在 Microsoft Intune 中使用端點安全性原則管理裝置安全性

  • 發行項

使用Intune端點安全性原則來管理裝置上的安全性設定。 每個端點安全性原則都支援一或多個設定檔。 這些設定檔在概念上與裝置設定原則範本類似,這是相關設定的邏輯群組。

身為與裝置安全性有關的安全性系統管理員,您可以使用這些以安全性為主的設定檔,以避免裝置組態設定檔或安全性基準的額外負荷。 裝置組態設定檔和基準包含保護端點範圍以外的大量不同設定。 相反地,每個端點安全性設定檔著重于特定的裝置設定子集,其目的是要設定裝置安全性的一個層面。

當端點安全性原則與其他原則類型搭配使用時,例如裝置設定原則中的安全性基準或端點保護範本,請務必開發使用多個原則類型的計畫,以將衝突設定的風險降至最低。 安全性基準、裝置設定原則和端點安全性原則都會被Intune視為裝置組態設定的相同來源。 當裝置收到來自多個來源之設定的兩個不同組態時,就會發生設定衝突。 多個來源可以包含個別的原則類型和相同原則的多個實例。

當Intune評估裝置的原則並識別設定的衝突組態時,所涉及的設定可能會標示為發生錯誤或衝突,且無法套用。 每種設定原則類型都支援識別和解決發生衝突:

您會在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,于 [管理] 底下找到端點安全策略

在 Microsoft Intune 系統管理中心管理端點安全性原則

以下是每個端點安全性原則類型的簡短描述。 若要深入瞭解,包括每個原則類型的可用設定檔,請遵循每個原則類型專用內容的連結:

  • 帳戶保護 - 帳戶保護原則可協助您保護使用者的身分識別和帳戶。 帳戶保護原則著重于 Windows Hello 和 Credential Guard 的設定,這是 Windows 身分識別和存取管理的一部分。

  • 防毒軟體 - 防毒軟體原則可協助安全性系統管理員專注于管理受管理裝置的個別防毒軟體設定群組。

  • 商務用應用程式控制 (預覽版) - 使用商務用應用程式控制原則和適用于 Microsoft Intune 的受控安裝程式,管理已核准的 Windows 裝置應用程式。 Intune商務用應用程式控制原則是Windows Defender應用程式控制 (WDAC) 的實作。

  • 受攻擊面縮小- 當 Defender 防毒軟體在您的Windows 10/11 裝置上使用時,請使用受攻擊面縮小的Intune端點安全性原則來管理裝置的這些設定。

  • 磁片加密 - 端點安全性磁片加密設定檔只著重于與裝置內建加密方法相關的設定,例如 FileVault 或 BitLocker。 此焦點可讓安全性系統管理員輕鬆管理磁片加密設定,而不需要流覽主機的不相關設定。

  • 端點偵測和回應- 當您將適用於端點的 Microsoft Defender與Intune整合時,請使用端點偵測和回應 (EDR) 的端點安全性原則來管理 EDR 設定,並將裝置上線以適用於端點的 Microsoft Defender。

  • 防火牆- 使用 Intune 中的端點安全性防火牆原則,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。

下列各節適用于所有端點安全性原則。

建立端點安全性原則

  1. 登入Microsoft Intune系統管理中心

  2. 取 [端點安全 性],然後選取您要設定的原則類型,然後選取 [ 建立原則]。 從下列原則類型中選擇:

    • 帳戶防護
    • 防毒軟體
    • 應用程式控制 (預覽)
    • 受攻擊面縮小
    • 磁碟加密
    • 端點偵測及回應
    • 防火牆

  3. 輸入下列內容:

    • 平臺:選擇您要建立原則的平臺。 可用的選項取決於您選取的原則類型。
    • 設定檔:從您所選平臺的可用設定檔中選擇。 如需設定檔的相關資訊,請參閱本文中您所選原則類型的專門章節。

  4. 選取 [建立]

  5. [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]

  6. 在 [ 組態設定] 頁面上,展開每個設定群組,並使用此設定檔設定您要管理的設定。

    完成設定後,選取 [下一步]

  7. 在 [ 範圍標籤] 頁面上,選擇 [ 選取範圍標籤 ] 以開啟 [ 選取標籤 ] 窗格,將範圍標籤指派給設定檔。

    選取 [下一步] 繼續。

  8. [指派] 頁面上,選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    選取[下一步]。

  9. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

複製原則

端點安全性原則支援複製以建立原始原則的複本。 複製原則的案例是,如果您需要將類似的原則指派給不同的群組,但不想手動重新建立整個原則。 相反地,您可以複製原始原則,然後只導入新原則所需的變更。 您可能只會變更特定設定,以及指派原則的群組。

建立重複專案時,您會為複本提供新名稱。 複本的設定組態和範圍標籤與原始複本相同,但不會有任何指派。 您稍後必須編輯新的原則,才能建立指派。

下列原則類型支援重複:

  • 帳戶防護
  • 應用程式控制 (預覽)
  • 防毒軟體
  • 受攻擊面縮小
  • 磁碟加密
  • 端點偵測及回應
  • 防火牆

建立新原則之後,請檢閱和編輯原則,以變更其設定。

複製原則

  1. 登入Microsoft Intune系統管理中心
  2. 選取您想要複製的原則。 接下來,選取 [ 重複 ],或選取原則右邊的省略號 (...) ,然後選取 [ 重複]
  3. 提供 原則的新名稱 ,然後選取 [ 儲存]

編輯原則

  1. 選取新的原則,然後選取 [屬性]
  2. 選取 [設定],以展開原則中的組態設定清單。 您無法修改此檢視中的設定,但可以檢閱其設定方式。
  3. 若要修改原則,請針對您要變更的每個類別選取 [編輯]
    • 基本功能
    • 作業
    • 範圍標籤
    • 組態設定
  4. 進行變更之後,請選取 [儲存] 以儲存您的編輯。 您必須先儲存一個類別的編輯,才能導入其他類別的編輯。

管理衝突

您可以使用端點安全性原則 (安全性原則) 管理的許多裝置設定,也可透過 Intune 中的其他原則類型來使用。 這些其他原則類型包括 裝置設定 原則 和安全性基準。 因為設定可以透過數個不同的原則類型或相同原則類型的多個實例來管理,所以請準備好識別並解決未遵守您預期設定之裝置的原則衝突。

  • 安全性基準可以設定 [設定] 的非預設值,以符合基準所指的建議設定。
  • 其他原則類型,包括端點安全性原則,會將預設值設定為 [未設定 ]。 這些其他原則類型需要您在原則中明確地設定 [設定]。

不論原則方法為何,透過多個原則類型或透過相同原則類型的多個實例管理相同裝置上的相同設定,都可能導致應避免的衝突。

下列連結中的資訊可協助您識別並解決衝突:

後續步驟

在 Intune 中管理端點安全性