Konfigurieren des bedingten Zugriffs in Microsoft Defender for Endpoint

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Abschnitt führt Sie durch alle Schritte, die Sie ausführen müssen, um den bedingten Zugriff ordnungsgemäß zu implementieren.

Bevor Sie beginnen

Warnung

Beachten Sie, dass Microsoft Entra registrierten Geräte in diesem Szenario nicht unterstützt wird.
Es werden nur in Intune registrierte Geräte unterstützt.

Sie müssen sicherstellen, dass alle Ihre Geräte bei Intune registriert sind. Sie können eine der folgenden Optionen verwenden, um Geräte bei Intune zu registrieren:

Es gibt Schritte, die Sie in Microsoft Defender XDR, im Intune-Portal und Microsoft Entra Admin Center ausführen müssen.

Es ist wichtig, die erforderlichen Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs zu beachten:

  • Microsoft Defender XDR: Sie müssen sich beim Portal mit einer globalen Administratorrolle anmelden, um die Integration zu aktivieren.
  • Intune : Sie müssen sich beim Portal mit Sicherheitsadministratorrechten mit Verwaltungsberechtigungen anmelden.
  • Microsoft Entra Admin Center: Sie müssen sich als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.

Hinweis

Sie benötigen eine Microsoft Intune-Umgebung mit verwalteten und Microsoft Entra verbundenen Windows 10- und Windows 11-Geräten.

Führen Sie die folgenden Schritte aus, um den bedingten Zugriff zu aktivieren:

  • Schritt 1: Aktivieren der Microsoft Intune-Verbindung über Microsoft Defender XDR
  • Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune
  • Schritt 3: Erstellen der Konformitätsrichtlinie in Intune
  • Schritt 4: Zuweisen der Richtlinie
  • Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff

Schritt 1: Aktivieren der Microsoft Intune Verbindung

  1. Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Microsoft Intune Verbindung aus.
  2. Legen Sie die Einstellung Microsoft Intune auf Ein fest.
  3. Klicken Sie auf Einstellungen speichern.

Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune

  1. Anmelden beim Intune-Portal
  2. Wählen Sie Endpunktsicherheit>Microsoft Defender for Endpoint aus.
  3. Legen Sie Connect Windows 10.0.15063+ devices (Geräte verbinden) auf Microsoft Defender Advanced Threat Protection auf Ein fest.
  4. Klicken Sie auf Speichern.

Schritt 3: Erstellen der Konformitätsrichtlinie in Intune

  1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.

  2. Wählen Sie Gerätekonformitätsrichtlinien>>Richtlinie erstellen aus.

  3. Geben Sie einen Namen und eine Beschreibung ein.

  4. Wählen Sie unter Plattformdie Option Windows 10 und höher aus.

  5. Legen Sie in den Einstellungen für die Geräteintegritätdie Option Gerät muss sich auf der gerätegedrohten Ebene befinden oder darunter sein auf Ihre bevorzugte Ebene fest:

    • Geschützt: Diese Stufe ist die sicherste Einstellung. Das Gerät kann keine vorhandenen Bedrohungen aufweisen und weiterhin auf Unternehmensressourcen zugreifen. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
    • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
    • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
    • Hoch: Diese Stufe ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen gelten also als konform.
  6. Wählen Sie OK und Erstellen aus, um Ihre Änderungen zu speichern (und die Richtlinie zu erstellen).

Schritt 4: Zuweisen der Richtlinie

  1. Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.
  2. Wählen Sie Gerätekonformitätsrichtlinien>> aus, wählen Sie Ihre Microsoft Defender for Endpoint Konformitätsrichtlinie aus.
  3. Wählen Sie Zuweisungen aus.
  4. Schließen Sie Ihre Microsoft Entra-Gruppen ein, um ihnen die Richtlinie zuzuweisen.
  5. Wählen Sie Speichern aus, um die Richtlinie für die Gruppen bereitzustellen. Die Von der Richtlinie betroffenen Benutzergeräte werden auf Konformität ausgewertet.

Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff

  1. Öffnen Sie im Azure-PortalMicrosoft Entra ID>Bedingter Zugriff>Neue Richtlinie.

  2. Geben Sie einen Richtliniennamen ein, und wählen Sie Benutzer und Gruppen aus. Fügen Sie mit den Optionen „Einschließen“ oder „Ausschließen“ Ihre Gruppen für die Richtlinie hinzu, und wählen Sie Fertig aus.

  3. Wählen Sie Cloud-Apps aus, und wählen Sie aus, welche Apps geschützt werden sollen. Wählen Sie z.B. Apps auswählen und Office 365 SharePoint Online sowie Office 365 Exchange Online aus. Wählen Sie Fertig aus, um die Änderungen zu speichern.

  4. Wählen Sie Bedingungen>Client-Apps aus, um die Richtlinie auf Apps und Browser anzuwenden. Wählen Sie z.B. Ja aus, und aktivieren Sie dann Browser sowie Mobile Apps und Desktopclients. Wählen Sie Fertig aus, um die Änderungen zu speichern.

  5. Wählen Sie Gewähren aus, um den bedingten Zugriff basierend auf der Gerätekonformität anzuwenden. Wählen Sie z.B. Zugriff gewähren>Markieren des Geräts als kompatibel erforderlich aus. Wählen Sie OK aus, um die Änderungen zu speichern.

  6. Wählen Sie Richtlinie aktivieren und dann Erstellen zum Speichern der Änderungen aus.

Hinweis

Sie können die Microsoft Defender for Endpoint-App zusammen mit den Steuerelementen Genehmigte Client-App, App-Schutzrichtlinie und Kompatibles Gerät (Gerät muss als konform gekennzeichnet sein) in Microsoft Entra Richtlinien für bedingten Zugriff verwenden. Für die Microsoft Defender for Endpoint-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender for Endpoint unter Android & iOS (App-ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Sicherheitsstatus des Geräts in allen drei Berechtigungen melden.

Defender fordert jedoch intern den MSGraph/User.read-Bereich und den Intune Tunnel-Bereich an (bei Defender+Tunnel-Szenarien). Daher müssen diese Bereiche ausgeschlossen werden*. Um den MSGraph/User.read-Bereich auszuschließen, kann eine beliebige Cloud-App ausgeschlossen werden. Um den Tunnelbereich auszuschließen, müssen Sie "Microsoft Tunnel Gateway" ausschließen. Diese Berechtigungen und Ausschlüsse ermöglichen den Fluss für Konformitätsinformationen an den bedingten Zugriff.

*Beachten Sie, dass das Anwenden einer Richtlinie für bedingten Zugriff auf Alle Cloud-Apps den Benutzerzugriff in einigen Fällen versehentlich blockieren kann, daher wird dies nicht empfohlen. Weitere Informationen zu Richtlinien für bedingten Zugriff in Cloud-Apps

Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.