שתף באמצעות

קביעת תצורה של גישה מותנית ב- Microsoft Defender עבור נקודת קצה

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

סעיף זה מנחה אותך לאורך כל השלבים שעליך לבצע כדי ליישם כראוי גישה מותנית.

לפני שתתחיל

אזהרה

חשוב לציין שמכשירים רשומים של Microsoft אינם נתמכים בתרחיש זה.
רק מכשירים רשומים של Intune נתמכים.

עליך לוודא שכל המכשירים שלך רשומים ב- Intune. באפשרותך להשתמש בכל אחת מהאפשרויות הבאות כדי לרשום מכשירים ב- Intune:

  • מנהל IT: לקבלת מידע נוסף על הפיכת הרשמה אוטומטית לזמינה, ראה הרשמה ל- Windows
  • משתמש קצה: לקבלת מידע נוסף על רישום מכשיר Windows 10 ו- Windows 11 ב- Intune, ראה רישום מכשיר Windows 10 ב- Intune
  • חלופה למשתמשי קצה: לקבלת מידע נוסף אודות הצטרפות לתחום של Microsoft Entra, ראה כיצד לבצע: תכנון הטמעת ההצטרפות של Microsoft.

יש שלבים שתצטרך לבצע בפורטל Microsoft Defender, בפורטל Intune ובמרכז הניהול של Microsoft Entra.

חשוב לציין את התפקידים הנדרשים כדי לגשת לפורטלים אלה וליישם גישה מותנית:

  • פורטל Microsoft Defender - תצטרך להיכנס לפורטל עם תפקיד מנהל מערכת כללי כדי להפעיל את השילוב.
  • Intune - יהיה עליך להיכנס לפורטל עם זכויות מנהל אבטחה עם הרשאות ניהול.
  • מרכז הניהול של Microsoft Entra - תצטרך להיכנס כמנהל מערכת כללי, כמנהל אבטחה או כמנהל גישה מותנית.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הערה

תזדקק לסביבת Microsoft Intune, עם מכשירי Intune מנוהלים ו- Microsoft Entra המצורפים למכשירי Windows 10 ו- Windows 11.

בצע את השלבים הבאים כדי להפוך גישה מותנית לזמינה:

  • שלב 1: הפעלת חיבור Microsoft Intune מ- Microsoft Defender XDR
  • שלב 2: הפעלת השילוב של Defender for Endpoint ב- Intune
  • שלב 3: יצירת מדיניות התאימות ב- Intune
  • שלב 4: הקצאת המדיניות
  • שלב 5: יצירת מדיניות גישה מותנית של Microsoft

שלב 1: הפעלת חיבור Microsoft Intune

  1. בחלונית הניווט, בחר הגדרות נקודות>קצה תכונות>מתקדמות>כלליות חיבור>Microsoft Intune.

  2. העבר את ההגדרה Microsoft Intune למצב מופעל.

  3. לחץ על שמור העדפות.

שלב 2: הפעלת השילוב של Defender for Endpoint ב- Intune

  1. כניסה לפורטל Intune

  2. בחר אבטחת נקודת קצה של>Microsoft Defender עבור נקודת קצה.

  3. הגדר את חיבור מכשירים של Windows 10.0.15063+ ל- Microsoft Defender Advanced Threat Protection למצב מופעל.

  4. לחץ על שמור.

שלב 3: יצירת מדיניות התאימות ב- Intune

  1. בפורטל Azure, בחר כל השירותים, סנן על Intune ובחר Microsoft Intune.

  2. בחר מדיניות תאימות>מכשירים>צור מדיניות.

  3. הזן שםותיאור.

  4. בפלטפורמה, בחר Windows 10 ואילך.

  5. בהגדרות תקינות המכשיר, הגדר את דרוש שהמכשיר יהיה ברמת איום המכשיר או תחתה לרמה המועדפת עליך:

    • מאובטח: רמה זו מאובטחת ביותר. המכשיר אינו יכול לכלול איומים קיימים ועדיין לגשת למשאבי החברה. אם נמצאו איומים כלשהם, המכשיר מוערך כלא תואם.
    • נמוכה: המכשיר תואם אם קיימים רק איומים ברמה נמוכה. מכשירים עם רמות איום בינוניות או גבוהה אינם תואמים.
    • בינונית: ההתקן תואם אם האיומים שנמצאו במכשיר שפל או בינוני. אם זוהו איומים ברמה גבוהה, המכשיר נקבע כלא תואם.
    • גבוהה: רמה זו היא הכי פחות מאובטחת ומאפשרת את כל רמות האיומים. כך שמכשירים עם רמות איום גבוהים, בינוניות או נמוכות נחשבים לתואם.

  6. בחר אישור, וצור כדי לשמור את השינויים שלך (וליצור את המדיניות).

שלב 4: הקצאת המדיניות

  1. בפורטל Azure, בחר כל השירותים, סנן על Intune ובחר Microsoft Intune.

  2. בחר מדיניות תאימות מכשירים>בחר> את מדיניות התאימות של Microsoft Defender for Endpoint.

  3. בחר מטלות.

  4. כלול או אל תכלול את קבוצות Microsoft Entra שלך כדי להקצות להן את המדיניות.

  5. כדי לפרוס את המדיניות בקבוצות, בחר שמור. מכשירי המשתמשים הייעודים על-ידי המדיניות מוערכים לתאימות.

שלב 5: יצירת מדיניות גישה מותנית של Microsoft

  1. בפורטל Azure, פתח את מדיניות 'גישה מותנית'של> Microsoft Entra ID>.

  2. הזן שם מדיניות ובחר משתמשים וקבוצות. השתמש באפשרויות כלול או אל תכלול כדי להוסיף את הקבוצות שלך עבור המדיניות ובחר סיום.

  3. בחר אפליקציות ענן ובחר על אילו אפליקציות להגן. לדוגמה, בחר בחר יישומים ובחר Office 365 SharePoint Online ו - Office 365 Exchange Online. בחר בוצע כדי לשמור את השינויים.

  4. בחר אפליקציות>לקוח של תנאים כדי להחיל את המדיניות על אפליקציות ודפדפנים. לדוגמה, בחר כן ולאחר מכן הפוך אפליקציות דפדפן ואפליקציותלמכשירים ניידים והלקוחות השולחני לזמינים. בחר בוצע כדי לשמור את השינויים.

  5. בחר הענק כדי להחיל גישה מותנית בהתבסס על תאימות מכשירים. לדוגמה, בחר הענק גישה דרוש>מכשיר שמסומן כתואם. בחר באפשרות בחר כדי לשמור את השינויים.

  6. בחר הפוך מדיניות לזמינה ולאחר מכן בחר צור כדי לשמור את השינויים.

הערה

באפשרותך להשתמש באפליקציית Microsoft Defender for Endpoint יחד עם האפליקציה ' לקוח מאושר ', מדיניות ההגנה על היישום והמכשיר התואם (דרוש סימון מכשיר כתואם) במדיניות גישה מותנית של Microsoft. אין צורך בהכללה עבור אפליקציית נקודות הקצה של Microsoft Defender עבור בעת הגדרת גישה מותנית. למרות ש- Microsoft Defender for Endpoint ב- Android & iOS (מזהה אפליקציה - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) אינו אפליקציה מאושרת, הוא יכול לדווח על הצבת אבטחת מכשיר בכל שלוש הרשאות המענק.

עם זאת, Defender מבקש באופן פנימי את הטווח MSGraph/User.read ואת טווח מנהרת Intune (במקרה של תרחישי Defender+Tunnel). לכן יש לא לכלול טווחים אלה*. כדי לא לכלול את הטווח MSGraph/User.read, לא ניתן לכלול יישום ענן אחד. כדי לא לכלול טווח מנהרה, עליך לא לכלול את 'שער מנהרה של Microsoft'. הרשאות ופריטים שאינם נכללים אלה מאפשרים את הזרימה של מידע תאימות לגישה מותנית.

החלת מדיניות גישה מותנית על 'כל יישומי הענן' עלולה לחסום בטעות גישת משתמשים במקרים מסוימים, כך שהיא אינה מומלצת. קרא עוד אודות מדיניות גישה מותנית באפליקציות ענן

לקבלת מידע נוסף, ראה אכיפת תאימות עבור Microsoft Defender עבור נקודת קצה עם גישה מותנית ב- Intune.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.