Konfigurieren des bedingten Zugriffs in Microsoft Defender for Endpoint

Dieser Abschnitt führt Sie durch alle Schritte, die Sie ausführen müssen, um den bedingten Zugriff ordnungsgemäß zu implementieren.

Bevor Sie beginnen

Warnung

Es ist wichtig zu beachten, dass Microsoft Entra registrierten Geräte in diesem Szenario nicht unterstützt werden. Nur Intune registrierte Geräte werden unterstützt.

Sie müssen sicherstellen, dass alle Ihre Geräte in Intune registriert sind. Sie können eine der folgenden Optionen verwenden, um Geräte in Intune zu registrieren:

• IT-Admin: Weitere Informationen zum Aktivieren der automatischen Registrierung finden Sie unter Aktivieren der automatischen Windows-Registrierung.
• Endbenutzer: Weitere Informationen zum Registrieren Ihres Windows 10 und Windows 11 Geräts in Intune finden Sie unter Registrieren Ihres Windows-Geräts in Intune.
• Endbenutzeralternative: Weitere Informationen zum Beitreten zu einer Microsoft Entra Domäne finden Sie unter Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.

Es gibt Schritte, die Sie im Microsoft Defender-Portal, im Intune-Portal und Microsoft Entra Admin Center ausführen müssen.

Es ist wichtig, die erforderlichen Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs zu beachten:

• Microsoft Defender Portal: Sie müssen sich mit einer geeigneten Rolle anmelden, um die Integration zu aktivieren. Weitere Informationen finden Sie unter Berechtigungsoptionen.
• Microsoft Intune Admin Center: Sie müssen sich mit Sicherheitsadministratorrechten mit Verwaltungsberechtigungen anmelden.
• Microsoft Entra Admin Center: Sie müssen sich als Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Sie benötigen eine Microsoft Intune-Umgebung mit Intune verwalteten und Microsoft Entra verbundenen Windows 10- und Windows 11-Geräten.

Führen Sie die folgenden Schritte aus, um den bedingten Zugriff wie in diesem Artikel beschrieben zu aktivieren:

1. Aktivieren Sie die Microsoft Intune-Verbindung im Microsoft Defender-Portal.
2. Aktivieren Sie die Integration von Defender für Endpunkt im Microsoft Intune Admin Center.
3. Erstellen und Zuweisen der Konformitätsrichtlinie in Intune.
4. Erstellen Sie eine Microsoft Entra Richtlinie für bedingten Zugriff.

Schritt 1: Aktivieren der Microsoft Intune Verbindung

Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Systemeinstellungen>>Endpunkte>Allgemein>Erweiterte Features. Oder verwenden Sie https://security.microsoft.com/securitysettings/endpoints/integration, um direkt zur Seite Erweiterte Features zu wechseln.

Überprüfen Sie auf der Seite Erweiterte Features, ob die Einstellung Microsoft Intune Verbindungauf Ein festgelegt ist. Schieben Sie bei Bedarf die Umschaltfläche auf Ein, und wählen Sie dann Einstellungen speichern aus.

Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune

1. Wählen Sie im Microsoft Intune Admin Center unter den https://intune.microsoft.comAbschnitt >Endpunktsicherheitseinrichtung>Microsoft Defender for Endpoint aus. Oder um direkt zur Endpunktsicherheit zu wechseln | Microsoft Defender for Endpoint Seite verwenden Sie https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/atp.

2. Auf der Endpunktsicherheit | Microsoft Defender for Endpoint Seite ziehen Sie im Abschnitt Auswertung der Konformitätsrichtlinie die Option Windows-Geräte verbinden Version 10.0.15063 und höher, um Microsoft Defender for Endpoint auf Ein umzuschalten.

3. Wählen Sie oben auf der Seite Speichern aus.

Schritt 3: Erstellen und Zuweisen der Konformitätsrichtlinie in Intune

1. Wechseln Sie im Microsoft Intune Admin Center unter https://intune.microsoft.comzum Abschnitt >Geräte>verwalten Geräte verwaltenCompliance. Oder, um direkt zu den Geräten zu wechseln | Kompatibilitätsseite : Verwenden Sie https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.

2. Auf der Registerkarte Richtlinien der Geräte | Wählen Sie auf der Seite Kompatibilität die Option Richtlinie erstellen aus.

3. Konfigurieren Sie im daraufhin geöffneten Flyout Richtlinie erstellen die folgenden Einstellungen:

   • Plattform: Wählen Sie Windows 10 und höher aus.
   • Profiltyp: Wählen Sie Windows 10/11-Konformitätsrichtlinie aus.

   Wählen Sie Erstellen aus.

4. Der Assistent für Windows 10/11-Konformitätsrichtlinien wird geöffnet. Konfigurieren Sie auf der Registerkarte Grundlagen die folgenden Einstellungen:

   • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
   • Beschreibung: Geben Sie eine optionale Beschreibung ein.

   Wählen Sie Weiter aus.

5. Erweitern Sie auf der Registerkarte KompatibilitätseinstellungenMicrosoft Defender for Endpoint. Legen Sie Anfordern, dass sich das Gerät auf der Geräte-Bedrohungsstufe befindet auf Ihre bevorzugte Ebene fest:

   • Löschen: Diese Stufe ist die sicherste Einstellung. Das Gerät kann keine vorhandenen Bedrohungen aufweisen und weiterhin auf Unternehmensressourcen zugreifen. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
   • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
   • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
   • Hoch: Diese Stufe ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen gelten also als konform.

   Wählen Sie Weiter aus.

6. Auf der Registerkarte Aktionen für Nichtkonformität sind die folgenden Einstellungen bereits konfiguriert (sie können nicht geändert werden):

   • Aktion: Markieren Sie das Gerät als nicht konform.
   • Zeitplan (Tage nach Nichtkonformität): Sofort.

   Sie können die folgenden Aktionen hinzufügen:

   • E-Mail an Endbenutzer senden: Die folgenden Optionen sind verfügbar:

     • Zeitplan (Tage nach Nichtkonformität):Der Standardwert ist 0, Sie können jedoch einen anderen Wert bis 365 eingeben.
     • Nachrichtenvorlage: Wählen Sie Keine ausgewählt aus , um eine Vorlage zu suchen und auszuwählen.
     • Zusätzliche Empfänger (per E-Mail): Wählen Sie Keine ausgewählt aus, um Microsoft Entra Gruppen zu suchen und auszuwählen, die benachrichtigt werden sollen.

   • Gerät zur Außerkraftsetzungsliste hinzufügen: Die einzige verfügbare Option ist Zeitplan (Tage nach Nichtkonformität):Der Standardwert ist 0, Aber Sie können einen anderen Wert bis zu 365 eingeben.

   Um eine Aktion zu löschen, wählen Sie ...>Löschen Sie für den Eintrag. Möglicherweise müssen Sie die horizontale Bildlaufleiste verwenden, um ... zu sehen.

   Wenn Sie auf der Registerkarte Aktionen für Nichtkonformität fertig sind, wählen Sie Weiter aus.

7. Konfigurieren Sie auf der Registerkarte Zuweisungen die folgenden Einstellungen:

   • Abschnitt "Eingeschlossene Gruppen": Wählen Sie eine der folgenden Optionen aus:
     • Gruppen hinzufügen: Wählen Sie eine oder mehrere Gruppen aus, die eingeschlossen werden sollen.
     • Alle Benutzer hinzufügen
     • Alle Geräte hinzufügen
   • Ausgeschlossene Gruppen: Wählen Sie Gruppen hinzufügen aus, um auszuschließende Gruppen anzugeben.

   Wenn Sie auf der Registerkarte Zuweisungen fertig sind, wählen Sie Weiter aus.

8. Überprüfen Sie auf der RegisterkarteÜberprüfen + Erstellen die Einstellungen und wählen Sie dannErstellen.

Schritt 4: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff

Tipp

Für das folgende Verfahren ist die Rolle "Administrator für bedingten Zugriff" in Microsoft Entra ID erforderlich.

