Megosztás a következőn keresztül:

Feltételes hozzáférés konfigurálása a Végponthoz készült Microsoft Defenderben

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a szakasz végigvezeti a feltételes hozzáférés megfelelő implementálásához szükséges összes lépésen.

Az első lépések

Figyelmeztetés

Fontos megjegyezni, hogy ebben a forgatókönyvben a Microsoft Entra által regisztrált eszközök nem támogatottak.
Csak az Intune-ban regisztrált eszközök támogatottak.

Győződjön meg arról, hogy az összes eszköz regisztrálva van az Intune-ban. Az alábbi lehetőségek bármelyikével regisztrálhat eszközöket az Intune-ban:

A Microsoft Defender portálon, az Intune portálon és a Microsoft Entra Felügyeleti központban lépéseket kell végrehajtania.

Fontos megjegyezni a portálok eléréséhez és a feltételes hozzáférés implementálásához szükséges szerepköröket:

  • Microsoft Defender portál – Az integráció bekapcsolásához globális rendszergazdai szerepkörrel kell bejelentkeznie a portálra.
  • Intune – Felügyeleti engedélyekkel rendelkező biztonsági rendszergazdai jogosultságokkal kell bejelentkeznie a portálra.
  • Microsoft Entra Felügyeleti központ – Globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként kell bejelentkeznie.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Megjegyzés:

Szüksége lesz egy Microsoft Intune-környezetre, amelyben az Intune felügyelt, és a Microsoft Entra csatlakozott a Windows 10-hez és a Windows 11-hez.

A feltételes hozzáférés engedélyezéséhez hajtsa végre a következő lépéseket:

  • 1. lépés: A Microsoft Intune-kapcsolat bekapcsolása a Microsoft Defender XDR-ről
  • 2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása az Intune-ban
  • 3. lépés: A megfelelőségi szabályzat létrehozása az Intune-ban
  • 4. lépés: A szabályzat hozzárendelése
  • 5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása

1. lépés: A Microsoft Intune-kapcsolat bekapcsolása

  1. A navigációs panelen válassza a Beállítások>Végpontok>Általános>speciális funkciók>Microsoft Intune-kapcsolat lehetőséget.

  2. Állítsa a Microsoft Intune beállítást Be állásba.

  3. Kattintson a Beállítások mentése gombra.

2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása az Intune-ban

  1. Bejelentkezés az Intune portálra

  2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget.

  3. Állítsa a Windows 10.0.15063+-eszközök csatlakoztatása a Microsoft Defender Komplex veszélyforrások elleni védelemhezbeállítást Be értékre.

  4. Kattintson a Mentés gombra.

3. lépés: A megfelelőségi szabályzat létrehozása az Intune-ban

  1. Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, szűrjön az Intune-ra, és válassza a Microsoft Intune lehetőséget.

  2. Válassza az Eszközmegfelelési>szabályzatok>Szabályzat létrehozása lehetőséget.

  3. Adja meg a Nevet és a Leírást.

  4. A Platform területen válassza a Windows 10 és újabb elemet.

  5. Az Eszközállapot beállításnál állítsa be Az eszköz veszélyforrás-szintjének megkövetelése az előnyben részesített szintig vagy alatt:

    • Védett: Ez a szint a legbiztonságosabb. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
    • Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelőek.
    • Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
    • Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök tehát megfelelőnek minősülnek.

  6. Kattintson az OK gombra, majd a Létrehozás gombra a módosítások mentéséhez (és a szabályzat létrehozásához).

4. lépés: A szabályzat hozzárendelése

  1. Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, szűrjön az Intune-ra, és válassza a Microsoft Intune lehetőséget.

  2. Válassza az Eszközmegfelelési>szabályzatok> lehetőséget, és válassza ki a Végponthoz készült Microsoft Defender megfelelőségi szabályzatot.

  3. Válassza a Hozzárendelések lehetőséget.

  4. A szabályzat hozzárendeléséhez vegye fel vagy zárja ki a Microsoft Entra-csoportokat.

  5. Ha a szabályzatot a csoportokra szeretné telepíteni, válassza a Mentés lehetőséget. A rendszer kiértékeli a szabályzat által megcélzott felhasználói eszközöket a megfelelőség szempontjából.

5. lépés: Microsoft Entra feltételes hozzáférési szabályzat létrehozása

  1. Az Azure Portalon nyissa meg a Microsoft Entra ID>feltételes hozzáférés>új szabályzatát.

  2. Adjon meg egy szabályzatnevet, majd válassza a Felhasználók és csoportok lehetőséget. A Belefoglalás vagy a Kizárás lehetőséggel adja hozzá a csoportokat a szabályzathoz, majd válassza a Kész lehetőséget.

  3. Válassza a Felhőalkalmazások lehetőséget, és válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása, majd az Office 365 SharePoint Online és az Office 365 Exchange Online lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

  4. Válassza a Feltételek>Ügyfélalkalmazások lehetőséget a szabályzat alkalmazásokra és böngészőkre való alkalmazásához. Válassza például az Igen lehetőséget, majd engedélyezze a Böngésző- és mobilalkalmazások és asztali ügyfelek lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

  5. Válassza az Engedélyezés lehetőséget a feltételes hozzáférés eszközmegfelelés alapján történő alkalmazásához. Válassza például a Hozzáférés> biztosítása: Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget. A módosítások mentéséhez válassza a Kiválasztás lehetőséget .

  6. A módosítások mentéséhez válassza a Szabályzat engedélyezése, majd a Létrehozás lehetőséget.

Megjegyzés:

A Microsoft Entra feltételes hozzáférési szabályzataiban használhatja a Végponthoz készült Microsoft Defender alkalmazást, valamint a jóváhagyott ügyfélalkalmazást , az alkalmazásvédelmi szabályzatot és a megfelelő eszközt (az eszköz megfelelőként való megjelölésének megkövetelése). A Microsoft Defender for Endpoint alkalmazáshoz nincs szükség kizárásra a feltételes hozzáférés beállításakor. Bár az Android & iOS-en futó Végponthoz készült Microsoft Defender (alkalmazásazonosító – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, az eszköz biztonsági helyzetéről mindhárom engedélyezési engedélyben jelentést tud adni.

A Defender azonban belsőleg kéri az MSGraph/User.read hatókört és az Intune-alagút hatókörét (Defender+Alagút forgatókönyvek esetén). Ezért ezeket a hatóköröket ki kell zárni*. Az MSGraph/User.read hatókör kizárásához bármely felhőalkalmazás kizárható. Az Alagút hatókörének kizárásához ki kell zárnia a "Microsoft Tunnel Gateway" elemet. Ezek az engedélyek és kizárások lehetővé teszik a megfelelőségi információk áramlását a feltételes hozzáféréshez.

Ha feltételes hozzáférési szabályzatot alkalmaz a Minden felhőalkalmazásra, az bizonyos esetekben véletlenül letilthatja a felhasználói hozzáférést, ezért nem ajánlott. További információ a feltételes hozzáférési szabályzatokról a Cloud Appsben

További információ: A végponthoz készült Microsoft Defender megfelelőségének kényszerítése feltételes hozzáféréssel az Intune-ban.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.