Configurar o Acesso Condicional no Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Esta secção orienta-o ao longo de todos os passos necessários para implementar corretamente o Acesso Condicional.
Antes de começar
Aviso
É importante ter em atenção que Microsoft Entra dispositivos registados não são suportados neste cenário. Apenas são suportados Intune dispositivos inscritos.
Tem de se certificar de que todos os seus dispositivos estão inscritos no Intune. Pode utilizar qualquer uma das seguintes opções para inscrever dispositivos no Intune:
- Administração de TI: para obter mais informações sobre como ativar a inscrição automática, consulte Ativar a inscrição automática do Windows.
- Utilizador final: para obter mais informações sobre como inscrever o seu dispositivo Windows 10 e Windows 11 no Intune, consulte Inscrever o seu dispositivo Windows no Intune.
- Alternativa ao utilizador final: para obter mais informações sobre como associar um domínio Microsoft Entra, consulte Como: Planear a implementação da associação Microsoft Entra.
Existem passos que terá de seguir no portal do Microsoft Defender, no portal do Intune e centro de administração Microsoft Entra.
É importante ter em conta as funções necessárias para aceder a estes portais e implementar o Acesso condicional:
- Microsoft Defender portal – terá de iniciar sessão no portal com uma função adequada para ativar a integração. Veja Opções de permissão.
- Intune - Terá de iniciar sessão no portal com direitos de Administrador de Segurança com permissões de gestão.
- centro de administração Microsoft Entra - Terá de iniciar sessão como Administrador de Segurança ou administrador de Acesso Condicional.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Precisará de um ambiente Microsoft Intune, com Intune dispositivos Windows 10 Microsoft Entra e Windows 11 associados e geridos.
Siga os seguintes passos para ativar o Acesso Condicional:
- Passo 1: ativar a ligação de Microsoft Intune a partir de Microsoft Defender XDR
- Passo 2: ativar a integração do Defender para Endpoint no Intune
- Passo 3: criar a política de conformidade no Intune
- Passo 4: atribuir a política
- Passo 5: Criar uma política de Acesso Condicional Microsoft Entra
Passo 1: ativar a ligação Microsoft Intune
No painel de navegação, selecione Definições Pontos finais>Funcionalidades> Gerais >Avançadas>Microsoft Intune ligação.
Alterne a definição de Microsoft Intune para Ativado.
Clique em Guardar preferências.
Passo 2: ativar a integração do Defender para Endpoint no Intune
Iniciar sessão no portal do Intune
Selecione Segurança > de Ponto FinalMicrosoft Defender para Endpoint.
Defina Ligar dispositivos Windows 10.0.15063+ para Microsoft Defender Advanced Threat Protection como Ativado.
Clique em Guardar.
Passo 3: criar a política de conformidade no Intune
Na portal do Azure, selecione Todos os serviços, filtre Intune e selecione Microsoft Intune.
SelecionePolíticas> de conformidade> do dispositivoCriar política.
Introduza um Nome e uma Descrição.
Em Plataforma, selecione Windows 10 e posterior.
Nas definições do Estado de Funcionamento do Dispositivo , defina Exigir que o dispositivo esteja no nível de Ameaça do Dispositivo ou abaixo do nível preferencial:
- Seguro: este nível é o mais seguro. O dispositivo não pode ter ameaças existentes e ainda aceder aos recursos da empresa. Se forem encontradas ameaças, o dispositivo é avaliado como não conforme.
- Baixo: o dispositivo está em conformidade se só existirem ameaças de baixo nível. Os dispositivos com níveis de ameaça médios ou elevados não estão em conformidade.
- Médio: o dispositivo está em conformidade se as ameaças encontradas no dispositivo forem baixas ou médias. Se forem detetadas ameaças de alto nível, o dispositivo é determinado como não conforme.
- Elevado: este nível é o menos seguro e permite todos os níveis de ameaça. Assim, os dispositivos com níveis de ameaça elevados, médios ou baixos são considerados conformes.
Selecione OK e Criar para guardar as alterações (e criar a política).
Passo 4: atribuir a política
Na portal do Azure, selecione Todos os serviços, filtre Intune e selecione Microsoft Intune.
SelecionePolíticas> de conformidade> do dispositivo, selecione a sua política de conformidade Microsoft Defender para Endpoint.
Selecione Tarefas.
Inclua ou exclua os grupos de Microsoft Entra para lhes atribuir a política.
Para implementar a política nos grupos, selecione Guardar. Os dispositivos de utilizador visados pela política são avaliados quanto à conformidade.
Passo 5: Criar uma política de Acesso Condicional Microsoft Entra
Na portal do Azure, abra Microsoft Entra ID>Política de Acesso>Condicional Nova.
Introduza um Nome de política e selecione Utilizadores e grupos. Utilize as opções Incluir ou Excluir para adicionar os seus grupos à política e selecione Concluído.
Selecione Aplicações na cloud e escolha as aplicações a proteger. Por exemplo, selecione Selecionar aplicações e selecione Office 365 SharePoint Online e Office 365 Exchange Online. Selecione Concluído para guardar as alterações.
Selecione Condições>Aplicações de cliente para aplicar a política a aplicações e browsers. Por exemplo, selecione Sim e, em seguida, ative Aplicações browser e móveis e clientes de ambiente de trabalho. Selecione Concluído para guardar as alterações.
Selecione Conceder para aplicar o Acesso Condicional com base na conformidade do dispositivo. Por exemplo, selecione Conceder acesso>Exigir que o dispositivo seja marcado como conforme. Selecione Selecionar para guardar as alterações.
Selecione Ativar política e, em seguida, Criar para guardar as alterações.
Nota
Pode utilizar a aplicação Microsoft Defender para Endpoint juntamente com a aplicação Cliente Aprovado, a política de Proteção de Aplicações e os controlos Dispositivo Conforme (Exigir que o dispositivo seja marcado como conforme) no Microsoft Entra políticas de Acesso Condicional. Não é necessária exclusão para a aplicação Microsoft Defender para Endpoint ao configurar o Acesso Condicional. Apesar de Microsoft Defender para Endpoint no Android & iOS (ID da Aplicação - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) não é uma aplicação aprovada, é capaz de comunicar a postura de segurança do dispositivo nas três permissões de concessão.
No entanto, o Defender pede internamente âmbito MSGraph/User.read e Intune âmbito do túnel (no caso de cenários defender+túnel). Portanto, estes âmbitos têm de ser excluídos*. Para excluir o âmbito MSGraph/User.read, qualquer aplicação na cloud pode ser excluída. Para excluir o âmbito do Túnel, tem de excluir "Gateway de Túnel da Microsoft". Estas permissões e exclusões permitem o fluxo de informações de conformidade para o Acesso Condicional.
A aplicação de uma política de Acesso Condicional a Todas as Aplicações na Cloud pode bloquear inadvertidamente o acesso dos utilizadores em alguns casos, pelo que não é recomendado. Leia mais sobre as políticas de Acesso Condicional nas Aplicações na Cloud
Para obter mais informações, veja Impor a conformidade para Microsoft Defender para Endpoint com o Acesso Condicional no Intune.
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.