Microsoft Defender voor Eindpunt configureren in Intune

Gebruik de informatie en procedures in dit artikel om de integratie van Microsoft Defender voor Eindpunt met Intune te configureren. De configuratie omvat de volgende algemene stappen:

  • Microsoft Defender voor Eindpunt inschakelen voor uw tenant
  • Apparaten onboarden waarop Android, iOS/iPadOS en Windows 10/11 worden uitgevoerd
  • Nalevingsbeleid gebruiken om apparaatrisiconiveaus in te stellen
  • Beleid voor voorwaardelijke toegang gebruiken om apparaten te blokkeren die uw verwachte risiconiveaus overschrijden
  • Android en iOS/iPadOS, gebruik app-beveiligingsbeleid waarmee risiconiveaus voor apparaten worden ingesteld. App-beveiliging beleid werkt met zowel ingeschreven als niet-ingeschreven apparaten.

Voordat u begint, moet uw omgeving voldoen aan de vereisten voor het gebruik van Microsoft Defender voor Eindpunt met Intune.

Naast het beheren van instellingen voor Microsoft Defender voor Eindpunt op apparaten die u beheert met Intune, kunt u ook Defender voor Eindpunt-beveiligingsconfiguraties beheren op apparaten die niet zijn ingeschreven bij Intune. Dit scenario heet Beveiligingsbeheer voor Microsoft Defender voor Eindpunt en vereist dat de wisselknop Toestaan Microsoft Defender voor Eindpunt om eindpuntbeveiligingsconfiguraties af te dwingen op Aan wordt geconfigureerd. Zie MDE Security Configuration Management voor meer informatie.

Microsoft Defender voor Eindpunt inschakelen in Intune

De eerste stap die u uitvoert, is het instellen van de service-naar-service-verbinding tussen Intune en Microsoft Defender voor Eindpunt. Voor instellen is beheerderstoegang vereist tot zowel de Microsoft Defender-beveiligingscentrum als de Intune.

U hoeft Microsoft Defender voor Eindpunt slechts één keer per tenant in te schakelen.

Microsoft Defender voor Eindpunt inschakelen

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Microsoft Defender voor Eindpunt en selecteer vervolgens De Microsoft Defender-beveiligingscentrum openen.

    Hiermee wordt de Microsoft 365 Defender-portal op security.microsoft.com geopend, waardoor het gebruik van de vorige portal op securitycenter.windows.com wordt vervangen.

    Tip

    Als de verbindingsstatus bovenaan de pagina al is ingesteld op Ingeschakeld, is de verbinding met Intune al gemaakt en wordt in het beheercentrum een andere gebruikersinterface weergegeven dan in de volgende schermafbeelding. In dit geval kunt u de koppeling De Microsoft Defender voor Eindpunt-beheerconsole openen gebruiken om de Microsoft Defender-beveiligingscentrum te openen en de richtlijnen in de volgende stap gebruiken om te bevestigen dat de Microsoft Intune-verbinding is ingesteld op Op.

    Schermafbeelding van de patch om de Microsoft Defender-beveiligingscentrum te openen.

  3. In Microsoft 365 Defender (voorheen de Microsoft Defender-beveiligingscentrum):

    1. Selecteer Instellingen>Eindpunten>Geavanceerde functies.

    2. Voor Microsoft Intune verbinding kiest u Aan:

      Schermafbeelding van de instelling Microsoft Intune verbinding.

    3. Selecteer Voorkeuren voor opslaan.

    Opmerking

    Zodra de verbinding tot stand is gebracht, worden de services naar verwachting minstens één keer per 24 uur met elkaar gesynchroniseerd. Het aantal dagen zonder synchronisatie totdat de verbinding als niet reageert, kan worden geconfigureerd in het Microsoft Endpoint Manager-beheercentrum. Selecteer Eindpuntbeveiliging>Microsoft Defender voor Eindpunt>Aantal dagen totdat de partner niet meer reageert

  4. Ga terug naar Microsoft Defender voor Eindpunt pagina in het Microsoft Endpoint Manager-beheercentrum.

    1. Als u Defender voor Eindpunt wilt gebruiken met nalevingsbeleid, configureert u het volgende onder Instellingen voor MDM-nalevingsbeleid voor de platforms die u ondersteunt:

      • Android-apparaten verbinden op Microsoft Defender voor Eindpunt instellen op Aan
      • Stel iOS-apparaten verbinden op Microsoft Defender voor Eindpunt in op Aan
      • Stel Windows-apparaten verbinden in op Microsoft Defender voor Eindpunt op Aan

      Wanneer deze configuraties Aan zijn, worden toepasselijke apparaten die u beheert met Intune en apparaten die u in de toekomst inschrijft, verbonden met Microsoft Defender voor Eindpunt voor naleving.

