使用 Microsoft Intune 加入

  • 项目

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

本文充当载入方法的示例。

规划 一文中,提供了多种方法将设备载入服务。 本文介绍云原生体系结构。

云原生体系结构环境体系结构示意图

虽然 Defender for Endpoint 支持载入各种终结点和工具,但本文不介绍它们。 有关使用其他受支持的部署工具和方法进行常规载入的信息,请参阅 载入概述

Microsoft Intune系列产品是统一多个服务的解决方案平台。 它包括Microsoft IntuneMicrosoft Configuration Manager

本文指导用户:

  • 步骤 1:通过在 Microsoft Intune 中创建组来将设备加入服务,以分配配置
  • 步骤 2:使用 Microsoft Intune 配置 Defender for Endpoint 功能

本载入指南指导你完成使用Microsoft Intune时需要执行的以下基本步骤:

资源

下面是此过程的其余部分所需的链接:

有关Microsoft Intune的详细信息,请转到Microsoft Intune安全地管理标识、管理应用和管理设备

步骤 1:通过在 Intune 中创建组来为其分配配置来载入设备

标识目标设备或用户

在本部分中,我们将创建一个测试组来分配配置。

注意

Intune使用Microsoft Entra组来管理设备和用户。 Intune 管理员可以设置组以适合组织需求。

有关详细信息,请参阅添加用于组织用户和设备的组

创建群组

  1. 打开Microsoft Intune管理中心。

  2. 打开 “组 > ”“新建组”。

    Microsoft Intune管理中心1

  3. 输入详细信息并创建新组。

    Microsoft Intune管理中心2

  4. 添加测试用户或设备。

  5. “组 > 所有组 ”窗格中,打开新组。

  6. 选择 “成员 > ”“添加成员”。

  7. 找到测试用户或设备并将其选中。

    Microsoft Intune管理中心3

  8. 测试组现在有一个成员要测试。

步骤 2:Create配置策略以配置Microsoft Defender for Endpoint功能

在下一部分中,将创建多个配置策略。

首先,是一个配置策略,用于选择将哪些用户组或设备载入到 Defender for Endpoint:

然后,继续创建几种不同类型的终结点安全策略:

终结点检测和响应

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全 > 终结点检测和响应”。 选择“Create策略”。

    Microsoft Intune管理中心4

  3. “平台”下,选择“Windows 10”、“Windows 11”和“Windows Server”“配置文件 - 终结点检测和响应>Create”。

  4. 输入名称和说明,然后选择“ 下一步”。

    Microsoft Intune管理中心5

  5. 根据需要选择“设置”,然后选择“ 下一步”。

    Microsoft Intune管理中心6

    注意

    在此实例中,由于 Defender for Endpoint 已与 Intune 集成,因此已自动填充。 有关集成的详细信息,请参阅在 Intune 中启用Microsoft Defender for Endpoint

    下图是当Microsoft Defender for Endpoint未与Intune集成时将看到的内容的示例:

    Microsoft Intune管理中心7

  6. 如有必要,请添加范围标记,然后选择“ 下一步”。

    Microsoft Intune管理中心8

  7. 单击“ 选择要包含的组” 并选择组,然后选择“ 下一步”添加测试组。

    Microsoft Intune管理中心9

  8. 查看并接受,然后选择“Create”。

    Microsoft Intune管理中心10

  9. 可以查看已完成的策略。

    Microsoft Intune管理中心11

下一代保护

  1. 打开Intune管理中心。

  2. 导航到“终结点安全性>防病毒>Create策略”。

    Microsoft Intune管理中心12

  3. 选择“平台 - Windows 10及更高版本 - Windows 和配置文件 - Microsoft Defender防病毒>Create”。

  4. 输入名称和说明,然后选择“ 下一步”。

    Microsoft Intune管理中心13

  5. “配置设置”页中:设置Microsoft Defender防病毒 (云保护、排除项、Real-Time 保护和修正) 所需的配置。

    Microsoft Intune管理中心14

  6. 如有必要,请添加范围标记,然后选择“ 下一步”。

    Microsoft Intune管理中心15

  7. 选择要包含的组,分配给测试组,然后选择“ 下一步”。

    Microsoft Intune管理中心16

  8. 查看并创建,然后选择“Create”。

    Microsoft Intune管理中心17

  9. 你将看到创建的配置策略。

    Microsoft Intune管理中心18

攻击面减少 - 攻击面减少规则

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全性 > 攻击面减少”。

  3. 选择“创建策略”

  4. 选择平台 - Windows 10和更高版本 - 配置文件 - 攻击面减少规则>Create

    Microsoft Intune管理中心19

  5. 输入名称和说明,然后选择“ 下一步”。

    Microsoft Intune管理中心20

  6. “配置设置”页中:设置攻击面减少规则所需的配置,然后选择“ 下一步”。

    注意

    我们将将所有攻击面减少规则配置为“审核”。

    有关详细信息,请参阅 攻击面减少规则

    Microsoft Intune管理中心21

  7. 根据需要添加作用域标记,然后选择“ 下一步”。

    Microsoft Intune管理中心22

  8. 选择要包含的组并将其分配给测试组,然后选择“ 下一步”。

    Microsoft Intune管理中心23

  9. 查看详细信息,然后选择“Create”。

    Microsoft Intune管理中心24

  10. 查看策略。

    Microsoft Intune管理中心25

攻击面减少 - Web 防护

  1. 打开Intune管理中心。

  2. 导航到 “终结点安全性 > 攻击面减少”。

  3. 选择“创建策略”

  4. 选择“Windows 10和更高版本 - Web 保护>Create”。

    Microsoft Intune管理中心26

  5. 输入名称和说明,然后选择“ 下一步”。

    Microsoft Intune管理中心27

  6. “配置设置”页中:设置 Web 保护所需的配置,然后选择“ 下一步”。

    注意

    我们正在将 Web 保护配置为“阻止”。

    有关详细信息,请参阅 Web 保护

    Microsoft Intune管理中心28

  7. 根据需要添加 作用域标记 > 下一步

    Microsoft Intune管理中心29

  8. 选择“ 分配到测试组 > 下一步”。

    Microsoft Intune管理中心30

  9. 选择“查看并Create > Create”。

    Microsoft Intune管理中心31

  10. 查看策略。

    Microsoft Intune管理中心32

验证配置设置

确认已应用策略

分配配置策略后,应用需要一些时间。

有关计时的信息,请参阅Intune配置信息

若要确认配置策略已应用于测试设备,请针对每个配置策略遵循以下过程。

  1. 打开Intune管理中心并导航到相关策略,如上一部分所示。 以下示例演示下一代保护设置。

    Microsoft Intune admin center33 的图像。

  2. 选择 “配置策略” 以查看策略状态。

    Microsoft Intune管理中心34 的图像。

  3. 选择“ 设备状态” 以查看状态。

    Microsoft Intune管理中心的图像35。

  4. 选择“ 用户状态” 以查看状态。

    Microsoft Intune管理中心36 的图像。

  5. 选择“ 按设置状态 ”查看状态。

    提示

    此视图对于识别与另一个策略冲突的任何设置非常有用。

    Microsoft Intune管理中心的图像37。

确认终结点检测和响应

  1. 在应用配置之前,不应启动 Defender for Endpoint Protection 服务。

    “服务”面板1 的图像。

  2. 应用配置后,应启动 Defender for Endpoint Protection 服务。

    服务面板 2 的图像。

  3. 在设备上运行服务后,设备将显示在Microsoft Defender门户中。

    Microsoft Defender门户的图像。

确认下一代保护

  1. 在测试设备上应用策略之前,应能够手动管理设置,如下图所示:

    设置页 1

  2. 应用策略后,不应手动管理设置。

    注意

    在下图中,“启用云提供的保护”和“启用实时保护”显示为“托管”。

    设置页面 2

确认攻击面减少 - 攻击面减少规则

  1. 在测试设备上应用策略之前,请打开 PowerShell 窗口并键入 Get-MpPreference

  2. 应看到以下没有内容的行:

    AttackSurfaceReductionOnlyExclusions:

    AttackSurfaceReductionRules_Actions:

    AttackSurfaceReductionRules_Ids:

    命令行 1

  3. 在测试设备上应用策略后,打开 PowerShell Windows 并键入 Get-MpPreference

  4. 应看到以下包含内容的行,如下图所示:

    命令行 2

确认攻击面减少 - Web 保护

  1. 在测试设备上,打开 PowerShell Windows 并键入 (Get-MpPreference).EnableNetworkProtection

  2. 这应该响应 0,如下图所示:

    命令行 3

  3. 应用策略后,打开 PowerShell Windows 并键入 (Get-MpPreference).EnableNetworkProtection

  4. 应会看到响应为 1,如下图所示:

    命令行 4

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区