在 Intune 中新增 Endpoint Protection 設定

有了 Intune，您可以使用裝置組態設定檔來管理裝置上的常見 Endpoint Protection 安全性功能，包括：

• 防火牆
• BitLocker
• 允許和封鎖應用程式
• Microsoft Defender 和加密

例如，您可以建立僅允許 macOS 使用者從 Mac App Store 安裝應用程式的 Endpoint Protection 設定檔。 或者，在 Windows 10/11 裝置上執行應用程式時啟用 Windows SmartScreen。

建立配置檔之前，請檢閱下列文章，詳細說明 Intune 可為每個支持的平臺管理的 Endpoint Protection 設定：

• macOS 設定
• Windows 設定

建立包含 Endpoint Protection 設定的裝置配置檔

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>設定>建立]。

3. 輸入下列內容：

   • 平台：選擇裝置的平臺。 選項包括：

     • macOS
     • Windows 10 和更新版本

   • 配置檔：選取 [範本>端點保護]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的原則名稱可能包含配置檔類型和平臺。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

   選取[下一步]。

6. 在 [組態設定] 中，視您選擇的平臺而定，您可以設定的設定會不同。 選擇您的平臺以取得詳細設定：

   • macOS 設定
   • Windows 設定

7. 選取 [下一步]。

8. 在 [ 指派] 中，選取將接收您配置檔的使用者或群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取[下一步]。

9. 在 [適用性規則] 中，使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊，請參閱適用性規則。

   選取[下一步]。

10. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

新增 Windows 10/11 裝置的自定義防火牆規則

當您將 Windows 防火牆設定為包含 Windows 10/11 端點保護規則之設定檔的一部分時，您可以設定防火牆的自定義規則。 自定義規則可讓您擴充 Windows 裝置支援的預先定義防火牆規則集。

當您使用自定義防火牆規則規劃配置檔時，請考慮下列資訊，這可能會影響您選擇在配置檔中將防火牆規則分組的方式：

• 每個配置檔最多支援150個防火牆規則。 當您使用超過 150 個規則時，請建立額外的配置檔，每個配置檔限製為 150 個規則。

• 針對每個配置檔，如果無法套用單一規則，該配置檔中的所有規則都會失敗，而且不會將任何規則套用至裝置。

• 當規則無法套用時，配置檔中的所有規則都會回報為失敗。 Intune 無法識別哪個個別規則失敗。

Intune 可以管理的防火牆規則詳述於 Windows 防火牆設定服務提供者 (CSP) 。 若要檢閱 Intune 支援的 Windows 裝置自定義防火牆設定清單，請參閱 自定義防火牆規則。

將自定義防火牆規則新增至 Endpoint Protection 配置檔

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>設定>建立]。

3. 輸入下列內容：

   • 平台：選擇 [Windows 10 及更新版本]。

   • 配置檔：選取 [範本>端點保護]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的原則名稱可能包含配置檔類型和平臺。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

   選取[下一步]。

6. 在 [ 組態設定] 中，展開 [Windows 防火牆]。 接下來，針對 [防火牆規則]，選取 [ 新增 ] 以開啟 [ 建立規則] 頁面。

7. 指定防火牆規則的設定， 然後選取 [儲存] 加以儲存。 若要檢閱檔中可用的自定義防火牆規則選項，請參閱 自定義防火牆規則。

   1. 規則會出現在規則清單的 [Windows 防火牆 ] 頁面上。
   2. 若要修改規則，請從清單中選取規則，以開啟 [編輯規則] 頁面。
   3. 若要從配置檔中刪除規則，請選取規則的省略 號 (...) ，然後選取 [ 刪除]。
   4. 若要變更規則顯示的順序，請選取規則清單頂端的 向上箭號、向下箭號 圖示。

   選取 [下一步]。

8. 在 [ 指派] 中，選取將接收此配置檔的裝置群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取[下一步]。

9. 在 [適用性規則] 中，使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊，請參閱適用性規則。

   選取[下一步]。

10. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

後續步驟

監視配置文件狀態。