      Voor iOS-apparaten ondersteunt Defender voor Eindpunt ook de volgende instellingen:

      Opmerking

      Voordat u de volgende twee instellingen kunt gebruiken, moet u zich aanmelden voor een MDE-voorbeeld. Als u zich wilt aanmelden, neemt u contact op met mdatpmobile@microsoft.com.

      • App-synchronisatie inschakelen voor iOS-apparaten: stel deze optie in op Aan om Defender voor Eindpunt toe te staan metagegevens van iOS-toepassingen op te vragen bij Intune voor gebruik voor bedreigingsanalysedoeleinden. Het iOS-apparaat moet zijn ingeschreven bij MDM en biedt bijgewerkte app-gegevens tijdens het inchecken van het apparaat.

      • Volledige toepassingsinventarisgegevens verzenden op iOS-/iPadOS-apparaten in persoonlijk eigendom: met deze instelling worden de inventarisgegevens van de toepassing bepaald die Intune deelt met Defender voor Eindpunt wanneer Defender voor Eindpunt app-gegevens synchroniseert en de app-inventarislijst aanvraagt.

        Wanneer deze optie is ingesteld op Aan, kan Defender voor Eindpunt een lijst met toepassingen aanvragen bij Intune voor iOS-/iPadOS-apparaten in persoonlijk eigendom. Dit omvat niet-beheerde apps en apps die zijn geïmplementeerd via Intune.

        Als deze optie is ingesteld op Uit, worden er geen gegevens over niet-beheerde apps opgegeven. Intune deelt wel gegevens voor de apps die zijn geïmplementeerd via Intune.

      Zie Mobile Threat Defense wisselknopopties voor meer informatie.

    2. Als u Defender voor Eindpunt wilt gebruiken met app-beveiligingsbeleid, configureert u het volgende onder Instellingen voor app-beveiligingsbeleid voor de platforms die u ondersteunt. Deze mogelijkheden zijn beschikbaar voor Android en iOS/iPadOS.

      • Stel Android-apparaten verbinden op Microsoft Defender voor Eindpunt voor evaluatie van app-beveiligingsbeleid in op Aan.
      • Stel iOS-apparaten verbinden op Microsoft Defender voor Eindpunt voor evaluatie van app-beveiligingsbeleid in op Aan.

    Zie Mobile Threat Defense wisselknopopties voor meer informatie over instellingen voor mdm-nalevingsbeleid en instellingen voor app-beveiligingsbeleid.

  5. Kies Opslaan.

Tip

Wanneer u een nieuwe toepassing integreert met Intune Mobile Threat Defense en de verbinding met Intune inschakelt, maakt Intune een klassiek beleid voor voorwaardelijke toegang in Azure Active Directory. Elke MTD-app die u integreert, inclusief Microsoft Defender voor Eindpunt of een van onze aanvullende MTD-partners, maakt een nieuw klassiek beleid voor voorwaardelijke toegang. Dit beleid kan worden genegeerd, maar mag niet worden bewerkt, verwijderd of uitgeschakeld.

Als het klassieke beleid wordt verwijderd, moet u de verbinding met Intune verwijderen die verantwoordelijk was voor het maken ervan en deze vervolgens opnieuw instellen. Hiermee wordt het klassieke beleid opnieuw gemaakt. Het wordt niet ondersteund om klassiek beleid voor MTD-apps te migreren naar het nieuwe beleidstype voor voorwaardelijke toegang.

Klassiek beleid voor voorwaardelijke toegang voor MTD-apps:

  • Worden gebruikt door Intune MTD om te vereisen dat apparaten worden geregistreerd in Azure AD, zodat ze een apparaat-id hebben voordat ze communiceren met MTD-partners. De id is vereist zodat apparaten hun status kunnen rapporteren aan Intune.
  • Geen effect hebben op andere cloud-apps of -resources.
  • Verschilt van beleid voor voorwaardelijke toegang dat u kunt maken om MTD te beheren.
  • Gebruik standaard geen andere beleidsregels voor voorwaardelijke toegang die u gebruikt voor evaluatie.

Als u het klassieke beleid voor voorwaardelijke toegang wilt weergeven, gaat u in Azure naarKlassieke beleidsregels voorvoorwaardelijke toegang van>Azure Active Directory>.

Onboard-apparaten

Wanneer u ondersteuning voor Microsoft Defender voor Eindpunt in Intune hebt ingeschakeld, hebt u een service-naar-service-verbinding tot stand gebracht tussen Intune en Microsoft Defender voor Eindpunt. Vervolgens kunt u apparaten die u beheert met Intune onboarden om te Microsoft Defender voor Eindpunt. Onboarding maakt het verzamelen van gegevens over apparaatrisiconiveaus mogelijk.

Wanneer u apparaten onboardt, moet u de meest recente versie van Microsoft Defender voor Eindpunt voor elk platform gebruiken.

Onboard Windows-apparaten

Nadat u Intune en Microsoft Defender voor Eindpunt hebt verbonden, ontvangt Intune een onboardingconfiguratiepakket van Microsoft Defender voor Eindpunt. U gebruikt een apparaatconfiguratieprofiel voor Microsoft Defender voor Eindpunt om het pakket te implementeren op uw Windows-apparaten.

Het configuratiepakket configureert apparaten om te communiceren met Microsoft Defender voor Eindpunt services om bestanden te scannen en bedreigingen te detecteren. Het apparaat rapporteert ook het risiconiveau aan Microsoft Defender voor Eindpunt op basis van uw nalevingsbeleid.

Nadat u een apparaat hebt onboarden met behulp van het configuratiepakket, hoeft u dit niet opnieuw te doen.

U kunt apparaten ook onboarden met behulp van:

  • Beleid voor eindpuntdetectie en -respons (EDR). Intune EDR-beleid maakt deel uit van eindpuntbeveiliging in Intune. Gebruik EDR-beleid om apparaatbeveiliging te configureren zonder de overhead van de grotere hoofdtekst van instellingen in apparaatconfiguratieprofielen. U kunt ook EDR-beleid gebruiken met apparaten die zijn gekoppeld aan tenants. Dit zijn apparaten die u beheert met Configuration Manager.

    Wanneer u EDR-beleid configureert nadat u verbinding hebt gemaakt met Intune en Microsoft Defender voor Eindpunt, heeft de beleidsinstelling Microsoft Defender voor Eindpunt clientconfiguratiepakkettype een nieuwe configuratieoptie: Automatisch van connector. Met deze optie krijgt Intune automatisch het onboardingpakket (blob) van uw Defender for Endpoint-implementatie, waardoor het handmatig configureren van een onboardingpakket wordt vervangen.

  • Groepsbeleid of Microsoft Eindpunt Configuration Manager.

Tip

Wanneer u meerdere beleidsregels of beleidstypen gebruikt, zoals apparaatconfiguratiebeleid en eindpuntdetectie en antwoordbeleid voor het beheren van dezelfde apparaatinstellingen (zoals onboarding bij Defender voor Eindpunt), kunt u beleidsconflicten voor apparaten maken. Zie Conflicten beheren in het artikel Beveiligingsbeleid beheren voor meer informatie over conflicten.

Het apparaatconfiguratieprofiel maken om Windows-apparaten te onboarden

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Eindpuntdetectie en -respons>Beleid maken.

  3. Selecteer voor PlatformWindows 10 en Hoger.

  4. Selecteer voor Profieltypede optie Eindpuntdetectie en -respons en selecteer vervolgens Maken.

  5. Voer op de pagina Basisinformatie een naam en beschrijving (optioneel) in voor het profiel en kies vervolgens Volgende.

  6. Configureer op de pagina Configuratie-instellingen de volgende opties voor eindpuntdetectie en -antwoord:

    • Voorbeeld delen voor alle bestanden: retourneert of stelt de Microsoft Defender voor Eindpunt configuratieparameter Voorbeeld delen in.
    • Frequentie van telemetrierapportage versnellen: voor apparaten met een hoog risico schakelt u deze instelling in, zodat telemetrie vaker wordt gerapporteerd aan de Microsoft Defender voor Eindpunt service.

    Windows-machines onboarden met Microsoft Eindpunt Configuration Manager meer informatie over de Microsoft Defender voor Eindpunt-instellingen.

    Schermafbeelding van de configuratieopties voor Eindpuntdetectie en -antwoord.

    Opmerking

    In de voorgaande schermopname ziet u uw configuratieopties nadat u een verbinding tussen Intune en Microsoft Defender voor Eindpunt hebt geconfigureerd. Wanneer de verbinding is gemaakt, worden de details voor de onboarding- en offboarding-blobs automatisch gegenereerd en overgebracht naar Intune.

    Als u deze verbinding niet hebt geconfigureerd, wordt de instelling Microsoft Defender voor Eindpunt clientconfiguratiepakkettype weergegeven met opties om blobs voor onboarding en offboarding op te geven.

  7. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  8. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Bij het implementeren naar gebruikersgroepen moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is en het apparaat kan onboarden naar Defender for Endpoint.

    Selecteer Volgende.

  9. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt. OK en vervolgens Maken om uw wijzigingen op te slaan, waardoor het profiel wordt gemaakt.

MacOS-apparaten onboarden

Nadat u de service-naar-service-verbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u macOS-apparaten onboarden voor Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Microsoft Defender Endpoint, dat vervolgens gegevens verzamelt over het risiconiveau van apparaten.

Zie Microsoft Defender voor Eindpunt voor macOS voor configuratierichtlijnen voor Intune.

Zie Microsoft Defender voor Eindpunt voor Mac in de beveiligingsdocumentatie voor Microsoft 365 voor meer informatie over Microsoft Defender voor Eindpunt voor Mac, inclusief wat er nieuw is in de nieuwste versie.

Android-apparaten onboarden

Nadat u de service-naar-serviceverbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u Android-apparaten onboarden naar Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Defender voor Eindpunt, dat vervolgens gegevens verzamelt over het risiconiveau van de apparaten.

Er is geen configuratiepakket voor apparaten met Android. Zie in plaats daarvan Overzicht van Microsoft Defender voor Eindpunt voor Android in de documentatie voor Microsoft Defender voor Eindpunt voor de vereisten en onboarding-instructies voor Android.

Voor apparaten met Android kunt u ook Intune-beleid gebruiken om Microsoft Defender voor Eindpunt op Android te wijzigen. Zie Microsoft Defender voor Eindpunt webbeveiliging voor meer informatie.

iOS-/iPadOS-apparaten onboarden

Nadat u de service-naar-serviceverbinding tussen Intune en Microsoft Defender voor Eindpunt tot stand hebt gebracht, kunt u iOS-/iPadOS-apparaten onboarden naar Microsoft Defender voor Eindpunt. Onboarding configureert apparaten om te communiceren met Defender voor Eindpunt, dat vervolgens gegevens verzamelt over het risiconiveau van de apparaten.

Er is geen configuratiepakket voor apparaten waarop iOS/iPadOS wordt uitgevoerd. Zie in plaats daarvan Overzicht van Microsoft Defender voor Eindpunt voor iOS in de Microsoft Defender voor Eindpunt documentatie voor vereisten en onboarding-instructies voor iOS/iPadOS.

Voor apparaten waarop iOS/iPadOS (in de supervisiemodus) wordt uitgevoerd, is er een speciale mogelijkheid gezien de verbeterde beheermogelijkheden die het platform biedt op deze typen apparaten. Als u van deze mogelijkheden wilt profiteren, moet de Defender-app weten of een apparaat zich in de supervisiemodus bevindt. met Intune kunt u de Defender voor iOS-app configureren via een App Configuration-beleid (voor beheerde apparaten) dat als best practice moet worden gericht op alle iOS-apparaten.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Apps>App-configuratiebeleid>Beheerde apparaten.

  3. Voer op de pagina Basisinformatie een Naam en Beschrijving (optioneel) in voor het profiel, selecteer Platform als iOS/iPadOS en kies Volgende.

  4. Selecteer Doel-app als Microsoft Defender voor iOS.

  5. Stel op de pagina Instellingen de configuratiesleutel in als issupervised en vervolgens Waardetype als tekenreeks met {{issupervised}} als de waarde Configuratie.

  6. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  7. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Voor dit scenario is het een best practice om alle apparaten te targeten. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Bij het implementeren naar gebruikersgroepen moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is.

    Selecteer Volgende.

  8. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst met configuratieprofielen.

Verder heeft het Defender voor iOS-team voor iOS/iPadOS (in de supervisiemodus) een aangepast .mobileconfig-profiel beschikbaar gesteld voor implementatie op iPad-/iOS-apparaten. Het .mobileconfig-profiel wordt gebruikt om netwerkverkeer te analyseren om een veilige browse-ervaring te garanderen, een functie van Defender voor iOS.

  1. Download het .mobile-profiel, dat hier wordt gehost: https://aka.ms/mdatpiossupervisedprofile.

  2. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  3. Selecteer Apparaten>Configuratieprofielen>Profiel maken.

  4. Selecteer bij Platformde optie iOS/iPadOS

  5. Selecteer bij Profieltypede optie Aangepast en selecteer vervolgens Maken.

  6. Voer op de pagina Basisinformatie een naam en beschrijving (optioneel) in voor het profiel en kies vervolgens Volgende.

  7. Voer een configuratieprofielnaam in en selecteer een .mobileconfig bestand dat u wilt uploaden.

  8. Selecteer Volgende om de pagina Bereiktags te openen. Bereiktags zijn optioneel. Selecteer Volgende om door te gaan.

  9. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Voor dit scenario is het een best practice om alle apparaten te targeten. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Bij het implementeren naar gebruikersgroepen moet een gebruiker zich aanmelden op een apparaat voordat het beleid van toepassing is.

    Selecteer Volgende.

  10. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst met configuratieprofielen.

Nalevingsbeleid maken en toewijzen om het risiconiveau van het apparaat in te stellen

Voor Android-, iOS-/iPadOS- en Windows-apparaten bepaalt het nalevingsbeleid het risiconiveau dat u als acceptabel beschouwt voor een apparaat.

Als u niet bekend bent met het maken van nalevingsbeleid, raadpleegt u de procedure Een beleid maken in het artikel Een nalevingsbeleid maken in Microsoft Intune artikel. De volgende informatie is specifiek voor het configureren van Microsoft Defender voor Eindpunt als onderdeel van een nalevingsbeleid.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Apparaten>Nalevingsbeleid>Beleid>beleid maken.

  3. Gebruik voor Platform de vervolgkeuzelijst om een van de volgende opties te selecteren:

    • Android-apparaatbeheerder
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 en hoger

    Selecteer vervolgens Maken om het venster Beleidsconfiguratie maken te openen .

  4. Geef een naam op waarmee u dit beleid later kunt identificeren. U kunt er ook voor kiezen om een beschrijving op te geven.

  5. Vouw op het tabblad Nalevingsinstellingen de groep Microsoft Defender voor Eindpunt uit en stel de optie Vereisen dat het apparaat zich op of onder de risicoscore van de machine bevindt in op het gewenste niveau.

    Classificaties op bedreigingsniveau worden bepaald door Microsoft Defender voor Eindpunt.

    • Duidelijk: dit niveau is het veiligste. Het apparaat kan geen bestaande bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsresources. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel. (Microsoft Defender voor Eindpunt gebruikt de waarde Beveiligd.)
    • Laag: het apparaat is compatibel als er alleen bedreigingen op laag niveau bestaan. Apparaten met een gemiddeld of hoog bedreigingsniveau zijn niet compatibel.
    • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
    • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe. Apparaten met een hoog, gemiddeld of laag bedreigingsniveau worden beschouwd als compatibel.
  6. Voltooi de configuratie van het beleid, inclusief de toewijzing van het beleid aan toepasselijke groepen.

App-beveiligingsbeleid maken en toewijzen om het risiconiveau van het apparaat in te stellen

Gebruik de procedure om een toepassingsbeveiligingsbeleid te maken voor iOS/iPadOS of Android en gebruik de volgende informatie op de pagina's Apps, Voorwaardelijk starten en Toewijzingen :

  • Apps: selecteer de apps waarop u het app-beveiligingsbeleid wilt toepassen. Voor deze functieset worden deze apps geblokkeerd of selectief gewist op basis van de risicoanalyse van het apparaat van de door u gekozen Mobile Threat Defense-leverancier.

  • Voorwaardelijk starten: gebruik onder Apparaatvoorwaarden de vervolgkeuzelijst om Maximaal toegestaan bedreigingsniveau voor apparaten te selecteren.

    Opties voor de waarde van het bedreigingsniveau:

    • Beveiligd: dit niveau is het veiligste niveau. Het apparaat kan geen bedreigingen hebben en nog steeds toegang krijgen tot bedrijfsbronnen. Als er bedreigingen worden gevonden, wordt het apparaat geëvalueerd als niet-compatibel.
    • Laag: het apparaat is compatibel als er alleen bedreigingen van een laag niveau aanwezig zijn. Alles wat hoger is, plaatst het apparaat in een niet-compatibele status.
    • Gemiddeld: het apparaat is compatibel als de bedreigingen op het apparaat laag of gemiddeld zijn. Als bedreigingen op hoog niveau worden gedetecteerd, wordt het apparaat als niet-compatibel vastgesteld.
    • Hoog: dit niveau is het minst veilig en staat alle bedreigingsniveaus toe, waarbij Mobile Threat Defense alleen wordt gebruikt voor rapportagedoeleinden. Op apparaten moet de MTD-app zijn geactiveerd met deze instelling.

    Opties voor actie:

    • Toegang blokkeren
    • Gegevens wissen
  • Toewijzingen: wijs het beleid toe aan groepen gebruikers. De apparaten die door de leden van de groep worden gebruikt, worden geëvalueerd op toegang tot bedrijfsgegevens op doel-apps via Intune app-beveiliging.

Belangrijk

Als u een app-beveiligingsbeleid maakt voor een beveiligde app, wordt het bedreigingsniveau van het apparaat beoordeeld. Afhankelijk van de configuratie worden apparaten die niet aan een acceptabel niveau voldoen, geblokkeerd of selectief gewist via voorwaardelijke start. Als ze worden geblokkeerd, hebben ze geen toegang tot bedrijfsresources totdat de bedreiging op het apparaat is opgelost en gerapporteerd aan Intune door de gekozen MTD-leverancier.

Een beleid voor voorwaardelijke toegang maken

Beleid voor voorwaardelijke toegang kan gegevens uit Microsoft Defender voor Eindpunt gebruiken om de toegang tot resources te blokkeren voor apparaten die het bedreigingsniveau overschrijden dat u hebt ingesteld. U kunt de toegang van het apparaat tot bedrijfsresources, zoals SharePoint of Exchange Online, blokkeren.

Tip

Voorwaardelijke toegang is een Azure Active Directory-technologie (Azure AD). Het knooppunt voor voorwaardelijke toegang in het Microsoft Endpoint Manager-beheercentrum is het knooppunt van Azure AD.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid.

  3. Voer een beleidsnaam in en selecteer Gebruikers en groepen. Gebruik de opties Opnemen of Uitsluiten om uw groepen toe te voegen voor het beleid en selecteer vervolgens Gereed.

  4. Selecteer Cloud-apps en kies vervolgens welke apps u wilt beveiligen. Kies bijvoorbeeld Apps selecteren en selecteer Office 365 SharePoint Online en Office 365 Exchange Online.

    Selecteer Gereed om uw wijzigingen op te slaan.

  5. Selecteer Voorwaarden>Client-apps om het beleid toe te passen op apps en browsers. Selecteer bijvoorbeeld Ja en schakel browser - en mobiele apps en desktopclients in.

    Selecteer Gereed om uw wijzigingen op te slaan.

  6. Selecteer Verlenen om voorwaardelijke toegang toe te passen op basis van apparaatcompatibiliteit. Selecteer bijvoorbeeld Toegang> verlenenVereisen dat apparaat is gemarkeerd als compatibel.

    Kies Selecteren om uw wijzigingen op te slaan.

  7. Selecteer Beleid inschakelen en vervolgens Maken om uw wijzigingen op te slaan.

Volgende stappen

Meer informatie in de documentatie voor Intune:

Meer informatie in de documentatie voor Microsoft Defender voor Eindpunt: