管理上線裝置上的端點安全策略以適用於端點的 Microsoft Defender

發行項
02/06/2024

當您使用適用於端點的 Microsoft Defender 時，您可以從 Microsoft Intune 部署端點安全策略，以在您已上線至 Defender 的裝置上管理 Defender 安全性設定，而不需要向 Intune 註冊這些裝置。這項功能稱為 適用於端點的Defender安全性設定管理。

當您透過安全性設定管理管理裝置時：

您可以使用 Microsoft Intune 系統管理中心或 Microsoft 365 Defender 入口網站來設定適用於端點的 Defender 端點安全性原則，並將這些原則指派給 Microsoft Entra ID 群組。 Defender 入口網站包含裝置檢視、原則管理和安全性設定管理報告的使用者介面。

若要檢視從 Defender 入口網站管理 Intune 端點安全策略的指引，請參閱 Defender 內容中的管理適用於端點的 Microsoft Defender 中的端點安全策略。
裝置會根據其 Entra ID 裝置物件來取得其指派的原則。尚未在 Microsoft Entra 中註冊的裝置已加入此解決方案的一部分。
當裝置收到原則時，裝置上的適用於端點的 Defender 元件會強制執行原則，並報告裝置的狀態。裝置的狀態可在 Microsoft Intune 系統管理中心和 Microsoft Defender 入口網站中取得。

此案例會將 Microsoft Intune 端點安全性介面延伸至無法在 Intune 中註冊的裝置。當裝置由註冊 Intune (管理時 Intune) 裝置不會處理適用於端點的 Defender 安全性設定管理的原則。請改用 Intune，將適用於端點的 Defender 原則部署到您的裝置。

適用於：

Windows 10和 Windows 11
Windows Server (2012 R2 和更新)
Linux
macOS

必要條件

如需適用於端點的Defender安全性設定管理案例的需求，請參閱下列各節。

環境

當支援的裝置上線以適用於端點的 Microsoft Defender：

裝置會受到現有 Microsoft Intune 狀態的監視，這是 MDM) 註冊 Intune 的行動裝置管理 (。
沒有 Intune 狀態的裝置可啟用安全性設定管理功能。
對於未完全 Microsoft Entra 註冊的裝置，會在允許裝置擷取原則的 Microsoft Entra ID 中建立綜合裝置身分識別。完全註冊的裝置會使用其目前的註冊。
從 Microsoft Intune 擷取的原則會透過適用於端點的 Microsoft Defender 在裝置上強制執行。

政府雲端尚不支援安全性設定管理。如需詳細資訊，請參閱美國政府客戶在適用於端點的 Microsoft Defender 中與商業功能同位。

線上需求

裝置必須能夠存取下列端點：

*.dm.microsoft.com - 通配符的使用支援用於註冊、簽入和報告的雲端服務端點，而且可隨著服務規模變更。

支援的平台

下列裝置平臺支援適用於端點的 Microsoft Defender 安全性管理的原則：

Linux：

使用適用於Linux代理程式101.23052.0009版或更新版本的適用於端點的 Microsoft Defender，安全性設定管理支援下列Linux發行版：

Red Hat Enterprise Linux 7.2 或更新版本
CentOS 7.2 或更高版本
Ubuntu 16.04 LTS 或更高 LTS
Debian 9 或更新版本
SUSE Linux Enterprise Server 12 或更新版本
Oracle Linux 7.2 或更新版本
Amazon Linux 2
Fedora 33 或更新版本

若要確認 Defender 代理程式的版本，請在 Defender 入口網站中移至 [裝置] 頁面，然後在 [裝置清查 ] 索引卷標上，搜尋 適用於 Linux 的 Defender。如需更新代理程式版本的指引，請參閱在Linux上部署適用於端點的 Microsoft Defender的更新。

已知問題：使用Defender代理程式 101.23052.0009版時，Linux裝置在遺漏下列檔案路徑時無法註冊： /sys/class/dmi/id/board_vendor。

macOS：

使用 macOS 代理程式 101.23052.0004 版或更新版本的適用於端點的 Microsoft Defender，安全性設定管理支援下列 macOS 版本：

macOS 14 (Sonoma)
macOS 13 (Ventura)
macOS 12 (蒙地利)
macOS 11 (Big Sur)

