Sdílet prostřednictvím


Konfigurace Microsoft Defender for Endpoint

Informace a postupy v tomto článku slouží ke konfiguraci integrace Microsoft Defender for Endpoint s Intune. Konfigurace zahrnuje následující obecné kroky:

  • Navazte propojení mezi službami mezi Intune a Microsoft Defender for Endpoint. Toto připojení umožňuje Microsoft Defender for Endpoint shromažďovat data o riziku počítačů z podporovaných zařízení, která spravujete pomocí Intune. Projděte si požadavky na použití Microsoft Defender for Endpoint s Intune.
  • K onboardingu zařízení s Microsoft Defender for Endpoint použijte zásady Intune. Onboardujete zařízení a nakonfigurujete je tak, aby komunikovala s Microsoft Defender for Endpoint a poskytovala data, která pomáhají vyhodnotit jejich úroveň rizika.
  • Pomocí Intune zásad dodržování předpisů zařízením nastavte úroveň rizika, kterou chcete povolit. Microsoft Defender for Endpoint hlásí úroveň rizika zařízení. Zařízení, která překračují povolenou úroveň rizika, se identifikují jako nedodržující předpisy.
  • Pomocí zásad podmíněného přístupu můžete uživatelům zablokovat přístup k podnikovým prostředkům ze zařízení, která nedodržují předpisy.
  • Pomocízásad ochrany aplikací pro Android a iOS/iPadOS nastavte úrovně rizika zařízení. Ochrana aplikací zásady fungují s zaregistrovanými i nezaregistrovanými zařízeními.

Kromě správy nastavení pro Microsoft Defender for Endpoint na zařízeních, která se registrují pomocí Intune, můžete spravovat konfigurace zabezpečení Defenderu for Endpoint na zařízeních, která nejsou zaregistrovaná pomocí Intune. Tento scénář se nazývá Správa zabezpečení pro Microsoft Defender for Endpoint a vyžaduje konfiguraci přepínače Povolit Microsoft Defender for Endpoint k vynucení konfigurace zabezpečení koncových bodů na Zapnuto. Další informace najdete v tématu správa konfigurace zabezpečení MDE.

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 31. prosince 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme přejít na jinou možnost správy Androidu v Intune před ukončením podpory. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

Připojení Microsoft Defender for Endpoint k Intune

Prvním krokem, který provedete, je nastavení připojení mezi službami mezi Intune a Microsoft Defender for Endpoint. Nastavení vyžaduje přístup správce k Centrum zabezpečení v programu Microsoft Defender i k Intune.

Stačí povolit Microsoft Defender for Endpoint jenom jednou pro každého tenanta.

Povolení Microsoft Defender for Endpoint

Otevřete portál Microsoft Defender for Endpoint na security.microsoft.com. Centrum pro správu Intune obsahuje také odkaz na portál Defender for Endpoint.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení> koncového bodu Microsoft Defender for Endpoint a pak vyberte Otevřít Centrum zabezpečení v programu Microsoft Defender.

    Tip

    Pokud je v Centru pro správu Intune stav připojení v horní části stránky Microsoft Defender for Endpoint už nastavený na Povoleno, připojení k Intune je už aktivní a v Centru pro správu se zobrazí jiný text uživatelského rozhraní pro odkaz. V tomto případě výběrem možnosti Otevřít konzolu pro správu Microsoft Defender for Endpoint otevřete Microsoft Defender portálu. Pak můžete pomocí doprovodných materiálů v následujícím kroku ověřit, že je připojení Microsoft Intunenastaveno na Zapnuto.

    Snímek obrazovky znázorňující opravu pro otevření Centrum zabezpečení v programu Microsoft Defender

  3. Na portálu Microsoft Defender (dříve Centrum zabezpečení v programu Microsoft Defender):

    1. Vyberte Nastavení>Koncové body>Pokročilé funkce.

    2. Pro Microsoft Intune připojení zvolte Zapnuto:

      Snímek obrazovky s nastavením Microsoft Intune připojení

    3. Vyberte Uložit předvolby.

    Poznámka

    Po navázání připojení se očekává, že se služby budou vzájemně synchronizovat alespoň jednou za 24 hodin. Počet dnů bez synchronizace, dokud se připojení nepovažuje za nereagující, je možné nakonfigurovat v Centru pro správu Microsoft Intune. Vyberte Zabezpečení> koncového bodu Microsoft Defender for Endpoint>Počet dní, než partner přestane reagovat.

  4. Vraťte se na stránku Microsoft Defender for Endpoint v Centru pro správu Microsoft Intune.

    1. Pokud chcete používat Defender for Endpoint se zásadami dodržování předpisů, nakonfigurujte pro platformy, které podporujete, v části Vyhodnocení zásad dodržování předpisů následující:

      • Nastavte Připojit zařízení s Androidem na Microsoft Defender for Endpoint na Zapnuto.
      • Nastavte Možnost Připojit zařízení s iOS/iPadOS na Microsoft Defender for Endpoint na Zapnuto.
      • Nastavte Možnost Připojit zařízení s Windows na Microsoft Defender for Endpoint na Zapnuto.

      Pokud jsou tyto konfigurace zapnuté, příslušná zařízení, která spravujete pomocí Intune, a zařízení, která zaregistrujete v budoucnu, jsou připojená k Microsoft Defender for Endpoint kvůli dodržování předpisů.

      Pro zařízení s iOSem podporuje Defender for Endpoint také následující nastavení, která pomáhají zajistit posouzení ohrožení zabezpečení aplikací v Microsoft Defender for Endpoint pro iOS. Další informace o použití následujících dvou nastavení najdete v tématu Konfigurace posouzení ohrožení zabezpečení aplikací.

      • Povolit synchronizaci aplikací pro zařízení s iOSem: Nastavte na Zapnuto, aby Defender for Endpoint požadoval metadata aplikací pro iOS z Intune, které se mají použít pro účely analýzy hrozeb. Zařízení s iOSem musí být zaregistrované v MDM a během ohlášení zařízení musí poskytovat aktualizovaná data aplikací.

      • Odesílání úplných dat inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví: Toto nastavení řídí data inventáře aplikací, která Intune sdílí s Defenderem for Endpoint, když Defender for Endpoint synchronizuje data aplikací a požádá o seznam inventáře aplikací.

        Pokud je zapnuto, může Defender for Endpoint požádat o seznam aplikací z Intune pro zařízení s iOS/iPadOS v osobním vlastnictví. Tento seznam obsahuje nespravované aplikace a aplikace nasazené prostřednictvím Intune.

        Při nastavení na Vypnuto se data o nespravovaných aplikacích nezobrazí. Intune sdílí data pro aplikace nasazené prostřednictvím Intune.

      Další informace najdete v tématu Možnosti přepínače Ochrana před mobilními hrozbami.

    2. Pokud chcete používat Defender for Endpoint se zásadami ochrany aplikací pro Android a iOS/iPadOS, nakonfigurujte v části vyhodnocení zásad Ochrana aplikací pro platformy, které používáte:

      • Nastavte Možnost Připojit zařízení s Androidem na Microsoft Defender koncového bodu na Zapnuto.
      • Nastavte Možnost Připojit zařízení s iOS/iPadOS na Microsoft Defender for Endpointzapnuto na Zapnuto.

    Pokud chcete nastavit integrační Microsoft Defender for Endpoint pro vyhodnocení zásad dodržování předpisů a ochrany aplikací, musíte mít roli, která zahrnuje oprávnění Číst a Měnit pro ochranu před mobilními hrozbami v Intune. Tato oprávnění zahrnuje předdefinovaná role správce Endpoint Security Manageru pro Intune. Další informace o nastavení zásad dodržování předpisů MDM a nastavení zásad ochrany aplikací najdete v tématu Možnosti přepínače Ochrana před mobilními hrozbami.

  5. Vyberte Uložit.

Tip

Od verze služby Intune (2308) ze srpna 2023 se pro konektor Microsoft Defender for Endpoint už nevytvoří klasické zásady podmíněného přístupu. Pokud má váš tenant zásadu klasické certifikační autority, která byla dříve vytvořena pro integraci s Microsoft Defender for Endpoint, můžete ji odstranit. Pokud chcete zobrazit klasické zásady podmíněného přístupu, přejděte v Azure na Microsoft Entra ID>Zásady podmíněného přístupu>Classic.

Nasazování zařízení

Když v Intune povolíte podporu Microsoft Defender for Endpoint, navážete mezi Intune a Microsoft Defender for Endpoint propojení mezi službami. Pak můžete zařízení, která spravujete, onboardovat pomocí Intune do Microsoft Defender for Endpoint. Onboarding umožňuje shromažďování dat o úrovních rizika zařízení.

Při onboardingu zařízení nezapomeňte pro každou platformu použít nejnovější verzi Microsoft Defender for Endpoint.

Onboarding zařízení s Windows

  • Zásady detekce a odezvy koncových bodů (EDR). Stránka Microsoft Defender for Endpoint v Centru pro správu Intune obsahuje odkaz, který přímo otevře pracovní postup vytvoření zásad EDR, který je součástí zabezpečení koncových bodů v Intune.

    Pomocí zásad EDR můžete nakonfigurovat zabezpečení zařízení bez režijních nákladů na větší část nastavení, která najdete v konfiguračních profilech zařízení. Zásady EDR můžete použít také se zařízeními připojenými k tenantovi, což jsou zařízení, která spravujete pomocí Configuration Manager.

    Když nakonfigurujete zásady EDR po připojení Intune k Defenderu, nastavení zásad Microsoft Defender for Endpoint typu balíčku konfigurace klienta má novou možnost konfigurace: Automaticky z konektoru. S touto možností Intune automaticky získá onboardingový balíček (objekt blob) z nasazení Defenderu for Endpoint a nahradí nutnost ruční konfigurace onboardového balíčku.

  • Zásady konfigurace zařízení. Při vytváření zásad konfigurace zařízení pro onboarding zařízení s Windows vyberte šablonu Microsoft Defender for Endpoint. Když jste připojili Intune k Defenderu, Intune z Defenderu obdrželi balíček konfigurace onboardingu. Tento balíček šablona používá ke konfiguraci zařízení pro komunikaci s Microsoft Defender for Endpoint službami a ke kontrole souborů a detekci hrozeb. Nasazená zařízení také hlásí úroveň rizika Microsoft Defender for Endpoint na základě vašich zásad dodržování předpisů. Po onboardingu zařízení pomocí konfiguračního balíčku to už nemusíte dělat znovu.

  • Zásady skupiny nebo Microsoft Configuration Manager. Další podrobnosti o nastavení Microsoft Defender for Endpoint najdete v nasazení počítačů s Windows pomocí Microsoft Configuration Manager.

Tip

Při použití více zásad nebo typů zásad, jako jsou zásady konfigurace zařízení a zásady detekce koncových bodů a zásad reakce , ke správě stejného nastavení zařízení (například onboardingu do Defenderu for Endpoint), můžete pro zařízení vytvářet konflikty zásad. Další informace o konfliktech najdete v tématu Správa konfliktů v článku Správa zásad zabezpečení .

Vytvoření konfiguračního profilu zařízení pro onboarding zařízení s Windows

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení koncových bodů>EDR >Vytvoření zásad.

  3. V části Platforma vyberte Windows 10, Windows 11 a Windows Server.

  4. V části Typ profilu vyberte Detekce a odpověď koncového bodu a pak vyberte Vytvořit.

  5. Na stránce Základy zadejte název a popis profilu (volitelné) a pak zvolte Další.

  6. Na stránce Nastavení konfigurace nakonfigurujte následující možnosti detekce a odezvy koncového bodu:

    • Microsoft Defender for Endpoint typu balíčku konfigurace klienta: Vyberte Automaticky z konektoru, pokud chcete použít balíček pro onboarding (objekt blob) z vašeho nasazení Defenderu for Endpoint. Pokud onboardujete do jiného nebo odpojeného nasazení Defenderu for Endpoint, vyberte Onboarding a vložte text ze souboru objektu blob WindowsDefenderATP.onboarding do pole Onboarding (zařízení).
    • Sdílení ukázek: Vrátí nebo nastaví konfigurační parametr Microsoft Defender for Endpoint Sdílení ukázek.
    • [Zastaralé] Četnost generování sestav telemetrie: U zařízení s vysokým rizikem povolte toto nastavení, aby se telemetrická data do služby Microsoft Defender for Endpoint hlásila častěji.

