Configurare Microsoft Defender per endpoint in Intune

Usare le informazioni e le procedure in questo articolo per configurare l'integrazione di Microsoft Defender per endpoint con Intune. La configurazione include i passaggi generali seguenti:

• Stabilire una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Questa connessione consente a Microsoft Defender per endpoint di raccogliere dati sui rischi del computer dai dispositivi supportati gestiti con Intune. Vedere i prerequisiti per usare Microsoft Defender per endpoint con Intune.
• Usare Intune criteri per eseguire l'onboarding dei dispositivi con Microsoft Defender per endpoint. È possibile eseguire l'onboarding dei dispositivi per configurarli per comunicare con Microsoft Defender per endpoint e fornire dati che consentono di valutarne il livello di rischio.
• Usare Intune criteri di conformità dei dispositivi per impostare il livello di rischio che si vuole consentire. Microsoft Defender per endpoint segnala un livello di rischio dei dispositivi. I dispositivi che superano il livello di rischio consentito vengono identificati come non conformi.
• Usare un criterio di accesso condizionale per impedire agli utenti di accedere alle risorse aziendali da dispositivi non conformi.
• Usare icriteri di protezione delle app per Android e iOS/iPadOS per impostare i livelli di rischio del dispositivo. I criteri di protezione di app funzionano sia con i dispositivi registrati che con i dispositivi non registrati.

Oltre a gestire le impostazioni per Microsoft Defender per endpoint nei dispositivi registrati con Intune, è possibile gestire le configurazioni di sicurezza di Defender per endpoint nei dispositivi non registrati con Intune. Questo scenario è denominato Gestione sicurezza per Microsoft Defender per endpoint e richiede la configurazione dell'interruttore Consenti Microsoft Defender per endpoint per applicare le configurazioni di sicurezza degli endpoint su Attivato. Per altre informazioni, vedere MDE Security Configuration Management.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Connettere Microsoft Defender per endpoint a Intune

Il primo passaggio da eseguire consiste nel configurare la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. La configurazione richiede l'accesso amministrativo sia alla Microsoft Defender Security Center che alla Intune.

È sufficiente abilitare Microsoft Defender per endpoint una sola volta per ogni tenant.

Per abilitare Microsoft Defender per endpoint

Aprire il portale di Microsoft Defender per endpoint all'indirizzo security.microsoft.com. L'interfaccia di amministrazione Intune include anche un collegamento al portale di Defender per endpoint.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza endpoint>Microsoft Defender per endpoint e quindi selezionare Apri il Microsoft Defender Security Center.

   Consiglio

   Nell'interfaccia di amministrazione Intune, se lo stato della connessione nella parte superiore della pagina Microsoft Defender per endpoint è già impostato su Abilitato, la connessione a Intune è già attiva e nell'interfaccia di amministrazione viene visualizzato un testo diverso dell'interfaccia utente per il collegamento. In questo evento selezionare Apri la console di amministrazione Microsoft Defender per endpoint per aprire il Microsoft Defender per il portale. È quindi possibile usare le indicazioni nel passaggio seguente per verificare che la connessione Microsoft Intune sia impostata su Attivato.

   

3. Nel portale di Microsoft Defender (in precedenza il Microsoft Defender Security Center):

   1. Selezionare Impostazioni>Endpoint>Funzionalità avanzate.

   2. Per Microsoft Intune connessione, scegliere Sì:

      

   3. Selezionare Salva preferenze.

   Nota

   Una volta stabilita la connessione, si prevede che i servizi vengano sincronizzati tra loro almeno una volta ogni 24 ore. Il numero di giorni senza sincronizzazione fino a quando la connessione non viene considerata non risponde è configurabile nell'interfaccia di amministrazione Microsoft Intune. Selezionare Sicurezza> endpoint Microsoft Defender per endpoint>Numero di giorni fino a quando il partner non risponde

4. Tornare alla pagina Microsoft Defender per endpoint nell'interfaccia di amministrazione Microsoft Intune.

   1. Per usare Defender per endpoint con i criteri di conformità, configurare quanto segue in Valutazione dei criteri di conformità per le piattaforme supportate:

      • Impostare Connetti dispositivi Android su Microsoft Defender per endpoint su Attivato
      • Impostare Connect iOS/iPadOS devices to Microsoft Defender per endpoint to On (Connetti dispositivi iOS/iPadOS su Attivato)
      • Impostare Connetti dispositivi Windows su Microsoft Defender per endpoint su Attivato

      Quando queste configurazioni sono attivate, i dispositivi applicabili gestiti con Intune e i dispositivi registrati in futuro sono connessi a Microsoft Defender per endpoint per la conformità.

