Konfigurer betinget adgang i Microsoft Defender for Slutpunkt

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I dette afsnit gennemgås alle de trin, du skal udføre for at implementere betinget adgang korrekt.

Før du begynder

Advarsel

Det er vigtigt at bemærke, at Microsoft Entra-registrerede enheder ikke understøttes i dette scenarie.
Det er kun intune-tilmeldte enheder, der understøttes.

Du skal sikre dig, at alle dine enheder er tilmeldt i Intune. Du kan bruge en af følgende indstillinger til at tilmelde enheder i Intune:

• It-administrator: Du kan få flere oplysninger om, hvordan du aktiverer automatisk tilmelding, under Windows-tilmelding
• Slutbruger: Du kan få flere oplysninger om, hvordan du tilmelder din Windows 10- og Windows 11-enhed i Intune, under Tilmeld din Windows 10-enhed i Intune
• Slutbrugeralternativ: Du kan finde flere oplysninger om, hvordan du tilmelder dig et Microsoft Entra-domæne, under Sådan gør du: Planlæg implementeringen af Microsoft Entra Join.

Der er trin, du skal udføre i Microsoft Defender-portalen, Intune-portalen og Microsoft Entra Administration.

Det er vigtigt at bemærke de påkrævede roller for at få adgang til disse portaler og implementere betinget adgang:

• Microsoft Defender-portal – Du skal logge på portalen med rollen Global administrator for at aktivere integrationen.
• Intune – Du skal logge på portalen med rettigheder som sikkerhedsadministrator med administrationstilladelser.
• Microsoft Entra Administration – Du skal logge på som global administrator, sikkerhedsadministrator eller administrator af betinget adgang.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Bemærk!

Du skal bruge et Microsoft Intune-miljø, hvor Intune administreres, og Microsoft Entra tilsluttede Windows 10- og Windows 11-enheder.

Udfør følgende trin for at aktivere Betinget adgang:

• Trin 1: Aktivér Microsoft Intune-forbindelsen fra Microsoft Defender XDR
• Trin 2: Aktivér Defender for Endpoint-integration i Intune
• Trin 3: Opret politikken for overholdelse af regler og standarder i Intune
• Trin 4: Tildel politikken
• Trin 5: Opret en Microsoft Entra-politik for betinget adgang

Trin 1: Aktivér Microsoft Intune-forbindelsen

1. I navigationsruden skal du vælge Indstillinger>Slutpunkter>Generelle>avancerede funktioner>Microsoft Intune-forbindelse.

2. Slå Indstillingen for Microsoft Intune til Til.

3. Klik på Gem indstillinger.

Trin 2: Aktivér Defender for Endpoint-integration i Intune

1. Log på Intune-portalen

2. Vælg Endpoint Security>Microsoft Defender for Endpoint.

3. Angiv Forbind Windows 10.0.15063+-enheder til Microsoft Defender Advanced Threat Protection til Til.

4. Klik på Gem.

Trin 3: Opret politikken for overholdelse af regler og standarder i Intune

1. På Azure Portal skal du vælge Alle tjenester, filtrere efter Intune og vælge Microsoft Intune.

2. VælgPolitikker for>enhedsoverholdelse>Opret politik.

3. Angiv et navn og en beskrivelse.

4. I Platform skal du vælge Windows 10 og nyere.

5. I indstillingerne for Enhedstilstand skal du angive Kræv, at enheden er på eller under Device Threat Level til dit foretrukne niveau:

   • Beskyttet: Dette niveau er det mest sikre. Enheden kan ikke have nogen eksisterende trusler og har stadig adgang til virksomhedens ressourcer. Hvis der findes nogen trusler, evalueres enheden som ikke-overholder.
   • Lav: Enheden er kompatibel, hvis der kun findes trusler på lavt niveau. Enheder med mellemstor eller høj trussel er ikke kompatible.
   • Medium: Enheden er kompatibel, hvis de trusler, der findes på enheden, er lave eller mellemstore. Hvis der registreres trusler på højt niveau, bestemmes enheden som ikke-overholder.
   • Høj: Dette niveau er det mindst sikre og tillader alle trusselsniveauer. Så enheder, der med høje, mellemstore eller lave trusselsniveauer anses for at være kompatible.

6. Vælg OK og Opret for at gemme dine ændringer (og oprette politikken).

Trin 4: Tildel politikken

1. På Azure Portal skal du vælge Alle tjenester, filtrere efter Intune og vælge Microsoft Intune.

2. VælgPolitikker for>enhedsoverholdelse> Vælg din Microsoft Defender for Endpoint-politik for overholdelse af angivne standarder.

3. Vælg Tildelinger.

4. Medtag eller udelad dine Microsoft Entra-grupper for at tildele dem politikken.

5. Hvis du vil installere politikken i grupperne, skal du vælge Gem. De brugerenheder, der er målrettet af politikken, evalueres for overholdelse af angivne standarder.

Trin 5: Opret en Microsoft Entra-politik for betinget adgang

1. ÅbnDen nye politikBetinget adgang> til Microsoft Entra ID> på Azure-portalen.

2. Angiv et politiknavn, og vælg Brugere og grupper. Brug indstillingerne Inkluder eller Udelad til at tilføje dine grupper for politikken, og vælg Udført.

3. Vælg Cloudapps, og vælg, hvilke apps der skal beskyttes. Vælg f.eks . Vælg apps, og vælg Office 365 SharePoint Online og Office 365 Exchange Online. Vælg Udført for at gemme ændringerne.

4. Vælg Betingelser>Klientapps for at anvende politikken på apps og browsere. Vælg f.eks. Ja, og aktivér derefter browser- og mobilapps og skrivebordsklienter. Vælg Udført for at gemme ændringerne.

5. Vælg Tildel for at anvende betinget adgang baseret på enhedens overholdelse af angivne standarder. Vælg f.eks. Giv adgang>Kræv, at enheden markeres som kompatibel. Vælg Vælg for at gemme dine ændringer.

6. Vælg Aktivér politik, og opret derefter for at gemme dine ændringer.

Bemærk!

Du kan bruge Microsoft Defender for Endpoint-appen sammen med den godkendte klientapp , appbeskyttelsespolitikken og den kompatible enhed (kræv, at enheden er markeret som kompatibel) i politikker for betinget adgang i Microsoft Entra. Der kræves ingen udeladelse for Microsoft Defender for Endpoint-appen under konfiguration af betinget adgang. Selvom Microsoft Defender for Endpoint på Android & iOS (App ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) ikke er en godkendt app, kan den rapportere enhedens sikkerhedsholdning i alle de tre tilladelser til tildeling.

Men internt anmoder Defender om området MSGraph/User.read og Intune-tunnelområdet (i tilfælde af Defender+Tunnel-scenarier). Disse områder skal derfor udelades*. Hvis du vil udelade MSGraph/User.read-området, kan alle cloudapps udelades. Hvis du vil udelade tunnelområdet, skal du udelade 'Microsoft Tunnel Gateway'. Disse tilladelser og udeladelser aktiverer flowet for overholdelsesoplysninger til Betinget adgang.

Anvendelse af en politik for betinget adgang til alle cloudapps kan i nogle tilfælde utilsigtet blokere brugeradgang, så det anbefales ikke. Læs mere om politikker for betinget adgang i cloudapps

Du kan finde flere oplysninger under Gennemtving overholdelse af angivne standarder for Microsoft Defender for Endpoint med betinget adgang i Intune.

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.