在 Microsoft Defender for Endpoint 中配置条件访问

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

本部分将指导完成正确实现条件访问所需的所有步骤。

开始之前

警告

请务必注意，此方案不支持已注册Microsoft Entra设备。 仅支持已注册Intune设备。

你需要确保所有设备都已注册Intune。 可以使用以下任一选项在 Intune 中注册设备：

• IT 管理员：有关如何启用自动注册的详细信息，请参阅启用 Windows 自动注册。
• 最终用户：有关如何在 Intune 中注册Windows 10和Windows 11设备的详细信息，请参阅在 Intune 中注册 Windows 设备。
• 最终用户替代方法：有关加入Microsoft Entra域的详细信息，请参阅如何：规划Microsoft Entra联接实现。

需要在Microsoft Defender门户、Intune门户和Microsoft Entra 管理中心中执行一些步骤。

请务必注意访问这些门户和实现条件访问所需的角色：

• Microsoft Defender门户 - 需要以适当的角色登录到门户才能启用集成。 请参阅 权限选项。
• Intune - 需要使用具有管理权限的安全管理员权限登录到门户。
• Microsoft Entra 管理中心 - 需要以安全管理员或条件访问管理员身份登录。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

你将需要一个Microsoft Intune环境，其中包含Intune托管和Microsoft Entra联接Windows 10和Windows 11设备。

执行以下步骤以启用条件访问：

• 步骤 1：从Microsoft Defender XDR打开Microsoft Intune连接
• 步骤 2：在 Intune 中启用 Defender for Endpoint 集成
• 步骤 3：在 Intune 中创建符合性策略
• 步骤 4：分配策略
• 步骤 5：创建Microsoft Entra条件访问策略

步骤 1：打开Microsoft Intune连接

1. 在导航窗格中，选择“设置>终结点>常规>高级功能>Microsoft Intune连接”。

2. 将Microsoft Intune设置切换为“开”。

3. 单击“ 保存首选项”。

步骤 2：在 Intune 中启用 Defender for Endpoint 集成

1. 登录到 Intune 门户

2. 选择“终结点安全性>Microsoft Defender for Endpoint”。

3. 将“连接 Windows 10.0.15063+ 设备”设置为“Microsoft Defender高级威胁防护”设置为“开”。

4. 单击保存。

步骤 3：在 Intune 中创建符合性策略

1. 在Azure 门户，选择“所有服务”，根据Intune进行筛选，然后选择“Microsoft Intune”。

2. 选择“ 设备符合性>策略>”“创建策略”。

3. 输入 “名称” 和 “说明”。

4. 在“平台”中，选择“Windows 10及更高版本”。

5. 在 “设备运行状况 ”设置 中，将“要求设备处于或低于设备威胁级别 ”设置为首选级别：

   • 安全：此级别是最安全的威胁级别。 设备不能有任何现有威胁，并且仍可访问公司资源。 如果发现了任何威胁，设备都会被评估为不符合。
   • 低：如果设备上仅存在低级别威胁，则该设备符合策略。 具有中等或较高威胁级别的设备不符合要求。
   • 中：如果设备上发现的威胁为低级别或中等级别，则该设备符合策略。 如果检测到高级别威胁，则设备会被确定为不合规。
   • 高：此级别是最不安全的，允许所有威胁级别。 因此，具有高、中或低威胁级别的设备被视为合规。

6. 选择“ 确定”，然后选择“ 创建 ”以保存更改 (并创建策略) 。

步骤 4：分配策略

1. 在Azure 门户，选择“所有服务”，根据Intune进行筛选，然后选择“Microsoft Intune”。

2. 选择“设备符合性>策略>”，选择Microsoft Defender for Endpoint符合性策略。

3. 选择“分配”。

4. 包括或排除Microsoft Entra组以为其分配策略。

5. 若要将策略部署到组，请选择“ 保存”。 将评估策略面向的用户设备是否合规。

步骤 5：创建Microsoft Entra条件访问策略

1. 在Azure 门户中，打开Microsoft Entra ID>条件访问>新策略。

2. 输入策略 名称，然后选择 “用户和组”。 使用“包括”或“排除”选项来添加策略的组，然后选择“完成”。

3. 选择“ 云应用”，然后选择要保护的应用。 例如，选取“选择应用”，然后选择“Office 365 SharePoint Online”和“Office 365 Exchange Online”。 选择“完成”以保存更改。

4. 选择“条件”>“客户端应用”，将策略应用到应用和浏览器。 例如，选择“是”，然后启用“浏览器”和“移动应用和桌面客户端”。 选择“完成”以保存更改。

5. 选择“授予”，应用基于设备符合性的条件访问。 例如，选择“授予访问权限”>“要求设备标记为符合策略”。 选取“选择”，保存所做的更改。

6. 选择“启用策略”，然后选择“创建”以保存更改。

注意

可以将 Microsoft Defender for Endpoint 应用与批准的客户端应用 、应用保护策略和合规设备 (要求设备在Microsoft Entra条件访问策略中标记为合规) 控件。 设置条件访问时，Microsoft Defender for Endpoint应用不需要排除。 尽管 Android & iOS 上的Microsoft Defender for Endpoint (应用 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已批准的应用，但它能够在所有三个授予权限中报告设备安全状况。

但是，在 Defender+Tunnel 方案) 的情况下，Defender 内部请求 MSGraph/User.read 范围和Intune Tunnel 范围 (。 因此，必须排除这些范围*。 若要排除 MSGraph/User.read 范围，可以排除任何一个云应用。 若要排除 Tunnel 范围，需要排除“Microsoft Tunnel Gateway”。这些权限和排除项使符合性信息流可以流到条件访问。

在某些情况下，将条件访问策略应用于所有云应用可能会无意中阻止用户访问，因此不建议这样做。 详细了解 云应用上的条件访问策略

有关详细信息，请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。

希望体验 Defender for Endpoint？ 注册免费试用版。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。