Konfigurowanie dostępu warunkowego w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tej sekcji przedstawiono wszystkie kroki, które należy wykonać w celu prawidłowego zaimplementowania dostępu warunkowego.

Przed rozpoczęciem

Ostrzeżenie

Należy pamiętać, że Microsoft Entra zarejestrowanych urządzeń nie są obsługiwane w tym scenariuszu. Obsługiwane są tylko Intune zarejestrowanych urządzeń.

Musisz się upewnić, że wszystkie urządzenia są zarejestrowane w Intune. Aby zarejestrować urządzenia w Intune, możesz użyć dowolnej z następujących opcji:

• ADMINISTRACJA IT: Aby uzyskać więcej informacji na temat włączania automatycznej rejestracji, zobacz Włączanie automatycznej rejestracji systemu Windows.
• Użytkownik końcowy: aby uzyskać więcej informacji na temat rejestrowania urządzenia Windows 10 i Windows 11 w Intune, zobacz Rejestrowanie urządzenia z systemem Windows w Intune.
• Alternatywa dla użytkownika końcowego: Aby uzyskać więcej informacji na temat dołączania do domeny Microsoft Entra, zobacz Instrukcje: planowanie implementacji dołączania Microsoft Entra.

Istnieją kroki, które należy wykonać w portalu Microsoft Defender, portalu Intune i centrum administracyjne Microsoft Entra.

Ważne jest, aby zanotować role wymagane do uzyskania dostępu do tych portali i zaimplementować dostęp warunkowy:

• Microsoft Defender portalu — aby włączyć integrację, musisz zalogować się do portalu z odpowiednią rolą. Zobacz Opcje uprawnień.
• Intune — musisz zalogować się do portalu z uprawnieniami administratora zabezpieczeń z uprawnieniami do zarządzania.
• centrum administracyjne Microsoft Entra — musisz zalogować się jako administrator zabezpieczeń lub administrator dostępu warunkowego.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Potrzebne będzie środowisko Microsoft Intune z Intune zarządzanymi i Microsoft Entra przyłączonymi do urządzeń Windows 10 i Windows 11.

Wykonaj następujące kroki, aby włączyć dostęp warunkowy:

• Krok 1. Włączanie połączenia Microsoft Intune z Microsoft Defender XDR
• Krok 2. Włączanie integracji usługi Defender for Endpoint w Intune
• Krok 3. Tworzenie zasad zgodności w Intune
• Krok 4. Przypisywanie zasad
• Krok 5. Tworzenie zasad dostępu warunkowego Microsoft Entra

Krok 1. Włączanie połączenia Microsoft Intune

1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje> zaawansowane Microsoft Intune połączenie.

2. Przełącz ustawienie Microsoft Intune na Włączone.

3. Kliknij pozycję Zapisz preferencje.

Krok 2. Włączanie integracji usługi Defender for Endpoint w Intune

1. Zaloguj się do portalu Intune

2. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender.

3. Ustaw pozycję Połącz urządzenia Windows 10.0.15063+ na Microsoft Defender zaawansowanej ochrony przed zagrożeniami na wartość Włączone.

4. Kliknij Zapisz.

Krok 3. Tworzenie zasad zgodności w Intune

1. W Azure Portal wybierz pozycję Wszystkie usługi, odfiltruj Intune i wybierz pozycję Microsoft Intune.

2. Wybierz pozycjęZasady>zgodności> urządzeńUtwórz zasady.

3. Wprowadź nazwę i opis.

4. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

5. W ustawieniach Kondycja urządzenia ustaw opcję Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie na preferowany poziom:

   • Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
   • Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
   • Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
   • Wysoki: Ten poziom jest najmniej bezpieczny i umożliwia korzystanie ze wszystkich poziomów zagrożeń. Dlatego urządzenia o wysokim, średnim lub niskim poziomie zagrożenia są uważane za zgodne.

6. Wybierz przycisk OK i utwórz , aby zapisać zmiany (i utworzyć zasady).

Krok 4. Przypisywanie zasad

1. W Azure Portal wybierz pozycję Wszystkie usługi, odfiltruj Intune i wybierz pozycję Microsoft Intune.

2. Wybierz pozycjęZasady>zgodności> urządzeń, wybierając zasady zgodności Ochrona punktu końcowego w usłudze Microsoft Defender.

3. Wybierz pozycję Przypisania.

4. Dołącz lub wyklucz grupy Microsoft Entra, aby przypisać im zasady.

5. Aby wdrożyć zasady w grupach, wybierz pozycję Zapisz. Urządzenia użytkowników objęte zasadami są oceniane pod kątem zgodności.

Krok 5. Tworzenie zasad dostępu warunkowego Microsoft Entra

1. W Azure Portal otwórz Tożsamość Microsoft Entra>Dostęp> warunkowyNowe zasady.

2. Wprowadź nazwę zasad i wybierz pozycję Użytkownicy i grupy. Użyj opcji Dołącz lub Wyklucz, aby dodać grupy dla zasad, a następnie wybierz pozycję Gotowe.

3. Wybierz pozycję Aplikacje w chmurze i wybierz aplikacje do ochrony. Na przykład wybierz pozycję Wybierz aplikacje i wybierz pozycję Office 365 SharePoint Online i Office 365 Exchange Online. Wybierz pozycję Gotowe , aby zapisać zmiany.

4. Wybierz pozycję Warunki>Aplikacje klienckie , aby zastosować zasady do aplikacji i przeglądarek. Na przykład wybierz pozycję Tak, a następnie włącz pozycję Aplikacje mobilne i aplikacje mobilne oraz klientów klasycznych. Wybierz pozycję Gotowe , aby zapisać zmiany.

5. Wybierz pozycję Udziel , aby zastosować dostęp warunkowy na podstawie zgodności urządzenia. Na przykład wybierz pozycję Udziel dostępu>Wymagaj, aby urządzenie było oznaczone jako zgodne. Wybierz pozycję Wybierz , aby zapisać zmiany.

6. Wybierz pozycję Włącz zasady, a następnie pozycję Utwórz , aby zapisać zmiany.

Uwaga

Możesz użyć aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender wraz z kontrolkami Zatwierdzona aplikacja kliencka, Zasady ochrony aplikacji i Zgodne urządzenie (wymagaj, aby urządzenie było oznaczone jako zgodne) w Microsoft Entra zasad dostępu warunkowego. Podczas konfigurowania dostępu warunkowego nie jest wymagane wykluczenie aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender. Mimo że Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android & iOS (Identyfikator aplikacji - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nie jest zatwierdzoną aplikacją, może raportować stan zabezpieczeń urządzeń we wszystkich trzech uprawnieniach udzielania.

Usługa Defender wewnętrznie żąda jednak zakresu MSGraph/User.read i Intune zakresu tunelu (w przypadku scenariuszy defender+tunnel). Dlatego te zakresy muszą zostać wykluczone*. Aby wykluczyć zakres MSGraph/User.read, można wykluczyć dowolną aplikację w chmurze. Aby wykluczyć zakres tunelu, należy wykluczyć usługę "Microsoft Tunnel Gateway". Te uprawnienia i wykluczenia umożliwiają przepływ informacji o zgodności z dostępem warunkowym.

Zastosowanie zasad dostępu warunkowego do wszystkich aplikacji w chmurze może w niektórych przypadkach przypadkowo zablokować dostęp użytkowników, więc nie jest to zalecane. Przeczytaj więcej na temat zasad dostępu warunkowego w usłudze Cloud Apps

Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w Intune.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.