在载入到 Microsoft Defender for Endpoint 的设备上管理终结点安全策略

使用 Microsoft Defender for Endpoint 时,可以从 Microsoft Intune 部署终结点安全策略,以管理已载入到 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 此功能称为 Defender for Endpoint 安全设置管理

通过安全设置管理管理设备时:

  • 可以使用 Microsoft Intune 管理中心或 Microsoft 365 Defender 门户为 Defender for Endpoint 配置终结点安全性策略,并将这些策略分配给Microsoft Entra ID 组。 Defender 门户包括用于设备视图、策略管理的用户界面以及用于安全设置管理的报表。

    若要查看有关在 Defender 门户中管理 Intune 终结点安全策略的指南,请参阅 Defender 内容中的管理 Microsoft Defender for Endpoint 中的终结点安全策略

  • 设备根据其 Entra ID 设备对象获取分配的策略。 Microsoft Entra 中尚未注册的设备作为此解决方案的一部分加入。

  • 当设备收到策略时,设备上的 Defender for Endpoint 组件会强制实施该策略并报告设备的状态。 设备的状态在 Microsoft Intune 管理中心和 Microsoft Defender 门户中可用。

此方案将 Microsoft Intune Endpoint Security 图面扩展到无法在 Intune 中注册的设备。 当设备由 Intune 管理时, (注册到 Intune) 设备不会处理 Defender for Endpoint 安全设置管理的策略。 相反,请使用 Intune 将 Defender for Endpoint 的策略部署到设备。

应用于:

  • Windows 10 和 Windows 11
  • Windows Server (2012 R2 及更新)
  • Linux
  • macOS

Microsoft Defender for Endpoint-Attach 解决方案的概念演示。

先决条件

查看以下部分,了解 Defender for Endpoint 安全设置管理方案的要求。

环境

当受支持的设备载入到 Microsoft Defender for Endpoint 时:

  • 对设备进行现有Microsoft Intune 状态调查,这是一种移动设备管理, (MDM) 注册到 Intune。
  • 没有 Intune 状态的设备启用安全设置管理功能。
  • 对于未完全Microsoft Entra 注册的设备,在允许设备检索策略的 Entra ID Microsoft创建综合设备标识。 完全注册的设备使用其当前注册。
  • Microsoft Defender for Endpoint 在设备上强制执行从 Microsoft Intune 检索的策略。

政府云尚不支持安全设置管理。 有关详细信息,请参阅适用于美国政府客户的 Microsoft Defender for Endpoint 中的商业功能奇偶校验

连接要求

设备必须有权访问以下终结点:

  • *.dm.microsoft.com - 通配符的使用支持用于注册、签入和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。

支持的平台

以下设备平台支持用于 Microsoft Defender for Endpoint 安全管理的策略:

Linux

使用 Microsoft Defender for Endpoint for Linux 代理版本 101.23052.0009 或更高版本,安全设置管理支持以下 Linux 分发版:

  • Red Hat Enterprise Linux 7.2 或更高版本
  • CentOS 7.2 或更高版本
  • Ubuntu 16.04 LTS 或更高版本的 LTS
  • Debian 9 或更高版本
  • SUSE Linux Enterprise Server 12 或更高版本
  • Oracle Linux 7.2 或更高版本
  • Amazon Linux 2
  • Fedora 33 或更高版本

若要确认 Defender 代理的版本,请在 Defender 门户中转到“设备”页,然后在“设备 清单 ”选项卡上,搜索 Defender for Linux。 有关更新代理版本的指南,请参阅 在 Linux 上为 Microsoft Defender for Endpoint 部署更新

已知问题:对于 Defender 代理版本 101.23052.0009,Linux 设备在缺少以下文件路径时无法注册: /sys/class/dmi/id/board_vendor

macOS

使用 Microsoft Defender for Endpoint for macOS 代理版本 101.23052.0004 或更高版本,安全设置管理支持以下 macOS 版本:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (蒙特利)
  • macOS 11 (Big Sur)

若要确认 Defender 代理的版本,请在 Defender 门户中转到“设备”页,然后在“设备 清单 ”选项卡上,搜索 Defender for macOS。 有关更新代理版本的指南,请参阅 在 macOS 上为 Microsoft Defender for Endpoint 部署更新

已知问题:使用 Defender 代理版本 101.23052.0004 时,在使用安全设置管理注册之前Microsoft Entra ID 中注册的 macOS 设备会收到Microsoft Entra ID 中的重复设备 ID,这是一种综合注册。 为策略创建Microsoft Entra 组时,必须使用安全设置管理创建的合成设备 ID。 在 Microsoft Entra ID 中,综合设备 ID 的“联接类型”列为空。

Windows

安全设置管理不适用于以下设备,并且不支持以下设备:

  • 非持久性桌面,例如虚拟桌面基础结构 (VDI) 客户端或 Azure 虚拟桌面。
  • 域控制器

重要

在某些情况下,Microsoft Defender for Endpoint 可能会无意中管理运行下级服务器操作系统 (2012 R2 或 2016) 的域控制器。 为了确保这在你的环境中不会发生,我们建议确保域控制器既没有标记为“MDE-Management”,也没有由 MDE 管理。

许可和订阅

若要使用安全设置管理,需要:

  • 为 Microsoft Defender for Endpoint(如 Microsoft 365)授予许可证的订阅,或仅为 Microsoft Defender for Endpoint 授予独立许可证的订阅。 授予 Microsoft Defender for Endpoint 许可证的订阅还授予租户访问 Microsoft Intune 管理中心的终结点安全节点的权限。

    注意

    例外:如果 只能通过 Microsoft Defender for servers 访问 Microsoft Defender for Endpoint, (Microsoft Defender for Cloud(以前是 Azure 安全中心) )的一部分,则安全设置管理功能不可用。 需要至少有一个 Microsoft Defender for Endpoint (用户) 订阅许可证处于活动状态。

    可以在终结点安全节点中配置和部署策略,以管理设备的 Microsoft Defender for Endpoint 并监视设备状态。

    有关选项的当前信息,请参阅 Microsoft Defender for Endpoint 的最低要求

体系结构

下图是 Microsoft Defender for Endpoint 安全配置管理解决方案的概念表示形式。

Microsoft Defender for Endpoint 安全配置管理解决方案的概念图

  1. 载入到 Microsoft Defender for Endpoint 的设备。
  2. 设备与 Intune 通信。 此通信使 Microsoft Intune 能够在签入时分发针对设备的策略。
  3. Microsoft Entra ID 中为每个设备建立注册:
    • 如果设备以前已完全注册,例如混合联接设备,则使用现有注册。
    • 对于尚未注册的设备,在 Microsoft Entra ID 中创建综合设备标识,使设备能够检索策略。 当具有综合注册的设备具有为其创建的完整Microsoft Entra 注册时,将删除综合注册,并且设备管理通过使用完整注册继续不间断。
  4. Defender for Endpoint 将策略的状态报告回 Intune Microsoft。

重要

安全设置管理对未Microsoft Entra ID 中完全注册的设备使用综合注册,并删除了Microsoft Entra 混合加入先决条件。 通过此更改,以前出现注册错误的 Windows 设备将开始加入 Defender,然后接收和处理安全设置管理策略。

若要筛选因不符合 Microsoft Entra 混合加入先决条件而无法注册的设备,请导航到 Microsoft Defender 门户中的 “设备” 列表,并按注册状态进行筛选。 由于这些设备未完全注册,因此其设备属性会显示 MDM = Intune联接类型 = 空白。 这些设备现在将使用综合注册进行安全设置管理注册。

注册后,这些设备将显示在 Microsoft Defender 的设备列表中,Microsoft Intune 和 Microsoft Entra 门户。 虽然设备不会完全注册到 Microsoft Entra,但其综合注册计为一个设备对象。

