Feltételes hozzáférés konfigurálása a Végponthoz készült Microsoft Defenderben
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a szakasz végigvezeti a feltételes hozzáférés megfelelő implementálásához szükséges összes lépésen.
Az első lépések
Figyelmeztetés
Fontos megjegyezni, hogy ebben a forgatókönyvben a Microsoft Entra által regisztrált eszközök nem támogatottak. Csak az Intune-ban regisztrált eszközök támogatottak.
Győződjön meg arról, hogy az összes eszköz regisztrálva van az Intune-ban. Az alábbi lehetőségek bármelyikével regisztrálhat eszközöket az Intune-ban:
- Rendszergazda: Az automatikus regisztráció engedélyezéséről további információt a Windows-regisztráció című témakörben talál.
- Végfelhasználó: Windows 10- és Windows 11-eszköz intune-beli regisztrálásáról további információt a Windows 10-eszköz regisztrálása az Intune-ban című témakörben talál.
- Végfelhasználói alternatíva: A Microsoft Entra-tartományhoz való csatlakozással kapcsolatos további információkért lásd: Útmutató: A Microsoft Entra-hoz való csatlakozás implementálásának megtervezése.
A Microsoft Defender portálon, az Intune portálon és a Microsoft Entra Felügyeleti központban lépéseket kell végrehajtania.
Fontos megjegyezni a portálok eléréséhez és a feltételes hozzáférés implementálásához szükséges szerepköröket:
- Microsoft Defender portál – Az integráció bekapcsolásához globális rendszergazdai szerepkörrel kell bejelentkeznie a portálra.
- Intune – Felügyeleti engedélyekkel rendelkező biztonsági rendszergazdai jogosultságokkal kell bejelentkeznie a portálra.
- Microsoft Entra Felügyeleti központ – Globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként kell bejelentkeznie.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Megjegyzés:
Szüksége lesz egy Microsoft Intune-környezetre, amelyben az Intune felügyelt, és a Microsoft Entra csatlakozott a Windows 10-hez és a Windows 11-hez.
A feltételes hozzáférés engedélyezéséhez hajtsa végre a következő lépéseket:
- 1. lépés: A Microsoft Intune-kapcsolat bekapcsolása a Microsoft Defender XDR-ről
- 2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása az Intune-ban
- 3. lépés: A megfelelőségi szabályzat létrehozása az Intune-ban
- 4. lépés: A szabályzat hozzárendelése
- 5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása
1. lépés: A Microsoft Intune-kapcsolat bekapcsolása
A navigációs panelen válassza a Beállítások>Végpontok>Általános>speciális funkciók>Microsoft Intune-kapcsolat lehetőséget.
Állítsa a Microsoft Intune beállítást Be állásba.
Kattintson a Beállítások mentése gombra.
2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása az Intune-ban
Bejelentkezés az Intune portálra
Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget.
Állítsa a Windows 10.0.15063+-eszközök csatlakoztatása a Microsoft Defender Komplex veszélyforrások elleni védelemhezbeállítást Be értékre.
Kattintson a Mentés gombra.
3. lépés: A megfelelőségi szabályzat létrehozása az Intune-ban
Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, szűrjön az Intune-ra, és válassza a Microsoft Intune lehetőséget.
Válassza az Eszközmegfelelési>szabályzatok>Szabályzat létrehozása lehetőséget.
Adja meg a Nevet és a Leírást.
A Platform területen válassza a Windows 10 és újabb elemet.
Az Eszközállapot beállításnál állítsa be Az eszköz veszélyforrás-szintjének megkövetelése az előnyben részesített szintig vagy alatt:
- Védett: Ez a szint a legbiztonságosabb. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
- Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelőek.
- Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
- Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök tehát megfelelőnek minősülnek.
Kattintson az OK gombra, majd a Létrehozás gombra a módosítások mentéséhez (és a szabályzat létrehozásához).
4. lépés: A szabályzat hozzárendelése
Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, szűrjön az Intune-ra, és válassza a Microsoft Intune lehetőséget.
Válassza az Eszközmegfelelési>szabályzatok> lehetőséget, és válassza ki a Végponthoz készült Microsoft Defender megfelelőségi szabályzatot.
Válassza a Hozzárendelések lehetőséget.
A szabályzat hozzárendeléséhez vegye fel vagy zárja ki a Microsoft Entra-csoportokat.
Ha a szabályzatot a csoportokra szeretné telepíteni, válassza a Mentés lehetőséget. A rendszer kiértékeli a szabályzat által megcélzott felhasználói eszközöket a megfelelőség szempontjából.
5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása
Az Azure Portalon nyissa meg a Microsoft Entra ID>feltételes hozzáférés>új szabályzatát.
Adjon meg egy szabályzatnevet, majd válassza a Felhasználók és csoportok lehetőséget. A Belefoglalás vagy a Kizárás lehetőséggel adja hozzá a csoportokat a szabályzathoz, majd válassza a Kész lehetőséget.
Válassza a Felhőalkalmazások lehetőséget, és válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása, majd az Office 365 SharePoint Online és az Office 365 Exchange Online lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.
Válassza a Feltételek>Ügyfélalkalmazások lehetőséget a szabályzat alkalmazásokra és böngészőkre való alkalmazásához. Válassza például az Igen lehetőséget, majd engedélyezze a Böngésző- és mobilalkalmazások és asztali ügyfelek lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.
Válassza az Engedélyezés lehetőséget a feltételes hozzáférés eszközmegfelelés alapján történő alkalmazásához. Válassza például a Hozzáférés> biztosítása: Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget. A módosítások mentéséhez válassza a Kiválasztás lehetőséget .
A módosítások mentéséhez válassza a Szabályzat engedélyezése, majd a Létrehozás lehetőséget.
Megjegyzés:
A Microsoft Entra feltételes hozzáférési szabályzataiban használhatja a Végponthoz készült Microsoft Defender alkalmazást, valamint a jóváhagyott ügyfélalkalmazást , az alkalmazásvédelmi szabályzatot és a megfelelő eszközt (az eszköz megfelelőként való megjelölésének megkövetelése). A Microsoft Defender for Endpoint alkalmazáshoz nincs szükség kizárásra a feltételes hozzáférés beállításakor. Bár az Android & iOS-en futó Végponthoz készült Microsoft Defender (alkalmazásazonosító – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, az eszköz biztonsági helyzetéről mindhárom engedélyezési engedélyben jelentést tud adni.
A Defender azonban belsőleg kéri az MSGraph/User.read hatókört és az Intune-alagút hatókörét (Defender+Alagút forgatókönyvek esetén). Ezért ezeket a hatóköröket ki kell zárni*. Az MSGraph/User.read hatókör kizárásához bármely felhőalkalmazás kizárható. Az Alagút hatókörének kizárásához ki kell zárnia a "Microsoft Tunnel Gateway" elemet. Ezek az engedélyek és kizárások lehetővé teszik a megfelelőségi információk áramlását a feltételes hozzáféréshez.
Ha feltételes hozzáférési szabályzatot alkalmaz a Minden felhőalkalmazásra, az bizonyos esetekben véletlenül letilthatja a felhasználói hozzáférést, ezért nem ajánlott. További információ a feltételes hozzáférési szabályzatokról a Cloud Appsben
További információ: A végponthoz készült Microsoft Defender megfelelőségének kényszerítése feltételes hozzáféréssel az Intune-ban.
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: