Konfigurace podmíněného přístupu v Microsoft Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tato část vás provede všemi kroky, které je potřeba provést, abyste mohli správně implementovat podmíněný přístup.

Než začnete

Upozornění

Je důležité si uvědomit, že Microsoft Entra registrovaná zařízení se v tomto scénáři nepodporují. Podporují se jenom Intune zaregistrovaná zařízení.

Musíte se ujistit, že všechna vaše zařízení jsou zaregistrovaná v Intune. K registraci zařízení v Intune můžete použít některou z následujících možností:

• SPRÁVA IT: Další informace o tom, jak povolit automatickou registraci, najdete v tématu Povolení automatické registrace Windows.
• Koncový uživatel: Další informace o registraci Windows 10 a Windows 11 zařízení v Intune najdete v tématu Registrace zařízení s Windows v Intune.
• Alternativní řešení pro koncové uživatele: Další informace o připojení k doméně Microsoft Entra najdete v tématu Postupy: Plánování implementace Microsoft Entra připojení.

Na portálu Microsoft Defender, na portálu Intune a na Centrum pro správu Microsoft Entra je potřeba provést kroky.

Je důležité si uvědomit požadované role pro přístup k těmto portálům a implementaci podmíněného přístupu:

• Microsoft Defender portál – K portálu se budete muset přihlásit s odpovídající rolí, abyste zapnuli integraci. Viz Možnosti oprávnění.
• Intune – K portálu se budete muset přihlásit s oprávněními správce zabezpečení s oprávněními správy.
• Centrum pro správu Microsoft Entra – Budete se muset přihlásit jako správce zabezpečení nebo správce podmíněného přístupu.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Budete potřebovat Microsoft Intune prostředí se spravovanými Intune a Microsoft Entra připojenými Windows 10 a Windows 11 zařízeními.

Pomocí následujících kroků povolte podmíněný přístup:

• Krok 1: Zapněte připojení Microsoft Intune z Microsoft Defender XDR
• Krok 2: Zapnutí integrace Defenderu for Endpoint v Intune
• Krok 3: Vytvoření zásady dodržování předpisů v Intune
• Krok 4: Přiřazení zásady
• Krok 5: Vytvoření zásad podmíněného přístupu Microsoft Entra

Krok 1: Zapnutí připojení Microsoft Intune

1. V navigačním podokně vyberte Nastavení>Koncové body>Obecné>pokročilé funkce>Microsoft Intune připojení.

2. Přepněte nastavení Microsoft Intune na Zapnuto.

3. Klikněte na Uložit předvolby.

Krok 2: Zapnutí integrace Defenderu for Endpoint v Intune

1. Přihlášení k portálu Intune

2. Vyberte Endpoint Security>Microsoft Defender for Endpoint.

3. Nastavte Připojit zařízení Windows 10.0.15063+ na Microsoft Defender Advanced Threat Protection na Zapnuto.

4. Klikněte na Uložit.

Krok 3: Vytvoření zásady dodržování předpisů v Intune

1. V Azure Portal vyberte Všechny služby, vyfiltrujte Intune a vyberte Microsoft Intune.

2. VyberteZásady>dodržování předpisů> zařízenímVytvořit zásadu.

3. Zadejte Název a Popis.

4. V části Platforma vyberte Windows 10 a novější.

5. V nastavení Stav zařízení nastavte Vyžadovat, aby zařízení bylo na úrovni ohrožení zařízení nebo pod úrovní ohrožení zařízení na upřednostňovanou úroveň:

   • Zabezpečeno: Tato úroveň je nejbezpečnější. Zařízení nemůže mít žádné existující hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy.
   • Nízká: Zařízení je kompatibilní, pokud existují pouze hrozby nízké úrovně. Zařízení se střední nebo vysokou úrovní hrozeb nedodržují předpisy.
   • Střední: Zařízení je kompatibilní, pokud jsou hrozby, které se na zařízení nacházejí, nízké nebo střední. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
   • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Zařízení s vysokou, střední nebo nízkou úrovní hrozeb se tedy považují za vyhovující.

6. Výběrem OK a Vytvořit uložte změny (a vytvořte zásadu).

Krok 4: Přiřazení zásady

1. V Azure Portal vyberte Všechny služby, vyfiltrujte Intune a vyberte Microsoft Intune.

2. VyberteZásady>dodržování předpisů> zařízením a vyberte zásady dodržování předpisů Microsoft Defender for Endpoint.

3. Vyberte Zadání.

4. Zahrnutím nebo vyloučením skupin Microsoft Entra jim přiřaďte zásady.

5. Pokud chcete zásadu nasadit do skupin, vyberte Uložit. U uživatelských zařízení, na která zásady cílí, se vyhodnotí dodržování předpisů.

Krok 5: Vytvoření zásad podmíněného přístupu Microsoft Entra

1. V Azure Portal otevřete Microsoft Entra ID>Podmíněný přístup>Nová zásada.

2. Zadejte název zásady a vyberte Uživatelé a skupiny. Pomocí možností Zahrnout nebo Vyloučit přidejte skupiny pro zásadu a vyberte Hotovo.

3. Vyberte Cloudové aplikace a zvolte, které aplikace chcete chránit. Vyberte třeba Vybrat aplikace a vyberte Office 365 SharePointu Online a Office 365 Exchange Online. Vyberte Hotovo a uložte změny.

4. Vyberte Podmínky>Klientské aplikace a použijte zásadu pro aplikace a prohlížeče. Vyberte například Ano a pak povolte prohlížeč a mobilní aplikace a desktopové klienty. Vyberte Hotovo a uložte změny.

5. Vyberte Udělit a použijte podmíněný přístup na základě dodržování předpisů zařízením. Například vyberte Udělit přístup>Vyžadovat, aby zařízení bylo označené jako vyhovující. Zvolte Vybrat a uložte změny.

6. Vyberte Povolit zásadu a potom Vytvořit a uložte změny.

Poznámka

Aplikaci Microsoft Defender for Endpoint můžete použít společně se schválenými klientskými aplikacemi , zásadami ochrany aplikací a ovládacími prvky Kompatibilní zařízení (Vyžadovat označení zařízení jako vyhovující) v Microsoft Entra zásadách podmíněného přístupu. Při nastavování podmíněného přístupu není pro aplikaci Microsoft Defender for Endpoint potřeba žádné vyloučení. I když Microsoft Defender for Endpoint v Androidu & iOS (ID aplikace – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) není schválená aplikace, dokáže nahlásit stav zabezpečení zařízení ve všech třech oprávněních.

Defender ale interně požádá o obor MSGraph/User.read a Intune obor tunelu (v případě scénářů Defender+Tunel). Proto musí být tyto obory vyloučeny*. Pokud chcete vyloučit obor MSGraph/User.read, můžete vyloučit libovolnou jednu cloudovou aplikaci. Pokud chcete vyloučit obor tunelu, musíte vyloučit bránu Microsoft Tunnel Gateway. Tato oprávnění a vyloučení umožňují toku informací o dodržování předpisů do podmíněného přístupu.

Použití zásad podmíněného přístupu u všech cloudových aplikací může v některých případech neúmyslně zablokovat přístup uživatelů, takže se to nedoporučuje. Přečtěte si další informace o zásadách podmíněného přístupu v Cloud Apps.

Další informace najdete v tématu Vynucení dodržování předpisů pro Microsoft Defender for Endpoint pomocí podmíněného přístupu v Intune.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.