Feltételes hozzáférés konfigurálása Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Ez a szakasz végigvezeti a feltételes hozzáférés megfelelő implementálásához szükséges összes lépésen.
Az első lépések
Figyelmeztetés
Fontos megjegyezni, hogy ebben a forgatókönyvben Microsoft Entra regisztrált eszközök nem támogatottak.Csak Intune regisztrált eszközök támogatottak.
Győződjön meg arról, hogy az összes eszköz regisztrálva van Intune. Az alábbi lehetőségek bármelyikével regisztrálhat eszközöket a Intune:
- Informatikai Rendszergazda: Az automatikus regisztráció engedélyezéséről további információt a Windows-regisztráció című témakörben talál.
- Végfelhasználó: A Windows 10 és Windows 11 eszköz Intune való regisztrálásáról a Windows 10 eszköz regisztrálása a Intune
- Végfelhasználói alternatíva: A Microsoft Entra tartományhoz való csatlakozásról további információt a How to: Plan your Microsoft Entra join implementáció című témakörben talál.
A Microsoft Defender XDR, a Intune portálon és a Microsoft Entra felügyeleti központ meg kell tennie néhány lépést.
Fontos megjegyezni a portálok eléréséhez és a feltételes hozzáférés implementálásához szükséges szerepköröket:
- Microsoft Defender XDR – Az integráció bekapcsolásához globális rendszergazdai szerepkörrel kell bejelentkeznie a portálra.
- Intune – Felügyeleti engedélyekkel rendelkező biztonsági rendszergazdai jogosultságokkal kell bejelentkeznie a portálra.
- Microsoft Entra felügyeleti központ – Globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként kell bejelentkeznie.
Megjegyzés:
Szüksége lesz egy Microsoft Intune környezetre, amely Intune felügyelt és Microsoft Entra csatlakoztatott Windows 10 és Windows 11 eszközöket használ.
A feltételes hozzáférés engedélyezéséhez hajtsa végre a következő lépéseket:
- 1. lépés: A Microsoft Intune kapcsolat bekapcsolása Microsoft Defender XDR
- 2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune
- 3. lépés: A megfelelőségi szabályzat Létrehozás Intune
- 4. lépés: A szabályzat hozzárendelése
- 5. lépés: Microsoft Entra feltételes hozzáférési szabályzat Létrehozás
1. lépés: A Microsoft Intune kapcsolat bekapcsolása
- A navigációs panelen válassza a Beállítások>Végpontok>Általános>speciális funkciók>Microsoft Intune kapcsolat lehetőséget.
- Állítsa a Microsoft Intune beállítást Be állásba.
- Kattintson a Beállítások mentése gombra.
2. lépés: A Végponthoz készült Defender integrációjának bekapcsolása Intune
- Bejelentkezés a Intune portálra
- Válassza a Végpontbiztonság>Végponthoz készült Microsoft Defender lehetőséget.
- Állítsa Windows 10.0.15063+-eszközök csatlakoztatása beállítást az Advanced Threat Protection bekapcsolva értékre történő Microsoft Defender.
- Kattintson a Mentés gombra.
3. lépés: A megfelelőségi szabályzat Létrehozás Intune
A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.
Válassza az Eszközmegfelelési>szabályzatok>Létrehozás szabályzat lehetőséget.
Adja meg a Nevet és a Leírást.
A Platform területen válassza a Windows 10 és újabb lehetőséget.
Az Eszközállapot beállításnál állítsa be Az eszköz veszélyforrás-szintjének megkövetelése az előnyben részesített szintig vagy alatt:
- Védett: Ez a szint a legbiztonságosabb. Az eszköz nem rendelkezhet meglévő fenyegetésekkel, és továbbra sem férhet hozzá a vállalati erőforrásokhoz. Ha bármilyen veszélyforrás észlelhető, az eszköz nem megfelelőnek minősül.
- Alacsony: Az eszköz csak alacsony szintű fenyegetések esetén megfelelő. A közepes vagy magas fenyegetési szinttel rendelkező eszközök nem megfelelőek.
- Közepes: Az eszköz megfelelő, ha az eszközön észlelt fenyegetések alacsonyak vagy közepesek. Magas szintű fenyegetések észlelése esetén az eszköz nem megfelelőnek minősül.
- Magas: Ez a szint a legkevésbé biztonságos, és minden fenyegetési szintet engedélyez. A magas, közepes vagy alacsony fenyegetési szinttel rendelkező eszközök tehát megfelelőnek minősülnek.
Kattintson az OK gombra, és Létrehozás a módosítások mentéséhez (és a szabályzat létrehozásához).
4. lépés: A szabályzat hozzárendelése
- A Azure Portal válassza a Minden szolgáltatás lehetőséget, szűrjön a Intune, majd válassza a Microsoft Intune lehetőséget.
- Válassza az Eszközmegfelelési>szabályzatok> lehetőséget, majd válassza ki a Végponthoz készült Microsoft Defender megfelelőségi szabályzatot.
- Válassza a Hozzárendelések lehetőséget.
- A szabályzat hozzárendeléséhez vegye fel vagy zárja ki a Microsoft Entra csoportokat.
- Ha a szabályzatot a csoportokra szeretné telepíteni, válassza a Mentés lehetőséget. A rendszer kiértékeli a szabályzat által megcélzott felhasználói eszközöket a megfelelőség szempontjából.
5. lépés: Microsoft Entra feltételes hozzáférési szabályzat Létrehozás
A Azure Portal nyissa meg az Microsoft Entra ID>Feltételes hozzáférés>Új szabályzatot.
Adjon meg egy szabályzatnevet, majd válassza a Felhasználók és csoportok lehetőséget. A Belefoglalás vagy a Kizárás lehetőséggel adja hozzá a csoportokat a szabályzathoz, majd válassza a Kész lehetőséget.
Válassza a Felhőalkalmazások lehetőséget, és válassza ki a védeni kívánt alkalmazásokat. Válassza például az Alkalmazások kiválasztása lehetőséget, majd válassza Office 365 SharePoint Online és Office 365 Exchange Online lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.
Válassza a Feltételek>Ügyfélalkalmazások lehetőséget a szabályzat alkalmazásokra és böngészőkre való alkalmazásához. Válassza például az Igen lehetőséget, majd engedélyezze a Böngésző- és mobilalkalmazások és asztali ügyfelek lehetőséget. A módosítások mentéséhez válassza a Kész lehetőséget.
Válassza az Engedélyezés lehetőséget a feltételes hozzáférés eszközmegfelelés alapján történő alkalmazásához. Válassza például a Hozzáférés> biztosítása: Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget. A módosítások mentéséhez válassza a Kiválasztás lehetőséget .
Válassza a Szabályzat engedélyezése lehetőséget, majd Létrehozás a módosítások mentéséhez.
Megjegyzés:
A Végponthoz készült Microsoft Defender alkalmazást a Jóváhagyott ügyfélalkalmazás, az Alkalmazásvédelmi szabályzat és a Megfelelő eszköz (Az eszköz megfelelőként való megjelölésének megkövetelése) vezérlőkkel együtt használhatja Microsoft Entra feltételes hozzáférési szabályzatokban. A feltételes hozzáférés beállításakor nincs szükség kizárásra a Végponthoz készült Microsoft Defender alkalmazáshoz. Bár az androidos & iOS-Végponthoz készült Microsoft Defender (alkalmazásazonosító – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, mindhárom engedélyezési engedélyben jelentést tud adni az eszköz biztonsági állapotáról.
Belsőleg azonban a Defender msGraph/User.read hatókört és Intune alagút hatókörét kéri (Defender+Alagút forgatókönyvek esetén). Ezért ezeket a hatóköröket ki kell zárni*. Az MSGraph/User.read hatókör kizárásához bármely felhőalkalmazás kizárható. Az Alagút hatókörének kizárásához ki kell zárnia a "Microsoft Tunnel Gateway" elemet. Ezek az engedélyek és kizárások lehetővé teszik a megfelelőségi információk áramlását a feltételes hozzáféréshez.
*Vegye figyelembe, hogy ha feltételes hozzáférési szabályzatot alkalmaz a Minden felhőalkalmazásra, az bizonyos esetekben véletlenül letilthatja a felhasználói hozzáférést, ezért nem ajánlott. További információ a feltételes hozzáférési szabályzatokról a Cloud Appsben
További információ: Megfelelőség kényszerítése Végponthoz készült Microsoft Defender feltételes hozzáféréssel a Intune-ban.
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: