了解将Microsoft Defender for Endpoint与Microsoft Intune集成如何保护组织。 通过此集成,你可以实时评估设备风险,并自动阻止公司资源中泄露的设备,从而防止安全漏洞,并通过自动将有风险的设备标记为不合规来限制其影响。
例如,如果恶意软件危害用户的设备,Microsoft Defender for Endpoint将该设备标记为高风险,Intune可以自动切断对公司资源的访问。
提示
在开始之前,请确保为帐户分配了Intune角色,该角色具有足够的权限来配置这些设置。 例如,Endpoint Security Manager 的Intune内置角色具有必要的权限。
集成工作流
以下工作流适用于使用 Intune 注册的设备。 有关详细说明,请参阅在 Intune 中配置Microsoft Defender for Endpoint:
- 在 Intune 与 Microsoft Defender for Endpoint 之间建立服务到服务连接。
- 使用Intune策略加入具有Microsoft Defender for Endpoint的设备。
- 创建设备符合性策略 以设置可接受的风险级别。
- 配置条件访问策略 以阻止不符合的设备。
扩展集成: 配置后,可以利用 威胁 & 漏洞管理 (TVM) 来修正 Defender 识别的终结点弱点。
其他集成选项
应用保护策略:可以使用应用保护策略为已注册和未注册的设备设置设备风险级别。 这基于 Defender 威胁评估提供应用级保护。
未注册的设备:对于未在Intune中注册或无法注册的设备,请使用Microsoft Defender for Endpoint Intune的安全管理通过终结点安全策略管理 Defender 设置,而无需完全注册设备。
在开始上述任何集成工作流之前,请确保具有所需的许可证和平台配置。
先决条件
Intune要求
订阅:Microsoft Intune 计划 1订阅提供对Intune和Microsoft Intune管理中心的访问权限。
有关许可选项,请参阅Microsoft Intune许可。
支持的平台:
| 平台 | 要求 |
|---|---|
| Android | Intune管理的设备 |
| iOS/iPadOS | Intune管理的设备 |
| Windows | Microsoft Entra ID混合联接或已加入Microsoft Entra ID |
Microsoft Defender for Endpoint要求
订阅:Microsoft Defender for Endpoint订阅提供对Microsoft Defender XDR门户的访问权限。
有关许可和系统要求,请参阅:
- Microsoft Defender for Endpoint最低要求中的许可要求
- Microsoft 365 E5试用版订阅设置
- Microsoft Defender for Endpoint系统要求
真实场景:阻止网络钓鱼攻击
此示例演示Microsoft Defender for Endpoint和Intune如何协同工作以自动包含威胁。 在此方案中,集成已配置。
攻击如何展开
- 初始入侵:用户通过包含嵌入恶意代码的电子邮件接收Word文档。
- 用户作:用户打开附件并启用宏。
- 特权提升:恶意软件在设备上获得提升的权限。
- 横向移动:攻击者尝试通过受攻击的设备访问其他公司资源。
集成如何防止违规
检测:Microsoft Defender for Endpoint检测到:
- 异常代码执行
- 处理权限提升
- 恶意代码注入
- 可疑的远程 shell 活动
风险评估:根据这些威胁指标,Microsoft Defender for Endpoint将设备分类为高风险,并在Microsoft Defender XDR门户中创建详细报告。
合规性强制实施:Intune设备符合性策略会自动将风险级别为“中等”或“高风险”的设备标记为不合规。
访问阻止:条件访问策略立即阻止受攻击的设备访问公司资源。
遏制:在安全团队调查和修正时包含威胁。
注意
可以将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成为移动威胁防御 (MTD) 解决方案,这意味着 Defender 充当Intune合规性决策的威胁检测引擎。
特定于平台的功能
与 Microsoft Defender for Endpoint 集成时,不同的平台提供独特的配置选项:
Android:使用Intune设备配置策略配置Microsoft Defender for Endpoint Web 保护设置,包括启用或禁用基于 VPN 的扫描的功能。
iOS/iPadOS:启用应用的漏洞评估,以允许 Defender 分析来自Intune的应用元数据,以增强威胁检测。
Windows:受益于自动载入功能,并使用Microsoft Defender for Endpoint安全基线进行全面的规范性安全配置。
后续步骤
准备好对此进行设置了吗? 有关分步说明,请继续阅读下面的配置指南。
配置集成
主要指南:在 Intune 中配置Microsoft Defender for Endpoint - 完成有关连接、载入设备和配置条件访问策略的分步说明。
扩展知识
Intune资源:
Microsoft Defender for Endpoint资源: