Konfigurieren des bedingten Zugriffs in Microsoft Defender for Endpoint

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Abschnitt führt Sie durch alle Schritte, die Sie ausführen müssen, um den bedingten Zugriff ordnungsgemäß zu implementieren.

Bevor Sie beginnen

Warnung

Es ist wichtig zu beachten, dass Microsoft Entra registrierten Geräte in diesem Szenario nicht unterstützt werden. Nur Intune registrierte Geräte werden unterstützt.

Sie müssen sicherstellen, dass alle Ihre Geräte in Intune registriert sind. Sie können eine der folgenden Optionen verwenden, um Geräte in Intune zu registrieren:

• IT-Admin: Weitere Informationen zum Aktivieren der automatischen Registrierung finden Sie unter Aktivieren der automatischen Windows-Registrierung.
• Endbenutzer: Weitere Informationen zum Registrieren Ihres Windows 10 und Windows 11 Geräts in Intune finden Sie unter Registrieren Ihres Windows-Geräts in Intune.
• Endbenutzeralternative: Weitere Informationen zum Beitreten zu einer Microsoft Entra Domäne finden Sie unter Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.

Es gibt Schritte, die Sie im Microsoft Defender-Portal, im Intune-Portal und Microsoft Entra Admin Center ausführen müssen.

Es ist wichtig, die erforderlichen Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs zu beachten:

• Microsoft Defender Portal: Sie müssen sich beim Portal mit einer geeigneten Rolle anmelden, um die Integration zu aktivieren. Weitere Informationen finden Sie unter Berechtigungsoptionen.
• Intune: Sie müssen sich beim Portal mit Sicherheitsadministratorrechten mit Verwaltungsberechtigungen anmelden.
• Microsoft Entra Admin Center: Sie müssen sich als Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Sie benötigen eine Microsoft Intune-Umgebung mit Intune verwalteten und Microsoft Entra verbundenen Windows 10- und Windows 11-Geräten.

Führen Sie die folgenden Schritte aus, um den bedingten Zugriff zu aktivieren:

• Schritt 1: Aktivieren der Microsoft Intune-Verbindung über Microsoft Defender XDR
• Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune
• Schritt 3: Erstellen der Konformitätsrichtlinie in Intune
• Schritt 4: Zuweisen der Richtlinie
• Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff

Schritt 1: Aktivieren der Microsoft Intune Verbindung

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Microsoft Intune Verbindung aus.

2. Legen Sie die Einstellung Microsoft Intune auf Ein fest.

3. Klicken Sie auf Einstellungen speichern.

Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune

1. Melden Sie sich beim Intune-Portal an.

2. Wählen Sie Endpunktsicherheit>Microsoft Defender for Endpoint aus.

3. Legen Sie Connect Windows 10.0.15063+ devices (Geräte verbinden) auf Microsoft Defender Advanced Threat Protection auf Ein fest.

4. Klicken Sie auf Speichern.

Schritt 3: Erstellen der Konformitätsrichtlinie in Intune

1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.

2. Wählen Sie Gerätekonformitätsrichtlinien>>Richtlinie erstellen aus.

3. Geben Sie einen Namen und eine Beschreibung ein.

4. Wählen Sie unter Plattformdie Option Windows 10 und höher aus.

5. Legen Sie in den Einstellungen für die Geräteintegritätdie Option Gerät muss sich auf der gerätegedrohten Ebene befinden oder darunter sein auf Ihre bevorzugte Ebene fest:

   • Geschützt: Diese Stufe ist die sicherste Einstellung. Das Gerät kann keine vorhandenen Bedrohungen aufweisen und weiterhin auf Unternehmensressourcen zugreifen. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
   • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
   • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
   • Hoch: Diese Stufe ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen gelten also als konform.

6. Wählen Sie OK und Erstellen aus, um Ihre Änderungen zu speichern (und die Richtlinie zu erstellen).

Schritt 4: Zuweisen der Richtlinie

1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.

2. Wählen Sie Gerätekonformitätsrichtlinien>> aus, wählen Sie Ihre Microsoft Defender for Endpoint Konformitätsrichtlinie aus.

3. Wählen Sie Zuweisungen aus.

4. Schließen Sie Ihre Microsoft Entra-Gruppen ein, um ihnen die Richtlinie zuzuweisen.

5. Wählen Sie Speichern aus, um die Richtlinie für die Gruppen bereitzustellen. Die Von der Richtlinie betroffenen Benutzergeräte werden auf Konformität ausgewertet.

Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff

1. Öffnen Sie im Azure-PortalMicrosoft Entra ID>Bedingter Zugriff>Neue Richtlinie.

2. Geben Sie einen Richtliniennamen ein, und wählen Sie Benutzer und Gruppen aus. Fügen Sie mit den Optionen „Einschließen“ oder „Ausschließen“ Ihre Gruppen für die Richtlinie hinzu, und wählen Sie Fertig aus.

3. Wählen Sie Cloud-Apps aus, und wählen Sie aus, welche Apps geschützt werden sollen. Wählen Sie z.B. Apps auswählen und Office 365 SharePoint Online sowie Office 365 Exchange Online aus. Wählen Sie Fertig aus, um die Änderungen zu speichern.

4. Wählen Sie Bedingungen>Client-Apps aus, um die Richtlinie auf Apps und Browser anzuwenden. Wählen Sie z.B. Ja aus, und aktivieren Sie dann Browser sowie Mobile Apps und Desktopclients. Wählen Sie Fertig aus, um die Änderungen zu speichern.

5. Wählen Sie Gewähren aus, um den bedingten Zugriff basierend auf der Gerätekonformität anzuwenden. Wählen Sie z.B. Zugriff gewähren>Markieren des Geräts als kompatibel erforderlich aus. Wählen Sie OK aus, um die Änderungen zu speichern.

6. Wählen Sie Richtlinie aktivieren und dann Erstellen zum Speichern der Änderungen aus.

Hinweis

Sie können die Microsoft Defender for Endpoint-App zusammen mit den Steuerelementen Genehmigte Client-App, App-Schutzrichtlinie und Kompatibles Gerät (Gerät muss als konform gekennzeichnet sein) in Microsoft Entra Richtlinien für bedingten Zugriff verwenden. Für die Microsoft Defender for Endpoint-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender for Endpoint unter Android & iOS (App-ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Sicherheitsstatus des Geräts in allen drei Berechtigungen melden.

Defender fordert jedoch intern den MSGraph/User.read-Bereich und Intune Tunnelbereich an (bei Defender+Tunnel-Szenarien). Daher müssen diese Bereiche ausgeschlossen werden*. Um den MSGraph/User.read-Bereich auszuschließen, kann eine beliebige Cloud-App ausgeschlossen werden. Um den Tunnelbereich auszuschließen, müssen Sie "Microsoft Tunnel Gateway" ausschließen. Diese Berechtigungen und Ausschlüsse ermöglichen den Fluss für Konformitätsinformationen an den bedingten Zugriff.

Das Anwenden einer Richtlinie für bedingten Zugriff auf alle Cloud-Apps kann den Benutzerzugriff in einigen Fällen versehentlich blockieren, daher wird dies nicht empfohlen. Weitere Informationen zu Richtlinien für bedingten Zugriff in Cloud-Apps

Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.