在 Microsoft Defender for Endpoint 中配置条件访问

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

本部分将指导完成正确实现条件访问所需的所有步骤。

开始之前

警告

请务必注意，此方案中不支持 Microsoft Entra 注册的设备。
仅支持已注册 Intune 的设备。

需要确保所有设备都在 Intune 中注册。 可以使用以下任一选项在 Intune 中注册设备：

• IT 管理员：有关如何启用自动注册的详细信息，请参阅 Windows 注册
• 最终用户：有关如何在 Intune 中注册 Windows 10 和 Windows 11 设备的详细信息，请参阅 在 Intune 中注册 Windows 10 设备
• 最终用户替代方法：有关加入 Microsoft Entra 域的详细信息，请参阅 如何：规划Microsoft Entra 联接实现。

需要在 Microsoft Defender 门户、Intune 门户和 Entra 管理中心Microsoft执行一些步骤。

请务必注意访问这些门户和实现条件访问所需的角色：

• Microsoft Defender 门户 - 需要以全局管理员角色登录门户才能启用集成。
• Intune - 需要使用具有管理权限的安全管理员权限登录到门户。
• Microsoft Entra 管理中心 - 需要以全局管理员、安全管理员或条件访问管理员身份登录。

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色，在无法使用现有角色时，应仅限于紧急情况。

注意

你将需要一个Microsoft Intune 环境，其中 Intune 托管并Microsoft已加入 Entra 的 Windows 10 和 Windows 11 设备。

执行以下步骤以启用条件访问：

• 步骤 1：从 Microsoft Defender XDR 启用 Microsoft Intune 连接
• 步骤 2：在 Intune 中启用 Defender for Endpoint 集成
• 步骤 3：在 Intune 中创建合规性策略
• 步骤 4：分配策略
• 步骤 5：创建Microsoft Entra 条件访问策略

步骤 1：打开 Microsoft Intune 连接

1. 在导航窗格中，选择 “设置>终结点>常规>高级功能>Microsoft Intune 连接”。

2. 将“Microsoft Intune”设置切换为 “开”。

3. 单击“ 保存首选项”。

步骤 2：在 Intune 中启用 Defender for Endpoint 集成

1. 登录到 Intune 门户

2. 选择“ 终结点安全性>Microsoft Defender for Endpoint”。

3. 将 “连接 Windows 10.0.15063+ 设备”设置为“Microsoft Defender 高级威胁防护 ”设置为 “开”。

4. 单击保存。

步骤 3：在 Intune 中创建合规性策略

1. 在 Azure 门户中，选择“ 所有服务”，对 Intune 进行筛选，然后选择“ Microsoft Intune”。

2. 选择“ 设备符合性>策略>”“创建策略”。

3. 输入 “名称” 和 “说明”。

4. 在 “平台”中，选择“ Windows 10 及更高版本”。

5. 在 “设备运行状况 ”设置 中，将“要求设备处于或低于设备威胁级别 ”设置为首选级别：

   • 安全：此级别是最安全的威胁级别。 设备不能有任何现有威胁，并且仍可访问公司资源。 如果发现了任何威胁，设备都会被评估为不符合。
   • 低：如果设备上仅存在低级别威胁，则该设备符合策略。 具有中等或较高威胁级别的设备不符合要求。
   • 中：如果设备上发现的威胁为低级别或中等级别，则该设备符合策略。 如果检测到高级别威胁，则设备会被确定为不合规。
   • 高：此级别是最不安全的，允许所有威胁级别。 因此，具有高、中或低威胁级别的设备被视为合规。

6. 选择“ 确定”，然后选择“ 创建 ”以保存更改 (并创建策略) 。

步骤 4：分配策略

1. 在 Azure 门户中，选择“ 所有服务”，对 Intune 进行筛选，然后选择“ Microsoft Intune”。

2. 选择“ 设备符合性>策略> ”，选择Microsoft Defender for Endpoint 合规性策略。

3. 选择“分配”。

4. 包括或排除Microsoft Entra 组，以为其分配策略。

5. 若要将策略部署到组，请选择“ 保存”。 将评估策略面向的用户设备是否合规。

步骤 5：创建Microsoft Entra 条件访问策略

1. 在 Azure 门户中， 打开Microsoft Entra ID>条件访问>新策略。

2. 输入策略 名称，然后选择 “用户和组”。 使用“包括”或“排除”选项来添加策略的组，然后选择“完成”。

3. 选择“ 云应用”，然后选择要保护的应用。 例如，选取“选择应用”，然后选择“Office 365 SharePoint Online”和“Office 365 Exchange Online”。 选择“完成”以保存更改。

4. 选择“条件”>“客户端应用”，将策略应用到应用和浏览器。 例如，选择“是”，然后启用“浏览器”和“移动应用和桌面客户端”。 选择“完成”以保存更改。

5. 选择“授予”，应用基于设备符合性的条件访问。 例如，选择“授予访问权限”>“要求设备标记为符合策略”。 选取“选择”，保存所做的更改。

6. 选择“启用策略”，然后选择“创建”以保存更改。

注意

可以将 Microsoft Defender for Endpoint 应用与 批准的客户端应用 、 应用保护策略 和 合规设备 (要求设备在 Microsoft Entra 条件访问策略中将设备标记为合规) 控件。 设置条件访问时，Microsoft Defender for Endpoint 应用不需要排除。 尽管 Android & iOS 上的 Microsoft Defender for Endpoint (应用 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已批准的应用，但它能够在所有三个授予权限中报告设备安全状况。

但是，在 Defender+Tunnel 方案) 的情况下，在内部 Defender 请求 MSGraph/User.read 范围和 Intune Tunnel 范围 (。 因此，必须排除这些范围*。 若要排除 MSGraph/User.read 范围，可以排除任何一个云应用。 若要排除 Tunnel 范围，需要排除“Microsoft Tunnel Gateway”。这些权限和排除项使符合性信息流可以流到条件访问。

在某些情况下，将条件访问策略应用于所有云应用可能会无意中阻止用户访问，因此不建议这样做。 详细了解 云应用上的条件访问策略

有关详细信息，请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。

希望体验 Defender for Endpoint？ 注册免费试用版。

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。