Intune 中终结点安全的终结点检测和响应策略

将 Microsoft Defender for Endpoint 与 Intune 集成后，可以使用终结点安全策略进行终结点检测和响应， (EDR) 管理 EDR 设置，并将设备载入到 Microsoft Defender for Endpoint。

Microsoft Defender for Endpoint 的终结点检测和响应功能提供近乎实时且可操作的高级攻击检测。 安全分析员可以有效地确定警报的优先级，了解整个泄露范围，并采取响应措施来修正威胁。

应用于：

• Linux
• macOS
• Windows 10
• Windows 11
• 当 Configuration Manager 通过租户附加方案或通过 Microsoft Defender for Endpoint Security 设置管理方案进行管理时， Windows Server 2012 R2 及更高版本 ()

关于终结点检测和响应的 Intune 策略

Intune 的终结点检测和响应策略包括特定于平台的配置文件，用于管理 Microsoft Defender for Endpoint 的载入安装。 每个配置文件都包含一个 载入包 ，该包适用于策略面向的设备平台。 载入包是将设备配置为与 Microsoft Defender for Endpoint 配合使用的方式。 设备载入后，可以开始使用该设备的威胁数据。

从位于 Microsoft Intune 管理中心的终结点安全节点的终结点检测和响应节点创建和管理 EDR 策略。

创建 EDR 策略以载入设备时，可以使用预配置策略选项，或创建需要手动配置设置的策略，包括加入包的标识：

• 预配置策略：仅支持 Windows 设备，使用此选项可将预配置的 EDR 载入策略快速部署到所有适用的设备。 对于使用 Intune 管理的设备和通过 Configuration Manager 管理的租户附加设备，可以使用预配置策略选项。 使用预配置选项时，无法在创建和初始部署策略之前编辑策略中的设置。 部署后，可以编辑一些选择设置。 有关详细信息，请参阅本文中的 使用预配置的 EDR 策略 。

• 手动创建策略：受所有平台支持，使用此选项创建可部署到离散设备组的载入策略。 使用此路径时，可以在策略部署到分配的组之前配置策略中的任何可用设置。 有关详细信息，请参阅本文中的 使用手动创建的 EDR 策略 。

基于策略所面向的平台，使用 Intune 管理的设备的 EDR 策略将部署到从 Microsoft Entra ID 的设备组，或部署到从 Configuration Manager 同步到 租户附加方案的本地设备的集合。

提示

除了 EDR 策略，还可以使用 设备配置 策略将设备载入到 Microsoft Defender for Endpoint。 但是，设备配置策略不支持租户附加设备。

使用多种策略或策略类型（如 设备配置 策略和 终结点检测和响应 策略）管理相同的设备设置 (（例如载入到 Defender for Endpoint) ），可以为设备创建策略冲突。 如需了解有关冲突的详细信息，请参阅管理安全策略一文中的管理冲突。

EDR 策略的先决条件

常规：

• Microsoft Defender for Endpoint 的租户 – Microsoft Defender for Endpoint 租户必须与 Microsoft Intune 租户 (Intune 订阅) 集成，然后才能创建 EDR 策略。 有关更多信息，请参阅：

  • 使用 Microsoft Defender for Endpoint 获取有关将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成的指南。
  • 将 Microsoft Defender for Endpoint 连接到 Intune ，以设置 Intune 与 Microsoft Defender for Endpoint 之间的服务到服务连接。

对 Configuration Manager 客户端的支持：

• 为 Configuration Manager 设备设置租户附加 - 若要支持将 EDR 策略部署到 Configuration Manager 管理的设备，请配置 租户附加。 此任务包括配置 Configuration Manager 设备集合以支持 Intune 中的终结点安全策略。

  若要设置租户附加，包括将 Configuration Manager 集合同步到 Microsoft Intune 管理中心，并使它们能够使用终结点安全策略，请参阅 配置租户附加以支持终结点保护策略。

  有关将 EDR 策略用于租户附加设备的详细信息，请参阅本文中的 设置 Configuration Manager 以支持 EDR 策略 。

基于角色的访问控制 (RBAC)

有关分配适当级别的权限和权限以管理 Intune 终结点检测和响应策略的指导，请参阅 Assign-role-based-access-controls-for-endpoint-security-policy。

关于终结点检测和响应节点

在 Microsoft Intune 管理中心， 终结点检测和响应 节点分为两个选项卡：

“摘要”选项卡：
“摘要”选项卡提供所有 EDR 策略的高级视图，包括手动配置的策略，以及使用“部署预配置策略”选项创建的策略。

“摘要”选项卡包括以下区域：

• Defender for Endpoint 连接器状态 – 此视图显示租户的当前连接器状态。 标签 Defender for Endpoint Connector Status 也是用于打开 Defender 门户的链接。 此视图与“终结点安全性概述”页上的视图相同。

• 载入到 Defender for Endpoint 的 Windows 设备 – 此视图显示 EDR) 载入 (终结点检测和响应的租户范围状态，以及已或尚未载入 Microsoft Defender for Endpoint 的两个设备的计数。

• 终结点检测和响应 (EDR) 策略 – 可以在此处创建新的手动配置的 EDR 策略，并查看租户的所有 EDR 策略的列表。 策略列表包括手动配置的策略以及使用“部署预配置策略”选项创建的策略。

  从列表中选择策略可打开该策略的更深入视图，可在其中查看其配置并选择编辑其详细信息和配置。 如果已预配置策略，则可以编辑的设置受到限制。

EDR 载入状态选项卡：
此选项卡显示已或尚未载入到 Microsoft Defender for Endpoint 的设备的高级摘要，并支持钻取单个设备。 此摘要包括 Intune 管理的设备以及通过租户附加方案和 Configuration Manager 管理的设备。

此选项卡还包括用于为 Windows 设备创建和部署预配置的载入策略的选项。

EDR 载入状态选项卡包括：

• 部署预配置策略 – 此选项显示在页面顶部附近，位于载入摘要图表上方，用于创建预配置策略，以便将 Windows 设备载入到 Microsoft Defender for Endpoint。

• EDR 载入状态摘要图表 – 此图表显示已或尚未载入 Microsoft Defender for Endpoint 的设备计数。

• 设备列表 – 摘要图表下方是包含详细信息的设备列表，包括：

  • 设备名称
  • 如何管理设备
  • 设备 EDR 载入状态
  • 上次签入时间和日期
  • 设备 Defender 传感器的最后已知状态

EDR 配置文件

由 Microsoft Intune 管理的设备

Linux - 若要管理适用于 Linux 设备的 EDR，请选择 Linux 平台。 以下配置文件可用：

• 终结点检测和响应 - Intune 将策略部署到分配的组中的设备。 此配置文件支持用于：

  • 向 Intune 注册的设备。
  • 通过 Microsoft Defender for Endpoint 的安全管理管理管理的设备。

  适用于 Linux 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的两个设置：

  • 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。
  • 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。

  若要详细了解适用于 Linux 的 Defender for Endpoint 设置，请参阅 Defender 文档中 的设置 linux 上的 Microsoft Defender for Endpoint 的首选项 。

macOS - 若要管理 macOS 设备的 EDR，请选择 macOS 平台。 以下配置文件可用：

• 终结点检测和响应 - Intune 将策略部署到分配的组中的设备。 此配置文件支持用于：

  • 向 Intune 注册的设备。
  • 通过 Microsoft Defender for Endpoint 的安全管理管理管理的设备。

  适用于 macOS 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的两个设置：

  • 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。
  • 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。

  若要详细了解适用于 macOS 的 Defender for Endpoint 设置，请参阅 Defender 文档中 的在 macOS 上设置 Microsoft Defender for Endpoint 的首选项 。

Windows - 若要管理 Windows 设备的 EDR，请选择 Windows 10、Windows 11 和 Windows Server 平台。 以下配置文件可用：

• 终结点检测和响应 - Intune 将策略部署到分配的组中的设备。 此配置文件支持用于：

  • 向 Intune 注册的设备。
  • 通过 Microsoft Defender for Endpoint 的安全管理管理管理的设备。

  注意

  从 2022 年 4 月 5 日开始， Windows 10 及更高版本 平台已替换为 Windows 10、Windows 11 和 Windows Server 平台。

  Windows 10、Windows 11 和 Windows Server 平台支持设备通过 Microsoft Intune 或 Microsoft Defender for Endpoint 进行通信。 这些配置文件还添加了对 Windows Server 平台的支持，Microsoft Intune 本身不受支持。

  此新平台的配置文件使用设置目录中的设置格式。 此新平台的每个新配置文件模板都包含与它替换的旧配置文件模板相同的设置。 通过此更改，你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。

  Microsoft Defender for Endpoint 客户端配置包类型的选项：

  • 仅适用于 Windows 设备

  在 Intune 与 Microsoft Defender for Endpoint 之间配置 服务到服务连接 后， “自动从连接器 ”选项可用于设置 Microsoft Defender for Endpoint 客户端配置包类型。 在配置连接之前，此选项不可用。

