在 Intune 中添加终结点保护设置

使用 Intune,可以使用设备配置文件来管理设备上的公共终结点保护安全功能,包括:

  • 防火墙
  • BitLocker
  • 允许和阻止应用
  • Microsoft Defender 和加密

例如,可以创建一个终结点保护配置文件,仅允许 macOS 用户安装来自 Mac App Store 的应用。 或者在 Windows 10 设备上运行应用时启用 Windows SmartScreen。

在创建配置文件之前,请查看详细介绍 Intune 可以针对每个支持平台管理的终结点保护设置的以下文章:

创建包含终结点保护设置的设备配置文件

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“设备” > “配置文件” > “创建配置文件”。

  3. 输入以下属性:

    • 平台:选择设备平台。 选项包括:

      • macOS
      • Windows 10 及更高版本
    • 配置文件:选择“模板” > “终结点保护”。

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,好的策略名称可包括配置文件类型和平台。
    • 描述:输入策略的说明。 此设置是可选的,但建议进行。

    选择“下一步” 。

  6. 在“配置设置”中,根据所选择的平台,可配置的设置有所不同。 选择平台,以了解详细设置:

  7. 选择“下一步”。

  8. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择“下一步”。

  9. 在“适用性规则”中,使用“规则”、“属性”和“值”选项来定义此配置文件如何在已分配的组中应用 。 Intune 会将配置文件应用到满足你输入的规则的设备。 有关适用性规则的详细信息,请参阅适用性规则

    选择“下一步”。

  10. 在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

为 Windows 10 设备添加自定义防火墙规则

在将 Microsoft Defender 防火墙配置为包含 Windows 10 终结点保护规则的配置文件的一部分后,可以为防火墙配置自定义规则。 通过自定义规则,可以扩展 Windows 10 支持的预定义防火墙规则集。

在计划使用带自定义防火墙规则的配置文件时,请考虑以下信息,这些信息可能会影响在配置文件中对防火墙规则进行分组的方式:

  • 每个配置文件最多支持 150 个防火墙规则。 使用超过 150 个规则时,请创建其他配置文件,每个配置文件限制为 150 个规则。

  • 对于每个配置文件,如果单个规则无法使用,则该配置文件中的所有规则都无法使用,并且不会将任何规则应用于设备。

  • 如果某个规则无法使用,则配置文件中的所有规则都将报告为无法使用。 Intune 无法识别哪个单独的规则无法使用。

Windows 防火墙配置服务提供程序 (CSP) 中详细介绍了 Intune 可以管理的防火墙规则。 若要查看 Intune 支持的 Windows 10 设备自定义防火墙设置列表,请参阅自定义防火墙规则

向 Endpoint Protection 配置文件添加自定义防火墙规则

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“设备” > “配置文件” > “创建配置文件”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。

    • 配置文件:选择“模板” > “终结点保护”。

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,好的策略名称可包括配置文件类型和平台。
    • 描述:输入策略的说明。 此设置是可选的,但建议进行。

    选择“下一步”。

  6. 在“配置设置”中,展开“Microsoft Defender 防火墙”。 接下来,对于“防火墙规则”,选择“添加”以打开“创建规则”页。

  7. 指定“防火墙规则”的设置,然后选择“保存”以保存该设置。 若要查看文档中可用的自定义防火墙规则选项,请参阅自定义防火墙规则

    1. 规则将显示在规则列表中的“Microsoft Defender 防火墙”页上。
    2. 若要修改规则,请从列表中选择规则,以打开“编辑规则”页。
    3. 若要从配置文件中删除规则,请选择规则的省略号“(…)”,然后选择“删除”。
    4. 若要更改规则的显示顺序,请选择规则列表顶部的向上箭头、向下箭头图标。

    选择“下一页”。

  8. 在“分配”中,选择将接收此配置文件的设备组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择“下一步”。

  9. 在“适用性规则”中,使用“规则”、“属性”和“值”选项来定义此配置文件如何在已分配的组中应用 。 Intune 会将配置文件应用到满足你输入的规则的设备。 有关适用性规则的详细信息,请参阅适用性规则

    选择“下一步”。

  10. 在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

后续步骤

监视配置文件状态