Végponthoz készült Microsoft Defender konfigurálása a Intune-ben

A cikkben található információk és eljárások segítségével konfigurálhatja a Végponthoz készült Microsoft Defender és a Intune integrációját. A konfiguráció a következő általános lépéseket tartalmazza:

• Szolgáltatásközi kapcsolat létesítése Intune és Végponthoz készült Microsoft Defender között. Ez a kapcsolat lehetővé teszi Végponthoz készült Microsoft Defender, hogy adatokat gyűjtsön a számítógép kockázatáról a Intune által kezelt támogatott eszközökről. Tekintse meg a Végponthoz készült Microsoft Defender Intune való használatának előfeltételeit.
• Intune szabályzattal regisztrálhat eszközöket Végponthoz készült Microsoft Defender. Az eszközöket úgy konfigurálhatja, hogy kommunikáljanak Végponthoz készült Microsoft Defender, és olyan adatokat adjanak meg, amelyek segítenek felmérni a kockázati szintjüket.
• Használja Intune eszközmegfelelési szabályzatokat az engedélyezni kívánt kockázatszint beállításához. Végponthoz készült Microsoft Defender jelenti az eszközök kockázati szintjét. Az engedélyezett kockázati szintet meghaladó eszközöket a rendszer nem megfelelőként azonosítja.
• Feltételes hozzáférési szabályzattal letilthatja, hogy a felhasználók nem megfelelő eszközökről férjenek hozzá a vállalati erőforrásokhoz.
• Az eszközkockázati szintek beállításához használjon alkalmazásvédelmi szabályzatokat Android és iOS/iPadOS rendszerekhez. Alkalmazásvédelem szabályzatok a regisztrált és a nem regisztrált eszközökkel is működnek.

A Intune regisztrált eszközökön a Végponthoz készült Microsoft Defender beállításainak kezelése mellett a Végponthoz készült Defender biztonsági konfigurációit is kezelheti azokon az eszközökön, amelyek nincsenek regisztrálva a Intune. Ezt a forgatókönyvet Security Management for Végponthoz készült Microsoft Defender-nak nevezik, és az Allow Végponthoz készült Microsoft Defender to enforce Endpoint Security Configurations (Végpontbiztonsági konfigurációk kényszerítése) kapcsolót Be értékre kell konfigurálnia. További információ: MDE Security Configuration Management.

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre Intune a támogatás megszűnése előtt. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

Végponthoz készült Microsoft Defender csatlakoztatása Intune

Az első lépés a szolgáltatások közötti kapcsolat beállítása Intune és Végponthoz készült Microsoft Defender között. A beállításhoz rendszergazdai hozzáférés szükséges mind a Microsoft Defender biztonsági központ, mind a Intune.

Bérlőnként csak egyszer kell engedélyeznie Végponthoz készült Microsoft Defender.

A Végponthoz készült Microsoft Defender engedélyezése

Nyissa meg a Végponthoz készült Microsoft Defender portált a security.microsoft.com. A Intune Felügyeleti központ a Végponthoz készült Defender portálra mutató hivatkozást is tartalmaz.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender majd a Microsoft Defender biztonsági központ megnyitása lehetőséget.

   Tipp

   Ha a Intune Felügyeleti központban az Végponthoz készült Microsoft Defender lap tetején lévő Kapcsolat állapota már Engedélyezve értékre van állítva, a Intune kapcsolata már aktív, és a felügyeleti központ különböző felhasználói felületi szöveget jelenít meg a hivatkozáshoz. Ebben az esetben válassza a Végponthoz készült Microsoft Defender felügyeleti konzol megnyitása lehetőséget a portál Microsoft Defender megnyitásához. Ezután a következő lépésben található útmutatás segítségével ellenőrizheti, hogy a Microsoft Intune kapcsolat Be értékre van-e állítva.

   

3. Microsoft Defender portálon (korábban a Microsoft Defender biztonsági központ):

   1. Válassza a Beállítások>Végpontok>Speciális szolgáltatások lehetőséget.

   2. Microsoft Intune kapcsolathoz válassza a Bekapcsolva lehetőséget:

      

   3. Válassza a Beállítások mentése lehetőséget.

   Megjegyzés:

   A kapcsolat létrejötte után a szolgáltatásoknak legalább 24 óránként szinkronizálódniuk kell egymással. A szinkronizálás nélküli napok száma, amíg a kapcsolat nem válaszol, konfigurálható a Microsoft Intune Felügyeleti központban. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender>Napok száma, amíg a partner nem válaszol

4. Térjen vissza Végponthoz készült Microsoft Defender lapra a Microsoft Intune Felügyeleti központban.

   1. Ha a Végponthoz készült Defendert megfelelőségi szabályzatokkal szeretné használni, konfigurálja a következőt a Megfelelőségi szabályzat kiértékelése területen az Ön által támogatott platformokhoz:

      • Az Android-eszközök csatlakoztatása beállítást állítsa be Végponthoz készült Microsoft Defender értékre
      • Az iOS-/iPadOS-eszközök csatlakoztatása beállítást állítsa Be értékre Végponthoz készült Microsoft Defender
      • A Windows-eszközök csatlakoztatása beállítást állítsa be Végponthoz készült Microsoft Defender értékre

      Ha ezek a konfigurációk Be vannak kapcsolva, a Intune által kezelt és a jövőben regisztrált eszközök a megfelelőség érdekében Végponthoz készült Microsoft Defender csatlakoznak.

      Az iOS-eszközök esetében a Végponthoz készült Defender az alábbi beállításokat is támogatja, amelyek segítenek biztosítani az alkalmazások sebezhetőségi felmérését az iOS-Végponthoz készült Microsoft Defender. Az alábbi két beállítás használatával kapcsolatos további információkért lásd: Alkalmazások sebezhetőségi felmérésének konfigurálása.

      • Alkalmazásszinkronizálás engedélyezése iOS-eszközökön: Állítsa Be értékre, hogy a Végponthoz készült Defender lekérhesse az iOS-alkalmazások metaadatait Intune fenyegetéselemzési célokra. Az iOS-eszköznek MDM-regisztrációval kell rendelkeznie, és frissített alkalmazásadatokat kell megadnia az eszköz bejelentkezése során.

      • Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön: Ez a beállítás szabályozza azokat az alkalmazásleltár-adatokat, amelyeket Intune a Végponthoz készült Defenderrel oszt meg, amikor a Végponthoz készült Defender szinkronizálja az alkalmazásadatokat, és lekéri az alkalmazásleltár-listát.

        Ha be van kapcsolva, a Végponthoz készült Defender lekérheti az alkalmazások listáját Intune személyes tulajdonú iOS/iPadOS-eszközökhöz. Ez a lista a Intune keresztül üzembe helyezett nem felügyelt alkalmazásokat és alkalmazásokat tartalmazza.

        Ha ki van kapcsolva, a nem felügyelt alkalmazások adatai nem lesznek megadva. Intune megosztja az Intune keresztül üzembe helyezett alkalmazások adatait.

      További információ: A Mobile Threat Defense kapcsolóbeállításai.

   2. Ha a Végponthoz készült Defendert androidos és iOS/iPadOS-alapú alkalmazásvédelmi szabályzatokkal szeretné használni, konfigurálja a következőket Alkalmazásvédelem szabályzatértékelés alatt a használt platformokhoz:

      • Állítsa az Android-eszközök csatlakoztatása beállítást Microsoft Defender a Végpont beállításnál a Be értékre.
      • Az iOS/iPadOS-eszközök csatlakoztatása beállítást állítsa be Végponthoz készült Microsoft Defender be értékre.

   Az integrációs Végponthoz készült Microsoft Defender megfelelőségi és alkalmazásvédelmi szabályzatok kiértékeléséhez olyan szerepkörrel kell rendelkeznie, amely tartalmazza a Mobile Threat Defense engedély olvasási és módosítási engedélyét a Intune. Az Endpoint Security Manager beépített rendszergazdai szerepköre Intune rendelkezik ezekkel az engedélyekkel. Az MDM megfelelőségi szabályzatának beállításairól és az alkalmazásvédelmi szabályzat beállításairól a Mobile Threat Defense kapcsolóbeállításai című témakörben talál további információt.

5. Válassza a Mentés elemet.

Tipp

A 2023. augusztusi Intune szolgáltatáskiadástól (2308) a klasszikus feltételes hozzáférési (CA) szabályzatok már nem jönnek létre az Végponthoz készült Microsoft Defender-összekötőhöz. Ha a bérlő egy klasszikus feltételes hozzáférési szabályzattal rendelkezik, amelyet korábban a Végponthoz készült Microsoft Defender való integrációhoz hoztak létre, akkor az törölhető. A klasszikus feltételes hozzáférési szabályzatok megtekintéséhez az Azure-ban lépjen a Microsoft Entra ID>Feltételes hozzáférés>klasszikus szabályzataihoz.

Eszközök előkészítése

Ha engedélyezi a Végponthoz készült Microsoft Defender támogatását Intune, szolgáltatásközi kapcsolatot létesített Intune és Végponthoz készült Microsoft Defender között. Ezután az Intune segítségével felügyelt eszközöket Végponthoz készült Microsoft Defender. Az előkészítés lehetővé teszi az eszközkockázati szintekre vonatkozó adatok gyűjtését.

Az eszközök előkészítésekor mindenképpen az Végponthoz készült Microsoft Defender legújabb verzióját használja minden platformhoz.

Windows-eszközök előkészítése

• Végpontészlelés és -válasz (EDR) szabályzat. A Intune Felügyeleti központ Végponthoz készült Microsoft Defender lapján található egy hivatkozás, amely közvetlenül megnyitja az EDR-szabályzatlétrehozás munkafolyamatát, amely az Intune végpontbiztonságának része.

  EDR-szabályzatok használatával konfigurálhatja az eszközbiztonságot az eszközkonfigurációs profilokban található beállítások nagyobb törzsének terhelése nélkül. Az EDR-szabályzatot bérlőhöz csatlakoztatott eszközökkel is használhatja, amelyek a Configuration Manager által felügyelt eszközök.

  Amikor az EDR-szabályzatot a Intune Defenderhez való csatlakoztatása után konfigurálja, a házirend-beállítás Végponthoz készült Microsoft Defender ügyfélkonfigurációs csomagtípus új konfigurációs beállítással rendelkezik: Automatikus összekötőből. Ezzel a beállítással Intune automatikusan lekéri az előkészítési csomagot (blobot) a Végponthoz készült Defender üzemelő példányából, lecserélve az előkészítési csomag manuális konfigurálásának szükségességét.

• Eszközkonfigurációs szabályzat. Amikor eszközkonfigurációs szabályzatot hoz létre a Windows-eszközök előkészítéséhez, válassza a Végponthoz készült Microsoft Defender sablont. Amikor csatlakoztatta Intune a Defenderhez, Intune kapott egy előkészítési konfigurációs csomagot a Defendertől. Ezt a csomagot a sablon arra használja, hogy konfigurálja az eszközöket a Végponthoz készült Microsoft Defender szolgáltatásokkal való kommunikációra, valamint a fájlok vizsgálatára és a fenyegetések észlelésére. Az előkészített eszközök a megfelelőségi szabályzatok alapján Végponthoz készült Microsoft Defender is jelentik a kockázati szintjüket. Miután előkészített egy eszközt a konfigurációs csomag használatával, nem kell újra elvégeznie.

• Csoportházirend vagy Microsoft Configuration Manager. A Windows rendszerű gépek Microsoft Configuration Manager használatával történő előkészítése további részleteket tartalmaz a Végponthoz készült Microsoft Defender beállításairól.

Tipp

Ha több szabályzatot vagy szabályzattípust használ, például eszközkonfigurációs szabályzatot, végpontészlelési és válaszházirendet ugyanazon eszközbeállítások kezeléséhez (például a Végponthoz készült Defenderbe való előkészítéshez), szabályzatütközések hozhatók létre az eszközökhöz. Az ütközésekről további információt a Biztonsági szabályzatok kezelése című cikk Ütközések kezelése című szakaszában talál.

Az eszközkonfigurációs profil létrehozása Windows-eszközök előkészítéséhez

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Végpontbiztonság>Végponti észlelés és reagálás>Házirend létrehozása elemet.

3. A Platform területen válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget.

4. A Profil típusa mezőben válassza a Végpontészlelés és -válasz, majd a Létrehozás lehetőséget.

5. Az Alapvető beállítások lapon adja meg a profil nevét és leírását (nem kötelező), majd válassza a Tovább gombot.

6. A Konfigurációs beállítások lapon konfigurálja a következő beállításokat a Végpontészlelés és -válasz beállításhoz:

   • Végponthoz készült Microsoft Defender ügyfélkonfigurációs csomag típusa: Válassza az Automatikus az összekötőből lehetőséget a Végponthoz készült Defender üzembe helyezésének előkészítési csomagjának (blobjának) használatához. Ha egy másik vagy leválasztott Végponthoz készült Defender-telepítésre készül, válassza az Előkészítés lehetőséget, és illessze be a WindowsDefenderATP.onboarding blobfájl szövegét az Előkészítés (Eszköz) mezőbe.
   • Mintamegosztás: Visszaadja vagy beállítja a Végponthoz készült Microsoft Defender Mintamegosztás konfigurációs paramétert.
   • [Elavult] Telemetriajelentés gyakorisága: Magas kockázatú eszközök esetén engedélyezze ezt a beállítást, hogy gyakrabban jelentse a telemetriát az Végponthoz készült Microsoft Defender szolgáltatásnak.

   

   Megjegyzés:

   Az előző képernyőfelvétel megjeleníti a konfigurációs beállításokat, miután konfigurálta a kapcsolatot Intune és Végponthoz készült Microsoft Defender között. Csatlakozáskor a rendszer automatikusan létrehozza és átadja a Intune az előkészítési és kivezetési blobok részleteit.

   Ha még nem konfigurálta sikeresen ezt a kapcsolatot, az ügyfélkonfigurációs csomagtípus Végponthoz készült Microsoft Defender beállítás csak a blobok előkészítésére és kivezetésére vonatkozó beállításokat tartalmazza.

7. Válassza a Tovább gombot a Hatókörcímkék lap megnyitásához. A hatókörcímkék használata nem kötelező. A folytatáshoz válassza Tovább lehetőséget.

8. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Amikor felhasználói csoportokban helyezi üzembe az alkalmazást, a felhasználónak be kell jelentkeznie egy eszközön a szabályzat alkalmazása előtt, és az eszköznek be kell jelentkeznie a Végponthoz készült Defenderbe.

   Válassza a Tovább gombot.

9. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára. OK, majd létrehozás a módosítások mentéséhez, amely létrehozza a profilt.

MacOS-eszközök előkészítése

Miután létesített szolgáltatásközi kapcsolatot Intune és Végponthoz készült Microsoft Defender között, macOS-eszközöket helyezhet üzembe a Végponthoz készült Microsoft Defender. Az előkészítés konfigurálja az eszközöket a Microsoft Defender Végponttal való kommunikációra, amely ezután adatokat gyűjt az eszközök kockázati szintjéről.

A Intune konfigurációs útmutatóját lásd: Végponthoz készült Microsoft Defender macOS rendszeren.

A Mac Végponthoz készült Microsoft Defender és a legújabb kiadás újdonságairól a Microsoft 365 biztonsági dokumentációjának Végponthoz készült Microsoft Defender maces verziójában talál további információt.

Android-eszközök előkészítése

Miután létesített egy szolgáltatásközi kapcsolatot Intune és Végponthoz készült Microsoft Defender között, az Android-eszközöket Végponthoz készült Microsoft Defender. Az előkészítés konfigurálja az eszközöket a Végponthoz készült Defenderrel való kommunikációra, amely ezután adatokat gyűjt az eszközök kockázati szintjéről.

Android rendszerű eszközökhöz nincs konfigurációs csomag. Ehelyett tekintse meg az androidos Végponthoz készült Microsoft Defender áttekintését az Androidra vonatkozó előfeltételek és előkészítési utasítások Végponthoz készült Microsoft Defender dokumentációjában.

Android rendszerű eszközök esetén az androidos Végponthoz készült Microsoft Defender módosításához Intune szabályzatot is használhat. További információ: Végponthoz készült Microsoft Defender webvédelem.

iOS-/iPadOS-eszközök előkészítése

Miután létesített szolgáltatásközi kapcsolatot Intune és Végponthoz készült Microsoft Defender között, az iOS-/iPadOS-eszközöket Végponthoz készült Microsoft Defender. Az előkészítés konfigurálja az eszközöket a Végponthoz készült Defenderrel való kommunikációra, amely ezután adatokat gyűjt az eszközök kockázati szintjéről.

Az iOS/iPadOS rendszerű eszközökhöz nincs konfigurációs csomag. Ehelyett tekintse meg az iOS-hez készült Végponthoz készült Microsoft Defender áttekintését a Végponthoz készült Microsoft Defender dokumentációjában az iOS/iPadOS előfeltételeiről és előkészítési utasításairól.

Az iOS/iPadOS rendszert futtató eszközök esetében (felügyelt módban) speciális képesség érhető el a platform által az ilyen típusú eszközökön biztosított fokozott felügyeleti képességek miatt. A képességek kihasználásához a Defender alkalmazásnak tudnia kell, hogy egy eszköz felügyelt módban van-e. Intune lehetővé teszi az iOS Defender alkalmazás konfigurálását egy App Configuration szabályzattal (felügyelt eszközök esetén), amelyet ajánlott eljárásként az összes iOS-eszközre megcéloznia. További információ: Teljes üzembe helyezés felügyelt eszközök esetén.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Alkalmazások>Alkalmazáskonfigurációs szabályzatok>+ Hozzáadás lehetőséget, majd a legördülő listából válassza aFelügyelt eszközök lehetőséget.

3. Az Alapvető beállítások lapon adja meg a profil nevét és leírását (nem kötelező), válassza a PlatformiOS/iPadOSként lehetőséget, majd kattintson a Tovább gombra.

4. Az iOS-hez Microsoft Defender válassza aCélzott alkalmazás lehetőséget.

5. A Beállítások lapon állítsa be a konfigurációs kulcsot az issupervised értékre, majd az Érték típustsztringként, konfigurációs értékként pedig {{issupervised}}.

6. Válassza a Tovább gombot a Hatókörcímkék lap megnyitásához. A hatókörcímkék használata nem kötelező. A folytatáshoz válassza Tovább lehetőséget.

7. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. Ebben a forgatókönyvben az ajánlott eljárás a Minden eszköz megcélzása. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Amikor felhasználói csoportokra telepít szabályzatot, a felhasználónak a szabályzat alkalmazása előtt be kell jelentkeznie az eszközön.

   Válassza a Tovább gombot.

8. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a konfigurációs profilok listájában.

Továbbá az iOS/iPadOS rendszert futtató eszközök esetében (felügyelt módban) az iOS Defender csapata elérhetővé tett egy egyéni .mobileconfig profilt az iPad/iOS-eszközökre való üzembe helyezéshez. A .mobileconfig profil a hálózati forgalom elemzésére szolgál a biztonságos böngészési élmény biztosítása érdekében – ez az iOS Defender egyik funkciója.

1. Töltse le az itt üzemeltetett .mobile profilt: https://aka.ms/mdatpiossupervisedprofile.

2. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

3. Válassza az Eszközök>konfigurációja> Lehetőséget A Szabályzatok lapon válassza a + Létrehozás lehetőséget.

4. A Platform beállításnál válassza az iOS/iPadOS lehetőséget

5. A Profil típusa mezőben válassza az Egyéni, majd a Létrehozás lehetőséget.

6. Az Alapvető beállítások lapon adja meg a profil nevét és leírását (nem kötelező), majd válassza a Tovább gombot.

7. Adja meg a konfigurációs profil nevét, és válasszon ki egy .mobileconfig feltöltendő fájlt.

8. Válassza a Tovább gombot a Hatókörcímkék lap megnyitásához. A hatókörcímkék használata nem kötelező. A folytatáshoz válassza Tovább lehetőséget.

9. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. Ebben a forgatókönyvben az ajánlott eljárás a Minden eszköz megcélzása. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Amikor felhasználói csoportokra telepíti az üzembe helyezést, a felhasználónak a szabályzat alkalmazása előtt be kell jelentkeznie egy eszközön.

   Válassza a Tovább gombot.

10. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a konfigurációs profilok listájában.

A Végponthoz készült Microsoft Defender előkészített eszközök számának megtekintése

Az Végponthoz készült Microsoft Defender összekötő oldalán található Végponthoz készült Microsoft Defender előkészített eszközök megtekintéséhez olyan Intune szerepkörre van szükség, amely tartalmazza aMicrosoft Defender Advanced Threat Protection-engedély.

Megfelelőségi szabályzat létrehozása és hozzárendelése az eszköz kockázati szintjének beállításához

Android, iOS/iPadOS és Windows rendszerű eszközök esetén a megfelelőségi szabályzat határozza meg az eszköz számára elfogadhatónak ítélt kockázati szintet.

Ha nem ismeri a megfelelőségi szabályzatok létrehozását, tekintse meg a Megfelelőségi szabályzat létrehozása Microsoft Intune cikkben található Szabályzat létrehozása eljárást. Az alábbi információk a Végponthoz készült Microsoft Defender megfelelőségi szabályzat részeként történő konfigurálására vonatkoznak.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>megfelelősége lehetőséget. A Szabályzatok lapon válassza a + Szabályzat létrehozása lehetőséget.

3. Platform esetén a legördülő listából válasszon az alábbi lehetőségek közül:

   • Android-eszközadminisztrátor
   • Vállalati Android
   • iOS/iPadOS
   • Windows 10 és újabb verziók

   Ezután válassza a Létrehozás lehetőséget.

4. Az Alapvető beállítások lapon adjon meg egy nevet , amely segít a szabályzat későbbi azonosításában. Megadhatja a Leírást is.

5. A Megfelelőségi beállítások lapon bontsa ki a Végponthoz készült Microsoft Defender kategóriát, és állítsa be A gép kockázati pontszámának megkövetelése az eszköznél vagy alatt beállítást a kívánt szintre.

   A fenyegetésszintű besorolásokat a Végponthoz készült Microsoft Defender határozza meg.

   • Egyértelmű: Ez a legbiztonságosabb szint. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül. (Végponthoz készült Microsoft Defender a Secure értéket használja.)
   • Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelők.
   • Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
   • Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök megfelelőnek minősülnek.

6. Végezze el a szabályzat konfigurálását, beleértve a szabályzat megfelelő csoportokhoz való hozzárendelését.

Alkalmazásvédelmi szabályzat létrehozása és hozzárendelése az eszköz kockázati szintjének beállításához

Az eljárással alkalmazásvédelmi szabályzatot hozhat létre iOS/iPadOS vagy Android rendszerhez, és a következő információkat használhatja az Alkalmazások, a Feltételes indítás és a Hozzárendelések lapon:

• Alkalmazások: Válassza ki azokat az alkalmazásokat, amelyekre alkalmazásvédelmi házirendeket szeretne kicélozni. Ehhez a funkciókészlethez a rendszer letiltja vagy szelektíven törli ezeket az alkalmazásokat a kiválasztott Mobile Threat Defense szállítójának eszközkockázat-felmérése alapján.

• Feltételes indítás: Az Eszközfeltételek alatt a legördülő listából válassza a Maximálisan engedélyezett eszközfenyegetési szint lehetőséget.

  Opciók a fenyegetési szint Értékéhez:

  • Védett: Ez a szint a legbiztonságosabb. Az eszköz csak akkor fér hozzá a céges erőforrásokhoz, ha semmilyen veszélyforrás nincs rajta. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
  • Alacsony: Az eszköz csak abban az esetben minősül megfelelőnek, ha kizárólag alacsony szintű veszélyforrások állnak fenn. Bármilyen magasabb szintű fenyegetés esetén az eszköz nem megfelelő státuszúnak minősül.
  • Közepes: Az eszköz abban az esetben minősül megfelelőnek, ha az eszközön észlelt veszélyforrások alacsony vagy közepes szintűek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
  • Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez, valamint csak jelentéskészítési célokra használja a Mobile Threat Defense szolgáltatást. Ennek a beállításnak a megadása esetén az eszközökön aktiválni kell az MTD alkalmazást.

  Opciók a Művelethez:

  • Hozzáférés letiltása
  • Adatok törlése

• Hozzárendelések: A házirend hozzárendelése felhasználócsoportokhoz. Kiértékeljük, hogy a csoport tagjai által használt eszközök hozzáférnek-e a megcélzott alkalmazások vállalati adataihoz az Intune alkalmazásvédelem használatával.

Fontos

Ha egy védett apphoz alkalmazásvédelmi házirendet hoz létre, a program felméri az eszköz fenyegetési szintjét. A konfigurációtól függően a program letiltja vagy szelektíven törli a feltételes indítással az olyan eszközöket, amelyek nem érik el az elfogadható szintet. Ha le van tiltva, a rendszer megakadályozza a vállalati erőforrásokhoz való hozzáférést, amíg az eszközön lévő fenyegetés feloldásra nem kerül, és a kiválasztott MTD-szállító nem jelenti az Intune-nak.

Feltételes hozzáférési szabályzat létrehozása

A feltételes hozzáférési szabályzatok a Végponthoz készült Microsoft Defender adatait használva blokkolhatják a beállított fenyegetési szintet meghaladó eszközök erőforrásaihoz való hozzáférést. Letilthatja a hozzáférést az eszközről a vállalati erőforrásokhoz, például a SharePointhoz vagy Exchange Online.

Tipp

A feltételes hozzáférés egy Microsoft Entra technológia. A Microsoft Intune Felügyeleti központban található feltételes hozzáférési csomópont a Microsoft Entra csomópontja.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Végpontbiztonság>Feltételes hozzáférés>Új szabályzat létrehozása lehetőséget. Mivel Intune a feltételes hozzáférés házirend-létrehozási felhasználói felületét mutatja be a Azure Portal, a felület eltér attól a szabályzat-létrehozási munkafolyamattól, amelyet esetleg ismer.

3. Adjon meg egy szabályzatnevet.

4. Felhasználók esetén használja a Belefoglalásés kizárás fület azoknak a csoportoknak a konfigurálásához, amelyek megkapják ezt a szabályzatot.

5. A Célerőforrások beállításnál adja meg a Válassza ki, mire vonatkozik ez a szabályzat a felhőalkalmazásokra beállítást, majd válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása, majd a Kiválasztás lehetőséget, keresse meg és válassza ki Office 365 SharePoint Online-t és Office 365 Exchange Online.

6. A Feltételek területen válassza az Ügyfélalkalmazások lehetőséget, majd állítsa a Konfigurálásbeállítást Igen értékre. Ezután jelölje be a Böngésző - és mobilalkalmazások és asztali ügyfelek jelölőnégyzeteit. Ezután válassza a Kész lehetőséget az ügyfélalkalmazás konfigurációjának mentéséhez.

7. A Grant beállításnál konfigurálja ezt a szabályzatot úgy, hogy az eszközmegfelelési szabályok alapján legyen alkalmazva. Például:

   1. Válassza a Hozzáférés biztosítása lehetőséget.
   2. Jelölje be az Eszköz megfelelőként való megjelölésének megkövetelése jelölőnégyzetet.
   3. Válassza az Összes kijelölt vezérlő megkövetelése lehetőséget. Az Engedélyezés konfiguráció mentéséhez válassza a Kiválasztás lehetőséget.

8. A Szabályzat engedélyezése beállításnál válassza a Be , majd a Létrehozás lehetőséget a módosítások mentéséhez.

Következő lépések

• Végponthoz készült Microsoft Defender beállításainak konfigurálása Androidon
• A kockázati szintek megfelelőségének monitorozása

További információt az Intune dokumentációjában talál:

• Biztonsági feladatok használata a Végpontokhoz készült Defender biztonságirés-kezeléssel az eszközök problémáinak elhárításához
• Ismerkedés az eszközmegfelelési szabályzatokkal
• Alkalmazásvédelem szabályzatok áttekintése

További információt a Végponthoz készült Microsoft Defender dokumentációjában talál:

• feltételes hozzáférés Végponthoz készült Microsoft Defender
• Végponthoz készült Microsoft Defender kockázati irányítópult