Ehdollisen käyttöoikeuden määrittäminen Microsoft Defender for Endpoint

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tämä osio opastaa sinua kaikissa ehdollisten käyttöoikeuksien käyttöönoton vaiheissa.

Alkuvalmistelut

Varoitus

On tärkeää huomata, että Microsoft Entra rekisteröityjä laitteita ei tueta tässä skenaariossa. Vain Intune rekisteröityjä laitteita tuetaan.

Sinun on varmistettava, että kaikki laitteesi on rekisteröity Intune. Voit rekisteröidä laitteita Intune seuraavilla asetuksilla:

• IT-Hallinta: Lisätietoja automaattisen rekisteröinnin käyttöönotosta on artikkelissa Windowsin automaattisen rekisteröinnin ottaminen käyttöön.
• Loppukäyttäjä: Lisätietoja Windows 10 ja Windows 11 laitteen rekisteröimisestä Intune on artikkelissa Windows-laitteen rekisteröinti Intune.
• Vaihtoehto loppukäyttäjälle: Lisätietoja Microsoft Entra toimialueeseen liittymisestä on ohjeaiheessa: Microsoft Entra liittymisen suunnitteleminen.

Sinun on suoritettava seuraavat toimet Microsoft Defender-portaalissa, Intune-portaalissa ja Microsoft Entra -hallintakeskus.

On tärkeää huomioida pakolliset roolit, jotta voit käyttää näitä portaaleja ja ottaa käyttöön ehdollisen käyttöoikeuden:

• Microsoft Defender portaalissa: sinun on kirjauduttava portaaliin asianmukaisen roolin avulla, jotta voit ottaa integroinnin käyttöön. Katso Käyttöoikeusasetukset.
• Intune – Sinun on kirjauduttava sisään portaaliin suojauksen järjestelmänvalvojan oikeuksilla, joilla on hallintaoikeudet.
• Microsoft Entra -hallintakeskus – Sinun on kirjauduttava sisään suojauksen järjestelmänvalvojana tai ehdollisen käyttöoikeuden järjestelmänvalvojana.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Tarvitset Microsoft Intune ympäristön, jossa Intune hallitaan ja Microsoft Entra liitetään Windows 10- ja Windows 11-laitteisiin.

Ota ehdollinen käyttö käyttöön seuraavasti:

• Vaihe 1: Ota Microsoft Intune yhteys käyttöön Microsoft Defender XDR
• Vaihe 2: Ota Defender for Endpoint -integrointi käyttöön Intune
• Vaihe 3: Yhteensopivuuskäytännön luominen Intune
• Vaihe 4: Käytännön määrittäminen
• Vaihe 5: Microsoft Entra ehdollisen käyttökäytännön luominen

Vaihe 1: ota Microsoft Intune yhteys käyttöön

1. Valitse siirtymisruudussa Asetukset>PäätepisteetYleiset>lisäominaisuudet>>Microsoft Intune yhteys.

2. Vaihda Microsoft Intune-asetukseksi Käytössä.

3. Valitse Tallenna asetukset.

Vaihe 2: Ota Defender for Endpoint -integrointi käyttöön Intune

1. Intune portaaliin kirjautuminen

2. Valitse Päätepisteen suojaus>Microsoft Defender for Endpoint.

3. Määritä Connect-Windows 10.0.15063+-laitteiden Microsoft Defender Advanced Threat Protection -asetukseksi Käytössä.

4. Valitse Tallenna.

Vaihe 3: Yhteensopivuuskäytännön luominen Intune

1. Valitse Azure-portaaliKaikki palvelut, suodata Intune ja valitse Microsoft Intune.

2. Valitse Laitteenyhteensopivuuskäytännöt>>Luo käytäntö.

3. Kirjoita nimi ja kuvaus.

4. Valitse käyttöympäristössäWindows 10 ja uudemmat.

5. Määritä Laitteen kunto -asetuksissa Edellytä, että laite on Laitteen uhka -tasolla tai sen alapuolella haluamallesi tasolle:

   • Suojattu: Tämä taso on turvallisin. Laitteessa ei voi olla olemassa olevia uhkia, ja se käyttää edelleen yrityksen resursseja. Jos uhkia löytyy, laite arvioidaan ristiriitaiseksi.
   • Pieni: Laite on yhteensopiva, jos olemassa on vain matalan tason uhkia. Laitteet, joissa on keskitasoinen tai suuri uhkataso, eivät ole yhteensopivia.
   • Medium: Laite on yhteensopiva, jos laitteesta löytyneet uhat ovat pieniä tai keskitasoisia. Jos korkean tason uhkia havaitaan, laite määritetään ristiriitaiseksi.
   • Korkea: Tämä taso on vähiten turvallinen ja sallii kaikki uhkatasot. Laitteita, joiden uhkatasot ovat suuret, keskitasoiset tai alhaiset, pidetään siis yhteensopivina.

6. Valitse OK ja tallenna muutokset (ja luo käytäntö) valitsemalla Luo .

Vaihe 4: Käytännön määrittäminen

1. Valitse Azure-portaaliKaikki palvelut, suodata Intune ja valitse Microsoft Intune.

2. Valitse Laitteenyhteensopivuuskäytännöt>> valitse Microsoft Defender for Endpoint yhteensopivuuskäytäntö.

3. Valitse Varaukset.

4. Sisällytä tai jätä pois Microsoft Entra ryhmät käytännön määrittämiseksi.

5. Jos haluat ottaa käytännön käyttöön ryhmille, valitse Tallenna. Käytännön kohteena olevat käyttäjälaitteet arvioidaan yhteensopivuuden varmistamiseksi.

Vaihe 5: Microsoft Entra ehdollisen käyttökäytännön luominen

1. Avaa Azure-portaaliMicrosoft Entra ID>Lisää käyttö>Uusi käytäntö.

2. Kirjoita käytännön nimi ja valitse Käyttäjät ja ryhmät. Lisää ryhmäsi käytäntöön Sisällytä- tai Jätä pois -asetusten avulla ja valitse Valmis.

3. Valitse Pilvisovellukset ja valitse, mitkä sovellukset suojataan. Valitse esimerkiksi Valitse sovellukset ja valitse Office 365 SharePoint Online ja Office 365 Exchange Online. Tallenna muutokset valitsemalla Valmis .

4. Valitse Ehdot>Asiakassovellukset , jos haluat ottaa käytännön käyttöön sovelluksissa ja selaimissa. Valitse esimerkiksi Kyllä ja ota sitten selain- ja mobiilisovellukset sekä työpöytäsovellukset käyttöön. Tallenna muutokset valitsemalla Valmis .

5. Valitse Myönnä , jos haluat käyttää ehdollista käyttöä laitteen yhteensopivuuden perusteella. Valitse esimerkiksi Myönnä käyttö>Edellytä, että laite on merkitty yhteensopivaksi. Tallenna muutokset valitsemalla Valitse .

6. Valitse Ota käytäntö käyttöön ja tallenna muutokset sitten valitsemalla Luo .

Huomautus

Voit käyttää Microsoft Defender for Endpoint sovellusta yhdessä Hyväksytyt asiakas -sovelluksen, sovelluksen suojauskäytännön ja yhteensopivien laitteiden (edellytä laitteen merkitsemistä yhteensopiviksi) ohjausobjektien kanssa Microsoft Entra ehdollisten käyttöoikeuksien käytännöissä. Microsoft Defender for Endpoint sovellukselle ei edellytetä poissulkemista ehdollisten käyttöoikeuksien määrittämisen aikana. Vaikka Android & iOS:n Microsoft Defender for Endpoint (sovellustunnus - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) ei ole hyväksytty sovellus, se voi ilmoittaa laitteen suojausasennon kaikissa kolmessa myöntämiskäyttöoikeudessa.

Defender pyytää kuitenkin sisäisesti MSGraph/User.read-vaikutusaluetta ja Intune tunnelin vaikutusaluetta (jos kyseessä on Defender+Tunnel-skenaario). Nämä käyttöalueet on siis jätettävä pois*. JOS haluat sulkea POIS MSGraphin/User.read-käyttöalueen, mikä tahansa pilvisovellus voidaan sulkea pois. Jos haluat jättää tunnelin vaikutusalueen pois, sinun on suljettava pois Microsoft Tunnel Gateway. Nämä käyttöoikeudet ja poissulkemiset mahdollistavat ehdollisten käyttöoikeuksien yhteensopivuustietojen työnkulun.

Ehdollisen käyttöoikeuden käytännön käyttäminen kaikissa pilvisovelluksissa voi joissakin tapauksissa tahattomasti estää käyttäjien käytön, joten sitä ei suositella. Lue lisää pilvisovellusten ehdollisista käyttöoikeuskäytännöistä

Lisätietoja on artikkelissa Intune pakota Microsoft Defender for Endpoint vaatimustenmukaisuus ehdollisten käyttöoikeuksien kanssa.

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.