租户附加：从管理中心创建和部署攻击面减少策略

适用于: Configuration Manager(current branch)

在 Microsoft Intune 管理中心中创建攻击面减少策略，并将其部署到 Configuration Manager 集合。

先决条件

• 访问 Microsoft Intune 管理中心。
• 环境是附加了已上传设备的租户。
• 已安装 Configuration Manager 的受支持版本和相应版本的控制台。
  • 将目标设备升级到 Configuration Manager 客户端的最新版本。
• 至少一个可用于分配终结点安全策略的Configuration Manager 集合
• Windows为租户附加设备支持此配置文件的设备

将攻击面减少策略分配给集合

1. 在浏览器中，转到 Microsoft Intune 管理中心。

2. 依次选择 “终结点安全>攻击面减少 ”、“ 创建策略”。

3. 创建具有以下设置的配置文件：

   • 平台：Windows 10 及更高版本 (ConfigMgr)
   • 配置文件：选择以下配置文件之一：
     • 攻击面减少规则 (ConfigMgr)
     • Exploit Protection (ConfigMgr)
     • Web 防护 (ConfigMgr)

注意

Microsoft Edge 安装程序、用于租户附加的攻击面减少规则引擎和 CMPivot 当前使用 Microsoft代码签名 PCA 2011 证书进行签名。 如果将 PowerShell 执行策略设置为 AllSigned，则需要确保设备信任此签名证书。 可以从安装了 Configuration Manager 控制台的计算机导出证书。 在 上 "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"查看证书，然后从证书路径导出代码签名证书。 然后将其导入到托管设备上的计算机的受信任发布者存储。 可以使用以下博客中的过程，但请确保从证书路径导出 代码签名证书 ： 使用 Intune 向受信任的发布者添加证书

1. 在基本信息页面上指定一个名称并可选指定一个说明。
2. 在“配置设置”页面上，配置要使用此配置文件管理的设置。 完成配置设置后，选择“下一步”。 有关这两个配置文件的可用设置的详细信息，请参阅 租户附加设备的攻击面减少策略设置。
3. 将策略分配给分配 页面上的 Configuration Manager 集合。

设备状态

可以查看租户附加设备的终结点安全策略的状态。 对于租户附加的客户端的所有终结点安全策略类型，都可以访问“设备状态”页面。 要显示“设备状态”页，请执行以下操作：

1. 选择面向 ConfigMgr 设备的策略，以显示策略的“概述”页。
2. 选择“设备状态”以显示策略所针对的设备列表。
3. “设备状态”页上显示每个设备的“设备名称”、“符合性状态”和“短信 ID”。

后续步骤

• 租户附加设备的攻击面减少策略设置。
• 创建并将终结点安全防病毒策略部署到租户附加设备
• 创建终结点安全终结点检测和响应策略并将其部署到租户附加设备
• 创建终结点安全防火墙策略并将其部署到租户附加设备