租户附加：从管理中心创建和部署防病毒策略

适用于: Configuration Manager(current branch)

在 Microsoft Intune 管理中心中创建Microsoft Defender防病毒策略，并将其部署到Configuration Manager集合。

先决条件

• 访问Microsoft Intune管理中心。
• 环境是附加了已上传设备的租户。
• 已安装 Configuration Manager 的受支持版本和相应版本的控制台。
  • 将目标设备升级到 Configuration Manager 客户端的最新版本。
• 至少一个可用于分配终结点安全策略的Configuration Manager 集合
• Windows为租户附加设备支持此配置文件的设备

将 Microsoft Defender 防病毒策略分配给集合

1. 在浏览器中，转到Microsoft Intune管理中心。
2. 选择“终结点安全性”"，然后选择“防病毒”。
3. 选择“创建策略”。
4. 对于“平台”，选择 Windows 10、Windows 11 和 Windows Server (ConfigMgr) 。
5. 对于“配置文件”，选择“Microsoft Defender 防病毒”，然后选择“创建”。
6. 在基本信息页面上指定一个名称并可选指定一个说明。
7. 在“配置设置”页面上，配置要使用此配置文件管理的设置。 完成配置设置后，选择“下一步”。 有关可用策略的详细信息，请参阅租户附加设备防病毒策略设置。
8. 将策略分配给分配 页面上的 Configuration Manager 集合。

将 Windows 安全体验策略分配给集合

1. 在浏览器中，转到Microsoft Intune管理中心。
2. 选择“终结点安全性”"，然后选择“防病毒”。
3. 选择“创建策略”。
4. 对于“平台”，选择 Windows 10、Windows 11 和 Windows Server (ConfigMgr) 。
5. 对于“配置文件”，请选择“Windows 安全中心体验”，然后选择“创建”。
6. 在基本信息页面上指定一个名称并可选指定一个说明。
7. 在“配置设置”页面上，配置要使用此配置文件管理的设置。 完成配置设置后，选择“下一步”。 有关可用设置的更多信息，请参阅Windows 安全体验 - 租户附加设备的防病毒策略设置。
8. 将策略分配给分配 页面上的 Configuration Manager 集合。

防病毒策略排除合并

（在 Configuration Manager 2103 中推出）

从 配置服务器 2103 开始，当租户附加的设备将两个或多个防病毒策略作为目标时，防病毒排除设置会在应用到客户端之前进行合并。 此更改导致客户端接收每个策略中定义的排除，便于更精细地控制防病毒排除。 对于早期版本的配置服务器，将应用单个策略中的防病毒排除项。 使用此行为，最后应用的策略将确定有效排除。

若要使用此功能，请从包含某些防病毒排除项的 Microsoft Intune 管理中心创建防病毒策略。 创建第二个防病毒策略，其中只包含不同于第一个策略的防病毒排除。 将两种防病毒策略应用于同一集合。 这两个策略的防病毒排除将应用于目标集合中的客户端。

设备状态

可以查看租户附加设备的终结点安全策略的状态。 对于租户附加的客户端的所有终结点安全策略类型，都可以访问“设备状态”页面。 要显示“设备状态”页，请执行以下操作：

1. 选择面向 ConfigMgr 设备的策略，以显示策略的“概述”页。
2. 选择“设备状态”以显示策略所针对的设备列表。
3. “设备状态”页上显示每个设备的“设备名称”、“符合性状态”和“短信 ID”。

Microsoft Intune管理中心中的终结点安全报告

从 Configuration Manager 2303 版本开始，现在可以在 Microsoft Intune 管理中心提供的 Endpoint Security 报告中查看租户附加设备数据。

如果是首次启用云附加，可以在载入向导中启用此功能

如果当前已启用云附加，则需要使用云附加属性，以便按照以下说明为 Microsoft Defender 终结点报告启用数据上传：

1. 在 Configuration Manager 管理控制台中，转到 管理>概述>云服务>云附加。
   • 对于版本 2103 及更早版本，请选择 共同管理 节点。
2. 在功能区中，选择共同管理生产策略的 属性。
3. 在 配置上传 选项卡中，选择 上传到 Microsoft Endpoint Manager 管理中心。 选择“应用”。
   • 设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 如果需要，你可以限制上载到单个设备集合。
   • 选择单个集合时也会上传其子集合。
4. （可选）可以启用 Endpoint Analytics 和基于角色的访问控制
5. 在“配置上传”选项卡中，选择“启用上传Microsoft Defender for Endpoint数据，以便在上传到Microsoft Intune管理中心的设备上报告数据。 选择“应用”。

Microsoft Intune管理中心中的操作报告

1. 在 Intune 管理控制台中，转到“终结点安全性>防病毒”
2. 单击“ 运行不正常的终结点 报告”，可在其中查看设备和用户的线程代理状态的操作报告，以概述哪些处于需要注意的状态。
   • 每条记录将告知你是否已启用恶意软件保护、实时保护和网络保护。
   • 可以查看设备的状态和在额外列中找到的其他信息，以帮助确定后续故障排除步骤。
   • 可以使用“托管者”列基于管理代理筛选设备，还可以以 csv 格式导出报表以供进一步分析。
3. 在 “活动恶意软件 ”报表中，可以查看操作报告，查看检测到恶意软件的设备列表和用户以及恶意软件类别的详细信息。 这将显示恶意软件、设备状态以及设备上发现的恶意软件计数。

Microsoft Intune管理中心中的组织报表

1. 在 Intune 管理控制台中，转到“报表”、“终结点安全性>Microsoft Defender防病毒”
2. 在 “摘要 ”部分下，你将在
3. 单击“ 报告 ”以访问 防病毒代理状态 和 检测到的恶意软件 组织报告。
4. 防病毒代理状态报告显示设备、用户和防病毒代理状态信息的列表。
5. “ 检测到的恶意软件 ”报告显示具有检测到恶意软件的设备列表和用户，以及恶意软件类别的详细信息。

这两个报表都可以根据 “按列管理 ”进行筛选，并且这些报表中的数据将保留在控制台中最多三天，然后要求你再次生成。

后续步骤

• 租户附加设备的防病毒策略设置
• Windows 安全体验 - 租户附加设备的防病毒策略设置
• 创建终结点安全性攻击面减少策略并将其部署到租户附加设备
• 创建终结点安全终结点检测和响应策略并将其部署到租户附加设备
• 创建终结点安全防火墙策略并将其部署到租户附加设备