Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.
Подготовка к работе
Предупреждение
Важно отметить, что в этом сценарии не поддерживаются Microsoft Entra зарегистрированные устройства. Поддерживаются только Intune зарегистрированные устройства.
Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:
- ИТ-Администратор. Дополнительные сведения о включении автоматической регистрации см. в статье Включение автоматической регистрации Windows.
- Конечный пользователь. Дополнительные сведения о регистрации Windows 10 и Windows 11 устройства в Intune см. в статье Регистрация устройства Windows в Intune.
- Альтернатива для конечного пользователя. Дополнительные сведения о присоединении к домену Microsoft Entra см. в разделе Практическое руководство. Планирование реализации Microsoft Entra присоединения.
На портале Microsoft Defender, портале Intune и Центр администрирования Microsoft Entra необходимо выполнить действия.
Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:
- Microsoft Defender портал. Чтобы включить интеграцию, необходимо войти с соответствующей ролью. См . раздел Параметры разрешений.
- Microsoft Intune центре администрирования: необходимо войти с правами администратора безопасности с разрешениями на управление.
- Центр администрирования Microsoft Entra. Необходимо войти в систему как администратор безопасности или администратор условного доступа.
Важно!
Майкрософт рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Вам нужна Microsoft Intune среда с Intune управляемыми и Microsoft Entra присоединенными Windows 10 и Windows 11 устройствами.
Чтобы включить условный доступ, выполните следующие действия, как описано в этой статье.
- Включите подключение Microsoft Intune на портале Microsoft Defender.
- Включите интеграцию Defender для конечной точки в Центре администрирования Microsoft Intune.
- Создайте и назначьте политику соответствия требованиям в Intune.
- Создайте политику условного доступа Microsoft Entra.
Шаг 1. Включение подключения Microsoft Intune
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в разделПараметры>системы>Конечные> точкиОбщие>дополнительные функции. Или, чтобы перейти непосредственно на страницу Дополнительные функции , используйте https://security.microsoft.com/securitysettings/endpoints/integration.
На странице Дополнительные функции убедитесь, что параметр Microsoft Intune подключения имеет значение Включено. При необходимости переместите переключатель в положение Вкл., а затем выберите Сохранить параметры.
Шаг 2. Включение интеграции Defender для конечной точки в Intune
В Центре администрирования Microsoft Intune по адресу https://intune.microsoft.comвыберите раздел >Настройка безопасности>конечных точекMicrosoft Defender для конечной точки. Или, чтобы перейти непосредственно к безопасности конечных точек | Microsoft Defender для конечной точки странице используйте .https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/atp
Безопасность конечной точки | Microsoft Defender для конечной точки странице в разделе Оценка политики соответствия переместите переключатель Подключить устройства Windows версии 10.0.15063 и более поздних, чтобы Microsoft Defender для конечной точки в положение Вкл.
Нажмите кнопку Сохранить в верхней части страницы.
Шаг 3. Создание и назначение политики соответствия требованиям в Intune
В Центре администрирования Microsoft Intune по адресу https://intune.microsoft.comперейдите в раздел Управление>устройствами в разделе >Соответствие требованиям. Или, чтобы перейти непосредственно к устройствам | Страница соответствия, используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
На вкладке Политикив разделе Устройства | На странице Соответствия выберите Создать политику.
Во всплывающем окне Создание политики настройте следующие параметры:
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Windows 10/11 политика соответствия.
Нажмите Создать.
Откроется мастер политики соответствия требованиям Windows 10/11. На вкладке Основные сведения настройте следующие параметры:
- Имя. Укажите уникальное, описательное имя политики.
- Описание: введите необязательное описание.
Нажмите кнопку Далее.
На вкладке Параметры соответствия разверните узел Microsoft Defender для конечной точки. Установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или под ней до предпочтительного уровня:
- Чистое. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
- Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
- Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
- Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.
Нажмите кнопку Далее.
На вкладке Действия для несоответствия уже настроены следующие параметры (их нельзя изменить):
- Действие. Пометка устройства несоответствующим.
- Расписание (через несколько дней после несоответствия): немедленно.
Можно добавить следующие действия:
Отправка сообщения электронной почты конечному пользователю: доступны следующие варианты:
- Расписание (дни после несоответствия): значение по умолчанию равно 0, но можно ввести другое значение до 365.
- Шаблон сообщения. Выберите Нет выбрано , чтобы найти и выбрать шаблон.
- Дополнительные получатели (по электронной почте): выберите Нет выбрано, чтобы найти, и выберите Microsoft Entra группы для уведомления.
Добавление устройства в список списания. Единственный доступный параметр — Расписание (дни после несоответствия). Значение по умолчанию равно 0, но можно ввести другое значение до 365.
Чтобы удалить действие, выберите ...>Удалить запись. Возможно, вам потребуется использовать горизонтальную полосу прокрутки для просмотра ....
Завершив работу на вкладке Действия для несоответствия , нажмите кнопку Далее.
На вкладке Назначения настройте следующие параметры:
- Раздел Включенные группы. Выберите один из следующих параметров:
- Добавить группы. Выберите одну или несколько групп для включения.
- Добавление всех пользователей
- Добавление всех устройств
- Исключенные группы. Выберите Добавить группы , чтобы указать группы для исключения.
Завершив работу на вкладке Назначения , нажмите кнопку Далее.
- Раздел Включенные группы. Выберите один из следующих параметров:
На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать.
Шаг 4. Создание политики условного доступа Microsoft Entra
Совет
Для выполнения следующей процедуры требуется роль администратора условного доступа в Microsoft Entra ID.
В Центре администрирования Microsoft Intune по адресу https://intune.microsoft.comперейдите в раздел >идентификатора Entraусловный доступ. Или, чтобы перейти непосредственно к условному доступу | Страница "Обзор" , используйте https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview/menuId//fromNav/Identity.
На условном доступе | Страница "Обзор" выберите Политики. Или перейти непосредственно к условному доступу | Страница "Политики" , используйте https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identity.
На условном доступе | Страница Политики выберите Новая политика.
Настройте следующие параметры на открывающейся странице Новая политика условного доступа :
Имя. Введите уникальное описательное имя.
Раздел Назначения. Настройте следующие параметры:
-
Пользователи, агенты или удостоверения рабочей нагрузки. Выберите ссылку и настройте следующие параметры:
- К чему применяется эта политика? Выберите Пользователи и группы
- Вкладка Включить : выберите Все пользователи.
- Вкладка "Исключить ":
- Выберите Пользователи и группы, а затем найдите и выберите учетные записи администратора для экстренного реагирования вашей организации.
- Если вы используете гибридные решения для идентификации, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите Роли каталогов, а затем — Учетные записи синхронизации каталогов.
-
Целевые ресурсы. Выберите ссылку и настройте следующие параметры:
- Выберите, к чему применяется эта политика. Убедитесь, что выбран параметр Ресурсы (ранее облачные приложения).
- Вкладка Включить: выберите Все ресурсы (ранее — "Все облачные приложения").
-
Пользователи, агенты или удостоверения рабочей нагрузки. Выберите ссылку и настройте следующие параметры:
Раздел Управления доступом . Настройте следующие параметры:
-
Предоставить. Выберите ссылку и настройте следующие параметры во всплывающем окне Предоставление :
Убедитесь, что выбран параметр Предоставить доступ , а затем выберите Требовать, чтобы устройство было помечено как соответствующее.
По завершении во всплывающем окне Предоставление выберите Выбрать.
-
Предоставить. Выберите ссылку и настройте следующие параметры во всплывающем окне Предоставление :
Раздел "Включить политику ": флажок " Только отчет " выбран.
По завершении работы на странице Новая политика условного доступа выберите Создать.
После подтверждения параметров с помощью режима влияния на политику или режима только отчета измените параметр включить политику в политике с "Только отчет" на Включено:
Чтобы изменить политику, перейдите в раздел Условный доступ | На странице Политики выберите https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identityполитику из списка, щелкнув значение Имя политики . На вкладке Сведения о политике во всплывающем окне сведений выберите Изменить.
Примечание.
Приложение Microsoft Defender для конечной точки можно использовать вместе с утвержденным клиентским приложением, политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было помечено как соответствующее) в политиках условного доступа Microsoft Entra. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор dd47d17a-3194-4d86-bfd5-c6ae6f5651e3приложения) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.
Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.