Configurare l'accesso condizionale in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questa sezione illustra tutti i passaggi necessari per implementare correttamente l'accesso condizionale.

Prima di iniziare

Avviso

È importante notare che Microsoft Entra dispositivi registrati non è supportato in questo scenario.
Sono supportati solo Intune dispositivi registrati.

È necessario assicurarsi che tutti i dispositivi siano registrati in Intune. È possibile usare una delle opzioni seguenti per registrare i dispositivi in Intune:

• AMMINISTRAZIONE IT: per altre informazioni su come abilitare la registrazione automatica, vedere Registrazione di Windows
• Utente finale: per altre informazioni su come registrare il dispositivo Windows 10 e Windows 11 in Intune, vedere Registrare il dispositivo Windows 10 in Intune
• Alternativa all'utente finale: per altre informazioni sull'aggiunta a un dominio Microsoft Entra, vedere Procedura: Pianificare l'implementazione del join Microsoft Entra.

È necessario eseguire alcuni passaggi in Microsoft Defender XDR, nel portale di Intune e in Interfaccia di amministrazione di Microsoft Entra.

È importante prendere nota dei ruoli necessari per accedere a questi portali e implementare l'accesso condizionale:

• Microsoft Defender XDR: è necessario accedere al portale con un ruolo di amministratore globale per attivare l'integrazione.
• Intune: è necessario accedere al portale con diritti di amministratore della sicurezza con autorizzazioni di gestione.
• Interfaccia di amministrazione di Microsoft Entra: è necessario accedere come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

Nota

È necessario un ambiente Microsoft Intune, con Intune dispositivi gestiti e Microsoft Entra aggiunti Windows 10 e Windows 11.

Seguire questa procedura per abilitare l'accesso condizionale:

• Passaggio 1: Attivare la connessione Microsoft Intune da Microsoft Defender XDR
• Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune
• Passaggio 3: Create i criteri di conformità in Intune
• Passaggio 4: Assegnare i criteri
• Passaggio 5: Create un criterio di accesso condizionale Microsoft Entra

Passaggio 1: Attivare la connessione Microsoft Intune

1. Nel riquadro di spostamento selezionare Impostazioni Endpoint>>Funzionalità>avanzate generali>Microsoft Intune connessione.
2. Attivare o disattivare l'impostazione Microsoft Intune su Sì.
3. Fare clic su Salva preferenze.

Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune

1. Accedere al portale di Intune
2. Selezionare Endpoint Security>Microsoft Defender per endpoint.
3. Impostare Connect Windows 10.0.15063+ devices (Connetti Windows 10.0.15063+ dispositivi) su Microsoft Defender Advanced Threat Protection su Sì.
4. Fare clic su Salva.

Passaggio 3: Create i criteri di conformità in Intune

1. Nel portale di Azure selezionare Tutti i servizi, filtrare in base a Intune e selezionare Microsoft Intune.

2. Selezionare Criteri di conformità>del> dispositivo Create criteri.

3. Immettere un nome e una descrizione.

4. In Piattaforma selezionare Windows 10 e versioni successive.

5. Nelle impostazioni Integrità dispositivo impostare Richiedi che il dispositivo sia al livello di minaccia del dispositivo o sotto il livello di minaccia del dispositivo sul livello preferito:

   • Protetto: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
   • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o elevato non sono conformi.
   • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
   • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. Pertanto, i dispositivi con livelli di minaccia elevati, medi o bassi sono considerati conformi.

6. Selezionare OK e Create per salvare le modifiche e creare i criteri.

Passaggio 4: Assegnare i criteri

1. Nel portale di Azure selezionare Tutti i servizi, filtrare in base a Intune e selezionare Microsoft Intune.
2. Selezionare Criteri di conformità>del> dispositivo selezionare i criteri di conformità Microsoft Defender per endpoint.
3. Selezionare Attività.
4. Includere o escludere i gruppi di Microsoft Entra per assegnare i criteri.
5. Per distribuire i criteri ai gruppi, selezionare Salva. I dispositivi utente di destinazione dei criteri vengono valutati per la conformità.

Passaggio 5: Create un criterio di accesso condizionale Microsoft Entra

1. Nel portale di Azure aprire Microsoft Entra ID>Condizione nuovo criterio di accesso> condizionale.

2. Immettere un nome di criterio e selezionare Utenti e gruppi. Usare le opzioni Includi o Escludi per aggiungere i gruppi per i criteri e selezionare Fine.

3. Selezionare App cloud e scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e selezionare Office 365 SharePoint Online e Office 365 Exchange Online. Selezionare Fine per salvare le modifiche.

4. Selezionare Condizioni>App client per applicare i criteri ad app e browser. Ad esempio, selezionare Sì, quindi abilitare Browser e App per dispositivi mobili e client desktop. Selezionare Fine per salvare le modifiche.

5. Selezionare Concedi per applicare l'accesso condizionale in base alla conformità del dispositivo. Ad esempio, selezionare Concedi accesso>Richiedi che il dispositivo sia contrassegnato come conforme. Scegliere Seleziona per salvare le modifiche.

6. Selezionare Abilita criterio e quindi Create per salvare le modifiche.

Nota

È possibile usare l'app Microsoft Defender per endpoint insieme all'app client approvata, ai criteri di protezione delle app e ai controlli Dispositivo conforme (Richiedi che il dispositivo sia contrassegnato come conforme) nei criteri di accesso condizionale Microsoft Entra. Non è necessaria alcuna esclusione per l'app Microsoft Defender per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft Defender per endpoint in Android & iOS (ID app - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) non è un'app approvata, è in grado di segnalare il comportamento di sicurezza del dispositivo in tutte e tre le autorizzazioni di concessione.

Defender richiede tuttavia internamente l'ambito MSGraph/User.read e Intune ambito tunnel (nel caso di scenari Defender+Tunnel). Questi ambiti devono quindi essere esclusi*. Per escludere l'ambito MSGraph/User.read, è possibile escludere qualsiasi app cloud. Per escludere l'ambito del tunnel, è necessario escludere "Microsoft Tunnel Gateway". Queste autorizzazioni ed esclusioni abilitano il flusso per le informazioni di conformità all'accesso condizionale.

*Si noti che l'applicazione di criteri di accesso condizionale a tutte le app cloud potrebbe bloccare inavvertitamente l'accesso utente in alcuni casi, quindi non è consigliabile. Altre informazioni sui criteri di accesso condizionale nelle app cloud

Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.