特殊許可權存取部署

本文件將引導您實作特殊許可權存取策略的技術元件，包括安全帳戶、工作站和裝置，以及介面安全性（使用條件式存取原則）。

本指南會設定所有三個安全性層級的所有配置檔，並應根據 特殊許可權存取安全性層級 指引指派您的組織角色。 Microsoft 建議按照快速現代化計劃中所述 的順序設定它們 （RAMP）

授權需求

本指南中涵蓋的概念假設您已 Microsoft 365 企業版 E5 或對等 SKU。 本指南中的一些建議可以使用較低的 SKU 來實作。 如需詳細資訊，請參閱 Microsoft 365 企業版 授權。

若要自動布建授權，請考慮為您的使用者使用 群組型授權 。

Microsoft Entra 設定

Microsoft Entra ID 會管理系統管理員工作站的使用者、群組和裝置。 使用 系統管理員帳戶啟用身分識別服務和功能。

當您建立受保護的工作站系統管理員帳戶時，您會將帳戶公開至目前的工作站。 請確定您使用已知的安全裝置來執行此初始設定和所有全域設定。 若要減少第一次體驗的攻擊暴露，請考慮遵循 防止惡意代碼感染的指引。

至少需要系統管理員的多重要素驗證。 請參閱 條件式存取：要求系統管理員 使用 MFA 以取得實作指引。

Microsoft Entra 使用者和群組

1. 從 Azure 入口網站，流覽至 [Microsoft Entra ID>Users>新增使用者]。

2. 遵循建立使用者教學課程中的步驟，建立您的裝置使用者。

3. 輸入：

   • 名稱 - 安全工作站 管理員 istrator
   • 使用者名稱 - secure-ws-user@contoso.com
   • 目錄角色 - 限制系統管理員，然後選取 Intune 管理員 istrator 角色。
   • 使用位置 - 例如 英國，或您想要的位置窗體清單。

4. 選取 建立。

建立您的裝置系統管理員使用者。

1. 輸入：

   • 名稱 - 安全工作站 管理員 istrator
   • 使用者名稱 - secure-ws-admin@contoso.com
   • 目錄角色 - 限制系統管理員，然後選取 Intune 管理員 istrator 角色。
   • 使用位置 - 例如 英國，或您想要的位置窗體清單。

2. 選取 建立。

接下來，您會建立四個群組：安全工作站使用者、安全工作站 管理員、緊急 BreakGlass 和安全工作站裝置。

從 Azure 入口網站，流覽至 Microsoft Entra ID>Groups>New 群組。

1. 針對工作站使用者群組，您可能想要設定 群組型授權 ，以將授權布建自動化給使用者。

2. 針對工作站使用者群組，輸入：

   • 群組類型 - 安全性
   • 組名 - 保護工作站使用者
   • 成員資格類型 - 已指派

3. 新增您的安全工作站使用者： secure-ws-user@contoso.com

4. 您可以新增任何其他將使用安全工作站的使用者。

5. 選取 建立。

6. 針對 Privileged Workstation 管理員 s 群組，輸入：

   • 群組類型 - 安全性
   • 組名 - 安全工作站 管理員
   • 成員資格類型 - 已指派

7. 新增您的安全工作站使用者： secure-ws-admin@contoso.com

8. 您可以新增任何其他將管理安全工作站的使用者。

9. 選取 建立。

10. 針對緊急 BreakGlass 群組，輸入：

    • 群組類型 - 安全性
    • 組名 - 緊急 BreakGlass
    • 成員資格類型 - 已指派

11. 選取 建立。

12. 將緊急存取帳戶新增至此群組。

13. 針對工作站裝置群組，輸入：

    • 群組類型 - 安全性
    • 組名 - 安全工作站
    • 成員資格類型 - 動態裝置
    • 動態成員資格規則 - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. 選取 建立。

Microsoft Entra 裝置設定

指定誰可以將裝置加入 Microsoft Entra 識別碼

在 Active Directory 中設定您的裝置設定，以允許系統管理安全組將裝置加入網域。 若要從 Azure 入口網站 設定此設定：

1. 移至 [Microsoft Entra ID]>[裝置]>[裝置設定]。
2. 選擇 [使用者可以將裝置加入 Microsoft Entra ID] 底下的 [選取]，然後選取 [保護工作站使用者] 群組。

