在 Intune 中配置 Microsoft Defender for Endpoint

使用本文中的信息和过程来配置 Microsoft Defender for Endpoint 与 Intune 的集成。 配置包括下列常规步骤:

  • 为租户启用 Microsoft Defender for Endpoint
  • 载入运行 Android、iOS/iPadOS 和 Windows 10 的设备
  • 使用合规性策略设置设备风险级别
  • 使用条件访问策略来阻止超出预期风险级别的设备

在开始之前,你的环境必须满足先决条件,才能将 Microsoft Defender for Endpoint 与 Intune 配合使用。

在 Intune 中启用 Microsoft Defender for Endpoint

第一步是在 Intune 和 Microsoft Defender for Endpoint 之间设置服务到服务连接。 设置需要对 Microsoft Defender 安全中心和 Intune 的管理访问权限。

只需为每个租户启用一次 Microsoft Defender for Endpoint。

启用 Microsoft Defender for Endpoint

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“终结点安全性” > “Microsoft Defender for Endpoint”,然后选择“打开 Microsoft Defender 安全中心”。

    提示

    如果页面顶部的“连接状态”已设置为“已启用”,则表示已建立与 Intune 的连接,并且管理中心显示的 UI 与以下屏幕截图不同。 在此事件中,可以使用“打开 Microsoft defender For Endpoint 管理控制台”链接以打开 Microsoft Defender 安全中心,并使用以下步骤中的指南确认“Microsoft Intune 连接”已设为“开启”。

    显示打开 Microsoft Defender 安全中心的修补程序的屏幕截图。

  3. 在“Microsoft Defender 安全中心”中:

    1. 选择“设置” > “高级功能”。

    2. 对于“Microsoft Intune 连接”,选择“启用”:

      Microsoft Intune 连接设置屏幕截图。

    3. 选择“保存首选项”。

  4. 返回到 Microsoft Endpoint Manager 管理中心的“Microsoft Defender for Endpoint”。 在“MDM 符合性策略设置”下,根据组织的需求:

    • 将“将 Android 设备连接到 Microsoft Defender for Endpoint”设置为“启用”
    • 将“将 iOS 设备连接到 Microsoft Defender for Endpoint”设置为“启用”
    • 将“将 Windows 设备连接到 Microsoft Defender for Endpoint” 设置为“启用”

    当这些配置处于“开启”状态时,当前通过 Intune 进行管理的适用设备以及将来注册的设备都将连接到 Microsoft Defender for Endpoint 以符合要求。

  5. 选择“保存”。

提示

如果你将新应用集成到 Intune Mobile Threat Defense,并启用与 Intune 的连接,Intune 会在 Azure Active Directory 中创建经典条件访问策略。 集成的每个 MTD 应用(包括 Microsoft Defender for Endpoint 或其他任何 MTD 合作伙伴)都会新建经典条件访问策略。 可以忽略这些策略,但不能对其进行编辑、删除或禁用。

如果删除了经典策略,你将需要删除负责创建它的 Intune 的连接,然后重新设置。 此过程将重新创建经典策略。 不支持将 MTD 应用的经典策略迁移到新的条件访问策略类型。

MTD 应用的经典条件访问策略:

  • 供 Intune MTD 使用,以要求在 Azure AD 中注册设备,这样它们就在与 MTD 合作伙伴通信前有设备 ID 了。 此 ID 是必需的,以便设备可以成功向 Intune 报告其状态。
  • 不会影响其他任何云应用或资源。
  • 此策略与可能创建的用于帮助管理 MTD 的条件访问策略不同。
  • 默认情况下,该策略与用于评估的其他条件访问策略不交互。

要查看经典条件访问策略,请转到 Azure 中的“Azure Active Directory” > “条件访问” > “经典策略” 。

加入设备

在 Intune 中启用对 Microsoft Defender for Endpoint 的支持后,就会在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接。 然后,可以将通过 Intune 管理的设备载入到 Microsoft Defender for Endpoint。 通过载入,可以收集有关设备风险级别的数据。

载入 Windows 设备

连接 Intune 和 Microsoft Defender for Endpoint 后,Intune 将从 Microsoft Defender for Endpoint 接收载入配置包。 使用 Microsoft Defender for Endpoint 的设备配置文件将此包部署到 Windows 设备。

配置包将设备配置为与 Microsoft Defender for Endpoint 服务进行通信以扫描文件和检测威胁。 设备还会根据符合性策略向 Microsoft Defender for Endpoint 报告其风险级别。

使用配置包载入设备后,不需要再次执行本操作。

除了设备配置策略外,还可以使用以下项载入设备:

  • 终结点检测和响应 (EDR) 策略。 Intune EDR 策略是 Intune 终结点安全的一部分,用于配置设备安全性,而不会产生设备配置配置文件中的大量设置所需的开销。 还可以将 EDR 策略与和租户连接的设备一起使用,这些设备是使用 Configuration Manager 管理的。
  • 组策略或 Microsoft Endpoint Configuration Manager

提示

如果使用多个策略或策略类型(如“设备配置”策略和“终结点检测和响应”策略)来管理相同的设备设置(如加入 Defender for Endpoint),可能会导致设备存在策略冲突。 如需了解有关冲突的详细信息,请参阅 管理安全策略 一文中的 管理冲突

创建设备配置文件以载入 Windows 设备

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“终结点安全性” > “终结点检测和响应” > “创建策略” 。

  3. 在“平台”中,选择“Windows 10 及更高版本” 。

  4. 在“配置文件类型”中,选择“终结点检测和响应”,然后选择“创建” 。

  5. 在“基本信息”页上,输入配置文件的“名称”和“说明”(可选) ,然后选择“下一步”。

  6. 在“配置设置”页上,为“终结点检测和响应”配置下列选项:

    • 所有文件的示例共享:返回或设置 Microsoft Defender for Endpoint 示例共享配置参数。
    • 加快遥测报告频率:对于处于高风险的设备,选择“启用”此设置,可以更频繁地向 Microsoft Defender for Endpoint 服务报告遥测。

    有关这些 Microsoft Defender for Endpoint 设置的详细信息,请参阅使用 Microsoft Endpoint Configuration Manager 载入 Windows 10 计算机

    终结点检测和响应的配置选项的屏幕截图。

    备注

    上面的屏幕截图显示了在 Intune 和 Microsoft Defender for Endpoint 之间配置连接后的配置选项。 连接后,会自动生成载入和脱离 blob 的详细信息,并传输到 Intune。

    如果尚未成功配置此连接,则会显示设置“Microsoft Defender for Endpoint 客户端配置包类型”,其中包含用于指定载入和脱离 blob 的选项。

  7. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”继续操作。

  8. 在“分配”页上,选择将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    部署到用户组时,用户必须在设备上登录才能应用策略,该设备可以载入 Defender for Endpoint。

    选择“下一步”。

  9. 完成后,在“查看 + 创建”页上,选择“创建” 。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。 选择“确定”,然后“创建”保存更改,此操作将创建配置文件。

载入 MacOS 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 macOS 设备载入到 Microsoft Defender for Endpoint。 载入将设备配置为与 Microsoft Defender Endpoint 进行通信,然后收集有关设备风险级别的数据。

有关 Intune 的配置指南,请参阅适用于 macOS 的 Microsoft Defender For Endpoint

有关适用于 Mac 的 Microsoft Defender for Endpoint 的其他信息(包括最新版本中的新增功能),请参阅 Microsoft 365 安全文档中的适用于 Mac 的 Microsoft Defender for Endpoint

载入 Android 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 Android 设备载入到 Microsoft Defender for Endpoint。 载入将设备配置为与 Defender for Endpoint 进行通信,然后收集有关设备风险级别的数据。

没有运行 Android 的设备的配置包。 有关适用于 Android 的先决条件和载入说明,请参阅 Microsoft Defender for Endpoint 文档中适用于 Android 的 Microsoft Defender for Endpoint 概述

对于运行 Android 的设备,你还可以使用 Intune 策略修改 Android 上的 Microsoft Defender for Endpoint。 有关详细信息,请参阅 Microsoft Defender for Endpoint Web 保护

载入 iOS/iPadOS 设备

在 Intune 和 Microsoft Defender for Endpoint 之间建立服务到服务连接之后,可以将 iOS/iPadOS 设备载入到 Microsoft Defender for Endpoint。 载入将设备配置为与 Defender for Endpoint 进行通信,然后收集有关设备风险级别的数据。

没有运行 iOS/iPadOS 的设备的配置包。 有关适用于 iOS/iPadOS 的先决条件和载入说明,请参阅 Microsoft Defender for Endpoint 文档中适用于 iOS 的 Microsoft Defender for Endpoint 概述

对于运行 iOS/iPadOS 的设备(处于监督模式下),由于平台在这些类型的设备上提供了增强的管理功能,因此具有特殊功能。 若要利用这些功能,Defender 应用需要知道设备是否处于监督模式。 Intune 让你可以通过应用程序配置策略(针对托管设备)配置 Defender for iOS 应用,该策略是针对所有 iOS 设备的最佳做法。

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“应用” > “应用配置策略” > “托管设备” 。

  3. 在“基本”页上,输入配置文件的名称和说明(可选),选择“iOS/iPadOS”作为“平台”,然后选择“下一步” 。

  4. 选择“Microsoft Defender for iOS”作为“目标应用” 。

  5. 在“设置”页上,将“配置密钥”设置为“issupervised”,然后将“值类型”设置为“字符串”,并将“{{issupervised}}”设置为“配置值” 。

  6. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”继续操作。

  7. 在“分配”页上,选择将接收此配置文件的组。 对于这种情况,最佳做法是将“所有设备”作为目标。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    部署到用户组时,用户必须在设备上登录之后才能应用策略。

    选择“下一步”。

  8. 完成后,在“查看 + 创建”页上,选择“创建” 。 新配置文件将显示在配置文件列表中。

此外,对于运行 iOS/iPadOS 的设备(处于监督模式下),Defender for iOS 团队提供了自定义 .mobileconfig 配置文件,以部署到 iPad/iOS 设备。 这个 .mobileconfig 配置文件将用于分析网络流量,以确保安全浏览体验 - Defender for iOS 的一项功能。

  1. 下载托管在以下位置的 .mobile 配置文件: https://aka.ms/mdatpiossupervisedprofile

  2. 登录到 Microsoft 终结点管理器管理中心

  3. 选择“设备” > “配置文件” > “创建配置文件”。

  4. 对于“平台”,请选择“iOS/iPadOS”

  5. 对于“配置文件类型”,请选择“自定义”,然后选择“创建” 。

  6. 在“基本信息”页上,输入配置文件的“名称”和“说明”(可选) ,然后选择“下一步”。

  7. 输入配置文件名称,然后选择要上传的 .mobileconfig 文件的文件。

  8. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”继续操作。

  9. 在“分配”页上,选择将接收此配置文件的组。 对于这种情况,最佳做法是将“所有设备”作为目标。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    部署到用户组时,用户必须在设备上登录之后才能应用策略。

    选择“下一步”。

  10. 完成后,在“查看 + 创建”页上,选择“创建” 。 新配置文件将显示在配置文件列表中。

创建并分配合规性策略以设置设备风险级别

对于 Android、iOS/iPadOS 和 Windows 设备,合规性策略确定设备可接受的风险级别。

如果对创建合规性策略不熟悉,请参考在 Microsoft Intune 中创建合规性策略一文中的创建策略过程。 以下信息具体介绍如何将 Microsoft Defender for Endpoint 配置为合规性策略的一部分。

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“设备” > “符合性策略” > “策略” > “创建策略”。

  3. 对于“平台”,请使用下拉框选择以下选项之一:

    • Android 设备管理员
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 及更高版本

    接下来,选择“创建”以打开“创建策略”配置窗口 。

  4. 指定“名称”以帮助你稍后识别此策略。 还可以选择指定“说明”。

  5. 在“合规性设置”选项卡上,展开“Microsoft Defender for Endpoint”组并将“要求设备不高于计算机风险评分”选项设置为首选级别。

    威胁级别分类由 Microsoft Defender for Endpoint 确定

    • 清除:此级别是最安全的。 设备不能存在任何威胁,且仍可访问公司资源。 如果发现了任何威胁,设备都会被评估为不符合。 (Microsoft Defender for Endpoint 使用“安全”值。)
    • :如果只有低级别威胁,设备符合策略。 具有中等级别或高级别威胁的设备不符合策略。
    • :如果有低级别或中等级别威胁,设备符合策略。 如果检测到高级别威胁,则设备会被确定为不合规。
    • :此级别最不安全,允许所有威胁级别。 存在高、中等或低级别威胁的设备被视为合规。
  6. 完成策略的配置,包括将策略分配给适用的组。

创建并分配应用保护策略以设置设备风险级别

使用此过程创建适用于 iOS/iPadOS 或 Android 的应用程序保护策略,并使用“应用”、“条件启动”和“分配”页上的以下信息 :

  • 应用:选择你希望应用保护策略针对的应用。 对于此功能集,根据你选择的移动威胁防御供应商提供的设备风险评估,阻止使用或选择性擦除这些应用。

  • 条件启动:在“设备条件”下,使用下拉框选择“允许的最大设备威胁级别”。

    威胁级别“值”选项:

    • 安全:此级别是最安全的。 设备不能存在任何威胁,且仍可访问公司资源。 如果发现了任何威胁,设备都会被评估为不符合。
    • :如果设备上仅存在低级威胁,则该设备符合要求。 低级以上的任意威胁都将使设备不合规。
    • :如果有低级别或中等级别威胁,则设备符合要求。 如果检测到高级别威胁,则设备会被确定为不合规。
    • :此级别的安全性最低并且允许所有威胁级别,且仅将移动威胁防御用作报告目的。 设备必须使用此设置激活 MTD 应用。

    “操作”选项:

    • 阻止访问
    • 擦除数据
  • 分配:向用户组分配策略。 将通过 Intune 应用保护评估组成员所使用的设备,以确定是否允许其访问目标应用上的公司数据。

重要

如果为任何受保护的应用创建了应用保护策略,则该策略会评估设备的威胁级别。 根据具体配置,不符合可接受级别的设备会被阻止,或通过条件启动有选择地擦除。 如果设备被阻止,则它们将无法访问公司资源,直到所选 MTD 供应商解决了设备上的威胁并将其报告给 Intune 为止。

创建条件访问策略

条件访问策略可以使用来自 Microsoft Defender for Endpoint 的数据阻止设备访问超过威胁级别的资源。 可以阻止设备访问公司资源,如 SharePoint 或 Exchange Online。

提示

条件访问是一项 Azure Active Directory (Azure AD) 技术。 在 Microsoft Endpoint Manager 管理中心中找到的条件访问节点是 Azure AD 中的节点 。

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“终结点安全” > “条件访问” > “新策略” 。

  3. 输入策略“名称”,然后选择“用户和组”。 使用“包括”或“排除”选项来添加策略的组,然后选择“完成”。

  4. 选择“云应用”,然后选择要保护的应用。 例如,选取“选择应用”,然后选择“Office 365 SharePoint Online”和“Office 365 Exchange Online”。

    选择“完成”,保存所做的更改。

  5. 选择“条件” > “客户端应用”,将策略应用到应用和浏览器。 例如,选择“是”,然后启用“浏览器”和“移动应用和桌面客户端”。

    选择“完成”,保存所做的更改。

  6. 选择“授予”,应用基于设备符合性的条件访问。 例如,选择“授予访问权限” > “要求设备标记为符合策略”。

    选取“选择”,保存所做的更改。

  7. 选择“启用策略”,然后选择“创建”以保存更改。

后续步骤

有关详细信息,请参阅 Intune 文档:

从 Microsoft Defender for Endpoint 文档中了解详细信息: