在 Intune 中設定適用於端點的 Microsoft Defender
使用本文中的資訊和程式來設定 適用於端點的 Microsoft Defender 與 Intune的整合。 設定包含下列一般步驟:
- 在 Intune 和適用於端點的 Microsoft Defender 之間建立服務對服務連線。 此連線可讓適用於端點的 Microsoft Defender 從您以 Intune 管理的支援裝置收集機器風險的資料。 請參閱搭配 Intune 使用 適用於端點的 Microsoft Defender 的必要條件。
- 使用 Intune 原則將裝置上線 適用於端點的 Microsoft Defender。 您將裝置上線,以設定裝置以與適用於端點的 Microsoft Defender 通訊,並提供資料來協助評估其風險層級。
- 使用 Intune 裝置合規性原則來設定您想要允許的風險層級。 適用於端點的 Microsoft Defender 報告裝置風險層級。 超過允許風險層級的裝置會識別為不符合規範。
- 使用條件式存取原則以禁止使用者從不符合規範的裝置存取公司資源。
- 使用 Android 和 iOS/iPadOS 的應用程式保護原則來設定裝置風險層級。 應用程式防護 原則同時適用於已註冊和未註冊的裝置。
除了在使用 Intune 註冊的裝置上管理 適用於端點的 Microsoft Defender 的設定之外,您還可以在未向 Intune 註冊的裝置上管理適用於端點的 Defender 安全性設定。 此案例稱為適用於 適用於端點的 Microsoft Defender 的安全性管理,需要設定 [允許 適用於端點的 Microsoft Defender 強制執行端點安全性設定] 切換為 [開啟]。 如需詳細資訊,請參閱 MDE Security Configuration Management。
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
將 適用於端點的 Microsoft Defender 連線至 Intune
您採取的第一個步驟是設定 Intune 與 適用於端點的 Microsoft Defender 之間的服務對服務連線。 設定需要系統管理存取權才能同時存取 Microsoft Defender 資訊安全中心 和 Intune。
您只需要為每個租用戶啟用 適用於端點的 Microsoft Defender 一次。
啟用 適用於端點的 Microsoft Defender
在 security.microsoft.com 開啟 適用於端點的 Microsoft Defender 入口網站。 Intune 系統管理中心也包含適用於端點的Defender入口網站的連結。
選取 [端點安全>性 適用於端點的 Microsoft Defender],然後選取 [開啟 Microsoft Defender 資訊安全中心]。
提示
在 Intune 系統管理中心,如果 [適用於端點的 Microsoft Defender] 頁面頂端的 [連線狀態] 已設定為 [已啟用],則與 Intune 的連線已在使用中,且系統管理中心會顯示連結的不同 UI 文字。 在此事件中,選取 [開啟 適用於端點的 Microsoft Defender 管理控制台] 以開啟入口網站的 Microsoft Defender。 然後,您可以使用下列步驟中的指引,確認 Microsoft Intune 連線設定為 [開啟]。
在 Microsoft Defender 入口網站中, (先前的 Microsoft Defender 資訊安全中心) :
針對 [Microsoft Intune 連線],選擇 [開啟]:
選取 [儲存喜好設定]。
注意事項
建立連線之後,服務應該 至少 每隔 24 小時同步一次。 在 Microsoft Intune 系統管理中心設定連線被視為沒有回應之前,沒有同步處理的天數。 選取 [端點安全>性 適用於端點的 Microsoft Defender>直到合作夥伴沒有回應的天數
返回 Microsoft Intune 系統管理中心的 適用於端點的 Microsoft Defender 頁面。
若要搭配 合規性政策使用適用於端點的 Defender,請針對您支援的平臺,在 [合規性原則評估 ] 下設定下列專案:
- 將 [連線 Android 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender
- 將 [連線 iOS/iPadOS 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender
- 將 [將 Windows 裝置連線至 適用於端點的 Microsoft Defender] 設定為 [開啟]
當這些設定為 [開啟] 時,您使用 Intune 管理的適用裝置,以及您未來註冊的裝置,都會連線到 適用於端點的 Microsoft Defender 以符合規範。
針對 iOS 裝置,適用於端點的 Defender 也支援下列設定,以協助提供 iOS 適用於端點的 Microsoft Defender 上應用程式的弱點評量。 如需使用下列兩個設定的詳細資訊,請參閱設定 應用程式的弱點評估。
啟用 iOS 裝置的應用程式同步:設定為 [開啟] 可讓適用於端點的 Defender 向 Intune 要求 iOS 應用程式的元數據,以供威脅分析之用。 iOS 裝置必須已註冊 MDM,並在裝置簽入期間提供更新的應用程式數據。
在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據:此設定可控制當適用於端點的 Defender 同步處理應用程式資料並要求應用程式清查清單時,Intune 與適用於端點的 Defender 共用的應用程式清查數據。
當設定為 [開啟] 時,適用於端點的Defender可以針對個人擁有的iOS/iPadOS裝置要求來自 Intune 的應用程式清單。 此清單包含透過 Intune 部署的 Unmanaged 應用程式和應用程式。
當設定為 [關閉] 時,不會提供 Unmanaged 應用程式的相關數據。 Intune 會共用透過 Intune 部署之應用程式的數據。
如需詳細資訊,請參閱 Mobile Threat Defense 切換選項。
若要使用適用於端點的 Defender 搭配適用於 Android 和 iOS/iPadOS 的應用程式保護原則,請針對您使用的平臺,在 應用程式防護 原則評估下設定下列專案:
- 將 [連線 Android 裝置] 設定為 [Microsoft Defender 端點] 設為 [開啟]。
- 將 [連線 iOS/iPadOS 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender。
若要設定合規性與應用程式保護原則評估的整合 適用於端點的 Microsoft Defender,您必須具備在 Intune 中包含Mobile Threat Defense 許可權的讀取和修改角色。 適用於 Intune的端點安全性管理員內建系統管理員角色包含這些許可權。 如需 MDM 合規性原則設定和應用程式防護原則設定的詳細資訊,請參閱 Mobile Threat Defense 切換選項。
選取 [儲存]。
提示
自 2023 年 8 月 Intune 服務版本 (2308) 起,已不再為 適用於端點的 Microsoft Defender 連接器建立傳統條件式存取 (CA) 原則。 如果您的租使用者有先前為與 適用於端點的 Microsoft Defender 整合而建立的傳統 CA 原則,則可以將其刪除。 若要檢視傳統條件式存取原則,請在 Azure 中移至 Microsoft Entra ID>條件式存取>傳統原則。
將裝置上線
當您在 Intune 中啟用 適用於端點的 Microsoft Defender 支援時,您已在 Intune 與 適用於端點的 Microsoft Defender 之間建立服務對服務連線。 接著,您可以使用 Intune 來將您管理的裝置上線以 適用於端點的 Microsoft Defender。 上線可收集裝置風險層級的相關數據。
將裝置上線時,請務必針對每個平臺使用最新版的 適用於端點的 Microsoft Defender。
將 Windows 裝置上線
EDR) 原則 (端點偵測和回應。 Intune 系統管理中心的 [適用於端點的 Microsoft Defender] 頁面包含直接開啟 EDR 原則建立工作流程的連結,這是 Intune 中端點安全性的一部分。
使用 EDR 原則來設定裝置安全性,而不需要在裝置組態配置檔中找到的較大設定主體額外負荷。 您也可以使用 EDR 原則搭配租使用者連結裝置,也就是您使用 Configuration Manager 管理的裝置。
當您在將 Intune 連線到 Defender 之後設定 EDR 原則時,用戶端設定套件類型 適用於端點的 Microsoft Defender 原則設定具有新的設定選項:自動從連接器。 使用此選項,Intune 會自動從您的適用於端點的 Defender 部署中取得上線套件 (blob),取代手動設定 上線 套件的需求。
裝置設定原則。 建立裝置設定原則以將 Windows 裝置上線時,請選取 適用於端點的 Microsoft Defender 範本。 當您將 Intune 連線到 Defender 時,Intune 收到來自 Defender 的上線設定套件。 範本會使用此套件來設定裝置與 適用於端點的 Microsoft Defender 服務通訊,以及掃描檔案及偵測威脅。 上線的裝置也會根據您的合規性政策,回報其風險層級 適用於端點的 Microsoft Defender。 使用組態套件將裝置上線之後,就不需要再次執行。
組策略或 Microsoft Configuration Manager。 使用 Microsoft Configuration Manager 將 Windows 機器上線有更多有關 適用於端點的 Microsoft Defender 設定的詳細數據。
提示
使用裝置 設定 原則、 端點偵測和響應 原則等多個原則或原則類型來管理相同的裝置設定 (例如上線至適用於端點的 Defender) 時,您可以為裝置建立原則衝突。 若要深入了解衝突,請參閱管理安全策略一文中的管理衝突。
建立裝置組態設定檔以上線 Windows 裝置
選取 [端點安全性]>[端點偵測及回應]>[建立原則]。
針對 [平臺],選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
若為 [設定檔類型],選取 端點偵測及回應,然後選取 [建立]。
在 [ 基本概念] 頁面上,輸入配置檔的 [名稱 ] 和 [ 描述 (選擇性) ,然後選擇 [ 下一步]。
在 [組態設定] 頁面上,針對 [端點偵測和回應] 設定下列選項:
- 適用於端點的 Microsoft Defender 客戶端設定套件類型:從連接器選取 [自動],即可從適用於端點的Defender部署使用上線套件 (Blob) 。 如果您要上線至不同或中斷連線的適用於端點的Defender部署,請選取 [ 上 線],並將 WindowsDefenderATP.onboarding Blob 檔案中的文字貼到 [上線 (裝置) ] 字段中。
- 範例共享:傳回或設定 適用於端點的 Microsoft Defender 範例共用組態參數。
- [已淘汰] 遙測報告頻率:針對高風險的裝置,啟用此設定,使其更頻繁地向 適用於端點的 Microsoft Defender 服務報告遙測。
注意事項
前述螢幕擷取畫面會在您設定好 Intune 和適用於端點的 Microsoft Defender 之間的連線之後,顯示您的設定選項。 線上時,系統會自動產生上線和離線 Blob 的詳細數據,並傳輸至 Intune。
如果您尚未成功設定此連線,設定 適用於端點的 Microsoft Defender 用戶端組態套件類型只會包含指定上線和離線 Blob 的選項。
選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
當您部署至使用者群組時,用戶必須在套用原則之前登入裝置,且裝置可以上線至適用於端點的 Defender。
選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。 確定,然後 建立 以儲存變更,這會建立配置檔。
將 macOS 裝置上線
在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 MacOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與 Microsoft Defender Endpoint 溝通,之後便可收集有關裝置風險層級相關的資料。
如需 Intune 的 設定指導方針,請參閱 Mac 版適用於端點的 Microsoft Defender。
如需適用於 Mac 適用於端點的 Microsoft Defender 的詳細資訊,包括最新版本的新功能,請參閱 Microsoft 365 安全性檔中的 mac 適用於端點的 Microsoft Defender。
上線 Android 裝置
在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 Android 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender溝通,之後便可收集有關裝置風險層級相關的資料。
沒有執行 Android 的裝置組態套件。 請改為參閱適用於端點的 Microsoft Defender 文件中的 Android 版適用於端點的 Microsoft Defender 概觀,了解必要條件和適用於 Android 版的上線說明。
針對執行 Android 的裝置,您可以使用 Intune 原則來修改 Android 上適用於端點的 Microsoft Defender。。 如需詳細資訊,請參閲 適用於端點的 Microsoft Defender 網路保護。
上線 iOS/iPadOS 裝置
在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後,您可以將 iOS/iPadOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender溝通,之後便可收集有關裝置風險層級相關的資料。
沒有執行 iOS/iPadOS 的裝置組態套件。 請改為參閱適用於端點的 Microsoft Defender 文件中的 iOS 版適用於端點的 Microsoft Defender 概觀,了解必要條件和適用於 iOS/iPadOS 版的上線說明。
針對執行 iOS/iPadOS (受監督的模式) 的裝置,由於平台在這些裝置類型上提供了更多的管理功能,因此具有專門化的功能。 若要利用這些功能,Defender 應用程式必須知道裝置是否處於受監督模式。 Intune 可讓您透用應用程式設定原則 (受管理的模式) 設定 iOS 版 Denfender 應用程式,應針對所有 iOS 裝置執行才是最佳做法。 如需詳細資訊,請 參閱完成受監督裝置的部署。
選 取 [應用程式>設定原則>+ 新增],然後從下拉式清單中選取 [受管理的裝置 ]。
在 [ 基本概念] 頁面上,輸入配置檔的 [ 名稱 ] 和 [ 描述 (選擇性) ],選取 [ 平臺 為 iOS/iPadOS], 然後選擇 [ 下一步]。
選取 [目標應用程式] 作為iOS的 Microsoft Defender。
在 [ 設定] 頁面上,將 [組 態密鑰 ] 設定為 [受監督],然後將 [值類型] 設定 為 字串 ,並以 {{issupervised}} 作為 [ 組態] 值。
選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 針對此案例,最佳做法是鎖定 [所有裝置]。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
將原則部署至使用者群組時,用戶必須在套用原則之前登入裝置。
選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。
此外,針對在受監督模式) 中執行 iOS/iPadOS (的裝置,適用於 iOS 的 Defender 小組已提供自定義 .mobileconfig 配置檔來部署至 iPad/iOS 裝置。 .mobileconfig 配置檔可用來分析網路流量,以確保安全的瀏覽體驗 - 適用於 iOS 的 Defender 功能。
下載裝載於此處的 .mobile 配置檔: https://aka.ms/mdatpiossupervisedprofile。
在 [原則]索引>標籤上選取 [裝置>管理裝置>設定],選取 [+ 建立]。
針對 [平臺],選取 [iOS/iPadOS]
針對 [配置檔類型],選取 [ 自定義],然後選取 [ 建立]。
在 [ 基本概念] 頁面上,輸入配置檔的 [名稱 ] 和 [ 描述 (選擇性) ,然後選擇 [ 下一步]。
輸入組 態配置檔名稱,然後選取
.mobileconfig
要上傳的檔案。選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 針對此案例,最佳做法是鎖定 [所有裝置]。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
當您部署至使用者群組時,用戶必須在套用原則之前登入裝置。
選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。
檢視已上線以 適用於端點的 Microsoft Defender的裝置計數
若要從 適用於端點的 Microsoft Defender 連接器頁面內的 適用於端點的 Microsoft Defender 檢視已上線的裝置,您需要包含 Microsoft Defender 進階威脅防護許可權的 Intune 角色。
建立並指派合規性原則以設定裝置風險層級
針對 Android、iOS/iPadOS 和 Windows 裝置,合規性原則會決定您認為裝置可接受的風險層級。
如果您不熟悉如何建立合規性政策,請參閱在 Microsoft Intune 中建立合規性政策一文中的建立原則程式。 下列資訊是設定 適用於端點的 Microsoft Defender 為合規性政策一部分的特定資訊。
選 取 [裝置>合規性]。 在 [ 原則] 索引 標籤上,選取 [+ 建立原則]。
針對 [平臺],使用下拉式方塊來選取下列其中一個選項:
- Android 裝置系統管理員
- Android 企業版
- iOS/iPadOS
- Windows 10 和更新版本
接下來,選取 [ 建立]。
在 [ 基本] 索引標籤上 ,指定可協助您稍後識別此原則的 [名稱 ]。 您也可以選擇指定 [描述]。
在 [相容性設定] 索引卷標上,展開 [適用於端點的 Microsoft Defender] 類別,並將 [需要裝置處於或低於計算機風險分數] 選項設定為您偏好的層級。
威脅層級分類是 由適用於端點的 Microsoft Defender 決定。
- 清除:此層級最安全。 裝置不可以有任何既有的威脅,但仍可存取公司資源。 如果找到任何威脅,系統會將裝置評估為不符合規範。 (適用於端點的 Microsoft Defender 使用 安全 值。)
- 低:如果只有低層級威脅存在,裝置就會符合規範。 具有一般或高威脅層級裝置則不符合規範。
- 中型:如果在裝置上發現的威脅為低或中,則裝置符合規範。 如果偵測到高威脅層級,則系統會將裝置判定為不符合規範。
- 高:此層級最不安全,並允許所有威脅層級。 具有高、一般或低威脅等級的裝置則會被視為符合規範。
完成此原則的設定,包括將原則指派給適用的群組。
建立和指派應用程式保護原則以設定裝置風險層級。
使用程式來 建立 iOS/iPadOS 或 Android 的應用程式保護原則,並在 [應用程式]、 [條件式啟動] 和 [指 派 ] 頁面上使用下列資訊:
應用程式:選取您想要以應用程式保護原則為目標的應用程式。 針對此功能集合,系統會依據來自您選取的行動威脅防禦廠商的裝置風險評估,封鎖或選擇性清除這些應用程式。
條件式啟動:在 [裝置條件] 下方,使用下拉式方塊選取 [允許的裝置威脅等級上限]。
威脅層級 值的選項:
- 安全:此層級最安全。 裝置不可以有任何威脅存在,且仍可存取公司資源。 如果找到任何威脅,系統會將裝置評估為不符合規範。
- 低:如果只有低階威脅存在,裝置就會符合規範。 任何較高的威脅等級都會讓裝置成為不符合規範的狀態。
- 中型:如果在裝置上發現的威脅為低或中層級,則裝置符合規範。 如果偵測到高威脅層級,則系統會將裝置判定為不符合規範。
- 高:此層級最不安全,並允許所有威脅層級,只使用Mobile Threat Defense 進行報告。 裝置必須使用此設定來啟用 MTD 應用程式。
動作的選項:
- 封鎖存取
- 抹除資料
指派:將原則指派給使用者群組。 系統會評估群組成員所使用的裝置,以透過 Intune 應用程式保護來存取目標應用程式上的公司數據。
重要事項
如果您為任何受保護的應用程式建立應用程式保護原則,則系統會評估裝置的威脅等級。 依據設定,不符合可接受等級的裝置會透過條件式啟動進行封鎖或選擇性地抹除。 如果遭到封鎖,在裝置上的威脅解決並回報給所選 MTD 廠商 Intune 之前,系統會防止他們存取公司資源。
建立條件式存取原則
條件式存取原則可以使用來自 適用於端點的 Microsoft Defender 的數據,來封鎖超過您所設定威脅層級之裝置的資源存取。 您可以封鎖從裝置到公司資源的存取,例如 SharePoint 或 Exchange Online。
提示
條件式存取是一種 Microsoft Entra 技術。 在 Microsoft Intune 系統管理中心找到的條件式存取節點是來自 Microsoft Entra 的節點。
選 取 [端點安全>性條件式存取>][建立新原則]。 因為 Intune 從 Azure 入口網站 提供條件式存取的原則建立使用者介面,所以介面與您可能熟悉的原則建立工作流程不同。
輸入原則 名稱。
針對 [使用者],請使用 [ 包含 ] 和 [ 排除 ] 索引卷標來設定將接收此原則的群組。
針對 [目標資源],設定 [選取此原則適用於雲端應用程式的內容],然後選擇要保護的應用程式。 例如,選擇 [選取應用程式],然後針對 [選取]、搜尋並選取 [Office 365 SharePoint Online] 和 [Office 365 Exchange Online]。
針對 [條件],選取 [用戶端應用程式 ],然後將 [設定 ] 設定為 [是]。 接下來,選取 [瀏覽器] 和 [行動 應用程式和桌面客戶端] 的複選框。 然後,選 取 [完成 ] 以儲存用戶端應用程式組態。
針對 [授與],設定此原則以根據裝置合規性規則套用。 例如:
- 選 取 [授與存取權]。
- 選取 [ 需要將裝置標示為符合規範] 的複選框。
- 選 取 [需要所有選取的控件]。 選擇 [選取 ] 以儲存授與設定。
針對 [啟用原則],選取 [ 開啟 ],然後選取 [ 建立 ] 以儲存變更。
後續步驟
從 Intune 檔深入瞭解:
從 適用於端點的 Microsoft Defender 檔深入瞭解: