使用Intune终结点安全策略来管理未使用 Intune 注册的设备上的Microsoft Defender for Endpoint

将 Microsoft Intune 与 Microsoft Defender for Endpoint 集成后,可以使用 Intune 终结点安全策略来管理未使用 Intune 注册的设备上的 Defender 安全设置。 此功能称为 Defender for Endpoint 安全设置管理

通过安全设置管理管理设备时:

  • 可以使用 Microsoft Intune 管理中心Microsoft 365 Defender 门户管理 Defender for Endpoint 的Intune终结点安全策略,并将这些策略分配给Microsoft Entra ID组。 Defender 门户包括用于设备视图的用户界面、策略管理以及用于安全设置管理的报告。

    若要从 Defender 门户内管理策略,请参阅在 Defender 内容中管理Microsoft Defender for Endpoint中的终结点安全策略

  • 设备根据其 Microsoft Entra ID 设备对象获取已分配策略。 Microsoft Entra 中尚未注册的设备作为此解决方案的一部分加入。

  • 设备收到策略时,设备上的 Defender for Endpoint 组件会强制实施该策略并报告设备的状态。 设备的状态在 Microsoft Intune 管理中心和 Microsoft Defender 门户中可用。

此方案将 Microsoft Intune Endpoint Security 图面扩展到无法在 Intune 中注册的设备。 设备由 Intune 管理时,(注册到 Intune 的)设备不会处理 Defender for Endpoint 安全设置管理的策略。 相反,请使用 Intune 将 Defender for Endpoint 的策略部署到设备。

应用于:

  • Windows 10 和 Windows 11
  • Windows Server(2012 R2 和更高版本)
  • Linux
  • macOS

Microsoft Defender for Endpoint-Attach 解决方案的概念演示。

先决条件

查看以下部分,了解 Defender for Endpoint 安全设置管理方案的要求。

环境

受支持的设备载入到 Microsoft Defender for Endpoint 时:

  • 对设备进行现有 Microsoft Intune 状态调查,此状态是向 Intune 进行移动设备管理 (MDM) 注册。
  • 没有 Intune 状态的设备启用安全设置管理功能。
  • 对于未完全注册 Microsoft Entra 的设备,在允许设备检索策略的 Microsoft Entra ID 中创建综合设备标识。 完全注册的设备使用其当前注册。
  • Microsoft Defender for Endpoint 在设备上强制实施从 Microsoft Intune 检索的策略。

政府云支持

以下政府租户支持 Defender for Endpoint 安全设置管理方案:

  • 美国政府社区云 (GCC)
  • 美国政府社区高 (GCC 高)
  • 国防部 (DOD)

有关更多信息,请参阅:

连接要求

设备必须有权访问以下终结点:

  • *.dm.microsoft.com - 通配符的使用支持用于注册、签入和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。

支持的平台

以下设备平台支持用于 Microsoft Defender for Endpoint 安全管理的策略:

Linux

使用 Microsoft Defender for Endpoint for Linux 代理版本 101.23052.0009 或更高版本,安全设置管理支持以下 Linux 分发版:

  • Red Hat Enterprise Linux 7.2 或更高版本
  • CentOS 7.2 或更高版本
  • Ubuntu 16.04 LTS 或更高版本的 LTS
  • Debian 9 或更高版本
  • SUSE Linux Enterprise Server 12 或更高版本
  • Oracle Linux 7.2 或更高版本
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33 或更高版本

若要确认 Defender 代理的版本,请在 Defender 门户中转到设备页,然后在设备清单选项卡上,搜索 Defender for Linux。 有关更新代理版本的指南,请参阅在 Linux 上为 Microsoft Defender for Endpoint 部署更新

已知问题:对于 Defender 代理版本 101.23052.0009,Linux 设备在缺少以下文件路径时无法注册:/sys/class/dmi/id/board_vendor

已知问题:当 Linux 设备执行综合注册时,设备条目 ID (以前称为设备 AAD ID) 在 Defender 门户中不可见。 可以从Intune或Microsoft Entra门户查看此信息。 管理员仍然可以以这种方式使用策略管理设备。

macOS

使用 Microsoft Defender for Endpoint for macOS 代理版本 101.23052.0004 或更高版本,安全设置管理支持以下 macOS 版本:

  • macOS 14 (Sonoma)
  • macOS 13 (Ventura)
  • macOS 12 (Monterey)
  • macOS 11 (Big Sur)

若要确认 Defender 代理的版本,请在 Defender 门户中转到设备页,然后在设备清单选项卡上,搜索 Defender for macOS。 有关更新代理版本的指南,请参阅 在 macOS 上为 Microsoft Defender for Endpoint 部署更新

已知问题:对于 Defender 代理版本 101.23052.0004,在使用安全设置管理注册之前 Microsoft Entra ID 中注册的 macOS 设备会收到 Microsoft Entra ID 中的重复设备 ID,这是一种综合注册。 为目标策略创建 Microsoft Entra 组时,必须使用安全设置管理创建的综合设备 ID。 在 Microsoft Entra ID 中,综合设备 ID 的联接类型列为空。

已知问题:当 macOS 设备执行综合注册时,设备条目 ID (以前称为设备 AAD ID) 在 Defender 门户中不可见。 可以从Intune或Microsoft Entra门户查看此信息。 管理员仍然可以以这种方式使用策略管理设备。

Windows

安全设置管理不适用于以下设备,也不支持以下设备:

  • Windows Server Core 2016 及更早版本
  • 非持久性桌面,例如虚拟桌面基础结构 (VDI) 客户端
  • Azure 虚拟桌面 (AVD,以前是 Windows 虚拟桌面、WVD)
  • 32 位版本的 Windows

许可和订阅

若要使用安全设置管理,需要:

  • 为 Microsoft Defender for Endpoint(如 Microsoft 365)授予许可证的订阅,或仅为 Microsoft Defender for Endpoint 授予独立许可证的订阅。 授予 Microsoft Defender for Endpoint 许可证的订阅还授予租户访问 Microsoft Intune 管理中心的终结点安全节点的权限。

    注意

    例外:如果只能通过 Microsoft Defender for servers(Microsoft Defender for Cloud 的一部分,以前是 Azure 安全中心)访问 Microsoft Defender for Endpoint,则安全设置管理功能不可用。 需要至少有一个 Microsoft Defender for Endpoint(用户)订阅许可证处于活动状态。

    可以在终结点安全节点中配置和部署策略,以管理设备的 Microsoft Defender for Endpoint 并监视设备状态。

    有关选项的当前信息,请参阅 Microsoft Defender for Endpoint 的最低要求

基于角色的访问控制(RBAC)

有关在Intune管理中心内向管理Intune终结点安全策略的管理员分配适当级别的权限和权限的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

体系结构

下图是 Microsoft Defender for Endpoint 安全配置管理解决方案的概念表示。

Microsoft Defender for Endpoint 安全配置管理解决方案的概念图

  1. 设备载入到 Microsoft Defender for Endpoint。
  2. 设备与 Intune 通信。 此通信使 Microsoft Intune 能够在设备签入时分配针对设备的策略。
  3. 为 Microsoft Entra ID 中每个设备建立注册:
    • 如果设备以前已完全注册,例如混合联接设备,则使用现有注册。
    • 对于未注册的设备,在 Microsoft Entra ID 中创建综合设备标识,使设备能够检索策略。 当带有综合注册的设备具有为其创建的完全 Microsoft Entra 注册时,将删除综合注册,并且设备管理通过使用完全注册不间断继续。
  4. Defender for Endpoint 将策略的状态报告回 Microsoft Intune。

重要

安全设置管理对未在 Microsoft Entra ID 中完全注册的设备使用综合注册,并删除了 Microsoft Entra 混合联接先决条件。 通过此更改,以前出现注册错误的 Windows 设备将开始载入到 Defender,然后接收和处理安全设置管理策略。

若要筛选因不符合 Microsoft Entra 混合联接先决条件而无法注册的设备,请导航到 Microsoft Defender 门户中的设备列表,并按注册状态进行筛选。 由于这些设备未完全注册,因此其设备属性会显示 MDM = Intune联接类型 = 空白。 这些设备现在将使用综合注册进行安全设置管理注册。

注册后,这些设备将显示在 Microsoft Defender、Microsoft Intune 和 Microsoft Entra 门户的设备列表中。 虽然设备不会完全注册到 Microsoft Entra,但其综合注册计为一个设备对象。

Microsoft Defender 门户中的预期内容

可以使用Microsoft Defender for Endpoint设备清单,通过查看“托管者”列中的设备状态,确认设备正在使用 Defender for Endpoint 中的安全设置管理功能。 设备侧面板或设备页上也提供了管理者信息。 管理者应始终如一地指示其由 MDE 管理。 

还可以通过确认设备侧面板或设备页将 MDE 注册状态显示为成功来确认设备已成功注册安全设置管理

Microsoft Defender 门户中设备页上的设备安全设置管理注册状态的屏幕截图。

如果 MDE 注册状态未显示成功,请确保查看的设备已更新并处于安全设置管理范围内。 (配置安全设置管理时,在“强制”范围页上配置范围。)

Microsoft Intune 管理中心中的预期内容

在 Microsoft Intune 管理中心,转到“所有设备”页。 已注册安全设置管理的设备显示在此处,如在 Defender 门户中显示一样。 在管理中心,设备“管理者”字段应显示 MDE。

Intune 管理中心中设备页的屏幕截图,其中突出显示了设备的“管理者”状态。

提示

2023 年 6 月,安全设置管理开始对未在 Microsoft Entra 中完全注册的设备使用综合注册。 通过此更改,以前出现注册错误的设备将开始载入到 Defender,然后接收和处理安全设置管理策略。

Microsoft Azure 门户中的预期内容

在 Microsoft Azure 门户中的所有设备页上,可以查看设备详细信息。

Microsoft Azure 门户中“所有设备”页的屏幕截图,其中突出显示了示例设备。

为了确保在 Defender for Endpoint 安全设置管理中注册的所有设备都会收到策略,我们建议根据设备的 OS 类型创建动态 Microsoft Entra 组。 使用动态组时,由 Defender for Endpoint 管理的设备会自动添加到组中,而无需管理员执行其他任务,例如创建新策略。

重要

从 2023 年 7 月到 2023 年 9 月 25 日,安全设置管理运行了一个选择加入公共预览版,该预览版为已管理并注册到该方案的设备引入了新行为。 从 2023 年 9 月 25 日开始,公共预览版行为正式发布,现在适用于所有使用安全设置管理的租户。

如果在 2023 年 9 月 25 日之前使用过安全设置管理,但未加入从 2023 年 7 月到 2023 年 9 月 25 日运行的选择加入公共预览版,请查看依赖系统标签进行更改的 Microsoft Entra 组,以识别使用安全设置管理进行管理的新设备。 这是因为在 2023 年 9 月 25 日之前,未通过选择加入公共预览版管理的设备将使用以下 MDEManagedMDEJoined 系统标签(标记)来识别受管理设备。 这两个系统标签不再受支持,且不再添加到注册的设备。

对动态组使用以下指南:

  • (建议)面向策略时,请通过使用 deviceOSType 属性(Windows、Windows Server、macOS、Linux)使用基于设备平台的动态组,以确保继续为更改管理类型的设备提供策略,例如在 MDM 注册期间。

  • 如有必要,通过使用 managementType 属性 MicrosoftSense 定义动态组,可以针对包含 Defender for Endpoint 管理的独占设备的动态组。 使用此属性针对 Defender for Endpoint 通过安全设置管理功能管理的所有设备,并且设备仅在由 Defender for Endpoint 管理时保留在此组中。

此外,在配置安全设置管理时,如果打算使用 Microsoft Defender for Endpoint 管理整个 OS 平台群,请在 Microsoft Defender for Endpoint 强制范围页中选择所有设备而非已标记设备,请注意任何综合注册都计入 Microsoft Entra ID 配额,与完全注册相同。

应使用哪种解决方案?

Microsoft Intune 包括多种方法和策略类型,用于管理设备上 Defender for Endpoint 的配置。 下表标识了支持部署到由 Defender for Endpoint 安全设置管理进行管理的设备的 Intune 策略和配置文件,并有助于确定此解决方案是否适合你的需求。

部署 Defender for Endpoint 安全设置管理Microsoft Intune 都支持的终结点安全策略时,可以通过以下方法处理该策略的单个实例:

  • 通过安全设置管理 (Microsoft Defender) 支持的设备
  • 由 Intune 或 Configuration Manager 管理的设备。

由安全设置管理管理的设备不支持 Windows 10 及更高版本平台的配置文件。

每种设备类型支持以下配置文件:

Linux

以下策略类型支持 Linux 平台。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
终结点检测和响应 终结点检测和响应 支持 支持

macOS

以下策略类型支持 macOS 平台。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
终结点检测和响应 终结点检测和响应 支持 支持

Windows

若要支持与Microsoft Defender安全设置管理配合使用,适用于 Windows 设备的策略必须使用 Windows 平台。 Windows 平台的每个配置文件都可以应用于由Intune管理的设备和由安全设置管理管理的设备。

终结点安全策略 配置文件 Defender for Endpoint 安全设置管理 Microsoft Intune
防病毒 Defender 更新控件 支持 支持
防病毒 Microsoft Defender 防病毒 支持 支持
防病毒 Microsoft Defender 防病毒软件排除 支持 支持
防病毒 Windows 安全体验 备注 1 支持
攻击面减少 攻击面减少规则 支持 支持
攻击面减少 设备控制 备注 1 支持
终结点检测和响应 终结点检测和响应 支持 支持
防火墙 防火墙 支持 支持
防火墙 防火墙规则 支持 支持

1 - 此配置文件在 Defender 门户中可见,但不支持仅通过Microsoft Defender安全设置管理方案Microsoft Defender管理的设备。 此配置文件仅支持由 Intune 管理的设备。

每个Intune终结点安全配置文件都是一组独立的设置,供专注于保护组织中的设备的安全管理员使用。 以下是安全设置管理方案支持的配置文件的说明:

  • 防病毒策略管理在 Microsoft Defender for Endpoint 中找到的安全配置。

    注意

    虽然终结点不需要重启即可应用已修改设置或新策略,但我们注意到以下问题:AllowOnAccessProtectionDisableLocalAdminMerge 设置有时可能需要最终用户重启其设备才能更新这些设置。 我们目前正在调查此问题,以提供解决方法。

  • 攻击面减少 (ASR) 策略侧重于最大程度地减少组织容易受到网络威胁和攻击的位置。 借助安全设置管理,ASR 规则适用于运行 Windows 10Windows 11Windows Server 的设备。

    有关哪些设置适用于不同平台和版本的当前指南,请参阅 Windows 威胁防护文档中的 ASR 规则支持的操作系统

    提示

    若要帮助受支持的终结点保持最新状态,请考虑使用适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案

    另请参阅:

  • 终结点检测和响应 (EDR) 策略管理 Defender for Endpoint 功能,这些功能提供近乎实时且可操作的高级攻击检测。 基于 EDR 配置,安全分析员可以有效地确定警报的优先级,了解整个泄露范围,并采取响应措施来修正威胁。

  • 防火墙 策略侧重于设备上的 Defender 防火墙。

  • 防火墙规则防火墙 策略的一种配置文件,其组成是防火墙的精细规则,包括特定端口、协议、应用程序和网络。

配置租户以支持 Defender for Endpoint 安全设置管理

若要通过 Microsoft Intune 管理中心支持安全设置管理,必须从每个控制台中启用它们之间的通信。

以下几节指导你完成该过程。

配置 Microsoft Defender for Endpoint

在Microsoft Defender门户中,以安全管理员身份:

  1. 登录到 Microsoft Defender 门户,转到“设置终结点>配置管理>强制范围”>,并启用平台进行安全设置管理。

    在 Microsoft Defender 门户中启用 Microsoft Defender for Endpoint 设置管理。

    注意

    如果在Microsoft Defender门户中具有“在安全中心管理安全设置”权限,并且同时允许从所有设备查看设备,组 (用户权限) 没有基于角色的访问控制限制,则还可以执行此操作。

