使用 Intune 将 Windows 设备载入 Defender for Endpoint

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

可以使用移动设备管理 (MDM) 解决方案来配置 Windows 10 设备。 Defender for Endpoint 通过提供 OMA-URIs 来创建用于管理设备的策略，从而支持 MDM。

有关使用 Defender for Endpoint CSP 的详细信息，请参阅 WindowsAdvancedThreatProtection CSP 和 WindowsAdvancedThreatProtection DDF 文件。

开始之前

必须将设备注册到 Intune 作为移动设备管理 (MDM) 解决方案。

有关使用 Microsoft Intune 启用 MDM 的详细信息，请参阅 设备注册 (Microsoft Intune) 。

使用 Microsoft Intune 载入设备

请参阅 标识 Defender for Endpoint 体系结构和部署方法 ，了解部署 Defender for Endpoint 时的各种路径。

按照 Intune 中的说明进行操作。

有关使用 Defender for Endpoint CSP 的详细信息，请参阅 WindowsAdvancedThreatProtection CSP 和 WindowsAdvancedThreatProtection DDF 文件。

注意

• 载入设备的运行状况状态策略使用只读属性，无法修正。
• 诊断数据报告频率的配置仅适用于 Windows 10 版本 1703 上的设备。
• 加入 Defender for Endpoint 会将设备加入数据丢失 防护 (DLP) ，这也是 Microsoft 365 合规性的一部分。

运行检测测试以验证载入

载入设备后，可以选择运行检测测试，以验证设备是否已正确载入服务。 有关详细信息，请参阅 在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试。

使用移动设备管理工具的卸载设备

出于安全原因，用于卸载设备的程序包将在下载之日起 7 天后过期。 发送到设备的过期卸载包将被拒绝。 下载卸载包时，你将收到程序包到期日期的通知，并且包名称中也会包含该包。

注意

载入和卸载策略不得同时部署在同一台设备上，否则将导致不可预知的冲突。

1. 从 Microsoft Defender 门户 获取卸载包，如下所示：

   1. 在导航窗格中，选择 “设置>终结点>设备管理>卸载”。

   2. 选择 “Windows 10”或“Windows 11 ”作为操作系统。

   3. 在 “部署方法 ”字段中，选择“ 移动设备管理/Microsoft Intune”。

   4. 单击“ 下载包”，并保存 .zip 文件。

2. 将 .zip 文件的内容提取到一个共享的只读位置，将部署包的网络管理员可以访问该位置。 应有一个名为 的文件 WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding。

3. 在 Microsoft Intune 管理中心，创建自定义配置策略。

   1. 在导航窗格中，选择“ 设备>按平台>”“Windows>管理设备>配置”。
   2. 在 “策略 ”下，单击“ 创建新>策略”。
   3. 在 “创建配置文件 ”幻灯片中，选择“ Windows 10 及更高版本 ”作为 “平台 和 模板” 作为 “配置文件类型”。
   4. 在 “模板名称”下，单击“ 自定义 模板”，然后单击“ 创建”。
   5. 输入 “名称” 值，然后单击“ 下一步”。
   6. 在 “配置设置”下，单击“ 添加 ”，并使用以下 OMA-URI 设置。
      • 名称：提供名称
      • OMA-URI： ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/Offboarding
      • 日期类型：字符串
      • 值： 复制并粘贴 WindowsDefenderATP_valid_until_YYYY-MM-DD.offboarding 文件内容中的值
   7. 进行适当的组分配和适用性规则，在 “查看 + 创建 ”步骤中，单击“ 创建 ”按钮完成策略。

有关 Microsoft Intune 策略设置的详细信息，请参阅 intune Microsoft 中的 Windows 10 策略设置。

注意

卸载设备的运行状况状态策略使用只读属性，无法修正。

重要

卸载会导致设备停止向 Defender for Endpoint 发送传感器数据，但来自设备的数据（包括对其具有的任何警报的引用）将保留长达 6 个月。

相关文章

• 使用组策略载入 Windows 设备
• 使用 Microsoft Endpoint Configuration Manager 载入 Windows 设备
• 使用本地脚本载入 Windows 设备
• 载入非永久虚拟桌面基础结构 （VDI） 设备
• 在新加入的 Microsoft Defender for Endpoint 设备上运行检测测试
• 排查 Microsoft Defender for Endpoint 载入问题

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。