整合 適用於端點的 Microsoft Defender 與 Intune 和上線裝置

使用本文中的資訊和程式，將 適用於端點的 Microsoft Defender 與 Intune 連線，然後將適用於端點的 Defender 裝置上線並設定。 本文中的資訊包括下列一般步驟：

• 在 Intune 和適用於端點的 Microsoft Defender 之間建立服務對服務連線。 此連線可讓 Intune 在裝置上與 Microsoft Defender 互動，包括安裝 (上線) 和設定適用於端點的 Defender 用戶端，以及從您使用 Intune 管理的支援裝置整合機器風險分數。 請參閱搭配 Intune 使用 適用於端點的 Microsoft Defender 的必要條件。
• 將裝置上線至適用於端點的 Defender。 您將裝置上線，以設定裝置以與適用於端點的 Microsoft Defender 通訊，並提供資料來協助評估其風險層級。 每個平臺都有不同的上架Defender需求。
• 使用 Intune 裝置合規性原則來設定您想要允許的風險層級。 適用於端點的 Microsoft Defender 報告裝置的風險層級。 超過允許風險層級的裝置會識別為不符合規範。
• 使用條件式存取原則 ，在使用識別為不符合規範的裝置時，封鎖使用者存取公司資源。
• 使用 Android 和 iOS/iPadOS 的應用程式保護原則來設定裝置風險層級。 應用程式防護 原則同時適用於已註冊和未註冊的裝置。

除了在使用 Intune 註冊的裝置上管理 適用於端點的 Microsoft Defender 的設定之外，您還可以在未向 Intune 註冊的裝置上管理適用於端點的 Defender 安全性設定。 此案例稱為適用於 適用於端點的 Microsoft Defender 的安全性管理，需要設定 [允許 適用於端點的 Microsoft Defender 強制執行端點安全性設定] 切換為 [開啟]。 如需詳細資訊，請參閱 適用於端點的 Microsoft Defender 安全性組態管理] 。

將 適用於端點的 Microsoft Defender 連線至 Intune

Intune 和適用於端點的Defender可以一起運作之前，您必須設定 Intune與 適用於端點的 Microsoft Defender之間的服務對服務連線。 這是每個租使用者的一次性動作。 安裝程式需要系統管理存取 Microsoft Defender 資訊安全中心 和 Microsoft Intune 系統管理中心。

啟用 Intune 與 適用於端點的 Microsoft Defender 整合

1. 在 security.microsoft.com 開啟 適用於端點的 Microsoft Defender 入口網站。 Intune 系統管理中心也包含適用於端點的Defender入口網站的連結。

   1. 登入 Microsoft Intune 系統管理中心。

   2. 選取 [端點安全>性 適用於端點的 Microsoft Defender 並檢閱頁面頂端的 [連線狀態]。 如果已啟用，Defender 和 Intune 已連線，您可以跳至步驟 2。

      如果狀態為 [無法使用]，請繼續前往這裡。

   3. 向下捲動至 適用於端點的 Microsoft Defender 頁面底部，然後選取 [開啟 Microsoft Defender 資訊安全中心] 鏈接以開啟入口網站的 Microsoft Defender，然後繼續進行下一個編號步驟。

   提示

   如果連線已在使用中，開啟Defender入口網站的連結會顯示：開啟 適用於端點的 Microsoft Defender管理控制台。

   

2. 在 Microsoft Defender 入口網站中：

   1. 使用左側窗格向下捲動，然後選取> [設定端點進階>功能]。

   2. 在 [進階功能] 窗格中，向下捲動以找出 Microsoft Intune 連線的專案，並將切換設定為 [開啟]。

      

   3. 選取 [儲存喜好設定] 以完成 Intune 與適用於端點的Defender之間的連線。

   注意事項

   建立連線之後，服務應該 至少 每隔 24 小時同步一次。 在 Microsoft Intune 系統管理中心設定連線被視為沒有回應之前，沒有同步處理的天數。 選取 [端點安全>性 適用於端點的 Microsoft Defender>直到合作夥伴沒有回應的天數

3. 返回 Microsoft Intune 系統管理中心的 適用於端點的 Microsoft Defender 頁面，您會在其中設定適用於端點的 Defender 整合層面。 [連線狀態] 現在應該會顯示 [ 已啟用]。

   在此頁面上，檢閱您計劃使用的平臺支援和平臺特定選項的每個類別和可用組態，並將這些切換設定為 [開啟]。 您可以稍後返回以啟用或停用這些選項。

   若要設定下列 適用於端點的 Microsoft Defender 整合，您的帳戶必須獲指派 Intune 角色型訪問控制 (RBAC) 角色，其中包含 Intune 中 Mobile Threat Defense 許可權的讀取和修改。 適用於 Intune的端點安全性管理員內建系統管理員角色包含這些許可權。

   合規性政策評估 - 若要搭配 合規性政策使用適用於端點的 Defender，請針對您支援的平臺，在 [ 合規性原則評估 ] 下設定下列專案：

   • 將 [連線 Android 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender
   • 將 [連線 iOS/iPadOS 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender
   • 將 [將 Windows 裝置連線至 適用於端點的 Microsoft Defender] 設定為 [開啟]

   當這些設定為 [開啟] 時，您使用 Intune 管理的適用裝置，以及您未來註冊的裝置都會連線到 適用於端點的 Microsoft Defender 以符合規範。

   針對 iOS 裝置，適用於端點的 Defender 也支援下列設定，以協助提供 iOS 適用於端點的 Microsoft Defender 上應用程式的弱點評估。 如需使用下列兩個設定的詳細資訊，請參閱設定 應用程式的弱點評估。

   • 啟用 iOS 裝置的應用程式同步處理：設定為 [開啟] 可讓適用於端點的 Defender 向 Intune 要求 iOS 應用程式的元數據，以供威脅分析之用。 iOS 裝置必須已註冊 MDM，並在裝置簽入期間提供更新的應用程式數據。

   • 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據：此設定可控制當適用於端點的 Defender 同步處理應用程式資料並要求應用程式清查清單時，Intune 與適用於端點的 Defender 共用的應用程式清查數據。

     當設定為 [開啟] 時，適用於端點的Defender可以向個人擁有的iOS/iPadOS裝置要求來自 Intune 的應用程式清單。 此清單包含透過 Intune 部署的 Unmanaged 應用程式和應用程式。

     當設定為 [關閉] 時，不會提供 Unmanaged 應用程式的相關數據。 Intune 會共用透過 Intune 部署之應用程式的數據。

   如需詳細資訊，請參閱 Mobile Threat Defense 切換選項。

   應用程式防護 原則評估 - 設定下列切換以使用適用於端點的 Defender 搭配適用於 Android 和 iOS/iPadOS 的 Intune 應用程式保護原則，針對您使用的平臺設定下列 應用程式防護 原則評估：

   • 將 [連線 Android 裝置] 設定為 [Microsoft Defender 端點] 設為 [開啟]。
   • 將 [連線 iOS/iPadOS 裝置] 設定為 [開啟] 適用於端點的 Microsoft Defender。

   如需詳細資訊，請參閱 Mobile Threat Defense 切換選項。

4. 選取 [儲存]。

將裝置上線

在 Intune 與 適用於端點的 Microsoft Defender 之間建立服務對服務連線之後，請使用 Intune 將受控裝置上線以 適用於端點的 Microsoft Defender。 上線涉及將裝置註冊到適用於端點的 Defender 服務，以確保它們受到保護和監視，以防範安全性威脅，並可收集裝置風險層級的相關數據。

將裝置上線時，請務必針對每個平臺使用最新版的 適用於端點的 Microsoft Defender。

將裝置上線至適用於端點的Defender的程式會因平臺而異。

將 Windows 裝置上線

建立 Intune 與 Defender 之間的連線後，Intune 會自動從 Defender 接收可由 Intune 用來將 Windows 裝置上線的上線設定套件。 Intune EDR 原則會使用此套件來設定裝置與 適用於端點的 Microsoft Defender 服務通訊，以及掃描檔案及偵測威脅。 上線的裝置也會根據您的合規性政策，回報其風險層級以 適用於端點的 Microsoft Defender。

使用組態套件將裝置上線是一次性動作。

若要部署適用於 Windows 裝置的上線套件，您可以選擇使用預先設定的 EDR 原則選項，此選項會部署至 [所有裝置 ] 群組以讓所有適用的 Windows 裝置上線，或者您可以手動建立 EDR 原則以進行更細微的部署，這需要您完成一些額外的步驟。

使用預先設定的原則

使用此路徑，您可以提供上線原則的名稱，並同時選取 平臺 和 配置檔。 其他設定會預先選取，並包含使用上線套件，而不需要其他設定、使用 預設 範圍標籤，以及指派給 [所有裝置] 群組。 您無法在原則建立期間變更這些選項，但稍後可以返回以編輯原則詳細數據。

1. 開啟 Microsoft Intune 系統管理中心，移至 [端點安全>性端點偵測和回應]>，然後選取 [EDR 上線狀態] 索引卷標。

2. 在此索引標籤上，選取 [部署預先設定的原則]。

   

3. 針對 [平臺]，針對直接由 Intune 管理的裝置選取 [Windows]，或針對透過租使用者附加案例管理的裝置選取 Windows (ConfigMgr) 。 針對 [配置檔]，選取 [端點偵測和回應]。

4. 指定原則的 [名稱]。

5. 在 [ 檢閱和建立] 頁面上，您可以檢閱此原則設定。 準備就緒時，選取 [ 儲存 ] 以儲存此原則，此原則會立即開始部署至 [所有裝置] 群組。

建立您自己的 EDR 原則：

透過此路徑，您可以先定義初始上線原則的所有層面，再開始部署至裝置。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性端點偵測和回應]> ，然後在 [ 摘要 ] 索引卷標中選取 [ 建立原則]。

3. 針對 [平臺 ] 選取 [Windows]，針對 [配置檔] 選取 [端點偵測和回應]，然後選取 [ 建立]。

4. 在 [ 基本] 頁面上，輸入配置檔的 [ 名稱] 和 [描述 (選擇性) ，然後選擇 [下一步]。

5. 在 [ 組態設定 ] 頁面上，根據您的需求設定下列選項：

   • 適用於端點的 Microsoft Defender 客戶端設定套件類型：從連接器選取 [自動]。 使用此選項時，上線原則會自動使用 Intune 從 Microsoft Defender 接收的上線 Blob。 如果您要上線至不同或中斷連線的適用於端點的Defender部署，請選取 [上線]，並將 WindowsDefenderATP.onboarding Blob 檔案中的文字貼到 [上線 (裝置) ] 字段中。

   • 範例共享：傳回或設定 適用於端點的 Microsoft Defender 範例共用組態參數。

   • [已淘汰] 遙測報告頻率：此設定已被取代，不再適用於新的裝置。 此設定會在原則 UI 中保持可見，以查看已設定此項的較舊原則。

   

   注意事項

   前述螢幕擷取畫面會在您設定好 Intune 和適用於端點的 Microsoft Defender 之間的連線之後，顯示您的設定選項。 線上時，系統會自動產生上線和離線 Blob 的詳細數據，並傳輸至 Intune。

   如果您尚未成功設定此連線，設定 適用於端點的 Microsoft Defender 用戶端組態套件類型只會包含指定上線和離線 Blob 的選項。

6. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

7. 在 [指派] 頁面上，選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   當您部署至使用者群組時，用戶必須在套用原則之前登入裝置，且裝置可以上線至適用於端點的 Defender。

   選取 [下一步] 繼續。

8. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

   提示

   使用裝置 設定 原則、 端點偵測和響應 原則等多個原則或原則類型來管理相同的裝置設定時，您可以為裝置建立原則衝突。 若要深入了解衝突，請參閱管理安全策略一文中的管理衝突。

將 macOS 裝置上線

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 MacOS 裝置上線至適用於端點的 Microsoft Defender。 上線會設定裝置以與 Microsoft Defender Endpoint 溝通，之後便可收集有關裝置風險層級相關的資料。

Intune 不支援macOS的自動上線套件，就像針對Windows裝置一樣。 如需 Intune 的 設定指導方針，請參閱 Mac 版適用於端點的 Microsoft Defender。

如需適用於 Mac 適用於端點的 Microsoft Defender 的詳細資訊，包括最新版本的新功能，請參閱 Microsoft 365 安全性檔中的 mac 適用於端點的 Microsoft Defender。

上線 Android 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 Android 裝置上線至適用於端點的 Microsoft Defender。

Intune 不支援Android的自動上線套件，就像Windows裝置一樣。 如需 Intune 的設定指引，請參閱 Android 必要條件和上線指示 適用於端點的 Microsoft Defender 檔中的 Android 適用於端點的 Microsoft Defender 概觀。

針對執行 Android 的裝置，您可以使用 Intune 原則來修改 Android 上適用於端點的 Microsoft Defender。。 如需詳細資訊，請參閲 適用於端點的 Microsoft Defender 網路保護。

上線 iOS/iPadOS 裝置

在您建立 Intune 與適用於端點的 Microsoft Defender 之間的服務對服務連線之後，您可以將 iOS/iPadOS 裝置上線至適用於端點的 Microsoft Defender。

Intune 不支援 iOS/iPadOS 的自動上線套件，如同 Windows 裝置一樣。 如需 Intune 的設定指引，請參閱 iOS/iPadOS 必要條件和上線指示 適用於端點的 Microsoft Defender 檔中的 iOS 適用於端點的 Microsoft Defender 概觀。

針對執行 iOS/iPadOS (受監督的模式) 的裝置，由於平台在這些裝置類型上提供了更多的管理功能，因此具有專門化的功能。 若要利用這些功能，Defender 應用程式必須知道裝置是否處於 受監督模式。 如需詳細資訊，請 參閱完成受監督裝置的部署。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [應用程式>設定原則>+ 新增]，然後從下拉式清單中選取 [受管理的裝置 ]。

3. 在 [ 基本概念] 頁面上，輸入配置檔的 [ 名稱 ] 和 [ 描述 (選擇性) ]，選取 [ 平臺 為 iOS/iPadOS]， 然後選擇 [ 下一步]。

4. 選取 [目標應用程式] 作為iOS的 Microsoft Defender。

5. 在 [ 設定] 頁面上，將 [組 態密鑰 ] 設定為 [受監督]，然後將 [值類型] 設定 為 字串 ，並以 {{issupervised}} 作為 [ 組態] 值。

6. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

7. 在 [指派] 頁面上，選取將接收此設定檔的群組。 針對此案例，最佳做法是鎖定 [所有裝置]。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   當您將原則部署至使用者群組時，用戶必須在套用原則之前登入裝置。

   選取 [下一步]。

8. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

檢視已上線以 適用於端點的 Microsoft Defender的裝置計數

您可以從 Intune 系統管理中心內檢視裝置上線狀態的報告，方法是移至 [端點安全>性端點偵測和回應>]，然後選取 [EDR 上線狀態] 索引卷標。

若要檢視這項資訊，您的帳戶必須獲指派 Intune 角色，其中包含 Microsoft Defender 進階威脅防護許可權的讀取許可權。

建立並指派合規性原則以設定裝置風險層級

針對 Android、iOS/iPadOS 和 Windows 裝置，合規性原則會決定您認為裝置可接受的風險層級。

如果您不熟悉如何建立合規性政策，請參閱在 Microsoft Intune 中建立合規性政策一文中的建立原則程式。 下列資訊是設定 適用於端點的 Microsoft Defender 為合規性政策一部分的特定資訊。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>合規性]。 在 [ 原則] 索引 標籤上，選取 [+ 建立原則]。

3. 針對 [平臺]，使用下拉式方塊來選取下列其中一個選項：

   • Android 裝置系統管理員
   • Android 企業版
   • iOS/iPadOS
   • Windows 10 和更新版本

   接下來，選取 [ 建立]。

4. 在 [ 基本] 索引標籤上 ，指定可協助您稍後識別此原則的 [名稱 ]。 您也可以選擇指定 [描述]。

5. 在 [相容性設定] 索引卷標上，展開 [適用於端點的 Microsoft Defender] 類別，並將 [需要裝置處於或低於計算機風險分數] 選項設定為您偏好的層級。

   威脅層級分類是 由適用於端點的 Microsoft Defender 決定。

   • 清除：此層級最安全。 裝置不可以有任何既有的威脅，但仍可存取公司資源。 如果找到任何威脅，系統會將裝置評估為不符合規範。 (適用於端點的 Microsoft Defender 使用 安全 值。)
   • 低：如果只有低層級威脅存在，裝置就會符合規範。 具有一般或高威脅層級裝置則不符合規範。
   • 中型：如果在裝置上發現的威脅為低或中，則裝置符合規範。 如果偵測到高威脅層級，則系統會將裝置判定為不符合規範。
   • 高：此層級最不安全，並允許所有威脅層級。 具有高、一般或低威脅等級的裝置則會被視為符合規範。

6. 完成此原則的設定，包括將原則指派給適用的群組。

建立和指派應用程式保護原則以設定裝置風險層級。

使用程式來 建立 iOS/iPadOS 或 Android 的應用程式保護原則，並在 [應用程式]、 [條件式啟動] 和 [指 派 ] 頁面上使用下列資訊：

• 應用程式：選取您想要以應用程式保護原則為目標的應用程式。 針對此功能集合，系統會依據來自您選取的行動威脅防禦廠商的裝置風險評估，封鎖或選擇性清除這些應用程式。

• 條件式啟動：在 [裝置條件] 下方，使用下拉式方塊選取 [允許的裝置威脅等級上限]。

  威脅層級 值的選項：

  • 安全：此層級最安全。 裝置不可以有任何威脅存在，且仍可存取公司資源。 如果找到任何威脅，系統會將裝置評估為不符合規範。
  • 低：如果只有低階威脅存在，裝置就會符合規範。 任何較高的威脅等級都會讓裝置成為不符合規範的狀態。
  • 中型：如果在裝置上發現的威脅為低或中層級，則裝置符合規範。 如果偵測到高威脅層級，則系統會將裝置判定為不符合規範。
  • 高：此層級最不安全，並允許所有威脅層級，只使用Mobile Threat Defense 進行報告。 裝置必須使用此設定來啟用 MTD 應用程式。

  動作的選項：

  • 封鎖存取
  • 抹除資料

• 指派：將原則指派給使用者群組。 系統會評估群組成員所使用的裝置，以透過 Intune 應用程式保護來存取目標應用程式上的公司數據。

建立條件式存取原則

條件式存取原則可以使用來自 適用於端點的 Microsoft Defender 的數據，來封鎖超過您所設定威脅層級之裝置的資源存取。 您可以封鎖從裝置存取公司資源，例如 SharePoint 或 Exchange Online。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>] [建立新原則]。 因為 Intune 從 Azure 入口網站 提供條件式存取的原則建立使用者介面，所以介面與您可能熟悉的原則建立工作流程不同。

3. 輸入原則 名稱。

4. 針對 [使用者]，請使用 [ 包含 ] 和 [ 排除 ] 索引卷標來設定將接收此原則的群組。

5. 針對 [目標資源]，設定 [選取此原則適用於雲端應用程式的內容]，然後選擇要保護的應用程式。 例如，選擇 [選取應用程式]，然後針對 [選取]、搜尋並選取 [Office 365 SharePoint Online] 和 [Office 365 Exchange Online]。

6. 針對 [條件]，選取 [用戶端應用程式 ]，然後將 [設定 ] 設定為 [是]。 接下來，選取 [瀏覽器] 和 [行動 應用程式和桌面客戶端] 的複選框。 然後，選 取 [完成 ] 以儲存用戶端應用程式組態。

7. 針對 [授與]，設定此原則以根據裝置合規性規則套用。 例如：

   1. 選 取 [授與存取權]。
   2. 選取 [ 需要將裝置標示為符合規範] 的複選框。
   3. 選 取 [需要所有選取的控件]。 選擇 [選取 ] 以儲存授與設定。

8. 針對 [啟用原則]，選取 [ 開啟 ]，然後選取 [ 建立 ] 以儲存變更。

相關內容

• 在Android上設定 適用於端點的 Microsoft Defender 設定
• 監視風險層級的合規性

從 Intune 檔深入瞭解：

• 使用適用於端點的 Defender 弱點管理的安全性工作來補救裝置上的問題
• 開始使用裝置合規性政策
• 應用程式防護原則概觀

從 適用於端點的 Microsoft Defender 檔深入瞭解：

• 適用於端點的 Microsoft Defender 條件式存取
• 適用於端點的 Microsoft Defender 風險儀錶板