分享方式:

在 Microsoft Intune 中使用端點安全策略管理裝置安全性

  • 文章

身為與裝置安全性有關的安全性系統管理員,請使用 Intune 端點安全策略來管理裝置上的安全性設定。 這些配置檔在概念上與裝置設定原則範本或安全性基準類似,後者是相關設定的邏輯群組。 不過,如果裝置組態配置檔和安全性基準包含保護端點範圍以外的大量多樣化設定,則每個端點安全性配置檔都會著重於特定的裝置安全性子集。

當端點安全策略與其他原則類型搭配使用時,例如裝置設定原則中的安全性基準或端點保護範本,請務必開發使用多個原則類型的計劃,以將衝突設定的風險降至最低。 安全性基準、裝置設定原則和端點安全策略都會被 Intune 視為裝置組態設定的相同來源。 當裝置收到來自多個來源之設定的兩個不同組態時,就會發生設定衝突。 多個來源可以包含個別的原則類型和相同原則的多個實例。

當 Intune 評估裝置的原則並識別設定的衝突組態時,所涉及的設定可能會標示為發生錯誤或衝突,且無法套用至裝置。 如需可協助您管理衝突的資訊,請參閱下列原則和配置檔特定指引:

可用的端點安全策略類型

您會在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,於 [管理] 底下找到端點安全策略

在 Microsoft Intune 系統管理中心管理端點安全策略

以下是每個端點安全策略類型的簡短描述。 若要深入瞭解,包括每個原則類型的可用配置檔,請遵循每個原則類型專用內容的連結:

  • 帳戶保護 - 帳戶保護原則可協助您保護使用者的身分識別和帳戶。 帳戶保護原則著重於 Windows Hello 和 Credential Guard 的設定,這是 Windows 身分識別和存取管理的一部分。

  • 防病毒軟體 - 防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。

  • 商務用應用程控 (預覽) - 使用商務用應用程控原則和適用於 Microsoft Intune 的受控安裝程式來管理已核准的 Windows 裝置應用程式。 Intune 商務用應用程控原則是 Windows Defender 應用程控 (WDAC) 的實作。

  • 受攻擊面縮小 - 當 Windows 10/11 裝置上使用 Defender 防病毒軟體時,請使用受攻擊面縮小的 Intune 端點安全策略來管理裝置的這些設定。

  • 磁碟加密 - 端點安全性磁碟加密配置檔只著重於與裝置內建加密方法相關的設定,例如適用於 Windows) 的 FileVault、BitLocker 和個人資料加密 (。 此焦點可讓安全性系統管理員輕鬆管理磁碟或資料夾層級的加密設定,而不需要流覽主機的不相關設定。

  • 端點偵測和回應 - 當您將 適用於端點的 Microsoft Defender 與 Intune 整合時,請使用端點偵測和回應 (EDR) 端點安全策略來管理 EDR 設定,並將裝置上線以 適用於端點的 Microsoft Defender。

  • 防火牆 - 使用 Intune 中的端點安全性防火牆原則,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。

下列各節適用於所有端點安全策略。

指派端點安全策略的角色型訪問控制

若要管理 Intune 端點安全策略,您必須使用帳戶,其中包含 Intune 角色型訪問控制 (原則的 RBAC) 許可權,以及與您所管理工作相關的特定許可權。

注意事項

在 2024 年 6 月之前,Intune 端點安全策略是透過安全性基準許可權所提供的許可權來管理。 從 2024 年 6 月開始,Intune 開始釋出細微的許可權來管理個別端點安全性工作負載。

每次將端點安全性工作負載的新細微許可權新增至 Intune 時,這些相同的許可權都會從安全性基準權限中移除。 如果您使用具有 安全性基準 許可權的自定義角色,新的 RBAC 許可權會自動指派給具有透過 安全性基準 許可權授與之相同許可權的自定義角色。 此自動指派可確保您的系統管理員繼續擁有與目前相同的許可權。

管理端點安全性工作負載的 RBAC 角色和許可權

當您指派 RBAC 許可權來管理端點安全性層面時,建議指派系統管理員完成特定工作所需的最低許可權。 管理端點安全性的每個 RBAC 許可權都包含下列許可權,這些許可權可以在建立 自訂 RBAC 角色時個別授與或保留:

  • Assign
  • 建立
  • Delete
  • 讀取
  • 更新
  • 檢視報表

使用自定義 RBAC 角色

下列許可權包括端點安全性工作負載的許可權:

  • 商務用應用程控 - 授與管理應用 程控 原則和報表的許可權。

  • 受攻擊面縮小 - 授與管理部分但並非所有 受攻擊面縮小 原則和報告的許可權。 針對此工作負載,下列配置檔 (範本) 繼續需要 安全性基準 許可權所提供的許可權:

    • Windows 應用程式和瀏覽器隔離
    • Windows Web 保護
    • Windows 應用程式控制件
    • Windows 惡意探索保護

  • 端點偵測和回應 - 授與管理 EDR (端點偵測和回應) 原則和報告的許可權。

  • 安全性基準 - 授與許可權來管理沒有專用工作流程的所有端點安全性工作負載。

  • 裝置組態 - 裝置設定的 檢視報告 許可權也會授與檢視、產生和匯出端點安全策略報告的許可權。

重要事項

某些租使用者可能會暫時看到端點安全策略 的防病毒軟體 細微許可權。 此許可權未釋出且不支援使用。 Intune 會忽略防病毒軟體許可權的設定。 當防病毒軟體變成可做為細微許可權使用時,將會在 Microsoft Intune 的新功能一文宣佈其可用性。

使用內建的 RBAC 角色

下列 Intune 內建 RBAC 角色也可以指派給系統管理員,以提供管理端點安全性工作負載和報表之部分或所有工作的許可權。

  • 技術支援中心操作員
  • 只讀運算子
  • 端點安全性管理員

如需每個角色所包含之特定許可權和許可權的詳細資訊,請參閱 Microsoft Intune的內建角色許可權

新端點安全性許可權的考慮

新增端點安全性工作負載的新細微許可權時,新的工作負載許可權具有與 現今安全性基準 許可權相同的許可權和許可權結構。 這包括管理這些工作負載內的安全策略,這些工作負載可能包含其他類型的重疊設定,例如安全性基準原則或設定目錄原則,這些原則是由個別的 RBAC 許可權所控管。

如果您使用適用於端點的 Defender 安全性設定管理案例,相同的 RBAC 許可權變更會套用至 Microsoft Defender 入口網站以進行安全策略管理。

建立端點安全策略

下列程式提供建立端點安全策略的一般指引:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [端點安全 性],然後選取您要設定的原則類型,然後選取 [ 建立原則]。 從下列原則類型中選擇:

    • 帳戶防護
    • 防毒軟體
    • 應用程控 (預覽)
    • 受攻擊面縮小
    • 磁碟加密
    • 端點偵測及回應
    • 防火牆

  3. 輸入下列內容:

    • 平台:選擇您要建立原則的平臺。 可用的選項取決於您選取的原則類型。
    • 配置檔:從您所選取平臺的可用設定檔中選擇。 如需設定檔的相關資訊,請參閱本文中您所選原則類型的專門章節。

  4. 選取 [建立]

  5. [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]

  6. 在 [ 組態設定] 頁面上,展開每個設定群組,並使用此配置檔設定您要管理的設定。

    完成設定後,選取 [下一步]

  7. 在 [ 範圍卷標] 頁面上,選擇 [ 選取範圍卷標 ] 以開啟 [ 選取卷標 ] 窗格,將範圍卷標指派給配置檔。

    選取 [下一步] 繼續。

  8. [指派] 頁面上,選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    選取[下一步]。

  9. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

複製原則

端點安全策略支援複製以建立原始原則的複本。 複製原則的案例是,如果您需要將類似的原則指派給不同的群組,但不想手動重新建立整個原則。 相反地,您可以複製原始原則,然後只導入新原則所需的變更。 您可能只會變更特定設定,以及指派原則的群組。

建立重複專案時,您會為複本提供新名稱。 複本的設定組態和範圍標籤與原始複本相同,但不會有任何指派。 您稍後必須編輯新的原則,才能建立指派。

下列原則類型支援重複:

  • 帳戶防護
  • 應用程控 (預覽)
  • 防毒軟體
  • 受攻擊面縮小
  • 磁碟加密
  • 端點偵測及回應
  • 防火牆

建立新原則之後,請檢閱和編輯原則,以變更其設定。

複製原則

  1. 登入 Microsoft Intune 系統管理中心
  2. 找出您想要從原則清單複製的原則,然後選取該行的省略號 (...) 以開啟 [ 操作功能表]
  3. 選取 [複製]
  4. 提供 原則的新名稱 ,然後選取 [ 儲存]

編輯原則

  1. 選取新的原則,然後選取 [屬性]
  2. 選取 [設定],以展開原則中的組態設定清單。 您無法修改此檢視中的設定,但可以檢閱其設定方式。
  3. 若要修改原則,請針對您要變更的每個類別選取 [編輯]
    • 基本功能
    • 作業
    • 範圍標籤
    • 組態設定
  4. 進行變更之後,選取 [ 儲存 ] 以儲存您的編輯。 您必須先儲存一個類別的編輯,才能導入其他類別的編輯。

管理衝突

您可以使用端點安全策略 (安全策略) 管理的許多裝置設定,也可以透過 Intune 中的其他原則類型來使用。 這些其他原則類型包括 裝置設定 原則 和安全性基準。 因為設定可以透過數個不同的原則類型或相同原則類型的多個實例來管理,所以請準備好識別並解決未遵守您預期設定之裝置的原則衝突。

  • 安全性基準可以設定 [設定] 的非預設值,以符合基準所指的建議設定。
  • 其他原則類型,包括端點安全策略,會將預設值設定為 [未設定 ]。 這些其他原則類型需要您在原則中明確地設定 [設定]。

不論原則方法為何,透過多個原則類型或透過相同原則類型的多個實例管理相同裝置上的相同設定,都可能導致應避免的衝突。

下列連結中的資訊可協助您識別並解決衝突:

後續步驟

在 Intune 中管理端點安全性