  选择“ 从连接器自动”时，Intune 会自动从 Defender for Endpoint 部署获取载入包 (blob) 。 此选项无需为此配置文件手动配置 载入 包。 没有自动配置离机包的选项。

Configuration Manager 管理的设备

终结点检测和响应

在使用租户附加时管理 Configuration Manager 设备的终结点检测和响应策略设置。

平台： Windows 10、Windows 11 和 Windows Server (ConfigMgr)

配置文件： 终结点检测和响应 (ConfigMgr)

Configuration Manager 的必需版本：

• Configuration Manager Current Branch 版本 2002 或更高版本，控制台中更新 Configuration Manager 2002 修补程序 (KB4563473)
• Configuration Manager 技术预览版 2003 或更高版本

支持的 Configuration Manager 设备平台：

• Windows 8.1 (x86, x64)（从 Configuration Manager 版本 2010 开始）
• Windows 10 及更高版本(x86, x64, ARM64)
• Windows 11 及更高版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64)（从 Configuration Manager 版本 2010 开始）
• Windows Server 2016 及更高版本 (x64)

重要

2022 年 10 月 22 日，Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。

如果当前使用 Windows 8.1，建议迁移到 Windows 10/11 设备。 Microsoft Intune 具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。

设置 Configuration Manager 以支持 EDR 策略

在将 EDR 策略部署到 Configuration Manager 设备之前，请完成以下部分详述的配置。

这些配置是在 Configuration Manager 控制台和 Configuration Manager 部署中进行的。 如果不熟悉 Configuration Manager，请计划与 Configuration Manager 管理员合作来完成这些任务。

以下部分介绍所需的任务：

1. 安装 Configuration Manager 的更新
2. 启用租户附加

提示

若要详细了解如何将 Microsoft Defender for Endpoint 与 Configuration Manager 配合使用，请参阅 Configuration Manager 内容中的以下文章：

• 通过 Microsoft Intune 管理中心将 Configuration Manager 客户端载入到 Microsoft Defender for Endpoint
• Microsoft Intune 租户附加：设备同步和设备操作

任务 1：安装 Configuration Manager 的更新

Configuration Manager 版本 2002 需要更新，以支持使用从 Microsoft Intune 管理中心部署的终结点检测和响应策略。

更新详细信息：

• Configuration Manager 2002 修补程序 (KB4563473)

此更新作为 Configuration Manager 2002 的控制台内更新 提供。

若要安装此更新，请按照 Configuration Manager 文档中的 安装控制台内更新 中的指南进行操作。

安装更新后，请返回此处，继续从 Microsoft Intune 管理中心配置环境以支持 EDR 策略。

任务 2：配置租户附加和同步集合

使用租户附加，可以指定 Configuration Manager 部署中的设备集合，以便与 Microsoft Intune 管理中心同步。 集合同步后，使用管理中心查看有关这些设备的信息，并将 Intune 中的 EDR 策略部署到这些设备。

有关租户附加方案的详细信息，请参阅在 Configuration Manager 内容中 启用租户附加 。

未启用共同管理时启用租户附加

提示

使用 Configuration Manager 控制台中的 共同管理配置向导 来启用租户附加，但不需要启用共同管理。

如果计划启用共同管理，请在继续操作之前熟悉共同管理、其先决条件以及如何管理工作负载。 请参阅 Configuration Manager 文档中 的什么是共同管理 。

若要在未启用共同管理时启用租户附加，需要登录到环境的 AzurePublicCloud 。 在继续操作之前，请查看 Configuration Manager 文档中 的权限和角色 ，确保你有一个可以完成此过程的帐户。

1. 在 Configuration Manager 管理控制台中，转到 “管理>概述>云服务>共同管理”。
2. 在功能区中， 选择配置共同管理以打开向导。
3. 在租户载入页面上，选择适用于你的环境的 AzurePublicCloud。 不支持 Azure 政府云。
   1. 选择“ 登录 ”，并指定对 AzurePublicCloud 环境具有足够权限的帐户。

使用 Intune 管理的设备支持以下各项：

• 平台： Windows 10、Windows 11 和 Windows Server - Intune 将策略部署到 Microsoft Entra 组中的设备。
• 配置文件： 终结点检测和响应

使用预配置的 EDR 策略

Intune 支持对由 Intune 和 Configuration Manager 通过租户附加方案管理的 Windows 设备使用预配置的 EDR 策略。

在 Intune 的终结点检测和响应策略的“ EDR 载入状态 ”页上，选择“ 部署预配置策略 ”选项，让 Intune 创建并部署预配置策略，以便在适用的设备上安装 Microsoft Defender for Endpoint。

此选项位于页面顶部附近，位于载入到 Defender for Endpoint 报表的 Windows 设备上方：

在选择此选项之前，必须成功配置 Defender for Endpoint 连接器，这将在 Intune 与 Microsoft Defender for Endpoint 之间建立服务到服务连接。 策略使用连接器获取用于载入设备的 Microsoft Defender for Endpoint 载入 blob。 有关配置此连接器的信息，请参阅配置 Defender for Endpoint 一文中的将 Microsoft Defender for Endpoint连接到 Intune。

如果使用租户附加方案来支持 Configuration Manager 管理的设备，请从 Microsoft Intune 管理中心设置 Configuration Manager 以支持 EDR 策略。 请参阅 配置租户附加以支持终结点保护策略。

创建预配置的 EDR 策略

使用 “部署预配置策略 ”选项时，无法更改用于安装 Microsoft Defender for Endpoint、范围标记或分配的默认策略配置。 但是，创建策略后，可以编辑其一些详细信息，包括分配筛选器的配置。

若要创建策略，请执行以下操作：

1. 在 Microsoft Intune 管理中心，转到 “终结点安全>终结点检测和响应”> ，打开“ EDR 载入状态 ”选项卡 > ，选择“ 部署预配置策略”。

2. 在 “创建配置文件 ”页上，指定以下组合之一，然后选择“ 创建”：

   • 对于 Intune 管理的设备：

     • 平台 = Windows 10、Windows 11 和 Windows Server
     • 配置文件 = 终结点检测和响应

   • 对于通过 租户附加方案管理的设备：

     • 平台 = Windows 10、Windows 11 和 Windows Server (ConfigMgr)
     • 配置文件 = 终结点检测和响应 (ConfigMgr)

     重要

     部署到租户附加设备需要在租户中启用和同步 “所有桌面和服务器客户端” 集合。

3. 在 “基本信息 ”页上，提供此策略的名称。 （可选）还可以添加“说明”。

4. 在“ 查看和创建 ”页上，可以展开可用类别以查看策略配置，但无法进行更改。 Intune 仅根据所选的平台和配置文件组合使用适用的设置。 例如，对于 Intune 管理的设备，策略面向 “所有设备” 组。 “所有桌面和服务器客户端”组面向租户附加设备。

选择“ 保存” 以创建并部署预配置的策略。

编辑预配置的 EDR 策略

创建预配置策略后，可以在终结点检测和响应策略的“ 摘要 ”选项卡上找到它。 通过选择策略，你可以选择编辑某些策略选项，但不是所有策略选项。 例如，对于 Intune 设备，可以编辑以下选项：

• 基本：可以编辑以下选项：
  • 名称
  • 说明
• 配置设置：可以从默认值“未配置”更改以下两个设置：
  • 示例共享
  • [已弃用]遥测报告频率
• 工作分配：无法更改组分配，但可以添加 工作分配筛选器。

使用手动创建的 EDR 策略

在 Intune 的终结点检测和响应策略的“EDR 摘要”页上，可以选择“ 创建策略 ”，开始手动配置 EDR 策略以将设备载入 Microsoft Defender for Endpoint 的过程。

此选项位于页面顶部附近，位于载入到 Defender for Endpoint 报表的 Windows 设备上方：

创建手动配置的 EDR 策略

1. 登录到 Microsoft Intune 管理中心。

2. 选择“终结点安全性”>“终结点检测和响应”>“创建策略”。

3. 选择策略的平台和配置文件。 以下信息标识了你的选项：

   • Intune - Intune 将策略部署到分配的组中的设备。 创建策略时，选择：

     • 平台： Linux、 macOS 或 Windows 10、Windows 11 和 Windows Server
     • 配置文件： 终结点检测和响应

   • Configuration Manager - Configuration Manager 将策略部署到 Configuration Manager 集合中的设备。 创建策略时，选择：

     • 平台：Windows 10、Windows 11 和 Windows Server (ConfigMgr)
     • 配置文件：终结点检测和响应 (ConfigMgr)

4. 选择“创建”。

5. 在“基本信息”页上，输入配置文件的名称和说明，然后选择“下一步”。

6. 在“配置设置”页上，选择“从连接器中自动Microsoft Defender for Endpoint 客户端配置包类型。 配置要使用此配置文件管理 的示例共享 和 遥测报告频率 设置。

   注意

   若要使用 Microsoft Defender for Endpoint 门户中的载入文件加入或卸载租户，请选择“ 载入 ”或“ 卸载 ”，并将载入文件的内容提供给所选内容正下方的输入。

   完成配置设置后，选择“下一步”。

7. 如果使用“作用域标记”，请在“ 作用域标记 ”页上选择 “选择范围标记 ”，打开“ 选择标记 ”窗格，将范围标记分配给配置文件。

   选择“下一步”以继续。

8. 在 “分配” 页上，选择接收此策略的组或集合。 选择取决于所选的平台和配置文件：

   • 对于 Intune，请从 entra Microsoft 选择组。
   • 对于 Configuration Manager，请选择 Configuration Manager 中已同步到 Microsoft Intune 管理中心并启用了 Microsoft Defender for Endpoint 策略的集合。

   此时可以选择不分配组或集合，然后编辑策略以添加分配。

   准备好继续后，选择“下一步”。

9. 完成后，在“查看 + 创建”页上，选择“创建”。

   为创建的配置文件选择策略类型时，新配置文件将显示在列表中。

更新设备的载入状态

组织可能需要通过 Microsoft Intune 更新设备上的载入信息。

由于 Microsoft Defender for Endpoint 的载入有效负载发生更改，或者由Microsoft支持人员指示，可能需要此更新。

更新载入信息会指示设备在下一次 重启时开始使用新的载入有效负载。

注意

如果不从原始租户中完全卸载设备，此信息不一定会在租户之间移动设备。 有关在 Microsoft Defender for Endpoint 组织之间迁移设备的选项，请与 Microsoft 支持人员联系。

更新有效负载的过程

1. 从 Microsoft Defender for Endpoint 控制台下载新的移动设备管理 新 载入有效负载。

2. 创建新 组 以验证新策略的有效性。

3. 从现有 EDR 策略中排除 新组 。

4. 创建新的终结点检测和响应策略，如创建 EDR 策略中所述。

5. 创建策略时，请从客户端包配置类型中选择“ 载入 ”，并从 Microsoft Defender for Endpoint 控制台指定载入文件 的内容 。

6. 将策略分配给 为验证创建的新组。

7. 将 现有设备添加到验证组，并确保更改按预期工作。

8. 逐步扩展部署，最终解除原始策略的授权。

注意

如果以前使用 “自动从连接器 ”选项检索加入信息，请与Microsoft支持人员联系，确认新加入信息的使用。

对于在Microsoft支持方向更新载入信息的组织，Microsoft会在连接器更新后指导你，以利用新的载入有效负载。

EDR 策略报告和监视

可以查看有关在 Microsoft Intune 管理中心的终结点部署和响应节点中使用的 EDR 策略的详细信息。

有关策略详细信息，请在管理中心转到 “终结点安全>终结点部署和响应>摘要 ”选项卡，然后选择要查看其符合性详细信息的策略：

• 对于面向 Linux、 macOS 或 Windows 10、Windows 11 和 Windows Server 平台 (Intune) 的策略，Intune 显示策略符合性的概述。 还可以选择图表以查看已接收策略的设备列表，并钻取到各个设备以了解更多详细信息。

• 对于 Windows 设备， 载入到 Defender for Endpoint 的 Windows 设备的 图表显示已成功载入 Microsoft Defender for Endpoint 且尚未载入的设备计数。

  若要确保在此图表中具有设备的完整表示形式，请将载入配置文件部署到所有设备。 通过外部方式加入到 Microsoft Defender for Endpoint 的设备（如组策略或 PowerShell）将计为 没有 Defender for Endpoint 传感器的设备。

• 对于面向 Windows 10、Windows 11 和 Windows Server (ConfigMgr) 平台 (Configuration Manager) 的策略，Intune 会显示不支持钻取的策略符合性的概述，以查看其他详细信息。 视图受到限制，因为管理中心从 Configuration Manager 接收有限的状态详细信息，Configuration Manager 管理策略到 Configuration Manager 设备的部署。

若要查看单个设备的详细信息，请转到 “终结点安全>终结点部署和响应>EDR 载入状态 ”选项卡，然后从列表中选择设备以查看其他特定于设备的详细信息。

后续步骤

• 配置终结点安全策略。
• 在 Microsoft Defender for Endpoint 文档中详细了解 终结点检测和响应 。