  2. 最初,我们建议通过选择在已标记设备上的平台选项,然后使用MDE-Management标记标记设备来测试每个平台的功能。

    重要

    安全设置管理目前不支持使用 Microsoft Defender for Endpoint 的动态标记功能来标记带 MDE-Management 的设备。 通过此功能标记的设备不会成功注册。 此问题仍在调查中。

    提示

    使用适当的设备标记在少量设备上测试和验证推出。

    部署到所有设备组时,将自动注册属于配置范围的任何设备。

    虽然大多数设备在几分钟内完成注册并应用已分配策略,但设备有时可能需要长达 24 小时才能完成注册。

  3. 配置 Microsoft Defender for Cloud 载入设备和 Configuration Manager 颁发机构设置的功能,以满足组织的需求:

    在 Microsoft Defender 门户中为终结点设置管理配置试点模式。

    提示

    若要确保Microsoft Defender门户用户跨门户拥有一致的权限(如果尚未提供),请请求 IT 管理员向他们授予Microsoft Intune Endpoint Security Manager内置 RBAC 角色

配置 Intune

在 Microsoft Intune 管理中心中,帐户需要的权限等于 Endpoint Security Manager 内置基于角色的访问控制 (RBAC) 角色。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择终结点安全>Microsoft Defender for Endpoint,并将允许 Microsoft Defender for Endpoint 强制实施终结点安全配置设置为

    在 Microsoft Intune 管理中心中启用 Microsoft Defender for Endpoint 设置管理。

    将此选项设置为时,Microsoft Defender for Endpoint 平台范围中未由 Microsoft Intune 管理的所有设备都有资格载入到 Microsoft Defender for Endpoint。

将设备载入到 Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 支持多种载入设备的选项。 有关当前指南,请参阅 Defender for Endpoint 文档中的载入到 Microsoft Defender for Endpoint

与 Microsoft Configuration Manager 共存

在某些环境中,可能需要对 Configuration Manager 管理的设备使用安全设置管理。 如果两者都使用,则需要通过单个频道控制策略。 使用多个频道会产生冲突和意外结果。

若要支持此功能,请将使用 Configuration Manager 管理安全设置开关配置为。 登录到 Microsoft Defender 门户,然后转到设置>终结点>配置管理>强制范围

Defender 门户的屏幕截图,其中显示了“使用 Configuration Manager 管理安全设置”开关设置为“关”。

创建 Microsoft Entra 组

设备载入到 Defender for Endpoint 后,需要创建设备组以支持部署 Microsoft Defender for Endpoint 的策略。 若要标识已注册 Microsoft Defender for Endpoint,但不由 Intune 或 Configuration Manager 管理的设备:

  1. 登录到 Microsoft Intune 管理中心

  2. 转到设备>所有设备,然后选择管理者列,对设备视图进行排序。

    载入到 Microsoft Defender for Endpoint 并且已注册但不由 Intune 管理的设备在管理者列中显示 Microsoft Defender for Endpoint。 这些设备可以接收 Microsoft Defender for Endpoint 的安全管理策略。

    从 2023 年 9 月 25 日开始,无法再使用以下系统标签来标识对 Microsoft Defender for Endpoint 使用安全管理的设备:

    • MDEJoined - 以前已添加到作为此方案一部分加入目录的设备的已弃用标记。
    • MDEManaged - 以前已添加到主动使用安全管理方案的设备的已弃用标记。 如果 Defender for Endpoint 停止管理安全配置,则会从设备中删除此标记。

    可以使用管理类型属性并将其配置为 MicrosoftSense,而不是使用系统标签。

可以在 Microsoft Entra 中从 Microsoft Intune 管理中心内为这些设备创建组。 创建组时,如果要将策略部署到运行 Windows Server 的设备与运行客户端版本 Windows 的设备,则可以使用设备的 OS 值:

  • Windows 10 和 Windows 11 - deviceOSType 或 OS 显示为 Windows
  • Windows Server - deviceOSType 或 OS 显示为 Windows Server
  • Linux 设备 - deviceOSType 或 OS 显示为 Linux

使用规则语法的示例 Intune 动态组

Windows 工作站

适用于 Windows 工作站的 Intune 动态组的屏幕截图。

Windows Server

适用于 Windows Server 的 Intune 动态组的屏幕截图。

Linux 设备

适用于 Windows Linux 的 Intune 动态组的屏幕截图。

重要

2023 年 5 月,deviceOSType 更新为区分 Windows 客户端Windows Server

在此更改之前创建且指定仅引用 Windows 的规则的自定义脚本和 Microsoft Entra 动态设备组,与 Microsoft Defender for Endpoint 解决方案的安全管理一起使用时,可能会排除 Windows Server。 例如:

  • 如果你有使用 equalsnot equals 运算符来标识 Windows 的规则,此更改将影响你的规则。 这是因为以前 WindowsWindows Server 都报告为 Windows。 若要继续包含这两者,必须更新规则以同时引用 Windows Server
  • 如果你有使用 containslike 运算符来指定 Windows 的规则,则该规则不会受此更改影响。 这些运算符可以同时查找 WindowsWindows Server

提示

委派管理终结点安全设置功能的用户可能无法在 Microsoft Intune 中实施租户范围的配置。 有关组织中角色和权限的详细信息,请咨询 Intune 管理员。

部署策略

创建一个或多个包含 Microsoft Defender for Endpoint 管理的设备的 Microsoft Entra 组后,可以创建以下安全设置管理策略并将其部署到这些组。 可用的策略和配置文件因平台而异。

有关安全设置管理支持的策略和配置文件组合列表,请参阅本文中 应使用的解决方案中的图表。

提示

避免将管理相同设置的多个策略部署到设备。

Microsoft Intune 支持将每个终结点安全策略类型的多个实例部署到同一设备,且设备单独接收每个策略实例。 因此,设备可能会从不同策略接收相同设置的单独配置,这会导致冲突。 某些设置(如防病毒排除)将在客户端上合并并成功应用。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到终结点安全,选择要配置的策略类型,然后选择创建策略

  3. 对于策略,请选择要部署的平台和配置文件。 有关支持安全设置管理的平台和配置文件的列表,请参阅本文前面应使用哪种解决方案?中的图表。

    注意

    支持的配置文件适用于通过移动设备管理 (MDM) 与 Microsoft Intune 通信的设备,以及使用 Microsoft Defender for Endpoint 客户端进行通信的设备。

    确保根据需要查看目标和组。

  4. 选择“创建”。

  5. 在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。

  6. 配置设置页上,选择要使用此配置文件管理的设置。

    若要了解有关设置的详细信息,请展开其信息对话框并选择了解详细信息链接,以查看该设置的联机配置服务提供程序 (CSP) 文档或相关详细信息。

    完成配置设置后,选择“下一步”

  7. 分配页上,选择接收此配置文件的 Microsoft Entra 组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择“下一步”以继续。

    提示

    • 由安全设置管理进行管理的设备不支持分配筛选器。
    • 只有设备对象适用于 Microsoft Defender for Endpoint 管理。 不支持以用户为目标。
    • 配置的策略将应用于 Microsoft Intune 和 Microsoft Defender for Endpoint 客户端。
  8. 完成策略创建过程,然后在查看 + 创建页上选择创建。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

  9. 等待分配策略,并查看策略已应用的成功指示。

  10. 可以使用 Get-MpPreference 命令实用工具验证是否已在客户端本地应用设置。

监视状态

Microsoft Intune 管理中心的“终结点安全”下的策略节点提供了此频道中面向设备的策略的状态和报告。

深入了解策略类型,然后选择策略以查看其状态。 可以在本文前面应使用哪种解决方案的表中查看支持安全设置管理的平台、策略类型和配置文件的列表。

选择策略时,可以查看有关设备签入状态的信息,并且可以选择:

  • 查看报告 - 查看已接收策略的设备列表。 你可以选择设备深入了解,并查看其按设置状态。 然后,可以选择一个设置来查看其详细信息,包括管理相同设置的其他策略,这可能是冲突来源。

  • 按设置状态 - 查看策略管理的设置,以及每个设置的成功、错误或冲突计数。

常见问题和注意事项

设备签入频率

此功能管理的设备每 90 分钟使用 Microsoft Intune 签入一次以更新策略。

可以从 Microsoft Defender 门户手动同步设备随选。 登录到门户并转到设备。 选择由 Microsoft Defender for Endpoint 管理的设备,然后选择策略同步按钮:

手动同步 Microsoft Defender for Endpoint 管理的设备。

仅由 Microsoft Defender for Endpoint 成功管理的设备显示“策略同步”按钮。

受篡改保护的设备

如果设备已启用篡改防护,则如果不先禁用篡改保护,则无法编辑防 篡改设置 的值。

分配筛选器和安全设置管理

通过 Microsoft Defender for Endpoint 频道进行通信的设备不支持分配筛选器。 虽然可以将分配筛选器添加到可能面向这些设备的策略,但设备会忽略分配筛选器。 对于分配筛选器支持,设备必须注册到 Microsoft Intune。

删除设备

可以使用以下两种方法之一删除使用此流的设备:

  • Microsoft Intune 管理中心内,转到设备>所有设备,选择在管理者列中显示 MDEJoinedMDEManaged 的设备,然后选择删除
  • 还可以将设备从安全中心的“配置管理”范围中删除。

从任一位置删除设备后,更改将传播到其他服务。

无法在终结点安全中为 Microsoft Defender for Endpoint 工作负载启用安全管理

虽然初始预配流可由在这两个服务中具有权限的管理员完成,但以下角色足以在每个单独服务中完成配置:

  • 对于 Microsoft Defender,请使用安全管理员角色。
  • 对于 Microsoft Intune,请使用 Endpoint Security Manager 角色。

已加入 Microsoft Entra 的设备

已加入 Active Directory 的设备使用其现有基础结构来完成 Microsoft Entra 混合加入过程。

不支持的安全设置

以下安全设置正在等待弃用。 Defender for Endpoint 安全设置管理流不支持以下设置:

  • 加速遥测报告频率(终结点检测和响应下)
  • AllowIntrusionPreventionSystem(防病毒下)
  • 篡改防护(Windows 安全体验下)。 此设置不在等待弃用,但目前不受支持。

在域控制器上使用安全设置管理

目前为预览版,域控制器现在支持安全设置管理。 若要管理域控制器上的安全设置,必须在强制范围页中启用它, (转到 设置>终结点强制范围) 。 必须先启用 Windows Server 设备,然后才能启用域控制器的配置。 此外,如果为 Windows Server 选择了 “在已标记的设备上 ”选项,则域控制器的配置也仅限于已标记的设备。

警告

  • 域控制器的错误配置可能会对安全状况和操作连续性产生负面影响。
  • 如果在租户中启用了域控制器配置,请确保查看所有 Windows 策略,以确保不会无意中将Microsoft Entra包含域控制器的设备组为目标。 为了最大程度地降低工作效率风险,域控制器上不支持防火墙策略。
  • 建议在取消注册这些设备之前查看针对域控制器的所有策略。 首先进行任何所需的配置,然后取消注册域控制器。 取消注册设备后,将在每个设备上维护 Defender for Endpoint 配置。

PowerShell 限制模式

需要启用 PowerShell。

安全设置管理不适用于拥有配置了 ConstrainedLanguage 模式enabled的 PowerShell LanguageMode 的设备。 有关详细信息,请参阅 PowerShell 文档中的 about_Language_Modes

如果以前使用过第三方安全工具,则通过 Defender for Endpoint 管理安全性

如果以前计算机上有第三方安全工具,现在使用 Defender for Endpoint 对其进行管理,那么在极少数情况下,可能会对 Defender for Endpoint 管理安全设置的能力产生一些影响。 在这种情况下,作为故障排除措施,请在计算机上卸载并重新安装最新版本的 Defender for Endpoint。

后续步骤