在 Microsoft Intune 中管理具有端點安全性的裝置
身為安全性系統管理員,請使用 Microsoft Intune 系統管理中心的 [ 所有裝置 ] 檢視來檢視和管理您的裝置。 檢視會顯示您Microsoft Entra ID 中所有裝置的清單,包括由下列管理的裝置:
- Intune
- Configuration Manager
- Intune 和 Configuration Manager) 共同管理 (
- 適用於端點的 Defender 安全性設定管理 (未向 Intune 註冊的裝置)
與您的 Microsoft Entra ID 整合時,裝置可以位於雲端和內部部署基礎結構中。
若要尋找檢視,請開 啟 Microsoft Intune 系統管理中心 ,然後選取 [端點安全>性所有裝置]。
初始 [ 所有裝置] 檢視會顯示您的裝置,並包含每個裝置的相關重要資訊:
- 裝置的管理方式
- 合規性狀態
- 操作系統詳細數據
- 裝置上次簽入的時間
- 以及其他選項
檢視裝置詳細數據時,您可以選取要鑽研的裝置以取得詳細資訊。
依管理類型提供的詳細數據
在 Microsoft Intune 系統管理中心檢視裝置時,請考慮如何管理裝置。 管理來源會影響系統管理中心顯示的資訊,以及哪些動作可用來管理裝置。
請考慮下列欄位:
管理者 – 此數據行會識別裝置的管理方式。 受控選項包括:
MDM - Intune 會管理這些裝置。 Intune 會收集裝置的合規性數據,並將其報告至系統管理中心。
ConfigMgr – 當您使用 租用戶連結 來新增您使用 Configuration Manager 管理的裝置時,這些裝置會出現在 Microsoft Intune 系統管理中心。 若要進行管理,裝置必須執行 Configuration Manager 用戶端,而且為:
- 在工作組中 (Microsoft 加入 Entra,否則)
- 已加入網域
- Microsoft已加入 Entra 混合式 (加入 AD 和 Microsoft Entra ID)
Microsoft Intune 系統管理中心不會顯示由 Configuration Manager 管理之裝置的合規性狀態。
如需詳細資訊,請參閱 Configuration Manager 檔中的 啟用租使用者附加 。
MDM/ConfigMgr 代理 程式 – 這些裝置在 Intune 與 Configuration Manager 之間共同管理。
透過共同管理,您可以 選擇不同的共同管理工作負載 ,以判斷哪些層面是由 Configuration Manager 或 Intune 所管理。 這些選擇會影響裝置套用的原則,以及如何將合規性數據回報給系統管理中心。
例如,您可以使用 Intune 來設定防病毒軟體、防火牆和加密的原則。 這些原則全都被視為 Endpoint Protection 的原則。 若要讓共同管理的裝置使用 Intune 原則而非 Configuration Manager 原則,請將 Endpoint Protection 的共同管理滑桿設定為 Intune 或 試驗 Intune。 如果滑桿設定為 Configuration Manager,則裝置會改用 Configuration Manager 的原則和設定。
MDE - 這些裝置未向 Intune 註冊。 相反地,它們會上線至適用於端點的 Defender,並可處理許多 Intune 端點安全策略。 使用安全性設定管理註冊的裝置會同時出現在 Intune 系統管理中心和 Defender 入口網站中。 在系統管理中心,[ 管理者 ] 字段會顯示這些裝置的 MDE。
合規性:會根據指派給裝置的合規性原則來評估合規性。 這些原則的來源和控制台中的信息取決於裝置的管理方式;Intune、Configuration Manager 或共同管理。 若要讓共同管理的裝置回報合規性,請將 [裝置合規性] 的共同管理滑桿設定為 [Intune ] 或 [ 試驗 Intune]。
將裝置的合規性回報給系統管理中心之後,您可以深入瞭解詳細數據以檢視更多詳細數據。 當裝置不符合規範時,請深入瞭解其詳細數據,以瞭解哪些原則不符合規範。 該資訊可協助您調查並協助您讓裝置符合規範。
上次簽入:此欄位會識別裝置上次回報其狀態的時間。
檢閱裝置原則
若要檢視適用於 MDM 和 Intune 所管理裝置的裝置設定原則相關信息,請參閱安全性 報告。 端點安全性和安全性基準原則都是裝置設定原則。
若要檢視報表,請選取裝置,然後選取 [ 裝置設定],其位於 [監視] 類別下方。
由 Configuration Manager 管理的裝置不會在報告中顯示原則詳細數據。 若要檢視這些裝置的其他資訊,請使用 Configuration Manager 控制台。
裝置的遠端動作
遠端動作是您可以從 Microsoft Intune 系統管理中心啟動或套用至裝置的動作。 當您檢視裝置的詳細資料時,您可以存取套用至裝置的遠端動作。
遠端動作會顯示在裝置的 [ 概觀 ] 頁面頂端。 選取右側的省略號,即可使用因為畫面上空間有限而無法顯示的動作:
可用的遠端動作取決於裝置的管理方式:
Intune:所有套用至裝置平臺的 Intune 遠端動作 皆可供使用。
Configuration Manager:您可以使用下列 Configuration Manager 動作:
- 同步處理電腦原則
- 同步處理使用者原則
- 應用程式評估週期
共同管理:您可以存取 Intune 遠端動作和 Configuration Manager 動作。
適用於端點的 Defender 安全性設定管理 - 這些裝置不是由 Intune 管理,也不支援遠端動作。
某些 Intune 遠端動作可協助保護裝置的安全,或保護裝置上的數據。 透過遠端動作,您可以:
- 鎖定裝置
- 重設裝置
- 移除公司資料
- 在排程執行之外掃描惡意代碼
- 輪替 BitLocker 金鑰
下列 Intune 遠端動作是安全性系統管理員感興趣的動作,並且是 完整清單的子集。 並非所有動作都適用於所有裝置平臺。 連結會移至提供每個動作之深入詳細數據的內容。
同步處理裝置 – 讓裝置立即簽入 Intune。 當裝置簽入時,它會收到指派給裝置的任何擱置動作或原則。
重新啟動 – 強制 Windows 10/11 裝置在五分鐘內重新啟動。 裝置擁有者不會自動收到重新啟動的通知,而且可能會遺失工作。
快速掃描 – 讓 Defender 執行裝置的惡意代碼快速掃描,然後將結果提交至 Intune。 快速掃描會查看可能註冊惡意代碼的常見位置,例如登錄機碼和已知的 Windows 啟動資料夾。
完整掃描 – 讓 Defender 執行裝置的惡意代碼掃描,然後將結果提交至 Intune。 完整掃描會查看可能註冊惡意代碼的常見位置,也會掃描裝置上的每個檔案和資料夾。
更新 Windows Defender 安全性情報 – 讓裝置更新其 Microsoft Defender 防病毒軟體的惡意代碼定義。 此動作不會啟動掃描。
BitLocker 金鑰輪替 – 從遠端輪替執行 Windows 10 1909 版或更新版本或 Windows 11 之裝置的 BitLocker 修復密鑰。
您也可以使用 大量裝置動作 ,同時管理多個裝置的一些動作,例如 淘汰 和 抹除 。 大量動作 可從 [ 所有裝置 ] 檢視取得。 您可以選取平臺、動作,然後指定最多 100 部裝置。
在裝置使用 Intune 簽入之前,您為裝置管理的選項不會生效。