使用 Microsoft Intune 中的终结点安全策略管理设备安全性

  • 项目

使用Intune终结点安全策略来管理设备上的安全设置。 每个终结点安全策略都支持一个或多个配置文件。 这些配置文件在概念上类似于设备配置策略模板,这是一组相关设置的逻辑。

作为与设备安全性相关的安全管理员,可以使用这些以安全为中心的配置文件来避免设备配置文件或安全基线的开销。 设备配置文件和基线包括保护终结点范围之外的大量不同设置。 相比之下,每个终结点安全配置文件侧重于用于配置设备安全性的一个方面的特定设备设置子集。

将终结点安全策略与其他策略类型(例如安全基线或设备配置策略中的终结点保护模板)一起使用时,请务必制定使用多个策略类型的计划,以最大程度地降低设置冲突的风险。 Intune,安全基线、设备配置策略和终结点安全策略都被视为设备配置设置的相同源。 当设备从多个源接收设置的两个不同的配置时,将发生设置冲突。 多个源可以包括单独的策略类型和同一策略的多个实例。

当Intune评估设备的策略并识别设置的冲突配置时,所涉及的设置可能会标记为错误或冲突,并且无法应用。 每种类型的配置策略都支持识别和解决出现冲突:

可以在Microsoft Intune管理中心的终结点安全节点的“管理”下找到终结点安全策略。

在Microsoft Intune管理中心管理终结点安全策略

以下是每种终结点安全策略类型的简要说明。 若要详细了解它们(包括每个策略的可用配置文件),请遵循指向每个策略类型专用内容的链接:

  • 帐户保护 - 帐户保护策略有助于保护用户的标识和帐户。 帐户保护策略侧重于Windows Hello和 Credential Guard 的设置,这是 Windows 标识和访问管理的一部分。

  • 防病毒 - 防病毒策略可帮助安全管理员专注于管理托管设备的防病毒设置的离散组。

  • 适用于企业的应用控制 (预览版) - 使用适用于企业的应用控制策略和适用于Microsoft Intune的托管安装程序管理 Windows 设备的已批准应用。 Intune业务应用控制策略是Windows Defender应用程序控制 (WDAC) 实现。

  • 攻击面减少 - 在 Windows 10/11 设备上使用 Defender 防病毒时,请使用Intune终结点安全策略来减少攻击面,以管理设备的这些设置。

  • 磁盘加密 - 终结点安全性 磁盘加密配置文件仅关注与设备内置加密方法(如 FileVault 或 BitLocker)相关的设置。 此焦点使安全管理员能够轻松管理磁盘加密设置,而无需导航大量不相关的设置。

  • 终结点检测和响应 - 将 Microsoft Defender for Endpoint 与 Intune 集成时,请使用终结点安全策略进行终结点检测和响应 (EDR) 来管理 EDR 设置,并将设备加入到Microsoft Defender for Endpoint。

  • 防火墙 - 使用 Intune 中的终结点安全防火墙策略为运行 macOS 和 Windows 10/11 的设备配置设备内置防火墙。

以下部分适用于所有终结点安全策略。

创建终结点安全策略

  1. 登录到Microsoft Intune管理中心

  2. 选择“ 终结点安全性 ”,然后选择要配置的策略类型,然后选择“ 创建策略”。 从以下策略类型中进行选择:

    • 帐户保护
    • 防病毒
    • 应用程序控制 (预览版)
    • 攻击面减少
    • 磁盘加密
    • 终结点检测和响应
    • 防火墙

  3. 输入以下属性:

    • 平台:选择要为其创建策略的平台。 可用选项取决于所选的策略类型。
    • 配置文件:从所选平台的可用配置文件中进行选择。 有关配置文件的信息,请参阅本文中针对所选策略类型的专用部分。

  4. 选择“创建”。

  5. 在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。

  6. “配置设置” 页上,展开每组设置,并配置要使用此配置文件管理的设置。

    完成配置设置后,选择“下一步”。

  7. 在“ 作用域标记 ”页上,选择 “选择范围标记 ”,打开 “选择标记 ”窗格,将范围标记分配给配置文件。

    选择“下一步”以继续。

  8. 在“分配”页上,选择将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择 下一步

  9. 完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

复制策略

终结点安全策略支持重复以创建原始策略的副本。 复制策略的场景很有用,即需要将类似的策略分配给不同的组,但又不想手动重新创建整个策略。 相反,可以复制原始策略,然后仅引入新策略所需的更改。 只能更改特定设置和策略分配到的组。

创建副本时,需要为副本指定一个新名称。 复制的副本具有与原基线相同的配置和作用域标记,但不具有任何分配。 稍后需要编辑新策略才能创建分配。

以下策略类型支持重复:

  • 帐户保护
  • 应用程序控制 (预览)
  • 防病毒
  • 攻击面减少
  • 磁盘加密
  • 终结点检测和响应
  • 防火墙

创建新策略后,查看并编辑策略以对其配置进行更改。

复制策略

  1. 登录到Microsoft Intune管理中心
  2. 选择要复制的策略。 接下来,选择“ 复制 ”或选择省略号 (...) 策略右侧,然后选择“ 复制”。
  3. 提供策略 的新名称 ,然后选择“ 保存”。

编辑策略

  1. 选择新策略,然后选择属性
  2. 选择设置展开策略中的配置设置列表。 无法从此视图修改设置,但可以查看设置的配置方式。
  3. 若要修改策略,请为要进行更改的每个类别选择“编辑”:
    • 基本信息
    • 作业
    • 作用域标记
    • 配置设置
  4. 更改后,选择“保存”,保存编辑。 必须先保存对一个类别的编辑,然后才能对其他类别进行编辑。

管理冲突

许多可以使用 Endpoint 安全策略管理的设备设置 (安全策略) 也可通过 Intune 中的其他策略类型使用。 这些其他策略类型包括 设备配置 策略 和安全基线。 由于设置可以通过多种不同的策略类型或同一策略类型的多个实例进行管理,因此请准备好识别和解决不符合预期配置的设备的策略冲突。

  • 安全基线可以为设置设置非默认值,以符合基线地址的建议配置。
  • 其他策略类型(包括终结点安全策略)将值设置为“默认情况下 未配置 ”。 这些其他策略类型要求你在策略中显式配置设置。

无论策略方法如何,通过多个策略类型或通过同一策略类型的多个实例在同一设备上管理同一设置都可能导致应避免的冲突。

以下链接中的信息可帮助你识别和解决冲突:

后续步骤

在 Intune 中管理终结点安全性