1. Navigieren Sie im Microsoft Intune Admin Center unter https://intune.microsoft.comzum Abschnitt >Entra IDBedingter Zugriff. Oder um direkt zum bedingten Zugriff zu wechseln | Verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview/menuId//fromNav/Identitydie Seite Übersicht.

2. Auf dem bedingten Zugriff | Wählen Sie auf der Seite Übersicht die Option Richtlinien aus. Oder um direkt zum bedingten Zugriff zu wechseln | Verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identitydie Seite Richtlinien.

3. Auf dem bedingten Zugriff | Wählen Sie auf der Seite Richtlinien die Option Neue Richtlinie aus.

4. Konfigurieren Sie die folgenden Einstellungen auf der Seite Neue Richtlinie für bedingten Zugriff , die geöffnet wird:

   • Name: Geben Sie einen eindeutigen, beschreibenden Namen ein.

   • Abschnitt "Zuweisungen": Konfigurieren Sie die folgenden Einstellungen:

     • Benutzer, Agents oder Workloadidentitäten: Wählen Sie den Link aus, und konfigurieren Sie dann die folgenden Einstellungen, die angezeigt werden:
       • Auf was gilt diese Richtlinie?: Auswählen von Benutzern und Gruppen
       • Registerkarte "Einschließen": Wählen Sie Alle Benutzer aus.
       • Registerkarte "Ausschließen":
       • Wählen Sie Benutzer und Gruppen aus, und suchen Sie dann die Notfalladministratorkonten Ihres organization, und wählen Sie sie aus.
       • Wenn Sie Hybrididentitätslösungen wie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, wählen Sie Verzeichnisrollen und dann Verzeichnissynchronisierungskonten aus.
     • Zielressourcen: Wählen Sie den Link aus, und konfigurieren Sie dann die folgenden Einstellungen, die angezeigt werden:
       • Wählen Sie aus, wofür diese Richtlinie gilt: Überprüfen Sie, ob Ressourcen (früher Cloud-Apps) ausgewählt ist.
       • Registerkarte Einschließen: Wählen Sie Alle Ressourcen (früher "Alle Cloud-Apps") aus.

   • Abschnitt "Zugriffssteuerungen": Konfigurieren Sie die folgenden Einstellungen:

     • Gewähren: Wählen Sie den Link aus, und konfigurieren Sie dann die folgenden Einstellungen im daraufhin geöffneten Flyout Gewähren :

       • Vergewissern Sie sich, dass Zugriff gewähren ausgewählt ist, und wählen Sie dann Gerät muss als konform gekennzeichnet werden aus.

         Wenn Sie mit dem Flyout "Gewähren " fertig sind, wählen Sie Auswählen aus.

   • Abschnitt "Richtlinie aktivieren" : Überprüfen Sie, ob "Nur Bericht " ausgewählt ist.

   Wenn Sie auf der Seite Neue Richtlinie für bedingten Zugriff fertig sind, wählen Sie Erstellen aus.

5. Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneinwirkungs- oder reinen Berichtsmodus bestätigt haben, ändern Sie die Einstellung Richtlinie aktivieren in der Richtlinie von Nur Bericht in Ein:

   Um die Richtlinie zu ändern, wechseln Sie zu bedingtem Zugriff | Auf der Seite Richtlinien wählen https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/IdentitySie die Richtlinie aus der Liste aus, indem Sie auf den Wert Richtlinienname klicken. Wählen Sie im daraufhin geöffneten Details-Flyout auf der Registerkarte Richtliniendetailsdie Option Bearbeiten aus.

Hinweis

Sie können die Microsoft Defender for Endpoint-App zusammen mit den Steuerelementen Genehmigte Client-App, App-Schutzrichtlinie und Kompatibles Gerät (Gerät muss als konform gekennzeichnet sein) in Microsoft Entra Richtlinien für bedingten Zugriff verwenden. Für die Microsoft Defender for Endpoint-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender for Endpoint unter Android & iOS (App-ID dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Sicherheitsstatus des Geräts in allen drei Erteilten Berechtigungen melden.

Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.