在 Intune 中新增 Endpoint protection 設定

透過 Intune,您可以使用裝置設定設定檔來管理裝置上的常見 Endpoint protection 安全性功能,包括:

  • 防火牆
  • BitLocker
  • 允許和封鎖應用程式
  • Microsoft Defender 和加密

例如,您可以建立一個 Endpoint protection 設定檔,僅允許 macOS 使用者從 Mac 應用程式存放區安裝應用程式。 或者,在 Windows 10/11 裝置上執行應用程式時,啟用 Windows SmartScreen。

在您建立設定檔之前,請參閱下列詳述 Endpoint protection settings Intune 可以針對每個支援的平臺管理的文章:

建立包含 Endpoint protection 設定的裝置設定檔

  1. 登入 Microsoft 端點管理員系統管理中心

  2. 選取 [裝置] > [組態設定檔] > [建立設定檔]。

  3. 輸入下列內容:

    • 平臺:選擇裝置的平臺。 選項包括:

      • macOS
      • Windows 10 和更新版本
    • 設定檔:選取 範本 > Endpoint protection

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔案類型和平臺。
    • 描述:輸入原則的描述。 這是選擇性設定,但建議進行。

    選取 ****[下一步]。

  6. 在 [ 設定] 設定 中,根據您所選擇的平臺而定,您可以設定的設定各不相同。 選擇您的平臺以取得詳細的設定:

  7. 選取 [下一步]

  8. 在 [ 工作分派] 中,選取要接收您的設定檔的使用者或群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    選取 ****[下一步]。

  9. 在 [適用性規則] 中,使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊,請參閱適用性規則

    選取 ****[下一步]。

  10. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

為 Windows 10/11 裝置新增自訂防火牆規則

當您將 Microsoft Defender 防火牆設定為包括 Windows 10/11 的 endpoint protection 規則的設定檔時,您可以設定防火牆的自訂規則。 自訂規則可讓您展開 Windows 裝置支援的預先定義的防火牆規則集。

當您規劃具有自訂防火牆規則的設定檔時,請考慮下列資訊,這可能會影響您選擇在設定檔中群組防火牆規則的方式:

  • 每個設定檔都支援最多150個防火牆規則。 當您使用超過150個規則時,請建立其他設定檔,每個都限制為150規則。

  • 針對每個設定檔,如果單一規則無法套用,該設定檔中的所有規則都會失敗,且不會將任何規則套用至裝置。

  • 當規則無法套用時,設定檔中的所有規則都會報告為「失敗」。 Intune 無法識別失敗的個別規則。

Windows防火牆設定服務提供者 (CSP) 中詳細說明 Intune 可管理的防火牆規則。 若要查看 Intune 所支援 Windows 裝置的自訂防火牆設定清單,請參閱自訂防火牆規則

將自訂防火牆規則新增至 Endpoint protection 設定檔

  1. 登入 Microsoft 端點管理員系統管理中心

  2. 選取 [裝置 設定配置 > > 建立設定檔]。

  3. 輸入下列內容:

    • 平台:選擇 [Windows 10 及更新版本]。

    • 設定檔:選取 範本 > Endpoint protection

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔案類型和平臺。
    • 描述:輸入原則的描述。 這是選擇性設定,但建議進行。

    選取 ****[下一步]。

  6. 在 [ 設定設定] 中,展開 [ Microsoft Defender 防火牆]。 接下來,針對 防火牆規則,選取 [ 新增 ] 以開啟 [ 建立規則 ] 頁面。

  7. 指定防火牆規則的設定,然後選取 [ 儲存 ] 以儲存防火牆規則。 若要查看檔中可用的自訂防火牆規則選項,請參閱 自訂防火牆規則

    1. 規則會顯示在 [ Microsoft Defender 防火牆 ] 頁面上的規則清單中。
    2. 若要修改規則,請從清單中選取規則,以開啟 [ 編輯規則 ] 頁面。
    3. 若要從設定檔中刪除規則,請為規則選取省略號 ( ... ) ,然後選取 [ 刪除]。
    4. 若要變更規則的顯示順序,請選取規則清單頂端的 向上箭號和向下箭 號圖示。

    選取 [下一步]

  8. 在 [ 工作分派] 中,選取要接收此設定檔的裝置群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    選取 ****[下一步]。

  9. 在 [適用性規則] 中,使用 [規則]、[屬性] 和 [值] 選項來定義此設定檔在指派群組中套用的方式。 Intune 會將設定檔套用至符合所輸入規則的裝置。 如需適用性規則的詳細資訊,請參閱適用性規則

    選取 ****[下一步]。

  10. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

後續步驟

監視設定檔狀態