若要確認 Defender 代理程式的版本，請在 Defender 入口網站中移至 [裝置] 頁面，然後在 [裝置清查 ] 索引卷標上，搜尋 適用於 macOS 的 Defender。如需更新代理程式版本的指引，請參閱在macOS上部署適用於端點的 Microsoft Defender的更新。

已知問題：使用Defender代理程式101.23052.0004版時，使用安全性設定管理註冊之前，已在Microsoft Entra ID 中註冊的macOS裝置會在 Microsoft Entra ID 中收到重複的裝置標識碼，這是綜合註冊。當您建立目標原則的 Microsoft Entra 組時，您必須使用安全性設定管理所建立的綜合裝置識別碼。在 Microsoft Entra ID 中，綜合裝置標識碼的 [聯結類型] 數據行是空白的。

Windows：

KB5006738) 的 Windows 10 Professional/Enterprise (
Windows 11 Professional/Enterprise
Windows Server 2012 R2 搭配 Down-Level 裝置的 Microsoft Defender
Down-Level 裝置的 Microsoft Defender Windows Server 2016
具有 KB5006744) 的 Windows Server 2019 (
具有 KB5006745) 的 Windows Server 2022 (

安全性設定管理無法運作，且下列裝置不支援：

非持續性桌面，例如虛擬桌面基礎結構 (VDI) 用戶端或 Azure 虛擬桌面。
域控制器

重要事項

在某些情況下，執行下層伺服器操作系統 (2012 R2 或 2016) 的域控制器可能會無意中由適用於端點的 Microsoft Defender 管理。為了確保不會在您的環境中發生這種情況，建議您確定域控制器未標記為「MDE 管理」或由 MDE 管理。

授權和訂用帳戶

若要使用安全性設定管理，您需要：

為 microsoft 365 等適用於端點的 Microsoft Defender 授與授權的訂用帳戶，或僅授與適用於端點的 Microsoft Defender 的獨立授權。授與適用於端點的 Microsoft Defender 授權的訂用帳戶也會將租使用者存取權授與 Microsoft Intune 系統管理中心的端點安全性節點。

注意事項

例外狀況：如果您只能透過 Microsoft Defender 存取適用於端點的 Microsoft Defender 伺服器， (雲端 Microsoft Defender 的一部分，先前 Azure 資訊安全中心) ，則安全性設定管理功能不是可用。您必須至少有一個適用於端點的 Microsoft Defender (使用者) 訂用帳戶授權使用中。

端點安全性節點可讓您設定和部署原則，以管理裝置的適用於端點的 Microsoft Defender 並監視裝置狀態。

如需選項的目前資訊，請參閱適用於端點的 Microsoft Defender 的最低需求。

架構

下圖是適用於端點的 Microsoft Defender 安全性組態管理解決方案的概念表示法。

裝置上線以適用於端點的 Microsoft Defender。
裝置會與 Intune 通訊。此通訊可讓 Microsoft Intune 在裝置簽入時散發以裝置為目標的原則。
系統會在下列專案中為每個裝置建立註冊 Microsoft Entra ID：
- 如果裝置先前已完全註冊，例如混合式加入裝置，則會使用現有的註冊。
- 對於尚未註冊的裝置，會在 Microsoft Entra ID 中建立綜合裝置身分識別，讓裝置能夠擷取原則。當具有綜合註冊的裝置有為其建立的完整 Microsoft Entra 註冊時，會移除綜合註冊，並使用完整註冊在不中斷的情況下繼續進行裝置管理。
適用於端點的 Defender 會將原則的狀態回報給 Microsoft Intune。

重要事項

安全性設定管理會針對未在 Microsoft Entra ID 中完整註冊的裝置使用綜合註冊，並卸除 Microsoft Entra 混合式聯結必要條件。透過這項變更，先前發生註冊錯誤的 Windows 裝置將會開始上線至 Defender，然後接收並處理安全性設定管理原則。

若要篩選因不符合 Microsoft Entra 混合式加入必要條件而無法註冊的裝置，請流覽至 Microsoft Defender 入口網站中的 [裝置] 清單，然後依註冊狀態進行篩選。因為這些裝置未完全註冊，所以其裝置屬性會顯示 MDM = Intune 和聯結類型 = 空白。這些裝置現在會使用綜合註冊向安全性設定管理註冊。

