קביעת תצורה של גישה מותנית ב- Microsoft Defender עבור נקודת קצה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

סעיף זה מנחה אותך לאורך כל השלבים שעליך לבצע כדי ליישם כראוי גישה מותנית.

לפני שתתחיל

אזהרה

חשוב לציין שמכשירים Microsoft Entra רשומים אינם נתמכים בתרחיש זה.
רק Intune מכשירים רשומים נתמכים.

עליך לוודא שכל המכשירים שלך רשומים ל- Intune. באפשרותך להשתמש בכל אחת מהאפשרויות הבאות כדי לרשום מכשירים Intune:

• עדכון מרכז הניהול IT: לקבלת מידע נוסף אודות הפיכת הרשמה אוטומטית לזמינה, ראה הרשמה ל- Windows
• משתמש קצה: לקבלת מידע נוסף על האופן שבו תוכל לרשום את Windows 10 ואת Windows 11 שלך ב- Intune, ראה רישום מכשיר Windows 10 שלך Intune
• חלופה למשתמשי קצה: לקבלת מידע נוסף אודות הצטרפות לתחום Microsoft Entra, ראה כיצד לבצע: תכנון Microsoft Entra ההצטרפות שלך.

קיימים שלבים שתצטרך לבצע ב- Microsoft Defender XDR, בפורטל Intune וב- מרכז הניהול של Microsoft Entra.

חשוב לציין את התפקידים הנדרשים כדי לגשת לפורטלים אלה וליישם גישה מותנית:

• Microsoft Defender XDR - יהיה עליך להיכנס לפורטל עם תפקיד מנהל מערכת כללי כדי להפעיל את השילוב.
• Intune - יהיה עליך להיכנס לפורטל עם זכויות מנהל אבטחה עם הרשאות ניהול.
• מרכז הניהול של Microsoft Entra - יהיה עליך להיכנס כמנהל מערכת כללי, כמנהל אבטחה או כמנהל גישה מותנית.

הערה

תזדקק לסביבה המקומית Microsoft Intune, עם Intune מנוהלים Microsoft Entra מצורפים Windows 10 ומכשירי Windows 11 אחרים.

בצע את השלבים הבאים כדי להפוך גישה מותנית לזמינה:

• שלב 1: הפעלת Microsoft Intune החיבור Microsoft Defender XDR
• שלב 2: הפעלת שילוב נקודות הקצה של Defender for Intune
• שלב 3: Create מדיניות התאימות ב- Intune
• שלב 4: הקצאת המדיניות
• שלב 5: Create מדיניות Microsoft Entra מותנה

שלב 1: הפעלת Microsoft Intune החיבור

1. בחלונית הניווט, בחר הגדרות נקודות>קצה תכונות>מתקדמות>כלליות>Microsoft Intune חיבור.
2. העבר את Microsoft Intune למצב מופעל.
3. לחץ על שמור העדפות.

שלב 2: הפעלת שילוב נקודות הקצה של Defender for Intune

1. היכנס לפורטל Intune הבא
2. בחר אבטחת נקודת קצה>Microsoft Defender עבור נקודת קצה.
3. הגדר את Windows 10.0.15063+ כדי להפעיל Microsoft Defender Advanced Threat Protectionלמצב מופעל.
4. לחץ על שמור.

שלב 3: Create מדיניות התאימות ב- Intune

1. בפורטל Azure, בחר כל השירותים, סנן לפי Intune ובחר Microsoft Intune.

2. בחר מדיניות תאימות>מכשירים>Create מדיניות.

3. הזן שםותיאור.

4. בפלטפורמה, בחר Windows 10 ואילך.

5. בהגדרות תקינות המכשיר, הגדר את דרוש שהמכשיר יהיה ברמת איום המכשיר או תחתה לרמה המועדפת עליך:

   • מאובטח: רמה זו מאובטחת ביותר. המכשיר אינו יכול לכלול איומים קיימים ועדיין לגשת למשאבי החברה. אם נמצאו איומים כלשהם, המכשיר מוערך כלא תואם.
   • נמוכה: המכשיר תואם אם קיימים רק איומים ברמה נמוכה. מכשירים עם רמות איום בינוניות או גבוהה אינם תואמים.
   • בינונית: ההתקן תואם אם האיומים שנמצאו במכשיר שפל או בינוני. אם זוהו איומים ברמה גבוהה, המכשיר נקבע כלא תואם.
   • גבוהה: רמה זו היא הכי פחות מאובטחת ומאפשרת את כל רמות האיומים. כך שמכשירים עם רמות איום גבוהים, בינוניות או נמוכות נחשבים לתואם.

6. בחר אישור ולאחר Create לשמור את השינויים שלך (וליצור את המדיניות).

שלב 4: הקצאת המדיניות

1. בפורטל Azure, בחר כל השירותים, סנן לפי Intune ובחר Microsoft Intune.
2. בחר מדיניות תאימות>מכשירים בחר> את מדיניות Microsoft Defender עבור נקודת קצה שלך.
3. בחר מטלות.
4. כלול או אל תכלול את Microsoft Entra שלך כדי להקצות להם את המדיניות.
5. כדי לפרוס את המדיניות בקבוצות, בחר שמור. מכשירי המשתמשים הייעודים על-ידי המדיניות מוערכים לתאימות.

שלב 5: Create מדיניות Microsoft Entra מותנה

1. בפורטל Azure, פתח את Microsoft Entra מזהה>Conditional Access>New.

2. הזן שם מדיניות ובחר משתמשים וקבוצות. השתמש באפשרויות כלול או אל תכלול כדי להוסיף את הקבוצות שלך עבור המדיניות ובחר סיום.

3. בחר אפליקציות ענן ובחר על אילו אפליקציות להגן. לדוגמה, בחר בחר יישומים ובחר Office 365 SharePoint OnlineOffice 365 Exchange Online. בחר בוצע כדי לשמור את השינויים.

4. בחר אפליקציות>לקוח של תנאים כדי להחיל את המדיניות על אפליקציות ודפדפנים. לדוגמה, בחר כן ולאחר מכן הפוך אפליקציות דפדפן ואפליקציותלמכשירים ניידים והלקוחות השולחני לזמינים. בחר בוצע כדי לשמור את השינויים.

5. בחר הענק כדי להחיל גישה מותנית בהתבסס על תאימות מכשירים. לדוגמה, בחר הענק גישה דרוש>מכשיר שמסומן כתואם. בחר באפשרות בחר כדי לשמור את השינויים.

6. בחר הפוך מדיניות לזמינה ולאחר Create לשמור את השינויים.

הערה

באפשרותך להשתמש ביישום Microsoft Defender עבור נקודת קצה יחד עם היישום 'לקוח מאושר', מדיניות ההגנה על היישום והמכשיר התואם (דרוש סימון מכשיר כתואם) במדיניות גישה מותנית של Microsoft Entra. אין צורך בהכללה עבור היישום Microsoft Defender עבור נקודת קצה בעת הגדרת גישה מותנית. למרות Microsoft Defender עבור נקודת קצה ב- Android & iOS (מזהה אפליקציה - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) אינו יישום מאושר, הוא יכול לדווח על הצבת אבטחת מכשיר בכל שלוש הרשאות המענק.

עם זאת, Defender מבקש באופן פנימי את הטווח MSGraph/User.readIntune מנהרה (במקרה של תרחישי Defender+Tunnel). לכן יש לא לכלול טווחים אלה*. כדי לא לכלול את הטווח MSGraph/User.read, לא ניתן לכלול יישום ענן אחד. כדי לא לכלול טווח מנהרה, עליך לא לכלול את 'שער מנהרה של Microsoft'. הרשאות ופריטים שאינם נכללים אלה מאפשרים את הזרימה של מידע תאימות לגישה מותנית.

*שים לב כי החלת מדיניות גישה מותנית על 'כל יישומי הענן' עלולה לחסום בטעות גישת משתמשים במקרים מסוימים, ולכן היא אינה מומלצת. קרא עוד אודות מדיניות גישה מותנית באפליקציות ענן

לקבלת מידע נוסף, ראה אכיפת תאימות עבור Microsoft Defender עבור נקודת קצה באמצעות גישה מותנית ב- Intune.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.