使用 Microsoft Intune 加入

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

本文充当载入方法的示例。

规划 一文中,提供了多种方法将设备载入服务。 本文介绍云原生体系结构。

云原生体系结构 环境体系结构示意图

虽然 Defender for Endpoint 支持载入各种终结点和工具,但本文不介绍它们。 有关使用其他受支持的部署工具和方法进行常规载入的信息,请参阅 载入概述

Microsoft Intune系列产品是统一多个服务的解决方案平台。 它包括Microsoft IntuneMicrosoft Configuration Manager

本文指导用户:

  • 步骤 1:通过在 Microsoft Intune 中创建组来将设备加入服务,以分配配置
  • 步骤 2:使用 Microsoft Intune 配置 Defender for Endpoint 功能

本载入指南指导你完成使用Microsoft Intune时需要执行的以下基本步骤:

资源

下面是此过程的其余部分所需的链接:

有关Microsoft Intune的详细信息,请转到Microsoft Intune安全地管理标识、管理应用和管理设备

步骤 1:通过在 Intune 中创建组来为其分配配置来载入设备

标识目标设备或用户

在本部分中,我们将创建一个测试组来分配配置。

注意

Intune使用Microsoft Entra组来管理设备和用户。 Intune 管理员可以设置组以适合组织需求。

有关详细信息,请参阅添加用于组织用户和设备的组

创建群组

  1. 打开Microsoft Intune管理中心。

  2. 打开 “组 > ”“新建组”。

  3. 输入详细信息并创建新组。

  4. 添加测试用户或设备。

  5. “组 > 所有组 ”窗格中,打开新组。

  6. 选择 “成员 > ”“添加成员”。

  7. 找到测试用户或设备并将其选中。

  8. 测试组现在有一个成员要测试。

步骤 2:Create配置策略以配置Microsoft Defender for Endpoint功能

在下一部分中,将创建多个配置策略。

首先,是一个配置策略,用于选择将哪些用户组或设备载入到 Defender for Endpoint:

然后,继续创建几种不同类型的终结点安全策略:

终结点检测和响应

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全 > 终结点检测和响应”。 选择“Create策略”。

  3. “平台”下,选择“Windows 10”、“Windows 11”和“Windows Server”“配置文件 - 终结点检测和响应>Create”。

  4. 输入名称和说明,然后选择“ 下一步”。

  5. 根据需要选择“设置”,然后选择“ 下一步”。

    注意

    在此实例中,由于 Defender for Endpoint 已与 Intune 集成,因此已自动填充。 有关集成的详细信息,请参阅在 Intune 中启用Microsoft Defender for Endpoint

    下图是当Microsoft Defender for Endpoint未与Intune集成时将看到的内容的示例:

    Microsoft Intune管理中心7

  6. 如有必要,请添加范围标记,然后选择“ 下一步”。

  7. 单击“ 选择要包含的组” 并选择组,然后选择“ 下一步”添加测试组。

  8. 查看并接受,然后选择“Create”。

  9. 可以查看已完成的策略。

下一代保护

  1. 打开Intune管理中心。

  2. 导航到“终结点安全性>防病毒>Create策略”。

  3. 选择“平台 - Windows 10及更高版本 - Windows 和配置文件 - Microsoft Defender防病毒>Create”。

  4. 输入名称和说明,然后选择“ 下一步”。

  5. “配置设置”页中:设置Microsoft Defender防病毒 (云保护、排除项、Real-Time 保护和修正) 所需的配置。

  6. 如有必要,请添加范围标记,然后选择“ 下一步”。

  7. 选择要包含的组,分配给测试组,然后选择“ 下一步”。

  8. 查看并创建,然后选择“Create”。

  9. 你将看到创建的配置策略。

攻击面减少 - 攻击面减少规则

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全性 > 攻击面减少”。

  3. 选择“创建策略”

  4. 选择平台 - Windows 10和更高版本 - 配置文件 - 攻击面减少规则>Create

  5. 输入名称和说明,然后选择“ 下一步”。

  6. “配置设置”页中:设置攻击面减少规则所需的配置,然后选择“ 下一步”。

    注意

    我们将将所有攻击面减少规则配置为“审核”。

    有关详细信息,请参阅 攻击面减少规则

  7. 根据需要添加作用域标记,然后选择“ 下一步”。

  8. 选择要包含的组并将其分配给测试组,然后选择“ 下一步”。

  9. 查看详细信息,然后选择“Create”。

  10. 查看策略。

攻击面减少 - Web 防护

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全性 > 攻击面减少”。

  3. 选择“创建策略”

  4. 选择“Windows 10和更高版本 - Web 保护>Create”。

  5. 输入名称和说明,然后选择“ 下一步”。

  6. “配置设置”页中:设置 Web 保护所需的配置,然后选择“ 下一步”。

    注意

    我们正在将 Web 保护配置为“阻止”。

    有关详细信息,请参阅 Web 保护

  7. 根据需要添加 作用域标记 > 下一步

  8. 选择“ 分配到测试组 > 下一步”。

  9. 选择“查看并Create > Create”。

  10. 查看策略。

验证配置设置

确认已应用策略

分配配置策略后,应用需要一些时间。

有关计时的信息,请参阅Intune配置信息

若要确认配置策略已应用于测试设备,请针对每个配置策略遵循以下过程。

  1. 打开Intune管理中心并导航到相关策略,如上一部分所示。 以下示例演示下一代保护设置。

  2. 选择 “配置策略” 以查看策略状态。

  3. 选择“ 设备状态” 以查看状态。

  4. 选择“ 用户状态” 以查看状态。

  5. 选择“ 按设置状态 ”查看状态。

    提示

    此视图对于识别与另一个策略冲突的任何设置非常有用。

确认终结点检测和响应

  1. 在应用配置之前,不应启动 Defender for Endpoint Protection 服务。

  2. 应用配置后,应启动 Defender for Endpoint Protection 服务。

  3. 在设备上运行服务后,设备将显示在Microsoft Defender门户中。

确认下一代保护

  1. 在测试设备上应用策略之前,应能够手动管理设置,如下图所示:

  2. 应用策略后,不应手动管理设置。

    注意

    在下图中,“启用云提供的保护”和“启用实时保护”显示为“托管”。

确认攻击面减少 - 攻击面减少规则

  1. 在测试设备上应用策略之前,请打开 PowerShell 窗口并键入 Get-MpPreference

  2. 应看到以下没有内容的行:

    AttackSurfaceReductionOnlyExclusions:

    AttackSurfaceReductionRules_Actions:

    AttackSurfaceReductionRules_Ids:

    命令行 1

  3. 在测试设备上应用策略后,打开 PowerShell Windows 并键入 Get-MpPreference

  4. 应看到以下包含内容的行,如下图所示:

    命令行 2

确认攻击面减少 - Web 保护

  1. 在测试设备上,打开 PowerShell Windows 并键入 (Get-MpPreference).EnableNetworkProtection

  2. 这应该响应 0,如下图所示:

    命令行 3

  3. 应用策略后,打开 PowerShell Windows 并键入 (Get-MpPreference).EnableNetworkProtection

  4. 应会看到响应为 1,如下图所示:

    命令行 4

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区