使用 Microsoft Intune 中的终结点安全策略管理设备安全性
作为与设备安全性相关的安全管理员,请使用Intune终结点安全策略来管理设备上的安全设置。 这些配置文件在概念上类似于设备配置策略模板或安全基线,后者是相关设置的逻辑组。 但是,如果设备配置文件和安全基线包括保护终结点范围之外的大量不同设置,则每个终结点安全配置文件侧重于设备安全性的特定子集。
将终结点安全策略与其他策略类型(例如安全基线或设备配置策略中的终结点保护模板)一起使用时,请务必制定使用多个策略类型的计划,以最大程度地降低设置冲突的风险。 Intune,安全基线、设备配置策略和终结点安全策略都被视为设备配置设置的相同源。 当设备从多个源接收设置的两个不同的配置时,将发生设置冲突。 多个源可以包括单独的策略类型和同一策略的多个实例。
当Intune评估设备的策略并识别设置的冲突配置时,所涉及的设置可能会标记为错误或冲突,并且无法应用于设备。 有关可帮助你管理冲突的信息,请参阅以下策略和配置文件特定指南:
终结点安全策略的可用类型
可以在Microsoft Intune管理中心的终结点安全节点的“管理”下找到终结点安全策略。
以下是每种终结点安全策略类型的简要说明。 若要详细了解它们(包括每个策略的可用配置文件),请遵循指向每个策略类型专用内容的链接:
帐户保护 - 帐户保护策略有助于保护用户的标识和帐户。 帐户保护策略侧重于Windows Hello和 Credential Guard 的设置,这是 Windows 标识和访问管理的一部分。
防病毒 - 防病毒策略可帮助安全管理员专注于管理托管设备的防病毒设置的离散组。
适用于企业的应用控制 (预览版) - 使用适用于企业的应用控制策略和适用于Microsoft Intune的托管安装程序管理 Windows 设备的已批准应用。 Intune企业应用控制策略是 Windows Defender 应用程序控制 (WDAC) 的实现。
攻击面减少 - 在 Windows 10/11 设备上使用 Defender 防病毒时,请使用Intune终结点安全策略来减少攻击面,以管理设备的这些设置。
磁盘加密 - 终结点安全性 磁盘加密配置文件仅关注与设备内置加密方法相关的设置,例如适用于 Windows) 的 FileVault、BitLocker 和个人数据加密 (。 借助此焦点,安全管理员可以轻松地管理磁盘或文件夹级别的加密设置,而无需导航大量不相关的设置。
终结点检测和响应 - 将 Microsoft Defender for Endpoint 与 Intune 集成时,请使用终结点安全策略进行终结点检测和响应 (EDR) 来管理 EDR 设置,并将设备加入到Microsoft Defender for Endpoint。
防火墙 - 使用 Intune 中的终结点安全防火墙策略为运行 macOS 和 Windows 10/11 的设备配置设备内置防火墙。
以下部分适用于所有终结点安全策略。
为终结点安全策略分配基于角色的访问控制
若要管理Intune终结点安全策略,必须使用一个帐户,该帐户包括Intune基于角色的访问控制 (RBAC) 策略权限以及与所管理的任务相关的特定权限。
注意
在 2024 年 6 月之前,Intune终结点安全策略是通过安全基线权限提供的权限来管理的。 从 2024 年 6 月开始,Intune开始发布精细权限来管理单个终结点安全工作负载。
每次向Intune添加终结点安全工作负载的新精细权限时,将从“安全基线”权限中删除这些相同的权限。 如果使用具有 安全基线权限的 自定义角色,则新的 RBAC 权限会自动分配给具有通过 安全基线 权限授予的相同权限的自定义角色。 此自动分配可确保管理员继续拥有与现在相同的权限。
用于管理终结点安全工作负荷的 RBAC 角色和权限
分配用于管理终结点安全性方面的 RBAC 权限时,我们建议为管理员分配完成特定任务所需的最低权限。 管理终结点安全性的每个 RBAC 权限都包含以下权限,在 创建自定义 RBAC 角色时可以单独授予或拒绝这些权限:
- Assign
- 创建
- 删除
- 阅读
- 更新
- 查看报表
使用自定义 RBAC 角色
以下权限包括对终结点安全工作负载的权限:
适用于业务的应用程序控制 - 授予管理 应用程序控制 策略和报表的权限。
攻击面减少 - 授予管理部分(但不是全部 )攻击面减少 策略和报告的权限。 对于此工作负载,以下配置文件 (模板) 仍需要 安全基线 权限提供的权限:
- Windows 应用和浏览器隔离
- Windows Web 保护
- Windows 应用程序控件
- Windows 攻击防护
终结点检测和响应 - 授予管理 终结点检测和响应 的权限, (EDR) 策略和报告。
安全基线 - 授予管理没有专用工作流的所有终结点安全工作负载的权限。
设备配置 - 设备配置的 “查看报告 ”权限还授予查看、生成和导出终结点安全策略报表的权限。
重要
某些租户中可能暂时显示针对终结点安全策略的 防病毒 细化权限。 此权限未发布,不支持使用。 Intune忽略防病毒权限的配置。 当防病毒可用作精细权限时,将在 Microsoft Intune 中的新增功能一文中宣布其可用性。
使用内置 RBAC 角色
还可以将以下Intune内置 RBAC 角色分配给管理员,以提供管理终结点安全工作负载和报表的部分或所有任务的权限。
- 技术支持操作员
- 只读操作员
- 端点安全管理员
有关每个角色包含的特定权限和权限的详细信息,请参阅Microsoft Intune的内置角色权限。
有关新终结点安全权限的注意事项
添加终结点安全工作负载的新精细权限时,新的工作负载权限具有与当前 安全基线 权限相同的权限和权限结构。 这包括管理这些工作负载中的安全策略,这些策略可能包含其他类型的策略(如安全基线策略或设置目录策略)中的重叠设置,这些策略受单独的 RBAC 权限控制。
如果使用 Defender for Endpoint 安全设置管理方案,则相同的 RBAC 权限更改适用于Microsoft Defender门户进行安全策略管理。
创建终结点安全策略
以下过程提供了创建终结点安全策略的一般指导:
选择“ 终结点安全性 ”,然后选择要配置的策略类型,然后选择“ 创建策略”。 从以下策略类型中进行选择:
- 帐户保护
- 防病毒
- 应用程序控制 (预览版)
- 攻击面减少
- 磁盘加密
- 终结点检测和响应
- 防火墙
输入以下属性:
- 平台:选择要为其创建策略的平台。 可用选项取决于所选的策略类型。
- 配置文件:从所选平台的可用配置文件中进行选择。 有关配置文件的信息,请参阅本文中针对所选策略类型的专用部分。
选择“创建”。
在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。
在 “配置设置” 页上,展开每组设置,并配置要使用此配置文件管理的设置。
完成配置设置后,选择“下一步”。
在“ 作用域标记 ”页上,选择 “选择范围标记 ”,打开 “选择标记 ”窗格,将范围标记分配给配置文件。
选择“下一步”以继续。
在“分配”页上,选择将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
选择 下一步。
完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
复制策略
终结点安全策略支持重复以创建原始策略的副本。 复制策略的场景很有用,即需要将类似的策略分配给不同的组,但又不想手动重新创建整个策略。 相反,可以复制原始策略,然后仅引入新策略所需的更改。 只能更改特定设置和策略分配到的组。
创建副本时,需要为副本指定一个新名称。 复制的副本具有与原基线相同的配置和作用域标记,但不具有任何分配。 稍后需要编辑新策略才能创建分配。
以下策略类型支持重复:
- 帐户保护
- 应用程序控制 (预览)
- 防病毒
- 攻击面减少
- 磁盘加密
- 终结点检测和响应
- 防火墙
创建新策略后,查看并编辑策略以对其配置进行更改。
复制策略
- 登录到 Microsoft Intune 管理中心。
- 找到要从策略列表中复制的策略,然后选择该行的省略号 (...) 以打开 “上下文”菜单。
- 选择“复制”。
- 提供策略 的新名称 ,然后选择“ 保存”。
编辑策略
- 选择新策略,然后选择属性。
- 选择设置展开策略中的配置设置列表。 无法从此视图修改设置,但可以查看设置的配置方式。
- 若要修改策略,请为要进行更改的每个类别选择“编辑”:
- 基本信息
- 作业
- 作用域标记
- 配置设置
- 进行更改后,选择“ 保存” 以保存编辑内容。 必须先保存对一个类别的编辑,然后才能对其他类别进行编辑。
管理冲突
许多可以使用 Endpoint 安全策略管理的设备设置 (安全策略) 也可通过 Intune 中的其他策略类型使用。 这些其他策略类型包括 设备配置 策略 和安全基线。 由于设置可以通过多种不同的策略类型或同一策略类型的多个实例进行管理,因此请准备好识别和解决不符合预期配置的设备的策略冲突。
- 安全基线可以为设置设置非默认值,以符合基线地址的建议配置。
- 其他策略类型(包括终结点安全策略)将值设置为“默认情况下 未配置 ”。 这些其他策略类型要求你在策略中显式配置设置。
无论策略方法如何,通过多个策略类型或通过同一策略类型的多个实例在同一设备上管理同一设置都可能导致应避免的冲突。
以下链接中的信息可帮助你识别和解决冲突: