使用 Intune 管理Microsoft Defender for Endpoint

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

我们建议使用Microsoft Intune来管理组织的设备威胁防护功能, (也称为终结点) 。 本文介绍如何在Intune中查找Microsoft Defender for Endpoint设置,并列出了可以执行的各种任务。

在 Intune 中查找Microsoft Defender for Endpoint设置

重要

必须在 Intune 中分配全局管理员或服务管理员角色才能配置本文中所述的设置。 若要了解详细信息,请参阅 (Intune) 的管理员类型

  1. 转到Azure 门户 (https://portal.azure.com) 并登录。

  2. “Azure 服务”下,选择“Intune”。

  3. 在左侧导航窗格中,选择“ 设备配置”,然后在 “管理”下,选择“ 配置文件”。

  4. 选择现有配置文件,或创建一个新配置文件。

使用 Intune 配置Microsoft Defender for Endpoint

下表列出了可以通过Intune配置Microsoft Defender for Endpoint执行的各种任务。 无需一次性配置所有内容;选择一个任务,读取相应的资源,然后继续。

任务 了解详细信息的资源
使用Intune管理组织的设备,以保护这些设备及其上存储的数据 使用 Microsoft Intune 保护设备
将Microsoft Defender for Endpoint与Intune集成为移动威胁防御解决方案
适用于运行Windows 10或Windows 11) 的 Android 设备和设备的 (
使用 Intune 中的条件访问强制执行 Microsoft Defender for Endpoint 的合规性
使用条件访问 来控制可以连接到电子邮件和公司资源的设备和应用 在 Microsoft Defender for Endpoint 中配置条件访问
使用策略配置服务提供程序 (策略 CSP) 配置Microsoft Defender防病毒设置 设备限制:Microsoft Defender防病毒

策略 CSP - Microsoft Defender for Endpoint
如有必要,请指定Microsoft Defender防病毒的排除项

通常,不需要应用排除项。 Microsoft Defender防病毒包括许多基于已知操作系统行为和典型管理文件(例如企业管理、数据库管理和其他企业方案中使用的文件)的自动排除项。
针对运行当前受支持的 Windows 版本的企业计算机的病毒扫描建议

设备限制:Microsoft Defender Windows 10和Windows 11设备的防病毒排除项

在 Windows Server 2016、2019 或 2022 上配置Microsoft Defender防病毒排除项
配置攻击面减少规则 ,以针对攻击者经常滥用的软件行为

首先 (在 审核模式下 配置攻击面减少规则,为期至少一周,) 最多两个月。 可以使用 Power BI 监视状态 (获取模板) ,然后在准备就绪时将这些规则设置为活动模式。
Microsoft Defender for Endpoint 中的审核模式

终结点防护:攻击面减少

详细了解攻击面减少规则

技术社区博客文章:揭秘攻击面减少规则 - 第 1 部分
配置网络筛选 以阻止从任何应用到信誉较低的 IP 地址或域的出站连接

网络筛选也称为 网络保护

确保Windows 10和Windows 11设备已安装最新的反恶意软件平台更新
终结点保护:网络筛选

查看 Windows 事件查看器中的网络保护事件
配置受控文件夹访问 以防范勒索软件

受控文件夹访问 也称为反拉索mware保护。
终结点保护:受控的文件夹访问

在 Intune 中启用受控文件夹访问
配置攻击防护 以保护组织的设备免受使用攻击来传播和感染其他设备的恶意软件的侵害

攻击防护 也称为 Exploit Guard。
终结点保护:Microsoft Defender攻击防护

在 Intune 中启用攻击防护
配置 Microsoft Defender SmartScreen 以防范 Internet 上的恶意站点和文件。

应在组织的设备上安装 Microsoft Edge。 若要在 Google Chrome 和 FireFox 浏览器上提供保护,请配置 exploit Protection。
Microsoft Defender SmartScreen

设备限制:Microsoft Defender SmartScreen

用于在 Intune 中管理 SmartScreen 的策略设置
配置Microsoft Defender防火墙以阻止流入或流出组织的设备的未经授权的网络流量 终结点保护:Microsoft Defender防火墙

具有高级安全性的Microsoft Defender防火墙
配置加密和 BitLocker 以保护组织运行 Windows 的设备上的信息 终结点保护:Windows 加密

适用于Windows 10和Windows 11设备的 BitLocker
配置 Microsoft Defender Credential Guard 以防止凭据盗窃攻击 有关Windows 10、Windows 11、Windows Server 2016和 Windows Server 2019 和 Windows Server 2022,请参阅终结点保护:Microsoft Defender Credential Guard

对于 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows 8.1和Windows Server 2012 R2,请参阅缓解哈希传递 (PtH) 攻击和其他凭据盗窃,版本 1 和 2
配置Microsoft Defender应用程序控制以选择是审核还是信任组织设备上的应用

Microsoft Defender应用程序控制也称为 AppLocker
使用 Microsoft Intune 部署Microsoft Defender应用程序控制策略

终结点保护:Microsoft Defender应用程序控制

AppLocker CSP
配置设备控制和 USB 外围设备访问 ,以帮助防止未经授权的外围设备中的威胁危及设备 使用 Microsoft Defender for Endpoint 和 Intune 控制 USB 设备和其他可移动媒体

配置Microsoft 365 Defender门户

如果尚未执行此操作,请配置Microsoft 365 Defender门户以查看警报、配置威胁防护功能以及查看有关组织整体安全状况的详细信息。 请参阅Microsoft 365 Defender。 还可以配置最终用户是否可以在Microsoft 365 Defender门户中看到以及哪些功能。

后续步骤