在 Microsoft Defender for Endpoint 中配置条件访问

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

本部分将指导完成正确实现条件访问所需的所有步骤。

开始之前

警告

请务必注意,此方案不支持已注册Microsoft Entra设备。 仅支持已注册Intune设备。

你需要确保所有设备都已注册Intune。 可以使用以下任一选项在 Intune 中注册设备:

需要在Microsoft Defender门户、Intune门户和Microsoft Entra 管理中心中执行一些步骤。

请务必注意访问这些门户和实现条件访问所需的角色:

  • Microsoft Defender门户 - 需要以适当的角色登录到门户才能启用集成。 请参阅 权限选项
  • Intune - 需要使用具有管理权限的安全管理员权限登录到门户。
  • Microsoft Entra 管理中心 - 需要以安全管理员或条件访问管理员身份登录。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

你将需要一个Microsoft Intune环境,其中包含Intune托管和Microsoft Entra联接Windows 10和Windows 11设备。

执行以下步骤以启用条件访问:

  • 步骤 1:从Microsoft Defender XDR打开Microsoft Intune连接
  • 步骤 2:在 Intune 中启用 Defender for Endpoint 集成
  • 步骤 3:在 Intune 中创建符合性策略
  • 步骤 4:分配策略
  • 步骤 5:创建Microsoft Entra条件访问策略

步骤 1:打开Microsoft Intune连接

  1. 在导航窗格中,选择“设置>终结点>常规>高级功能>Microsoft Intune连接”。

  2. 将Microsoft Intune设置切换为“开”。

  3. 单击“ 保存首选项”。

步骤 2:在 Intune 中启用 Defender for Endpoint 集成

  1. 登录到 Intune 门户

  2. 选择“终结点安全性>Microsoft Defender for Endpoint”。

  3. “连接 Windows 10.0.15063+ 设备”设置为“Microsoft Defender高级威胁防护”设置为“开”。

  4. 单击保存

步骤 3:在 Intune 中创建符合性策略

  1. Azure 门户,选择“所有服务”,根据Intune进行筛选,然后选择“Microsoft Intune”。

  2. 选择“ 设备符合性>策略>”“创建策略”。

  3. 输入 “名称”“说明”。

  4. “平台”中,选择“Windows 10及更高版本”。

  5. “设备运行状况 ”设置 中,将“要求设备处于或低于设备威胁级别 ”设置为首选级别:

    • 安全:此级别是最安全的威胁级别。 设备不能有任何现有威胁,并且仍可访问公司资源。 如果发现了任何威胁,设备都会被评估为不符合。
    • :如果设备上仅存在低级别威胁,则该设备符合策略。 具有中等或较高威胁级别的设备不符合要求。
    • :如果设备上发现的威胁为低级别或中等级别,则该设备符合策略。 如果检测到高级别威胁,则设备会被确定为不合规。
    • :此级别是最不安全的,允许所有威胁级别。 因此,具有高、中或低威胁级别的设备被视为合规。
  6. 选择“ 确定”,然后选择“ 创建 ”以保存更改 (并创建策略) 。

步骤 4:分配策略

  1. Azure 门户,选择“所有服务”,根据Intune进行筛选,然后选择“Microsoft Intune”。

  2. 选择“设备符合性>策略>”,选择Microsoft Defender for Endpoint符合性策略。

  3. 选择“分配”。

  4. 包括或排除Microsoft Entra组以为其分配策略。

  5. 若要将策略部署到组,请选择“ 保存”。 将评估策略面向的用户设备是否合规。

步骤 5:创建Microsoft Entra条件访问策略

  1. Azure 门户中,打开Microsoft Entra ID>条件访问>新策略

  2. 输入策略 名称,然后选择 “用户和组”。 使用“包括”或“排除”选项来添加策略的组,然后选择“完成”

  3. 选择“ 云应用”,然后选择要保护的应用。 例如,选取“选择应用”,然后选择“Office 365 SharePoint Online”和“Office 365 Exchange Online”。 选择“完成”以保存更改。

  4. 选择“条件”>“客户端应用”,将策略应用到应用和浏览器。 例如,选择“是”,然后启用“浏览器”和“移动应用和桌面客户端”。 选择“完成”以保存更改。

  5. 选择“授予”,应用基于设备符合性的条件访问。 例如,选择“授予访问权限”>“要求设备标记为符合策略”。 选取“选择”,保存所做的更改。

  6. 选择“启用策略”,然后选择“创建”以保存更改。

注意

可以将 Microsoft Defender for Endpoint 应用与批准的客户端应用应用保护策略合规设备 (要求设备在Microsoft Entra条件访问策略中标记为合规) 控件。 设置条件访问时,Microsoft Defender for Endpoint应用不需要排除。 尽管 Android & iOS 上的Microsoft Defender for Endpoint (应用 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已批准的应用,但它能够在所有三个授予权限中报告设备安全状况。

但是,在 Defender+Tunnel 方案) 的情况下,Defender 内部请求 MSGraph/User.read 范围和Intune Tunnel 范围 (。 因此,必须排除这些范围*。 若要排除 MSGraph/User.read 范围,可以排除任何一个云应用。 若要排除 Tunnel 范围,需要排除“Microsoft Tunnel Gateway”。这些权限和排除项使符合性信息流可以流到条件访问。

在某些情况下,将条件访问策略应用于所有云应用可能会无意中阻止用户访问,因此不建议这样做。 详细了解 云应用上的条件访问策略

有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性

希望体验 Defender for Endpoint? 注册免费试用版

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区