在 Intune 中設定適用於端點的 Microsoft Defender

使用本文中的資訊和程式來設定 Microsoft Defender for Endpoint 與 Intune 的整合。 設定包含下列一般步驟：

• 在 Intune 和適用於端點的 Microsoft Defender 之間建立服務對服務連線。 此連線可讓適用於端點的 Microsoft Defender 從您以 Intune 管理的支援裝置收集機器風險的資料。 請參閱搭配 Intune 使用適用於端點Microsoft Defender 的 必要條件 。
• 使用 Intune 原則以適用於端點Microsoft Defender 將裝置上線。 您將裝置上線，以設定裝置以與適用於端點的 Microsoft Defender 通訊，並提供資料來協助評估其風險層級。
• 使用 Intune 裝置合規性原則來設定您想要允許的風險層級。 Microsoft適用於端點的 Defender 會報告裝置風險層級。 超過允許風險層級的裝置會識別為不符合規範。
• 使用條件式存取原則以禁止使用者從不符合規範的裝置存取公司資源。
• 使用 Android 和 iOS/iPadOS 的應用程式保護原則來設定裝置風險層級。 應用程式保護原則可與已註冊和未註冊的裝置一起使用。

除了在使用 Intune 註冊的裝置上管理適用於端點的 Microsoft Defender 設定之外，您還可以在未向 Intune 註冊的裝置上管理適用於端點的 Defender 安全性設定。 此案例稱為 適用於 Microsoft Defender for Endpoint 的安全性管理 ，需要設定 [允許Microsoft Defender for Endpoint 強制執行端點安全性 設定] 切換為 [ 開啟]。 如需詳細資訊，請參閱 MDE 安全性組態管理。

重要事項

Microsoft 2024 年 12 月 31 日，Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。

將適用於端點Microsoft Defender 連線到 Intune

您採取的第一個步驟是設定 Intune 與 Microsoft Defender for Endpoint 之間的服務對服務連線。 設定需要對 Microsoft Defender 資訊安全中心和 Intune 的系統管理存取權。

您只需要為每個租用戶啟用 Microsoft Defender for Endpoint 一次。

啟用適用於端點的 Microsoft Defender

在 security.microsoft.com 開啟適用於端點的 Microsoft Defender 入口網站。 Intune 系統管理中心也包含適用於端點的Defender入口網站的連結。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [端點安全>性Microsoft適用於端點的 Defender]，然後選取 [ 開啟 Microsoft Defender 資訊安全中心]。

   提示

   在 Intune 系統管理中心，如果 [適用於端點的 Microsoft Defender] 頁面頂端的 [ 連線狀態 ] 已設定為 [ 已啟用]，則與 Intune 的連線已在使用中，且系統管理中心會顯示連結的不同 UI 文字。 在此事件中，選取 [開啟適用於端點的 Microsoft Defender 管理控制台 ] 以開啟適用於入口網站的 Microsoft Defender。 然後，您可以使用下列步驟中的指引來確認 Microsoft Intune 連線 已設定為 [開啟]。

   

3. 在 Microsoft Defender 入口網站中， (先前 的 Microsoft Defender 資訊安全中心) ：

   1. 選取 [>設定端點進階>功能]。

   2. 針對 [Microsoft Intune 連線]，選擇 [ 開啟]：

      

   3. 選取 [儲存喜好設定]。

   注意事項

   建立連線之後，服務應該 至少 每隔 24 小時同步一次。 在 Microsoft Intune 系統管理中心設定連線被視為沒有回應之前，沒有同步處理的天數。 選取 [端點安全>性Microsoft適用於端點>的Defender的天數，直到合作夥伴沒有響應為止

4. 返回 Microsoft Microsoft Intune 系統管理中心的 [ 適用於端點 的 Defender] 頁面。

   1. 若要搭配 合規性政策使用適用於端點的 Defender，請針對您支援的平臺，在 [合規性原則評估 ] 下設定下列專案：

      • 將 [連線 Android 裝置 ] 設定為 [Microsoft適用於端點的 Defender 設定為 [開啟]
      • 將 [連線 iOS/iPadOS 裝置 ] 設定為 [Microsoft適用於端點的 Defender 設定為 [開啟]
      • 將 [將 Windows 裝置連線 至 Microsoft Defender for Endpoint] 設定為 [ 開啟]

      當這些設定為 [開啟] 時，您使用 Intune 管理的適用裝置，以及您未來註冊的裝置，都會連線到適用於端點的 Microsoft Defender 以符合規範。

      針對 iOS 裝置，適用於端點的 Defender 也支援下列設定，以協助提供適用於 iOS Microsoft Defender 上的應用程式弱點評量。 如需使用下列兩個設定的詳細資訊，請參閱設定 應用程式的弱點評估。

      • 啟用 iOS 裝置的應用程式同步處理：設定為 [開啟 ] 可讓適用於端點的 Defender 向 Intune 要求 iOS 應用程式的元數據，以供威脅分析之用。 iOS 裝置必須已註冊 MDM，並在裝置簽入期間提供更新的應用程式數據。

      • 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據：此設定可控制當適用於端點的 Defender 同步處理應用程式資料並要求應用程式清查清單時，Intune 與適用於端點的 Defender 共用的應用程式清查數據。

        當設定為 [開啟] 時，適用於端點的Defender可以向Intune要求個人擁有iOS/iPadOS裝置的應用程式清單。 此清單包含透過 Intune 部署的非受控應用程式和應用程式。

        當設定為 [關閉] 時，不會提供 Unmanaged 應用程式的相關數據。 Intune 會共用透過 Intune 部署之應用程式的數據。

      如需詳細資訊，請參閱 Mobile Threat Defense 切換選項。

   2. 若要使用適用於端點的 Defender 搭配適用於 Android 和 iOS/iPadOS 的 應用程式保護 原則，請針對您使用的平臺，在 [ 應用程式保護原則評估 ] 下設定下列專案：

      • 將 [連線 Android 裝置] 設定為 [Microsoft 適用於端點的 Defender] 設定為 [ 開啟]。
      • 將 [連線 iOS/iPadOS 裝置] 設定為 [Microsoft適用於端點的 Defender ] 設定為 [ 開啟]。

   若要設定整合Microsoft適用於端點的Defender以進行合規性和應用程式保護原則評估，您必須具備在Intune中包含Mobile Threat Defense 許可權的讀取和修改角色。 Intune 的 端點安全性管理員 內建系統管理員角色包含這些許可權。 如需 MDM 合規性原則設定和應用程式防護原則設定的詳細資訊，請參閱 Mobile Threat Defense 切換選項。

5. 選取 [儲存]。

提示

自 2023 年 8 月 Intune 服務發行 (2308) 起，已不再為適用於端點的 Microsoft Defender 連接器建立傳統條件式存取 (CA) 原則。 如果您的租使用者有先前為與適用於端點的 Microsoft Defender 整合而建立的傳統 CA 原則，則可以將其刪除。 若要檢視傳統條件式存取原則，請在 Azure 中移至Microsoft內部標識>符條件式存取>傳統原則。

將裝置上線

當您在 Intune 中啟用適用於端點的 Microsoft Defender 支援時，您已在 Intune 與適用於端點的 Microsoft Defender 之間建立服務對服務連線。 接著，您可以將使用 Intune 管理的裝置上線，以Microsoft適用於端點的 Defender。 上線可收集裝置風險層級的相關數據。

將裝置上線時，請務必針對每個平臺使用最新版的 Microsoft Defender for Endpoint。

將 Windows 裝置上線

• EDR) 原則 (端點偵測和回應。 Intune 系統管理中心的 [適用於端點的 Microsoft Defender ] 頁面包含直接開啟 EDR 原則建立工作流程的連結，這是 Intune 中端點安全性的一部分。

  使用 EDR 原則來設定裝置安全性，而不需要在裝置組態配置檔中找到的較大設定主體額外負荷。 您也可以使用 EDR 原則搭配租用戶鏈接裝置，也就是您使用 Configuration Manager 管理的裝置。

  當您在將 Intune 連線到 Defender 之後設定 EDR 原則時， Microsoft 適用於端點的 Defender 客戶 端設定套件類型的原則設定具有新的設定選項： 自動從連接器。 使用此選項，Intune 會自動從您的適用於端點的 Defender 部署中取得上線套件 (blob)，取代手動設定 上線 套件的需求。

• 裝置設定原則。 建立裝置設定原則以將 Windows 裝置上線時，請選 取 Microsoft Defender for Endpoint ] 範本。 當您將 Intune 連線到 Defender 時，Intune 收到來自 Defender 的上線設定套件。 範本會使用此套件來設定裝置與 適用於端點Microsoft Defender 進行 通訊，以及掃描檔案及偵測威脅。 上線的裝置也會根據您的合規性政策，向 Microsoft Defender for Endpoint 回報其風險層級。 使用組態套件將裝置上線之後，就不需要再次執行。

• 組策略或Microsoft Configuration Manager。 使用 Microsoft Configuration Manager 將 Windows 機器 上線有更多關於適用於端點的 Microsoft Defender 設定的詳細數據。

提示

使用裝置 設定 原則、 端點偵測和響應 原則等多個原則或原則類型來管理相同的裝置設定 (例如上線至適用於端點的 Defender) 時，您可以為裝置建立原則衝突。 若要深入了解衝突，請參閱管理安全策略一文中的管理衝突。

建立裝置組態設定檔以上線 Windows 裝置

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [端點安全性]>[端點偵測及回應]>[建立原則]。

3. 針對 [平臺]，選取 [Windows 10]、[Windows 11] 和 [Windows Server]。

4. 若為 [設定檔類型]，選取 端點偵測及回應，然後選取 [建立]。

5. 在 [ 基本概念] 頁面上，輸入配置檔的 [名稱 ] 和 [ 描述 (選擇性) ，然後選擇 [ 下一步]。

6. 在 [組態設定] 頁面上，針對 [端點偵測和回應] 設定下列選項：

   • Microsoft適用於端點的 Defender 用戶端設定套件類型： 從連接器中選取 [自動] ，以從適用於端點的 Defender 部署使用上線套件 (Blob) 。 如果您要上線至不同或中斷連線的適用於端點的Defender部署，請選取 [ 上 線]，並將 WindowsDefenderATP.onboarding Blob 檔案中的文字貼到 [上線 (裝置) ] 字段中。
   • 範例共享：傳回或設定適用於端點的 Microsoft Defender 範例共用設定參數。
   • [已淘汰] 遙測報告頻率：針對高風險的裝置， 啟用 此設定可讓您更頻繁地將遙測報告至適用於端點的 Microsoft Defender 服務。

   

   注意事項

   前述螢幕擷取畫面會在您設定好 Intune 和適用於端點的 Microsoft Defender 之間的連線之後，顯示您的設定選項。 連線時，系統會自動產生上線和離線 Blob 的詳細數據，並傳輸至 Intune。

   如果您尚未成功設定此連線， Microsoft適用於端點的 Defender 客戶 端元件類型設定只會包含指定上線和離線 Blob 的選項。

7. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

8. 在 [指派] 頁面上，選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   當您部署至使用者群組時，用戶必須在套用原則之前登入裝置，且裝置可以上線至適用於端點的 Defender。

   選取 [下一步]。

9. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。 確定，然後 建立 以儲存變更，這會建立配置檔。

將 macOS 裝置上線

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 MacOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與 Microsoft Defender Endpoint 溝通，之後便可收集有關裝置風險層級相關的資料。

如需 Intune 的 設定指導方針，請參閱 Mac 版適用於端點的 Microsoft Defender。

如需適用於 Mac Microsoft Defender 的詳細資訊，包括最新版本的新功能，請參閱 Microsoft 365 安全性檔中的 Microsoft Defender for Endpoint for Mac 。

上線 Android 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 Android 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender溝通，之後便可收集有關裝置風險層級相關的資料。

沒有執行 Android 的裝置組態套件。 請改為參閱適用於端點的 Microsoft Defender 文件中的 Android 版適用於端點的 Microsoft Defender 概觀，了解必要條件和適用於 Android 版的上線說明。

針對執行 Android 的裝置，您可以使用 Intune 原則來修改 Android 上適用於端點的 Microsoft Defender。。 如需詳細資訊，請參閲 適用於端點的 Microsoft Defender 網路保護。

上線 iOS/iPadOS 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 iOS/iPadOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與適用於端點的 Defender溝通，之後便可收集有關裝置風險層級相關的資料。

沒有執行 iOS/iPadOS 的裝置組態套件。 請改為參閱適用於端點的 Microsoft Defender 文件中的 iOS 版適用於端點的 Microsoft Defender 概觀，了解必要條件和適用於 iOS/iPadOS 版的上線說明。

針對執行 iOS/iPadOS (受監督的模式) 的裝置，由於平台在這些裝置類型上提供了更多的管理功能，因此具有專門化的功能。 若要利用這些功能，Defender 應用程式必須知道裝置是否處於受監督模式。 Intune 可讓您透用應用程式設定原則 (受管理的模式) 設定 iOS 版 Denfender 應用程式，應針對所有 iOS 裝置執行才是最佳做法。 如需詳細資訊，請 參閱完成受監督裝置的部署。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [應用程式>設定原則>+ 新增]，然後從下拉式清單中選取 [受管理的裝置 ]。

3. 在 [ 基本概念] 頁面上，輸入配置檔的 [ 名稱 ] 和 [ 描述 (選擇性) ]，選取 [ 平臺 為 iOS/iPadOS]， 然後選擇 [ 下一步]。

4. 選取 [目標應用程式] 作為 [適用於 iOS Microsoft Defender。

5. 在 [ 設定] 頁面上，將 [組 態密鑰 ] 設定為 [受監督]，然後將 [值類型] 設定 為 字串 ，並以 {{issupervised}} 作為 [ 組態] 值。

6. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

7. 在 [指派] 頁面上，選取將接收此設定檔的群組。 針對此案例，最佳做法是鎖定 [所有裝置]。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   將原則部署至使用者群組時，用戶必須在套用原則之前登入裝置。

   選取 [下一步]。

8. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

此外，針對在受監督模式) 中執行 iOS/iPadOS (的裝置，適用於 iOS 的 Defender 小組已提供自定義 .mobileconfig 配置檔來部署至 iPad/iOS 裝置。 .mobileconfig 配置檔可用來分析網路流量，以確保安全的瀏覽體驗 - 適用於 iOS 的 Defender 功能。

1. 下載裝載於此處的 .mobile 配置檔： https://aka.ms/mdatpiossupervisedprofile。

2. 登入 Microsoft Intune 系統管理中心。

3. 在 [原則]索引>標籤上選取 [裝置>管理裝置>設定]，選取 [+ 建立]。

4. 針對 [平臺]，選取 [iOS/iPadOS]

5. 針對 [配置檔類型]，選取 [ 自定義]，然後選取 [ 建立]。

6. 在 [ 基本概念] 頁面上，輸入配置檔的 [名稱 ] 和 [ 描述 (選擇性) ，然後選擇 [ 下一步]。

7. 輸入組 態配置檔名稱，然後選取 .mobileconfig 要上傳的檔案。

8. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

9. 在 [指派] 頁面上，選取將接收此設定檔的群組。 針對此案例，最佳做法是鎖定 [所有裝置]。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   當您部署至使用者群組時，用戶必須在套用原則之前登入裝置。

   選取 [下一步]。

10. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

檢視已上線至適用於端點的Defender Microsoft裝置計數

若要在 Microsoft Defender for Endpoint 連接器頁面中檢視 Microsoft Defender for Endpoint 上線的裝置，您需要 Intune 角色，其中包含 Microsoft Defender 進階威脅防護許可權的讀取。

建立並指派合規性原則以設定裝置風險層級

針對 Android、iOS/iPadOS 和 Windows 裝置，合規性原則會決定您認為裝置可接受的風險層級。

如果您不熟悉如何建立合規性政策，請參閱在 Microsoft Intune 中建立合規性政策一文中的建立原則程式。 下列資訊是設定適用於端點Microsoft Defender 作為合規性政策一部分的特定資訊。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>合規性]。 在 [ 原則] 索引 標籤上，選取 [+ 建立原則]。

3. 針對 [平臺]，使用下拉式方塊來選取下列其中一個選項：

   • Android 裝置系統管理員
   • Android 企業版
   • iOS/iPadOS
   • Windows 10 和更新版本

   接下來，選取 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，指定可協助您稍後識別此原則的 [名稱 ]。 您也可以選擇指定 [描述]。

5. 在 [ 相容性設定] 索引 卷標上，展開 [適用於端點的 Microsoft Defender ] 類別，並將 [ 要求裝置處於或低於計算機風險分數 ] 選項設定為您偏好的層級。

   威脅層級分類是 由適用於端點的 Microsoft Defender 決定。

   • 清除：此層級最安全。 裝置不可以有任何既有的威脅，但仍可存取公司資源。 如果找到任何威脅，系統會將裝置評估為不符合規範。 (適用於端點的 Microsoft Defender 使用 安全 值。)
   • 低：如果只有低層級威脅存在，裝置就會符合規範。 具有一般或高威脅層級裝置則不符合規範。
   • 中型：如果在裝置上發現的威脅為低或中，則裝置符合規範。 如果偵測到高威脅層級，則系統會將裝置判定為不符合規範。
   • 高：此層級最不安全，並允許所有威脅層級。 具有高、一般或低威脅等級的裝置則會被視為符合規範。