Microsoft Defender 门户中的预期内容

可以使用 Microsoft Defender XDR 设备清单 ,通过查看“ 托管者 ”列中的设备状态,确认设备正在使用 Defender for Endpoint 中的安全设置管理功能。 设备侧面板或设备页上也提供了 “托管者 ”信息。 托管者 应始终如一地指示其由 MDE 管理。 

还可以通过确认设备端面板或设备页面将“MDE 注册”状态显示为“成功”来确认设备已成功注册安全设置管理

Microsoft Defender 门户中设备页上的设备安全设置管理注册状态的屏幕截图。

如果 MDE 注册 状态未显示 “成功”,请确保查看的设备已更新,并且处于安全设置管理范围内。 (配置安全设置 management 时,在“强制范围”页上配置范围。)

Microsoft Intune 管理中心的预期内容

在 Microsoft Intune 管理中心,转到“所有设备”页。 注册了安全设置管理的设备如下所示,如在 Defender 门户中显示。 在管理中心,“管理者”字段的设备应显示 MDE。

Intune 管理中心中设备页的屏幕截图,其中突出显示了设备的“管理者”状态。

提示

2023 年 6 月,安全设置管理开始对未在 Microsoft Entra 中完全注册的设备使用综合注册。 通过此更改,以前出现注册错误的设备将开始加入 Defender,然后接收和处理安全设置管理策略。

Microsoft Azure 门户中的预期内容

在“ 所有设备 ”页上,可以在 Microsoft Azure 门户中查看设备详细信息。

Microsoft Azure 门户中“所有设备”页的屏幕截图,其中突出显示了示例设备。

为了确保在 Defender for Endpoint 安全设置管理中注册的所有设备都会收到策略,我们建议根据设备的 OS 类型创建 动态Microsoft Entra 组 。 使用动态组时,由 Defender for Endpoint 管理的设备会自动添加到组中,而无需管理员执行其他任务,例如创建新策略。

重要

从 2023 年 7 月到 2023 年 9 月 25 日,安全设置管理运行了一个选择加入公共预览版,该预览版为已管理和注册到该方案的设备引入了新行为。 从 2023 年 9 月 25 日开始,公共预览版行为正式发布,现在适用于所有使用安全设置管理的租户。

如果在 2023 年 9 月 25 日之前使用过安全设置管理,但未加入从 2023 年 7 月到 2023 年 9 月 25 日运行的选择加入公共预览版,Microsoft 请查看依赖于系统标签进行更改的 Entra 组,以识别使用安全设置管理管理管理管理的新设备。 这是因为在 2023 年 9 月 25 日之前,未通过选择加入公共预览版管理的设备将使用以下系统标签 (标记) MDEManagedMDEJoined 来标识托管设备。 这两个系统标签不再受支持,不再添加到注册的设备。

对动态组使用以下指南:

  • (建议) 面向策略时,请使用基于设备平台的动态组, (Windows、Windows Server、macOS、Linux) 使用 deviceOSType 属性,以确保继续为更改管理类型的设备提供策略,例如在 MDM 注册期间。

  • 如有必要,通过使用 managementType 属性 MicrosoftSense 定义动态组,可以针对包含 Defender for Endpoint 管理的独占设备的动态组。 使用此属性以 Defender for Endpoint 通过安全设置管理功能管理的所有设备为目标,并且设备仅在由 Defender for Endpoint 管理时保留在此组中。

此外,在配置安全设置管理时,如果打算使用 Microsoft Defender for Endpoint 管理整个 OS 平台群,请在“Microsoft Defender for Endpoint 强制范围”页中选择 所有设备 而不是 标记的设备 ,请注意,任何综合注册都计入Microsoft Entra ID 配额,与完整注册相同。

应使用哪种解决方案?

Microsoft Intune 包括多种方法和策略类型,用于管理设备上的 Defender for Endpoint 配置。 下表标识了支持部署到 Defender for Endpoint 安全设置管理管理的设备的 Intune 策略和配置文件,并有助于确定此解决方案是否适合你的需求。

部署 Defender for Endpoint 安全设置管理和Microsoft Intune 支持的终结点安全策略时,可以通过以下方法处理该策略的单个实例:

  • 通过安全设置管理 (Microsoft Defender) 支持的设备
  • 由 Intune 或 Configuration Manager 管理的设备。

由安全设置管理管理的设备不支持 Windows 10 及更高版本的平台 的配置文件。

每种设备类型支持以下配置文件:

Linux

以下策略类型支持 Linux 平台。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
终结点检测和响应 终结点检测和响应 支持 支持

macOS

以下策略类型支持 macOS 平台。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
终结点检测和响应 终结点检测和响应 支持 支持

Windows 10、Windows 11 和 Windows Server

若要支持使用 Microsoft Defender 安全设置管理,适用于 Windows 设备的策略必须使用 Windows 10、Windows 11 和 Windows Server 平台。 Windows 10、Windows 11 和 Windows Server 平台的每个配置文件都可以应用于由 Intune 管理的设备以及由安全设置管理管理的设备。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Defender 更新控件 支持 支持
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
防病毒 Windows 安全体验 注释 1 支持
攻击面减少 攻击面减少规则 支持 支持
终结点检测和响应 终结点检测和响应 支持 支持
防火墙 防火墙 支持 支持
防火墙 防火墙规则 支持 支持

1 - Windows 安全体验 配置文件在 Defender 门户中可用,但仅适用于 Intune 管理的设备。 Microsoft Defender 安全设置管理管理的设备不支持它。

终结点安全策略 是独立的设置组,供专注于保护组织中的设备的安全管理员使用。 以下是支持安全设置管理的策略的说明:

  • 防病毒 策略管理 Microsoft Defender for Endpoint 中找到的安全配置。 有关终结点安全性,请参阅 防病毒 策略。

    注意

    虽然终结点不需要重启即可应用修改的设置或新策略,但我们注意到以下问题: AllowOnAccessProtectionDisableLocalAdminMerge 设置有时可能需要最终用户重启其设备才能更新这些设置。 我们目前正在调查此问题,以提供解决方案。

  • 攻击面减少 (ASR) 策略侧重于最大程度地减少组织容易受到网络威胁和攻击的位置。 借助安全设置管理,ASR 规则适用于运行 Windows 10Windows 11Windows Server 的设备

    有关哪些设置适用于不同平台和版本的当前指南,请参阅 Windows 威胁防护文档中 的 ASR 规则支持的操作系统

    提示

    若要帮助使受支持的终结点保持最新状态,请考虑使用适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案

    另请参阅:

  • 终结点检测和响应 (EDR) 策略管理 Defender for Endpoint 功能,这些功能提供近乎实时且可操作的高级攻击检测。 根据 EDR 配置,安全分析师可以有效地确定警报的优先级,深入了解整个漏洞范围,并采取响应操作来修正威胁。 有关终结点安全性,请参阅终结点 检测和响应 策略。

  • 防火墙 策略侧重于设备上的 Defender 防火墙。 有关终结点安全性,请参阅 防火墙 策略。

  • 防火墙规则 为防火墙配置精细规则,包括特定端口、协议、应用程序和网络。 有关终结点安全性,请参阅 防火墙 策略。

配置租户以支持 Defender for Endpoint 安全设置管理

若要通过 Microsoft Intune 管理中心支持安全设置管理,必须从每个控制台中启用它们之间的通信。

以下部分将指导你完成该过程。

配置 Microsoft Defender for Endpoint

在 Microsoft Defender for Endpoint 门户中,以安全管理员身份:

  1. 登录到 Microsoft Defender 门户,转到“设置终结点>配置管理>强制范围”>,并启用用于安全设置管理的平台。

    在 Microsoft Defender 门户中启用 Microsoft Defender for Endpoint 设置管理。

    注意

    如果在 Microsoft Defender for Endpoint 门户中具有“ 在安全中心管理安全设置” 权限,并且同时能够查看所有设备组中的设备, (用户权限) 没有 基于角色的访问控制 限制,也可以执行此操作。

  2. 最初,我们建议通过选择“ 在已标记的设备上”的平台“选项,然后使用 标记标记设备来测试每个平台的功能 MDE-Management

    重要

    安全设置管理目前不支持使用 Microsoft Defender for Endpoint 的动态标记功能 来标记 MDE-Management 的设备。 通过此功能标记的设备不会成功注册。 此问题仍在调查中。

    提示

    使用适当的设备标记在少量设备上测试和验证推出。 选择“ 所有设备”时,将自动注册属于所配置范围的任何设备。

  3. 配置 Microsoft Defender for Cloud 载入设备和 Configuration Manager 颁发机构设置的功能,以满足组织的需求:

    在 Microsoft Defender 门户中为终结点设置管理配置试点模式。

    提示

    若要确保 Microsoft Defender for Endpoint 门户用户跨门户拥有一致的权限(如果尚未提供),请请求 IT 管理员向他们授予 Microsoft Intune Endpoint Security Manager内置 RBAC 角色

配置 Intune

在 Microsoft Intune 管理中心中,帐户需要的权限等于 Endpoint Security Manager 内置基于角色的访问控制 (RBAC) 角色。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 终结点安全性>Microsoft Defender for Endpoint”,并将 “允许Microsoft Defender for Endpoint 强制实施终结点安全配置” 设置为 “开”。

    在 Microsoft Intune 管理中心中启用 Microsoft Defender for Endpoint 设置管理。

    将此选项设置为 “开”时,Microsoft Defender for Endpoint 平台范围中未由 Microsoft Intune 管理的所有设备都有资格加入 Microsoft Defender for Endpoint。

将设备载入到 Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 支持多种加入设备的选项。 有关当前指南,请参阅 Defender for Endpoint 文档中的加入到 Microsoft Defender for Endpoint。

与 Microsoft Configuration Manager 共存

在某些环境中,可能需要对 Configuration Manager 管理的设备使用安全设置管理。 如果同时使用这两者,则需要通过单个通道控制策略。 使用多个通道会产生冲突和意外结果。

若要支持此功能,请将 “使用 Configuration Manager 管理安全性设置” 切换为 “关闭”。 登录到 Microsoft Defender 门户,然后转到“设置终结点>>配置管理>强制范围”:

Defender 门户的屏幕截图,其中显示了“使用 Configuration Manager 管理安全性设置”开关设置为“关闭”。

创建Microsoft Entra 组

设备载入 Defender for Endpoint 后,需要创建设备组以支持部署 Microsoft Defender for Endpoint 的策略。 若要标识已注册 Microsoft Defender for Endpoint,但不由 Intune 或 Configuration Manager 管理的设备:

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>所有设备”,然后选择“ 托管者 ”列,对设备视图进行排序。

    载入到 Microsoft Defender for Endpoint 并且已注册但不由 Intune 管理的设备在“托管者”列中显示Microsoft Defender for Endpoint。 这些设备可以接收 Microsoft Defender for Endpoint 的安全管理策略。

    从 2023 年 9 月 25 日开始,无法再使用以下系统标签来标识对 Microsoft Defender for Endpoint 使用安全管理的设备:

    • MDEJoined - 一个现已弃用的标记,以前已添加到作为此方案的一部分加入目录的设备。
    • MDEManaged - 以前已添加到主动使用安全管理方案的设备的已弃用标记。 如果 Defender for Endpoint 停止管理安全配置,则会从设备中删除此标记。

    可以使用管理类型属性并将其配置为 MicrosoftSense,而不是使用系统标签。

可以在 Microsoft EntraMicrosoft Intune 管理中心内为这些设备创建组。 创建组时,如果要将策略部署到运行 Windows Server 的设备与运行客户端版本 Windows 的设备,则可以使用设备的 OS 值:

  • Windows 10 和 Windows 11 - deviceOSType 或 OS 显示为 Windows
  • Windows Server - deviceOSType 或 OS 显示为 Windows Server
  • Linux 设备 - deviceOSType 或 OS 显示为 Linux

使用规则语法的示例 Intune 动态组

Windows 工作站

适用于 Windows 工作站的 Intune 动态组的屏幕截图。

Windows Server

适用于 Windows Server 的 Intune 动态组的屏幕截图。

Linux 设备

适用于 Windows Linux 的 Intune 动态组的屏幕截图。

重要

2023 年 5 月, deviceOSType 更新为区分 Windows 客户端Windows Server

在此更改之前创建的自定义脚本和 Microsoft Entra 动态设备组 ,这些设备组指定仅引用 Windows 的规则时,与 Microsoft Defender for Endpoint 解决方案的安全管理一起使用时,可能会排除 Windows Server 。 例如:

  • 如果你有一个使用 equalsnot equals 运算符来标识 Windows 的规则,此更改将影响你的规则。 这是因为以前 WindowsWindows Server 都报告为 Windows。 若要继续包含这两者,必须更新规则以同时引用 Windows Server
  • 如果你有使用 或 like 运算符指定 Windows 的规则contains,则该规则不会受到此更改的影响。 这些运算符可以同时找到 WindowsWindows Server

提示

委派管理终结点安全设置功能的用户可能无法在 Microsoft Intune 中实现租户范围的配置。 有关组织中的角色和权限的详细信息,请咨询 Intune 管理员。

部署策略

创建一个或多个包含 Microsoft Defender for Endpoint 管理设备的 Microsoft Entra 组后,可以创建以下安全设置管理策略并将其部署到这些组。 可用的策略和配置文件因平台而异。

有关安全设置管理支持的策略和配置文件组合列表,请参阅本文前面的图表,请参阅我 应使用哪种解决方案?

提示

避免将管理相同设置的多个策略部署到设备。

Microsoft Intune 支持将每个终结点安全策略类型的多个实例部署到同一设备,设备单独接收每个策略实例。 因此,设备可能会从不同的策略接收相同设置的单独配置,这会导致冲突。 某些设置 ((如防病毒排除) )将在客户端上合并并成功应用。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “终结点安全性”,选择要配置的策略类型,然后选择“ 创建策略”。

  3. 对于策略,请选择要部署的平台和配置文件。 有关支持安全设置管理的平台和配置文件的列表,请参阅本文前面的图表,请参阅我 应使用哪种解决方案?

    注意

    支持的配置文件适用于通过移动设备管理 (MDM) 与 Microsoft Intune 通信的设备,以及使用 Microsoft Defender for Endpoint 客户端进行通信的设备。

    确保根据需要查看目标和组。

  4. 选择“创建”。

  5. 在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。

  6. “配置设置 ”页上,选择要使用此配置文件管理的设置。

    若要了解有关设置的详细信息,请展开其 信息 对话框并选择“ 了解详细信息 ”链接,以查看该设置 (云解决方案提供商) 文档或相关详细信息。

    完成配置设置后,选择“下一步”

  7. “分配” 页上,选择接收此配置文件Microsoft Entra 组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择“下一步”以继续。

    提示

    • 由安全设置管理的设备不支持分配筛选器。
    • 只有 设备对象 适用于 Microsoft Defender for Endpoint 管理。 不支持以用户为目标。
    • 配置的策略将应用于 Microsoft Intune 和 Microsoft Defender for Endpoint 客户端。
  8. 完成策略创建过程,然后在“ 查看 + 创建 ”页上,选择“ 创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

  9. 等待分配策略,并查看策略已应用的成功指示。

  10. 可以使用 Get-MpPreference 命令实用工具验证设置是否已在客户端本地应用。

监视状态

Microsoft Intune 管理中心的“终结点安全性”下的策略节点提供了此通道中面向设备的策略的状态和报告。

钻取到策略类型,然后选择策略以查看其状态。 可以在本文前面的表中查看支持安全设置管理 的平台、策略类型和配置文件的列表。

选择策略时,可以查看有关设备签入状态的信息,并且可以选择:

  • 查看报告 - 查看已接收策略的设备列表。 你可以选择要钻取的设备,并查看其按设置的状态。 然后,可以选择一个设置来查看有关它的详细信息,包括管理相同设置的其他策略,这可能是冲突的根源。

  • 按设置状态 - 查看策略管理的设置,以及每个设置的成功、错误或冲突计数。

常见问题解答和注意事项

设备签入频率

此功能管理的设备每 90 分钟使用 Microsoft Intune 签入一次以更新策略。

可以从 Microsoft Defender 门户手动同步设备。 登录到门户并转到 “设备”。 选择由 Microsoft Defender for Endpoint 管理的设备,然后选择“ 策略同步 ”按钮:

手动同步由 Microsoft Defender for Endpoint 管理的设备。

“策略同步”按钮仅显示由 Microsoft Defender for Endpoint 成功管理的设备。

受篡改防护保护的设备

如果设备已启用篡改防护,则如果不先禁用 篡改防护 ,则无法编辑防篡改设置的值。

分配筛选器和安全设置管理

通过 Microsoft Defender for Endpoint 通道进行通信的设备不支持分配筛选器。 虽然可以将分配筛选器添加到可能面向这些设备的策略,但设备会忽略分配筛选器。 对于分配筛选器支持,设备必须注册到 Microsoft Intune。

删除和删除设备

可以使用以下两种方法之一删除使用此流的设备:

  • Microsoft Intune 管理中心内,转到“设备>”“所有设备”,选择在“托管者”列中显示 MDEJoinedMDEManaged 的设备,然后选择“删除”。
  • 还可以将设备从安全中心的“配置管理”范围中删除。

从任一位置删除设备后,更改将传播到其他服务。

无法在 Endpoint Security 中为 Microsoft Defender for Endpoint 工作负载启用安全管理

虽然初始预配流可由在这两个服务中具有权限的管理员完成,但以下角色足以在每个单独的服务中完成配置:

  • 对于 Microsoft Defender,请使用安全管理员角色。
  • 对于 Microsoft Intune,请使用 Endpoint Security Manager 角色。

Microsoft已加入 Entra 的设备

已加入 Active Directory 的设备使用其 现有基础结构 来完成Microsoft Entra 混合加入过程。

不支持的安全设置

以下安全设置正在等待弃用。 Defender for Endpoint 安全设置管理流不支持以下设置:

  • 加速 终结点检测和响应) 下的遥测报告频率 (
  • 防病毒) 下的 AllowIntrusionPreventionSystem (
  • Windows 安全体验) 下的篡改防护 (。 此设置不是待弃用,但目前不受支持。

在域控制器上使用安全设置管理

由于需要Microsoft Entra ID 信任,因此目前不支持域控制器。 我们正在研究添加此支持的方法。

重要

在某些情况下,Microsoft Defender for Endpoint 可能会无意中管理运行下级服务器操作系统 (2012 R2 或 2016) 的域控制器。 为了确保这在你的环境中不会发生,我们建议确保域控制器既没有标记为“MDE-Management”,也没有由 MDE 管理。

服务器核心安装

由于服务器核心平台限制,安全设置管理不支持服务器核心安装。

PowerShell 限制模式

需要启用 Powershell。

安全设置管理不适用于配置了约束语言模式enabled的 PowerShell LanguageMode 的设备。 有关详细信息,请参阅 PowerShell 文档中的 about_Language_Modes

如果以前使用过第三方安全工具,则通过 MDE 管理安全性

如果计算机上以前有第三方安全工具,现在使用 MDE 对其进行管理,则可能对 MDE 在极少数情况下管理安全设置的能力产生一些影响。 在这种情况下,作为故障排除措施,请在计算机上卸载并重新安装最新版本的 MDE。

后续步骤