拿掉本機系統管理員許可權

此方法要求VIP、DevOps和 Privileged 工作站的使用者在其電腦上沒有系統管理員許可權。 若要從 Azure 入口網站 設定此設定：

1. 移至 [Microsoft Entra ID]>[裝置]>[裝置設定]。
2. 在 [Microsoft Entra 已加入裝置的其他本機系統管理員] 下，選取 [無]。

如需如何管理本機系統管理員群組的詳細資訊，請參閱如何在加入 Microsoft Entra 的裝置上管理本機系統管理員群組。

需要多重要素驗證才能加入裝置

若要進一步加強將裝置加入 Microsoft Entra ID 的程式：

1. 移至 [Microsoft Entra ID]>[裝置]>[裝置設定]。
2. 在 [需要 Multi-Factor Auth] 下選取 [是] 以加入裝置。
3. 選取 [儲存]。

設定行動裝置管理

從 Azure 入口網站：

1. 流覽至 Microsoft Entra ID>Mobility （MDM 和 MAM）>Microsoft Intune。
2. 將 MDM 使用者範圍 設定變更為 [全部]。
3. 選取 [儲存]。

這些步驟可讓您使用 Microsoft 端點管理員管理任何裝置。 如需詳細資訊，請參閱 Intune 快速入門：設定 Windows 10 裝置的自動註冊。 您會在未來的步驟中建立 Intune 設定和合規性原則。

Microsoft Entra 條件式存取

Microsoft Entra 條件式存取可協助將特殊許可權系統管理工作限制為相容的裝置。 登入雲端應用程式時，需要安全工作站使用者群組的預先定義成員，才能執行多重要素驗證。 最佳做法是排除原則中的緊急存取帳戶。 如需詳細資訊，請參閱 在 Microsoft Entra ID 中管理緊急存取帳戶。

條件式存取僅允許安全工作站存取 Azure 入口網站

組織應該禁止特殊許可權使用者從非PAW裝置連線到雲端管理介面、入口網站和PowerShell。

若要封鎖未經授權的裝置無法存取雲端管理介面，請遵循條件式存取：裝置篩選（預覽）一文中的指引。 部署這項功能時，請務必考慮緊急 存取帳戶 功能。 這些帳戶只應用於極端案例，以及透過原則管理的帳戶。

注意

您必須建立使用者群組，並包含可略過條件式存取原則的緊急使用者。 在我們的範例中，我們有一個名為Emergency BreakGlass的安全組

此原則集可確保您的 管理員 istrators 必須使用能夠呈現特定裝置屬性值的裝置、符合 MFA 的裝置，且裝置已標示為符合 Microsoft 端點管理員和 適用於端點的 Microsoft Defender 規範。

組織也應該考慮在其環境中封鎖舊版驗證通訊協定。 如需封鎖舊版驗證通訊協定的詳細資訊，請參閱如何：使用條件式存取封鎖 Microsoft Entra ID 的舊版驗證一文。

Microsoft Intune 設定

裝置註冊拒絕 BYOD

在我們的範例中，我們建議不允許 BYOD 裝置。 使用 Intune BYOD 註冊 可讓用戶註冊小於或不受信任的裝置。 不過，請務必注意，在預算有限的組織中購買新裝置、想要使用現有的硬體機隊，或考慮非 Windows 裝置，可能會考慮 Intune 中的 BYOD 功能來部署企業配置檔。

下列指引會針對拒絕 BYOD 存取的部署設定註冊。

設定防止 BYOD 的註冊限制

1. 在 Microsoft 端點管理員系統管理中心，選擇 [ >裝置>註冊限制> ] 選擇預設限制 [所有使用者]
2. 選取 [屬性> 平台設定 編輯]
3. 針對 [所有類型] 選取 [封鎖 ]，但 Windows MDM 除外。
4. 針對所有個人擁有的項目選取 [ 封鎖 ]。

建立 Autopilot 部署配置檔

建立裝置群組之後，您必須建立部署配置檔來設定 Autopilot 裝置。

1. 在 Microsoft 端點管理員系統管理中心，選擇 [裝置註冊 Windows 註冊>>部署配置檔] [建立配置檔]。>

2. 輸入：

   • 名稱 - 保護工作站部署配置檔。
   • 描述 - 部署安全工作站。
   • 將 [將所有目標裝置轉換成 Autopilot] 設定為 [是]。 此設定可確保清單中的所有裝置都已向 Autopilot 部署服務註冊。 允許處理註冊 48 小時。

3. 選取 [下一步]。

   • 針對 [部署模式]，選擇 [自我部署][預覽]。 具有此配置檔的裝置會與註冊裝置的使用者相關聯。 在部署期間，建議您使用自我部署模式功能來包括：
     • 在 Intune Microsoft Entra 自動 MDM 註冊中註冊裝置，並只允許存取裝置，直到裝置上布建所有原則、應用程式、憑證和網路配置檔為止。
     • 註冊裝置需要用戶認證。 請務必注意，在自我部署模式中部署裝置可讓您在共用模型中部署膝上型計算機。 在裝置第一次指派給使用者之前，不會發生任何使用者指派。 因此，在使用者指派完成之前，將不會啟用任何用戶原則，例如 BitLocker。 如需如何登入安全裝置的詳細資訊，請參閱 選取的配置檔。
   • 選取您的語言（區域），用戶帳戶類型 標準。

4. 選取 [下一步]。

   • 如果您已預先設定範圍標籤，請選取範圍標籤。

5. 選取 [下一步]。

6. 選擇 [指派>給>選取的群組] 。 在 [ 選取要包含的群組] 中，選擇 [ 安全工作站]。

7. 選取 [下一步]。

8. 選取 [建立] 以建立配置檔。 Autopilot 部署設定檔現在即可供指派給裝置。

Autopilot 中的裝置註冊會根據裝置類型和角色提供不同的用戶體驗。 在我們的部署範例中，我們會說明安全裝置大量部署且可共用的模型，但第一次使用時，會將裝置指派給使用者。 如需詳細資訊，請參閱 Intune Autopilot 裝置註冊。

註冊狀態頁面

註冊狀態頁面 （ESP） 會在註冊新裝置之後顯示布建進度。 為了確保裝置在使用前已完整設定，Intune 提供封鎖裝置使用的方法 ，直到安裝所有應用程式和配置檔為止。

建立並指派註冊狀態頁面配置檔

1. 在 Microsoft 端點管理員系統管理中心，選擇 [裝置>][Windows>註冊註冊>狀態] 頁面>[建立配置檔]。
2. 提供名稱和描述。
3. 選擇 [建立] 。
4. 在 [註冊狀態頁面] 清單中選擇新的配置檔。
5. 將 [顯示應用程式設定檔安裝進度] 設定為 [是]。
6. 將 [封鎖裝置使用] 設定 為 [所有應用程式和配置檔] 安裝 為 [ 是]。
7. 選擇 [指派>][選取群組>] 選擇Secure Workstation群組選取>[>儲存]。
8. 選擇 [設定> 選擇要套用至此設定檔>的設定 [儲存]。

設定 Windows Update

讓 Windows 10 保持最新狀態是您可以執行的最重要動作之一。 若要以安全狀態維護 Windows，您可以部署 更新通道 來管理更新套用至工作站的步調。

本指南建議您建立新的更新通道，並變更下列預設設定：

1. 在 Microsoft 端點管理員系統管理中心，選擇 [裝置>軟體更新>Windows 10 更新通道]。

2. 輸入：

   • 名稱 - Azure 管理的工作站更新
   • 服務通道 - 半年通道
   • 品質更新延遲 （天） - 3
   • 功能更新延遲期間 （天） - 3
   • 自動更新行為 - 自動安裝並重新啟動而不需使用者控制
   • 封鎖使用者暫停 Windows 更新 - 封鎖
   • 要求使用者核准才能在工作時間以外重新啟動 - 必要
   • 允許使用者重新啟動 （參與重新啟動） - 必要
   • 在自動重新啟動後將使用者轉換為參與重新啟動 （天） - 3
   • 延遲預約重新啟動提醒 （天） - 3
   • 設定擱置重新啟動的最後期限 （天） - 3

3. 選取 建立。

4. 在 [ 指派] 索引 標籤上 ，新增 [安全工作站] 群組。

如需 Windows Update 原則的詳細資訊，請參閱 原則 CSP - 更新。

適用於端點的 Microsoft Defender Intune 整合

適用於端點的 Microsoft Defender 和 Microsoft Intune 共同合作，協助防止安全性缺口。 它們也可以限制缺口的影響。 ATP 功能提供即時威脅偵測，以及啟用端點裝置的廣泛稽核和記錄。

若要設定適用於端點的 Windows Defender 與 Microsoft 端點管理員的整合：

1. 在 Microsoft 端點管理員系統管理中心，選擇 [端點安全性>] [Microsoft Defender ATP]。

2. 在 [設定 Windows Defender ATP] 底下的步驟 1 中，選取 Windows Defender ATP 連線 Windows Defender ATP 至 Windows Defender 資訊安全中心的 Microsoft Intune。

3. 在 Windows Defender 資訊安全中心：

   1. 選取 [設定][>進階功能]。
   2. 針對 [Microsoft Intune 連線]，選擇 [ 開啟]。
   3. 選取 [儲存喜好設定]。

4. 建立連線之後，返回 Microsoft 端點管理員，然後選取頂端的 [ 重新整理 ]。

5. 將 連線 Windows 裝置版本（20H2） 19042.450 和更新版本設定為 [Windows Defender ATP] 設定為 [開啟]。

6. 選取 [儲存]。

建立裝置組態設定檔以上線 Windows 裝置

1. 登入 Microsoft 端點管理員系統管理中心，選擇 [端點安全性>端點偵測] 和 [建立>配置檔]。

2. 針對 [平臺]，選取 [Windows 10 及更新版本]。

3. 若為 [設定檔類型]，選取 端點偵測及回應，然後選取 [建立]。

4. 在 [基本] 頁面上，於配置檔的 [名稱] 字段和 [描述] 字段中輸入 PAW - 適用於端點的 Defender，然後選擇 [下一步]。

5. 在 [組態設定] 頁面上，於 [端點偵測和回應] 中設定下列選項：

   • 所有檔案的範例共用：會傳回或設定 Microsoft Defender 進階威脅防護範例共用組態參數。

     使用 Microsoft Endpoint Configuration Manager 將 Windows 10 機器上線，可取得這些 Microsoft Defender ATP 設定的詳細數據。

6. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

7. 在 [指派] 頁面上，選取 [安全工作站] 群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取 [下一步]。

8. 在 [ 檢閱 + 建立] 頁面上，完成時，選擇 [ 建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。 確定，然後 建立 以儲存變更，這會建立配置檔。

如需詳細資訊，請參閱 Windows Defender 進階威脅防護。

完成工作站配置文件強化

若要順利完成解決方案的強化，請下載並執行適當的腳本。 尋找所需設定檔層級的下載連結：

設定檔	下載位置	檔案名稱
企業	https://aka.ms/securedworkstationgit	Enterprise-Workstation-Windows10-（20H2）。ps1
特殊化	https://aka.ms/securedworkstationgit	特製化 - Windows10-（20H2）。ps1
具特殊權限	https://aka.ms/securedworkstationgit	Privileged-Windows10-（20H2）。ps1

注意

拿掉系統管理員許可權和存取權，以及應用程式執行控制件 （AppLocker） 是由部署的原則設定檔所管理。

腳本成功執行之後，您可以在 Intune 中對設定檔和原則進行更新。 腳本會為您建立原則和配置檔，但您必須將原則指派給 安全工作站 裝置群組。

• 您可以在這裡找到腳本所建立的 Intune 裝置組態配置檔：Azure 入口網站> Microsoft Intune>裝置組態>配置檔。
• 您可以在這裡找到腳本所建立的 Intune 裝置合規性原則：Azure 入口網站> Microsoft Intune>裝置合規性>政策。

從 DeviceConfiguration GitHub 存放庫執行 Intune 數據匯出腳本DeviceConfiguration_Export.ps1，以匯出所有目前的 Intune 配置檔以進行比較，以及評估配置檔。

在適用於 Microsoft Defender 防火牆的 Endpoint Protection 組態配置檔中設定規則

Endpoint Protection 組態配置檔中包含 Windows Defender 防火牆原則設定。 下表所述套用的原則行為。

設定檔	輸入規則	輸出規則	合併行為
企業	封鎖	允許	允許
特殊化	封鎖	允許	封鎖
具特殊權限	封鎖	封鎖	封鎖

企業：此設定最寬鬆，因為它會反映 Windows 安裝的預設行為。 所有輸入流量都會遭到封鎖，但本機原則規則中明確定義的規則會設定為允許合併本機規則。 允許所有輸出流量。

特製化：此設定較嚴格，因為它會忽略裝置上所有本機定義的規則。 所有輸入流量都會遭到封鎖，包括原則包含兩個規則，以允許傳遞優化如設計般運作。 允許所有輸出流量。

特殊許可權：所有輸入流量都會遭到封鎖，包括原則包含兩個規則，以允許傳遞優化如設計般運作。 輸出流量也會遭到封鎖，除了允許 DNS、DHCP、NTP、NSCI、HTTP 和 HTTPS 流量的明確規則之外。 此組態不僅會將裝置呈現的攻擊面減少到網路，而且會限制裝置只能建立的輸出連線，以管理雲端服務所需的連線。

規則	方向	動作	Application / Service	通訊協定	本機埠	遠端埠
萬維網服務 （HTTP 流量輸出）	輸出	允許	全部	TCP	所有連接埠	80
萬維網服務 （HTTPS 流量輸出）	輸出	允許	全部	TCP	所有連接埠	443
核心網路 - IPv6 的動態主機設定通訊協定（DHCPV6-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	TCP	546	547
核心網路 - IPv6 的動態主機設定通訊協定（DHCPV6-Out）	輸出	允許	Dhcp	TCP	546	547
核心網路 - IPv6 的動態主機設定通訊協定（DHCP-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	TCP	68	67
核心網路 - IPv6 的動態主機設定通訊協定（DHCP-Out）	輸出	允許	Dhcp	TCP	68	67
核心網路 - DNS （UDP-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	UDP	所有埠	53
核心網路 - DNS （UDP-Out）	輸出	允許	Dnscache	UDP	所有埠	53
核心網路 - DNS （TCP-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	TCP	所有埠	53
核心網路 - DNS （TCP-Out）	輸出	允許	Dnscache	TCP	所有埠	53
NSCI 探查 （TCP-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	TCP	所有連接埠	80
NSCI 探查 - DNS （TCP-Out）	輸出	允許	NlaSvc	TCP	所有連接埠	80
Windows Time （UDP-Out）	輸出	允許	%SystemRoot%\system32\svchost.exe	TCP	所有連接埠	80
Windows 時間探查 - DNS （UDP-Out）	輸出	允許	W32Time	UDP	所有連接埠	123
傳遞優化 （TCP-In）	傳入	允許	%SystemRoot%\system32\svchost.exe	TCP	7680	所有連接埠
傳遞優化 （TCP-In）	傳入	允許	DoSvc	TCP	7680	所有連接埠
傳遞最佳化 （UDP-In）	傳入	允許	%SystemRoot%\system32\svchost.exe	UDP	7680	所有連接埠
傳遞最佳化 （UDP-In）	傳入	允許	DoSvc	UDP	7680	所有連接埠

注意

Microsoft Defender 防火牆設定中的每個規則都有兩個定義規則。 若要將輸入和輸出規則限制為 Windows 服務，例如 DNS 用戶端，服務名稱、DNSCache 和可執行檔路徑 C：\Windows\System32\svchost.exe，必須定義為個別規則，而不是使用組策略可能的單一規則。

您可以視需要對允許和封鎖的服務管理輸入和輸出規則進行其他變更。 如需詳細資訊，請參閱 防火牆設定服務。

URL 鎖定 Proxy

限制性的 URL 流量管理包括：

• 拒絕選取的 Azure 和 Microsoft 服務 以外的所有輸出流量，包括 Azure Cloud Shell，以及允許自助式密碼重設的能力。
• 特殊許可權配置檔會限制裝置可以使用下列 URL 鎖定 Proxy 設定連線到的因特網端點。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride 清單中所列的端點僅限於向 Microsoft Entra 標識符進行驗證及存取 Azure 或 Office 365 管理介面所需的端點。 若要擴充至其他雲端服務，請將其系統管理 URL 新增至清單。 這種方法的設計目的是限制對較寬因特網的存取，以保護特殊許可權使用者免受以因特網為基礎的攻擊。 如果這種方法被認為太嚴格，請考慮針對特殊許可權角色使用以下所述的方法。

開啟 適用於雲端的 Microsoft Defender 應用程式、URL 限制清單到已核准的網址 （允許最多）

在我們的角色部署中，建議針對企業和特製化部署使用嚴格拒絕所有網頁流覽功能，使用雲端存取安全性代理程式 （CASB） 的功能，例如 適用於雲端的 Microsoft Defender Apps 來封鎖對有風險和可疑網站的存取。 解決方案可解決封鎖已策劃之應用程式和網站的簡單方式。 此解決方案類似於從維護 網域封鎖清單 （DBL） 的 Spamhaus 專案等網站取得封鎖清單的存取權：一個很好的資源，可用來作為進階規則集來實作封鎖網站。

解決方案會提供您：

• 可見度：偵測所有雲端服務;指派每個風險排名;識別能夠登入的所有使用者和第三方應用程式
• 數據安全性：識別和控制敏感性資訊（DLP）：回應內容上的分類標籤
• 威脅防護：提供調適型訪問控制（AAC）：提供使用者和實體行為分析 （UEBA）：緩和惡意代碼
• 合規性：提供報告和儀錶板來示範雲端治理;協助努力符合數據落地和法規合規性需求

啟用 適用於雲端的 Defender Apps 並連線到 Defender ATP，以封鎖存取有風險的 URL：

• 在 Microsoft Defender 資訊安全中心 設定>> 進階功能中，將 適用於雲端的 Microsoft Defender Apps 整合>設為 ON
• 在 Microsoft Defender 資訊安全中心> 設定 > 進階功能中，將 [自定義網络指標>] 設定為 [開啟]
• 在 適用於雲端的 Microsoft Defender 應用程式入口>網站中，設定 > Microsoft Defender ATP 整合>選取 [封鎖未經批准的應用程式]

管理本機應用程式

當移除本機應用程式時，安全工作站會移至真正強化的狀態，包括生產力應用程式。 在這裡，您會新增 Visual Studio Code 以允許連線至 Azure DevOps for GitHub 來管理程式代碼存放庫。

為自訂應用程式設定 公司入口網站

公司入口網站 受 Intune 管理的複本可讓您視需要存取其他工具，以推送至安全工作站的使用者。

在安全模式中，應用程式安裝僅限於 公司入口網站 所傳遞的受控應用程式。 不過，安裝 公司入口網站 需要存取 Microsoft Store。 在您的安全解決方案中，您可以新增並指派適用於 Autopilot 布建裝置的 Windows 10 公司入口網站 應用程式。

注意

請務必將 公司入口網站 應用程式指派給用來指派 Autopilot 配置檔的安全工作站裝置標籤群組。

使用 Intune 部署應用程式

在某些情況下，安全工作站上需要 Microsoft Visual Studio Code 之類的應用程式。 下列範例提供將 Microsoft Visual Studio Code 安裝給安全組 安全工作站使用者的指示。

Visual Studio Code 是以 EXE 套件的形式提供，因此必須使用 Microsoft Win32 內容準備工具來封裝為.intunewin使用 Microsoft 端點管理員進行部署的格式檔案。

在本機將 Microsoft Win32 內容準備工具下載到工作站，並將其複製到封裝的目錄，例如 C：\Packages。 然後，在 C：\Packages 底下建立來源和輸出目錄。

封裝 Microsoft Visual Studio Code

1. 下載適用於 Windows 64 位的離線安裝程式 Visual Studio Code。
2. 將下載的Visual Studio Code exe 檔案複製到 C:\Packages\Source
3. 開啟 PowerShell 控制台並流覽至 C:\Packages
4. 輸入 .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. 輸入 Y 以建立新的輸出資料夾。 Visual Studio Code 的 intunewin 檔案將會在此資料夾中建立。

將 VS Code 上傳至 Microsoft 端點管理員

1. 在 Microsoft 端點管理員系統管理中心，流覽至 [應用程式>] [Windows>新增]
2. 在 [選取應用程式類型] 下，選擇 [Windows 應用程式] [Win32]
3. 按下 [選取應用程式套件檔案]，按下 [選取檔案]，然後從 C:\Packages\Output\VSCodeUserSetup-x64-1.51.1中選取 VSCodeUserSetup-x64-1.51.1.intunewin 。 按一下 [檔案] > [新增] > [專案]
4. 在 [名稱] 欄位中輸入Visual Studio Code 1.51.1
5. 在 [描述] 欄位中輸入 Visual Studio Code 的描述
6. 在發行者欄位中輸入Microsoft Corporation
7. 下載 https://jsarray.com/images/page-icons/visual-studio-code.png 並選取標誌的影像。 選取下一個
8. 在 [安裝] 命令欄位中輸入VSCodeSetup-x64-1.51.1.exe /SILENT
9. 在 [卸載] 命令欄位中輸入C:\Program Files\Microsoft VS Code\unins000.exe
10. 從 [裝置重新啟動行為] 下拉式清單中選取 [根據傳回碼判斷行為]。 選取下一個
11. 從 [作業系統架構] 複選框下拉式清單中選取 64 位
12. 從 [最低操作系統] 複選框下拉式清單中選取 [Windows 10 1903]。 選取下一個
13. 從 [規則格式] 下拉式清單中選取 [手動設定偵測規則]
14. 按兩下 [新增]，然後選取 [規則類型] 下拉式清單的 [檔案]
15. 在 [路徑] 欄位中輸入C:\Program Files\Microsoft VS Code
16. 在 [檔案或資料夾] 欄位中輸入unins000.exe
17. 從下拉式清單中選取 [檔案或資料夾存在 ]，選取 [ 確定 ]，然後選取 [ 下一步]
18. 選取 [下一步 ]，因為此套件沒有相依性
19. 在 [適用於已註冊的裝置] 下，選取 [新增群組]，新增 [特殊許可權使用者] 群組。 按兩下 [ 選取 ] 以確認群組。 選取下一個
20. 按一下 [建立]

使用 PowerShell 建立自訂應用程式和設定

有一些建議的組態設定，包括必須使用PowerShell設定的兩個適用於端點的Defender建議。 這些設定變更無法透過 Intune 中的原則進行設定。

您也可以使用 PowerShell 來擴充主機管理功能。 來自 GitHub 的 PAW-DeviceConfig.ps1 腳本是設定下列設定的範例腳本：

• 拿掉 Internet Explorer
• 拿掉 PowerShell 2.0
• 拿掉 Windows 媒體播放器
• 拿掉工作資料夾用戶端
• 拿掉 XPS 列印
• 啟用和設定休眠
• 實作登錄修正以啟用AppLocker DLL規則處理
• 針對無法使用端點管理員設定的兩個 適用於端點的 Microsoft Defender 建議，實作登錄設定。
  • 設定網路位置時，要求使用者提高許可權
  • 防止儲存網路認證
• 停用網路位置精靈 - 防止使用者將網路位置設定為私人，因而增加 Windows 防火牆中公開的攻擊面
• 將 Windows Time 設定為使用 NTP，並將自動時間服務設定為 [自動]
• 將桌面背景下載並設定為特定映像，以輕鬆地將裝置識別為現成可用的特殊許可權工作站。