註冊這些裝置之後，會出現在 Microsoft Defender、Microsoft Intune 和 Microsoft Entra 入口網站的裝置清單中。雖然裝置不會向 Microsoft Entra 完全註冊，但其綜合註冊會計算為一個裝置物件。

Microsoft Defender 入口網站中的預期事項

您可以使用 Microsoft Defender 全面偵測回應 裝置清查來確認裝置使用適用於端點的 Defender 中的安全性設定管理功能，方法是檢閱 [管理者] 資料行中的裝置狀態。裝置側邊面板或裝置頁面上也提供 [ 管理者 ] 資訊。 管理者應該一致地指出其由 MDE 管理。 

您也可以確認裝置已成功註冊安全性設定管理，方法是確認裝置端面板或裝置頁面 MDE 註冊狀態顯示為成功。

如果 [MDE 註冊] 狀態未顯示 [成功]，請確定您正在查看已更新且在安全性設定管理範圍內的裝置。 (您在設定安全性設定 management 時，於 [強制範圍] 頁面上設定範圍。)

Microsoft Intune 系統管理中心的預期事項

在 Microsoft Intune 系統管理中心，移至 [所有裝置] 頁面。使用安全性設定管理註冊的裝置會如同在Defender入口網站中一樣出現。在系統管理中心，[由字段管理的裝置] 應該會顯示 MDE。

提示

在 2023 年 6 月，安全性設定管理開始針對未在 Microsoft Entra 中完整註冊的裝置使用綜合註冊。透過這項變更，先前發生註冊錯誤的裝置將會開始上線至 Defender，然後接收並處理安全性設定管理原則。

Microsoft Azure 入口網站

在 [所有裝置] 頁面的 [Microsoft Azure 入口網站中，您可以檢視裝置詳細數據。

若要確保所有在適用於端點的 Defender 安全性設定管理中註冊的裝置都會收到原則，建議您根據裝置的 OS 類型建立動態 Microsoft Entra 群組。使用動態群組時，由適用於端點的 Defender 所管理的裝置會自動新增至群組，而不需要系統管理員執行其他工作，例如建立新原則。

重要事項

從 2023 年 7 月到 2023 年 9 月 25 日，安全性設定管理執行了選擇加入公開預覽版，針對受管理並註冊到案例的裝置導入了新的行為。從 2023 年 9 月 25 日開始，公開預覽行為已正式推出，現在適用於使用安全性設定管理的所有租使用者。

如果您在 2023 年 9 月 25 日之前使用安全性設定管理，但未加入從 2023 年 7 月到 2023 年 9 月 25 日執行的加入公開預覽版，請檢閱依賴系統捲標的 Microsoft Entra 群組，以進行變更，以識別您使用安全性設定管理的新裝置。這是因為在 2023 年 9 月 25 日之前，未透過加入公開預覽版管理的裝置會使用下列系統標籤 (MDEManaged 和 MDEJoined) 的標籤來識別受控裝置。不再支援這兩個系統標籤，且不再新增至註冊的裝置。

針對您的動態群組使用下列指引：

(建議) 當目標設定原則時，請使用 windows、Windows Server、macOS、Linux) (deviceOSType 屬性，根據裝置平臺使用動態群組，以確保在 MDM 註冊期間，會繼續為變更管理類型的裝置傳遞原則。
如有必要，您可以使用 managementType 屬性 MicrosoftSense 來定義動態群組，以將包含適用於端點的 Defender 所管理之獨佔裝置的動態群組設為目標。使用此屬性時，會以所有透過安全性設定管理功能由適用於端點的 Defender 所管理的裝置為目標，而裝置只有在由適用於端點的 Defender 管理時，才會保留在此群組中。

此外，在設定安全性設定管理時，如果您想要使用適用於端點的 Microsoft Defender 來管理整個OS平台車隊，請在 [適用於端點的 Microsoft Defender 強制範圍] 頁面中選取所有裝置，而不是標記裝置，以瞭解任何綜合註冊都會計入Microsoft Entra ID 配額與完整註冊相同。

我應該使用哪一個解決方案？

Microsoft Intune 包含數種方法和原則類型，可用來管理裝置上適用於端點的 Defender 設定。下表識別支援部署至適用於端點的 Defender 安全性設定管理所管理之裝置的 Intune 原則和設定檔，並可協助您識別此解決方案是否適合您的需求。

當您部署支援適用於端點的Defender安全性設定管理和 Microsoft Intune的端點安全策略時，可以透過下列方式處理該原則的單一實例：

透過安全性設定管理 (Microsoft Defender) 支援裝置
由 Intune 或 Configuration Manager 管理的裝置。

安全性設定管理所管理的裝置不支援 Windows 10 和更新版本平臺的配置檔。

每個裝置類型都支援下列設定檔：

Linux

下列原則類型支援 Linux 平臺。

端點安全策略	設定檔	適用於端點的Defender安全性設定管理	Microsoft Intune
防毒軟體	Microsoft Defender 防毒軟體
防毒軟體	Microsoft Defender 防毒軟體排除
端點偵測及回應	端點偵測及回應

macOS

下列原則類型支援 macOS 平臺。

端點安全策略	設定檔	適用於端點的Defender安全性設定管理	Microsoft Intune
防毒軟體	Microsoft Defender 防毒軟體
防毒軟體	Microsoft Defender 防毒軟體排除
端點偵測及回應	端點偵測及回應

Windows 10、Windows 11 和 Windows Server

若要支援與 Microsoft Defender 安全性設定管理搭配使用，您的 Windows 裝置原則必須使用 Windows 10、Windows 11 和 Windows Server 平臺。 Windows 10、Windows 11 和 Windows Server 平臺的每個配置檔都可以套用至由 Intune 管理的裝置，以及由安全性設定管理所管理的裝置。

端點安全策略	設定檔	適用於端點的Defender安全性設定管理
防毒軟體	Defender 更新控制件
防毒軟體	Microsoft Defender 防毒軟體
防毒軟體	Microsoft Defender 防毒軟體排除
防毒軟體	Windows 安全性體驗	附註 1
受攻擊面縮小	受攻擊面縮小規則
端點偵測及回應	端點偵測及回應
防火牆	防火牆
防火牆	防火牆規則

1 - Windows 安全性體驗配置檔可在Defender入口網站中使用，但僅適用於由 Intune管理的裝置。 Microsoft Defender 安全性設定管理所管理的裝置不支援此功能。

端點安全策略 是專供專注於保護組織中裝置的安全性系統管理員所使用的個別設定群組。以下是支援安全性設定管理之原則的描述：

防病毒軟體原則會管理在適用於端點的 Microsoft Defender 中找到的安全性設定。請參閱端點安全性的防病毒軟體原則。

注意事項

雖然端點不需要重新啟動，即可套用修改的設定或新的原則，但我們知道 AllowOnAccessProtection 和 DisableLocalAdminMerge 設定有時可能需要使用者重新啟動其裝置，才能更新這些設定的問題。我們目前正在調查此問題，以提供解決方案。
ASR (受攻擊面縮小) 原則著重在將貴組織容易遭受網路威脅和攻擊的位置降到最低。透過安全性設定管理，ASR 規則會套用至執行 Windows 10、Windows 11 和 Windows Server 的裝置。

如需哪些設定適用於不同平臺和版本的目前指引，請參閱 Windows 威脅防護檔中的 ASR 規則支援的作業系統。

提示

若要協助將支援的端點保持在最新狀態，請考慮使用 Windows Server 2012 R2 和 2016 的新式整合解決方案。

另請參閱：
- Windows 威脅防護檔中受攻擊面縮小的概觀。
- Intune 檔中適用於端點安全性的受攻擊面縮小原則。
EDR (端點偵測和回應) 原則會管理適用於端點的 Defender 功能，以提供近乎即時且可採取動作的進階攻擊偵測。根據 EDR 設定，安全性分析師可以有效地排定警示的優先順序、瞭解缺口的完整範圍，以及採取回應動作來補救威脅。如需端點安全性，請參閱端點偵測和響應原則。
防火牆 原則著重於裝置上的Defender防火牆。如需端點安全性，請參閱防火牆原則。
防火牆規則 會設定防火牆的細微規則，包括特定埠、通訊協定、應用程式和網路。如需端點安全性，請參閱防火牆原則。