    Snímek obrazovky s možnostmi konfigurace detekce a odezvy koncového bodu

    Poznámka

    Předchozí snímek obrazovky ukazuje možnosti konfigurace po nakonfigurování připojení mezi Intune a Microsoft Defender for Endpoint. Po připojení se automaticky vygenerují podrobnosti o objektech blob pro onboarding a offboarding a přenesou se do Intune.

    Pokud jste toto připojení nenakonfigurovali úspěšně, nastavení Microsoft Defender for Endpoint typu konfiguračního balíčku klienta zahrnuje jenom možnosti pro určení objektů blob pro nasazení a offboarding.

  7. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další.

  8. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Když nasadíte do skupin uživatelů, musí se uživatel před použitím zásad přihlásit k zařízení a zařízení může onboardovat do Defenderu for Endpoint.

    Vyberte Další.

  9. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili. OK a potom vytvořit , aby se změny uložily, čímž se profil vytvoří.

Onboarding zařízení se systémem macOS

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s macOS připojit k Microsoft Defender for Endpoint. Onboarding nakonfiguruje zařízení tak, aby komunikovali s koncovým bodem Microsoft Defender, který pak shromažďuje data o úrovni rizika zařízení.

Pokyny ke konfiguraci Intune najdete v tématu Microsoft Defender for Endpoint pro macOS.

Další informace o Microsoft Defender for Endpoint pro Mac včetně novinek v nejnovější verzi najdete v tématu Microsoft Defender for Endpoint pro Mac v dokumentaci k zabezpečení Microsoftu 365.

Onboarding zařízení s Androidem

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s Androidem připojit k Microsoft Defender for Endpoint. Onboarding nakonfiguruje zařízení tak, aby komunikovali s Defenderem for Endpoint, který pak shromažďuje data o úrovni rizika zařízení.

Pro zařízení s Androidem neexistuje konfigurační balíček. Požadavky a pokyny k onboardingu pro Android najdete v Microsoft Defender for Endpoint dokumentaci k přehledu Microsoft Defender for Endpoint pro Android.

U zařízení s Androidem můžete také pomocí zásad Intune upravit Microsoft Defender for Endpoint na Androidu. Další informace najdete v tématu Microsoft Defender for Endpoint webová ochrana.

Onboarding zařízení s iOS/iPadOS

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s iOS/iPadOS připojit k Microsoft Defender for Endpoint. Onboarding nakonfiguruje zařízení tak, aby komunikovali s Defenderem for Endpoint, který pak shromažďuje data o úrovni rizika zařízení.

Pro zařízení se systémem iOS/iPadOS neexistuje konfigurační balíček. Místo toho najdete v tématu Přehled Microsoft Defender for Endpoint pro iOS v dokumentaci k Microsoft Defender for Endpoint a pokyny k onboardingu pro iOS/iPadOS.

U zařízení se systémem iOS/iPadOS (v režimu pod dohledem) existuje díky zvýšeným možnostem správy, které platforma poskytuje na těchto typech zařízení, specializované schopnosti. Aby aplikace Defender tyto možnosti využila, potřebuje vědět, jestli je zařízení v režimu pod dohledem. Intune umožňuje nakonfigurovat aplikaci Defender pro iOS prostřednictvím zásad App Configuration (pro spravovaná zařízení), které by měly být osvědčeným postupem cílit na všechna zařízení s iOSem. Další informace najdete v tématu Dokončení nasazení pro zařízení pod dohledem.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Aplikace>Zásady> konfigurace aplikací + Přidat a pak v rozevíracím seznamu vyberteSpravovaná zařízení.

  3. Na stránce Základy zadejte Název a popis (volitelné) profilu, vyberte Platforma jako iOS/iPadOS a pak zvolte Další.

  4. Jako Microsoft Defender pro iOS vyberte Cílová aplikace.

  5. Na stránce Nastavení nastavte konfigurační klíč jako issupervised a pak jako řetězectyp hodnoty s hodnotou konfigurace{{issupervised}}.

  6. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další.

  7. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Pro tento scénář je osvědčeným postupem cílit na Všechna zařízení. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Když nasazujete zásady skupinám uživatelů, musí se uživatel přihlásit k zařízení, než se zásady uplatní.

    Vyberte Další.

  8. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.

Pro zařízení se systémem iOS/iPadOS (v režimu pod dohledem) navíc tým Defenderu pro iOS zpřístupnil vlastní profil .mobileconfig pro nasazení na zařízení s iPadem nebo iOS. Profil .mobileconfig se používá k analýze síťového provozu, aby se zajistilo bezpečné procházení webu – funkce Defenderu pro iOS.

  1. Stáhněte si profil .mobile, který je hostovaný tady: https://aka.ms/mdatpiossupervisedprofile.

  2. Přihlaste se k Centru pro správu Microsoft 365.

  3. Vyberte Zařízení> Spravovatkonfiguraci>zařízení> Na kartě Zásady vyberte + Vytvořit.

  4. V části Platforma vyberte iOS/iPadOS.

  5. V části Typ profilu vyberte Vlastní a pak vyberte Vytvořit.

  6. Na stránce Základy zadejte název a popis profilu (volitelné) a pak zvolte Další.

  7. Zadejte název konfiguračního profilu a vyberte soubor, který .mobileconfig chcete nahrát.

  8. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další.

  9. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Pro tento scénář je osvědčeným postupem cílit na Všechna zařízení. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Když nasadíte do skupin uživatelů, musí se uživatel před tím, než se zásady uplatní, přihlásit k zařízení.

    Vyberte Další.

  10. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.

Zobrazení počtu zařízení, která jsou onboardována do Microsoft Defender for Endpoint

Pokud chcete zobrazit onboardovaná zařízení z Microsoft Defender for Endpoint na stránce konektoru Microsoft Defender for Endpoint, potřebujete roli Intune, která zahrnuje čtení pro Microsoft Defender Advanced Threat Protection. povolení.

Ukázkové zobrazení sestavy onboardovaného zařízení

Vytvoření a přiřazení zásad dodržování předpisů pro nastavení úrovně rizika zařízení

U zařízení s Androidem, iOS/iPadOS a Windows určují zásady dodržování předpisů úroveň rizika, kterou považujete pro zařízení za přijatelnou.

Pokud nemáte zkušenosti s vytvářením zásad dodržování předpisů, odkažte si postup Vytvoření zásady z článku Vytvoření zásady dodržování předpisů v Microsoft Intune. Následující informace jsou specifické pro konfiguraci Microsoft Defender for Endpoint v rámci zásad dodržování předpisů.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. VyberteDodržování předpisůzařízením>. Na kartě Zásady vyberte + Vytvořit zásadu.

  3. V rozevíracím seznamu Platforma vyberte jednu z následujících možností:

    • Registrace správce zařízení s Androidem
    • Android Enterprise
    • iOS/iPadOS
    • Platforma: Windows 10 a novější

    Pak vyberte Vytvořit.

  4. Na kartě Základy zadejte Název , který vám pomůže tuto zásadu později identifikovat. Můžete také zadat Popis.

  5. Na kartě Nastavení dodržování předpisů rozbalte kategorii Microsoft Defender for Endpoint a nastavte možnost Vyžadovat, aby zařízení mělo nebo mělo skóre rizika počítače na upřednostňovanou úroveň.

    Klasifikace úrovně hrozeb se určují podle Microsoft Defender for Endpoint.

    • Vymazat: Tato úroveň je nejbezpečnější. Zařízení nemůže mít žádné existující hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy. (Microsoft Defender for Endpoint používá hodnotu Secure.)
    • Nízká: Zařízení je kompatibilní, pokud existují pouze hrozby nízké úrovně. Zařízení se střední nebo vysokou úrovní hrozeb nedodržují předpisy.
    • Střední: Zařízení je kompatibilní, pokud jsou hrozby, které se na zařízení nacházejí, nízké nebo střední. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
    • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Zařízení s vysokou, střední nebo nízkou úrovní hrozeb se považují za vyhovující.
  6. Dokončete konfiguraci zásad, včetně jejich přiřazení k příslušným skupinám.

Vytvoření a přiřazení zásad ochrany aplikací pro nastavení úrovně rizika zařízení

Pomocí postupu vytvořte zásady ochrany aplikací pro iOS/iPadOS nebo Android a na stránkách Aplikace, Podmíněné spuštění a Přiřazení použijte následující informace:

  • Aplikace: Vyberte aplikace, na které chcete cílit zásadami ochrany aplikací. Pro tuto sadu funkcí se tyto aplikace zablokují nebo selektivně vymažou na základě posouzení rizik zařízení od vybraného dodavatele ochrany před mobilními hrozbami.

  • Podmíněné spuštění: V části Podmínky zařízení vyberte pomocí rozevíracího seznamu maximální povolenou úroveň ohrožení zařízení.

    Možnosti pro hodnotu na úrovni hrozby:

    • Zabezpečeno: Tato úroveň je nejbezpečnější. Zařízení nemůže obsahovat žádné hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy.
    • Nízká: Zařízení je kompatibilní, pokud se vyskytují pouze hrozby nízké úrovně. Cokoli vyššího nastaví zařízení do nevyhovujícího stavu.
    • Střední: Zařízení je kompatibilní, pokud jsou hrozby nalezené na zařízení nízké nebo střední úrovně. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
    • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb, a to pomocí ochrany před mobilními hrozbami pouze pro účely hlášení. Zařízení musí mít aplikaci MTD aktivovanou pomocí tohoto nastavení.

    Možnosti akce:

    • Blokovat přístup
    • Vymazání dat
  • Přiřazení: Přiřaďte zásadu skupinám uživatelů. Zařízení používaná členy skupiny se vyhodnocují z hlediska přístupu k podnikovým datům v cílových aplikacích prostřednictvím Intune ochrany aplikací.

Důležité

Pokud vytvoříte zásadu ochrany aplikací pro libovolnou chráněnou aplikaci, vyhodnotí se úroveň hrozby zařízení. V závislosti na konfiguraci se zařízení, která nesplňují přijatelnou úroveň, buď zablokují, nebo selektivně vymažou prostřednictvím podmíněného spuštění. Pokud se zablokuje, bude jim zabráněno v přístupu k podnikovým prostředkům, dokud se hrozba na zařízení nevyřeší a nehlásí Intune zvoleným dodavatelem MTD.

Vytvoření zásady podmíněného přístupu

Zásady podmíněného přístupu můžou pomocí dat z Microsoft Defender for Endpoint blokovat přístup k prostředkům pro zařízení, která překračují vámi nastavenou úroveň hrozeb. Ze zařízení můžete zablokovat přístup k podnikovým prostředkům, jako je SharePoint nebo Exchange Online.

Tip

Podmíněný přístup je technologie Microsoft Entra. Uzel podmíněného přístupu, který se nachází v Centru pro správu Microsoft Intune, je uzel z Microsoft Entra.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení >koncového boduPodmíněný přístup>Vytvořit novou zásadu. Vzhledem k tomu, že Intune prezentuje uživatelské rozhraní pro vytváření zásad pro podmíněný přístup z Azure Portal, liší se rozhraní od pracovního postupu vytváření zásad, který možná znáte.

  3. Zadejte název zásady.

  4. V části Uživatelé pomocí karet Zahrnout a Vyloučit nakonfigurujte skupiny, které budou tuto zásadu přijímat.

  5. V části Cílové prostředky nastavte Možnost Vybrat, na co se tato zásada vztahuje na cloudové aplikace a pak zvolte, které aplikace se mají chránit. Například zvolte Vybrat aplikace a pak v části Vybrat vyhledejte a vyberte Office 365 SharePointu Online a Office 365 Exchange Online.

  6. V části Podmínky vyberte Klientské aplikace a pak nastavte Konfigurovat na Ano. Pak zaškrtněte políčka Prohlížeče a Mobilní aplikace a desktopoví klienti. Pak vyberte Hotovo a uložte konfiguraci klientské aplikace.

  7. V části Udělení nakonfigurujte tuto zásadu tak, aby se použila na základě pravidel dodržování předpisů zařízením. Příklady:

    1. Vyberte Udělit přístup.
    2. Zaškrtněte políčko Vyžadovat označení zařízení jako vyhovující předpisům.
    3. Vyberte Vyžadovat všechny vybrané ovládací prvky. Zvolte Vybrat a uložte konfiguraci Udělit.
  8. V části Povolit zásadu vyberte Zapnuto a potom Vytvořit a uložte změny.

Další kroky

Další informace najdete v dokumentaci k Intune:

Další informace najdete v dokumentaci k Microsoft Defender for Endpoint: