在 Intune 中新增 Endpoint Protection 設定
有了 Intune,您可以使用裝置組態設定檔來管理裝置上的常見 Endpoint Protection 安全性功能,包括:
- 防火牆
- BitLocker
- 允許和封鎖應用程式
- Microsoft Defender 和加密
例如,您可以建立僅允許 macOS 使用者從 Mac App Store 安裝應用程式的 Endpoint Protection 設定檔。 或者,在 Windows 10/11 裝置上執行應用程式時啟用 Windows SmartScreen。
建立配置檔之前,請檢閱下列文章,詳述 Intune 可為每個支持平臺管理的 Endpoint Protection 設定:
建立包含 Endpoint Protection 設定的裝置配置檔
重要事項
macOS Endpoint Protection 範本已被取代。 現有的原則保持不變,但您無法再使用此範本建立新的原則。 建議您使用設定目錄,為 FileVault、防火牆和系統原則控制 (Gatekeeper) 承載建立新的設定原則。 如需詳細資訊,請參閱 macOS設定目錄。
選 取 [裝置>管理裝置>] [組態>建立]。
輸入下列內容:
平台:選擇裝置的平臺。 選項包括:
- macOS
- Windows 10 和更新版本
配置檔:選取 [範本>端點保護]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔類型和平臺。
- 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [組態設定] 中,視您選擇的平臺而定,您可以設定的設定會不同。 選擇您的平臺以取得詳細設定:
選取 [下一步]。
在 [ 指派] 中,選取將接收您配置檔的使用者或群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
選取[下一步]。
在 [適用性規則] 中,使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊,請參閱適用性規則。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
新增 Windows 10/11 裝置的自定義防火牆規則
當您將 Windows 防火牆設定為包含 Windows 10/11 端點保護規則之設定檔的一部分時,您可以設定防火牆的自定義規則。 自定義規則可讓您擴充 Windows 裝置支援的預先定義防火牆規則集。
當您使用自定義防火牆規則規劃配置檔時,請考慮下列資訊,這可能會影響您選擇在配置檔中將防火牆規則分組的方式:
每個配置檔最多支援150個防火牆規則。 當您使用超過 150 個規則時,請建立額外的配置檔,每個配置檔限製為 150 個規則。
針對每個配置檔,如果無法套用單一規則,該配置檔中的所有規則都會失敗,而且不會將任何規則套用至裝置。
當規則無法套用時,配置檔中的所有規則都會回報為失敗。 Intune 無法識別哪個個別規則失敗。
Intune 可以管理的防火牆規則詳述於 Windows 防火牆設定服務提供者 (CSP) 。 若要檢閱 Intune 支援的 Windows 裝置自定義防火牆設定清單,請參閱自定義防火牆規則。
將自定義防火牆規則新增至 Endpoint Protection 配置檔
選 取 [裝置>管理裝置>] [組態>建立]。
輸入下列內容:
平台:選擇 [Windows 10 及更新版本]。
配置檔:選取 [範本>端點保護]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔類型和平臺。
- 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 組態設定] 中,展開 [Windows 防火牆]。 接下來,針對 [防火牆規則],選取 [ 新增 ] 以開啟 [ 建立規則] 頁面。
指定防火牆規則的設定, 然後選取 [儲存] 加以儲存。 若要檢閱檔中可用的自定義防火牆規則選項,請參閱 自定義防火牆規則。
- 規則會出現在規則清單的 [Windows 防火牆 ] 頁面上。
- 若要修改規則,請從清單中選取規則,以開啟 [編輯規則] 頁面。
- 若要從配置檔中刪除規則,請選取規則的省略 號 (...) ,然後選取 [ 刪除]。
- 若要變更規則顯示的順序,請選取規則清單頂端的 向上箭號、向下箭號 圖示。
選取 [下一步]。
在 [ 指派] 中,選取將接收此配置檔的裝置群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
選取[下一步]。
在 [適用性規則] 中,使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊,請參閱適用性規則。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。