Delen via


Microsoft Defender voor Eindpunt configureren in Intune

Gebruik de informatie en procedures in dit artikel om de integratie van Microsoft Defender voor Eindpunt met Intune te configureren. De configuratie omvat de volgende algemene stappen:

  • Maak een service-naar-service-verbinding tussen Intune en Microsoft Defender voor Eindpunt. Met deze verbinding kunt Microsoft Defender voor Eindpunt gegevens over machinerisico's verzamelen van ondersteunde apparaten die u beheert met Intune. Zie de vereisten voor het gebruik van Microsoft Defender voor Eindpunt met Intune.
  • Gebruik Intune-beleid om apparaten met Microsoft Defender voor Eindpunt te onboarden. U onboardt apparaten om ze te configureren voor communicatie met Microsoft Defender voor Eindpunt en om gegevens te verstrekken die helpen bij het beoordelen van hun risiconiveau.
  • Gebruik Intune nalevingsbeleid voor apparaten om het risiconiveau in te stellen dat u wilt toestaan. Microsoft Defender voor Eindpunt rapporteert een risiconiveau voor apparaten. Apparaten die het toegestane risiconiveau overschrijden, worden geïdentificeerd als niet-compatibel.
  • Gebruik beleid voor voorwaardelijke toegang om te voorkomen dat gebruikers toegang hebben tot bedrijfsresources vanaf apparaten die niet compatibel zijn.
  • Gebruikapp-beveiligingsbeleid voor Android en iOS/iPadOS om risiconiveaus voor apparaten in te stellen. App-beveiliging-beleid werkt met zowel ingeschreven als niet-ingeschreven apparaten.

Naast het beheren van instellingen voor Microsoft Defender voor Eindpunt op apparaten die zijn ingeschreven met Intune, kunt u defender voor eindpunt-beveiligingsconfiguraties beheren op apparaten die niet zijn ingeschreven bij Intune. Dit scenario heet Beveiligingsbeheer voor Microsoft Defender voor Eindpunt en vereist dat de wisselknop Toestaan Microsoft Defender voor Eindpunt om eindpuntbeveiligingsconfiguraties af te dwingen op Aan wordt geconfigureerd. Zie MDE Security Configuration Management voor meer informatie.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Microsoft Defender voor Eindpunt verbinden met Intune

De eerste stap die u uitvoert, is het instellen van de service-naar-service-verbinding tussen Intune en Microsoft Defender voor Eindpunt. Voor instellen is beheerderstoegang vereist tot zowel de Microsoft Defender-beveiligingscentrum als de Intune.

U hoeft Microsoft Defender voor Eindpunt slechts één keer per tenant in te schakelen.

Microsoft Defender voor Eindpunt inschakelen

Open de Microsoft Defender voor Eindpunt-portal op security.microsoft.com. Het Intune-beheercentrum bevat ook een koppeling naar de Defender for Endpoint-portal.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Microsoft Defender voor Eindpunt en selecteer vervolgens De Microsoft Defender-beveiligingscentrum openen.

    Tip

    Als in het Intune beheercentrum de verbindingsstatus boven aan de pagina Microsoft Defender voor Eindpunt al is ingesteld op Ingeschakeld, is de verbinding met Intune al actief en wordt in het beheercentrum verschillende ui-tekst voor de koppeling weergegeven. Selecteer in dit geval De Microsoft Defender voor Eindpunt-beheerconsole openen om de Microsoft Defender voor de portal te openen. Vervolgens kunt u de richtlijnen in de volgende stap gebruiken om te controleren of de Microsoft Intune-verbinding is ingesteld op Aan.

    Schermafbeelding van de patch om de Microsoft Defender-beveiligingscentrum te openen.

  3. In Microsoft Defender portal (voorheen de Microsoft Defender-beveiligingscentrum):

    1. Selecteer Instellingen>Eindpunten>Geavanceerde functies.

    2. Voor Microsoft Intune verbinding kiest u Aan:

      Schermafbeelding van de instelling Microsoft Intune verbinding.

    3. Selecteer Voorkeuren voor opslaan.

    Opmerking

    Zodra de verbinding tot stand is gebracht, worden de services naar verwachting minstens één keer per 24 uur met elkaar gesynchroniseerd. Het aantal dagen zonder synchronisatie totdat de verbinding als niet reageert, kan worden geconfigureerd in het Microsoft Intune-beheercentrum. Selecteer Eindpuntbeveiliging>Microsoft Defender voor Eindpunt>Aantal dagen totdat de partner niet meer reageert

  4. Ga terug naar Microsoft Defender voor Eindpunt pagina in het Microsoft Intune-beheercentrum.

    1. Als u Defender voor Eindpunt wilt gebruiken met nalevingsbeleid, configureert u het volgende onder Evaluatie van nalevingsbeleid voor de platforms die u ondersteunt:

      • Android-apparaten verbinden op Microsoft Defender voor Eindpunt instellen op Aan
      • Stel iOS-/iPadOS-apparaten verbinden op Microsoft Defender voor Eindpunt in op Aan
      • Stel Windows-apparaten verbinden in op Microsoft Defender voor Eindpunt op Aan

      Wanneer deze configuraties Aan zijn, worden toepasselijke apparaten die u beheert met Intune en apparaten die u in de toekomst inschrijft, verbonden met Microsoft Defender voor Eindpunt voor naleving.

      Voor iOS-apparaten ondersteunt Defender voor Eindpunt ook de volgende instellingen die helpen bij de evaluatie van beveiligingsproblemen van apps op Microsoft Defender voor Eindpunt voor iOS. Zie Evaluatie van beveiligingsproblemen van apps configureren voor meer informatie over het gebruik van de volgende twee instellingen.

      • App-synchronisatie inschakelen voor iOS-apparaten: stel deze optie in op Aan om Defender voor Eindpunt toe te staan metagegevens van iOS-toepassingen op te vragen bij Intune voor gebruik voor bedreigingsanalysedoeleinden. Het iOS-apparaat moet via MDM zijn ingeschreven en bijgewerkte app-gegevens opgeven tijdens het inchecken van het apparaat.

      • Volledige toepassingsinventarisgegevens verzenden op iOS-/iPadOS-apparaten in persoonlijk eigendom: met deze instelling worden de toepassingsinventarisatiegegevens bepaald die Intune deelt met Defender voor Eindpunt wanneer Defender voor Eindpunt app-gegevens synchroniseert en de app-inventarislijst aanvraagt.

        Wanneer deze optie is ingesteld op Aan, kan Defender voor Eindpunt een lijst met toepassingen aanvragen bij Intune voor iOS-/iPadOS-apparaten in persoonlijk eigendom. Deze lijst bevat niet-beheerde apps en apps die zijn geïmplementeerd via Intune.

        Als deze optie is ingesteld op Uit, worden er geen gegevens over niet-beheerde apps opgegeven. Intune deelt wel gegevens voor de apps die zijn geïmplementeerd via Intune.

      Zie Mobile Threat Defense wisselknopopties voor meer informatie.

    2. Als u Defender voor Eindpunt wilt gebruiken met app-beveiligingsbeleid voor Android en iOS/iPadOS, configureert u het volgende onder App-beveiliging beleidsevaluatie voor de platforms die u gebruikt:

      • Stel Android-apparaten verbinden in op Microsoft Defender voor Eindpunt op Aan.
      • Stel iOS-/iPadOS-apparaten verbinden in op Microsoft Defender voor Eindpunt op Aan.

    Als u een integratie-Microsoft Defender voor Eindpunt wilt instellen voor de evaluatie van nalevings- en app-beveiligingsbeleid, moet u een rol hebben met lezen en wijzigen voor de machtiging Mobile Threat Defense in Intune. De ingebouwde beheerdersrol Endpoint Security Manager voor Intune bevat deze machtigingen. Zie Mobile Threat Defense wisselknopopties voor meer informatie over instellingen voor MDM-nalevingsbeleid en instellingen voor app-beveiligingsbeleid.

  5. Klik op Opslaan.

Tip

Vanaf de Intune servicerelease van augustus 2023 (2308) worden klassieke beleidsregels voor voorwaardelijke toegang (CA) niet meer gemaakt voor de Microsoft Defender voor Eindpunt-connector. Als uw tenant een klassiek CA-beleid heeft dat eerder is gemaakt voor integratie met Microsoft Defender voor Eindpunt, kan dit worden verwijderd. Als u het klassieke beleid voor voorwaardelijke toegang wilt weergeven, gaat u in Azure naar Microsoft Entra ID>Klassiek beleidvoor voorwaardelijke toegang>.

Onboard-apparaten

Wanneer u ondersteuning voor Microsoft Defender voor Eindpunt inschakelt in Intune, hebt u een service-naar-service-verbinding tot stand gebracht tussen Intune en Microsoft Defender voor Eindpunt. Vervolgens kunt u apparaten die u beheert met Intune onboarden om te Microsoft Defender voor Eindpunt. Onboarding maakt het verzamelen van gegevens over apparaatrisiconiveaus mogelijk.

Wanneer u apparaten onboardt, moet u de meest recente versie van Microsoft Defender voor Eindpunt voor elk platform gebruiken.

Onboard Windows-apparaten

  • Beleid voor eindpuntdetectie en -respons (EDR). De pagina Microsoft Defender voor Eindpunt in het Intune-beheercentrum bevat een koppeling waarmee de werkstroom voor het maken van EDR-beleid rechtstreeks wordt geopend, die deel uitmaakt van eindpuntbeveiliging in Intune.

    Gebruik EDR-beleid om apparaatbeveiliging te configureren zonder de overhead van de grotere hoofdtekst van instellingen in apparaatconfiguratieprofielen. U kunt ook EDR-beleid gebruiken met apparaten die zijn gekoppeld aan tenants. Dit zijn apparaten die u beheert met Configuration Manager.

    Wanneer u EDR-beleid configureert nadat u Intune hebt verbonden met Defender, heeft de beleidsinstelling Microsoft Defender voor Eindpunt clientconfiguratiepakkettype een nieuwe configuratieoptie: Automatisch van connector. Met deze optie krijgt Intune automatisch het onboardingpakket (blob) van uw Defender for Endpoint-implementatie, waardoor het niet meer nodig is om een onboardingpakket handmatig te configureren.

  • Apparaatconfiguratiebeleid. Wanneer u een apparaatconfiguratiebeleid maakt voor het onboarden van Windows-apparaten, selecteert u de sjabloon Microsoft Defender voor Eindpunt. Toen u Intune met Defender hebt verbonden, ontving Intune een onboardingconfiguratiepakket van Defender. Dit pakket wordt door de sjabloon gebruikt om apparaten te configureren om te communiceren met Microsoft Defender voor Eindpunt services en om bestanden te scannen en bedreigingen te detecteren. De onboardingsapparaten rapporteren ook hun risiconiveau aan Microsoft Defender voor Eindpunt op basis van uw nalevingsbeleid. Nadat u een apparaat hebt onboarden met behulp van het configuratiepakket, hoeft u dit niet opnieuw te doen.

  • Groepsbeleid of Microsoft Configuration Manager. Windows-machines onboarden met Microsoft Configuration Manager bevat meer informatie over de Microsoft Defender voor Eindpunt-instellingen.

Tip

Wanneer u meerdere beleidsregels of beleidstypen gebruikt, zoals apparaatconfiguratiebeleid en eindpuntdetectie en antwoordbeleid voor het beheren van dezelfde apparaatinstellingen (zoals onboarding bij Defender voor Eindpunt), kunt u beleidsconflicten voor apparaten maken. Zie Conflicten beheren in het artikel Beveiligingsbeleid beheren voor meer informatie over conflicten.

Het apparaatconfiguratieprofiel maken om Windows-apparaten te onboarden

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Eindpuntdetectie en -respons>Beleid maken.

  3. Selecteer bij PlatformWindows 10, Windows 11 en Windows Server.

  4. Selecteer voor Profieltypede optie Eindpuntdetectie en -respons en selecteer vervolgens Maken.

  5. Voer op de pagina Basisinformatie een naam en beschrijving (optioneel) in voor het profiel en kies vervolgens Volgende.

  6. Configureer op de pagina Configuratie-instellingen de volgende opties voor eindpuntdetectie en -antwoord:

    • Microsoft Defender voor Eindpunt type clientconfiguratiepakket: selecteer Automatisch van connector om het onboardingpakket (blob) van uw Defender for Endpoint-implementatie te gebruiken. Als u onboarding uitvoert naar een andere of niet-verbonden Defender for Endpoint-implementatie, selecteert u Onboarden en plakt u de tekst uit het blobbestand WindowsDefenderATP.onboarding in het veld Onboarding (apparaat).
    • Voorbeeld delen: retourneert of stelt de Microsoft Defender voor Eindpunt configuratieparameter Voorbeeld delen in.
    • [Afgeschaft] Frequentie van telemetrierapportage: Voor apparaten die een hoog risico lopen, schakelt u deze instelling in, zodat telemetrie vaker wordt gerapporteerd aan de Microsoft Defender voor Eindpunt-service.

