端點安全性的端點偵測和回應 Intune

發行項
03/27/2024

在整合適用於端點的 Microsoft Defender 與 Intune 時，您可以使用端點偵測和回應 (EDR) 的端點安全策略來管理 EDR 設定，並將裝置上線以適用於端點的 Microsoft Defender。

適用於端點的 Microsoft Defender的端點偵測和回應功能提供近乎即時且可採取動作的進階攻擊偵測。安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌，並採取回應動作來補救威脅。

適用於：

Linux
macOS
Windows 10
Windows 11
透過租使用者附加案例 Configuration Manager 管理時，Windows Server 2012 R2 和更新版本 ()

關於端點偵測和回應的 Intune 原則

Intune 端點偵測和響應原則包含平臺特定配置檔，以管理適用於端點的 Microsoft Defender 的上線安裝。每個配置檔都包含套用至原則目標裝置平台的上線套件。上線套件是將裝置設定為使用適用於端點的 Microsoft Defender 的方式。裝置上線之後，您可以開始使用來自該裝置的威脅數據。

您可以從端點偵測和響應節點建立和管理 EDR 原則，該節點位於 Microsoft Intune 系統管理中心的[端點] 安全性節點中。

當您建立將裝置上線的 EDR 原則時，可以使用預先設定的原則選項，或建立需要手動設定設定的原則，包括識別上線套件：

預先設定的原則：僅支援 Windows 裝置，使用此選項可將預先設定的 EDR 上線原則快速部署到所有適用的裝置。您可以針對使用 Intune 管理的裝置，以及透過 Configuration Manager 管理的租用戶連結裝置，使用預先設定的原則選項。使用預先設定的選項時，您無法在原則的建立和初始部署之前編輯原則中的設定。部署之後，您可以編輯一些選取設定。如需詳細資訊，請參閱本文中的使用預先設定的 EDR 原則。
手動建立原則：支援所有平臺，請使用此選項來建立可部署到離散裝置群組的上線原則。使用此路徑時，您可以在原則中設定任何可用的設定，然後再將其部署至指派的群組。如需詳細資訊，請參閱本文中的使用手動建立的 EDR 原則。

根據原則目標平臺，您使用管理之裝置的 EDR 原則 Intune 從 Microsoft Entra ID 部署到裝置群組，或部署到您從 Configuration Manager 透過租使用者附加案例同步處理的內部部署裝置集合。

提示

除了 EDR 原則之外，您還可以使用裝置設定原則將裝置上線以適用於端點的 Microsoft Defender。不過，裝置設定原則不支援租用戶連結的裝置。

使用裝置設定原則、端點偵測和響應原則等多個原則或原則類型來管理相同的裝置設定 (例如上線至適用於端點的 Defender) 時，您可以建立裝置的原則衝突。若要深入了解衝突，請參閱管理安全策略一文中的管理衝突。

EDR 原則的必要條件

一般：

適用於端點的 Microsoft Defender 租使用者 – 您的適用於端點的 Microsoft Defender 租用戶必須與您的 Microsoft Intune 租使用者 (Intune 訂用帳戶整合) ，才能建立 EDR 原則。如需詳細資訊，請參閱：
- 使用適用於端點的 Microsoft Defender 來取得整合適用於端點的 Microsoft Defender 與 Microsoft Intune 的指引。
- 將適用於端點的 Microsoft Defender 連線至 Intune，以設定 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線。

支援 Configuration Manager 用戶端：

設定 Configuration Manager 裝置的租使用者附加 - 若要支援將 EDR 原則部署到由 Configuration Manager 管理的裝置，請設定租使用者附加。此工作包括設定 Configuration Manager 裝置集合，以支援來自 Intune 的端點安全策略。

若要設定租使用者附加，包括將 Configuration Manager 集合同步處理至 Microsoft Intune 系統管理中心，並讓它們能夠使用端點安全性的原則，請參閱設定租使用者附加以支援端點保護原則。

如需搭配租用戶連結裝置使用 EDR 原則的詳細資訊，請參閱本文中的設定 Configuration Manager 以支援 EDR 原則。

關於端點偵測和響應節點

在 Microsoft Intune 系統管理中心，端點偵測和響應節點會分成兩個索引標籤：

[摘要] 索引標籤：
[摘要] 索引標籤提供所有 EDR 原則的高階檢視，包括手動設定的原則，以及您使用 [部署預先設定的原則] 選項所建立的原則。

[摘要] 索引標籤包含下列區域：

適用於端點的 Defender 連接器狀態 – 此檢視會顯示租使用者目前的連接器狀態。適用於端點的 Defender 連接器狀態標籤也是開啟 Defender 入口網站的連結。此檢視與在 [端點安全性概觀] 頁面上找到的相同。
上線至適用於端點的 Defender 的 Windows 裝置 – 此檢視會顯示端點偵測和回應 (EDR) 上線的全租用戶狀態，其中包含已上線或尚未上線至適用於端點的 Microsoft Defender 的兩個裝置計數。
端點偵測和回應 (EDR) 原則 – 您可以在這裡建立新的手動設定的 EDR 原則，並檢視租使用者的所有 EDR 原則清單。原則清單包含手動設定的原則，以及您使用 [部署預先設定的原則] 選項所建立的原則。

從清單中選取原則會開啟該原則的更深入檢視，您可以在其中檢閱其設定，並選擇編輯其詳細數據和設定。如果已預先設定原則，您可以編輯的設定會受到限制。

[EDR 上線狀態] 索引標籤：
此索引標籤會顯示已上線或尚未上線至適用於端點的 Microsoft Defender，且支援鑽研至個別裝置的裝置概略摘要。這包括 Intune 所管理的裝置，以及透過租使用者附加案例和 Configuration Manager 管理的裝置。

此索引標籤也包含為 Windows 裝置建立和部署預先設定上線原則的選項。

[EDR 上線狀態] 索引標籤包括：

部署預先設定的原則 – 此選項會出現在頁面頂端的上線摘要圖表上方，並用來建立預先設定的原則，讓 Windows 裝置上線以適用於端點的 Microsoft Defender。
EDR 上線狀態摘要圖表 – 此圖表會顯示已上線或尚未上線至適用於端點的 Microsoft Defender 的裝置計數。
裝置清單 – 摘要圖表下方是包含詳細數據的裝置清單，包括：
- 裝置名稱
- 裝置的管理方式
- 裝置 EDR 上線狀態
- 上次簽入時間和日期
- 裝置的最後一個已知狀態 Defender 感測器

EDR 配置檔

由 Microsoft Intune管理的裝置

Linux - 若要管理適用於 Linux 裝置的 EDR，請選取 Linux 平臺。下列設定檔可供使用：

端點偵測和回應 - Intune 將原則部署到指派群組中的裝置。設定檔支援搭配下列專案使用：
- 向 Intune 註冊的裝置。
- 透過適用於適用於端點的 Microsoft Defender的安全性管理所管理的裝置。
適用於 Linux 的 EDR 範本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的兩個設定：
- tag 的值 - 每個標籤只能設定一個值。卷標的類型是唯一的，不應該在相同的配置檔中重複。
- 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。
若要深入瞭解適用於Linux的適用於端點的Defender設定，請參閱Defender檔中的設定Linux上適用於端點的 Microsoft Defender的喜好設定。

macOS - 若要管理 macOS 裝置的 EDR，請選取 macOS 平臺。下列設定檔可供使用：

端點偵測和回應 - Intune 將原則部署到指派群組中的裝置。設定檔支援搭配下列專案使用：
- 向 Intune 註冊的裝置。
- 透過適用於適用於端點的 Microsoft Defender的安全性管理所管理的裝置。
適用於 macOS 的 EDR 樣本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的兩個設定：
- 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。
- tag 的值 - 每個標籤只能設定一個值。卷標的類型是唯一的，不應該在相同的配置檔中重複。
若要深入瞭解適用於 macOS 的適用於端點的 Defender 設定，請參閱 Defender 檔中的設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定。

Windows - 若要管理 Windows 裝置的 EDR，請選取 Windows 10、Windows 11 和 Windows Server 平臺。下列設定檔可供使用：