來自 GitHub 的 PAW-DeviceConfig.ps1 腳本。

1. 將腳本 [PAW-DeviceConfig.ps1] 下載到本機裝置。
2. 流覽至 Azure 入口網站> Microsoft Intune>裝置>設定 PowerShell 腳本>[新增]。 v 提供文稿的名稱，並指定腳本位置。
3. 選取設定。
   1. 將 [使用登入的認證執行此腳本] 設定為 [否]。
   2. 選取 [確定]。
4. 選取 建立。
5. 選取 [指派>][選取群組]。
   1. 新增安全組 安全工作站。
   2. 選取 [儲存]。

使用您的第一個裝置驗證及測試您的部署

此註冊假設您將使用實體運算裝置。 建議您在採購程式中，OEM、轉銷商、散發者或合作夥伴 在 Windows Autopilot 中註冊裝置。

不過，若要進行測試，可以將 虛擬機器 作為測試案例。 不過請注意，必須修訂個人加入裝置的註冊，才能允許這個加入用戶端的方法。

此方法適用於先前尚未註冊的 虛擬機器 或實體裝置。

1. 啟動裝置，並等候顯示使用者名稱對話方塊
2. 按 SHIFT + F10 以顯示命令提示字元
3. 輸入 ，按 Enter 鍵PowerShell
4. 輸入 ，按 Enter 鍵Set-ExecutionPolicy RemoteSigned
5. 輸入 ，按 Enter 鍵Install-Script GetWindowsAutopilotInfo
6. 輸入 Y 並按下 Enter 以接受 PATH 環境變更
7. 輸入 Y 並按兩下 Enter 以安裝 NuGet 提供者
8. 類型 Y 以信任存放庫
9. 類型執行 Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. 從虛擬機或實體裝置複製 CSV

將裝置匯入 Autopilot

1. 在 Microsoft 端點管理員系統管理中心，移至 [裝置>] [Windows 裝置>] [Windows 註冊>裝置]

2. 選取 [ 匯入 ]，然後選擇您的 CSV 檔案。

3. 等候 Group Tag 更新為 PAW ，並將 Profile Status 變更為 Assigned。

   注意

   安全工作站動態群組會使用群組標籤，讓裝置成為其群組的成員，

4. 將裝置新增至 安全工作站 安全組。

5. 在您想要設定的 Windows 10 裝置上，移至 Windows 設定> Update & Security>Recovery。

   1. 選擇 [重設這部計算機] 底下的 [開始使用]。
   2. 請遵循提示，以設定配置檔和合規性原則來重設及重新設定裝置。

設定裝置之後，請完成檢閱並檢查設定。 在繼續部署之前，請先確認第一個裝置已正確設定。

指派裝置

若要指派裝置和使用者，您必須將選取的 配置檔 對應至安全組。 所有需要服務許可權的新使用者也必須新增至安全組。

使用 適用於端點的 Microsoft Defender 來監視及回應安全性事件

• 持續觀察和監視弱點和設定錯誤
• 利用 適用於端點的 Microsoft Defender 來設定動態威脅的優先順序
• 使用 端點偵測及回應 （EDR） 警示推動弱點的相互關聯
• 使用儀錶板來識別調查期間的機器層級弱點
• 將補救推送至 Intune

設定您的 Microsoft Defender 資訊安全中心。 使用威脅與弱點管理儀錶板概觀的指引。

使用進階威脅搜捕監視應用程式活動

從特製化工作站開始，AppLocker 會啟用，以監視工作站上的應用程式活動。 根據預設，適用於端點的Defender會擷取AppLocker事件和進階搜捕查詢，以判斷AppLocker封鎖哪些應用程式、腳本、DLL 檔案。

注意

特製化和特殊許可權工作站配置檔包含AppLocker原則。 需要部署原則，才能監視用戶端上的應用程式活動。

從 [Microsoft Defender 資訊安全中心 進階搜捕] 窗格中，使用下列查詢傳回 AppLocker 事件

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

監視

• 瞭解如何檢閱您的 曝光分數
• 檢閱 安全性建議
• 管理安全性 補救
• 管理 端點偵測及回應
• 使用 Intune 設定檔監視來監視配置檔。

下一步

• 保護特殊許可權存取概觀
• 特殊許可權存取策略
• 測量成功
• 安全性層級
• 特殊許可權存取帳戶
• 仲介
• 介面
• 特殊許可權存取裝置
• 企業存取模型