入门:从管理中心创建和部署终结点安全策略

适用于: Configuration Manager(current branch)

Microsoft Intune系列产品是用于管理所有设备的集成解决方案。 Microsoft 将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。

先决条件

适用于租户附加设备的受支持终结点安全配置文件

平台 终结点安全策略 配置文件 Endpoint Protection (Configuration Manager) 终结点安全性 (租户附加)
Windows 10、Windows 11 和 Windows Server 防病毒 防病毒 支持 支持
Windows 10、Windows 11 和 Windows Server 防病毒 防病毒排除项 支持 支持
Windows 10、Windows 11 和 Windows Server 防病毒 篡改防护 不支持 支持
Windows 10、Windows 11 和 Windows Server 攻击面减少 攻击面减少规则 支持 支持
Windows 10、Windows 11 攻击面减少 应用程序防护设置 支持 支持
Windows 10、Windows 11 和 Windows Server 攻击面减少 漏洞保护 支持 支持
Windows 10、Windows 11 和 Windows Server 终结点检测和响应 终结点检测和响应 支持 支持
Windows 10、Windows 11 和 Windows Server 防火墙 防火墙 支持 支持
Windows 10、Windows 11 和 Windows Server 防火墙 防火墙规则 不支持 支持

使用 Configuration Manager 当前分支通过租户附加方案管理的设备支持以下配置文件:

  • 平台:Windows 10、Windows 11 和 Windows Server (ConfigMgr)

    • 配置文件:Microsoft Defender防病毒 - 使用租户附加时管理Configuration Manager设备的防病毒策略设置

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)
      • Windows Server 2019 及更高版本 (x64)
      • Windows Server 2016 (x64)
      • Windows 8.1 (x86、x64)
      • Windows Server 2012 R2 (x64)
    • 配置文件:使用租户附加时,Windows 安全中心体验 (ConfigMgr) - 管理Configuration Manager设备的Windows 安全中心应用设置

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)
      • Windows Server 2019 及更高版本 (x64)

    重要

    为了支持管理防篡改,你所在的环境必须额外满足 Windows 文档中已详细阐述的使用 Intune 管理篡改防护的先决条件

    • 配置文件:终结点检测和响应 (ConfigMgr) - 使用租户附加时,管理 的终结点检测和响应策略设置

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)

      • Windows 8.1 (x84, x64)

      • Windows Server 2019 及更高版本 (x64)

      • Windows Server 2016 (x64)

      • Windows Server 2012 R2 (x64)

      • 配置文件:使用租户附加时,攻击面减少规则 (ConfigMgr) - 管理Configuration Manager设备的攻击面减少规则作为攻击面减少策略的一部分。

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)
      • Windows Server 2019 及更高版本 (x64)
      • Windows Server 2016 (x64)
      • Windows Server 2012 R2 (x64)

      注意

      攻击面减少规则可能在 Windows Server 2012 R2 和 Windows Server 2016 上不可用。 有关详细信息,请参阅 攻击面减少规则文档

  • 平台:Windows 10 及更高版本

    • 配置文件:Microsoft Defender防火墙 (ConfigMgr) - 使用租户附加时管理Configuration Manager设备的防火墙策略设置

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)

      重要

      要支持防火墙策略,需要受支持版本的 Configuration Manager。

    • 配置文件:攻击防护 (ConfigMgr) - 使用租户附加时,将Configuration Manager设备的 Exploit Protection 设置作为攻击面减少策略的一部分进行管理。

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)
    • 配置文件:Web 保护 (ConfigMgr) - 使用租户附加时,在攻击面减少策略中管理Configuration Manager设备的 Web 保护设置

      此配置文件支持附加租户和运行以下平台的设备:

      • Windows 10 及更高版本(x86, x64, ARM64)

让 Configuration Manager 集合可用于分配终结点安全策略

在从 Intune 启用设备集合以使用终结点安全策略时,你要将这些集合中的设备配置为加入 Microsoft Defender for Endpoint。

  1. 从连接到顶级网站的Configuration Manager控制台中,右键单击同步到Microsoft Intune管理中心的设备集合,然后选择“属性”。

  2. 在“云同步”选项卡上,启用“使此集合可用于从管理中心Microsoft Intune分配终结点安全策略”选项。

    配置云同步

  3. 选择“添加”,然后选择要与“收集成员身份结果”同步的Microsoft Entra组。

  4. 选择 “确定” 以保存配置。

    此集合中的设备现在可以使用Microsoft Defender for Endpoint加入,并支持使用 Intune 终结点安全策略。

后续步骤