在適用於端點的 Microsoft Defender 中管理端點安全策略
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
適用於:
使用安全策略來管理裝置上的安全性設定。 身為安全性系統管理員,您可以在 Microsoft Defender 入口網站中設定安全策略設定。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
您會在 [端點設定管理>端點>安全策略] 下找到端點安全策略。
注意事項
Microsoft Defender 入口網站中的 [端點安全 策略] 頁面 (https://security.microsoft.com) 僅適用於具有所有裝置存取權並擁有 Core security settings (manage) 許可權的使用者。 任何沒有這些許可權的使用者角色,例如 Security Reader,都無法存取入口網站。 當使用者具有在 Microsoft Defender 入口網站中檢視原則的必要許可權時,數據會根據 Intune 許可權呈現。 如果使用者在 Intune 角色型訪問控制範圍內,則會套用至 Microsoft Defender 入口網站中顯示的原則清單。 建議您授與具有 Intune 內建角色「端點安全性管理員」的安全 性系統管理員,以有效調整 Intune 與 Microsoft Defender 入口網站之間的許可權層級。
下列清單提供每個端點安全策略類型的簡短描述:
防病毒軟體 - 防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。
磁碟加密 - 端點安全性磁碟加密配置檔只著重於與裝置內建加密方法相關的設定,例如 FileVault 或 BitLocker。 此焦點可讓安全性系統管理員輕鬆管理磁碟加密設定,而不需要流覽主機的不相關設定。
防火牆 - 使用 Intune 中的端點安全性防火牆原則,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。
端點偵測和回應 - 當您整合 Microsoft Defender for Endpoint 與 Intune 時,請使用端點偵測和回應 (EDR) 的端點安全策略來管理 EDR 設定,並將裝置上線以Microsoft適用於端點的 Defender。
受攻擊面縮小 - 當Microsoft Windows 10/11 裝置上使用Defender防病毒軟體時,請使用受攻擊面縮小的 Intune 端點安全策略來管理裝置的這些設定。
建立端點安全策略
至少使用安全性系統管理員角色登入 Microsoft Defender 入口網站 。
選 取 [端點設定 > 管理 > 端點安全策略] ,然後選取 [建立新原則]。
從下拉式清單中選取平臺。
選取範本,然後選取 [ 建立原則]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定] 頁面上,展開每個設定群組,並使用此配置檔設定您要管理的設定。
完成設定後,請選取 [下一步]。
在 [指派] 頁面上,選取將接收此設定檔的群組。
選取 [下一步]。
在 [ 檢閱 + 建立] 頁面上,當您完成時,選取 [ 儲存]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
注意事項
若要編輯範圍標籤,您必須移至 Microsoft Intune 系統管理中心。
編輯端點安全策略
選取新的原則,然後選取 [ 編輯]。
選取 [設定],以展開原則中的組態設定清單。 您無法修改此檢視中的設定,但可以檢閱其設定方式。
若要修改原則,請針對您要變更的每個類別選取 [編輯]:
- 基本功能
- 設定
- 作業
進行變更之後,請選取 [ 儲存 ] 以儲存您的編輯。 您必須先儲存一個類別的編輯,才能導入其他類別的編輯。
驗證端點安全策略
若要確認您已成功建立原則,請從端點安全策略清單中選取原則名稱。
注意事項
原則最多可能需要 90 分鐘的時間才能觸達裝置。 若要加速此程式,針對適用於端點的 Defender 所管理的裝置,您可以從 [動作] 選單中選取 [原則 同步 處理],以便在大約 10 分鐘內套用。
原則頁面會顯示摘要說明原則狀態的詳細數據。 您可以檢視原則的狀態、已套用原則的裝置,以及指派的群組。
在調查期間,您也可以檢視裝置頁面中的 [ 安全 策略] 索引標籤,以檢視套用至特定裝置的原則清單。 如需詳細資訊,請 參閱調查裝置。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。