租使用者連結：從系統管理中心建立和部署受攻擊面縮小原則

適用於：Configuration Manager (目前的分支)

在 Microsoft Intune 系統管理中心建立受攻擊面縮小原則，並將其部署至Configuration Manager集合。

必要條件

• 存取Microsoft Intune系統管理中心。
• 與 已上傳裝置連結的租使用者環境。
• 支援的Configuration Manager版本，以及已安裝的對應主控台版本。
  • 將目標裝置升級至 Configuration Manager 用戶端的最新版本。
• 至少有一個可用來指派端點安全策略的Configuration Manager集合
• 支援租使用者連結裝置此設定檔的 Windows 裝置

將受攻擊面縮小原則指派給集合

1. 在瀏覽器中，移至Microsoft Intune系統管理中心。

2. 依序選取[端點安全>性攻擊面縮小] 和 [建立原則]。

3. 使用下列設定建立設定檔：

   • 平臺：Windows 10及更新版本 (ConfigMgr)
   • 設定檔：選擇下列其中一個設定檔：
     • ConfigMgr (受攻擊面縮小規則)
     • 惡意探索保護 (ConfigMgr)
     • Web 保護 (ConfigMgr)

注意事項

適用于租使用者附加的 Microsoft Edge 安裝程式、受攻擊面縮小規則引擎和 CMPivot 目前已使用 Microsoft Code Signing PCA 2011 憑證簽署。 如果您將 PowerShell 執行原則設定為 AllSigned，則必須確定裝置信任此簽署憑證。 您可以從已安裝Configuration Manager主控台的電腦匯出憑證。 檢視 上的 "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe" 憑證，然後從認證路徑匯出程式碼簽署憑證。 然後將它匯入受管理裝置上的電腦信任發行者存放區。 您可以在下列部落格中使用此程式，但請務必從認證路徑匯出 程式碼簽署憑證 ： 使用 Intune 將憑證新增至受信任的發行者

1. 在 [基本] 頁面上指派[名稱]，並選擇性地指派[描述]。
2. 在 [組態設定] 頁面上，設定您要透過此設定檔管理的設定。 完成設定後，選取 [下一步]。 如需這兩個設定檔可用設定的詳細資訊，請參閱 租使用者連結裝置的受攻擊面縮小原則設定。
3. 在 [指派] 頁面上，將原則指派給Configuration Manager集合。

裝置狀態

您可以檢閱租用戶附加裝置的端點安全性原則狀態。 您可以針對租用戶附加用戶端的所有端點安全性原則類型，存取 [裝置狀態] 頁面。 若要顯示 [裝置狀態] 頁面：

1. 選取針對 [ConfigMgr] 裝置的原則以顯示該原則的 [概觀] 頁面。
2. 選取 [裝置狀態] 以顯示原則鎖定的裝置清單。
3. [裝置狀態] 頁面上會顯示每個裝置的 [裝置名稱]、[合規性狀態] 和 [SMS 標識符]。

後續步驟

• 租使用者連結裝置的受攻擊面縮小原則設定。
• 建立端點安全性防毒原則，並將其部署至租用戶附加裝置
• 建立端點安全性端點偵測及回應原則，並將其部署至租用戶附加裝置
• 建立端點安全性防火牆原則，並將其部署至租用戶附加裝置