署至 Configuration Manager 裝置。

若要檢視個別裝置的詳細數據，請移至 [端點安全>性端點部署和回應>EDR 上線狀態] 索引卷標，然後從清單中選取裝置，以檢視其他裝置特定的詳細數據。

後續步驟

• 設定端點安全策略。
• 在適用於端點的 Microsoft Defender 檔中深入瞭解 端點偵測和回應 。