Configurare Microsoft Defender per endpoint in Intune

Usare le informazioni e le procedure in questo articolo per configurare l'integrazione di Microsoft Defender per endpoint con Intune. La configurazione include i passaggi generali seguenti:

• Abilitare Microsoft Defender per endpoint per il tenant
• Eseguire l'onboarding di dispositivi che eseguono Android, iOS/iPadOS e Windows 10/11
• Usare i criteri di conformità per impostare i livelli di rischio dei dispositivi
• Usare i criteri di accesso condizionale per bloccare i dispositivi che superano i livelli di rischio previsti
• Android e iOS/iPadOS, usano i criteri di protezione delle app che impostano i livelli di rischio del dispositivo. I criteri di protezione di app funzionano sia con i dispositivi registrati che con i dispositivi non registrati.

Prima di iniziare, l'ambiente deve soddisfare i prerequisiti per usare Microsoft Defender per endpoint con Intune.

Oltre a gestire le impostazioni per Microsoft Defender per endpoint nei dispositivi gestiti con Intune, è possibile gestire le configurazioni di sicurezza di Defender per endpoint nei dispositivi non registrati con Intune. Questo scenario è denominato Gestione sicurezza per Microsoft Defender per endpoint e richiede la configurazione dell'interruttore Consenti Microsoft Defender per endpoint per applicare le configurazioni di sicurezza degli endpoint su Attivato. Per altre informazioni, vedere Gestione della configurazione della sicurezza MDE.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Abilitare Microsoft Defender per endpoint in Intune

Il primo passaggio da eseguire consiste nel configurare la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. La configurazione richiede l'accesso amministrativo sia alla Microsoft Defender Security Center che alla Intune.

È sufficiente abilitare Microsoft Defender per endpoint una sola volta per ogni tenant.

Per abilitare Microsoft Defender per endpoint

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza endpoint>Microsoft Defender per endpoint e quindi selezionare Apri il Microsoft Defender Security Center.

   Verrà aperto il portale di Microsoft 365 Defender in security.microsoft.com, che sostituisce l'uso del portale precedente in securitycenter.windows.com.

   Consiglio

   Se lo stato della connessione nella parte superiore della pagina è già impostato su Abilitato, la connessione a Intune è già stata eseguita e l'interfaccia di amministrazione visualizza un'interfaccia utente diversa rispetto alla schermata seguente. In questo caso, è possibile usare il collegamento Apri la console di amministrazione Microsoft Defender per endpoint per aprire il Microsoft Defender Security Center e usare le indicazioni nel passaggio seguente per verificare che la connessione Microsoft Intune sia impostata su Attivato.

   

3. In Microsoft 365 Defender (in precedenza il Microsoft Defender Security Center):

   1. Selezionare Impostazioni>Endpoint>Funzionalità avanzate.

   2. Per Microsoft Intune connessione, scegliere Sì:

      

   3. Selezionare Salva preferenze.

   Nota

   Una volta stabilita la connessione, si prevede che i servizi vengano sincronizzati tra loro almeno una volta ogni 24 ore. Il numero di giorni senza sincronizzazione fino a quando la connessione non viene considerata non risponde è configurabile nell'interfaccia di amministrazione Microsoft Intune. Selezionare Sicurezza> endpoint Microsoft Defender per endpoint>Numero di giorni fino a quando il partner non risponde

4. Tornare alla pagina Microsoft Defender per endpoint nell'interfaccia di amministrazione Microsoft Intune.

   1. Per usare Defender per endpoint con i criteri di conformità, configurare quanto segue in Impostazioni dei criteri di conformità MDM per le piattaforme supportate:

      • Impostare Connetti dispositivi Android su Microsoft Defender per endpoint su Attivato
      • Impostare Connetti dispositivi iOS su Microsoft Defender per endpoint su Attivato
      • Impostare Connetti dispositivi Windows su Microsoft Defender per endpoint su Attivato

      Quando queste configurazioni sono attivate, i dispositivi applicabili gestiti con Intune e i dispositivi registrati in futuro sono connessi a Microsoft Defender per endpoint per la conformità.

      Per i dispositivi iOS, Defender per endpoint supporta anche le impostazioni seguenti che consentono di fornire la valutazione della vulnerabilità delle app in Microsoft Defender per endpoint per iOS. Per altre informazioni sull'uso delle due impostazioni seguenti, vedere Configurare la valutazione della vulnerabilità delle app.

      • Abilita sincronizzazione app per dispositivi iOS: impostata su Sì per consentire a Defender per endpoint di richiedere i metadati delle applicazioni iOS da Intune da usare a scopo di analisi delle minacce. Il dispositivo iOS deve essere registrato in MDM e fornirà dati dell'app aggiornati durante l'archiviazione del dispositivo.

      • Inviare dati completi sull'inventario delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale: questa impostazione controlla i dati di inventario dell'applicazione che Intune condivisi con Defender per endpoint quando Defender per endpoint sincronizza i dati dell'app e richiede l'elenco di inventario delle app.

        Se impostato su Attivato, Defender per endpoint può richiedere un elenco di applicazioni da Intune per dispositivi iOS/iPadOS di proprietà personale. Sono incluse le app e le app non gestite distribuite tramite Intune.

        Se impostato su Disattivato, i dati sulle app non gestite non vengono forniti. Intune condivide i dati per le app distribuite tramite Intune.

      Per altre informazioni, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

   2. Per usare Defender per endpoint con i criteri di protezione delle app, configurare quanto segue in Impostazioni dei criteri di protezione delle app per le piattaforme supportate. Queste funzionalità sono disponibili per Android e iOS/iPadOS.

      • Impostare Connetti dispositivi Android su Microsoft Defender per endpoint per la valutazione dei criteri di protezione delle app su Attivato.
      • Impostare Connetti i dispositivi iOS su Microsoft Defender per endpoint per la valutazione dei criteri di protezione delle app su Attivato.

   Per configurare un Microsoft Defender per endpoint di integrazione per la valutazione dei criteri di conformità e protezione delle app, è necessario disporre di un ruolo che includa l'autorizzazione Mobile Threat Defense in Intune. Il ruolo di amministratore predefinito di Endpoint Security Manager per Intune include questa autorizzazione. Per altre informazioni sulle impostazioni dei criteri di conformità MDM e sulle impostazioni dei criteri di protezione delle app, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

5. Selezionare Salva.

Consiglio

Quando si integra una nuova applicazione per Intune Mobile Threat Defense e si abilita la connessione a Intune, Intune crea un criterio di accesso condizionale classico, ad esempio Windows Defender criteri del dispositivo ATP, in Azure Active Directory. Ogni app MTD integrata, inclusi Microsoft Defender for Endpoint o uno qualsiasi dei partner MTD aggiuntivi, crea nuovi criteri di accesso condizionale classici. Questi criteri possono essere ignorati, ma non devono essere modificati, eliminati o disabilitati.

Se i criteri classici vengono eliminati, sarà necessario eliminare la connessione a Intune responsabile della creazione e quindi configurarla nuovamente. In questo modo vengono ricreati i criteri classici. Non è possibile eseguire la migrazione dei criteri classici per le app MTD al nuovo tipo di criteri per l'accesso condizionale.

Criteri di accesso condizionale classici per le app MTD:

• Vengono usati da Intune MTD per richiedere che i dispositivi vengano registrati in Azure AD in modo da avere un ID dispositivo prima di comunicare con i partner MTD. L'ID è necessario per consentire ai dispositivi di segnalare correttamente il loro stato a Intune.
• Non ha alcun effetto su altre app o risorse cloud.
• Sono diversi dai criteri di accesso condizionale che è possibile creare per facilitare la gestione di MTD.
• Per impostazione predefinita, non interagiscono con altri criteri di accesso condizionale usati per la valutazione.

Per visualizzare i criteri di accesso condizionale classici, in Azure andare a Azure Active Directory>Accesso condizionale>Criteri classici.

Eseguire l'onboarding dei dispositivi

Quando è stato abilitato il supporto per Microsoft Defender per endpoint in Intune, è stata stabilita una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. È quindi possibile eseguire l'onboarding dei dispositivi gestiti con Intune per Microsoft Defender per endpoint. L'onboarding consente la raccolta di dati sui livelli di rischio del dispositivo.

Quando si esegue l'onboarding dei dispositivi, assicurarsi di usare la versione più recente di Microsoft Defender per endpoint per ogni piattaforma.

Aggiungere dispositivi Windows

Dopo la connessione Intune e Microsoft Defender per endpoint, Intune riceve un pacchetto di configurazione di onboarding da Microsoft Defender per endpoint. Si usa un profilo di configurazione del dispositivo per Microsoft Defender per endpoint per distribuire il pacchetto nei dispositivi Windows.

Il pacchetto di configurazione configura i dispositivi in modo da comunicare con i servizi di Microsoft Defender per endpoint per analizzare file e rilevare minacce. Il dispositivo segnala anche il livello di rischio per Microsoft Defender per endpoint in base ai criteri di conformità.

Dopo aver eseguito l'onboarding di un dispositivo usando il pacchetto di configurazione, non è necessario ripeterlo.

È anche possibile eseguire l'onboarding dei dispositivi usando:

• Criteri di rilevamento e risposta degli endpoint (EDR). I criteri EDR di Intune fanno parte della sicurezza degli endpoint in Intune. Usare i criteri EDR per configurare la sicurezza dei dispositivi senza il sovraccarico del corpo più grande delle impostazioni disponibili nei profili di configurazione del dispositivo. È anche possibile usare i criteri EDR con i dispositivi collegati al tenant, ovvero i dispositivi gestiti con Configuration Manager.

Per visualizzare i dispositivi caricati da Microsoft Defender per endpoint all'interno della pagina del connettore Microsoft Defender per endpoint, è necessario un ruolo Intune con l'autorizzazione atp Microsoft Defender.

Quando si configurano i criteri EDR dopo la connessione Intune e Microsoft Defender per endpoint, l'impostazione dei criteri Microsoft Defender per endpoint tipo di pacchetto di configurazione client ha una nuova opzione di configurazione: Auto from connector( Auto from connector). Con questa opzione, Intune ottiene automaticamente il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint, sostituendo la necessità di configurare manualmente un pacchetto di Onboarding.

• Criteri di gruppo o Microsoft Configuration Manager.

Consiglio

Quando si usano più criteri o tipi di criteri, ad esempio i criteri di configurazione del dispositivo e i criteri di rilevamento degli endpoint e di risposta per gestire le stesse impostazioni del dispositivo ,ad esempio l'onboarding in Defender per endpoint, è possibile creare conflitti di criteri per i dispositivi. Per altre informazioni sui conflitti, vedere Gestire i conflitti nell'articolo Gestire i criteri di sicurezza .

Creare il profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi Windows

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza degli endpoint>Rilevamento e reazione dagli endpoint>Crea criterio.

3. In Piattaforma selezionare Windows 10 e versioni successive.

4. Per Tipo di profilo, selezionare Rilevamento e reazione dagli endpoint, quindi selezionare Crea.

5. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo e quindi scegliere Avanti.

6. Nella pagina Impostazioni di configurazione, configurare le opzioni seguenti per Rilevamento e reazione dagli endpoint:

   • Condivisione di esempio per tutti i file: restituisce o imposta il parametro di configurazione Microsoft Defender per endpoint Sample Sharing.
   • Velocizzare la frequenza dei report di telemetria: per i dispositivi ad alto rischio, abilitare questa impostazione in modo da segnalare i dati di telemetria al servizio Microsoft Defender per endpoint più frequentemente.

   L'onboarding di computer Windows con Microsoft Configuration Manager include altri dettagli sulle impostazioni di Microsoft Defender per endpoint.

   

   Nota

   Lo screenshot precedente mostra le opzioni di configurazione dopo aver configurato una connessione tra Intune e Microsoft Defender per endpoint. Quando connessi, i dettagli per i BLOB di onboarding e offboarding vengono generati e trasferiti automaticamente in Intune.

   Se la connessione non è stata configurata correttamente, l'impostazione Tipo di pacchetto di configurazione client di Microsoft Defender per endpoint viene visualizzata con le opzioni per specificare i BLOB di onboarding e offboarding.

7. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

8. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione nei gruppi di utenti, un utente deve accedere a un dispositivo prima che i criteri vengano applicati e il dispositivo possa eseguire l'onboarding in Defender per endpoint.

   Selezionare Avanti.

9. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato. OK e quindi Crea per salvare le modifiche, che crea il profilo.

Eseguire l'onboarding dei dispositivi macOs

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi macOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Microsoft Defender Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Per indicazioni sulla configurazione di Intune, vedere Microsoft Defender per endpoint per macOS.

Per altre informazioni su Microsoft Defender per Endpoint per Mac, incluse le novità della versione più recente, vedere Microsoft Defender per endpoint per Mac nella documentazione sulla sicurezza di Microsoft 365.

Eseguire l'onboarding dei dispositivi Android

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi Android in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono Android. Vedere in alternativa Panoramica di Microsoft Defender per endpoint per Android nella documentazione di Microsoft Defender per endpoint per i prerequisiti e le istruzioni di onboarding per Android.

Per i dispositivi che eseguono Android, è possibile anche usare i criteri di Intune per modificare Microsoft Defender per endpoint in Android. Per altre informazioni, vedere Protezione Web di Microsoft Defender per endpoint.

Eseguire l'onboarding di dispositivi iOS/iPadOS

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi iOS/iPadOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono iOS/iPadOS. Vedere in alternativa Panoramica di Microsoft Defender per endpoint per iOS nella documentazione di Microsoft Defender per endpoint per i prerequisiti e le istruzioni di onboarding per iOS/iPadOS.

Per i dispositivi che eseguono iOS/iPadOS (in modalità supervisionata), è disponibile una funzionalità specializzata data l'aumento delle funzionalità di gestione fornite dalla piattaforma su questi tipi di dispositivi. Per sfruttare queste funzionalità, l'app Defender deve sapere se un dispositivo è in modalità di supervisione. Intune consente di configurare l'app Defender per iOS tramite criteri di configurazione dell'app (per i dispositivi gestiti) che devono essere destinati a tutti i dispositivi iOS come procedura consigliata. Per altre informazioni, vedere Completare la distribuzione per i dispositivi con supervisione.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare App>Criteri di configurazione delle> appDispositivi gestiti.

3. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo, selezionare Piattaforma come iOS/iPadOS e quindi scegliere Avanti.

4. Selezionare App di destinazione come Microsoft Defender per iOS.

5. Nella pagina Impostazioni impostare la chiave di configurazione come issupervised, quindi Tipo valore come stringa con {{issupervised}} come valore di configurazione.

6. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

7. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione in gruppi di utenti, un utente deve accedere a un dispositivo prima che i criteri vengano applicati.

   Selezionare Avanti.

8. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Inoltre, per i dispositivi che eseguono iOS/iPadOS (in modalità supervisionata), il team di Defender per iOS ha reso disponibile un profilo .mobileconfig personalizzato da distribuire nei dispositivi iPad/iOS. Il profilo .mobileconfig verrà usato per analizzare il traffico di rete per garantire un'esperienza di esplorazione sicura, una funzionalità di Defender per iOS.

1. Scaricare il profilo .mobile, ospitato qui: https://aka.ms/mdatpiossupervisedprofile.

2. Accedere all'interfaccia di amministrazione Microsoft Intune.

3. Selezionare Dispositivi>Profili di configurazione>Crea profilo.

4. Per Piattaforma selezionare iOS/iPadOS

5. Per Tipo di profilo selezionare Personalizzato e quindi selezionare Crea.

6. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo e quindi scegliere Avanti.

7. Immettere un nome del profilo di configurazione e selezionare un .mobileconfig file da Caricare.

8. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

9. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione nei gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri.

   Selezionare Avanti.

10. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Creare e assegnare criteri di conformità per impostare il livello di rischio del dispositivo

Per i dispositivi Android, iOS/iPadOS e Windows, i criteri di conformità determinano il livello di rischio che si considera accettabile per un dispositivo.

Se non si ha familiarità con la creazione di criteri di conformità, fare riferimento alla procedura Crea un criterio nell'articolo Creare criteri di conformità in Microsoft Intune. Le informazioni seguenti sono specifiche per la configurazione di Microsoft Defender per endpoint come parte di un criterio di conformità.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Seleziona Dispositivi>Criteri di conformità>Criteri>di creazione criteri.

3. Per Piattaforma usare la casella a discesa per selezionare una delle opzioni seguenti:

   • Amministratore del dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10 e versioni successive

   Selezionare quindi Crea per aprire la finestra Crea configurazione dei criteri .

4. Specificare un nome che consenta di identificare questo criterio in un secondo momento. È anche possibile scegliere di specificare una descrizione.

5. Nella scheda Impostazioni di conformità espandere il gruppo Microsoft Defender per endpoint e impostare l'opzione Richiedi che il dispositivo sia al livello preferito o sotto il punteggio di rischio del computer.

   Le classificazioni del livello di minaccia sono determinate da Microsoft Defender per endpoint.

   • Chiaro: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme. Microsoft Defender per endpoint usa il valore Sicuro.
   • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o alto non sono conformi.
   • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
   • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. I dispositivi con livelli di minaccia alti, medi o bassi sono considerati conformi.

6. Completare la configurazione dei criteri, inclusa l'assegnazione dei criteri ai gruppi applicabili.

Creare e assegnare criteri di protezione delle app per impostare il livello di rischio del dispositivo

Usare la procedura per creare criteri di protezione delle applicazioni per iOS/iPadOS o Android e usare le informazioni seguenti nelle pagine App, Avvio condizionale e Assegnazioni :

• App: selezionare le app di destinazione dei criteri di protezione delle app. Per questo set di funzionalità, le app vengono bloccate o cancellate selettivamente in base alla valutazione dei rischi del dispositivo del fornitore di Mobile Threat Defense scelto.

• Avvio condizionale: sotto Condizioni del dispositivo, usare la casella a discesa per selezionare Massimo livello di minaccia consentito per il dispositivo.

  Opzioni per il Valore del livello di minaccia:

  • Protetto: questo livello è il più sicuro. Nel dispositivo non possono essere presenti minacce per poter accedere alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
  • Basso: il dispositivo è conforme se sono presenti solo minacce di livello basso. In presenza di minacce di livello alto, il dispositivo verrà messo in stato di non conformità.
  • Medio: il dispositivo è conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
  • Alto: questo livello è il meno sicuro e permette tutti i livelli di minaccia, usando Mobile Threat Defense solo a scopo di report. È necessario che nei dispositivi l'app MTD sia attivata con questa impostazione.

  Opzioni per Azione:

  • Blocca accesso
  • Cancella i dati

• Assegnazioni: assegnare i criteri a gruppi di utenti. I dispositivi usati dai membri del gruppo vengono valutati per l'accesso ai dati aziendali nelle app di destinazione tramite la protezione delle app di Intune.

Importante

Se si crea un criterio di protezione per un'app protetta, viene valutato il livello di minaccia del dispositivo. I dispositivi che, a causa del modo in cui sono stati configurati, non soddisfano un livello accettabile, vengono bloccati o cancellati in modo selettivo tramite l'avvio condizionale. Ai dispositivi bloccati, inoltre, viene impedito di accedere alle risorse aziendali fino a quando la minaccia sul dispositivo non viene risolta e segnalata a Intune da parte del fornitore di soluzioni MTD scelto.

Crea i criteri di accesso condizionale

I criteri di accesso condizionale possono usare i dati di Microsoft Defender per endpoint per bloccare l'accesso alle risorse per i dispositivi che superano il livello di minaccia impostato. È possibile bloccare l'accesso dal dispositivo alle risorse aziendali, ad esempio SharePoint o Exchange Online.

Consiglio

L'accesso condizionale è una tecnologia Azure Active Directory (Azure AD). Il nodo Accesso condizionale trovato nell'interfaccia di amministrazione Microsoft Intune è il nodo di Azure AD.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza degli endpoint>Accesso condizionale>Nuovo criterio.

3. Immettere un nome di criterio e selezionare Utenti e gruppi. Usare le opzioni Includi o Escludi per aggiungere i gruppi per il criterio e quindi selezionare Fine.

4. Selezionare App cloud e quindi scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e selezionare Office 365 SharePoint Online e Office 365 Exchange Online.

   Selezionare Fine per salvare le modifiche.

5. Selezionare Condizioni>App client per applicare i criteri ad app e browser. Ad esempio, selezionare Sì, quindi abilitare Browser e App per dispositivi mobili e client desktop.

   Selezionare Fine per salvare le modifiche.

6. Selezionare Concedi per applicare l'accesso condizionale in base alla conformità del dispositivo. Ad esempio, selezionare Concedi accesso>Richiedi che il dispositivo sia contrassegnato come conforme.

   Scegliere Seleziona per salvare le modifiche.

7. Selezionare Abilita criterio e quindi Crea per salvare le modifiche.

Passaggi successivi

• Configurare le impostazioni di Microsoft Defender per endpoint in Android
• Monitorare la conformità per i livelli di rischio

Per altre informazioni, vedere la documentazione Intune:

• Usare le attività di sicurezza con Gestione vulnerabilità di Defender per endpoint per correggere i problemi nei dispositivi
• Introduzione ai criteri di conformità dei dispositivi
• Panoramica dei criteri di protezione delle app

Per altre informazioni, vedere la documentazione Microsoft Defender per endpoint:

• accesso condizionale Microsoft Defender per endpoint
• dashboard dei rischi Microsoft Defender per endpoint