    Schermafbeelding van de configuratieopties voor Eindpuntdetectie en -antwoord.

    Opmerking

    In de voorgaande schermopname ziet u uw configuratieopties nadat u een verbinding tussen Intune en Microsoft Defender voor Eindpunt hebt geconfigureerd. Wanneer de verbinding is gemaakt, worden de details voor de onboarding- en offboarding-blobs automatisch gegenereerd en overgebracht naar Intune.

    Als u deze verbinding niet hebt geconfigureerd, bevat de instelling Microsoft Defender voor Eindpunt clientconfiguratiepakket alleen opties voor het opgeven van onboard- en offboard-blobs.

  7. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  8. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Wanneer u implementeert in gebruikersgroepen, moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is en kan het apparaat onboarden naar Defender for Endpoint.

    Selecteer Volgende.

  9. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt. OK en vervolgens Maken om uw wijzigingen op te slaan, waardoor het profiel wordt gemaakt.

MacOS-apparaten onboarden

Nadat u de service-naar-service-verbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u macOS-apparaten onboarden voor Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Microsoft Defender Endpoint, dat vervolgens gegevens verzamelt over het risiconiveau van apparaten.

Zie Microsoft Defender voor Eindpunt voor macOS voor configuratierichtlijnen voor Intune.

Zie Microsoft Defender voor Eindpunt voor Mac in de microsoft 365-beveiligingsdocumentatie voor meer informatie over Microsoft Defender voor Eindpunt voor Mac en wat er nieuw is in de nieuwste release.

Android-apparaten onboarden

Nadat u de service-naar-serviceverbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u Android-apparaten onboarden naar Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Defender voor Eindpunt, dat vervolgens gegevens verzamelt over het risiconiveau van de apparaten.

Er is geen configuratiepakket voor apparaten met Android. Zie in plaats daarvan Overzicht van Microsoft Defender voor Eindpunt voor Android in de documentatie voor Microsoft Defender voor Eindpunt voor de vereisten en onboarding-instructies voor Android.

Voor apparaten met Android kunt u ook Intune-beleid gebruiken om Microsoft Defender voor Eindpunt op Android te wijzigen. Zie Microsoft Defender voor Eindpunt webbeveiliging voor meer informatie.

iOS-/iPadOS-apparaten onboarden

Nadat u de service-naar-serviceverbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u iOS-/iPadOS-apparaten onboarden naar Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Defender voor Eindpunt, dat vervolgens gegevens verzamelt over het risiconiveau van de apparaten.

Er is geen configuratiepakket voor apparaten waarop iOS/iPadOS wordt uitgevoerd. Zie in plaats daarvan Overzicht van Microsoft Defender voor Eindpunt voor iOS in de Microsoft Defender voor Eindpunt documentatie voor vereisten en onboarding-instructies voor iOS/iPadOS.

Voor apparaten waarop iOS/iPadOS (in de supervisiemodus) wordt uitgevoerd, is er speciale mogelijkheid gezien de verbeterde beheermogelijkheden die het platform biedt op deze typen apparaten. Als u van deze mogelijkheden wilt profiteren, moet de Defender-app weten of een apparaat zich in de supervisiemodus bevindt. met Intune kunt u de Defender voor iOS-app configureren via een App Configuration-beleid (voor beheerde apparaten) dat als best practice moet worden gericht op alle iOS-apparaten. Zie Implementatie voor apparaten onder supervisie voltooien voor meer informatie.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apps>App-configuratiebeleid>+ Toevoegen en selecteer vervolgensBeheerde apparaten in de vervolgkeuzelijst.

  3. Voer op de pagina Basisinformatie een Naam en Beschrijving (optioneel) in voor het profiel, selecteer Platform als iOS/iPadOS en kies Volgende.

  4. Selecteer Doel-app als Microsoft Defender voor iOS.

  5. Stel op de pagina Instellingen de configuratiesleutel in als issupervised en vervolgens Waardetype als tekenreeks met {{issupervised}} als de waarde Configuratie.

  6. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  7. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Voor dit scenario is het een best practice om alle apparaten te targeten. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Bij het implementeren van beleid voor gebruikersgroepen moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is.

    Selecteer Volgende.

  8. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst met configuratieprofielen.

Verder heeft het Defender voor iOS-team voor iOS/iPadOS (in de supervisiemodus) een aangepast .mobileconfig-profiel beschikbaar gesteld voor implementatie op iPad-/iOS-apparaten. Het .mobileconfig-profiel wordt gebruikt om netwerkverkeer te analyseren om een veilige browse-ervaring te garanderen, een functie van Defender voor iOS.

  1. Download het .mobile-profiel, dat hier wordt gehost: https://aka.ms/mdatpiossupervisedprofile.

  2. Meld je aan bij het Microsoft Intune-beheercentrum.

  3. Selecteer Apparaten>Apparaten configureren>Op> het tabblad Beleid selecteert u + Maken.

  4. Selecteer bij Platformde optie iOS/iPadOS

  5. Selecteer bij Profieltypede optie Aangepast en selecteer vervolgens Maken.

  6. Voer op de pagina Basisinformatie een naam en beschrijving (optioneel) in voor het profiel en kies vervolgens Volgende.

  7. Voer een configuratieprofielnaam in en selecteer een .mobileconfig bestand dat u wilt uploaden.

  8. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  9. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Voor dit scenario is het een best practice om alle apparaten te targeten. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Wanneer u implementeert in gebruikersgroepen, moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is.

    Selecteer Volgende.

  10. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst met configuratieprofielen.

Het aantal apparaten weergeven dat is voorbereid op Microsoft Defender voor Eindpunt

Als u de onboarded apparaten vanuit Microsoft Defender voor Eindpunt op de pagina Microsoft Defender voor Eindpunt connector wilt weergeven, hebt u een Intune rol nodig die Lezen bevat voor de Microsoft Defender Advanced Threat Beveiligingsmachtiging.

Voorbeeldweergave van het onboarded apparaatrapport.

Nalevingsbeleid maken en toewijzen om het risiconiveau van het apparaat in te stellen

Voor Android-, iOS-/iPadOS- en Windows-apparaten bepaalt het nalevingsbeleid het risiconiveau dat u als acceptabel beschouwt voor een apparaat.

Als u niet bekend bent met het maken van nalevingsbeleid, raadpleegt u de procedure Een beleid maken in het artikel Een nalevingsbeleid maken in Microsoft Intune artikel. De volgende informatie is specifiek voor het configureren van Microsoft Defender voor Eindpunt als onderdeel van een nalevingsbeleid.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>. Selecteer op het tabblad Beleidde optie + Beleid maken.

  3. Gebruik voor Platform de vervolgkeuzelijst om een van de volgende opties te selecteren:

    • Android apparaatbeheerder
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 en hoger

    Selecteer vervolgens Maken.

  4. Geef op het tabblad Basisinformatie een naam op waarmee u dit beleid later kunt identificeren. U kunt er ook voor kiezen om een beschrijving op te geven.

  5. Vouw op het tabblad Nalevingsinstellingen de categorie Microsoft Defender voor Eindpunt uit en stel de optie Vereisen dat het apparaat op of onder de risicoscore van de machine moet staan in op het gewenste niveau.

    Classificaties op bedreigingsniveau worden bepaald door Microsoft Defender voor Eindpunt.

    • Duidelijk: dit niveau is het veiligste. Het apparaat kan geen bestaande bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsbronnen. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel. (Microsoft Defender voor Eindpunt gebruikt de waarde Veilig.)
    • Laag: het apparaat is compatibel als er alleen bedreigingen op laag niveau bestaan. Apparaten met een gemiddeld of hoog bedreigingsniveau zijn niet compatibel.
    • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
    • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe. Apparaten met een hoog, gemiddeld of laag bedreigingsniveau worden beschouwd als compatibel.
  6. Voltooi de configuratie van het beleid, inclusief de toewijzing van het beleid aan toepasselijke groepen.

App-beveiligingsbeleid maken en toewijzen om het risiconiveau van het apparaat in te stellen

Gebruik de procedure om een toepassingsbeveiligingsbeleid te maken voor iOS/iPadOS of Android en gebruik de volgende informatie op de pagina's Apps, Voorwaardelijk starten en Toewijzingen :

  • Apps: selecteer de apps waarop u het app-beveiligingsbeleid wilt toepassen. Voor deze functieset worden deze apps geblokkeerd of selectief gewist op basis van apparaatrisico-evaluatie van de door u gekozen Mobile Threat Defense-leverancier.

  • Voorwaardelijk starten: gebruik onder Apparaatvoorwaarden de vervolgkeuzelijst om Maximaal toegestaan bedreigingsniveau voor apparaten te selecteren.

    Opties voor de waarde van het bedreigingsniveau:

    • Beveiligd: dit niveau is het veiligste niveau. Het apparaat kan geen bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsbronnen. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel.
    • Laag: het apparaat is compatibel als er alleen bedreigingen van een laag niveau aanwezig zijn. Alles wat hoger is, plaatst het apparaat in een niet-compatibele status.
    • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
    • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe, waarbij Mobile Threat Defense alleen wordt gebruikt voor rapportagedoeleinden. Op apparaten moet de MTD-app zijn geactiveerd met deze instelling.

    Opties voor actie:

    • Toegang blokkeren
    • Gegevens wissen
  • Toewijzingen: wijs het beleid toe aan groepen gebruikers. De apparaten die door de leden van de groep worden gebruikt, worden geëvalueerd op toegang tot bedrijfsgegevens op doel-apps via Intune app-beveiliging.

Belangrijk

Als u een app-beveiligingsbeleid maakt voor een beveiligde app, wordt het bedreigingsniveau van het apparaat beoordeeld. Afhankelijk van de configuratie worden apparaten die niet aan een acceptabel niveau voldoen, geblokkeerd of selectief gewist via voorwaardelijke start. Als ze worden geblokkeerd, hebben ze geen toegang tot bedrijfsresources totdat de bedreiging op het apparaat is opgelost en gerapporteerd aan Intune door de gekozen MTD-leverancier.

Een beleid voor voorwaardelijke toegang maken

Beleid voor voorwaardelijke toegang kan gegevens uit Microsoft Defender voor Eindpunt gebruiken om de toegang tot resources te blokkeren voor apparaten die het bedreigingsniveau overschrijden dat u hebt ingesteld. U kunt de toegang van het apparaat tot bedrijfsresources, zoals SharePoint of Exchange Online, blokkeren.

Tip

Voorwaardelijke toegang is een Microsoft Entra-technologie. Het knooppunt voor voorwaardelijke toegang in het Microsoft Intune-beheercentrum is het knooppunt van Microsoft Entra.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken. Omdat Intune de gebruikersinterface voor het maken van beleid voor voorwaardelijke toegang vanuit de Azure Portal presenteert, is de interface anders dan de werkstroom voor het maken van beleid waarmee u mogelijk bekend bent.

  3. Voer een beleidsnaam in.

  4. Gebruik voor Gebruikers de tabbladen Opnemen en Uitsluiten om groepen te configureren die dit beleid ontvangen.

  5. Voor Doelresources stelt u Selecteren waarop dit beleid van toepassing is opcloud-apps in en kiest u vervolgens welke apps u wilt beveiligen. Kies bijvoorbeeld Apps selecteren en zoek en selecteer vervolgens Office 365 SharePoint Online en Office 365 Exchange Online.

  6. Bij Voorwaarden selecteert u Client-apps en stelt u configureren in op Ja. Schakel vervolgens de selectievakjes voor browser- en mobiele apps en desktopclients in. Selecteer vervolgens Gereed om de configuratie van de client-app op te slaan.

  7. Voor Verlenen configureert u dit beleid om toe te passen op basis van nalevingsregels voor apparaten. Bijvoorbeeld:

    1. Selecteer Toegang verlenen.
    2. Schakel het selectievakje in voor Vereisen dat het apparaat is gemarkeerd als compatibel.
    3. Selecteer Alle geselecteerde besturingselementen vereisen. Kies Selecteren om de toekenningsconfiguratie op te slaan.
  8. Voor Beleid inschakelen selecteert u Aan en vervolgens Maken om uw wijzigingen op te slaan.

Volgende stappen

Meer informatie in de documentatie voor Intune:

Meer informatie in de documentatie voor Microsoft Defender voor Eindpunt: