在適用於企業的 Microsoft Defender 中檢視或編輯原則

在適用於企業的 Defender 中,安全性設定是透過套用至裝置的原則進行設定。 為了協助簡化您的設定和設定體驗,商務用 Defender 包含數個預先設定的原則,可協助在裝置上線後立即保護公司裝置。 您也可以建立其他類型的原則, (請參閱在 適用於企業的 Microsoft Defender) 中設定、檢閱和編輯您的安全性原則和設定

本文說明如何在商務用 Defender 中檢視、編輯及建立安全性原則。

本文包括:

適用於企業的 Defender 中的預設原則

在商務用 Defender 中,有兩種主要類型的預設原則,其設計目的是在裝置上線後立即保護公司的裝置:

  • 新一代保護原則,決定如何設定 Microsoft Defender 防毒軟體和其他威脅防護功能;以及
  • 防火牆原則,可決定允許哪些網路流量流入和流出您公司的裝置。

新一代保護 包括適用于電腦和行動裝置的強固防毒軟體和反惡意程式碼防護。 預設原則的設計目的是要保護您的裝置和使用者,而不會妨礙生產力。 不過,您可以自訂原則以符合您的商務需求。 如需詳細資訊,請 參閱檢閱或編輯新一代的保護原則

防火牆原則 藉由建立規則來決定允許哪些網路流量流向裝置,以協助保護裝置。 您可以使用防火牆保護來指定是否允許或封鎖不同位置裝置上的連線。 例如,您的防火牆設定可以在連線到公司內部網路的裝置上允許輸入連線,但是當裝置位於具有不受信任裝置的網路時,會防止連線。 如需詳細資訊,請參閱 防火牆

要在商務用 Defender 中設定的原則

除了新一代保護和防火牆原則之外,還有三種其他類型的原則可使用商務用 Defender 來設定最佳保護:

  • Web 內容篩選,可為您的組織開啟 Web 保護。
  • 受控資料夾存取權,這是勒索軟體保護的重要部分 (需要 Intune 來設定和管理)
  • 受攻擊面縮小規則,可協助減少裝置弱點 (需要 Intune 來設定和管理)

Web 內容篩選,可讓您的安全性小組根據內容類別別來追蹤及規範網站的存取。 類別的範例包括成人內容、高頻寬內容,以及法律責任內容。 當您設定 Web 內容篩選原則時,您會為組織啟用 Web 保護。 如需詳細資訊,請參閱 Web 內容篩選

受控資料夾存取 只允許受信任的應用程式存取 Windows 裝置上受保護的資料夾。 將這項功能視為勒索軟體防護功能。 您可以在 Microsoft Intune 中設定或編輯受控資料夾存取原則。 如需詳細資訊, 請參閱設定或編輯受控資料夾存取原則

受攻擊面縮小規則 的目標是某些通常被視為有風險的軟體行為,因為攻擊者通常會透過惡意程式碼濫用這些行為。 這類行為的範例包括啟動嘗試下載或執行檔案的可執行檔和腳本。 受攻擊面縮小規則可以限制以軟體為基礎的風險行為,並協助保護貴組織的安全。 我們建議您至少設定標準保護規則,以協助保護您的網路,而不會造成使用者中斷。 如需詳細資訊,請參閱在 適用於企業的 Microsoft Defender 中啟用受攻擊面縮小規則

注意事項

需要 Intune 才能設定 受控資料夾存取受攻擊面縮小規則。 Intune 未包含在獨立版的商務用 Defender 中,但可新增至您的訂用帳戶。

檢視您現有的原則

如果您使用 Intune) ,您可以在Microsoft Defender入口網站 (https://security.microsoft.com) 或 Intune 系統管理中心 (https://intune.microsoft.com) (中檢視現有的原則。

  1. 移至Microsoft Defender入口網站 (https://security.microsoft.com) ,然後登入。

  2. 在流覽窗格中,選擇 [組態管理>裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代保護][防火牆]) 所組織的原則。

  3. 選取作業系統索引標籤 (例如 Windows 客戶 端) ,然後檢閱每個類別 (下的原則清單,例如 新一代保護防火牆) 。

  4. 若要查看原則的更多詳細資料,請選取其名稱。 將會開啟側邊窗格,提供有關該原則的詳細資訊,例如哪些裝置受到該原則保護。

編輯現有的原則

如果您使用 Intune) ,您可以在Microsoft Defender入口網站 (https://security.microsoft.com) 或 Intune 系統管理中心 (https://intune.microsoft.com) (中檢視現有的原則。

  1. 移至Microsoft Defender入口網站 (https://security.microsoft.com) ,然後登入。

  2. 在瀏覽窗格中,選擇 [裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代保護][防火牆]) 所組織的原則。

  3. 選取作業系統索引標籤 (例如,[Windows 用戶端]),然後檢查 [新一代保護][防火牆] 類別下的原則清單。

  4. 若要編輯某個原則,請選取其名稱,然後選擇 [編輯]

  5. [一般資訊] 索引標籤上,查看資訊。 如有必要,您可以編輯描述。 接著選擇 [下一步]

  6. [裝置群組] 索引標籤上,決定哪些裝置群組應接收此原則。

    • 若要讓選取的裝置群組維持目前狀態,請選擇 [下一步]
    • 若要從原則中移除裝置群組,請選取 [移除]
    • 若要設定新的裝置群組,請選取 [建立新群組],然後設定您的裝置群組。 (若要取得這項工作的說明,請參閱 Device groups.)
    • 若要將原則應用於另一個裝置群組,請選取 [使用現有的群組]

    指定應接收此原則的裝置群組之後,請選擇 [下一步]

  7. [組態設定] 索引標籤上,檢查設定。 如有需要,您可以編輯您原則的設定。 若要取得這項工作的協助,請參閱下列文章:

    指定新一代保護設定之後,請選擇 [下一步]

  8. [檢視您的原則] 索引標籤上,查看一般資訊、目標裝置和組態設定。

    • 選取 [編輯],以進行任何有需要的改變。
    • 當您準備好繼續進行時,請選擇 [更新原則]

建立新的原則

  1. 移至Microsoft Defender入口網站 (https://security.microsoft.com) ,然後登入。

  2. 在瀏覽窗格中,選擇 [裝置設定]。 根據作業系統 (例如 Windows 用戶端) 和原則類型 (例如 [新一代防護][防火牆]) 所組織的原則。

  3. 選取作業系統索引標籤 (例如, W[indows 用戶端]),然後檢查 [新一代防護] 原則。

  4. [新一代防護][防火牆]下,選取 [+ 新增]

  5. [一般資訊] 索引標籤上,採取下列步驟:

    1. 指定名稱和描述。 這項資訊可協助您和您的團隊在稍後識別該原則。
    2. 請查閱該原則順序,並在必要時進行編輯。 (如需詳細資訊,請參閱[原則順序]。)
    3. 選擇 [下一步]
  6. [裝置群組] 索引標籤上,建立新裝置群組或使用現有的群組。 透過裝置群組將原則指派給裝置。 以下事項請謹記在心:

    • 一開始,您可能只有您的預設裝置群組,其中包括貴公司人員存取公司資料和電子郵件的裝置。 您可以保留並使用預設裝置群組。
    • 建立新裝置群組以使用與預設原則不同的特定設定來應用原則。
    • 當您設定裝置群組時,您可以指定特定準則,例如作業系統版本。 符合準則的裝置會包含在該裝置群組中,除非您將它們排除在外。
    • 所有裝置群組,包括您定義的預設和自訂裝置群組,都會儲存在Microsoft Entra識別碼中。

    若要深入瞭解裝置群組,請參閱 裝置群組

  7. [組態設定] 上,指定您原則的設定,然後選擇 [下一步]。 如需個別設定的詳細資訊,請參閱 商務用 Defender 的組態設定

  8. [檢視您的原則] 索引標籤上,查看一般資訊、目標裝置和組態設定。

    • 選取 [編輯],以進行任何有需要的改變。
    • 當您準備好繼續進行時,請選擇 [ 建立原則]

另請參閱