Wymuszanie zgodności Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w usłudze Intune

Artykuł
10/24/2023

Możesz zintegrować Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Microsoft Intune jako rozwiązanie mobile threat defense. Integracja może pomóc w zapobieganiu naruszeniom zabezpieczeń i ograniczaniu wpływu naruszeń w organizacji.

Ochrona punktu końcowego w usłudze Microsoft Defender współpracuje z urządzeniami, na których działają:

Android
iOS/iPadOS
Windows 10
Windows 11
macOS
Windows Server 2008 R2
Windows Server 2012 R2
System Windows Server 2016
Windows Server Semi-Annual Enterprise Channel
Windows Server 2019 i nowsze
Windows Server 2019 Core edition
Windows Server 2022

Aby osiągnąć sukces, w porozumieniu użyjesz następujących konfiguracji:

Ustanawianie połączenia typu usługa-usługa między usługą Intune i Ochrona punktu końcowego w usłudze Microsoft Defender. To połączenie umożliwia Ochrona punktu końcowego w usłudze Microsoft Defender zbieranie danych o ryzyku maszyny z obsługiwanych urządzeń zarządzanych za pomocą usługi Intune.
Użyj profilu konfiguracji urządzenia, aby dołączyć urządzenia z Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączasz urządzenia w celu skonfigurowania ich do komunikowania się z Ochrona punktu końcowego w usłudze Microsoft Defender i dostarczania danych, które ułatwiają ocenę ich poziomu ryzyka.
Użyj zasad zgodności urządzeń, aby ustawić poziom ryzyka, na który chcesz zezwolić. Poziomy ryzyka są zgłaszane przez Ochrona punktu końcowego w usłudze Microsoft Defender. Urządzenia, które przekraczają dozwolony poziom ryzyka, są identyfikowane jako niezgodne.
Użyj zasad dostępu warunkowego , aby zablokować użytkownikom dostęp do zasobów firmowych z niezgodnych urządzeń.

Po zintegrowaniu usługi Intune z usługą Ochrona punktu końcowego w usłudze Microsoft Defender możesz skorzystać z Microsoft Defender dla usługi Endpoints Threat & Vulnerability Management (TVM) i użyć usługi Intune do skorygowania słabych punktów końcowych zidentyfikowanych przez usługę TVM.

Przykład użycia Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Intune

Poniższy przykład pomaga wyjaśnić, jak te rozwiązania współpracują ze sobą, aby pomóc w ochronie organizacji. W tym przykładzie Ochrona punktu końcowego w usłudze Microsoft Defender i usługa Intune są już zintegrowane.

Rozważmy zdarzenie, w którym ktoś wysyła Word załącznik z osadzonym złośliwym kodem do użytkownika w organizacji.

Użytkownik otwiera załącznik i włącza zawartość.
Rozpoczyna się atak z podwyższonym poziomem uprawnień, a osoba atakująca z komputera zdalnego ma uprawnienia administratora do urządzenia ofiary.
Następnie osoba atakująca uzyskuje zdalny dostęp do innych urządzeń użytkownika. To naruszenie zabezpieczeń może mieć wpływ na całą organizację.

Ochrona punktu końcowego w usłudze Microsoft Defender może pomóc w rozwiązywaniu zdarzeń zabezpieczeń, takich jak ten scenariusz.

W naszym przykładzie Ochrona punktu końcowego w usłudze Microsoft Defender wykrywa, że urządzenie wykonało nietypowy kod, doświadczyło eskalacji uprawnień procesu, wstrzyknięło złośliwy kod i wydało podejrzaną powłokę zdalną.
Na podstawie tych akcji z urządzenia Ochrona punktu końcowego w usłudze Microsoft Defender klasyfikuje urządzenie jako wysoce ryzykowne i zawiera szczegółowy raport o podejrzanych działaniach w portalu Centrum zabezpieczeń usługi Microsoft Defender.

Ponieważ masz zasady zgodności urządzeń usługi Intune do klasyfikowania urządzeń o średnim lub wysokim poziomie ryzyka jako niezgodne, urządzenie, których zabezpieczenia zostały naruszone, jest klasyfikowane jako niezgodne. Ta klasyfikacja umożliwia zasadom dostępu warunkowego uruchamianie i blokowanie dostępu z tego urządzenia do zasobów firmy.

W przypadku urządzeń z systemem Android można użyć zasad usługi Intune do modyfikowania konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender ochrona w Internecie.

Wymagania wstępne

Subskrypcje:
Aby korzystać z Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Intune, musisz mieć następujące subskrypcje:

Ochrona punktu końcowego w usłudze Microsoft Defender — ta subskrypcja zapewnia dostęp do Centrum zabezpieczeń usługi Microsoft Defender (Microsoft Defender XDR).

W przypadku opcji licencjonowania usługi Defender for Endpoint zobacz Wymagania dotyczące licencjonowania w temacie Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender i Jak skonfigurować subskrypcję wersji próbnej Microsoft 365 E5.
Microsoft Intune — subskrypcja planu Microsoft Intune 1 zapewnia dostęp do usługi Intune i centrum administracyjnego Microsoft Intune.

Aby uzyskać opcje licencjonowania usługi Intune, zobacz Microsoft Intune licencjonowanie.

Urządzenia zarządzane za pomocą usługi Intune:
Następujące platformy są obsługiwane w usłudze Intune za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender:

Android
iOS/iPadOS
Windows 10/11 (przyłączone hybrydowo Microsoft Entra lub przyłączone Microsoft Entra)

Aby zapoznać się z wymaganiami systemowymi dotyczącymi Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz Minimalne wymagania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender.

Następne kroki

Aby nawiązać połączenie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Intune, dołączyć urządzenia i skonfigurować zasady dostępu warunkowego, zobacz Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w usłudze Intune.

Dowiedz się więcej z dokumentacji usługi Intune:

Dowiedz się więcej z dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender:

Wymuszanie zgodności Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w usłudze Intune

Przykład użycia Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Intune

Wymagania wstępne

Następne kroki

Opinia

Opinia

Dodatkowe zasoby