在载入到 Microsoft Defender for Endpoint 的设备上管理终结点安全策略
使用 Microsoft Defender for Endpoint时,可以从 Microsoft Intune 部署终结点安全策略,以管理已载入到 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 此功能称为 Defender for Endpoint 安全设置管理。
通过安全设置管理管理设备时:
可以使用 Microsoft Intune 管理中心或 Microsoft 365 Defender 门户为 Defender for Endpoint 配置终结点安全性策略,并将这些策略分配给Microsoft Entra ID组。 Defender 门户包括用于设备视图、策略管理的用户界面以及用于安全设置管理的报表。
若要查看有关在 Defender 门户中管理Intune终结点安全策略的指南,请参阅 Defender 内容中的管理Microsoft Defender for Endpoint中的终结点安全策略。
设备根据其 Entra ID 设备对象获取分配的策略。 尚未在 Microsoft Entra 中注册的设备作为此解决方案的一部分加入。
当设备收到策略时,设备上的 Defender for Endpoint 组件会强制实施该策略并报告设备的状态。 设备的状态在Microsoft Intune管理中心和Microsoft Defender门户中可用。
此方案将Microsoft Intune Endpoint Security 图面扩展到无法注册Intune的设备。 当设备由注册到 Intune) Intune (管理设备时,设备不会处理 Defender for Endpoint 安全设置管理的策略。 请改用 Intune 将 Defender for Endpoint 的策略部署到设备。
应用于:
- Windows 10和Windows 11
- Windows Server (2012 R2 及更新)
- Linux
- macOS
先决条件
查看以下部分,了解 Defender for Endpoint 安全设置管理方案的要求。
环境
当受支持的设备加入到Microsoft Defender for Endpoint时:
- 对设备进行现有Microsoft Intune状态调查,这是一种移动设备管理, (MDM) 注册到Intune。
- 没有Intune状态的设备启用安全设置管理功能。
- 对于未完全Microsoft Entra注册的设备,在允许设备检索策略的Microsoft Entra ID中创建合成设备标识。 完全注册的设备使用其当前注册。
- 通过Microsoft Defender for Endpoint在设备上强制实施从Microsoft Intune检索的策略。
政府云尚不支持安全设置管理。 有关详细信息,请参阅适用于美国政府客户的 Microsoft Defender for Endpoint 商业功能奇偶校验。
连接要求
设备必须有权访问以下终结点:
*.dm.microsoft.com- 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。
支持的平台
以下设备平台支持Microsoft Defender for Endpoint安全管理策略:
Linux:
使用适用于 Linux 代理版本 101.23052.0009 或更高版本的 Microsoft Defender for Endpoint,安全设置管理支持以下 Linux 分发版:
- Red Hat Enterprise Linux 7.2 或更高版本
- CentOS 7.2 或更高版本
- Ubuntu 16.04 LTS 或更高版本的 LTS
- Debian 9 或更高版本
- SUSE Linux Enterprise Server 12 或更高版本
- Oracle Linux 7.2 或更高版本
- Amazon Linux 2
- Fedora 33 或更高版本
若要确认 Defender 代理的版本,请在 Defender 门户中转到“设备”页,然后在“设备 清单 ”选项卡上,搜索 Defender for Linux。 有关更新代理版本的指南,请参阅在 Linux 上部署Microsoft Defender for Endpoint更新。
已知问题:对于 Defender 代理版本 101.23052.0009,Linux 设备在缺少以下文件路径时无法注册: /sys/class/dmi/id/board_vendor。
macOS:
使用适用于 macOS 代理版本 101.23052.0004 或更高版本的 Microsoft Defender for Endpoint,安全设置管理支持以下 macOS 版本:
- macOS 14 (Sonoma)
- macOS 13 (Ventura)
- macOS 12 (蒙特利)
- macOS 11 (Big Sur)
若要确认 Defender 代理的版本,请在 Defender 门户中转到“设备”页,然后在“设备 清单 ”选项卡上,搜索 Defender for macOS。 有关更新代理版本的指南,请参阅在 macOS 上为Microsoft Defender for Endpoint部署更新。
已知问题:使用 Defender 代理版本 101.23052.0004 时,在注册安全设置管理之前在 Microsoft Entra ID 中注册的 macOS 设备会在 Microsoft Entra ID 收到重复的设备 ID,这是一种综合注册。 为策略创建Microsoft Entra组时,必须使用安全设置管理创建的合成设备 ID。 在 Microsoft Entra ID,合成设备 ID 的“联接类型”列为空。
Windows:
- 使用 KB5006738) Windows 10 Professional/Enterprise (
- Windows 11 Professional/Enterprise
- 使用适用于 Down-Level 设备的Microsoft Defender Windows Server 2012 R2
- Down-Level 设备的Microsoft Defender Windows Server 2016
- 带 KB5006744) 的 Windows Server 2019 (
- 带 KB5006745) 的 Windows Server 2022 (
安全设置管理不适用于以下设备,并且不支持以下设备:
- 非持久性桌面,例如虚拟桌面基础结构 (VDI) 客户端或 Azure 虚拟桌面。
- 域控制器
重要
在某些情况下,运行下层服务器操作系统 (2012 R2 或 2016) 的域控制器可能会无意中由Microsoft Defender for Endpoint进行管理。 为了确保这种情况不会在你的环境中发生,我们建议确保域控制器既没有标记为“MDE管理”,也没有由MDE管理。
许可和订阅
若要使用安全设置管理,需要:
授予Microsoft Defender for Endpoint许可证(如 Microsoft 365)的订阅,或仅为Microsoft Defender for Endpoint授予独立许可证的订阅。 授予Microsoft Defender for Endpoint许可证的订阅还会授予租户访问Microsoft Intune管理中心的终结点安全节点的权限。
注意
例外:如果只能通过服务器Microsoft Defender访问Microsoft Defender for Endpoint, (Microsoft Defender for Cloud(以前Azure 安全中心) )的一部分,则安全设置管理功能不可用。 需要至少有一个Microsoft Defender for Endpoint (用户) 订阅许可证处于活动状态。
可在终结点安全节点中配置和部署策略,以管理设备的Microsoft Defender for Endpoint并监视设备状态。
有关选项的当前信息,请参阅Microsoft Defender for Endpoint的最低要求。
体系结构
下图是Microsoft Defender for Endpoint安全配置管理解决方案的概念表示形式。
- 载入到Microsoft Defender for Endpoint的设备。
- 设备与Intune通信。 此通信使Microsoft Intune能够在设备检查时分发针对设备的策略。
- 为Microsoft Entra ID中的每个设备建立注册:
- 如果设备以前已完全注册,例如混合联接设备,则使用现有注册。
- 对于尚未注册的设备,在 Microsoft Entra ID 中创建合成设备标识,使设备能够检索策略。 当具有综合注册的设备创建完整的Microsoft Entra注册时,将删除综合注册,并且设备管理通过使用完全注册继续不间断。
- Defender for Endpoint 将策略的状态报告回Microsoft Intune。
重要
安全设置管理对未在Microsoft Entra ID中完全注册的设备使用综合注册,并删除了Microsoft Entra混合加入先决条件。 通过此更改,以前出现注册错误的 Windows 设备将开始加入 Defender,然后接收和处理安全设置管理策略。
若要筛选因不符合Microsoft Entra混合加入先决条件而无法注册的设备,请导航到Microsoft Defender门户中的“设备”列表,并按注册状态进行筛选。 由于这些设备未完全注册,因此其设备属性显示 MDM = Intune 和联接类型 = 为空白。 这些设备现在将使用综合注册进行安全设置管理注册。
注册后,这些设备会显示在Microsoft Defender、Microsoft Intune和Microsoft Entra门户的设备列表中。 虽然设备不会完全注册到 Microsoft Entra,但其综合注册将计为一个设备对象。
Microsoft Defender门户中的预期内容
可以使用Microsoft Defender XDR设备清单,通过查看“托管者”列中的设备状态,确认设备正在使用 Defender for Endpoint 中的安全设置管理功能。 设备侧面板或设备页上也提供了 “托管者 ”信息。 托管者应始终如一地指示其由 MDE 管理。
还可以确认设备已在安全设置管理中成功注册,方法是确认设备端面板或设备页面MDE注册状态显示为“成功”。
如果MDE注册状态未显示“成功”,请确保查看的设备已更新,并且处于安全设置管理范围内。 (配置安全设置 management 时,在“强制范围”页上配置范围。)
Microsoft Intune管理中心的预期内容
在Microsoft Intune管理中心,转到“所有设备”页。 注册了安全设置管理的设备如下所示,如在 Defender 门户中显示。 在管理中心中,“设备管理者”字段应显示MDE。
提示
2023 年 6 月,安全设置管理开始对未在 Microsoft Entra 中完全注册的设备使用综合注册。 通过此更改,以前出现注册错误的设备将开始加入 Defender,然后接收和处理安全设置管理策略。
Microsoft Azure 门户中的预期内容
在“所有设备”页上,在 Microsoft Azure 门户中,可以查看设备详细信息。
为了确保在 Defender for Endpoint 安全设置管理中注册的所有设备都会收到策略,我们建议根据设备的 OS 类型创建动态Microsoft Entra组。 使用动态组时,由 Defender for Endpoint 管理的设备会自动添加到组中,而无需管理员执行其他任务,例如创建新策略。
重要
从 2023 年 7 月到 2023 年 9 月 25 日,安全设置管理运行了一个选择加入公共预览版,该预览版为已管理和注册到该方案的设备引入了新行为。 从 2023 年 9 月 25 日开始,公共预览版行为正式发布,现在适用于所有使用安全设置管理的租户。
如果你在 2023 年 9 月 25 日之前使用了安全设置管理,但未加入从 2023 年 7 月到 2023 年 9 月 25 日运行的选择加入公共预览版,请查看依赖于系统标签进行更改的Microsoft Entra组,以识别使用安全设置管理管理管理管理管理的新设备。 这是因为在 2023 年 9 月 25 日之前,未通过选择加入公共预览版管理的设备将使用以下系统标签 (标记) MDEManaged 和 MDEJoined 来标识托管设备。 这两个系统标签不再受支持,不再添加到注册的设备。
对动态组使用以下指南:
(建议) 面向策略时,请使用基于设备平台的动态组, (Windows、Windows Server、macOS、Linux) 使用 deviceOSType 属性,以确保继续为更改管理类型的设备提供策略,例如在 MDM 注册期间。
如有必要,通过使用 managementType 属性 MicrosoftSense 定义动态组,可以针对包含 Defender for Endpoint 管理的独占设备的动态组。 使用此属性以 Defender for Endpoint 通过安全设置管理功能管理的所有设备为目标,并且设备仅在由 Defender for Endpoint 管理时保留在此组中。
此外,在配置安全设置管理时,如果打算使用Microsoft Defender for Endpoint管理整个 OS 平台群,请在“Microsoft Defender for Endpoint强制范围”页中选择所有设备,而不是标记的设备,了解所有综合注册都会计入针对Microsoft Entra ID配额与完整注册相同。
应使用哪种解决方案?
Microsoft Intune包括多种方法和策略类型,用于管理设备上的 Defender for Endpoint 配置。 下表确定了支持部署到 Defender for Endpoint 安全设置管理管理的设备Intune策略和配置文件,并有助于确定此解决方案是否适合你的需求。
部署 Defender for Endpoint 安全设置管理和Microsoft Intune支持的终结点安全策略时,可以通过以下方法处理该策略的单个实例:
- 通过安全设置管理 (Microsoft Defender) 支持的设备
- 由 Intune 或 Configuration Manager 管理的设备。
由安全设置管理管理的设备不支持Windows 10及更高版本的平台的配置文件。
每种设备类型支持以下配置文件:
Linux
以下策略类型支持 Linux 平台。
| 终结点安全策略 | 配置文件 | Defender for Endpoint 安全设置管理 | Microsoft Intune |
|---|---|---|---|
| 防病毒 | Microsoft Defender 防病毒 |  |
|
| 防病毒 | Microsoft Defender 防病毒软件排除 | |
|
| 终结点检测和响应 | 终结点检测和响应 | |
|
macOS
以下策略类型支持 macOS 平台。
| 终结点安全策略 | 配置文件 | Defender for Endpoint 安全设置管理 | Microsoft Intune |
|---|---|---|---|
| 防病毒 | Microsoft Defender 防病毒 | |
|
| 防病毒 | Microsoft Defender 防病毒软件排除 | |
|
| 终结点检测和响应 | 终结点检测和响应 | |
|
Windows 10、Windows 11 和 Windows Server
若要支持与Microsoft Defender安全设置管理配合使用,适用于 Windows 设备的策略必须使用 Windows 10、Windows 11 和 Windows Server 平台。 Windows 10、Windows 11和 Windows Server 平台的每个配置文件都可以应用于由 Intune 管理的设备,以及由安全设置管理管理的设备。
| 终结点安全策略 | 配置文件 | Defender for Endpoint 安全设置管理 | Microsoft Intune |
|---|---|---|---|
| 防病毒 | Defender 更新控件 | |
|
| 防病毒 | Microsoft Defender 防病毒 | |
|
| 防病毒 | Microsoft Defender 防病毒软件排除 | |
|
| 防病毒 | Windows 安全中心体验 | 注释 1 | |
| 攻击面减少 | 攻击面减少规则 | |
|
| 终结点检测和响应 | 终结点检测和响应 | |
|
| 防火墙 | 防火墙 | |
|
| 防火墙 | 防火墙规则 | |
|
1 - Windows 安全中心体验配置文件在 Defender 门户中可用,但仅适用于由 Intune 管理的设备。 Microsoft Defender安全设置管理管理的设备不支持它。
终结点安全策略 是独立的设置组,供专注于保护组织中的设备的安全管理员使用。 以下是支持安全设置管理的策略的说明:
防病毒策略管理在 Microsoft Defender for Endpoint 中找到的安全配置。 有关终结点安全性,请参阅 防病毒 策略。
注意
虽然终结点不需要重启即可应用修改的设置或新策略,但我们注意到以下问题: AllowOnAccessProtection 和 DisableLocalAdminMerge 设置有时可能需要最终用户重启其设备才能更新这些设置。 我们目前正在调查此问题,以提供解决方案。
攻击面减少 (ASR) 策略侧重于最大程度地减少组织容易受到网络威胁和攻击的位置。 使用安全设置管理,ASR 规则适用于运行 Windows 10、Windows 11 和 Windows Server 的设备。
有关哪些设置适用于不同平台和版本的当前指南,请参阅 Windows 威胁防护文档中 的 ASR 规则支持的操作系统 。
提示
若要帮助使受支持的终结点保持最新状态,请考虑使用适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案。
另请参阅:
终结点检测和响应 (EDR) 策略管理 Defender for Endpoint 功能,这些功能提供近乎实时且可操作的高级攻击检测。 根据 EDR 配置,安全分析师可以有效地确定警报的优先级,深入了解整个漏洞范围,并采取响应操作来修正威胁。 有关终结点安全性,请参阅终结点 检测和响应 策略。
防火墙 策略侧重于设备上的 Defender 防火墙。 有关终结点安全性,请参阅 防火墙 策略。
防火墙规则 为防火墙配置精细规则,包括特定端口、协议、应用程序和网络。 有关终结点安全性,请参阅 防火墙 策略。
配置租户以支持 Defender for Endpoint 安全设置管理
若要通过 Microsoft Intune 管理中心支持安全设置管理,必须从每个控制台中启用它们之间的通信。
以下部分将指导你完成该过程。
配置Microsoft Defender for Endpoint
在 Microsoft Defender for Endpoint 门户中,以安全管理员身份:
登录到Microsoft Defender门户,转到“设置终结点>配置管理>强制范围”>,并启用平台进行安全设置管理。
注意
如果你在Microsoft Defender for Endpoint门户中具有“在安全中心管理安全设置”权限,并且同时能够查看所有设备组中的设备, (用户权限) 没有基于角色的访问控制限制,也可以执行此操作。
最初,我们建议通过选择“ 在已标记的设备上”的平台“选项,然后使用 标记标记设备来测试每个平台的功能
MDE-Management。重要
安全设置管理目前不支持使用 Microsoft Defender for Endpoint 的动态标记功能来标记具有 MDE-Management 的设备。 通过此功能标记的设备不会成功注册。 此问题仍在调查中。
提示
使用适当的设备标记在少量设备上测试和验证推出。 选择“ 所有设备”时,将自动注册属于所配置范围的任何设备。
为云载入设备的Microsoft Defender配置功能,并Configuration Manager机构设置,以满足组织的需求:
提示
若要确保Microsoft Defender for Endpoint门户用户跨门户拥有一致的权限(如果尚未提供),请请求 IT 管理员向他们授予Microsoft Intune Endpoint Security Manager内置 RBAC 角色。
配置Intune
在 Microsoft Intune 管理中心,你的帐户需要的权限等于 Endpoint Security Manager 内置基于角色的访问控制 (RBAC) 角色。
选择“终结点安全性>Microsoft Defender for Endpoint”,并将“允许Microsoft Defender for Endpoint强制实施终结点安全配置”设置为“开”。
将此选项设置为“开”时,Microsoft Defender for Endpoint平台范围中不受Microsoft Intune管理的所有设备都有资格加入Microsoft Defender for Endpoint。
将设备载入到 Microsoft Defender for Endpoint
Microsoft Defender for Endpoint支持多种选项来载入设备。 有关当前指南,请参阅 Defender for Endpoint 文档中的载入到Microsoft Defender for Endpoint。
与Microsoft Configuration Manager共存
在某些环境中,可能需要对由 Configuration Manager 管理的设备使用安全设置管理。 如果同时使用这两者,则需要通过单个通道控制策略。 使用多个通道会产生冲突和意外结果。
若要支持此功能,请使用 配置“管理安全性”设置,Configuration Manager切换到“关闭”。 登录到 Microsoft Defender 门户,然后转到“设置终结点>>配置管理>强制范围”:
创建Microsoft Entra组
设备载入 Defender for Endpoint 后,需要创建设备组以支持部署Microsoft Defender for Endpoint策略。 若要标识已注册Microsoft Defender for Endpoint但不受Intune或Configuration Manager管理的设备:
转到 “设备>所有设备”,然后选择“ 托管者 ”列,对设备视图进行排序。 加入到Microsoft Defender for Endpoint但不是由Intune管理的设备在“托管者”列中显示Microsoft Defender for Endpoint。 这些设备可以接收安全设置管理策略。
载入到Microsoft Defender for Endpoint且已注册但不受Intune管理的设备在“托管者”列中显示Microsoft Defender for Endpoint。 这些设备可以接收Microsoft Defender for Endpoint的安全管理策略。
从 2023 年 9 月 25 日开始,无法再使用以下系统标签来识别对Microsoft Defender for Endpoint使用安全管理的设备:
- MDEJoined - 一个现已弃用的标记,以前已添加到作为此方案的一部分加入目录的设备。
- MDEManaged - 以前已添加到主动使用安全管理方案的设备的已弃用标记。 如果 Defender for Endpoint 停止管理安全配置,则会从设备中删除此标记。
可以使用管理类型属性并将其配置为 MicrosoftSense,而不是使用系统标签。
可以在 Microsoft Entra 或 Microsoft Intune 管理中心内为这些设备创建组。 创建组时,如果要将策略部署到运行 Windows Server 的设备与运行客户端版本 Windows 的设备,则可以使用设备的 OS 值:
- Windows 10和Windows 11 - deviceOSType 或 OS 显示为 Windows
- Windows Server - deviceOSType 或 OS 显示为 Windows Server
- Linux 设备 - deviceOSType 或 OS 显示为 Linux
使用规则语法的示例Intune动态组
Windows 工作站:
Windows Server:
Linux 设备:
重要
2023 年 5 月, deviceOSType 更新为区分 Windows 客户端 和 Windows Server。
自定义脚本和Microsoft Entra在此更改之前创建的动态设备组,这些组指定仅引用 Windows 的规则时,与安全管理Microsoft Defender for Endpoint解决方案一起使用时,可能会排除 Windows Server。 例如:
- 如果你有一个使用
equals或not equals运算符来标识 Windows 的规则,此更改将影响你的规则。 这是因为以前 Windows 和 Windows Server 都报告为 Windows。 若要继续包含这两者,必须更新规则以同时引用 Windows Server。 - 如果你有使用 或
like运算符指定 Windows 的规则contains,则该规则不会受到此更改的影响。 这些运算符可以同时找到 Windows 和 Windows Server。
提示
委派管理终结点安全设置功能的用户可能无法在 Microsoft Intune 中实现租户范围的配置。 有关组织中的角色和权限的详细信息,请咨询Intune管理员。
部署策略
创建包含由 Microsoft Defender for Endpoint 管理的设备的一个或多个Microsoft Entra组后,可以创建以下策略并将其部署到这些组进行安全设置管理。 可用的策略和配置文件因平台而异。
有关安全设置管理支持的策略和配置文件组合列表,请参阅本文前面的图表,请参阅我 应使用哪种解决方案? 。
提示
避免将管理相同设置的多个策略部署到设备。
Microsoft Intune支持将每个终结点安全策略类型的多个实例部署到同一设备,设备单独接收每个策略实例。 因此,设备可能会从不同的策略接收相同设置的单独配置,这会导致冲突。 某些设置 ((如防病毒排除) )将在客户端上合并并成功应用。
转到 “终结点安全性”,选择要配置的策略类型,然后选择“ 创建策略”。
对于策略,请选择要部署的平台和配置文件。 有关支持安全设置管理的平台和配置文件的列表,请参阅本文前面的图表,请参阅我 应使用哪种解决方案? 。
注意
支持的配置文件适用于通过移动设备管理 (MDM) 与Microsoft Intune进行通信的设备,以及使用 Microsoft Defender for Endpoint 客户端进行通信的设备。
确保根据需要查看目标和组。
选择“创建”。
在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。
在 “配置设置 ”页上,选择要使用此配置文件管理的设置。
若要了解有关设置的详细信息,请展开其 信息 对话框并选择“ 了解详细信息 ”链接,以查看该设置 (云解决方案提供商) 文档或相关详细信息。
完成配置设置后,选择“下一步”。
在“分配”页上,选择接收此配置文件的Microsoft Entra组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
选择“下一步”以继续。
提示
- 由安全设置管理的设备不支持分配筛选器。
- 只有设备对象适用于Microsoft Defender for Endpoint管理。 不支持以用户为目标。
- 配置的策略将同时应用于 Microsoft Intune 和 Microsoft Defender for Endpoint 客户端。
完成策略创建过程,然后在“ 查看 + 创建 ”页上,选择“ 创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
等待分配策略,并查看策略已应用的成功指示。
可以使用 Get-MpPreference 命令实用工具验证设置是否已在客户端本地应用。
监视状态
此通道中面向设备的策略的状态和报告可从Microsoft Intune管理中心的“终结点安全性”下的策略节点获取。
钻取到策略类型,然后选择策略以查看其状态。 可以在本文前面的表中查看支持安全设置管理 的平台、策略类型和配置文件的列表。
选择策略时,可以查看有关设备检查状态的信息,并且可以选择:
查看报告 - 查看已接收策略的设备列表。 你可以选择要钻取的设备,并查看其按设置的状态。 然后,可以选择一个设置来查看有关它的详细信息,包括管理相同设置的其他策略,这可能是冲突的根源。
按设置状态 - 查看策略管理的设置,以及每个设置的成功、错误或冲突计数。
常见问题解答和注意事项
设备检查频率
此功能管理的设备每 90 分钟检查一次Microsoft Intune来更新策略。
可以从Microsoft Defender门户手动同步设备。 登录到门户并转到 “设备”。 选择由 Microsoft Defender for Endpoint 管理的设备,然后选择“策略同步”按钮:
“策略同步”按钮仅显示由Microsoft Defender for Endpoint成功管理的设备。
受篡改防护保护的设备
如果设备已启用篡改防护,则如果不先禁用 篡改防护 ,则无法编辑防篡改设置的值。
分配筛选器和安全设置管理
通过Microsoft Defender for Endpoint通道进行通信的设备不支持分配筛选器。 虽然可以将分配筛选器添加到可能面向这些设备的策略,但设备会忽略分配筛选器。 对于分配筛选器支持,设备必须注册到Microsoft Intune。
删除和删除设备
可以使用以下两种方法之一删除使用此流的设备:
- 在Microsoft Intune管理中心内,转到“设备>所有设备”,选择在“托管者”列中显示 MDEJoined 或 MDEManaged 的设备,然后选择“删除”。
- 还可以将设备从安全中心的“配置管理”范围中删除。
从任一位置删除设备后,更改将传播到其他服务。
无法在 Endpoint Security 中为Microsoft Defender for Endpoint工作负荷启用安全管理
大多数初始预配流通常由两个服务 ((例如全局管理员) )的管理员完成。 在某些情况下,基于角色的管理用于自定义管理员的权限。 目前,被委托为 Endpoint Security Manager 角色的个人可能没有启用此功能所需的权限。
已加入Microsoft Entra设备
已加入 Active Directory 的设备使用其现有基础结构来完成Microsoft Entra混合加入过程。
不支持的安全设置
以下安全设置正在等待弃用。 Defender for Endpoint 安全设置管理流不支持以下设置:
- 加速 终结点检测和响应) 下的遥测报告频率 (
- 防病毒) 下的 AllowIntrusionPreventionSystem (
- Windows 安全中心体验) 下的篡改防护 (。 此设置不是待弃用,但目前不受支持。
在域控制器上使用安全设置管理
由于需要Microsoft Entra ID信任,因此目前不支持域控制器。 我们正在研究添加此支持的方法。
重要
在某些情况下,运行下层服务器操作系统 (2012 R2 或 2016) 的域控制器可能会无意中由Microsoft Defender for Endpoint进行管理。 为了确保这种情况不会在你的环境中发生,我们建议确保域控制器既没有标记为“MDE管理”,也没有由MDE管理。
服务器核心安装
由于服务器核心平台限制,安全设置管理不支持服务器核心安装。
PowerShell 限制模式
需要启用 Powershell。
安全设置管理不适用于配置了约束语言模式enabled的 PowerShell LanguageMode 的设备。 有关详细信息,请参阅 PowerShell 文档中的 about_Language_Modes 。
如果以前使用过第三方安全工具,请通过MDE管理安全性
如果计算机上以前有第三方安全工具,现在使用MDE对其进行管理,则可能对MDE在极少数情况下管理安全设置的能力产生一些影响。 在这种情况下,作为故障排除措施,请在计算机上卸载并重新安装最新版本的 MDE。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