6. 完成此原則的設定，包括將原則指派給適用的群組。

建立和指派應用程式保護原則以設定裝置風險層級。

使用程式來 建立 iOS/iPadOS 或 Android 的應用程式保護原則，並在 [應用程式]、 [條件式啟動] 和 [指 派 ] 頁面上使用下列資訊：

• 應用程式：選取您想要以應用程式保護原則為目標的應用程式。 針對此功能集合，系統會依據來自您選取的行動威脅防禦廠商的裝置風險評估，封鎖或選擇性清除這些應用程式。

• 條件式啟動：在 [裝置條件] 下方，使用下拉式方塊選取 [允許的裝置威脅等級上限]。

  威脅層級 值的選項：

  • 安全：此層級最安全。 裝置不可以有任何威脅存在，且仍可存取公司資源。 如果找到任何威脅，系統會將裝置評估為不符合規範。
  • 低：如果只有低階威脅存在，裝置就會符合規範。 任何較高的威脅等級都會讓裝置成為不符合規範的狀態。
  • 中型：如果在裝置上發現的威脅為低或中層級，則裝置符合規範。 如果偵測到高威脅層級，則系統會將裝置判定為不符合規範。
  • 高：此層級最不安全，並允許所有威脅層級，只使用Mobile Threat Defense 進行報告。 裝置必須使用此設定來啟用 MTD 應用程式。

  動作的選項：

  • 封鎖存取
  • 抹除資料

• 指派：將原則指派給使用者群組。 系統會評估群組成員所使用的裝置，以透過 Intune 應用程式保護存取目標應用程式上的公司數據。

重要事項

如果您為任何受保護的應用程式建立應用程式保護原則，則系統會評估裝置的威脅等級。 依據設定，不符合可接受等級的裝置會透過條件式啟動進行封鎖或選擇性地抹除。 如果遭到封鎖，在裝置上的威脅解決並由所選的 MTD 廠商回報給 Intune 之前，它們將無法存取公司資源。

建立條件式存取原則

條件式存取原則可以使用 Microsoft Defender for Endpoint 的數據來封鎖對超過您所設定威脅層級之裝置的資源存取。 您可以封鎖從裝置存取公司資源，例如 SharePoint 或 Exchange Online。

提示

條件式存取是一種Microsoft Entra 技術。 在 Microsoft Intune 系統管理中心找到 的條件式存取 節點是 來自 Microsoft Entra 的節點。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>][建立新原則]。 由於 Intune 會從 Azure 入口網站呈現條件式存取的原則建立使用者介面，因此介面與您可能熟悉的原則建立工作流程不同。

3. 輸入原則 名稱。

4. 針對 [使用者]，請使用 [ 包含 ] 和 [ 排除 ] 索引卷標來設定將接收此原則的群組。

5. 針對 [目標資源]，設定 [選取此原則適用於雲端應用程式的內容]，然後選擇要保護的應用程式。 例如，選擇 [選取應用程式 ]，然後針對 [ 選取]，搜尋並選取 [Office 365 SharePoint Online ] 和 [Office 365 Exchange Online]。

6. 針對 [條件]，選取 [用戶端應用程式 ]，然後將 [設定 ] 設定為 [是]。 接下來，選取 [瀏覽器] 和 [行動 應用程式和桌面客戶端] 的複選框。 然後，選 取 [完成 ] 以儲存用戶端應用程式組態。

7. 針對 [授與]，設定此原則以根據裝置合規性規則套用。 例如：

   1. 選 取 [授與存取權]。
   2. 選取 [ 需要將裝置標示為符合規範] 的複選框。
   3. 選 取 [需要所有選取的控件]。 選擇 [選取 ] 以儲存授與設定。

8. 針對 [啟用原則]，選取 [ 開啟 ]，然後選取 [ 建立 ] 以儲存變更。

後續步驟

• 在 Android 上設定適用於端點的 Microsoft Defender 設定
• 監視風險層級的合規性

從 Intune 檔深入瞭解：

• 使用適用於端點的 Defender 弱點管理的安全性工作來補救裝置上的問題
• 開始使用裝置合規性政策
• 應用程式防護原則概觀

從適用於端點的 Microsoft Defender 檔深入瞭解：

• Microsoft適用於端點的條件式存取的 Defender
• Microsoft適用於端點的 Defender 風險儀錶板