如何使用 Intune 配置 Microsoft Defender SmartScreen

在本文中，你将了解如何使用 Intune 配置 Microsoft Defender SmartScreen。 Microsoft Defender SmartScreen 可防止网络钓鱼或恶意软件网站和应用程序以及潜在恶意文件的下载。

通过在 Intune (MEM) 中配置 Microsoft Defender SmartScreen，可以防范计算机上的潜在恶意文件和网站。

当您启用 Microsoft Defender SmartScreen 时，它会阻止下载信誉度较低的应用，这些应用可能会导致用户出现意外行为，甚至恶意网站。

Microsoft Defender SmartScreen 可以与 Intune、组策略和移动设备管理 (MDM) 设置完美配合，帮助你管理组织的计算机设置。

根据您设置 Microsoft Defender SmartScreen 的方式，您可以向员工显示警告页面并让他们继续访问该网站，也可以完全阻止该网站。

要配置 Microsoft Defender SmartScreen 设置，我们将使用 Intune 设置目录。该配置文件可应用于 Windows 10 和 Windows 11 计算机。

什么是 Microsoft Defender SmartScreen？

当您打开 Microsoft Defender SmartScreen 时，如果用户尝试访问以前报告为网络钓鱼或恶意软件网站的网站，或者用户尝试下载潜在的恶意文件，它有助于保护用户。

Microsoft Defender SmartScreen 有两个重要功能：

1. 它确定用户访问的网站是否潜在恶意或安全。
2. 它还确定从互联网下载的应用程序是否潜在恶意或安全。

Microsoft Defender SmartScreen 如何工作？

Microsoft Defender SmartScreen 通过以下方式确定网站是否潜在恶意：

• 分析访问的网页寻找可疑行为的迹象。如果 Microsoft Defender SmartScreen 确定某个页面可疑，它将显示警告页面以建议小心。
• 根据报告的网络钓鱼站点和恶意软件站点的动态列表检查访问的站点。如果找到匹配项，Microsoft Defender SmartScreen 会显示警告，让用户知道该网站可能是恶意的。

Microsoft Defender SmartScreen 通过以下方式确定下载的应用或应用安装程序是否可能是恶意的：

• 根据报告的恶意软件站点和已知不安全程序的列表检查下载的文件。如果找到匹配项，Microsoft Defender SmartScreen 会显示警告，让用户知道该网站可能是恶意的。
• 根据许多 Windows 用户熟知并下载的文件列表检查下载的文件。如果该文件不在该列表中，Microsoft Defender SmartScreen 会显示警告，建议小心谨慎。

Microsoft Edge 中也提供了类似的功能。了解如何使用 Intune 在 Edge 中配置 PUA 保护。

阅读：在个人设备上设置和使用 Microsoft Defender SmartScreen

如何使用 Intune 配置 Microsoft Defender SmartScreen

让我们看看使用 Intune 配置 Microsoft Defender SmartScreen 的步骤：

首先登录 Intune 门户（Microsoft Endpoint Manager 管理中心）。转至设备 > Windows > 配置文件。选择创建个人资料。

选择平台作为Windows 10及更高版本，选择配置文件类型作为设置目录。点击创建。

在“创建配置文件”窗口的基本选项卡上，指定配置文件的名称。您可以将配置文件名称指定为配置 Microsoft Defender SmartScreen 或启用 Microsoft Defender SmartScreen。

添加有关此配置文件的说明，然后单击下一步。

Intune 设置目录允许你选择启用 Microsoft Defender SmartScreen。在“配置设置”窗口中，选择添加设置。

在设置选择器窗口的搜索框中输入 Defender SmartScreen，然后点击搜索。结果包括与 Microsoft Defender SmartScreen 相关的所有设置。选择管理模板\Windows 组件\文件资源管理器。

现在，在设置名称下，选择配置 Windows Defender SmartScreen 设置。关上窗户。

在配置设置选项卡上，选择以下设置：

1. 配置 Windows Defender SmartScreen - 通过将滑块移至启用来启用此设置。
2. 选择以下设置之一（设备） - 警告并防止绕过或警告。

Microsoft Defender SmartScreen 中的“警告并防止绕过”和“警告”有什么区别？

• 警告并防止绕过 - 如果您选择“警告并防止绕过”选项，Defender SmartScreen 的对话框将不会向用户提供忽略警告并运行应用程序的选项。 SmartScreen 将继续在后续尝试运行该应用程序时显示警告。
• 警告 - 如果您使用“警告”选项启用此策略，SmartScreen 的对话框将警告用户该应用程序显得可疑，但允许用户忽略该警告并无论如何运行该应用程序。如果用户告诉 SmartScreen 运行该应用程序，SmartScreen 将不会再次警告用户该应用程序。

根据您想要为用户配置 SmartScreen 的方式，选择适当的选项。这里我们选择警告选项。

单击下一步继续。

在作业标签上的“包含的组”下，选择添加组，然后选择要包含一个或多个组的组。选择下一步继续。

选择范围标签是可选的。但是，您可以包含或添加范围标签。点击下一步。

在查看+创建窗口中，查看 Defender SmartScreen 设置并点击创建。

创建策略后，右上角将自动显示一条通知，其中包含一条消息。策略已创建 - “配置 Microsoft Defender SmartScreen”已成功创建。该策略也显示在配置文件列表中。

部署策略后，一旦设备签入 Intune 服务，分配的组将收到配置文件设置。

要监控策略分配，请从配置文件列表中选择策略，您可以在此处检查设备和用户签入状态。

如果单击“查看报告”，则会显示其他详细信息。

Microsoft Defender SmartScreen 的最终用户体验

在 Intune 中部署 Defender SmartScreen 设置后，让我们看几个示例，了解 Microsoft Defender SmartScreen 在检测到恶意页面和应用程序时如何操作。

注意：当 Microsoft Defender SmartScreen 警告或阻止用户访问某个网站时，它会记录为事件 1035 - 反网络钓鱼。

假设用户打开 Edge 浏览器并访问恶意或网络钓鱼网站，SmartScreen 会立即向用户发出有关该网站的警告。它报告该站点不安全，并允许用户返回到以前的站点。

用户可以报告该网站不包含网络钓鱼威胁，该信息将发送给 Microsoft。

如果该站点对于用户来说不是恶意的或安全的，则用户可以选择继续访问不安全的站点（不推荐）。

下面的示例显示了 Microsoft Defender SmartScreen 如何阻止它认为是恶意的从 Internet 下载的文件。