通过将Microsoft Defender for Endpoint与Microsoft Intune集成,可以实时评估设备风险,并通过自动将其标记为不符合要求来阻止来自公司资源的受攻击设备。
例如,如果恶意软件危害用户的设备,Microsoft Defender for Endpoint将该设备标记为高风险,Intune可以自动切断对公司资源的访问。
本文介绍集成的工作原理、它为设备合规性启用的功能,以及何时使用每个选项。 有关分步配置,请参阅在 Intune 中配置Microsoft Defender for Endpoint。
集成工作流
概括而言,注册Intune设备的集成如下所示。 有关详细说明,请参阅在 Intune 中配置Microsoft Defender for Endpoint:
- 在 Intune 与 Microsoft Defender for Endpoint 之间建立服务到服务连接。
- 使用Intune策略加入具有Microsoft Defender for Endpoint的设备。
- 创建设备符合性策略 以设置可接受的风险级别。
- 配置条件访问策略 以阻止不符合的设备。
扩展集成:配置后,可以使用Microsoft Defender 漏洞管理来修正 Defender 识别的终结点弱点。
其他集成选项
以下选项将集成扩展到传统设备合规性之外,在混合注册或未注册环境中可能很有用。
应用保护策略:可以使用应用保护策略为已注册和未注册的设备设置设备风险级别。 这基于 Defender 威胁评估提供应用级保护。
未注册的设备:对于未在Intune中注册或无法注册的设备,请使用Microsoft Defender for Endpoint Intune的安全管理通过终结点安全策略管理 Defender 设置,而无需完全注册设备。
先决条件
基于角色的访问控制
若要端到端配置此集成,需要具有管理Intune-Defender 连接、设备载入和合规性策略的权限。 具体而言,Intune基于角色的访问控制 (RBAC) 角色必须包括:
- 移动威胁防御:修改和读取 - 在 Intune 与 Defender 之间建立服务到服务连接所必需的。
- 终结点检测和响应:分配、创建、读取和更新 - 使用 Intune EDR 策略载入设备所必需的。
- 设备符合性策略: 分配、 创建、 读取和 更新 - 配置风险级别合规性策略所必需的。
可以将这些权限添加到自定义Intune角色,也可以使用内置 Endpoint Security Manager 角色,该角色是包含所有所需权限的最小特权内置Intune角色。 有关详细信息,请参阅Microsoft Intune的基于角色的访问控制。
注意
条件访问策略在 Microsoft Entra ID 中配置,需要单独的Entra ID 角色,例如条件访问管理员。
Intune要求
订阅:Microsoft Intune 计划 1订阅提供对Intune和Microsoft Intune管理中心的访问权限。
有关许可选项,请参阅Microsoft Intune许可。
支持的平台:
| 平台 | 要求 |
|---|---|
| Android | Intune管理的设备 |
| iOS/iPadOS | Intune管理的设备 |
| Windows | Microsoft Entra ID混合联接或已加入Microsoft Entra ID |
Microsoft Defender for Endpoint要求
订阅:Microsoft Defender for Endpoint订阅提供对Microsoft Defender XDR门户的访问权限。
有关许可和系统要求,请参阅Microsoft Defender for Endpoint的最低要求。
示例:自动威胁遏制
以下示例演示集成如何自动包含威胁(假设它已配置):
- 检测:Microsoft Defender for Endpoint检测设备上的威胁活动,并将其分类为高风险。
- 合规性强制实施:Intune接收风险信号,并根据合规性策略阈值自动将设备标记为不符合。
- 访问阻止:条件访问策略立即阻止不符合要求的设备访问公司资源。
- 遏制:当安全团队在Microsoft Defender XDR门户中进行调查和修正时,将包含威胁。
特定于平台的功能
与 Microsoft Defender for Endpoint 集成时,不同的平台提供独特的配置选项:
Android:使用Intune应用部署和应用配置策略,通过托管 Google Play 将 Defender for Endpoint 部署到 Android 设备。 有关完整的部署指南,请参阅在 Android 上部署Microsoft Defender for Endpoint。 部署后,使用Intune设备配置策略来配置Microsoft Defender for Endpoint Web 保护设置,包括启用或禁用基于 VPN 的扫描的功能。
iOS/iPadOS:启用 应用的漏洞评估 ,以允许 Defender 扫描已安装的应用是否存在已知漏洞。
Windows:受益于自动载入功能,并使用Microsoft Defender for Endpoint安全基线进行全面的规范性安全配置。
后续步骤
配置集成
在 Intune 中配置Microsoft Defender for Endpoint:有关连接 Intune 和 Defender、载入设备以及设置条件访问策略的完整分步说明。
相关内容
Intune资源:
Microsoft Defender for Endpoint资源: