Настройка условного доступа в Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.

Перед началом работы

Предупреждение

Важно отметить, что Microsoft Entra зарегистрированные устройства в этом сценарии не поддерживаются.
Поддерживаются только зарегистрированные устройства Intune.

Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:

• ИТ-Администратор. Дополнительные сведения о включении автоматической регистрации см. в разделе Регистрация Windows.
• Конечный пользователь. Дополнительные сведения о регистрации Windows 10 и Windows 11 устройства в Intune см. в статье Регистрация устройства Windows 10 в Intune.
• Альтернатива для конечного пользователя. Дополнительные сведения о присоединении к домену Microsoft Entra см. в разделе Практическое руководство. Планирование реализации Microsoft Entra присоединения.

В Microsoft Defender XDR, портале Intune и Центр администрирования Microsoft Entra необходимо выполнить действия.

Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:

• Microsoft Defender XDR. Чтобы включить интеграцию, необходимо войти на портал с ролью глобального администратора.
• Intune . Вам потребуется войти на портал с правами администратора безопасности с разрешениями на управление.
• Центр администрирования Microsoft Entra. Вам потребуется войти как глобальный администратор, администратор безопасности или администратор условного доступа.

Примечание.

Вам потребуется Microsoft Intune среда с управляемыми и Microsoft Entra присоединенными к Intune Windows 10 и Windows 11 устройствами.

Чтобы включить условный доступ, сделайте следующее:

• Шаг 1. Включение подключения Microsoft Intune из Microsoft Defender XDR
• Шаг 2. Включение интеграции Defender для конечной точки в Intune
• Шаг 3. Создание политики соответствия требованиям в Intune
• Шаг 4. Назначение политики
• Шаг 5. Создание политики условного доступа Microsoft Entra

Шаг 1. Включение подключения Microsoft Intune

1. В области навигации выберите Параметры Конечные>>точкиОбщие>дополнительные функции>Microsoft Intune подключение.
2. Переключите параметр Microsoft Intune в значение Вкл.
3. Нажмите кнопку Сохранить параметры.

Шаг 2. Включение интеграции Defender для конечной точки в Intune

1. Вход на портал Intune
2. Выберите Endpoint Security>Microsoft Defender для конечной точки.
3. Установите для параметра Подключить устройства Windows 10.0.15063+ значение Microsoft Defender Advanced Threat Protection значение Включено.
4. Нажмите кнопку Сохранить.

Шаг 3. Создание политики соответствия требованиям в Intune

1. В портал Azure выберите Все службы, отфильтруйте в Intune и выберите Microsoft Intune.

2. ВыберитеПолитики>соответствия устройств>Создать политику.

3. Введите имя и описание.

4. В разделе Платформа выберите Windows 10 и более поздних версий.

5. В параметрах работоспособности устройства установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или ниже , чтобы он был выбран для вашего предпочтительного уровня:

   • Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
   • Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
   • Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
   • Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.

6. Нажмите кнопку ОК и создать , чтобы сохранить изменения (и создать политику).

Шаг 4. Назначение политики

1. В портал Azure выберите Все службы, отфильтруйте в Intune и выберите Microsoft Intune.
2. ВыберитеПолитики>соответствия> устройств выберите политику соответствия требованиям Microsoft Defender для конечной точки.
3. Выберите Назначения.
4. Включите или исключите группы Microsoft Entra, чтобы назначить им политику.
5. Чтобы развернуть политику в группах, нажмите кнопку Сохранить. Пользовательские устройства, на которые нацелена политика, оцениваются на соответствие.

Шаг 5. Создание политики условного доступа Microsoft Entra

1. В портал Azure откройте новуюполитикуMicrosoft Entra ID>Кондиционный доступ>.

2. Введите имя политики и выберите Пользователи и группы. Используйте параметры "Включить" или "Исключить", чтобы добавить группы для политики, затем нажмите кнопку Готово.

3. Выберите Облачные приложения и выберите приложения для защиты. Например, нажмите Выбрать приложения и выберите Office 365 SharePoint Online или Office 365 Exchange Online. Нажмите Готово, чтобы сохранить изменения.

4. Выберите Условия>Клиентские приложения, чтобы применить политику к приложениям и браузерам. Например, выберите Да, а затем включите Браузер и Mobile apps and desktop clients (Мобильные приложения и настольные клиенты). Нажмите Готово, чтобы сохранить изменения.

5. Выберите Предоставить доступ, чтобы применить условный доступ на основе соответствия устройств. Например, выберите Предоставить доступ>Требовать, чтобы устройство было отмечено как соответствующее. Нажмите кнопку ОК, чтобы сохранить изменения.

6. Выберите Включить политику и нажмите Создать, чтобы сохранить изменения.

Примечание.

Приложение Microsoft Defender для конечной точки можно использовать вместе с утвержденным клиентским приложением, политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было помечено как соответствующее) в Microsoft Entra политиках условного доступа. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.

Тем не менее, внутренне Defender запрашивает MSGraph/User.read область и Intune Tunnel область (в случае сценариев Defender+Tunnel). Поэтому эти области должны быть исключены*. Чтобы исключить MSGraph/User.read область, можно исключить любое облачное приложение. Чтобы исключить область Tunnel, необходимо исключить "Шлюз Microsoft Tunnel". Эти разрешения и исключения обеспечивают поток сведений о соответствии условному доступу.

*Обратите внимание, что применение политики условного доступа ко всем облачным приложениям может в некоторых случаях случайно заблокировать доступ пользователей, поэтому не рекомендуется. Дополнительные сведения о политиках условного доступа в облачных приложениях

Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.