租用戶連結：從系統管理中心建立和部署受攻擊面縮小原則

適用於：Configuration Manager (目前的分支)

在 Microsoft Intune 系統管理中心建立受攻擊面縮小原則，並將其部署至 Configuration Manager 集合。

先決條件

• 存取 Microsoft Intune 系統管理中心。
• 與 已上傳裝置連結的租用戶環境。
• 支援的 Configuration Manager 版本和對應的控制台版本已安裝。
  • 將目標裝置升級至 Configuration Manager 用戶端的最新版本。
• 至少有一個 Configuration Manager 集合 可用於指派端點安全策略
• 支援租用戶連結裝置此配置檔的 Windows 裝置

將受攻擊面縮小原則指派給集合

1. 在瀏覽器中，移至 Microsoft Intune 系統管理中心。

2. 依序選取 [端點安全>性攻擊面縮小 ] 和 [ 建立原則]。

3. 使用下列設定建立設定檔：

   • 平臺：Windows 10 和更新版本 (ConfigMgr)
   • 設定檔：選擇下列其中一個設定檔：
     • ConfigMgr (受攻擊面縮小規則)
     • 惡意探索保護 (ConfigMgr)
     • Web 保護 (ConfigMgr)

注意事項

Microsoft Edge 安裝程式、租使用者附加的受攻擊面縮小規則引擎，以及 CMPivot 目前已使用 Microsoft 程式代碼簽署 PCA 2011 憑證簽署。 如果您將PowerShell執行原則設定為 AllSigned，則必須確定裝置信任此簽署憑證。 您可以從已安裝 Configuration Manager 控制台的計算機導出憑證。 檢視 上的 "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"憑證，然後從認證路徑匯出程式代碼簽署憑證。 然後將它匯入受管理裝置上的電腦信任發行者存放區。 您可以在下列部落格中使用此程式，但請務必從認證路徑匯出 程式代碼簽署憑證 ： 使用 Intune 將憑證新增至受信任的發行者

1. 在 [基本] 頁面上指派 [名稱]，並選擇性地指派 [描述]。
2. 在 [組態設定] 頁面上，設定您要透過此設定檔管理的設定。 完成設定後，選取 [下一步]。 如需這兩個配置檔可用設定的詳細資訊，請參閱 租用戶連結裝置的受攻擊面縮小原則設定。
3. 在 [指派] 頁面上，將原則指派給 Configuration Manager 集合。

裝置狀態

您可以檢閱租用戶附加裝置的端點安全性原則狀態。 您可以針對租用戶附加用戶端的所有端點安全性原則類型，存取 [裝置狀態] 頁面。 若要顯示 [裝置狀態] 頁面：

1. 選取針對 [ConfigMgr] 裝置的原則以顯示該原則的 [概觀] 頁面。
2. 選取 [裝置狀態] 以顯示原則鎖定的裝置清單。
3. [裝置狀態] 頁面上會顯示每個裝置的 [裝置名稱]、[合規性狀態] 和 [SMS 標識符]。

後續步驟

• 租用戶連結裝置的受攻擊面縮小原則設定。
• 建立端點安全性防毒原則，並將其部署至租用戶附加裝置
• 建立端點安全性端點偵測及回應原則，並將其部署至租用戶附加裝置
• 建立端點安全性防火牆原則，並將其部署至租用戶附加裝置