在 Microsoft Intune 中管理终结点安全性

项目
11/22/2024

作为安全管理员，请使用 Intune 中的终结点安全节点配置设备安全性，并在设备面临风险时管理设备的安全任务。终结点安全策略旨在帮助你专注于设备的安全性并降低风险。可用任务可帮助你识别有风险的设备，以修正这些设备，并将其还原到合规或更安全的状态。

终结点安全节点对可通过Intune提供的工具进行分组，这些工具可用于确保设备安全：

查看所有托管设备的状态。使用 “所有设备 ”视图，你可以在其中从高级别查看设备符合性。然后，钻取到特定设备，以了解哪些符合性策略未满足，以便可以解决这些问题。
部署安全基线，为设备建立最佳做法安全配置。 Intune包括 Windows 设备的安全基线和不断增长的应用程序列表，例如 Microsoft Defender for Endpoint 和 Microsoft Edge。安全基线是预配置的 Windows 设置组，可帮助你应用来自相关安全团队的建议配置。
通过集中策略管理设备上的安全配置。每个终结点安全策略都侧重于设备安全性的各个方面，例如防病毒、磁盘加密、防火墙，以及通过与 Microsoft Defender for Endpoint 集成提供的多个区域。
通过合规性策略建立设备和用户要求。使用合规性策略，可以设置设备和用户必须满足的规则才能被视为合规。规则可以包括 OS 版本、密码要求、设备威胁级别等。

与 Microsoft Entra 条件访问策略集成以强制实施合规性策略时，可以为托管设备和尚未管理的设备限制对公司资源的访问。
将Intune与Microsoft Defender for Endpoint团队集成。通过与 Microsoft Defender for Endpoint集成，可以访问安全任务。安全任务将Microsoft Defender for Endpoint和Intune紧密联系在一起，以帮助安全团队识别存在风险的设备，并移交详细的修正步骤，以便Intune管理员采取行动。

本文的以下部分讨论了可以从管理中心的终结点安全节点执行的不同任务，以及基于角色的访问控制 (RBAC) 使用这些任务所需的权限。

终结点安全性概述

在 Microsoft Intune 管理中心打开终结点安全节点时，默认为“概述”页。

“终结点安全性概述”页显示了一个合并仪表板，其中包含从终结点安全性更集中的节点（包括防病毒、终结点检测和响应）提取的显示和信息，以及Microsoft Defender for Endpoint：

Defender for Endpoint Connector 状态 – 此视图显示租户范围的 Defender for Endpoint Connector 的当前状态。此视图的标签还用作打开Microsoft Defender for Endpoint门户的链接。

终结点 检测和响应 策略节点的“摘要”选项卡上提供了相同的视图。
载入到 Defender for Endpoint 的 Windows 设备 – 此表显示 EDR) 载入 (终结点检测和响应 的租户范围状态，以及已载入和未载入的设备计数。此视图的标签是一个链接，用于打开终结点检测和响应策略节点的“摘要”选项卡。

还包含两个附加链接：
- 部署预配置策略 – 此链接打开 终结点检测和响应 的策略节点，你可以在其中部署策略以将设备载入 Defender。
- 将设备载入到 Defender for Endpoint – 打开 Defender 门户的链接，可在其中执行其他步骤，在Intune简化的工作流之外载入设备。
防病毒代理状态 – 此视图显示Intune的防病毒代理状态报告的摘要详细信息，否则可通过转到“报告>Microsoft Defender防病毒”选项卡上的报告，在Intune管理中心中提供。
其他监视报告 - 此部分包括打开其他Microsoft Defender防病毒报告的磁贴，包括检测到的恶意软件防火墙状态。另一个磁贴将打开 Defender 门户 ，可在其中查看传感器和防病毒运行状况数据。

管理设备

终结点安全节点包括“所有设备”视图，可在其中查看Microsoft Intune中提供Microsoft Entra ID的所有设备的列表。

在此视图中，你可以选择要钻取的设备，以获取详细信息，例如设备不符合哪些策略。还可以使用此视图中的访问来修正设备问题，包括重启设备、开始扫描恶意软件或在 Window 10 设备上轮换 BitLocker 密钥。

