Intune 中端點安全性的防病毒軟體原則

Intune 端點安全性防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。

防病毒軟體原則包含數個配置檔。 每個配置檔只包含適用於macOS和 Windows 裝置的 Microsoft Defender for Endpoint 防病毒軟體，或 Windows 裝置上 Windows 安全性應用程式中用戶體驗的相關設定。

您會在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中，找到 [管理] 底下的防病毒軟體原則。

防病毒軟體原則包含與找到的端點保護或裝置設定原則的裝置限制範本相同的設定。 不過，這些原則類型包含與防病毒軟體無關的其他設定類別。 其他設定可能會使設定防病毒軟體工作負載的工作變得複雜。 此外，macOS 防病毒軟體原則中找到的設定無法透過其他原則類型使用。 macOS 防病毒軟體配置檔會取代使用 .plist 檔案來設定設定的需求。

適用於：

• Linux
• macOS
• Windows 10
• Windows 11
• Windows Server (透過 Microsoft Defender for Endpoint Security 設定管理 案例)

防病毒軟體原則的必要條件

支援 Microsoft Intune (MDM) 註冊的裝置：

• macOS

  • 任何支援的macOS版本
  • 若要讓 Intune 管理裝置上的防病毒軟體設定，Microsoft必須在該裝置上安裝適用於端點的 Defender。 看。 Microsoft適用於 macOS 的 Defender (在適用於端點的 Microsoft Defender 檔案中)

• Windows 10、Windows 11 和 Windows Server

  • 不需要額外的必要條件。

支援 Configuration Manager 用戶端：

此案例處於預覽狀態，需要使用 Configuration Manager 最新分支 2006 版或更新版本。

• 設定 Configuration Manager 裝置的租使用者附加 - 若要支援將防病毒軟體原則部署到由 Configuration Manager 管理的裝置，請設定 租使用者附加。 租使用者附加的設定包括設定 Configuration Manager 裝置集合，以支援來自 Intune 的端點安全策略。

  若要設定租使用者附加， 請參閱設定租使用者附加以支援端點保護原則。

支援適用於端點的 Microsoft Defender 用戶端：

• 適用於端點的 Defender 安全性設定管理 - 若要設定支援將防病毒軟體原則部署到由 Defender 管理但未向 Intune 註冊的裝置，請參 閱使用 Microsoft Intune 在裝置上管理適用於端點的 Microsoft Defender。 本文也包含此功能所支援平臺的相關信息，以及這些平臺支持的原則和配置檔。

角色型訪問控制 (RBAC)

如需指派管理 Intune 防病毒軟體原則之許可權和許可權的正確層級指引，請 參閱 Assign-role-based-access-controls-for-endpoint-security-policy。

竄改保護的必要條件

竄改保護適用於執行下列其中一個操作系統的裝置：

• macOS (任何支援的版本)
• Windows 10 和 11 (包括企業多重會話)
• Windows Server 1803 版或更新版本、Windows Server 2019、Windows Server 2022
• Windows Server 2012 R2 和 Windows Server 2016 (使用現代化、統一的解決方案)

注意事項

裝置必須上線至 Microsoft 適用於端點的 Defender (P1 或 P2) 。 如果先前未上線至適用於端點的 Defender Microsoft，裝置可能會看到啟用竄改保護的延遲。 在上線至適用於端點的Defender之後，會在第一個裝置簽入時啟用竄改保護Microsoft。

您可以使用 Intune 在 Windows 安全性體驗配置檔中管理 Windows 裝置上的竄改保護， (防病毒軟體原則) 。 這包括您使用 Intune 管理的裝置，以及透過租使用者附加案例使用 Configuration Manager 管理的裝置。 竄改保護現在也適用於 Azure 虛擬桌面。

Intune 受控裝置

支援受 Intune 管理之裝置竄改保護的必要條件：

• 您的環境必須符合使用 Intune 管理竄改保護的必要條件
• 裝置已上線至適用於端點的 Microsoft Defender (P1 或 P2)

針對 Intune 管理的裝置支援竄改保護的防病毒軟體原則配置檔Microsoft：

• 平臺： Windows 10、Windows 11 和 Windows Server

  • 配置檔： Windows 安全性體驗

  注意事項

  從 2022 年 4 月 5 日開始， Windows 10 和 更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代。

  Windows 10、Windows 11 和 Windows Server 平台支援透過 Microsoft Intune 或 Microsoft Defender for Endpoint 與 Intune 通訊的裝置。 這些配置檔也會新增對 Windows Server 平台的支援，而非透過原生Microsoft Intune 支援。

  這個新平臺的配置檔會使用設定格式，如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更，您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。

您也可以使用裝置設定原則的 Endpoint Protection 配置檔，為 Intune 管理的裝置設定竄改保護。

透過租使用者附加案例管理的 Configuration Manager 用戶端

支援使用這些設定檔管理竄改保護的必要條件：

• 您的環境必須符合使用 Intune 管理竄改保護的必要條件 ，如 Windows 檔中所述。
• 您必須使用 Configuration Manager 最新分支 2006 或更新版本。
• 您必須設定租使用者附加以支援端點保護原則。 這包括設定 Configuration Manager 裝置集合以與 Intune 同步處理。
• 裝置已上線至適用於端點的 Microsoft Defender (P1 或 P2)

支援 Configuration Manager 所管理裝置竄改保護之防病毒軟體原則的配置檔：

• 平台：Windows 10、Windows 11 與 Windows Server (ConfigMgr)
  • 設定檔： Windows 安全性體驗 (預覽)

防病毒軟體配置檔

Microsoft Intune 管理的裝置

您使用 Intune 管理的裝置支援下列設定檔：

macOS：

• 平臺： macOS

  • 配置檔： 防病毒軟體 - 管理 macOS 的防病毒軟體原則設定 。

    當您使用 適用於 Mac Microsoft Defender 時，您可以透過 Intune 設定及部署防病毒軟體設定到受管理的 macOS 裝置，而不是使用 .plist 檔案來設定這些設定。

Windows：

• 平臺： Windows 10、Windows 11 和 Windows Server
  此平臺的配置檔可以與向 Intune 註冊的裝置搭配使用，以及透過 適用於端點的 Microsoft Defender 的安全性管理所管理的裝置使用。

  注意事項

  從 2022 年 4 月 5 日開始， Windows 10 和 更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代。

  Windows 10、Windows 11 和 Windows Server 平台支援透過 Microsoft Intune 或 Microsoft Defender for Endpoint 與 Intune 通訊的裝置。 這些配置檔也會新增對 Windows Server 平台的支援，而非透過原生Microsoft Intune 支援。

  這個新平臺的配置檔會使用設定格式，如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更，您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。

  • 配置檔： Microsoft Defender 防病毒軟體 - 管理 Windows 裝置的防病毒軟體原則設定。

    Defender 防病毒軟體是適用於端點的 Microsoft Defender 的新一代保護元件。 新一代保護結合機器學習和雲端基礎結構等技術，以保護企業組織中的裝置。

    Microsoft Defender 防病毒軟體配置檔是在裝置設定原則的裝置限制配置檔中找到的個別防病毒軟體設定實例。

    不同於 裝置限制配置檔中的防病毒軟體設定，您可以將這些設定與共同管理的裝置搭配使用。 若要使用這些設定，Endpoint Protection 的共同管理工作負載滑桿 必須設定為 Intune。

  • 配置檔： Microsoft Defender 防病毒軟體排除 專案 - 僅管理防病毒軟體排除的原則設定。

    使用此原則，您可以管理下列 Microsoft Defender 防病毒軟體設定服務提供者的設定， (定義防病毒軟體排除專案的 CSP) ：

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    這些防病毒軟體排除的 CSP 也由 Microsoft Defender 防病毒軟體 原則管理，其中包含相同的排除設定。 來自兩種原則類型的設定 (防病毒軟體 和 防病毒軟體排除 範圍) 會受限於 原則合併，併為適用的裝置和使用者建立一組超多的排除專案。

  • 配置檔： Windows 安全性體驗 - 管理用戶可在 Microsoft Defender 資訊安全中心中檢視的 Windows 安全性應用程式設定，以及他們收到的通知。

    Windows 安全性應用程式是由一些 Windows 安全性功能用來提供機器健康情況和安全性的相關通知。 安全性應用程式通知包括防火牆、防病毒軟體產品、Windows Defender SmartScreen 等等。

  • 配置檔： Defender 更新控件 - 管理 Microsoft Defender 的更新設定，包括直接從 Defender CSP 取得的下列設定：

    • 引擎更新通道
    • 平臺更新通道
    • 安全性情報更新通道

由 Configuration Manager 管理的裝置

防毒軟體

當您使用租使用者附加時，管理 Configuration Manager 裝置的防病毒軟體設定。

原則路徑：

• 端點安全 > 性防病毒軟體 > Windows 10、Windows 11 和 Windows Server (ConfigMgr)

設定檔：

• Microsoft Defender 防病毒軟體 (預覽)
• Windows 安全性體驗 (預覽)

Configuration Manager 的必要版本：

• Configuration Manager 最新分支 2006 版或更新版本

支援的 Configuration Manager 裝置平臺：

• 從 Configuration Manager 2010 版開始，Windows 8.1 (x86、x64)
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11 和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64) ，從 Configuration Manager 2010 版開始
• windows Server 2016 和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，則建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

設定的原則合併

某些防病毒軟體原則設定支持 原則合併。 當多個原則套用至相同的裝置並設定相同的設定時，原則合併有助於避免衝突。 Intune 會根據所有適用的原則，針對每個使用者或裝置評估原則合併支持的設定。 這些設定接著會合併成單一原則超集。

例如，您會建立三個不同的防病毒軟體原則，以定義不同的防病毒軟體檔案路徑排除專案。 最後，這三個原則都會指派給相同的使用者。 由於 Microsoft Defender 檔案路徑排除 CSP 支援原則合併，因此 Intune 會評估並結合使用者所有適用原則的檔案排除專案。 排除專案會新增至超集，並將單一排除清單傳遞至用戶的裝置。

當設定不支持原則合併時，可能會發生衝突。 衝突可能會導致使用者或裝置未收到任何設定原則。 例如，原則合併不支援 CSP 防止安裝相符的裝置標識碼 (PreventInstallationOfMatchingDeviceIDs) 。 此 CSP 的設定不會合併，而且會個別處理。

個別處理時，會解決原則衝突，如下所示：

1. 套用最安全的原則。
2. 如果兩個原則同樣安全，則會套用上次修改的原則。
3. 如果上次修改的原則無法解決衝突，則不會將任何原則傳遞至裝置。

支持原則合併的設定和 CSP

下列設定支持原則合併：

• 排除的進程 - CSP： Defender/ExcludedProcesses
• 排除的擴充 功能 - CSP： Defender/ExcludedExtensions
• 排除的路徑 - CSP： Defender/ExcludedPaths

防病毒軟體原則報告

防病毒軟體原則報告會顯示端點安全性防病毒軟體原則和裝置狀態的狀態詳細數據。 這些報告可在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中取得。

若要檢視報告， 請在 Microsoft Intune 系統管理中心，移至 [端點安全性]，然後選取 [ 防病毒軟體]。 選取 [防病毒軟體] 會開啟 [摘要] 頁面。 其他報表和狀態檢視可做為其他頁面使用。

除了下列各節中詳述的報告之外，Microsoft Defender 防病毒軟體的其他報告也可在 Microsoft Intune 系統管理中心的 [報告] 節點中找到，如 Intune 報告一文中所述：

• 組織) (防病毒軟體代理程序狀態報告
• 偵測到組織) (惡意代碼報告

摘要

在 [ 摘要] 頁面上，您可以 建立新的原則 ，並檢視先前建立的原則清單。 此清單包含原則包含 (原則類型) ，以及是否已指派原則之配置檔的高階詳細數據。

當您從清單中選取原則時，該原則實例的 [ 概觀 ] 頁面會開啟並顯示詳細資訊。 從此檢視中選取磚之後，如果該配置檔可供使用，Intune 會顯示該配置檔的其他詳細數據。

狀況不良的端點

在 [ 狀況不良的端點 ] 頁面上，您可以檢視 MDM 受控 Windows 裝置防病毒軟體狀態的相關信息。 這項資訊會從裝置上執行的 Windows Defender 防病毒軟體傳回，作為 威脅代理程序狀態。 在此頁面上，選取 [ 數據行] 以檢視報表中可用的完整詳細數據清單。

只有偵測到問題的裝置才會出現在此檢視中。 此檢視不會顯示識別為乾淨之裝置的詳細數據。

此報告的資訊是根據下列 CSP 提供的詳細資料，如 Windows 用戶端管理檔中所述：

• Defender CSP
• WindowsAdvancedThreatProtection CSP。

後續步驟

設定端點安全策略

在 Windows 10 和 更新版本平臺的已淘汰設定檔中檢視 Windows 設定的詳細資料：

• 防毒軟體原則設定
• 防毒軟體排除項目
• Windows 安全性應用程式設定