使用 Intune 來補救 Microsoft Defender for Endpoint 所識別的弱點

08/13/2021

當您整合 Intune 與適用于端點的 Microsoft Defender 時，您可以利用 defender 作為端點的威脅與弱點管理，並使用 Intune 來補救 defender 弱點管理功能所識別的端點弱點。這項整合會產生一種以風險為基礎的方法來探索及優先處理弱點，可改善整個環境中的補救回應時間。

威脅 & 弱點管理是 Microsoft Defender for Endpoint的一部分。

整合的運作方式

將 Intune 連線至適用于端點的 Microsoft Defender 之後，Defender for Endpoint 會從受管理的裝置接收威脅和弱點詳細資料。

探索到的弱點不會以 Intune 設定為基礎。它們是以 Microsoft Defender 的端點設定和掃描詳細資料為基礎。
只有 Intune 可補救的問題才會引發為 Intune 的安全性工作。

在 Microsoft Defender 資訊安全中心主控台中，Defender for endpoint Security 系統管理員會檢查有關端點弱點的資料。管理員接著會使用按一下的方式來建立安全性工作，為有弱點的裝置加上旗標以進行補救。安全性工作會立即傳遞至 Intune 主控台，讓 Intune 管理員能夠檢視它們。安全性工作會識別弱點的類型、優先順序、狀態，以及要採取來補救弱點的步驟。 Intune 管理員選擇接受或拒絕工作。

當工作被接受時，Intune 管理員接著會使用安全性工作中提供的指引，透過 Intune 來補救弱點。

每個工作都是依照「補救類型」來識別：

應用程式 – 識別出具有您可使用 Intune 降低弱點或問題風險的應用程式。例如，Microsoft Defender for Endpoint 會識別名為 Contoso Media Player v4 的應用程式的弱點，而系統管理員會建立安全性工作來更新該應用程式。 Contoso Media Player 是以 Intune 部署的未受控應用程式，而且可能有可解決問題的安全性更新或較新版本的應用程式。
設定 – 您環境中的弱點或風險可以透過使用 Intune 端點安全性原則來降低風險。例如，適用于端點的 Microsoft Defender 會找出裝置缺少對 潛在垃圾應用程式 的保護 (PUA) 。系統管理員會為此建立安全性工作，以識別出在防毒原則的 Microsoft Defender 防毒軟體設定檔中設定 [要對潛在的垃圾應用程式採取的動作] 設定的風險降低方式。

針對設定問題，當 Intune 無法提供合理補救時，Microsoft Defender for Endpoint 不會為其建立安全性工作。

進行補救的常見動作包括：

封鎖應用程式使其無法執行。
部署作業系統更新以降低弱點的風險。
部署端點安全性原則來降低弱點的風險。
修改登錄值。
停用或啟用會對弱點產生作用的設定。
需要注意 會在未提供任何適當的建議時，為管理員警示威脅。

以下是應用程式的範例工作流程。此相同的一般工作流程適用於設定問題：

適用于端點掃描的 Microsoft Defender 會識別名為 Contoso Media Player v4 的應用程式的弱點，而系統管理員會建立安全性工作來更新該應用程式。 Contoso Media Player 是使用 Intune 部署的非受控應用程式。

此安全性工作會出現在 Intune 主控台中且狀態為「擱置」：
Intune 管理員會選取安全性工作來檢視有關工作的詳細資料。系統管理員接著會選取 [ 接受]，以更新 Intune 中的狀態，並在 Defender 中選取要接受的端點。
管理員接著根據所提供的指引來補救工作。此指引會依據所需的補救類型而有所不同。可供使用時，補救指引會包含可在 Intune 中開啟設定相關窗格的連結。

因為此範例中的媒體播放器不是受控應用程式，所以 Intune 只會提供文字指示。如果應用程式是受控的，Intune 就會提供指示來下載更新的版本，並提供連結來開啟適用於應用程式的部署，如此即可將已更新的檔案新增至部署。
完成補救之後，Intune 系統管理員會開啟安全性工作並選取 [ 完成工作]。 Intune 和 Defender for Endpoint 中的補救狀態會更新，其中安全性系統管理員會確認弱點的修訂狀態。

先決條件

Microsoft Intune
Microsoft Defender for Endpoint (註冊免費試用。 )

適用于 Defender 端點的 Intune 設定：

設定服務與 Microsoft Defender for Endpoint 的連接。
使用 Microsoft defender for endpoint ( 的配置檔案類型來部署裝置設定原則 Windows 10 桌面) 至將會由 Defender for endpoint 評估風險的裝置。

如需有關如何設定 Intune 以使用 Defender for Endpoint 的詳細資訊，請參閱在 Intune 中使用條件式存取強制執行 Microsoft Defender For endpoint 的合規性。

使用安全性工作

登入 Microsoft Endpoint Manager 系統管理中心。
選取 [端點安全性] > [安全性工作] 。
從清單中選取工作來開啟資源視窗，以顯示該安全性工作的其他詳細資料。

檢視安全性工作資源視窗時，您可以選取其他連結：
- 受控應用程式：檢視有弱點的應用程式。當弱點適用於多個應用程式時，您將看到篩選過的應用程式清單。
- 裝置：檢視「有弱點的裝置」清單，您可以從此處連結至含有更多該裝置弱點之詳細資料的項目。
- 要求者：使用連結以將郵件傳送給提交此安全性工作的管理員。
- 附註：開啟安全性工作時，讀取要求者所提交的自訂訊息。
選取 [ 接受 ] 或 [ 拒絕 ] 以針對您計畫的動作，將端點的通知傳送給 Defender。當您接受或拒絕工作時，您可以提交 notes，以傳送給 Defender 的端點。
接受工作之後，重新開啟安全性工作 (如果它已關閉)，並遵循補救詳細資料來補救此弱點。 Defender 針對安全性工作詳細資料中的端點所提供的指示，會依據相關的弱點而有所不同。

如果可以執行此動作，補救指示就會包含可在 Intune 主控台中開啟相關設定物件的連結。
完成補救步驟之後，開啟安全性工作，然後選取 [完成工作] 。此動作會更新 Intune 和 Defender for Endpoint 中的安全性工作狀態。

補救成功之後，Microsoft Defender for Endpoint 的風險暴露分數可能會根據補救裝置的新資訊而下降。

後續步驟

深入瞭解 Intune 和適用于端點的 Microsoft Defender。

檢閱 Intune Mobile Threat Defense。

查看 Microsoft Defender for Endpoint 中的威脅 & 弱點管理儀表板。