Applicare la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune

È possibile integrare Microsoft Defender per endpoint con Microsoft Intune come soluzione Mobile Threat Defense. L'integrazione consente di evitare violazioni della sicurezza e limitare l'impatto delle violazioni all'interno di un'organizzazione.

Microsoft Defender per endpoint funziona con i dispositivi che eseguono:

• Android
• iOS/iPadOS
• Windows 10
• Windows 11
• macOS
• Windows Server 2008 R2
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server Semi-Annual Enterprise Channel
• Windows Server 2019 e versioni successive
• Windows Server 2019 Core Edition
• Windows Server 2022

Per avere successo, si useranno le configurazioni seguenti insieme:

• Stabilire una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Questa connessione consente a Microsoft Defender per endpoint di raccogliere dati sui rischi del computer dai dispositivi supportati gestiti con Intune.
• Usare un profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi con Microsoft Defender per endpoint. È possibile eseguire l'onboarding dei dispositivi per configurarli per comunicare con Microsoft Defender per endpoint e fornire dati che consentono di valutarne il livello di rischio.
• Usare un criterio di conformità dei dispositivi per impostare il livello di rischio che si vuole consentire. I livelli di rischio sono segnalati da Microsoft Defender per endpoint. I dispositivi che superano il livello di rischio consentito vengono identificati come non conformi.
• Usare un criterio di accesso condizionale per impedire agli utenti di accedere alle risorse aziendali da dispositivi non conformi.

Integrando Intune con Microsoft Defender per endpoint, è possibile sfruttare Microsoft Defender per endpoint Threat & Vulnerability Management (TVM) e usare Intune per correggere la debolezza degli endpoint identificata da TVM.

Esempio di uso di Microsoft Defender per endpoint con Intune

L'esempio seguente illustra come queste soluzioni interagiscono per proteggere l'organizzazione. Per questo esempio, Microsoft Defender per endpoint e Intune sono già integrati.

Si consideri un evento in cui un utente invia un allegato di Word con codice dannoso incorporato a un utente all'interno dell'organizzazione.

• L'utente apre l'allegato e abilita il contenuto.
• Viene avviato un attacco con privilegi elevati e un utente malintenzionato da un computer remoto ha diritti di amministratore per il dispositivo della vittima.
• L'utente malintenzionato accede quindi in remoto agli altri dispositivi dell'utente. Questa violazione della sicurezza può influire sull'intera organizzazione.

Microsoft Defender per endpoint consente di risolvere eventi di sicurezza come questo scenario.

• Nell'esempio Microsoft Defender per endpoint rileva che il dispositivo ha eseguito codice anomalo, ha riscontrato un'escalation dei privilegi del processo, ha inserito codice dannoso e ha emesso una shell remota sospetta.
• In base a queste azioni del dispositivo, Microsoft Defender per endpoint classifica il dispositivo come ad alto rischio e include un report dettagliato delle attività sospette nel portale di Microsoft Defender Security Center.

È possibile integrare Microsoft Defender per endpoint con Microsoft Intune come soluzione Mobile Threat Defense. L'integrazione consente di evitare violazioni della sicurezza e limitare l'impatto delle violazioni all'interno di un'organizzazione.

Poiché sono presenti criteri di conformità dei dispositivi di Intune per classificare i dispositivi con un livello di rischio medio o elevato come non conformi, il dispositivo compromesso viene classificato come non conforme. Questa classificazione consente ai criteri di accesso condizionale di attivare e bloccare l'accesso da tale dispositivo alle risorse aziendali.

Per i dispositivi che eseguono Android, è possibile usare i criteri di Intune per modificare la configurazione di Microsoft Defender per endpoint in Android. Per altre informazioni, vedere la protezione web Microsoft Defender per endpoint.

Prerequisiti

Sottoscrizioni:
Per usare Microsoft Defender per endpoint con Intune, è necessario disporre delle sottoscrizioni seguenti:

• Microsoft Defender per endpoint: questa sottoscrizione consente di accedere al Microsoft Defender Security Center (Microsoft Defender XDR).

  Per le opzioni di licenza di Defender per endpoint, vedere Requisiti di licenza in Requisiti minimi per Microsoft Defender per endpoint e Come configurare una sottoscrizione di valutazione Microsoft 365 E5.

• Microsoft Intune: una sottoscrizione Microsoft Intune piano 1 consente l'accesso a Intune e all'interfaccia di amministrazione Microsoft Intune.

  Per le opzioni di licenza di Intune, vedere Microsoft Intune licenze.

Dispositivi gestiti con Intune:
Le piattaforme seguenti sono supportate per Intune con Microsoft Defender per endpoint:

• Android
• iOS/iPadOS
• Windows 10/11 (Microsoft Entra join ibrido o Microsoft Entra aggiunto)

Per i requisiti di sistema per Microsoft Defender per endpoint, vedere Requisiti minimi per Microsoft Defender per endpoint.

Passaggi successivi

• Per connettersi Microsoft Defender per endpoint a Intune, eseguire l'onboarding dei dispositivi e configurare i criteri di accesso condizionale, vedere Configurare Microsoft Defender per endpoint in Intune.

Per altre informazioni, vedere la documentazione di Intune:

• Usare le attività di sicurezza con Gestione vulnerabilità di Defender per endpoint per correggere i problemi nei dispositivi
• Introduzione ai criteri di conformità dei dispositivi

Per altre informazioni, vedere la documentazione Microsoft Defender per endpoint:

• accesso condizionale Microsoft Defender per endpoint
• dashboard dei rischi Microsoft Defender per endpoint