設定您的租用戶以支援適用於端點的Defender安全性設定管理

若要透過 Microsoft Intune 系統管理中心支援安全性設定管理，您必須從每個控制台內啟用它們之間的通訊。

下列各節會引導您完成該程式。

設定適用於端點的 Microsoft Defender

在適用於端點的 Microsoft Defender 入口網站中，以安全性系統管理員身分：

登入 Microsoft Defender 入口網站，然後移至 [設定>端點>設定管理>強制範圍]，並啟用安全性設定管理的平臺。

注意事項

如果您在適用於端點的 Microsoft Defender 入口網站中具有資訊安全中心管理安全性設定許可權，而且同時啟用以檢視來自所有裝置群組的裝置， (用戶權力) 沒有角色型訪問控制限制，您也可以執行此動作。
一開始，建議您選取 [ 在已標記的裝置上] 的 [平臺] 選項，然後使用標籤裝置，以測試每個平臺的 MDE-Management 功能。

重要事項

安全性設定管理目前不支援使用 適用於端點的 Microsoft Defender 的動態標記功能來標記具有 MDE 管理的裝置。透過這項功能標記的裝置將無法成功註冊。此問題仍在調查中。

提示

使用適當的裝置標籤來測試和驗證您在少數裝置上的推出。選取 [ 所有裝置] 時，會自動註冊任何屬於所設定範圍的裝置。
設定雲端上線裝置的 Microsoft Defender 功能，以及 Configuration Manager 授權單位設定，以符合貴組織的需求：

提示

若要確保您的適用於端點的 Microsoft Defender 入口網站使用者在入口網站之間具有一致的許可權，如果尚未提供，請要求 IT 系統管理員授與他們 Microsoft Intune 端點安全性管理員內建 RBAC 角色。

設定 Intune

在 Microsoft Intune 系統管理中心，您的帳戶需要等於 Endpoint Security Manager 內建角色型訪問控制 (RBAC) 角色的許可權。

登入 Microsoft Intune 系統管理中心。
選取 [端點安全>性適用於端點的 Microsoft Defender]，並將 [允許適用於端點的 Microsoft Defender 強制執行端點安全性設定] 設定為 [開啟]。

當您將此選項設定為 [開啟] 時，平臺範圍內未由 Microsoft Intune 管理之適用於端點的 Microsoft Defender 的所有裝置都有資格上架適用於端點的 Microsoft Defender。

將裝置上線至適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 支援數個將裝置上線的選項。如需目前的指引，請參閱適用於端點的Defender檔中的上線適用於端點的 Microsoft Defender。

與 Microsoft Configuration Manager 共存

在某些環境中，您可能會想要使用安全性設定管理搭配由 Configuration Manager 管理的裝置。如果您同時使用這兩者，則必須透過單一通道來控制原則。使用多個通道會產生衝突和非預期結果的機會。

若要支援此功能，請使用 [Configuration Manager] 切換為 [關閉] 來設定 [管理安全性] 設定。登入 Microsoft Defender 入口網站，然後移至 [設定>端點>設定管理>強制範圍]：

建立 Microsoft Entra 群組

將裝置上線至適用於端點的Defender之後，您必須建立裝置群組，以支援部署適用於端點的 Microsoft Defender的原則。若要識別已向適用於端點的 Microsoft Defender 註冊但未由 Intune 或 Configuration Manager 管理的裝置：

登入 Microsoft Intune 系統管理中心。
移至 [ 裝置>][所有裝置]，然後選取 [管理者 ] 數據行，以排序裝置的檢視。上線至適用於端點的 Microsoft Defender 但未受管理的裝置，Intune 在 [管理者] 數據行中顯示 適用於端點的 Microsoft Defender。這些裝置可以接收安全性設定管理的原則。

上線至適用於端點的 Microsoft Defender 且已註冊但未由 Intune 管理的裝置，會在 [管理者] 數據行中顯示 適用於端點的 Microsoft Defender。這些裝置可以接收適用於端點的 Microsoft Defender的安全性管理原則。

從 2023 年 9 月 25 日開始，無法再使用下列系統標籤來識別針對適用於端點的 Microsoft Defender 使用安全性管理的裝置：
- MDEJoined - 現已淘汰的標籤，先前已新增至在此案例中加入目錄的裝置。
- MDEManaged - 現已淘汰的標籤，先前已新增至主動使用安全性管理案例的裝置。如果適用於端點的 Defender 停止管理安全性設定，則會從裝置移除此標籤。
您可以使用管理類型屬性，並將其設定為 MicrosoftSense，而不是使用系統標籤。

您可以在 Microsoft Entra 或從 Microsoft Intune 系統管理中心內為這些裝置建立群組。建立群組時，如果您要將原則部署到執行 Windows Server 的裝置，以及執行 Windows 用戶端版本的裝置，您可以使用裝置的 OS 值：

Windows 10 和 Windows 11 - deviceOSType 或 OS 會顯示為 Windows
Windows Server - deviceOSType 或 OS 會顯示為 Windows Server
Linux 裝置 - deviceOSType 或 OS 會顯示為 Linux

使用規則語法 Intune 動態群組的範例

Windows 工作站：

Windows Server：

Linux 裝置：

重要事項

在 2023 年 5 月， deviceOSType 已更新，以區別 Windows 客戶 端和 Windows Server。

自定義腳本和 Microsoft Entra 在此變更之前建立的動態裝置群組，指定只參考 Windows 的規則可能會在搭配適用於適用於端點的 Microsoft Defender 解決方案的安全性管理時排除 Windows Server。例如：

如果您有使用或 not equals 運算符來識別 Windows 的equals規則，這項變更將會影響您的規則。這是因為先前 Windows 和 Windows Server 都回報為 Windows。若要繼續同時包含這兩者，您必須更新規則以同時參考 Windows Server。
如果您有使用或 like 運算符來指定 Windows 的規則contains，則此變更不會影響規則。這些運算符可以同時找到 Windows 和 Windows Server。

提示

委派管理端點安全性設定能力的使用者可能無法在 Microsoft Intune 中實作全租用戶設定。如需組織中角色和許可權的詳細資訊，請洽 Intune 系統管理員。

部署原則

建立包含適用於端點的 Microsoft Defender 管理之裝置的一或多個 Microsoft Entra 群組之後，您可以建立下列原則，將安全性設定管理部署到這些群組。可用的原則和配置檔會因平台而異。

如需安全性設定管理支持的原則和配置檔組合清單，請參閱本文稍早應使用哪一個解決方案中的圖表。

提示

避免將管理相同設定的多個原則部署到裝置。

Microsoft Intune 支援將每個端點安全策略類型的多個實例部署到相同的裝置，裝置會個別接收每個原則實例。因此，裝置可能會收到不同原則中相同設定的個別組態，這會導致衝突。某些 (設定，例如防病毒軟體排除) 會在用戶端上合併並成功套用。

登入 Microsoft Intune 系統管理中心。
移至 [端點安全性]，選取您要設定的原則類型，然後選取 [ 建立原則]。
針對原則，選取您要部署的 [平臺] 和 [配置檔]。如需支援安全性設定管理的平臺和配置檔清單，請參閱本文稍早應使用哪一個解決方案？中的圖表。

注意事項

支援的配置檔適用於透過行動裝置裝置管理 (MDM) 與使用適用於端點的 Microsoft Defender 客戶端進行通訊的 Microsoft Intune 和裝置通訊的裝置。

請務必視需要檢閱您的目標和群組。
選取 [建立]。
在 [基本] 頁面上，輸入新設定檔的名稱與描述，然後選擇 [下一步]。
在 [ 組態設定] 頁面上，選取您要使用此配置檔管理的設定。

若要深入瞭解設定，請展開其資訊對話框，然後選取 [ 深入瞭解] 連結，以檢視該設定的在線設定服務提供者 (CSP) 檔或相關詳細數據。

完成設定後，請選取 [下一步]。
在 [指派] 頁面上，選取接收此配置檔的 Microsoft Entra 群組。如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

選取 [下一步] 繼續。
提示
- 安全性設定管理所管理的裝置不支援指派篩選。
- 只有裝置物件適用於適用於端點的 Microsoft Defender 管理。不支援以用戶為目標。
- 設定的原則會同時套用至 Microsoft Intune 和適用於端點的 Microsoft Defender 用戶端。
完成原則建立程式，然後在 [ 檢閱 + 建立] 頁面上，選取 [ 建立]。新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
等候指派原則，並檢視已套用原則的成功指示。
您可以使用 Get-MpPreference 命令公用程式，驗證設定是否已在本機用戶端上套用。

監視狀態

您可以從 Microsoft Intune 系統管理中心的 [端點安全性] 下的原則節點，取得此通道中以裝置為目標之原則的狀態和報告。

鑽研至原則類型，然後選取原則以檢視其狀態。您可以在本文稍早的「我應該使用哪一個解決方案」數據表中，檢視支援安全性設定管理的平臺、原則類型和配置檔清單。

當您選取原則時，可以檢視裝置簽入狀態的相關信息，並可選取：

檢視報表 - 檢視接收原則的裝置清單。您可以選取要鑽研的裝置，並查看其個別設定狀態。然後，您可以選取設定來檢視其詳細資訊，包括管理該相同設定的其他原則，這可能是衝突的來源。
每個設定狀態 - 檢視原則所管理的設定，以及每個設定的成功、錯誤或衝突計數。

常見問題和考慮

裝置簽入頻率

此功能所管理的裝置會每隔 90 分鐘簽入 Microsoft Intune 更新原則。

您可以從 Microsoft Defender 入口網站手動同步裝置隨選。登入入口網站並移至 [裝置]。選取由適用於端點的 Microsoft Defender 管理的裝置，然後選取 [原則同步處理] 按鈕：

[原則同步處理] 按鈕只會針對由適用於端點的 Microsoft Defender 成功管理的裝置顯示。

受竄改保護保護的裝置

如果裝置已開啟竄改保護，則無法在未先停用竄改保護的情況下編輯 [竄改保護] 設定的值。

指派篩選和安全性設定管理

透過適用於端點的 Microsoft Defender 信道通訊的裝置不支援指派篩選。雖然指派篩選條件可以新增至可能以這些裝置為目標的原則，但裝置會忽略指派篩選。針對指派篩選器支援，裝置必須註冊以 Microsoft Intune。

刪除和移除裝置

您可以使用下列兩種方法之一來刪除使用此流程的裝置：

從 Microsoft Intune 系統管理中心內，移至 [所有>裝置]，選取在 [管理者] 資料行中顯示 [MDEJoined] 或 [MDEManaged] 的裝置，然後選取 [刪除]。
您也可以從資訊安全中心的組態管理範圍中移除裝置。

從任一位置移除裝置之後，該變更就會傳播到另一個服務。

無法在端點安全性中啟用適用於端點的 Microsoft Defender 工作負載的安全性管理

大部分的初始布建流程通常是由兩個服務 (的系統管理員完成，例如全域管理員) 。在某些情況下，會使用角色型系統管理來自定義系統管理員的許可權。現在，委派 端點安全性管理員 角色的個人可能沒有啟用此功能的必要許可權。

Microsoft Entra 加入的裝置

已加入 Active Directory 的裝置會使用其現有的基礎結構來完成 Microsoft Entra 混合式加入程式。

不支援的安全性設定

下列安全性設定暫止淘汰。適用於端點的 Defender 安全性設定管理流程不支援下列設定：

加速端點偵測 和回應 (下的遙測報告頻率)
[防病毒軟體] 下方的 AllowIntrusionPreventionSystem ()
Windows 安全性體驗) 下的竄改保護 (。此設定並未暫止淘汰，但目前不支援。

在域控制器上使用安全性設定管理

因為需要 Microsoft Entra ID 信任，所以目前不支援域控制器。我們正在尋找新增此支援的方法。

重要事項

Server Core 安裝

安全性設定管理不支援伺服器核心安裝，因為伺服器核心平臺的限制。

PowerShell 限制模式

必須啟用Powershell。

安全性設定管理不適用於已使用 ConstrainedLanguage 模式enabled設定 PowerShell LanguageMode 的裝置。如需詳細資訊，請參閱 PowerShell 檔中的about_Language_Modes。

如果您先前使用第三方安全性工具，請透過 MDE 管理安全性

如果您先前在計算機上有第三方安全性工具，且現在使用 MDE 進行管理，您可能會看到在極少數情況下，對 MDE 管理安全性設定的功能有一些影響。在這種情況下，作為疑難解答量值，請在您的計算機上卸載並重新安裝最新版的 MDE。

管理上線裝置上的端點安全策略以適用於端點的 Microsoft Defender

必要條件

環境