Настройка условного доступа в Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.

Подготовка к работе

Предупреждение

Важно отметить, что в этом сценарии зарегистрированные устройства Microsoft Entra не поддерживаются.
Поддерживаются только зарегистрированные устройства Intune.

Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:

• ИТ-администратор. Дополнительные сведения о включении автоматической регистрации см. в статье Регистрация Windows.
• Конечный пользователь: дополнительные сведения о регистрации устройства с Windows 10 и Windows 11 в Intune см. в статье Регистрация устройства с Windows 10 в Intune.
• Альтернатива для конечного пользователя. Дополнительные сведения о присоединении к домену Microsoft Entra см. в разделе Практическое руководство. Планирование реализации присоединения к Microsoft Entra.

Необходимо выполнить действия на портале Microsoft Defender, портале Intune и Центре администрирования Microsoft Entra.

Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:

• Портал Microsoft Defender . Чтобы включить интеграцию, необходимо войти на портал с ролью глобального администратора.
• Intune . Вам потребуется войти на портал с правами администратора безопасности с разрешениями на управление.
• Центр администрирования Microsoft Entra . Вам потребуется войти как глобальный администратор, администратор безопасности или администратор условного доступа.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Примечание.

Вам потребуется среда Microsoft Intune с управляемыми устройствами Intune и устройствами Windows 10 и Windows 11, присоединенными к Microsoft Entra.

Чтобы включить условный доступ, сделайте следующее:

• Шаг 1. Включение подключения Microsoft Intune из XDR в Microsoft Defender
• Шаг 2. Включение интеграции Defender для конечной точки в Intune
• Шаг 3. Создание политики соответствия требованиям в Intune
• Шаг 4. Назначение политики
• Шаг 5. Создание политики условного доступа Microsoft Entra

Шаг 1. Включение подключения Microsoft Intune

1. В области навигации выберите Параметры Конечные>точки>Общие>дополнительные функции>подключения Microsoft Intune.

2. Переключите параметр Microsoft Intune в значение Вкл.

3. Нажмите кнопку Сохранить параметры.

Шаг 2. Включение интеграции Defender для конечной точки в Intune

1. Вход на портал Intune

2. Выберите Безопасность >конечной точкиMicrosoft Defender для конечной точки.

3. Установите для параметра Подключение устройств Windows 10.0.15063+ значение Включено в Microsoft Defender Advanced Threat Protection.

4. Нажмите кнопку Сохранить.

Шаг 3. Создание политики соответствия требованиям в Intune

1. На портале Azure выберите Все службы, отфильтруйте по Intune и выберите Microsoft Intune.

2. ВыберитеПолитики>соответствия устройств>Создать политику.

3. Введите имя и описание.

4. В разделе Платформа выберите Windows 10 и более поздних версий.

5. В параметрах работоспособности устройства установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или ниже , чтобы он был выбран для вашего предпочтительного уровня:

   • Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
   • Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
   • Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
   • Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.

6. Нажмите кнопку ОК и создать , чтобы сохранить изменения (и создать политику).

Шаг 4. Назначение политики

1. На портале Azure выберите Все службы, отфильтруйте по Intune и выберите Microsoft Intune.

2. ВыберитеПолитики>соответствия устройств>, выберите политику соответствия Microsoft Defender для конечной точки.

3. Выберите Назначения.

4. Включите или исключите группы Microsoft Entra, чтобы назначить им политику.

5. Чтобы развернуть политику в группах, нажмите кнопку Сохранить. Пользовательские устройства, на которые нацелена политика, оцениваются на соответствие.

Шаг 5. Создание политики условного доступа Microsoft Entra

1. На портале Azure откройте новуюполитикуусловного доступа Microsoft>Entra ID>.

2. Введите имя политики и выберите Пользователи и группы. Используйте параметры "Включить" или "Исключить", чтобы добавить группы для политики, затем нажмите кнопку Готово.

3. Выберите Облачные приложения и выберите приложения для защиты. Например, нажмите Выбрать приложения и выберите Office 365 SharePoint Online или Office 365 Exchange Online. Нажмите Готово, чтобы сохранить изменения.

4. Выберите Условия>Клиентские приложения, чтобы применить политику к приложениям и браузерам. Например, выберите Да, а затем включите Браузер и Mobile apps and desktop clients (Мобильные приложения и настольные клиенты). Нажмите Готово, чтобы сохранить изменения.

5. Выберите Предоставить доступ, чтобы применить условный доступ на основе соответствия устройств. Например, выберите Предоставить доступ>Требовать, чтобы устройство было отмечено как соответствующее. Нажмите кнопку ОК, чтобы сохранить изменения.

6. Выберите Включить политику и нажмите Создать, чтобы сохранить изменения.

Примечание.

Вы можете использовать приложение Microsoft Defender для конечной точки вместе с утвержденным клиентским приложением , политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было отмечено как соответствующее) в политиках условного доступа Microsoft Entra. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.

Тем не менее, внутренне Defender запрашивает область MSGraph/User.read и область Intune Tunnel (в случае сценариев Defender+Tunnel). Поэтому эти области должны быть исключены*. Чтобы исключить область MSGraph/User.read, можно исключить любое облачное приложение. Чтобы исключить область туннеля, необходимо исключить "Шлюз Microsoft Tunnel". Эти разрешения и исключения обеспечивают поток сведений о соответствии условному доступу.

Применение политики условного доступа ко всем облачным приложениям может в некоторых случаях случайно заблокировать доступ пользователей, поэтому это не рекомендуется. Дополнительные сведения о политиках условного доступа в облачных приложениях

Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.