有关详细信息，请参阅在 Microsoft Intune 中使用终结点安全性管理设备。

管理安全基线

Intune中的安全基线是预配置的设置组，这些设置是产品相关Microsoft安全团队的最佳做法建议。 Intune支持Windows 10/11 设备设置、Microsoft Edge、Microsoft Defender for Endpoint保护等的安全基线。

可以使用安全基线快速部署设备和应用程序设置的 最佳做法 配置，以保护用户和设备。运行 Windows 10 版本 1809 及更高版本以及Windows 11的设备支持安全基线。

有关详细信息，请参阅使用安全基线在 Intune 中配置 Windows 设备。

安全基线是Intune中用于在设备上配置设置的几种方法之一。管理设置时，请务必了解环境中正在使用哪些其他方法可以配置设备，以便避免冲突。请参阅本文后面的避免策略冲突。

查看Microsoft Defender for Endpoint中的安全任务

将 Intune 与 Microsoft Defender for Endpoint 集成后，可以查看Intune中的安全任务，以识别有风险的设备并提供缓解风险的步骤。然后，可以使用任务在成功缓解这些风险时向Microsoft Defender for Endpoint报告。

Microsoft Defender for Endpoint团队确定哪些设备存在风险，并将该信息作为安全任务传递给Intune团队。只需单击几下鼠标，他们就会为Intune创建一个安全任务，用于识别面临风险的设备、漏洞，并提供有关如何缓解该风险的指导。
Intune管理员查看安全任务，然后在Intune内采取行动来修正这些任务。缓解后，他们将任务设置为完成，从而将状态传达回Microsoft Defender for Endpoint团队。

通过安全任务，两个团队在哪些设备存在风险以及如何以及何时修正这些风险时保持同步。

若要了解有关使用安全任务的详细信息，请参阅使用Intune修正Microsoft Defender for Endpoint标识的漏洞。

使用策略管理设备安全性

作为安全管理员，请使用在终结点安全节点的 “管理” 下找到的安全策略。使用这些策略，可以配置设备安全性，而无需在设备配置文件或安全基线中导航更大的正文和设置范围。

管理策略

若要详细了解如何使用这些安全策略，请参阅使用终结点安全策略管理设备安全性。

终结点安全策略是在 Intune 中配置设备上的设置的几种方法之一。管理设置时，请务必了解环境中正在使用哪些其他方法可以配置设备并避免冲突。请参阅本文后面的避免策略冲突。

在 “管理” 下还找到了 “设备符合性” 和 “条件访问 策略”。这些策略类型不是用于配置终结点的重点安全策略，而是用于管理设备和访问公司资源的重要工具。

使用设备符合性策略

使用设备符合性策略建立允许设备和用户访问网络和公司资源的条件。

可用的符合性设置取决于你使用的平台，但常见策略规则包括：

要求设备运行最低或特定 OS 版本
设置密码要求
指定允许的最大设备威胁级别，由Microsoft Defender for Endpoint或其他移动威胁防御合作伙伴确定

除了策略规则之外，合规性策略还支持针对不符合性操作。这些操作是应用于不合规设备的按时间排序的操作序列。操作包括发送电子邮件或通知，以提醒设备用户不合规、远程锁定设备，甚至停用不合规的设备，以及删除其上可能存在的任何公司数据。

集成Intune Microsoft Entra条件访问策略以强制实施符合性策略时，条件访问可以使用符合性数据来限制对托管设备和未管理的设备的公司资源的访问。

若要了解详细信息，请参阅在设备上设置规则以允许使用 Intune 访问组织中的资源。

设备符合性策略是Intune在设备上配置设置的几种方法之一。管理设置时，请务必了解环境中正在使用哪些其他方法可以配置设备并避免冲突。请参阅本文后面的避免策略冲突。

配置条件访问

若要保护设备和公司资源，可以将Microsoft Entra条件访问策略与Intune结合使用。

Intune将设备符合性策略的结果传递给Microsoft Entra，然后使用条件访问策略强制哪些设备和应用可以访问公司资源。条件访问策略还有助于限制未使用 Intune 管理的设备的访问，并且可以使用与 Intune 集成的移动威胁防御合作伙伴提供的合规性详细信息。

以下是将条件访问与 Intune 配合使用的两种常见方法：

基于设备的条件访问，以确保只有托管且合规的设备可以访问网络资源。
基于应用的条件访问，它使用应用保护策略来管理未使用 Intune 管理的设备上的用户对网络资源的访问。

若要详细了解如何将条件访问与Intune配合使用，请参阅了解条件访问和Intune。

设置与Microsoft Defender for Endpoint的集成

将 Microsoft Defender for Endpoint 与 Intune 集成后，可提高识别和应对风险的能力。

虽然Intune可以与多个移动威胁防御合作伙伴集成，但使用Microsoft Defender for Endpoint可以在Microsoft Defender for Endpoint与Intune之间紧密集成，并访问深层设备保护选项，包括：

安全任务 - Defender for Endpoint 与Intune管理员之间就面临风险的设备、如何修正设备以及确认何时缓解这些风险进行无缝通信。
简化了客户端上Microsoft Defender for Endpoint的载入。
在Intune合规性策略和应用保护策略中使用 Defender for Endpoint 设备风险信号。
访问 篡改防护 功能。

若要详细了解如何将 Microsoft Defender for Endpoint 与 Intune 配合使用，请参阅在 Intune 中使用条件访问强制实施Microsoft Defender for Endpoint合规性。

基于角色的访问控制要求

若要在Microsoft Intune管理中心的终结点安全节点中管理任务，帐户必须：

为Intune分配许可证。
将基于角色的访问控制 (RBAC) 权限与 Endpoint Security Manager 的内置Intune角色提供的权限相等。 Endpoint Security Manager 角色授予对 Microsoft Intune 管理中心的访问权限。管理安全性和合规性功能（包括安全基线、设备符合性、条件访问和Microsoft Defender for Endpoint）的个人可以使用此角色。

有关详细信息，请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)。

Endpoint Security Manager 角色授予的权限

可以在Microsoft Intune管理中心查看以下权限列表，方法是转到“租户管理>角色”“>所有角色”，选择“终结点安全管理器>属性”。

权限：

Android FOTA
- 阅读
Android for work
- 阅读
审核数据
- 阅读
证书连接器
- 阅读
公司设备标识符
- 阅读
派生凭据
- 阅读
设备符合性策略
- Assign
- 创建
- 删除
- 阅读
- 更新
- 查看报告
设备配置
- 阅读
- 查看报告
设备注册管理器
- 阅读
终结点保护报告
- 阅读
注册计划
- 读取设备
- 读取配置文件
- 读取令牌
筛选器
- 阅读
Intune数据仓库
- 阅读
托管应用
- 阅读
托管设备
- 删除
- 阅读
- 设置主要用户
- 更新
- 查看报告
Microsoft Defender ATP
- 阅读
适用于企业的 Microsoft Store
- 阅读
移动威胁防御
- 修改
- 阅读
移动应用程序
- 阅读
组织
- 阅读
合作伙伴设备管理
- 阅读
PolicySets
- 阅读
远程协助连接器
- 阅读
- 查看报告
远程任务
- 获取 FileVault 密钥
- 启动配置管理器操作
- 立即重新启动
- 远程锁定
- 旋转 BitLockerKeys (预览版)
- 轮换 FileVault 密钥
- 关闭
- 同步设备
- Windows Defender
Roles
- 阅读
安全基线
- Assign
- 创建
- 删除
- 阅读
- 更新
安全任务
- 阅读
- 更新
条款和条件
- 阅读
Windows 企业证书
- 阅读

避免策略冲突

可为设备配置的许多设置都可以由 Intune 中的不同功能进行管理。这些功能包括但不限于：

终结点安全策略
安全基线
设备配置策略
Windows 注册策略

例如，在终结点安全策略中找到的设置是设备配置策略中的终结点保护和设备限制配置文件中找到的设置的子集，这些设置也通过各种安全基线进行管理。

避免冲突的一种方法是不要使用不同的基线、同一基线的实例或不同的策略类型和实例来管理设备上的相同设置。这需要规划用于将配置部署到不同设备的方法。使用同一方法的多个方法或实例配置同一设置时，请确保不同的方法要么同意，要么未部署到同一设备。

如果发生冲突，可以使用 Intune 的内置工具来识别和解决这些冲突的根源。有关更多信息，请参阅：

后续步骤

配置：

通过