查看和编辑设备保护策略
在Microsoft 365 商业高级版中,托管设备的安全设置是通过Microsoft Defender门户或Microsoft Intune管理中心的设备保护策略配置的。 为了帮助简化设置和配置,有一些预配置的策略有助于在组织设备加入后立即保护它们。 可以使用默认策略、编辑现有策略或创建自己的策略。
本指南介绍如何执行以下操作:
- 获取默认策略的概述
- 在 Microsoft Defender 门户或 Microsoft Intune 管理中心中使用设备策略。
关于默认设备保护策略
Microsoft 365 商业高级版包括两种保护组织设备的主要策略类型:
下一代保护策略,该策略确定如何配置 Microsoft Defender 防病毒和其他威胁防护功能。
防火墙策略,该策略确定允许哪些网络流量流入和流出组织的设备。
其他策略包括:
- Web 内容筛选,使安全团队能够根据内容类别 ((如成人内容、高带宽、法律责任和休闲) )跟踪和规范对网站的访问。 有关详细信息,请参阅 Microsoft Defender 商业版 中的 Web 内容筛选。
- 受控的文件夹访问权限,仅允许受信任的应用访问 Windows 设备上的受保护文件夹。 可将此功能视为勒索软件防护。 有关详细信息,请参阅在 Microsoft Defender 商业版 中设置或编辑受控文件夹访问策略。
- 攻击面减少规则 ,可帮助减少企业可能容易受到网络威胁和攻击的位置和方式。 有关详细信息,请参阅在 Microsoft Defender 商业版 中启用攻击面减少规则。
这些策略是 Microsoft Defender for Business 的一部分,包含在 Microsoft 365 Business Premium 订阅中。 在Microsoft Defender门户或Microsoft Intune管理中心中提供了有关使用策略的信息。
在 Microsoft Defender 门户中使用设备策略
以下详细信息适用于在 Microsoft Defender 门户中使用策略 (https://security.microsoft.com) 。
查看Microsoft Defender XDR中的现有设备保护策略
在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择一个操作系统选项卡(例如,“Windows 客户端”),然后查看“下一代保护”和“防火墙”类别下的策略列表。
若要查看有关策略的更多详细信息,请选择其名称。 将打开一个侧窗格,该窗格提供有关该策略的详细信息,例如哪些设备受该策略保护。
在 Microsoft Defender XDR 中编辑现有设备保护策略
在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择一个操作系统选项卡(例如,“Windows 客户端”),然后查看“下一代保护”和“防火墙”类别下的策略列表。
若要编辑策略,请选择其名称,然后选择“编辑”。
在“常规信息”选项卡上,查看信息。 如有必要,可以编辑说明。 然后选择“下一步”。
在“设备组”选项卡上,确定应接收此策略的设备组。
- 若要保持所选设备组不变,请选择“下一步”。
- 若要从策略中删除设备组,请选择“删除”。
- 若要设置新的设备组,请选择“新建组”,然后设置设备组。 (若要获取有关此任务的帮助,请参阅 Microsoft 365 商业高级版中的设备组。)
- 若要将策略应用到另一个设备组,请选择“使用现有组”。
指定哪些设备组应接收策略后,请选择“下一步”。
在“配置设置”选项卡上,查看设置。 如有必要,可以编辑策略的设置。 若要获取有关此任务的帮助,请参阅以下文章:
指定下一代保护设置后,请选择“下一步”。
在“查看策略”选项卡上,查看常规信息、目标设备和配置设置。
- 选择“编辑”进行任何所需的更改。
- 准备好继续时,请选择“ 更新策略”。
在 Microsoft Defender XDR 中创建新的设备保护策略
在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,选择“设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择一个操作系统选项卡(例如,“Windows 客户端”),然后查看“下一代保护”策略的列表。
在“下一代保护”或“防火墙”下,选择“+ 添加”。
在“常规信息”选项卡上,执行以下步骤:
- 指定名称和说明。 此信息将帮助你和你的团队稍后确定策略。
- 查看策略顺序,并在必要时对其进行编辑。 (有关详细信息,请参阅策略顺序。)
- 选择 下一步。
在“设备组”选项卡上,创建新的设备组,或使用现有组。 策略通过设备组分配给设备。 下面是需要记住的一些事项:
- 最初,你可能只有默认设备组,其中包括组织中人员用来访问组织数据和电子邮件的设备。 可以保留和使用默认设备组。
- 创建新的设备组,以应用具有与默认策略不同的特定设置的策略。
- 设置设备组时,请指定某些条件,例如操作系统版本。 符合条件的设备包括在该设备组中,除非排除它们。
- 所有设备组(包括你定义的默认和自定义设备组)都存储在Microsoft Entra ID 中。
若要详细了解设备组,请参阅 Microsoft Defender 商业版中的设备组。
在“配置设置”选项卡上,指定策略的设置,然后选择“下一步”。 有关各个设置的详细信息,请参阅 Microsoft Defender 商业版中的下一代配置设置。
在“查看策略”选项卡上,查看常规信息、目标设备和配置设置。
- 选择“编辑”进行任何所需的更改。
- 准备好继续操作时,请选择“ 创建策略”。
在 Microsoft Intune 管理中心内使用设备策略
使用以下信息在 Intune 中创建和管理设备策略,通过 Microsoft Intune 管理中心的终结点安全性 (https://intune.microsoft.com) 完成。
在 Intune 中创建策略
在Microsoft Intune管理中心 (https://intune.microsoft.com) ,选择“终结点安全性”和要配置的策略类型,然后选择“创建策略”。
从以下策略类型中进行选择:
- 防病毒
- 磁盘加密
- 防火墙
- 终结点检测和响应
- 攻击面减少
- 帐户保护
指定以下属性:
- 平台:选择要为其创建策略的平台。 可用选项取决于所选的策略类型。
- 配置文件:从所选平台的可用配置文件中进行选择。 有关配置文件的信息,请参阅本文中针对所选策略类型的专用部分。
然后选择“创建”。
在“基本信息”页上,输入配置文件的名称和说明,然后选择“下一步”。
在“配置设置”页上,展开每个设置组,并使用此配置文件配置要管理的设置。 然后选择“下一步”。
在“分配”页上,选择将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 然后选择“下一步”。
完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
在 Intune 中复制策略
在Microsoft Intune管理中心 (https://intune.microsoft.com) ,选择要复制的策略。 接下来,选择“ 复制 ”或选择策略右侧的省略号 (...) ,然后选择“ 复制”。
为策略提供新名称,然后选择“ 保存”。
在 Intune 中编辑策略
在Microsoft Intune管理中心 (https://intune.microsoft.com) ,选择一个策略,然后选择“属性”。
选择设置展开策略中的配置设置列表。 无法从此视图中修改设置,但可以查看这些设置的配置方式。
若要修改策略,请为要进行更改的每个类别选择“编辑”:
- 基本信息
- 作业
- 作用域标记
- 配置设置
进行更改后,选择“ 保存” 以保存编辑内容。 必须先保存对一个类别的编辑,然后才能向任何其他类别引入编辑。
管理冲突
可使用终结点安全策略管理的许多设备设置也可通过 Intune 中的其他策略类型使用。 这些其他策略类型包括设备配置策略和安全基线。 由于设置可以通过多种不同的策略类型或同一策略类型的多个实例进行管理,因此请准备好识别和解决不符合预期配置的设备的策略冲突。
安全基线可以为设置设置非默认值,以符合基线地址的建议配置。
其他策略类型(包括终结点安全策略)默认设置“未配置”值。 这些其他策略类型要求你在策略中显式配置设置。
无论策略方法如何,通过多个策略类型或通过同一策略类型的多个实例在同一设备上管理同一设置都可能导致应避免的冲突。
如果遇到策略冲突,请参阅排查Microsoft Intune中的策略和配置文件问题。
另请参阅
后续步骤
设置和管理设备组。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