步驟 6. 監視裝置風險和安全性基準的合規性

在您的組織部署 適用於端點的 Microsoft Defender 之後，您可以整合 Microsoft Intune 與適用於端點的 Defender，以獲得更深入的見解和裝置保護。 針對行動裝置，這包括監視裝置風險的能力，做為存取的條件。 針對 Windows 裝置，您可以監視這些裝置相較於安全性基準的合規性。

部署包括上線端點之適用於端點的 Microsoft Defender。 如果您使用 Intune 將端點上線 (建議的) ，則您已將 Microsoft Intune 連線到適用於端點的 Defender。 如果您使用不同的方法將端點上線至適用於端點的 Defender，請參閱在 Intune 中設定 適用於端點的 Microsoft Defender，以確保您已設定 Intune 與 適用於端點的 Microsoft Defender 之間的服務對服務連線。

在此圖例中：

• 適用於端點的 Microsoft Defender 大幅增加裝置的威脅防護複雜性。
• Microsoft Intune 可讓您設定應用程式保護原則，並管理裝置 (包括組態變更) 。 適用於端點的 Defender 會持續監視您的裝置是否有威脅，並可採取自動化動作來補救攻擊。
• 您可以使用 Intune 將裝置上線至適用於端點的 Defender，這可讓這些裝置使用 Microsoft Purview 端點數據外洩防護 (DLP) 。

本文章包含下列步驟：

• 監視裝置風險
• 監視安全性基準的合規性

如果尚未設定適用於端點的 Defender，請與您的威脅防護系統管理員合作，以設定評估和試驗環境。 您可以與試驗群組合作，以嘗試本文中的功能。

監視裝置風險做為存取的條件

部署適用於端點的 Microsoft Defender 後，您可以利用威脅風險訊號。 這可讓您根據裝置的風險分數封鎖對裝置的存取。 Microsoft 建議允許存取風險分數為中或較低的裝置。

針對 Android 和 iOS/iPadOS，可以在您的 應用程式保護原則 (APP) 內使用威脅訊號。 如需詳細資訊，請 參閱建立和指派應用程式保護原則以設定裝置風險層級。

針對所有平台，您可以在現有的裝置合規性原則中設定風險層級。 如需詳細資訊，請參閱 建立條件式存取原則。

部署安全性基準並監視這些設定的合規性

適用於：Windows 10、Windows 11

步驟 5。部署組態配置檔一文建議您使用安全性基準開始使用組態配置檔，適用於 Windows 10 和 Windows 11。 適用於端點的 Microsoft Defender 也包含安全性基準，提供的設定可最佳化適用於端點的 Defender 堆疊中的所有安全性控制，包括端點偵測和回應 (EDR) 的設定。 這些也會使用 Microsoft Intune 部署。

在理想情況中，已上線至適用於端點的 Defender 的裝置會部署兩個基準：一個是用於初始保護 Windows 的 Windows Intune 安全性基準，然後是適用於端點的 Defender 安全性基準，放置在最上層，以最佳地設定適用於端點的 Defender 安全性控制。

若要從風險和威脅的最新數據獲益，並隨著基準演進而將衝突降至最低，一律會在所有產品發行后立即套用最新版本的基準。

使用適用於端點的 Defender，您可以監視這些基準的合規性。

若要部署安全性基準並監視這些設定的合規性，請使用下表中的步驟。

步驟	描述
1	檢閱重要概念，並比較適用於端點的 Microsoft Defender 和 Windows Intune 安全性基準。 若要了解建議，請參閱增加適用於端點的 Microsoft Defender 安全性基準的合規性。 請參閱使用安全性基準在 Intune 中設定 Windows 裝置，以檢閱可用的安全性基準清單，以及如何避免衝突。
2	為 Intune 部署 Windows 安全性基準設定。 如果您尚未這麼做，請參閱 步驟 5 中的指引。部署組態配置檔。
3	為 Intune 部署適用於端點的 Defender 基準設定。 請參閱在 Microsoft Intune 中管理安全性基準設定檔，以建立設定檔並選擇基準版本。 您也可以遵循這裡的指示：檢閱和指派適用於端點的 Microsoft Defender 安全性基準。
4	在適用於端點的 Defender 中，檢閱裝置設定管理上的安全性基準卡片。

下一步

前往步驟 7：在端點上使用資訊保護功能來實作 DLP。