Configurar o Acesso Condicional no Microsoft Defender para Endpoint

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Esta secção orienta-o ao longo de todos os passos necessários para implementar corretamente o Acesso Condicional.

Antes de começar

Aviso

É importante ter em atenção que os dispositivos registados no Microsoft Entra não são suportados neste cenário.
Apenas os dispositivos inscritos no Intune são suportados.

Tem de se certificar de que todos os seus dispositivos estão inscritos no Intune. Pode utilizar qualquer uma das seguintes opções para inscrever dispositivos no Intune:

• Administrador de TI: para obter mais informações sobre como ativar a inscrição automática, consulte Inscrição do Windows
• Utilizador final: para obter mais informações sobre como inscrever o seu dispositivo Windows 10 e Windows 11 no Intune, consulte Inscrever o seu dispositivo Windows 10 no Intune
• Alternativa ao utilizador final: para obter mais informações sobre como aderir a um domínio do Microsoft Entra, consulte Como: Planear a implementação da associação ao Microsoft Entra.

Existem passos que terá de seguir no portal do Microsoft Defender, no portal do Intune e no centro de administração do Microsoft Entra.

É importante ter em conta as funções necessárias para aceder a estes portais e implementar o Acesso condicional:

• Portal do Microsoft Defender – terá de iniciar sessão no portal com uma função de Administrador Global para ativar a integração.
• Intune – terá de iniciar sessão no portal com direitos de Administrador de Segurança com permissões de gestão.
• Centro de administração do Microsoft Entra – terá de iniciar sessão como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

Importante

A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Observação

Precisará de um ambiente do Microsoft Intune, com dispositivos Windows 10 e Windows 11 geridos pelo Intune e associados ao Microsoft Entra.

Siga os seguintes passos para ativar o Acesso Condicional:

• Passo 1: ativar a ligação do Microsoft Intune a partir do Microsoft Defender XDR
• Passo 2: ativar a integração do Defender para Endpoint no Intune
• Passo 3: criar a política de conformidade no Intune
• Passo 4: atribuir a política
• Passo 5: Criar uma política de Acesso Condicional do Microsoft Entra

Passo 1: ativar a ligação do Microsoft Intune

1. No painel de navegação, selecione Definições Pontos finais>Funcionalidades Avançadas>Gerais>Ligação> doMicrosoft Intune.

2. Alterne a definição do Microsoft Intune para Ativado.

3. Clique em Guardar preferências.

Passo 2: ativar a integração do Defender para Endpoint no Intune

1. Iniciar sessão no portal do Intune

2. Selecione Endpoint Security>Microsoft Defender para Endpoint.

3. Defina Ligar dispositivos Windows 10.0.15063+ a Proteção Avançada Contra Ameaças do Microsoft Defender como Ativado.

4. Clique em Salvar.

Passo 3: criar a política de conformidade no Intune

1. No portal do Azure, selecione Todos os serviços, filtre no Intune e selecione Microsoft Intune.

2. SelecionePolíticas> de conformidade> do dispositivoCriar política.

3. Introduza um Nome e uma Descrição.

4. Em Plataforma, selecione Windows 10 e posterior.

5. Nas definições do Estado de Funcionamento do Dispositivo , defina Exigir que o dispositivo esteja no nível de Ameaça do Dispositivo ou abaixo do nível preferencial:

   • Protegido: este é o nível mais seguro. O dispositivo não pode ter ameaças existentes e ainda aceder aos recursos da empresa. Se nenhuma ameaça for encontrada, o dispositivo será avaliado como não compatível.
   • Baixo: o dispositivo estará em conformidade se apenas ameaças de nível baixo existirem. Os dispositivos com níveis de ameaça médios ou elevados não estão em conformidade.
   • Médio: o dispositivo estará em conformidade se as ameaças encontradas no dispositivo forem de nível baixo ou médio. Se ameaças de nível alto forem detectadas, o dispositivo será determinado como não compatível.
   • Elevado: este nível é o menos seguro e permite todos os níveis de ameaça. Assim, os dispositivos com níveis de ameaça elevados, médios ou baixos são considerados conformes.

6. Selecione OK e Criar para guardar as alterações (e criar a política).

Passo 4: atribuir a política

1. No portal do Azure, selecione Todos os serviços, filtre no Intune e selecione Microsoft Intune.

2. SelecionePolíticas> de conformidade> do dispositivo selecione a política de conformidade do Microsoft Defender para Endpoint.

3. Selecione Atribuições.

4. Inclua ou exclua os seus grupos do Microsoft Entra para lhes atribuir a política.

5. Para implementar a política nos grupos, selecione Guardar. Os dispositivos de utilizador visados pela política são avaliados quanto à conformidade.

Passo 5: Criar uma política de Acesso Condicional do Microsoft Entra

1. No portal do Azure, abra aNova política deAcesso> Condicional do Microsoft Entra ID>.

2. Introduza um Nome de política e selecione Utilizadores e grupos. Use as opções Incluir ou Excluir para adicionar os grupos para a política e selecione Concluído.

3. Selecione Aplicações na cloud e escolha as aplicações a proteger. Por exemplo, escolha Selecionar aplicativos e selecione Office 365 SharePoint Online e Exchange Online do Office 365. Selecione Concluído para salvar as alterações.

4. Selecione Condições>Aplicativos do cliente para aplicar a política para aplicativos e navegadores. Por exemplo, selecione Sim e, em seguida, habilitar Navegador e Aplicativos móveis e clientes de área de trabalho. Selecione Concluído para salvar as alterações.

5. Selecione Conceder para aplicar Acesso Condicional baseado na conformidade do dispositivo. Por exemplo, selecione Conceder acesso>Exigir que o dispositivo seja marcado como compatível. Marque Selecionar para salvar suas alterações.

6. Selecione Habilitar política e, em seguida, Criar para salvar suas alterações.

Observação

Pode utilizar a aplicação Microsoft Defender para Endpoint juntamente com a aplicação Cliente Aprovado , a política de Proteção de Aplicações e os controlos Dispositivo Conforme (Exigir que o dispositivo seja marcado como conforme) nas políticas de Acesso Condicional do Microsoft Entra. Não é necessária exclusão para a aplicação Microsoft Defender para Endpoint durante a configuração do Acesso Condicional. Embora o Microsoft Defender para Endpoint no Android & iOS (ID da Aplicação - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) não seja uma aplicação aprovada, é capaz de comunicar a postura de segurança do dispositivo nas três permissões de concessão.

No entanto, o Defender pede internamente o âmbito MSGraph/User.read e o âmbito do Túnel do Intune (no caso de cenários defender+túnel). Portanto, estes âmbitos têm de ser excluídos*. Para excluir o âmbito MSGraph/User.read, qualquer aplicação na cloud pode ser excluída. Para excluir o âmbito do Túnel, tem de excluir "Gateway de Túnel da Microsoft". Estas permissões e exclusões permitem o fluxo de informações de conformidade para o Acesso Condicional.

A aplicação de uma política de Acesso Condicional a Todas as Aplicações na Cloud pode bloquear inadvertidamente o acesso dos utilizadores em alguns casos, pelo que não é recomendado. Leia mais sobre as políticas de Acesso Condicional nas Aplicações na Cloud

Para obter mais informações, confira Impor a conformidade no Microsoft Defender para Ponto de Extremidade com o acesso condicional no Intune.

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.