Configurare l'accesso condizionale in Microsoft Defender per endpoint

Questa sezione illustra tutti i passaggi necessari per implementare correttamente l'accesso condizionale.

Prima di iniziare

Avviso

È importante notare che Microsoft Entra dispositivi registrati non sono supportati in questo scenario. Sono supportati solo Intune dispositivi registrati.

È necessario assicurarsi che tutti i dispositivi siano registrati in Intune. È possibile usare una delle opzioni seguenti per registrare i dispositivi in Intune:

• IT Amministrazione: per altre informazioni su come abilitare la registrazione automatica, vedere Abilitare la registrazione automatica di Windows.
• Utente finale: per altre informazioni su come registrare il dispositivo Windows 10 e Windows 11 in Intune, vedi Registrare il dispositivo Windows in Intune.
• Alternativa all'utente finale: per altre informazioni sull'aggiunta a un dominio Microsoft Entra, vedere Procedura: Pianificare l'implementazione del join Microsoft Entra.

È necessario eseguire alcuni passaggi nel portale di Microsoft Defender, nel portale di Intune e nella Interfaccia di amministrazione di Microsoft Entra.

È importante prendere nota dei ruoli necessari per accedere a questi portali e implementare l'accesso condizionale:

• Microsoft Defender portale: è necessario accedere con un ruolo appropriato per attivare l'integrazione. Vedere Opzioni di autorizzazione.
• Microsoft Intune'interfaccia di amministrazione: è necessario accedere con i diritti di amministratore della sicurezza con autorizzazioni di gestione.
• Interfaccia di amministrazione di Microsoft Entra: è necessario accedere come amministratore della sicurezza o dell'accesso condizionale.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

È necessario un ambiente Microsoft Intune con Intune dispositivi Windows 10 e Windows 11 gestiti e Microsoft Entra aggiunti.

Seguire questa procedura per abilitare l'accesso condizionale come descritto in questo articolo:

1. Attivare la connessione Microsoft Intune nel portale di Microsoft Defender.
2. Attivare l'integrazione di Defender per endpoint nell'interfaccia di amministrazione Microsoft Intune.
3. Creare e assegnare i criteri di conformità in Intune.
4. Creare un criterio di accesso condizionale Microsoft Entra.

Passaggio 1: Attivare la connessione Microsoft Intune

Nel portale di Microsoft Defender in https://security.microsoft.compassare aFunzionalitàavanzate generali>degli endpoint di>impostazioni> di sistema>. In alternativa, per passare direttamente alla pagina Funzionalità avanzate , usare https://security.microsoft.com/securitysettings/endpoints/integration.

Nella pagina Funzionalità avanzate verificare che l'impostazione di connessione Microsoft Intune sia attivata. Se necessario, scorrere l'interruttore su Sì e quindi selezionare Salva preferenze.

Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune

1. Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.comselezionare La sezione >Configurazionesicurezza> endpoint Microsoft Defender per endpoint. In alternativa, per passare direttamente alla sicurezza degli endpoint | Microsoft Defender per endpoint pagina usare https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/atp.

2. Nella sicurezza degli endpoint | Microsoft Defender per endpoint pagina, nella sezione Valutazione dei criteri di conformità, scorrere l'interruttore Connetti dispositivi Windows versione 10.0.15063 e successive per Microsoft Defender per endpointattiva/disattiva.

3. Selezionare Salva nella parte superiore della pagina.

Passaggio 3: Creare e assegnare i criteri di conformità in Intune

1. Nell'interfaccia di amministrazione Microsoft Intune in https://intune.microsoft.compassare alla sezione >Dispositivi>Gestisci dispositiviConformità. Oppure, per passare direttamente ai dispositivi | Pagina Conformità , usare https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.

2. Nella scheda Criteri dei dispositivi | Pagina Conformità selezionare Crea criterio.

3. Nel riquadro a comparsa Crea un criterio aperto configurare le impostazioni seguenti:

   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Windows 10/11 criteri di conformità.

   Selezionare Crea.

4. Verrà visualizzata la procedura guidata dei criteri di conformità Windows 10/11. Nella scheda Informazioni di base configurare le impostazioni seguenti:

   • Nome: immettere un nome univoco descrittivo per il criterio.
   • Descrizione: immettere una descrizione facoltativa.

   Seleziona Avanti.

5. Nella scheda Impostazioni di conformità espandere Microsoft Defender per endpoint. Impostare Richiedi che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo al livello preferito:

   • Chiaro: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
   • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o elevato non sono conformi.
   • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
   • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. Pertanto, i dispositivi con livelli di minaccia elevati, medi o bassi sono considerati conformi.

   Seleziona Avanti.

6. Nella scheda Azioni per la non conformità sono già configurate le impostazioni seguenti e non è possibile modificarle:

   • Azione: contrassegnare il dispositivo non conforme.
   • Pianificazione (giorni dopo la mancata conformità): immediatamente.

   È possibile aggiungere le azioni seguenti:

   • Inviare un messaggio di posta elettronica all'utente finale: sono disponibili le opzioni seguenti:

     • Pianificazione (giorni dopo la mancata conformità): il valore predefinito è 0, ma è possibile immettere un valore diverso fino a 365.
     • Modello di messaggio: selezionare Nessuno selezionato per trovare e selezionare un modello.
     • Destinatari aggiuntivi (tramite posta elettronica): selezionare Nessuno selezionato per trovare e selezionare Microsoft Entra gruppi da notificare.

   • Aggiungere un dispositivo per ritirare l'elenco: l'unica opzione disponibile è Pianificazione (giorni dopo la mancata conformità): il valore predefinito è 0, ma è possibile immettere un valore diverso fino a 365.

   Per eliminare un'azione, selezionare ...>Eliminare nella voce. Potrebbe essere necessario usare la barra di scorrimento orizzontale per visualizzare ....

   Al termine, nella scheda Azioni per la non conformità selezionare Avanti.

7. Nella scheda Assegnazioni configurare le impostazioni seguenti:

   • Sezione Gruppi inclusi : selezionare una delle opzioni seguenti:
     • Aggiungi gruppi: selezionare uno o più gruppi da includere.
     • Aggiungere tutti gli utenti
     • Aggiungere tutti i dispositivi
   • Gruppi esclusi: selezionare Aggiungi gruppi per specificare i gruppi da escludere.

   Al termine della scheda Assegnazioni , selezionare Avanti.

8. Nella scheda Rivedi e crea esaminare le impostazioni e quindi selezionare Crea.

Passaggio 4: Creare un criterio di accesso condizionale Microsoft Entra

Consiglio

La procedura seguente richiede il ruolo di amministratore dell'accesso condizionale in Microsoft Entra ID.

1. Nell'interfaccia di amministrazione di Microsoft Intune in https://intune.microsoft.compassare alla sezione >ID EntraAccesso condizionale. Oppure, per passare direttamente all'accesso condizionale | Pagina Panoramica , usare https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview/menuId//fromNav/Identity.

2. Nell'accesso condizionale | Pagina Panoramica, selezionare Criteri. Oppure per passare direttamente all'accesso condizionale | Pagina Criteri , usare https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identity.

3. Nell'accesso condizionale | Pagina Criteri selezionare Nuovo criterio.

4. Configurare le impostazioni seguenti nella pagina Nuovi criteri di accesso condizionale visualizzata:

   • Nome: immettere un nome descrittivo univoco.

   • Sezione Assegnazioni : Configurare le impostazioni seguenti:

     • Utenti, agenti o identità del carico di lavoro: selezionare il collegamento e quindi configurare le impostazioni seguenti visualizzate:
       • A cosa si applica questo criterio?: Selezionare Utenti e gruppi
       • Scheda Includi : selezionare Tutti gli utenti.
       • Scheda Escludi :
       • Selezionare Utenti e gruppi, quindi trovare e selezionare gli account di amministratore di emergenza dell'organizzazione.
       • Se si usano soluzioni di identità ibride come Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync, selezionare Ruoli directory e quindi selezionare Account di sincronizzazione directory.
     • Risorse di destinazione: selezionare il collegamento e quindi configurare le impostazioni seguenti visualizzate:
       • Selezionare a cosa si applica questo criterio: Verificare che sia selezionata l'opzione Verifica risorse (in precedenza app cloud).
       • Scheda Includi : selezionare Tutte le risorse (in precedenza "Tutte le app cloud").

   • Sezione Controlli di accesso : Configurare le impostazioni seguenti:

     • Concedi: selezionare il collegamento e quindi configurare le impostazioni seguenti nel riquadro a comparsa Concedi visualizzato:

       • Verificare che l'opzione Concedi accesso sia selezionata e quindi selezionare Richiedi che il dispositivo sia contrassegnato come conforme.

         Al termine del riquadro a comparsa Concedi , selezionare Seleziona.

   • Sezione Abilita criteri : verificare che sia selezionata l'opzione Solo report .

   Al termine della pagina Nuovi criteri di accesso condizionale , selezionare Crea.

5. Dopo aver confermato le impostazioni usando l'impatto sui criteri o la modalità solo report, modificare l'impostazione Abilita criteri nel criterio da Solo report a Attivato:

   Per modificare i criteri, passare all'accesso condizionale | Pagina Criteri in https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identityselezionare i criteri nell'elenco facendo clic sul valore Nome criterio . Nella scheda Dettagli criteri del riquadro a comparsa dettagli visualizzato selezionare Modifica.

Nota

È possibile usare l'app Microsoft Defender per endpoint insieme all'app client approvata, ai criteri di protezione delle app e ai controlli Dispositivo conforme (Richiedi che il dispositivo sia contrassegnato come conforme) nei criteri di accesso condizionale Microsoft Entra. Non è necessaria alcuna esclusione per l'app Microsoft Defender per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft Defender per endpoint in Android & iOS (ID dd47d17a-3194-4d86-bfd5-c6ae6f5651e3app ) non è un'app approvata, può segnalare il comportamento di sicurezza del dispositivo in tutte e tre le autorizzazioni di concessione.

Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune.