Configurare l'accesso condizionale in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questa sezione illustra tutti i passaggi necessari per implementare correttamente l'accesso condizionale.

Prima di iniziare

Avviso

È importante notare che i dispositivi registrati di Microsoft Entra non sono supportati in questo scenario.
Sono supportati solo i dispositivi registrati in Intune.

È necessario assicurarsi che tutti i dispositivi siano registrati in Intune. È possibile usare una delle opzioni seguenti per registrare i dispositivi in Intune:

• Amministratore IT: per altre informazioni su come abilitare la registrazione automatica, vedere Registrazione di Windows
• Utente finale: per altre informazioni su come registrare il dispositivo Windows 10 e Windows 11 in Intune, vedi Registrare il dispositivo Windows 10 in Intune
• Alternativa all'utente finale: per altre informazioni sull'aggiunta a un dominio di Microsoft Entra, vedere Procedura: Pianificare l'implementazione dell'aggiunta a Microsoft Entra.

È necessario eseguire alcuni passaggi nel portale di Microsoft Defender, nel portale di Intune e nell'interfaccia di amministrazione di Microsoft Entra.

È importante prendere nota dei ruoli necessari per accedere a questi portali e implementare l'accesso condizionale:

• Portale di Microsoft Defender : è necessario accedere al portale con un ruolo di amministratore globale per attivare l'integrazione.
• Intune : è necessario accedere al portale con diritti di amministratore della sicurezza con autorizzazioni di gestione.
• Interfaccia di amministrazione di Microsoft Entra : è necessario accedere come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Nota

Avrai bisogno di un ambiente Microsoft Intune, con dispositivi Windows 10 e Windows 11 gestiti da Intune e aggiunti a Microsoft Entra.

Seguire questa procedura per abilitare l'accesso condizionale:

• Passaggio 1: Attivare la connessione a Microsoft Intune da Microsoft Defender XDR
• Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune
• Passaggio 3: Creare i criteri di conformità in Intune
• Passaggio 4: Assegnare i criteri
• Passaggio 5: Creare criteri di accesso condizionale di Microsoft Entra

Passaggio 1: Attivare la connessione a Microsoft Intune

1. Nel riquadro di spostamento selezionare Impostazioni Endpoint>> Funzionalitàavanzate generali>Connessione>a Microsoft Intune.

2. Attivare o disattivare l'impostazione di Microsoft Intune su Sì.

3. Fare clic su Salva preferenze.

Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune

1. Accedere al portale di Intune

2. Selezionare Endpoint Security>Microsoft Defender per Endpoint.

3. Impostare Connect Windows 10.0.15063+ devices to Microsoft Defender Advanced Threat Protection (Connetti dispositivi Windows 10.0.15063+ suOn).

4. Fare clic su Salva.

Passaggio 3: Creare i criteri di conformità in Intune

1. Nel portale di Azure selezionare Tutti i servizi, filtrare in Intune e selezionare Microsoft Intune.

2. Selezionare Criteri di conformità>del> dispositivoCrea criterio.

3. Immettere un nome e una descrizione.

4. In Piattaforma selezionare Windows 10 e versioni successive.

5. Nelle impostazioni Integrità dispositivo impostare Richiedi che il dispositivo sia al livello di minaccia del dispositivo o sotto il livello di minaccia del dispositivo sul livello preferito:

   • Protetto: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
   • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o elevato non sono conformi.
   • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
   • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. Pertanto, i dispositivi con livelli di minaccia elevati, medi o bassi sono considerati conformi.

6. Selezionare OK e Crea per salvare le modifiche e creare i criteri.

Passaggio 4: Assegnare i criteri

1. Nel portale di Azure selezionare Tutti i servizi, filtrare in Intune e selezionare Microsoft Intune.

2. Selezionare Criteri di conformità>del> dispositivo selezionare i criteri di conformità di Microsoft Defender per endpoint.

3. Selezionare Attività.

4. Includi o escludi i gruppi di Microsoft Entra per assegnare loro i criteri.

5. Per distribuire i criteri ai gruppi, selezionare Salva. I dispositivi utente di destinazione dei criteri vengono valutati per la conformità.

Passaggio 5: Creare criteri di accesso condizionale di Microsoft Entra

1. Nel portale di Azure aprire Nuovicriteri perl'accesso condizionale dell'ID>>Entra Di Microsoft.

2. Immettere un nome di criterio e selezionare Utenti e gruppi. Usare le opzioni Includi o Escludi per aggiungere i gruppi per i criteri e selezionare Fine.

3. Selezionare App cloud e scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e selezionare Office 365 SharePoint Online e Office 365 Exchange Online. Selezionare Fine per salvare le modifiche.

4. Selezionare Condizioni>App client per applicare i criteri ad app e browser. Ad esempio, selezionare Sì, quindi abilitare Browser e App per dispositivi mobili e client desktop. Selezionare Fine per salvare le modifiche.

5. Selezionare Concedi per applicare l'accesso condizionale in base alla conformità del dispositivo. Ad esempio, selezionare Concedi accesso>Richiedi che il dispositivo sia contrassegnato come conforme. Scegliere Seleziona per salvare le modifiche.

6. Selezionare Abilita criterio e quindi Crea per salvare le modifiche.

Nota

È possibile usare l'app Microsoft Defender per endpoint insieme all'app client approvata , ai criteri di protezione delle app e ai controlli dispositivo conforme (richiedi che il dispositivo sia contrassegnato come conforme) nei criteri di accesso condizionale di Microsoft Entra. Non è necessaria alcuna esclusione per l'app Microsoft Defender per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft Defender per endpoint in Android & iOS (ID app - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) non è un'app approvata, è in grado di segnalare il comportamento di sicurezza del dispositivo in tutte e tre le autorizzazioni di concessione.

Defender richiede tuttavia internamente l'ambito MSGraph/User.read e l'ambito del tunnel di Intune (in caso di scenari Defender+Tunnel). Questi ambiti devono quindi essere esclusi*. Per escludere l'ambito MSGraph/User.read, è possibile escludere qualsiasi app cloud. Per escludere l'ambito del tunnel, è necessario escludere "Microsoft Tunnel Gateway". Queste autorizzazioni ed esclusioni abilitano il flusso per le informazioni di conformità all'accesso condizionale.

L'applicazione di criteri di accesso condizionale a tutte le app cloud potrebbe bloccare inavvertitamente l'accesso degli utenti in alcuni casi, quindi non è consigliabile. Altre informazioni sui criteri di accesso condizionale nelle app cloud

Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con accesso condizionale in Intune.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.