تكوين الوصول المشروط في Microsoft Defender لنقطة النهاية

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يرشدك هذا القسم خلال جميع الخطوات التي تحتاج إلى اتخاذها لتنفيذ الوصول المشروط بشكل صحيح.

قبل البدء

تحذير

من المهم ملاحظة أن Microsoft Entra الأجهزة المسجلة غير مدعومة في هذا السيناريو. يتم دعم Intune الأجهزة المسجلة فقط.

تحتاج إلى التأكد من تسجيل جميع أجهزتك في Intune. يمكنك استخدام أي من الخيارات التالية لتسجيل الأجهزة في Intune:

• مسؤول تكنولوجيا المعلومات: لمزيد من المعلومات حول كيفية تمكين التسجيل التلقائي، راجع تمكين التسجيل التلقائي ل Windows.
• المستخدم النهائي: لمزيد من المعلومات حول كيفية تسجيل Windows 10 وجهاز Windows 11 في Intune، راجع تسجيل جهاز Windows في Intune.
• بديل المستخدم النهائي: لمزيد من المعلومات حول الانضمام إلى مجال Microsoft Entra، راجع كيفية: تخطيط تنفيذ الانضمام Microsoft Entra.

هناك خطوات ستحتاج إلى اتخاذها في مدخل Microsoft Defender ومدخل Intune مركز مسؤولي Microsoft Entra.

من المهم ملاحظة الأدوار المطلوبة للوصول إلى هذه المداخل وتنفيذ الوصول المشروط:

• Microsoft Defender المدخل - ستحتاج إلى تسجيل الدخول إلى المدخل بدور مناسب لتشغيل التكامل. راجع خيارات الأذونات.
• Intune - ستحتاج إلى تسجيل الدخول إلى المدخل باستخدام حقوق مسؤول الأمان باستخدام أذونات الإدارة.
• مركز مسؤولي Microsoft Entra - ستحتاج إلى تسجيل الدخول كمسؤول أمان أو مسؤول الوصول المشروط.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

ستحتاج إلى بيئة Microsoft Intune، مع أجهزة Windows 10 Windows 11 مدارة Microsoft Entra Intune ومنضمة.

اتبع الخطوات التالية لتمكين الوصول المشروط:

• الخطوة 1: تشغيل اتصال Microsoft Intune من Microsoft Defender XDR
• الخطوة 2: تشغيل تكامل Defender لنقطة النهاية في Intune
• الخطوة 3: إنشاء نهج التوافق في Intune
• الخطوة 4: تعيين النهج
• الخطوة 5: إنشاء نهج وصول مشروط Microsoft Entra

الخطوة 1: تشغيل الاتصال Microsoft Intune

1. في جزء التنقل، حدد Settings>Endpoints>General>Advanced features>Microsoft Intune connection.

2. قم بتبديل إعداد Microsoft Intune إلى تشغيل.

3. انقر فوق حفظ التفضيلات.

الخطوة 2: تشغيل تكامل Defender لنقطة النهاية في Intune

1. تسجيل الدخول إلى مدخل Intune

2. حدد Endpoint Security>Microsoft Defender لنقطة النهاية.

3. قم بتعيين Connect Windows 10.0.15063+ إلى Microsoft Defender Advanced Threat Protection إلى On.

4. انقر فوق حفظ.

الخطوة 3: إنشاء نهج التوافق في Intune

1. في مدخل Microsoft Azure، حدد All services، وقم بالتصفية على Intune، وحدد Microsoft Intune.

2. حدد نهج توافق>> الجهازإنشاء نهج.

3. أدخل الاسموالوصف.

4. في النظام الأساسي، حدد Windows 10 والإصدارات الأحدث.

5. في إعدادات Device Health ، قم بتعيين Require the device to be at or under the Device Threat Level to your preferred level:

   • مؤمن: هذا المستوى هو الأكثر أمانا. لا يمكن أن يكون للجهاز أي تهديدات موجودة ولا يزال يصل إلى موارد الشركة. إذا تم العثور على أي تهديدات، يتم تقييم الجهاز على أنه غير متوافق.
   • منخفض: يكون الجهاز متوافقا إذا كانت هناك تهديدات منخفضة المستوى فقط. الأجهزة ذات مستويات التهديد المتوسطة أو العالية غير متوافقة.
   • متوسط: يكون الجهاز متوافقا إذا كانت التهديدات الموجودة على الجهاز منخفضة أو متوسطة. إذا تم الكشف عن تهديدات عالية المستوى، يتم تحديد الجهاز على أنه غير متوافق.
   • عال: هذا المستوى هو الأقل أمانا، ويسمح بجميع مستويات التهديد. لذلك تعتبر الأجهزة ذات مستويات التهديد العالية أو المتوسطة أو المنخفضة متوافقة.

6. حدد موافق، وإنشاء لحفظ التغييرات (وإنشاء النهج).

الخطوة 4: تعيين النهج

1. في مدخل Microsoft Azure، حدد All services، وقم بالتصفية على Intune، وحدد Microsoft Intune.

2. حدد نهج توافق>> الجهازحدد نهج التوافق Microsoft Defender لنقطة النهاية.

3. حدد الواجبات.

4. قم بتضمين مجموعات Microsoft Entra أو استبعادها لتعيين النهج لها.

5. لنشر النهج إلى المجموعات، حدد حفظ. يتم تقييم أجهزة المستخدم التي يستهدفها النهج للتوافق.

الخطوة 5: إنشاء نهج وصول مشروط Microsoft Entra

1. في مدخل Microsoft Azure، افتح نهج جديد Microsoft Entra ID>Conditional Access>.

2. أدخل اسم النهج، وحدد المستخدمين والمجموعات. استخدم الخيارين تضمين أو استبعاد لإضافة مجموعاتك للنهج، وحدد تم.

3. حدد تطبيقات السحابة، واختر التطبيقات التي يجب حمايتها. على سبيل المثال، اختر تحديد التطبيقات، وحدد Office 365 SharePoint OnlineOffice 365 Exchange Online. حدد تم لحفظ التغييرات.

4. حدد Conditions>Client apps لتطبيق النهج على التطبيقات والمستعرضات. على سبيل المثال، حدد نعم، ثم قم بتمكين تطبيقات المستعرض والأجهزة المحمولة وعملاء سطح المكتب. حدد تم لحفظ التغييرات.

5. حدد Grant لتطبيق الوصول المشروط استنادا إلى توافق الجهاز. على سبيل المثال، حدد Grant access>Require device to be marked as compliant. اختر تحديد لحفظ التغييرات.

6. حدد تمكين النهج، ثم إنشاء لحفظ التغييرات.

ملاحظة

يمكنك استخدام تطبيق Microsoft Defender لنقطة النهاية جنبا إلى جنب مع تطبيق العميل المعتمدونهج حماية التطبيقاتوالجهاز المتوافق (يتطلب وضع علامة على الجهاز كمتوافق) في نهج الوصول المشروط Microsoft Entra. لا يوجد استثناء مطلوب لتطبيق Microsoft Defender لنقطة النهاية أثناء إعداد الوصول المشروط. على الرغم من أن Microsoft Defender لنقطة النهاية على Android & iOS (معرف التطبيق - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) ليس تطبيقا معتمدا، إلا أنه قادر على الإبلاغ عن وضع أمان الجهاز في جميع أذونات المنح الثلاثة.

ومع ذلك، يطلب Defender داخليا نطاق MSGraph/User.read ونطاق نفق Intune (في حالة سيناريوهات Defender+Tunnel). لذلك يجب استبعاد هذه النطاقات*. لاستبعاد نطاق MSGraph/User.read، يمكن استبعاد أي تطبيق سحابي واحد. لاستبعاد نطاق النفق، تحتاج إلى استبعاد "بوابة نفق Microsoft". تتيح هذه الأذونات والاستثناءات تدفق معلومات التوافق إلى الوصول المشروط.

قد يؤدي تطبيق نهج الوصول المشروط على جميع تطبيقات السحابة إلى حظر وصول المستخدم عن غير قصد في بعض الحالات، لذلك لا يوصى به. اقرأ المزيد حول نهج الوصول المشروط على تطبيقات السحابة

لمزيد من المعلومات، راجع فرض التوافق Microsoft Defender لنقطة النهاية مع الوصول المشروط في Intune.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.