入门:从管理中心创建和部署终结点安全策略
适用于: Configuration Manager(current branch)
Microsoft Intune系列产品是用于管理所有设备的集成解决方案。 Microsoft 将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。
先决条件
- 访问Microsoft Intune管理中心。
- 环境是附加了已上传设备的租户。
- 已安装 Configuration Manager 的受支持版本和相应版本的控制台。
- 将目标设备升级到 Configuration Manager 客户端的最新版本。
- 至少一个可用于分配终结点安全策略的Configuration Manager 集合
- Windows为租户附加设备支持此配置文件的设备
适用于租户附加设备的受支持终结点安全配置文件
平台 | 终结点安全策略 | 配置文件 | Endpoint Protection (Configuration Manager) | 终结点安全性 (租户附加) |
---|---|---|---|---|
Windows 10、Windows 11 和 Windows Server | 防病毒 | 防病毒 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 防病毒 | 防病毒排除项 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 防病毒 | 篡改防护 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 攻击面减少 | 攻击面减少规则 | ![]() |
![]() |
Windows 10、Windows 11 | 攻击面减少 | 应用程序防护设置 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 攻击面减少 | 漏洞保护 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 终结点检测和响应 | 终结点检测和响应 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 防火墙 | 防火墙 | ![]() |
![]() |
Windows 10、Windows 11 和 Windows Server | 防火墙 | 防火墙规则 | ![]() |
![]() |
使用 Configuration Manager 当前分支通过租户附加方案管理的设备支持以下配置文件:
平台:Windows 10、Windows 11 和 Windows Server (ConfigMgr)
配置文件:Microsoft Defender防病毒 - 使用租户附加时管理Configuration Manager设备的防病毒策略设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
- Windows Server 2016 (x64)
- Windows 8.1 (x86、x64)
- Windows Server 2012 R2 (x64)
配置文件:使用租户附加时,Windows 安全中心体验 (ConfigMgr) - 管理Configuration Manager设备的Windows 安全中心应用设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
重要
为了支持管理防篡改,你所在的环境必须额外满足 Windows 文档中已详细阐述的使用 Intune 管理篡改防护的先决条件。
配置文件:终结点检测和响应 (ConfigMgr) - 使用租户附加时,管理 的终结点检测和响应策略设置。
此配置文件支持附加租户和运行以下平台的设备:
Windows 10 及更高版本(x86, x64, ARM64)
Windows 8.1 (x84, x64)
Windows Server 2019 及更高版本 (x64)
Windows Server 2016 (x64)
Windows Server 2012 R2 (x64)
配置文件:使用租户附加时,攻击面减少规则 (ConfigMgr) - 管理Configuration Manager设备的攻击面减少规则作为攻击面减少策略的一部分。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows Server 2019 及更高版本 (x64)
- Windows Server 2016 (x64)
- Windows Server 2012 R2 (x64)
注意
攻击面减少规则可能在 Windows Server 2012 R2 和 Windows Server 2016 上不可用。 有关详细信息,请参阅 攻击面减少规则文档。
平台:Windows 10 及更高版本
配置文件:Microsoft Defender防火墙 (ConfigMgr) - 使用租户附加时管理Configuration Manager设备的防火墙策略设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
重要
要支持防火墙策略,需要受支持版本的 Configuration Manager。
配置文件:攻击防护 (ConfigMgr) - 使用租户附加时,将Configuration Manager设备的 Exploit Protection 设置作为攻击面减少策略的一部分进行管理。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
配置文件:Web 保护 (ConfigMgr) - 使用租户附加时,在攻击面减少策略中管理Configuration Manager设备的 Web 保护设置。
此配置文件支持附加租户和运行以下平台的设备:
- Windows 10 及更高版本(x86, x64, ARM64)
让 Configuration Manager 集合可用于分配终结点安全策略
在从 Intune 启用设备集合以使用终结点安全策略时,你要将这些集合中的设备配置为加入 Microsoft Defender for Endpoint。
从连接到顶级网站的Configuration Manager控制台中,右键单击同步到Microsoft Intune管理中心的设备集合,然后选择“属性”。
在“云同步”选项卡上,启用“使此集合可用于从管理中心Microsoft Intune分配终结点安全策略”选项。
- 如果Configuration Manager层次结构未附加租户,则无法选择此选项。
- 此选项的可用集合受 为租户附加上传选择的集合范围的限制。
选择“添加”,然后选择要与“收集成员身份结果”同步的Microsoft Entra组。
选择 “确定” 以保存配置。
此集合中的设备现在可以使用Microsoft Defender for Endpoint加入,并支持使用 Intune 终结点安全策略。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