      Per i dispositivi iOS, Defender per endpoint supporta anche le impostazioni seguenti che consentono di fornire la valutazione della vulnerabilità delle app in Microsoft Defender per endpoint per iOS. Per altre informazioni sull'uso delle due impostazioni seguenti, vedere Configurare la valutazione della vulnerabilità delle app.

      • Abilita sincronizzazione app per dispositivi iOS: impostata su Sì per consentire a Defender per endpoint di richiedere i metadati delle applicazioni iOS da Intune da usare a scopo di analisi delle minacce. Il dispositivo iOS deve essere registrato in MDM e fornire dati dell'app aggiornati durante l'archiviazione del dispositivo.

      • Inviare dati completi sull'inventario delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale: questa impostazione controlla i dati di inventario dell'applicazione che Intune condivisi con Defender per endpoint quando Defender per endpoint sincronizza i dati dell'app e richiede l'elenco di inventario delle app.

        Se impostato su Attivato, Defender per endpoint può richiedere un elenco di applicazioni da Intune per dispositivi iOS/iPadOS di proprietà personale. Questo elenco include app e app non gestite distribuite tramite Intune.

        Se impostato su Disattivato, i dati sulle app non gestite non vengono forniti. Intune condivide i dati per le app distribuite tramite Intune.

      Per altre informazioni, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

   2. Per usare Defender per endpoint con i criteri di protezione delle app per Android e iOS/iPadOS, configurare quanto segue in Valutazione dei criteri di Protezione di app per le piattaforme usate:

      • Impostare Connetti dispositivi Android su Microsoft Defender per Endpoint su Attivato.
      • Impostare Connect iOS/iPadOS devices to Microsoft Defender per endpoint on (Connetti dispositivi iOS/iPadOS) su On (Attivato).

   Per configurare un Microsoft Defender per endpoint di integrazione per la valutazione dei criteri di conformità e protezione delle app, è necessario disporre di un ruolo che includa Lettura e modifica per l'autorizzazione Mobile Threat Defense in Intune. Il ruolo di amministratore predefinito di Endpoint Security Manager per Intune include queste autorizzazioni. Per altre informazioni sulle impostazioni dei criteri di conformità MDM e sulle impostazioni dei criteri di protezione delle app, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

5. Seleziona Salva.

Consiglio

A partire dalla versione del servizio Intune di agosto 2023 (2308), i criteri di accesso condizionale classico non vengono più creati per il connettore Microsoft Defender per endpoint. Se il tenant ha un criterio CA classico creato in precedenza per l'integrazione con Microsoft Defender per endpoint, può essere eliminato. Per visualizzare i criteri di accesso condizionale classici, in Azure passare a Microsoft Entra ID>Criteri classici di Accesso> condizionale.

Eseguire l'onboarding dei dispositivi

Quando si abilita il supporto per Microsoft Defender per endpoint in Intune, è stata stabilita una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. È quindi possibile eseguire l'onboarding dei dispositivi gestiti con Intune per Microsoft Defender per endpoint. L'onboarding consente la raccolta di dati sui livelli di rischio del dispositivo.

Quando si esegue l'onboarding dei dispositivi, assicurarsi di usare la versione più recente di Microsoft Defender per endpoint per ogni piattaforma.

Aggiungere dispositivi Windows

• Criteri di rilevamento e risposta degli endpoint (EDR). La pagina Microsoft Defender per endpoint nell'interfaccia di amministrazione Intune include un collegamento che apre direttamente il flusso di lavoro di creazione dei criteri EDR, che fa parte della sicurezza degli endpoint in Intune.

  Usare i criteri EDR per configurare la sicurezza dei dispositivi senza il sovraccarico del corpo più grande delle impostazioni disponibili nei profili di configurazione del dispositivo. È anche possibile usare i criteri EDR con i dispositivi collegati al tenant, ovvero i dispositivi gestiti con Configuration Manager.

  Quando si configurano i criteri EDR dopo la connessione Intune a Defender, l'impostazione dei criteri Microsoft Defender per endpoint tipo di pacchetto di configurazione client ha una nuova opzione di configurazione: Auto from connector(Auto from connector). Con questa opzione, Intune ottiene automaticamente il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint, sostituendo la necessità di configurare manualmente un pacchetto di Onboarding.

• Criterio di configurazione del dispositivo. Quando si creano criteri di configurazione dei dispositivi per l'onboarding dei dispositivi Windows, selezionare il modello Microsoft Defender per endpoint. Quando si è connessi Intune a Defender, Intune ricevuto un pacchetto di configurazione di onboarding da Defender. Questo pacchetto viene usato dal modello per configurare i dispositivi per comunicare con i servizi di Microsoft Defender per endpoint e per analizzare i file e rilevare le minacce. I dispositivi caricati segnalano anche il livello di rischio a Microsoft Defender per endpoint in base ai criteri di conformità. Dopo aver eseguito l'onboarding di un dispositivo usando il pacchetto di configurazione, non è necessario ripeterlo.

• Criteri di gruppo o Microsoft Configuration Manager. L'onboarding di computer Windows con Microsoft Configuration Manager include altri dettagli sulle impostazioni di Microsoft Defender per endpoint.

Consiglio

Quando si usano più criteri o tipi di criteri, ad esempio i criteri di configurazione del dispositivo e i criteri di rilevamento degli endpoint e di risposta per gestire le stesse impostazioni del dispositivo ,ad esempio l'onboarding in Defender per endpoint, è possibile creare conflitti di criteri per i dispositivi. Per altre informazioni sui conflitti, vedere Gestire i conflitti nell'articolo Gestire i criteri di sicurezza .

Creare il profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi Windows

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Sicurezza degli endpoint>Rilevamento e reazione dagli endpoint>Crea criterio.

3. In Piattaforma selezionare Windows 10, Windows 11 e Windows Server.

4. Per Tipo di profilo, selezionare Rilevamento e reazione dagli endpoint, quindi selezionare Crea.

5. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo e quindi scegliere Avanti.

6. Nella pagina Impostazioni di configurazione, configurare le opzioni seguenti per Rilevamento e reazione dagli endpoint:

   • Microsoft Defender per endpoint tipo di pacchetto di configurazione client: selezionare Auto from connector (Auto from connector) per usare il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint. Se si esegue l'onboarding in una distribuzione di Defender per endpoint diversa o disconnessa, selezionare Onboarding e incollare il testo dal file BLOB WindowsDefenderATP.onboarding nel campo Onboarding (Dispositivo).
   • Condivisione di esempio: restituisce o imposta il parametro di configurazione Microsoft Defender per endpoint Sample Sharing.
   • [Deprecato] Frequenza di segnalazione dei dati di telemetria: per i dispositivi ad alto rischio, abilitare questa impostazione in modo da segnalare più frequentemente i dati di telemetria al servizio Microsoft Defender per endpoint.

   

   Nota

   Lo screenshot precedente mostra le opzioni di configurazione dopo aver configurato una connessione tra Intune e Microsoft Defender per endpoint. Quando si è connessi, i dettagli per i BLOB di onboarding e offboarding vengono generati automaticamente e trasferiti in Intune.

   Se questa connessione non è stata configurata correttamente, l'impostazione Microsoft Defender per endpoint tipo di pacchetto di configurazione client include solo le opzioni per specificare i BLOB di onboarding e offboard.

7. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

8. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione nei gruppi di utenti, un utente deve accedere a un dispositivo prima che i criteri vengano applicati e il dispositivo possa eseguire l'onboarding in Defender per endpoint.

   Selezionare Avanti.

9. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato. OK e quindi Crea per salvare le modifiche, che crea il profilo.

Eseguire l'onboarding dei dispositivi macOs

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi macOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Microsoft Defender Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Per indicazioni sulla configurazione di Intune, vedere Microsoft Defender per endpoint per macOS.

Per altre informazioni su Microsoft Defender per endpoint per Mac, incluse le novità della versione più recente, vedere Microsoft Defender per endpoint per Mac nella documentazione sulla sicurezza di Microsoft 365.

Eseguire l'onboarding dei dispositivi Android

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi Android in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono Android. Vedere in alternativa Panoramica di Microsoft Defender per endpoint per Android nella documentazione di Microsoft Defender per endpoint per i prerequisiti e le istruzioni di onboarding per Android.

Per i dispositivi che eseguono Android, è possibile anche usare i criteri di Intune per modificare Microsoft Defender per endpoint in Android. Per altre informazioni, vedere Protezione Web di Microsoft Defender per endpoint.

Eseguire l'onboarding di dispositivi iOS/iPadOS

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi iOS/iPadOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono iOS/iPadOS. Vedere in alternativa Panoramica di Microsoft Defender per endpoint per iOS nella documentazione di Microsoft Defender per endpoint per i prerequisiti e le istruzioni di onboarding per iOS/iPadOS.

Per i dispositivi che eseguono iOS/iPadOS (in modalità con supervisione), è possibile usare funzionalità specializzate in base alle maggiori funzionalità di gestione offerte dalla piattaforma in questi tipi di dispositivi. Per sfruttare queste funzionalità, l'app Defender deve sapere se un dispositivo è in modalità di supervisione. Intune consente di configurare l'app Defender per iOS tramite criteri di configurazione dell'app (per i dispositivi gestiti) che devono essere destinati a tutti i dispositivi iOS come procedura consigliata. Per altre informazioni, vedere Completare la distribuzione per i dispositivi con supervisione.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare App>Criteri di configurazione> delle app+ Aggiungi e quindi selezionareDispositivi gestiti dall'elenco a discesa.

3. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo, selezionare Piattaforma come iOS/iPadOS e quindi scegliere Avanti.

4. Selezionare App di destinazione come Microsoft Defender per iOS.

5. Nella pagina Impostazioni impostare la chiave di configurazione come issupervised, quindi Tipo valore come stringa con {{issupervised}} come valore di configurazione.

6. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

7. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si distribuiscono i criteri ai gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri.

   Selezionare Avanti.

8. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Inoltre, per i dispositivi che eseguono iOS/iPadOS (in modalità supervisionata), il team di Defender per iOS ha reso disponibile un profilo .mobileconfig personalizzato da distribuire nei dispositivi iPad/iOS. Il profilo .mobileconfig viene usato per analizzare il traffico di rete per garantire un'esperienza di esplorazione sicura, una funzionalità di Defender per iOS.

1. Scaricare il profilo .mobile, ospitato qui: https://aka.ms/mdatpiossupervisedprofile.

2. Accedere all'interfaccia di amministrazione Microsoft Intune.

3. SelezionareConfigurazione>dispositivi> Nella scheda Criteri selezionare + Crea.

4. Per Piattaforma selezionare iOS/iPadOS

5. Per Tipo di profilo selezionare Personalizzato e quindi selezionare Crea.

6. Nella pagina Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo e quindi scegliere Avanti.

7. Immettere un nome del profilo di configurazione e selezionare un .mobileconfig file da Caricare.

8. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

9. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione nei gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri.

   Selezionare Avanti.

10. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Visualizzare il numero di dispositivi di cui viene eseguita l'onboarding in Microsoft Defender per endpoint

Per visualizzare i dispositivi caricati da Microsoft Defender per endpoint all'interno della pagina del connettore Microsoft Defender per endpoint, è necessario un ruolo Intune che includa Read for the Microsoft Defender Advanced Threat Protection Autorizzazione.

Creare e assegnare criteri di conformità per impostare il livello di rischio del dispositivo

Per i dispositivi Android, iOS/iPadOS e Windows, i criteri di conformità determinano il livello di rischio che si considera accettabile per un dispositivo.

Se non si ha familiarità con la creazione di criteri di conformità, fare riferimento alla procedura Crea un criterio nell'articolo Creare criteri di conformità in Microsoft Intune. Le informazioni seguenti sono specifiche per la configurazione di Microsoft Defender per endpoint come parte di un criterio di conformità.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Conformità dispositivi>. Nella scheda Criteri selezionare + Crea criterio.

3. Per Piattaforma usare la casella a discesa per selezionare una delle opzioni seguenti:

   • Amministratore del dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10 e versioni successive

   Selezionare quindi Crea.

4. Nella scheda Informazioni di base specificare un nome che consenta di identificare questo criterio in un secondo momento. È anche possibile scegliere di specificare una descrizione.

5. Nella scheda Impostazioni di conformità espandere la categoria Microsoft Defender per endpoint e impostare l'opzione Richiedi al dispositivo di trovarsi al livello preferito o sotto il punteggio di rischio del computer.

   Le classificazioni del livello di minaccia sono determinate da Microsoft Defender per endpoint.

   • Chiaro: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme. Microsoft Defender per endpoint usa il valore Sicuro.
   • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o alto non sono conformi.
   • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
   • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. I dispositivi con livelli di minaccia alti, medi o bassi sono considerati conformi.

6. Completare la configurazione dei criteri, inclusa l'assegnazione dei criteri ai gruppi applicabili.

Creare e assegnare criteri di protezione delle app per impostare il livello di rischio del dispositivo

Usare la procedura per creare criteri di protezione delle applicazioni per iOS/iPadOS o Android e usare le informazioni seguenti nelle pagine App, Avvio condizionale e Assegnazioni :

• App: selezionare le app di destinazione dei criteri di protezione delle app. Per questo set di funzionalità, le app vengono bloccate o cancellate selettivamente in base alla valutazione dei rischi del dispositivo del fornitore di Mobile Threat Defense scelto.

• Avvio condizionale: sotto Condizioni del dispositivo, usare la casella a discesa per selezionare Massimo livello di minaccia consentito per il dispositivo.

  Opzioni per il Valore del livello di minaccia:

  • Protetto: questo livello è il più sicuro. Nel dispositivo non possono essere presenti minacce per poter accedere alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
  • Basso: il dispositivo è conforme se sono presenti solo minacce di livello basso. In presenza di minacce di livello alto, il dispositivo verrà messo in stato di non conformità.
  • Medio: il dispositivo è conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
  • Alto: questo livello è il meno sicuro e permette tutti i livelli di minaccia, usando Mobile Threat Defense solo a scopo di report. È necessario che nei dispositivi l'app MTD sia attivata con questa impostazione.

  Opzioni per Azione:

  • Blocca accesso
  • Cancella i dati

• Assegnazioni: assegnare i criteri a gruppi di utenti. I dispositivi usati dai membri del gruppo vengono valutati per l'accesso ai dati aziendali nelle app di destinazione tramite la protezione delle app di Intune.

Importante

Se si crea un criterio di protezione per un'app protetta, viene valutato il livello di minaccia del dispositivo. I dispositivi che, a causa del modo in cui sono stati configurati, non soddisfano un livello accettabile, vengono bloccati o cancellati in modo selettivo tramite l'avvio condizionale. Ai dispositivi bloccati, inoltre, viene impedito di accedere alle risorse aziendali fino a quando la minaccia sul dispositivo non viene risolta e segnalata a Intune da parte del fornitore di soluzioni MTD scelto.

Crea i criteri di accesso condizionale

I criteri di accesso condizionale possono usare i dati di Microsoft Defender per endpoint per bloccare l'accesso alle risorse per i dispositivi che superano il livello di minaccia impostato. È possibile bloccare l'accesso dal dispositivo alle risorse aziendali, ad esempio SharePoint o Exchange Online.

Consiglio

L'accesso condizionale è una tecnologia Microsoft Entra. Il nodo Accesso condizionale trovato nell'interfaccia di amministrazione Microsoft Intune è il nodo di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Endpoint security>Conditional access>Create new policy (Crea nuovi criteri). Poiché Intune presenta l'interfaccia utente di creazione dei criteri per l'accesso condizionale dal portale di Azure, l'interfaccia è diversa dal flusso di lavoro di creazione dei criteri che si potrebbe avere familiarità.

3. Immettere un nome di criterio.

4. Per Gli utenti, usare le schede Includi ed Escludi per configurare i gruppi che riceveranno questo criterio.

5. Per Risorse di destinazione, impostare Selezionare l'applicazione di questo criterio alleapp cloud e quindi scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e quindi selezionare Seleziona, cercare e selezionare Office 365 SharePoint Online e Office 365 Exchange Online.

6. In Condizioni selezionare App client e quindi impostare Configura su Sì. Selezionare quindi le caselle di controllo per app browser e per dispositivi mobili e client desktop. Selezionare quindi Fine per salvare la configurazione dell'app client.

7. Per Concedi, configurare questo criterio per l'applicazione in base alle regole di conformità del dispositivo. Ad esempio:

   1. Selezionare Concedi accesso.
   2. Selezionare la casella di controllo Richiedi che il dispositivo sia contrassegnato come conforme.
   3. Selezionare Richiedi tutti i controlli selezionati. Scegliere Seleziona per salvare la configurazione concedi.

8. In Abilita criterio selezionare Sì e quindi Crea per salvare le modifiche.

Passaggi successivi

• Configurare le impostazioni di Microsoft Defender per endpoint in Android
• Monitorare la conformità per i livelli di rischio

Per altre informazioni, vedere la documentazione Intune:

• Usare le attività di sicurezza con Gestione vulnerabilità di Defender per endpoint per correggere i problemi nei dispositivi
• Introduzione ai criteri di conformità dei dispositivi
• Panoramica dei criteri di protezione delle app

Per altre informazioni, vedere la documentazione Microsoft Defender per endpoint:

• accesso condizionale Microsoft Defender per endpoint
• dashboard dei rischi Microsoft Defender per endpoint