Konfigurieren des bedingten Zugriffs in Microsoft Defender für Endpunkt

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Abschnitt führt Sie durch alle Schritte, die Sie ausführen müssen, um den bedingten Zugriff ordnungsgemäß zu implementieren.

Bevor Sie beginnen

Warnung

Es ist wichtig zu beachten, dass bei Microsoft Entra registrierte Geräte in diesem Szenario nicht unterstützt werden.
Es werden nur in Intune registrierte Geräte unterstützt.

Sie müssen sicherstellen, dass alle Ihre Geräte bei Intune registriert sind. Sie können eine der folgenden Optionen verwenden, um Geräte bei Intune zu registrieren:

• IT-Administrator: Weitere Informationen zum Aktivieren der automatischen Registrierung finden Sie unter Windows-Registrierung.
• Endbenutzer: Weitere Informationen zum Registrieren Ihres Windows 10- und Windows 11-Geräts bei Intune finden Sie unter Registrieren Ihres Windows 10-Geräts bei Intune.
• Endbenutzeralternative: Weitere Informationen zum Beitreten zu einer Microsoft Entra-Domäne finden Sie unter Vorgehensweise: Planen Ihrer Microsoft Entra Join-Implementierung.

Es gibt Schritte, die Sie im Microsoft Defender-Portal, im Intune-Portal und im Microsoft Entra Admin Center ausführen müssen.

Es ist wichtig, die erforderlichen Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs zu beachten:

• Microsoft Defender-Portal : Sie müssen sich beim Portal mit der Rolle "Globaler Administrator" anmelden, um die Integration zu aktivieren.
• Intune : Sie müssen sich beim Portal mit Sicherheitsadministratorrechten mit Verwaltungsberechtigungen anmelden.
• Microsoft Entra Admin Center : Sie müssen sich als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Hinweis

Sie benötigen eine Microsoft Intune-Umgebung mit verwalteten und in Microsoft Entra eingebundenen Windows 10- und Windows 11-Geräten.

Führen Sie die folgenden Schritte aus, um den bedingten Zugriff zu aktivieren:

• Schritt 1: Aktivieren der Microsoft Intune-Verbindung über Microsoft Defender XDR
• Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune
• Schritt 3: Erstellen der Konformitätsrichtlinie in Intune
• Schritt 4: Zuweisen der Richtlinie
• Schritt 5: Erstellen einer Microsoft Entra-Richtlinie für bedingten Zugriff

Schritt 1: Aktivieren der Microsoft Intune-Verbindung

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Microsoft Intune-Verbindung aus.

2. Schalten Sie die Microsoft Intune-Einstellung auf Ein um.

3. Klicken Sie auf Einstellungen speichern.

Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune

1. Anmelden beim Intune-Portal

2. Wählen Sie Endpunktsicherheit>Microsoft Defender für Endpunkt aus.

3. Legen Sie Connect Windows 10.0.15063+ devices (Windows 10.0.15063+-Geräte verbinden) auf Microsoft Defender Advanced Threat Protection auf Ein fest.

4. Klicken Sie auf Speichern.

Schritt 3: Erstellen der Konformitätsrichtlinie in Intune

1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.

2. Wählen Sie Gerätekonformitätsrichtlinien>>Richtlinie erstellen aus.

3. Geben Sie einen Namen und eine Beschreibung ein.

4. Wählen Sie unter Plattformdie Option Windows 10 und höher aus.

5. Legen Sie in den Einstellungen für die Geräteintegritätdie Option Gerät muss sich auf der gerätegedrohten Ebene befinden oder darunter sein auf Ihre bevorzugte Ebene fest:

   • Geschützt: Diese Stufe ist die sicherste Einstellung. Das Gerät kann keine vorhandenen Bedrohungen aufweisen und weiterhin auf Unternehmensressourcen zugreifen. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
   • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
   • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
   • Hoch: Diese Stufe ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen gelten also als konform.

6. Wählen Sie OK und Erstellen aus, um Ihre Änderungen zu speichern (und die Richtlinie zu erstellen).

Schritt 4: Zuweisen der Richtlinie

1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.

2. Wählen Sie Gerätekonformitätsrichtlinien>> aus, und wählen Sie Ihre Microsoft Defender für Endpunkt-Konformitätsrichtlinie aus.

3. Wählen Sie Zuweisungen aus.

4. Schließen Sie Ihre Microsoft Entra-Gruppen ein, um ihnen die Richtlinie zuzuweisen.

5. Wählen Sie Speichern aus, um die Richtlinie für die Gruppen bereitzustellen. Die Von der Richtlinie betroffenen Benutzergeräte werden auf Konformität ausgewertet.

Schritt 5: Erstellen einer Microsoft Entra-Richtlinie für bedingten Zugriff

1. Öffnen Sie im Azure-PortalMicrosoft Entra ID>Conditional Access>Neue Richtlinie.

2. Geben Sie einen Richtliniennamen ein, und wählen Sie Benutzer und Gruppen aus. Fügen Sie mit den Optionen „Einschließen“ oder „Ausschließen“ Ihre Gruppen für die Richtlinie hinzu, und wählen Sie Fertig aus.

3. Wählen Sie Cloud-Apps aus, und wählen Sie aus, welche Apps geschützt werden sollen. Wählen Sie z.B. Apps auswählen und Office 365 SharePoint Online sowie Office 365 Exchange Online aus. Wählen Sie Fertig aus, um die Änderungen zu speichern.

4. Wählen Sie Bedingungen>Client-Apps aus, um die Richtlinie auf Apps und Browser anzuwenden. Wählen Sie z.B. Ja aus, und aktivieren Sie dann Browser sowie Mobile Apps und Desktopclients. Wählen Sie Fertig aus, um die Änderungen zu speichern.

5. Wählen Sie Gewähren aus, um den bedingten Zugriff basierend auf der Gerätekonformität anzuwenden. Wählen Sie z.B. Zugriff gewähren>Markieren des Geräts als kompatibel erforderlich aus. Wählen Sie OK aus, um die Änderungen zu speichern.

6. Wählen Sie Richtlinie aktivieren und dann Erstellen zum Speichern der Änderungen aus.

Hinweis

Sie können die Microsoft Defender für Endpunkt-App zusammen mit den Steuerelementen Genehmigte Client-App , App Protection-Richtlinie und Kompatibles Gerät (Gerät muss als konform gekennzeichnet sein) in Microsoft Entra-Richtlinien für bedingten Zugriff verwenden. Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android & iOS (App-ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann es den Sicherheitsstatus des Geräts in allen drei Gewährten Berechtigungen melden.

Defender fordert jedoch intern den MSGraph/User.read-Bereich und den Intune Tunnel-Bereich an (bei Defender+Tunnel-Szenarien). Daher müssen diese Bereiche ausgeschlossen werden*. Um den MSGraph/User.read-Bereich auszuschließen, kann eine beliebige Cloud-App ausgeschlossen werden. Um den Tunnelbereich auszuschließen, müssen Sie "Microsoft Tunnel Gateway" ausschließen. Diese Berechtigungen und Ausschlüsse ermöglichen den Fluss für Konformitätsinformationen an den bedingten Zugriff.

Das Anwenden einer Richtlinie für bedingten Zugriff auf alle Cloud-Apps kann den Benutzerzugriff in einigen Fällen versehentlich blockieren, daher wird dies nicht empfohlen. Weitere Informationen zu Richtlinien für bedingten Zugriff in Cloud-Apps

Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.