Konfigurer betinget tilgang i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne delen veileder deg gjennom alle trinnene du må utføre for å implementere betinget tilgang på riktig måte.

Før du starter

Advarsel

Det er viktig å være oppmerksom på at Microsoft Entra registrerte enheter ikke støttes i dette scenarioet. Bare Intune registrerte enhetene støttes.

Du må kontrollere at alle enhetene dine er registrert i Intune. Du kan bruke ett av følgende alternativer til å registrere enheter i Intune:

• IT-Admin: Hvis du vil ha mer informasjon om hvordan du aktiverer automatisk registrering, kan du se Aktivere automatisk Windows-registrering.
• Sluttbruker: Hvis du vil ha mer informasjon om hvordan du registrerer Windows 10 og Windows 11 enheten i Intune, kan du se Registrere Windows-enheten i Intune.
• Alternativ for sluttbrukere: Hvis du vil ha mer informasjon om å bli med i et Microsoft Entra domene, kan du se Fremgangsmåte: Planlegge implementeringen av Microsoft Entra bli med i.

Det finnes trinn du må utføre i Microsoft Defender-portalen, Intune-portalen og Microsoft Entra administrasjonssenter.

Det er viktig å være oppmerksom på de nødvendige rollene for å få tilgang til disse portalene og implementere betinget tilgang:

• Microsoft Defender portal – Du må logge på portalen med en passende rolle for å aktivere integrering. Se tillatelsesalternativer.
• Intune – Du må logge på portalen med sikkerhetsadministratorrettigheter med administrasjonstillatelser.
• Microsoft Entra administrasjonssenter – Du må logge på som sikkerhetsadministrator eller administrator for betinget tilgang.

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Du trenger et Microsoft Intune miljø med Intune administrerte og Microsoft Entra sammenføyde Windows 10 og Windows 11 enheter.

Følg disse trinnene for å aktivere betinget tilgang:

• Trinn 1: Slå på Microsoft Intune tilkobling fra Microsoft Defender XDR
• Trinn 2: Slå på Defender for Endpoint-integrering i Intune
• Trinn 3: Opprett samsvarspolicyen i Intune
• Trinn 4: Tilordne policyen
• Trinn 5: Opprette en policy for Microsoft Entra betinget tilgang

Trinn 1: Slå på Microsoft Intune tilkobling

1. Velg Innstillinger>endepunkter>Generelle>avanserte funksjoner> i navigasjonsruten Microsoft Intune tilkobling.

2. Sett Microsoft Intune-innstillingen til På.

3. Klikk Lagre innstillinger.

Trinn 2: Slå på Defender for Endpoint-integrering i Intune

1. Logg deg på Intune-portalen

2. Velg Sikkerhet> for endepunkt Microsoft Defender for endepunkt.

3. Sett Koble Windows 10.0.15063+ enheter til å Microsoft Defender Advanced Threat Protection til På.

4. Klikk på Lagre.

Trinn 3: Opprett samsvarspolicyen i Intune

1. Velg Alle tjenester i Azure Portal, filtrer på Intune, og velg Microsoft Intune.

2. VelgPolicyer for>enhetssamsvar>Opprett policy.

3. Skriv inn et navn og en beskrivelse.

4. Velg Windows 10 og nyere i Plattform.

5. I innstillingene for enhetstilstand angir du Krev at enheten er på eller under enhetstrusselnivået til ditt foretrukne nivå:

   • Sikret: Dette nivået er det sikreste. Enheten kan ikke ha noen eksisterende trusler og fortsatt få tilgang til firmaressurser. Hvis det blir funnet trusler, evalueres enheten som ikke-kompatible.
   • Lav: Enheten er kompatibel hvis det bare finnes trusler på lavt nivå. Enheter med middels eller høyt trusselnivå samsvarer ikke.
   • Middels: Enheten er kompatibel hvis truslene på enheten er lave eller mellomstore. Hvis trusler på høyt nivå oppdages, bestemmes enheten som ikke-kompatible.
   • Høy: Dette nivået er det minst sikre, og tillater alle trusselnivåer. Enheter som har høye, middels eller lave trusselnivåer, anses derfor som kompatible.

6. Velg OK, og opprett for å lagre endringene (og opprett policyen).

Trinn 4: Tilordne policyen

1. Velg Alle tjenester i Azure Portal, filtrer på Intune, og velg Microsoft Intune.

2. Velgpolicyer> for enhetssamsvar> for å velge Microsoft Defender for endepunkt samsvarspolicy.

3. Velg oppgaver.

4. Inkluder eller utelat Microsoft Entra-gruppene for å tilordne dem policyen.

5. Hvis du vil distribuere policyen til gruppene, velger du Lagre. Brukerenhetene som er målrettet av policyen, evalueres for samsvar.

Trinn 5: Opprette en policy for Microsoft Entra betinget tilgang

1. Åpne Microsoft Entra ID Conditional Access>New-policyeni>Azure Portal.

2. Skriv inn et policynavn, og velg Brukere og grupper. Bruk alternativene Inkluder eller utelat for å legge til gruppene for policyen, og velg Ferdig.

3. Velg Skyapper, og velg hvilke apper du vil beskytte. Velg for eksempel Velg apper, og velg Office 365 SharePoint Online og Office 365 Exchange Online. Velg Ferdig for å lagre endringene.

4. VelgBetingelser-klientapper> for å bruke policyen på apper og nettlesere. Velg for eksempel Ja, og aktiver deretter nettleser- og mobilapper og skrivebordsklienter. Velg Ferdig for å lagre endringene.

5. Velg Gi for å bruke betinget tilgang basert på enhetssamsvar. Velg for eksempel Gi tilgang>krev enhet for å bli merket som kompatibel. Velg Velg for å lagre endringene.

6. Velg Aktiver policy, og opprett deretter for å lagre endringene.

Obs!

Du kan bruke Microsoft Defender for endepunkt-appen sammen med kontrollene for godkjent klientapp, appbeskyttelsespolicy og kompatibel enhet (krev at enheten er merket som kompatibel) i Microsoft Entra policyer for betinget tilgang. Det kreves ingen utelukkelse for Microsoft Defender for endepunkt-appen når du konfigurerer betinget tilgang. Selv om Microsoft Defender for endepunkt på Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) ikke er en godkjent app, er det i stand til å rapportere enhetens sikkerhetsstilling i alle de tre tillatelsene.

Defender ber imidlertid internt om MSGraph/User.read-omfang og Intune tunnelomfang (i tilfelle Defender+Tunnel-scenarioer). Så disse omfangene må utelates*. Hvis du vil utelate MSGraph/User.read-omfanget, kan alle skyapper utelates. Hvis du vil utelate tunnelomfang, må du utelate «Microsoft Tunnel Gateway». Disse tillatelsene og unntakene aktiverer flyten for samsvarsinformasjon til betinget tilgang.

Hvis du bruker en policy for betinget tilgang på alle skyapper, kan det utilsiktet blokkere brukertilgang i noen tilfeller, så det anbefales ikke. Les mer om policyer for betinget tilgang i skyapper

Hvis du vil ha mer informasjon, kan du se Håndheve samsvar for Microsoft Defender for endepunkt med betinget tilgang i Intune.

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.