Konfigurowanie dostępu warunkowego w usłudze Microsoft Defender dla punktu końcowego
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
W tej sekcji przedstawiono wszystkie kroki, które należy wykonać w celu prawidłowego zaimplementowania dostępu warunkowego.
Przed rozpoczęciem
Ostrzeżenie
Należy pamiętać, że urządzenia zarejestrowane w usłudze Microsoft Entra nie są obsługiwane w tym scenariuszu. Obsługiwane są tylko urządzenia zarejestrowane w usłudze Intune.
Upewnij się, że wszystkie urządzenia są zarejestrowane w usłudze Intune. Aby zarejestrować urządzenia w usłudze Intune, możesz użyć dowolnej z następujących opcji:
- Administrator IT: Aby uzyskać więcej informacji na temat włączania automatycznej rejestracji, zobacz Rejestracja systemu Windows
- Użytkownik końcowy: Aby uzyskać więcej informacji na temat rejestrowania urządzenia z systemem Windows 10 i Windows 11 w usłudze Intune, zobacz Rejestrowanie urządzenia z systemem Windows 10 w usłudze Intune
- Alternatywa dla użytkownika końcowego: Aby uzyskać więcej informacji na temat dołączania do domeny Microsoft Entra, zobacz Instrukcje: planowanie implementacji dołączania do aplikacji Microsoft Entra.
Istnieją kroki, które należy wykonać w portalu usługi Microsoft Defender, portalu usługi Intune i centrum administracyjnym usługi Microsoft Entra.
Ważne jest, aby zanotować role wymagane do uzyskania dostępu do tych portali i zaimplementować dostęp warunkowy:
- Portal usługi Microsoft Defender — aby włączyć integrację, musisz zalogować się do portalu z rolą administratora globalnego.
- Intune — musisz zalogować się do portalu z uprawnieniami administratora zabezpieczeń z uprawnieniami do zarządzania.
- Centrum administracyjne usługi Microsoft Entra — musisz zalogować się jako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Uwaga
Potrzebne będzie środowisko usługi Microsoft Intune z urządzeniami z systemem Windows 10 i Windows 11 połączonymi z usługą Intune i aplikacją Microsoft Entra.
Wykonaj następujące kroki, aby włączyć dostęp warunkowy:
- Krok 1. Włączanie połączenia usługi Microsoft Intune z usługi Microsoft Defender XDR
- Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune
- Krok 3. Tworzenie zasad zgodności w usłudze Intune
- Krok 4. Przypisywanie zasad
- Krok 5. Tworzenie zasad dostępu warunkowego w usłudze Microsoft Entra
Krok 1. Włączanie połączenia usługi Microsoft Intune
W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowanepołączenie z usługą> Microsoft Intune.
Przełącz ustawienie usługi Microsoft Intune na Wł.
Kliknij pozycję Zapisz preferencje.
Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune
Zaloguj się do portalu usługi Intune
Wybierz pozycję Zabezpieczenia punktu końcowego>w usłudze Microsoft Defender dla punktu końcowego.
Ustaw pozycję Połącz urządzenia z systemem Windows 10.0.15063+ z usługą Microsoft Defender Advanced Threat Protection na wartość Włączone.
Kliknij Zapisz.
Krok 3. Tworzenie zasad zgodności w usłudze Intune
W witrynie Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune, a następnie wybierz pozycję Microsoft Intune.
Wybierz pozycjęZasady>zgodności> urządzeńUtwórz zasady.
Wprowadź nazwę i opis.
W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
W ustawieniach Kondycja urządzenia ustaw opcję Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie na preferowany poziom:
- Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
- Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
- Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
- Wysoki: Ten poziom jest najmniej bezpieczny i umożliwia korzystanie ze wszystkich poziomów zagrożeń. Dlatego urządzenia o wysokim, średnim lub niskim poziomie zagrożenia są uważane za zgodne.
Wybierz przycisk OK i utwórz , aby zapisać zmiany (i utworzyć zasady).
Krok 4. Przypisywanie zasad
W witrynie Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune, a następnie wybierz pozycję Microsoft Intune.
Wybierz pozycjęZasady>zgodności> urządzeń, wybierając zasady zgodności usługi Microsoft Defender dla punktu końcowego.
Wybierz pozycję Przypisania.
Dołącz lub wyklucz grupy Microsoft Entra, aby przypisać im zasady.
Aby wdrożyć zasady w grupach, wybierz pozycję Zapisz. Urządzenia użytkowników objęte zasadami są oceniane pod kątem zgodności.
Krok 5. Tworzenie zasad dostępu warunkowego w usłudze Microsoft Entra
W witrynie Azure Portal otwórz nowezasadydostępu> warunkowego o identyfikatorze Microsoft Entra ID>.
Wprowadź nazwę zasad i wybierz pozycję Użytkownicy i grupy. Użyj opcji Dołącz lub Wyklucz, aby dodać grupy dla zasad, a następnie wybierz pozycję Gotowe.
Wybierz pozycję Aplikacje w chmurze i wybierz aplikacje do ochrony. Na przykład wybierz pozycję Wybierz aplikacje i wybierz pozycje Office 365 SharePoint Online i Office 365 Exchange Online. Wybierz pozycję Gotowe , aby zapisać zmiany.
Wybierz pozycję Warunki>Aplikacje klienckie , aby zastosować zasady do aplikacji i przeglądarek. Na przykład wybierz pozycję Tak, a następnie włącz pozycję Aplikacje mobilne i aplikacje mobilne oraz klientów klasycznych. Wybierz pozycję Gotowe , aby zapisać zmiany.
Wybierz pozycję Udziel , aby zastosować dostęp warunkowy na podstawie zgodności urządzenia. Na przykład wybierz pozycję Udziel dostępu>Wymagaj, aby urządzenie było oznaczone jako zgodne. Wybierz pozycję Wybierz , aby zapisać zmiany.
Wybierz pozycję Włącz zasady, a następnie pozycję Utwórz , aby zapisać zmiany.
Uwaga
Możesz użyć aplikacji Microsoft Defender for Endpoint wraz z kontrolkami Zatwierdzona aplikacja kliencka , Zasady ochrony aplikacji i Zgodne urządzenie (Wymagaj, aby urządzenie było oznaczone jako zgodne) w zasadach dostępu warunkowego w usłudze Microsoft Entra. Nie jest wymagane wykluczenie aplikacji Microsoft Defender for Endpoint podczas konfigurowania dostępu warunkowego. Mimo że usługa Microsoft Defender dla punktu końcowego w systemie Android & iOS (identyfikator aplikacji — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nie jest zatwierdzoną aplikacją, może raportować stan zabezpieczeń urządzenia we wszystkich trzech uprawnieniach udzielania.
Usługa Defender wewnętrznie żąda jednak zakresu MSGraph/User.read i zakresu tunelu usługi Intune (w przypadku scenariuszy defender+tunnel). Dlatego te zakresy muszą zostać wykluczone*. Aby wykluczyć zakres MSGraph/User.read, można wykluczyć dowolną aplikację w chmurze. Aby wykluczyć zakres tunelu, należy wykluczyć usługę "Microsoft Tunnel Gateway". Te uprawnienia i wykluczenia umożliwiają przepływ informacji o zgodności z dostępem warunkowym.
Zastosowanie zasad dostępu warunkowego do wszystkich aplikacji w chmurze może w niektórych przypadkach przypadkowo zablokować dostęp użytkowników, więc nie jest to zalecane. Przeczytaj więcej na temat zasad dostępu warunkowego w usłudze Cloud Apps
Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla usługi Microsoft Defender dla punktu końcowego przy użyciu dostępu warunkowego w usłudze Intune.
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla