Feltételes hozzáférés konfigurálása Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a szakasz végigvezeti a feltételes hozzáférés megfelelő implementálásához szükséges összes lépésen.

Az első lépések

Figyelmeztetés

Fontos megjegyezni, hogy ebben a forgatókönyvben Microsoft Entra regisztrált eszközök nem támogatottak.
Csak Intune regisztrált eszközök támogatottak.

Győződjön meg arról, hogy az összes eszköz regisztrálva van Intune. Az alábbi lehetőségek bármelyikével regisztrálhat eszközöket a Intune:

• Informatikai Rendszergazda: Az automatikus regisztráció engedélyezéséről további információt a Windows-regisztráció című témakörben talál.
• Végfelhasználó: A Windows 10 és Windows 11 eszköz Intune való regisztrálásáról a Windows 10 eszköz regisztrálása a Intune
• Végfelhasználói alternatíva: A Microsoft Entra tartományhoz való csatlakozásról további információt a How to: Plan your Microsoft Entra join implementáció című témakörben talál.

A Microsoft Defender XDR, a Intune portálon és a Microsoft Entra felügyeleti központ meg kell tennie néhány lépést.

Fontos megjegyezni a portálok eléréséhez és a feltételes hozzáférés implementálásához szükséges szerepköröket:

• Microsoft Defender XDR – Az integráció bekapcsolásához globális rendszergazdai szerepkörrel kell bejelentkeznie a portálra.
• Intune – Felügyeleti engedélyekkel rendelkező biztonsági rendszergazdai jogosultságokkal kell bejelentkeznie a portálra.
• Microsoft Entra felügyeleti központ – Globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként kell bejelentkeznie.

Megjegyzés:

Szüksége lesz egy Microsoft Intune környezetre, amely Intune felügyelt és Microsoft Entra csatlakoztatott Windows 10 és Windows 11 eszközöket használ.

A feltételes hozzáférés engedélyezéséhez hajtsa végre a következő lépéseket:

• 1. lépés: A Microsoft Intune kapcsolat bekapcsolása Microsoft Defender XDR
• 2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune
• 3. lépés: A megfelelőségi szabályzat Létrehozás Intune
• 4. lépés: A szabályzat hozzárendelése
• 5. lépés: Microsoft Entra feltételes hozzáférési szabályzat Létrehozás

1. lépés: A Microsoft Intune kapcsolat bekapcsolása

1. A navigációs panelen válassza a Beállítások>Végpontok>Általános>speciális funkciók>Microsoft Intune kapcsolat lehetőséget.
2. Állítsa a Microsoft Intune beállítást Be állásba.
3. Kattintson a Beállítások mentése gombra.

2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune

1. Bejelentkezés a Intune portálra
2. Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget.
3. Állítsa Windows 10.0.15063+-eszközök csatlakoztatása beállítást az Advanced Threat Protection bekapcsolva értékre történő Microsoft Defender.
4. Kattintson a Mentés gombra.

3. lépés: A megfelelőségi szabályzat Létrehozás Intune

1. A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.

2. Válassza az Eszközmegfelelési>szabályzatok>Létrehozás szabályzat lehetőséget.

3. Adja meg a Nevet és a Leírást.

4. A Platform területen válassza a Windows 10 és újabb lehetőséget.

5. Az Eszközállapot beállításnál állítsa be Az eszköz veszélyforrás-szintjének megkövetelése az előnyben részesített szintig vagy alatt:

   • Védett: Ez a szint a legbiztonságosabb. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
   • Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelőek.
   • Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
   • Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök tehát megfelelőnek minősülnek.

6. Kattintson az OK gombra, és Létrehozás a módosítások mentéséhez (és a szabályzat létrehozásához).

4. lépés: A szabályzat hozzárendelése

1. A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.
2. Válassza az Eszközmegfelelési>szabályzatok> lehetőséget, majd válassza ki a Végponthoz készült Microsoft Defender megfelelőségi szabályzatot.
3. Válassza a Hozzárendelések lehetőséget.
4. A szabályzat hozzárendeléséhez vegye fel vagy zárja ki a Microsoft Entra csoportokat.
5. Ha a szabályzatot a csoportokra szeretné telepíteni, válassza a Mentés lehetőséget. A rendszer kiértékeli a szabályzat által megcélzott felhasználói eszközöket a megfelelőség szempontjából.

5. lépés: Microsoft Entra feltételes hozzáférési szabályzat Létrehozás

1. A Azure Portal nyissa meg az Microsoft Entra ID>Feltételes hozzáférés>Új szabályzatot.

2. Adjon meg egy szabályzatnevet, majd válassza a Felhasználók és csoportok lehetőséget. A Belefoglalás vagy a Kizárás lehetőséggel adja hozzá a csoportokat a szabályzathoz, majd válassza a Kész lehetőséget.

3. Válassza a Felhőalkalmazások lehetőséget, és válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása lehetőséget, majd válassza Office 365 SharePoint Online és Office 365 Exchange Online lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

4. Válassza a Feltételek>Ügyfélalkalmazások lehetőséget a szabályzat alkalmazásokra és böngészőkre való alkalmazásához. Válassza például az Igen lehetőséget, majd engedélyezze a Böngésző- és mobilalkalmazások és asztali ügyfelek lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.

5. Válassza az Engedélyezés lehetőséget a feltételes hozzáférés eszközmegfelelés alapján történő alkalmazásához. Válassza például a Hozzáférés> biztosítása: Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget. A módosítások mentéséhez válassza a Kiválasztás lehetőséget .

6. Válassza a Szabályzat engedélyezése lehetőséget, majd Létrehozás a módosítások mentéséhez.

Megjegyzés:

A Végponthoz készült Microsoft Defender alkalmazást a Jóváhagyott ügyfélalkalmazás, az Alkalmazásvédelmi szabályzat és a Megfelelő eszköz (Az eszköz megfelelőként való megjelölésének megkövetelése) vezérlőkkel együtt használhatja Microsoft Entra feltételes hozzáférési szabályzatokban. A feltételes hozzáférés beállításakor nincs szükség kizárásra a Végponthoz készült Microsoft Defender alkalmazáshoz. Bár az androidos & iOS-Végponthoz készült Microsoft Defender (alkalmazásazonosító – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, mindhárom engedélyezési engedélyben jelentést tud adni az eszköz biztonsági állapotáról.

Belsőleg azonban a Defender msGraph/User.read hatókört és Intune alagút hatókörét kéri (Defender+Alagút forgatókönyvek esetén). Ezért ezeket a hatóköröket ki kell zárni*. Az MSGraph/User.read hatókör kizárásához bármely felhőalkalmazás kizárható. Az Alagút hatókörének kizárásához ki kell zárnia a "Microsoft Tunnel Gateway" elemet. Ezek az engedélyek és kizárások lehetővé teszik a megfelelőségi információk áramlását a feltételes hozzáféréshez.

*Vegye figyelembe, hogy ha feltételes hozzáférési szabályzatot alkalmaz a Minden felhőalkalmazásra, az bizonyos esetekben véletlenül letilthatja a felhasználói hozzáférést, ezért nem ajánlott. További információ a feltételes hozzáférési szabályzatokról a Cloud Appsben

További információ: Megfelelőség kényszerítése Végponthoz készült Microsoft Defender feltételes hozzáféréssel a Intune-ban.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.