在適用於端點的 Microsoft Defender 中設定條件式存取
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本節將引導您完成正確實作條件式存取所需的所有步驟。
開始之前
警告
請務必注意,在此案例中不支援 Microsoft Entra 註冊的裝置。僅支援 Intune 註冊的裝置。
您必須確定所有裝置都已在 Intune 中註冊。 您可以使用下列任一選項在 Intune 中註冊裝置:
- IT 管理員:如需如何啟用自動註冊的詳細資訊,請參閱 Windows 註冊
- 終端使用者:如需如何在 Intune 中註冊 Windows 10 和 Windows 11 裝置的詳細資訊,請參閱在 Intune 中註冊 Windows 10 裝置
- 使用者替代方式:如需加入 Microsoft Entra 網域的詳細資訊,請參閱如何:規劃您的 Microsoft Entra 加入實作。
您必須在 Microsoft Defender 全面偵測回應、Intune 入口網站和 Microsoft Entra 系統管理中心 中採取一些步驟。
請務必注意存取這些入口網站並實作條件式存取所需的角色:
- Microsoft Defender 全面偵測回應 - 您必須使用全域系統管理員角色登入入口網站,才能開啟整合。
- Intune - 您必須使用具有管理權限的安全性系統管理員權限登入入口網站。
- Microsoft Entra 系統管理中心 - 您必須以全域管理員、安全性系統管理員或條件式存取系統管理員的身分登入。
注意事項
您將需要 Microsoft Intune 環境,Intune 受控和 Microsoft Entra 加入 Windows 10 和 Windows 11 裝置。
請採取下列步驟來啟用條件式存取:
- 步驟 1:從 Microsoft Defender 全面偵測回應 開啟 Microsoft Intune 連線
- 步驟 2:在 Intune 中開啟適用於端點的 Defender 整合
- 步驟 3:在 Intune 中 Create 合規性政策
- 步驟 4:指派原則
- 步驟 5:Create Microsoft Entra 條件式存取原則
步驟 1:開啟 Microsoft Intune 連線
- 在瀏覽窗格中,選取 [設定>端點>一般>進階功能>Microsoft Intune 連線] 。
- 將 [Microsoft Intune] 設定切換為 [開啟]。
- 按兩下 [儲存喜好設定]。
步驟 2:在 Intune 中開啟適用於端點的 Defender 整合
- 登入 Intune 入口網站
- 選取 [端點安全>性 適用於端點的 Microsoft Defender]。
- 將 [連線 Windows 10.0.15063+ 裝置設定為 [開啟 Microsoft Defender 進階威脅防護]。
- 按一下儲存。
步驟 3:在 Intune 中 Create 合規性政策
在 Azure 入口網站 中,選取 [所有服務]、篩選 Intune,然後選取 [Microsoft Intune]。
選取 [裝置合規性>原則>Create 原則]。
輸入 [名稱 ] 和 [ 描述]。
在 [平臺] 中,選取 [Windows 10 和更新版本]。
在 [ 裝置健康 情況] 設定中,將 [ 需要裝置處於或低於裝置威脅等級 ] 設定為您慣用的層級:
- 安全:此層級最安全。 裝置不能有任何現有的威脅,而且仍然會存取公司資源。 如果找到任何威脅,系統會將裝置評估為不符合規範。
- 低:如果只有低層級威脅存在,裝置就會符合規範。 具有中度或高威脅等級的裝置不符合規範。
- 中型:如果在裝置上發現的威脅為低或中,則裝置符合規範。 如果偵測到高威脅層級,則系統會將裝置判定為不符合規範。
- 高:此層級最不安全,並允許所有威脅層級。 因此,具有高、中或低威脅層級的裝置會被視為符合規範。
選取 [確定],Create 將變更儲存 (並建立原則) 。
步驟 4:指派原則
- 在 Azure 入口網站 中,選取 [所有服務]、篩選 Intune,然後選取 [Microsoft Intune]。
- 選取 [裝置合規性>原則]> 選取您的 適用於端點的 Microsoft Defender 合規性政策。
- 選取 [作業]。
- 包含或排除您的 Microsoft Entra 群組以指派原則。
- 若要將原則部署至群組,請選取 [ 儲存]。 系統會評估原則的目標用戶裝置是否符合規範。
步驟 5:Create Microsoft Entra 條件式存取原則
在 Azure 入口網站 中,開啟 [Microsoft Entra ID>][條件式存取>新原則]。
輸入原則 [名稱],然後選取 [ 使用者和群組]。 使用 [包含] 或 [排除] 選項來新增原則的群組,然後選取 [ 完成]。
選取 [雲端應用程式],然後選擇要保護的應用程式。 例如,選擇 [選取應用程式],然後選 Office 365 [SharePoint Online] 和 [Office 365 Exchange Online]。 選取 [完成] 來儲存變更。
選 取 [條件>][用戶端應用程式 ],將原則套用至應用程式和瀏覽器。 例如,選取 [是],接著啟用 [瀏覽器] 和 [行動裝置應用程式] 和 [桌面用戶端]。 選取 [完成] 來儲存變更。
選取 [授權] 以根據裝置合規性來套用條件式存取。 例如,選 取 [授與存取權>][需要將裝置標示為符合規範]。 選擇 [選取] 以儲存您的變更。
選取 [啟用原則],然後 Create 儲存變更。
注意事項
您可以使用 適用於端點的 Microsoft Defender 應用程式以及核准的用戶端應用程式、應用程式保護原則和相容的裝置 (要求裝置在 Microsoft Entra 條件式存取原則中標示為符合規範的) 控件。 設定條件式存取時,適用於端點的 Microsoft Defender 應用程式不需要排除。 雖然在 Android & iOS (應用程式識別碼 - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 上 適用於端點的 Microsoft Defender 不是已核准的應用程式,但它能夠報告這三個授與許可權中的裝置安全性狀態。
不過,如果 Defender+Tunnel 案例) ,Defender 會在內部要求 MSGraph/User.read範圍和 Intune Tunnel 範圍 (。 因此,必須排除這些範圍*。 若要排除 MSGraph/User.read 範圍,可以排除任何一個雲端應用程式。 若要排除通道範圍,您必須排除「Microsoft Tunnel 閘道」。這些許可權和排除專案可讓您將合規性資訊流向條件式存取。
*請注意,在某些情況下,將條件式存取原則套用至所有雲端應用程式可能會不小心封鎖使用者存取,因此不建議這麼做。 深入瞭解 Cloud Apps 上的條件式存取原則
如需詳細資訊,請參閱在 Intune 中使用條件式存取強制 適用於端點的 Microsoft Defender 合規性。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應