Voorwaardelijke toegang configureren in Microsoft Defender voor Eindpunt

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In deze sectie wordt u begeleid bij alle stappen die u moet uitvoeren om voorwaardelijke toegang correct te implementeren.

Voordat u begint

Waarschuwing

Het is belangrijk om te weten dat geregistreerde Microsoft Entra-apparaten in dit scenario niet worden ondersteund.
Alleen door Intune ingeschreven apparaten worden ondersteund.

U moet ervoor zorgen dat al uw apparaten zijn ingeschreven bij Intune. U kunt een van de volgende opties gebruiken om apparaten in Te schrijven bij Intune:

• IT-beheerder: Zie Windows-inschrijving voor meer informatie over het inschakelen van automatische inschrijving
• Eindgebruiker: Zie Uw Windows 10-apparaat inschrijven bij Intune voor meer informatie over het inschrijven van uw Windows 10- en Windows 11-apparaat bij Intune
• Alternatief voor eindgebruikers: Zie How to: Plan your Microsoft Entra join implementation (Procedure: uw Microsoft Entra-implementatie plannen) voor meer informatie over het toevoegen van een Microsoft Entra-domein.

Er zijn stappen die u moet uitvoeren in de Microsoft Defender-portal, de Intune-portal en het Microsoft Entra-beheercentrum.

Het is belangrijk om de vereiste rollen te noteren voor toegang tot deze portals en het implementeren van voorwaardelijke toegang:

• Microsoft Defender-portal : u moet zich aanmelden bij de portal met de rol Globale beheerder om de integratie in te schakelen.
• Intune : u moet zich aanmelden bij de portal met beveiligingsbeheerdersrechten met beheermachtigingen.
• Microsoft Entra-beheercentrum : u moet zich aanmelden als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Opmerking

U hebt een Microsoft Intune-omgeving nodig, met Door Intune beheerde en Microsoft Entra-gekoppelde Windows 10- en Windows 11-apparaten.

Voer de volgende stappen uit om voorwaardelijke toegang in te schakelen:

• Stap 1: De Microsoft Intune-verbinding vanuit Microsoft Defender XDR inschakelen
• Stap 2: De integratie van Defender voor Eindpunt in Intune inschakelen
• Stap 3: het nalevingsbeleid maken in Intune
• Stap 4: het beleid toewijzen
• Stap 5: Een Microsoft Entra-beleid voor voorwaardelijke toegang maken

Stap 1: De Microsoft Intune-verbinding inschakelen

1. Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Algemene>geavanceerde functies>Microsoft Intune-verbinding.

2. Zet de Microsoft Intune-instelling op Aan.

3. Klik op Voorkeuren voor opslaan.

Stap 2: De integratie van Defender voor Eindpunt in Intune inschakelen

1. Aanmelden bij de Intune-portal

2. Selecteer Endpoint Security>Microsoft Defender voor Eindpunt.

3. Stel Windows 10.0.15063+-apparaten verbinden met Microsoft Defender Advanced Threat Protection in op Aan.

4. Klik op Opslaan.

Stap 3: het nalevingsbeleid maken in Intune

1. Selecteer in Azure PortalAlle services, filter op Intune en selecteer Microsoft Intune.

2. Selecteer Apparaatnalevingsbeleid>>Beleid maken.

3. Voer een naam en beschrijving in.

4. Selecteer in Platformde optie Windows 10 en hoger.

5. Stel in de instellingen voor apparaatstatusvereisen dat het apparaat zich op of onder het bedreigingsniveau van het apparaat bevindt in op het gewenste niveau:

   • Beveiligd: dit niveau is het veiligste niveau. Het apparaat kan geen bestaande bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsresources. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel.
   • Laag: het apparaat is compatibel als er alleen bedreigingen op laag niveau bestaan. Apparaten met een gemiddeld of hoog bedreigingsniveau zijn niet compatibel.
   • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
   • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe. Apparaten met een hoog, gemiddeld of laag bedreigingsniveau worden dus beschouwd als compatibel.

6. Selecteer OK en Maken om uw wijzigingen op te slaan (en het beleid te maken).

Stap 4: het beleid toewijzen

1. Selecteer in Azure PortalAlle services, filter op Intune en selecteer Microsoft Intune.

2. Selecteer Apparaatnalevingsbeleid>> selecteer uw Nalevingsbeleid voor Microsoft Defender voor Eindpunt.

3. Kies Opdrachten.

4. Neem uw Microsoft Entra-groepen op of sluit deze uit om het beleid toe te wijzen.

5. Als u het beleid wilt implementeren in de groepen, selecteert u Opslaan. De gebruikersapparaten waarop het beleid betrekking heeft, worden beoordeeld op naleving.

Stap 5: Een Microsoft Entra-beleid voor voorwaardelijke toegang maken

1. Open in Azure PortalMicrosoft Entra ID>Voor voorwaardelijke toegang>Nieuw beleid.

2. Voer een beleidsnaam in en selecteer Gebruikers en groepen. Gebruik de opties Opnemen of Uitsluiten om uw groepen toe te voegen voor het beleid en selecteer Gereed.

3. Selecteer Cloud-apps en kies welke apps u wilt beveiligen. Kies bijvoorbeeld Apps selecteren en selecteer Office 365 SharePoint Online en Office 365 Exchange Online. Selecteer Gereed om uw wijzigingen op te slaan.

4. Selecteer Voorwaarden>Client-apps om het beleid toe te passen op apps en browsers. Selecteer bijvoorbeeld Ja en schakel browser - en mobiele apps en desktopclients in. Selecteer Gereed om uw wijzigingen op te slaan.

5. Selecteer Verlenen om voorwaardelijke toegang toe te passen op basis van apparaatcompatibiliteit. Selecteer bijvoorbeeld Toegang> verlenenVereisen dat apparaat is gemarkeerd als compatibel. Kies Selecteren om uw wijzigingen op te slaan.

6. Selecteer Beleid inschakelen en vervolgens Maken om uw wijzigingen op te slaan.

Opmerking

U kunt de app Microsoft Defender voor Eindpunt gebruiken in combinatie met de besturingselementen Goedgekeurde client-app , App-beveiligingsbeleid en Compatibel apparaat (vereisen dat het apparaat als compatibel moet worden gemarkeerd) in het Microsoft Entra-beleid voor voorwaardelijke toegang. Er is geen uitsluiting vereist voor de Microsoft Defender voor Eindpunt-app tijdens het instellen van voorwaardelijke toegang. Hoewel Microsoft Defender voor Eindpunt op Android & iOS (app-id - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) geen goedgekeurde app is, kan het apparaat beveiligingspostuur rapporteren in alle drie de machtigingen verlenen.

Intern vraagt Defender echter msGraph/User.read-bereik en Intune Tunnel-bereik aan (in het geval van Defender+Tunnel-scenario's). Deze bereiken moeten dus worden uitgesloten*. Als u msGraph/User.read-bereik wilt uitsluiten, kan elke cloud-app worden uitgesloten. Als u tunnelbereik wilt uitsluiten, moet u Microsoft Tunnel Gateway uitsluiten. Met deze machtigingen en uitsluitingen wordt de stroom voor nalevingsinformatie naar voorwaardelijke toegang ingeschakeld.

Het toepassen van beleid voor voorwaardelijke toegang op Alle cloud-apps kan in sommige gevallen per ongeluk gebruikerstoegang blokkeren, dus dit wordt niet aanbevolen. Meer informatie over beleid voor voorwaardelijke toegang in cloud-apps

Zie Naleving afdwingen voor Microsoft Defender voor Eindpunt met voorwaardelijke toegang in Intune voor meer informatie.

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.