Konfigurowanie dostępu warunkowego w usłudze Microsoft Defender dla punktu końcowego

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

W tej sekcji przedstawiono wszystkie kroki, które należy wykonać w celu prawidłowego zaimplementowania dostępu warunkowego.

Przed rozpoczęciem

Ostrzeżenie

Należy pamiętać, że urządzenia zarejestrowane w usłudze Microsoft Entra nie są obsługiwane w tym scenariuszu.
Obsługiwane są tylko urządzenia zarejestrowane w usłudze Intune.

Upewnij się, że wszystkie urządzenia są zarejestrowane w usłudze Intune. Aby zarejestrować urządzenia w usłudze Intune, możesz użyć dowolnej z następujących opcji:

• Administrator IT: Aby uzyskać więcej informacji na temat włączania automatycznej rejestracji, zobacz Rejestracja systemu Windows
• Użytkownik końcowy: Aby uzyskać więcej informacji na temat rejestrowania urządzenia z systemem Windows 10 i Windows 11 w usłudze Intune, zobacz Rejestrowanie urządzenia z systemem Windows 10 w usłudze Intune
• Alternatywa dla użytkownika końcowego: Aby uzyskać więcej informacji na temat dołączania do domeny Microsoft Entra, zobacz Instrukcje: planowanie implementacji dołączania do aplikacji Microsoft Entra.

Istnieją kroki, które należy wykonać w portalu usługi Microsoft Defender, portalu usługi Intune i centrum administracyjnym usługi Microsoft Entra.

Ważne jest, aby zanotować role wymagane do uzyskania dostępu do tych portali i zaimplementować dostęp warunkowy:

• Portal usługi Microsoft Defender — aby włączyć integrację, musisz zalogować się do portalu z rolą administratora globalnego.
• Intune — musisz zalogować się do portalu z uprawnieniami administratora zabezpieczeń z uprawnieniami do zarządzania.
• Centrum administracyjne usługi Microsoft Entra — musisz zalogować się jako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Uwaga

Potrzebne będzie środowisko usługi Microsoft Intune z urządzeniami z systemem Windows 10 i Windows 11 połączonymi z usługą Intune i aplikacją Microsoft Entra.

Wykonaj następujące kroki, aby włączyć dostęp warunkowy:

• Krok 1. Włączanie połączenia usługi Microsoft Intune z usługi Microsoft Defender XDR
• Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune
• Krok 3. Tworzenie zasad zgodności w usłudze Intune
• Krok 4. Przypisywanie zasad
• Krok 5. Tworzenie zasad dostępu warunkowego w usłudze Microsoft Entra

Krok 1. Włączanie połączenia usługi Microsoft Intune

1. W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowanepołączenie z usługą> Microsoft Intune.

2. Przełącz ustawienie usługi Microsoft Intune na Wł.

3. Kliknij pozycję Zapisz preferencje.

Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune

1. Zaloguj się do portalu usługi Intune

2. Wybierz pozycję Zabezpieczenia punktu końcowego>w usłudze Microsoft Defender dla punktu końcowego.

3. Ustaw pozycję Połącz urządzenia z systemem Windows 10.0.15063+ z usługą Microsoft Defender Advanced Threat Protection na wartość Włączone.

4. Kliknij Zapisz.

Krok 3. Tworzenie zasad zgodności w usłudze Intune

1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune, a następnie wybierz pozycję Microsoft Intune.

2. Wybierz pozycjęZasady>zgodności> urządzeńUtwórz zasady.

3. Wprowadź nazwę i opis.

4. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

5. W ustawieniach Kondycja urządzenia ustaw opcję Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie na preferowany poziom:

   • Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
   • Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
   • Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
   • Wysoki: Ten poziom jest najmniej bezpieczny i umożliwia korzystanie ze wszystkich poziomów zagrożeń. Dlatego urządzenia o wysokim, średnim lub niskim poziomie zagrożenia są uważane za zgodne.

6. Wybierz przycisk OK i utwórz , aby zapisać zmiany (i utworzyć zasady).

Krok 4. Przypisywanie zasad

1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune, a następnie wybierz pozycję Microsoft Intune.

2. Wybierz pozycjęZasady>zgodności> urządzeń, wybierając zasady zgodności usługi Microsoft Defender dla punktu końcowego.

3. Wybierz pozycję Przypisania.

4. Dołącz lub wyklucz grupy Microsoft Entra, aby przypisać im zasady.

5. Aby wdrożyć zasady w grupach, wybierz pozycję Zapisz. Urządzenia użytkowników objęte zasadami są oceniane pod kątem zgodności.

Krok 5. Tworzenie zasad dostępu warunkowego w usłudze Microsoft Entra

1. W witrynie Azure Portal otwórz nowezasadydostępu> warunkowego o identyfikatorze Microsoft Entra ID>.

2. Wprowadź nazwę zasad i wybierz pozycję Użytkownicy i grupy. Użyj opcji Dołącz lub Wyklucz, aby dodać grupy dla zasad, a następnie wybierz pozycję Gotowe.

3. Wybierz pozycję Aplikacje w chmurze i wybierz aplikacje do ochrony. Na przykład wybierz pozycję Wybierz aplikacje i wybierz pozycje Office 365 SharePoint Online i Office 365 Exchange Online. Wybierz pozycję Gotowe , aby zapisać zmiany.

4. Wybierz pozycję Warunki>Aplikacje klienckie , aby zastosować zasady do aplikacji i przeglądarek. Na przykład wybierz pozycję Tak, a następnie włącz pozycję Aplikacje mobilne i aplikacje mobilne oraz klientów klasycznych. Wybierz pozycję Gotowe , aby zapisać zmiany.

5. Wybierz pozycję Udziel , aby zastosować dostęp warunkowy na podstawie zgodności urządzenia. Na przykład wybierz pozycję Udziel dostępu>Wymagaj, aby urządzenie było oznaczone jako zgodne. Wybierz pozycję Wybierz , aby zapisać zmiany.

6. Wybierz pozycję Włącz zasady, a następnie pozycję Utwórz , aby zapisać zmiany.

Uwaga

Możesz użyć aplikacji Microsoft Defender for Endpoint wraz z kontrolkami Zatwierdzona aplikacja kliencka , Zasady ochrony aplikacji i Zgodne urządzenie (Wymagaj, aby urządzenie było oznaczone jako zgodne) w zasadach dostępu warunkowego w usłudze Microsoft Entra. Nie jest wymagane wykluczenie aplikacji Microsoft Defender for Endpoint podczas konfigurowania dostępu warunkowego. Mimo że usługa Microsoft Defender dla punktu końcowego w systemie Android & iOS (identyfikator aplikacji — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nie jest zatwierdzoną aplikacją, może raportować stan zabezpieczeń urządzenia we wszystkich trzech uprawnieniach udzielania.

Usługa Defender wewnętrznie żąda jednak zakresu MSGraph/User.read i zakresu tunelu usługi Intune (w przypadku scenariuszy defender+tunnel). Dlatego te zakresy muszą zostać wykluczone*. Aby wykluczyć zakres MSGraph/User.read, można wykluczyć dowolną aplikację w chmurze. Aby wykluczyć zakres tunelu, należy wykluczyć usługę "Microsoft Tunnel Gateway". Te uprawnienia i wykluczenia umożliwiają przepływ informacji o zgodności z dostępem warunkowym.

Zastosowanie zasad dostępu warunkowego do wszystkich aplikacji w chmurze może w niektórych przypadkach przypadkowo zablokować dostęp użytkowników, więc nie jest to zalecane. Przeczytaj więcej na temat zasad dostępu warunkowego w usłudze Cloud Apps

Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla usługi Microsoft Defender dla punktu końcowego przy użyciu dostępu warunkowego w usłudze Intune.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.