端點偵測和回應 - Intune 將原則部署到指派群組中的裝置。設定檔支援搭配下列專案使用：
- 向 Intune 註冊的裝置。
- 透過適用於適用於端點的 Microsoft Defender的安全性管理所管理的裝置。
注意事項

從 2022 年 4 月 5 日開始，Windows 10 和更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代。

Windows 10、Windows 11 和 Windows Server 平臺支援透過 Microsoft Intune 或適用於端點的 Microsoft Defender 進行通訊的裝置。這些配置檔也會新增 Windows Server 平台的支援，而原生 Microsoft Intune 不支援。

這個新平臺的配置檔會使用設定格式，如設定目錄中所示。這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。透過這項變更，您就無法再建立舊配置檔的新版本。舊配置檔的現有實例仍可供使用和編輯。

客戶適用於端點的 Microsoft Defender元件類型的選項：
- 僅適用於 Windows 裝置
設定 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，[自動從連接器] 選項會變成可供設定 適用於端點的 Microsoft Defender 用戶端元件類型使用。在您設定連線之前，無法使用此選項。

當您從連接器選取 [自動] 時，Intune 會自動從適用於端點的Defender部署 (Blob) 取得上線套件。這個選項取代手動設定此設定檔上 線套件 的需求。沒有自動設定離線套件的選項。

由 Configuration Manager 管理的裝置

端點偵測及回應

當您使用租使用者附加時，管理 Configuration Manager 裝置的端點偵測和響應原則設定。

原則路徑：

端點安全>性端點偵測和回應 > Windows 10、Windows 11 和 Windows Server (ConfigMgr)

設定檔：

預覽) (ConfigMgr) (端點偵測和回應

Configuration Manager 的必要版本：

Configuration Manager 最新分支 2002 版或更新版本，控制台內更新 Configuration Manager 2002 Hotfix (KB4563473)
Configuration Manager Technical Preview 2003 或更新版本

支援的 Configuration Manager 裝置平臺：

Windows 8.1 (x86、x64)，從 Configuration Manager 版本 2010 開始
Windows 10 及更新版本 (x86、x64、ARM64)
Windows 11 及更新版本 (x86、x64、ARM64)
Windows Server 2012 R2 (x64)，從 Configuration Manager 版本 2010 開始
Windows Server 2016 和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止對執行 Windows 8.1 裝置的支援。無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有可管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

設定 Configuration Manager 以支援 EDR 原則

在您可以將 EDR 原則部署至 Configuration Manager 裝置之前，請先完成下列各節中詳述的設定。

這些組態是在 Configuration Manager 主控台和您的 Configuration Manager 部署中進行。如果您不熟悉 Configuration Manager，請計劃與 Configuration Manager 系統管理員合作，以完成這些工作。

下列各節涵蓋必要的工作：

安裝 Configuration Manager的更新
啟用租用戶附加

提示

若要深入瞭解如何搭配 Configuration Manager 使用適用於端點的 Microsoft Defender，請參閱 Configuration Manager 內容中的下列文章：

工作 1：安裝 Configuration Manager 的更新

Configuration Manager 2002 版需要更新，才能支援與您從 Microsoft Intune 系統管理中心部署的端點偵測和響應原則搭配使用。

更新詳細資料：

Configuration Manager 2002 Hotfix (KB4563473)

此更新可作為 2002 Configuration Manager 的主控台內更新。

若要安裝此更新，請遵循 Configuration Manager 檔中安裝控制台內更新的指引。

安裝更新之後，請返回這裡以繼續設定您的環境，以從 Microsoft Intune 系統管理中心支援 EDR 原則。

工作 2：設定租使用者附加和同步處理集合

使用租使用者附加，您可以指定來自 Configuration Manager 部署的裝置集合，以與 Microsoft Intune 系統管理中心進行同步處理。同步集合之後，請使用系統管理中心來檢視這些裝置的相關信息，以及從 Intune 部署 EDR 原則。

如需租使用者附加案例的詳細資訊，請參閱在 Configuration Manager 內容中啟用租使用者附加。

未啟用共同管理時啟用租使用者附加

提示

您可以在 Configuration Manager 控制台中使用共同管理組態精靈來啟用租用戶連結，但不需要啟用共同管理。

如果您打算啟用共同管理，請先熟悉共同管理、其必要條件，以及如何在繼續之前管理工作負載。請參閱 Configuration Manager 檔中的共同管理功能。

在 Configuration Manager 管理控制台中，移至 [系統管理>概觀>雲端服務>管理]。
在功能區中，選取 設定共同管理 以開啟精靈。
在 租用戶上線 頁面上，選取 AzurePublicCloud 環境。不支援 Azure Government 雲端。
1. 選取 [登入]。使用您的 全域系統管理員 帳戶來登入。

您使用 Intune 管理的裝置支援下列專案：

平臺：Windows 10、Windows 11 和 Windows Server - Intune 將原則部署到 Microsoft Entra 群組中的裝置。
- 配置檔： 端點偵測和回應

使用預先設定的 EDR 原則

在 Intune 端點偵測和響應原則的 [EDR 上線狀態] 頁面上，您可以選取 [部署預先設定的原則] 選項，讓 Intune 建立和部署預先設定的原則，以在適用的裝置上安裝適用於端點的 Microsoft Defender。

此選項位於頁面頂端附近，位於已上線至適用於端點的 Defender 的 Windows 裝置報告上方：

系統管理中心的螢幕快照，其中顯示要在哪裡尋找 [部署預先設定的原則] 選項。

在選取此選項之前，您必須先成功設定適用於端點的 Defender 連接器，以在 Intune 與適用於端點的 Microsoft Defender 之間建立服務對服務連線。此原則會使用連接器來取得適用於端點的 Microsoft Defender 上線 Blob，以用於將裝置上線。如需設定此連接器的相關信息，請參閱設定適用於端點的 Defender 一文中的將適用於端點的 Microsoft Defender 連線到 Intune。

如果您使用租使用者附加案例來支援由 Configuration Manager 管理的裝置，請設定 Configuration Manager，以從 Microsoft Intune 系統管理中心支援 EDR 原則。請參閱設定租使用者附加以支援端點保護原則。

建立預先設定的 EDR 原則

使用 [部署預先設定的原則] 選項時，您無法變更安裝適用於端點的 Microsoft Defender、範圍卷標或指派的默認原則設定。不過，建立原則之後，您可以編輯其部分詳細數據，包括指派篩選的設定。

若要建立原則：

在 Microsoft Intune 系統管理中心，移至 [端點安全>性端點偵測並回應>] 開啟 [EDR 上線狀態] 索引卷標>，選取 [部署預先設定的原則]。
在 [ 建立配置檔] 頁面上，指定下列其中一個組合，然後選取 [ 建立]：
- 針對由 Intune 管理的裝置：
  - Platform = Windows 10、Windows 11 和 Windows Server
  - 配置檔 = 端點偵測和回應
- 針對透過租使用者附加案例管理的裝置：
  - Platform = Windows 10、Windows 11 和 Windows Server (ConfigMgr)
  - 設定檔案 = 端點偵測和回應 (ConfigMgr)
  重要事項
  
  部署至租用戶連結裝置需要在租用戶中啟用和同步處理 所有桌面和伺服器客戶 端集合。
在 [ 基本] 頁面上，提供此原則的 [名稱]。您也可以選擇性地新增描述。
在 [ 檢閱和建立] 頁面上，您可以展開可用的類別來檢閱原則設定，但無法進行變更。 Intune 只會根據您選取的 [平臺] 和 [配置檔] 組合使用適用的設定。例如，針對由 Intune 管理的裝置，原則會以 [所有裝置] 群組為目標。 [所有桌面和伺服器客戶端] 群組是以租用戶連結裝置為目標。

選 取 [儲存 ] 以建立並部署預先設定的原則。

編輯預先設定的 EDR 原則

建立預先設定的原則之後，您可以在端點偵測和響應原則的 [ 摘要 ] 索引標籤上找到它。藉由選取原則，您可以接著選擇編輯一些原則選項，但不是所有原則選項。例如，針對 Intune 裝置，您可以編輯下列選項：

基本：您可以編輯下列選項：
- 名稱
- 描述
組態設定：下列兩個設定可以從預設的 [未設定] 變更：
- 範例共用
- [已淘汰]遙測報告頻率
工作分派：您無法變更群組指派，但可以新增指派篩選。

使用手動建立的 EDR 原則

在 Intune 端點偵測和響應原則的 [EDR 摘要] 頁面上，您可以選取 [建立原則] 開始手動設定 EDR 原則以將裝置上線以適用於端點的 Microsoft Defender。

此選項位於頁面頂端附近，位於已上線至適用於端點的 Defender 的 Windows 裝置報告上方：

系統管理中心的螢幕快照，其中顯示要在哪裡尋找 [建立原則] 選項。

建立手動設定的 EDR 原則

登入 Microsoft Intune 系統管理中心。
選取 [端點安全性]>[端點偵測及回應]>[建立原則]。
選取您原則的平臺和配置檔。下列資訊可識別您的選項：
- Intune - Intune 將原則部署到指派群組中的裝置。當您建立原則時，請選取：
  - 平臺：Linux、macOS 或 Windows 10、Windows 11 和 Windows Server
  - 配置檔： 端點偵測和回應
- Configuration Manager - Configuration Manager 將原則部署到 Configuration Manager 集合中的裝置。當您建立原則時，請選取：
  - 平台：Windows 10、Windows 11 與 Windows Server (ConfigMgr)
  - 設定檔：端點偵測及回應 (ConfigMgr)
選取 [建立]。
在 [基本] 頁面上，輸入新設定檔的名稱與描述，然後選擇 [下一步]。
在 [組態設定] 頁面上，針對 [用戶端設定套件類型] 選擇 [從連接器自動 適用於端點的 Microsoft Defender] 。設定您想要使用此設定檔管理的範 例共用 和 遙測報告頻率 設定。

注意事項

若要從適用於端點的 Microsoft Defender 入口網站使用上線檔案將租用戶上線或下線，請選取 [上線] 或 [下線]，並將上線檔案的內容提供給選取範圍正下方的輸入。

完成設定後，請選取 [下一步]。
如果您使用範圍標籤，請在 [ 範圍卷標 ] 頁面上，選擇 [ 選取範圍卷標 ] 以開啟 [ 選取卷標 ] 窗格，將範圍卷標指派給配置檔。

選取 [下一步] 繼續。
在 [ 指派] 頁面上，選取接收此原則的群組或集合。選擇要選擇您選擇的平台與設定檔：
- 針對 Intune，請從 Microsoft Entra 中選取群組。
- 針對 Configuration Manager，請從已同步至 Microsoft Intune 系統管理中心並啟用適用於端點的 Microsoft Defender 原則的 Configuration Manager 選取集合。
您目前可以選擇不指派群組或集合，稍後再編輯原則以新增指派。

在您準備好繼續時，請選取 [下一步]。
完成後，在 [檢閱及建立] 頁面上選擇 [建立]。

新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

更新裝置的上線狀態

組織可能需要透過 Microsoft Intune 更新裝置上的上線資訊。

這項更新可能是因為適用於端點的 Microsoft Defender 上線承載的變更，或由 Microsoft 支援服務導向時所造成。

更新上線資訊會指示裝置在下次 重新啟動時開始使用新的上線承載。

注意事項

此資訊不一定會在租用戶之間行動裝置，而不需將裝置從原始租使用者完全脫機。如需在適用於端點的 Microsoft Defender 組織之間移轉裝置的選項，請參與 Microsoft 支援服務。

更新承載的程式

從適用於端點的 Microsoft Defender 主控台下載新的行動裝置管理新上線承載。
建立 新群組 以驗證新原則的有效性。
從現有的 EDR 原則中排除 新群組 。
建立 [建立EDR 原則] 中所述的新端點偵測和響應原則。
建立原則時，請從用戶端套件組態類型中選取 [上線]，然後從適用於端點的 Microsoft Defender 控制台指定上線檔案的內容。
將原則指派 給為驗證而建立的新群組。
將現有的裝置新增至驗證群組，並確保變更如預期般運作。
逐漸展開部署，最終解除委任原始原則。