Feltételes hozzáférés konfigurálása Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a szakasz végigvezeti a feltételes hozzáférés megfelelő implementálásához szükséges összes lépésen.

Az első lépések

Figyelmeztetés

Fontos megjegyezni, hogy ebben a forgatókönyvben Microsoft Entra regisztrált eszközök nem támogatottak. Csak Intune regisztrált eszközök támogatottak.

Győződjön meg arról, hogy az összes eszköz regisztrálva van Intune. Az alábbi lehetőségek bármelyikével regisztrálhat eszközöket a Intune:

• Informatikai Rendszergazda: Az automatikus regisztráció engedélyezéséről további információt a Windows automatikus regisztrációjának engedélyezése című témakörben talál.
• Végfelhasználó: A Windows 10 és Windows 11 eszköz Intune való regisztrálásáról további információt a Windows-eszköz regisztrálása a Intune-ben című témakörben talál.
• Végfelhasználói alternatíva: A Microsoft Entra tartományhoz való csatlakozásról további információt a How to: Plan your Microsoft Entra join implementáció című témakörben talál.

A Microsoft Defender portálon, a Intune portálon és a Microsoft Entra felügyeleti központ kell elvégeznie néhány lépést.

Fontos megjegyezni a portálok eléréséhez és a feltételes hozzáférés implementálásához szükséges szerepköröket:

• Microsoft Defender portál – Az integráció bekapcsolásához megfelelő szerepkörrel kell bejelentkeznie a portálra. Lásd: Engedélybeállítások.
• Intune – Felügyeleti engedélyekkel rendelkező biztonsági rendszergazdai jogosultságokkal kell bejelentkeznie a portálra.
• Microsoft Entra felügyeleti központ – Biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként kell bejelentkeznie.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Szüksége lesz egy Microsoft Intune környezetre, amely Intune felügyelt és Microsoft Entra csatlakoztatott Windows 10 és Windows 11 eszközöket használ.

A feltételes hozzáférés engedélyezéséhez hajtsa végre a következő lépéseket:

• 1. lépés: A Microsoft Intune kapcsolat bekapcsolása Microsoft Defender XDR
• 2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune
• 3. lépés: A megfelelőségi szabályzat létrehozása a Intune
• 4. lépés: A szabályzat hozzárendelése
• 5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása

1. lépés: A Microsoft Intune kapcsolat bekapcsolása

1. A navigációs panelen válassza a Beállítások>Végpontok>Általános>speciális funkciók>Microsoft Intune kapcsolat lehetőséget.

2. Állítsa a Microsoft Intune beállítást Be állásba.

3. Kattintson a Beállítások mentése gombra.

2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune

1. Bejelentkezés a Intune portálra

2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget.

3. Állítsa Windows 10.0.15063+-eszközök csatlakoztatása beállítást az Advanced Threat Protection bekapcsolva értékre történő Microsoft Defender.

4. Kattintson a Mentés gombra.

3. lépés: A megfelelőségi szabályzat létrehozása a Intune

1. A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.

2. Válassza az Eszközmegfelelési>szabályzatok>Szabályzat létrehozása lehetőséget.

3. Adja meg a Nevet és a Leírást.

4. A Platform területen válassza a Windows 10 és újabb lehetőséget.

5. Az Eszközállapot beállításnál állítsa be Az eszköz veszélyforrás-szintjének megkövetelése az előnyben részesített szintig vagy alatt:

   • Védett: Ez a szint a legbiztonságosabb. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
   • Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelőek.
   • Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
   • Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök tehát megfelelőnek minősülnek.

6. Kattintson az OK gombra, majd a Létrehozás gombra a módosítások mentéséhez (és a szabályzat létrehozásához).

4. lépés: A szabályzat hozzárendelése

1. A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.

2. Válassza az Eszközmegfelelési>szabályzatok> lehetőséget, majd válassza ki a Végponthoz készült Microsoft Defender megfelelőségi szabályzatot.

3. Válassza a Hozzárendelések lehetőséget.

4. A szabályzat hozzárendeléséhez vegye fel vagy zárja ki a Microsoft Entra csoportokat.

5. Ha a szabályzatot a csoportokra szeretné telepíteni, válassza a Mentés lehetőséget. A rendszer kiértékeli a szabályzat által megcélzott felhasználói eszközöket a megfelelőség szempontjából.

5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása

1. A Azure Portal nyissa meg az Microsoft Entra ID>Feltételes hozzáférés>Új szabályzatot.

2. Adjon meg egy szabályzatnevet, majd válassza a Felhasználók és csoportok lehetőséget. A Belefoglalás vagy a Kizárás lehetőséggel adja hozzá a csoportokat a szabályzathoz, majd válassza a Kész lehetőséget.

3. Válassza a Felhőalkalmazások lehetőséget, és válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása lehetőséget, majd válassza Office 365 SharePoint Online és Office 365 Exchange Online lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

4. Válassza a Feltételek>Ügyfélalkalmazások lehetőséget a szabályzat alkalmazásokra és böngészőkre való alkalmazásához. Válassza például az Igen lehetőséget, majd engedélyezze a Böngésző- és mobilalkalmazások és asztali ügyfelek lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

5. Válassza az Engedélyezés lehetőséget a feltételes hozzáférés eszközmegfelelés alapján történő alkalmazásához. Válassza például a Hozzáférés> biztosítása: Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget. A módosítások mentéséhez válassza a Kiválasztás lehetőséget .

6. A módosítások mentéséhez válassza a Szabályzat engedélyezése, majd a Létrehozás lehetőséget.

Megjegyzés:

A Végponthoz készült Microsoft Defender alkalmazást a Jóváhagyott ügyfélalkalmazás, az Alkalmazásvédelmi szabályzat és a Megfelelő eszköz (Az eszköz megfelelőként való megjelölésének megkövetelése) vezérlőkkel együtt használhatja Microsoft Entra feltételes hozzáférési szabályzatokban. A feltételes hozzáférés beállításakor nincs szükség kizárásra a Végponthoz készült Microsoft Defender alkalmazáshoz. Bár az androidos & iOS-Végponthoz készült Microsoft Defender (alkalmazásazonosító – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, mindhárom engedélyezési engedélyben jelentést tud adni az eszköz biztonsági állapotáról.

Belsőleg azonban a Defender msGraph/User.read hatókört és Intune alagút hatókörét kéri (Defender+Alagút forgatókönyvek esetén). Ezért ezeket a hatóköröket ki kell zárni*. Az MSGraph/User.read hatókör kizárásához bármely felhőalkalmazás kizárható. Az Alagút hatókörének kizárásához ki kell zárnia a "Microsoft Tunnel Gateway" elemet. Ezek az engedélyek és kizárások lehetővé teszik a megfelelőségi információk áramlását a feltételes hozzáféréshez.

Ha feltételes hozzáférési szabályzatot alkalmaz a Minden felhőalkalmazásra, az bizonyos esetekben véletlenül letilthatja a felhasználói hozzáférést, ezért nem ajánlott. További információ a feltételes hozzáférési szabályzatokról a Cloud Appsben

További információ: Megfelelőség kényszerítése Végponthoz készült Microsoft Defender feltételes hozzáféréssel a Intune-ban.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.