在適用於端點的 Microsoft Defender 中設定條件式存取

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本節將引導您完成正確實作條件式存取所需的所有步驟。

開始之前

警告

請務必注意，此案例不支援 Microsoft Entra 註冊的裝置。 僅支援 Intune 註冊的裝置。

您必須確定所有裝置都已在 Intune 中註冊。 您可以使用下列任一選項在 Intune 中註冊裝置：

• IT 管理員：如需如何啟用自動註冊的詳細資訊，請參閱啟用 Windows 自動註冊。
• 終端使用者：如需如何在 Intune 中註冊 Windows 10 和 Windows 11 裝置的詳細資訊，請參閱在 Intune 中註冊您的 Windows 裝置。
• 使用者替代方式：如需加入 Microsoft Entra 網域的詳細資訊，請參閱如何：規劃您的 Microsoft Entra 加入實作。

您必須在 Microsoft Defender 入口網站、Intune 入口網站和 Microsoft Entra 系統管理中心 中採取一些步驟。

請務必注意存取這些入口網站並實作條件式存取所需的角色：

• Microsoft Defender 入口網站 - 您必須使用適當的角色登入入口網站，才能開啟整合。 請參閱 許可權選項。
• Intune - 您必須使用具有管理權限的安全性系統管理員權限登入入口網站。
• Microsoft Entra 系統管理中心 - 您必須以安全性系統管理員或條件式存取系統管理員身分登入。

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

您將需要 Microsoft Intune 環境，Intune 受控和 Microsoft Entra 加入 Windows 10 和 Windows 11 裝置。

請採取下列步驟來啟用條件式存取：

• 步驟 1：從 Microsoft Defender 全面偵測回應 開啟 Microsoft Intune 連線
• 步驟 2：在 Intune 中開啟適用於端點的 Defender 整合
• 步驟 3：在 Intune 中建立合規性政策
• 步驟 4：指派原則
• 步驟 5：建立 Microsoft Entra 條件式存取原則

步驟 1：開啟 Microsoft Intune 連線

1. 在瀏覽窗格中，選取 [設定>端點>一般>進階功能>Microsoft Intune 連線。

2. 將 [Microsoft Intune] 設定切換為 [開啟]。

3. 按兩下 [儲存喜好設定]。

步驟 2：在 Intune 中開啟適用於端點的 Defender 整合

1. 登入 Intune 入口網站

2. 選取 [端點安全>性 適用於端點的 Microsoft Defender]。

3. 將 [連線 Windows 10.0.15063+ 裝置設定為 [開啟 Microsoft Defender 進階威脅防護]。

4. 按一下儲存。

步驟 3：在 Intune 中建立合規性政策

1. 在 Azure 入口網站 中，選取 [所有服務]、篩選 Intune，然後選取 [Microsoft Intune]。

2. 選 取 [裝置合規性>原則>] [建立原則]。

3. 輸入 [名稱 ] 和 [ 描述]。

4. 在 [平臺] 中，選取 [Windows 10 和更新版本]。

5. 在 [ 裝置健康 情況] 設定中，將 [ 需要裝置處於或低於裝置威脅等級 ] 設定為您慣用的層級：

   • 安全：此層級最安全。 裝置不能有任何現有的威脅，而且仍然會存取公司資源。 如果找到任何威脅，系統會將裝置評估為不符合規範。
   • 低：如果只有低層級威脅存在，裝置就會符合規範。 具有中度或高威脅等級的裝置不符合規範。
   • 中型：如果在裝置上發現的威脅為低或中，則裝置符合規範。 如果偵測到高威脅層級，則系統會將裝置判定為不符合規範。
   • 高：此層級最不安全，並允許所有威脅層級。 因此，具有高、中或低威脅層級的裝置會被視為符合規範。

6. 選取 [確定]，然後 選取 [建立 ] 以將變更儲存 (並建立原則) 。

步驟 4：指派原則

1. 在 Azure 入口網站 中，選取 [所有服務]、篩選 Intune，然後選取 [Microsoft Intune]。

2. 選取 [裝置合規性>原則>] 選取您的 適用於端點的 Microsoft Defender 合規性政策。

3. 選取 [作業]。

4. 包含或排除您的 Microsoft Entra 群組以指派原則。

5. 若要將原則部署至群組，請選取 [ 儲存]。 系統會評估原則的目標用戶裝置是否符合規範。

步驟 5：建立 Microsoft Entra 條件式存取原則

1. 在 Azure 入口網站 中，開啟 [Microsoft Entra ID>][條件式存取>新原則]。

2. 輸入原則 [名稱]，然後選取 [ 使用者和群組]。 使用 [包含] 或 [排除] 選項來新增原則的群組，然後選取 [ 完成]。

3. 選取 [雲端應用程式]，然後選擇要保護的應用程式。 例如，選擇 [選取應用程式]，然後選取 [Office 365 SharePoint Online 並 Office 365 Exchange Online]。 選取 [完成] 來儲存變更。

4. 選 取 [條件>][用戶端應用程式 ]，將原則套用至應用程式和瀏覽器。 例如，選取 [是]，接著啟用 [瀏覽器] 和 [行動裝置應用程式] 和 [桌面用戶端]。 選取 [完成] 來儲存變更。

5. 選取 [授權] 以根據裝置合規性來套用條件式存取。 例如，選 取 [授與存取權>][需要將裝置標示為符合規範]。 選擇 [選取] 以儲存您的變更。

6. 選 取 [啟用原則]，然後 選取 [建立 ] 以儲存變更。

注意事項

您可以使用 適用於端點的 Microsoft Defender 應用程式以及核准的用戶端應用程式、應用程式保護原則和相容的裝置 (要求裝置在 Microsoft Entra 條件式存取原則中標示為符合規範的) 控件。 設定條件式存取時，適用於端點的 Microsoft Defender 應用程式不需要排除。 雖然在 Android 上 適用於端點的 Microsoft Defender & iOS (應用程式識別碼 - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已核准的應用程式，但它能夠在全部三個授與許可權中報告裝置安全性狀態。

不過，如果 Defender+Tunnel 案例) ，Defender 會在內部要求 MSGraph/User.read 範圍和 Intune Tunnel 範圍 (。 因此，必須排除這些範圍*。 若要排除 MSGraph/User.read 範圍，可以排除任何一個雲端應用程式。 若要排除通道範圍，您必須排除「Microsoft通道閘道閘道閘道」。這些許可權和排除專案可讓您將合規性資訊流向條件式存取。

在某些情況下，將條件式存取原則套用至所有雲端應用程式可能會不小心封鎖使用者存取，因此不建議這麼做。 深入瞭解 Cloud Apps 上的條件式存取原則

如需詳細資訊，請參閱在 Intune 中使用條件式存取強制 適用於端點的 Microsoft Defender 合規性。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。