Настройка Microsoft Defender для конечной точки с помощью Intune и подключенных устройств

В этой статье содержатся пошаговые инструкции по подключению Microsoft Defender для конечной точки к Microsoft Intune, подключению устройств к Defender для конечной точки по платформе, а также настройке политик соответствия требованиям и условного доступа, которые используют уровни риска устройств для управления доступом к корпоративным ресурсам.

Требования для конкретных задач перечислены в этой статье. Также ознакомьтесь с общими предварительными условиями интеграции.

Что вы будете делать

После выполнения этого руководства вы завершите следующие рабочие процессы интеграции:

Подключение между Intune и Microsoft Defender для конечной точки
Устройства, подключенные к Microsoft Defender для конечной точки (Windows, macOS, Android, iOS/iPadOS)
Политики соответствия требованиям , настроенные для автоматической пометки устройств, подверженных риску, как несоответствующие
Политики условного доступа , которые блокируют несоответствующие устройства из корпоративных ресурсов

Быстрая навигация

Для мобильных сред: В этом руководстве также рассматриваются политики защиты приложений для устройств Android и iOS/iPadOS. Эти политики задают уровни риска устройств и работают как с зарегистрированными, так и с незарегистрированных устройств, обеспечивая дополнительную защиту мобильных приложений на основе Microsoft Defender для конечной точки оценки угроз.

Дополнительные возможности: Помимо зарегистрированных устройств, вы также можете управлять конфигурациями безопасности Defender для конечной точки на устройствах, которые не зарегистрированы на Intune (включая Linux устройствах). Этот сценарий называется управлением безопасностью для Microsoft Defender для конечной точки. Чтобы включить эту функцию, установите переключатель Разрешить Microsoft Defender для конечной точки для принудительного применения конфигураций безопасности конечных точек значение Включено. Дополнительные сведения см. в разделе Управление конфигурацией безопасности Microsoft Defender для конечной точки.

Важно!

Управление администраторами устройств Android (DA) не рекомендуется и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление DA, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств Android 15 и более ранних версий без GMS. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Подключение Microsoft Defender для конечной точки к Intune

Эта одноразовая настройка для каждого клиента устанавливает подключение между службами, которое включает функции интеграции.

Необходимые условия:

Включение интеграции Intune и Microsoft Defender для конечной точки

  1. Сначала проверьте состояние подключения: Войдите в Центр администрирования Microsoft Intune и выберите Безопасность>конечных точек Microsoft Defender для конечной точки.

    • Если состояние подключенияотображается включено, службы уже подключены. Перейдите к разделу Подключение устройств.
    • Если состояние подключения указано Недоступно, перейдите к следующему шагу.

  2. Откройте портал Microsoft Defender. В Центре администрирования Intune прокрутите страницу Microsoft Defender для конечной точки вниз и выберите Открыть Центр безопасности в Microsoft Defender (или перейдите непосредственно к security.microsoft.com).

    Совет

    Если подключение уже подключено, по ссылке будет показано следующее: Откройте консоль администрирования Microsoft Defender для конечной точки.

    Снимок экрана: исправление для открытия Центра безопасности в Microsoft Defender.

  3. Включите подключение на портале Microsoft Defender. На портале Microsoft Defender перейдите в разделПараметры>системы>Конечные точки>Общие>дополнительные функции.

    Снимок экрана: консоль Defender с путем к параметрам и конечным точкам.

    Найдите подключение Microsoft Intune, установите переключатель в значение Вкл., а затем выберите Сохранить параметры.

    Снимок экрана: параметр подключения Microsoft Intune.

    Дополнительные сведения об этом параметре см. в разделе Microsoft Intune подключения в документации по Defender для конечной точки.

  4. Проверки: Вернитесь в центр администрирования Intune. Теперь в поле Состояние подключения должно отображаться значение Включено (обновление может занять до 15 минут). При необходимости можно просмотреть и настроить параметры мониторинга в разделе Безопасность >конечных точекMicrosoft Defender для конечной точки.

Подключение между службами теперь установлено. Продолжайте настраивать платформы и функции, использующие эту интеграцию.

Настройка параметров интеграции

После установки подключения к службе укажите, какие платформы подключаются к Microsoft Defender для конечной точки для оценки политики соответствия требованиям и защиты приложений.

Предварительные требования: Администратор доступ к центру администрирования Microsoft Intune с помощью роли Endpoint Security Manager или эквивалентных разрешений для параметров Защиты от угроз на мобильных устройствах (для пользовательских ролей требуются права на чтение и изменение для разрешения Mobile Threat Defense; см. раздел Создание настраиваемой роли).

Настройка параметров соответствия требованиям и защиты приложений

  1. Перейдите к параметрам интеграции: В Центре администрирования Microsoft Intune перейдите в раздел Безопасность >конечных точек Microsoft Defender для конечной точки. Теперь в поле Состояние подключения должно отображаться значение Включено.

  2. Настройка оценки политики соответствия требованиям. Включите следующие параметры в разделе Оценка политики соответствия для поддерживаемых платформ:

    • Подключение устройств Android к Microsoft Defender для конечной точки: Включено
    • Подключение устройств iOS/iPadOS к Microsoft Defender для конечной точки: Включено
    • Подключение устройств Windows к Microsoft Defender для конечной точки: Включено

    Примечание.

    Если этот параметр включен, все применимые устройства, которыми вы сейчас управляете с помощью Intune, а также будущие регистрации, будут подключены к Microsoft Defender для конечной точки для оценки соответствия требованиям.

    Совет

    Дополнительные параметры iOS: Для устройств iOS Defender для конечной точки также поддерживает параметры, которые помогают обеспечить оценку уязвимостей приложений. Вы можете включить синхронизацию приложений для устройств iOS, чтобы разрешить общий доступ к метаданным для анализа угроз (требуется регистрация MDM), а также настроить отправку полных данных инвентаризации приложений на личные устройства iOS/iPadOS , чтобы контролировать, какие данные приложения передаются в Defender для конечной точки. Дополнительные сведения см. в разделе Настройка оценки уязвимостей приложений.

    Подробнее см. в разделе Параметры переключения защиты от угроз для мобильных устройств.

  3. Настройка оценки политики защиты приложений: Включите следующие параметры в разделе защита приложений оценки политики для мобильных платформ:

    • Подключение устройств Android к Microsoft Defender для конечной точки: Включено
    • Подключение устройств iOS/iPadOS к Microsoft Defender для конечной точки: Включено

    Совет

    политики защита приложений работают как с зарегистрированными, так и с незарегистрированных устройств. Дополнительные сведения см. в разделе Параметры переключателя Mobile Threat Defense.

  4. Сохраните конфигурацию: Нажмите кнопку Сохранить , чтобы применить все параметры.

Включенные платформы будут подключать устройства к Microsoft Defender для конечной точки для оценки угроз и оценки соответствия требованиям.

Важно!

Классическая очистка условного доступа: С августа 2023 года Intune больше не создает классические политики условного доступа для Microsoft Defender для конечной точки. Если у клиента есть устаревшие политики из предыдущих интеграций, их можно безопасно удалить. Чтобы проверка: портал Azure>Microsoft Entra ID>Кондиционные политики классического доступа>.

Подключение устройств

Подключение устройств настраивает управляемые устройства для взаимодействия с Microsoft Defender для конечной точки, что позволяет обнаруживать угрозы и оценивать риски.

Предварительные требования: Администратор доступ к центру администрирования Microsoft Intune с помощью роли Endpoint Security Manager или эквивалентных разрешений для политик обнаружения конечных точек и реагирования на нее (настраиваемым ролям требуются права на назначение, создание, удаление, чтение, обновление и просмотр отчетов для обнаружения и реагирования на конечную точку разрешение).

Совет

Требование к версии: Всегда используйте последнюю версию Microsoft Defender для конечной точки для каждой платформы, чтобы обеспечить оптимальную защиту и совместимость.

Подключение для конкретной платформы:

  • Windows: пакет автоматического подключения (рекомендуется)
  • macOS, Android, iOS/iPadOS: требуется ручная настройка

Подключение устройств Windows

После установки подключения к службе Intune автоматически получает пакет конфигурации подключения от Microsoft Defender для конечной точки. Этот пакет обеспечивает следующее:

Примечание.

Подключение устройства — это однократное действие для каждого устройства.

Выберите подход к развертыванию:

  • Быстрая настройка: предварительно настроенная политика (развертывается на всех устройствах)
  • Настраиваемая настройка: создание политики вручную (детализированное управление)

Вариант 1. Быстрая настройка (предварительно настроенная политика)

Используйте этот параметр для быстрого и широкого развертывания на всех устройствах Windows без дополнительной настройки.

Что входит в состав:

  • Настройка пакета автоматического подключения
  • Тег область по умолчанию
  • Группа "Назначение всем устройствам"
  • Дополнительная настройка не требуется
Быстрые действия по настройке

  1. В Центре администрирования Microsoft Intune перейдите на вкладкуОбнаружение и ответ> конечной точки безопасности> конечной точкиEDR Состояние подключения.

  2. Выберите Развернуть предварительно настроенную политику.

    Снимок экрана: путь к параметру предварительно настроенной политики.

  3. Настройте политику:

    • Платформа: выберите Windows (для управляемого Intune) или Windows (ConfigMgr) (для подключения клиента)
    • Профиль: выберите Обнаружение конечной точки и ответ.
    • Имя. Введите описательное имя (например, "подключение MDE EDR — все устройства Windows")

  4. Проверка и создание. Проверьте параметры и нажмите кнопку Сохранить. Политика немедленно начинает развертывание на всех устройствах Windows.

    Примечание.

    Вы можете изменить сведения о политике позже, но параметры начального развертывания не могут быть изменены во время создания.

Вариант 2. Пользовательская настройка (создание политики вручную)

Используйте этот параметр для детализированного управления, определенных групп устройств или пользовательских тегов область.

Действия по настраиваемой настройке

  1. В центре администрирования Microsoft Intune выберите Обнаружениеи ответ> конечной точки Безопасность конечных точек> На вкладке Сводка создание> политики.

  2. Платформа и профиль:

    • Платформа: Windows
    • Профиль: обнаружение и ответ конечной точки
    • Нажмите кнопку Создать

  3. Основы: Введите описательное имя и необязательное описание, а затем нажмите кнопку Далее.

  4. Параметры конфигурации: Настройте эти параметры в соответствии со своими требованиями:

    • Microsoft Defender для конечной точки тип пакета конфигурации клиента:

      • Автоматически из соединителя (рекомендуется). Использует пакет автоматического подключения из Microsoft Defender для конечной точки.
      • Подключение. Для отключенных сред вставьте содержимое большого двоичного объекта WindowsDefenderATP.onboarding.

    • Общий доступ к примерам. Настройте, будут ли устройства совместно использовать примеры подозрительных файлов с корпорацией Майкрософт для анализа.

      • Все. Включает автоматический общий доступ к образцам для расширенного обнаружения угроз.
      • Нет: отключает общий доступ к образцам (может уменьшить возможности обнаружения).

    Примечание.

    Частота создания отчетов телеметрии не рекомендуется использовать и не влияет на новые устройства. Параметр остается видимым для совместимости старых политик.

    Снимок экрана: параметры конфигурации для обнаружения и нейтрализации атак на конечные точки.

    Примечание.

    На предыдущем снимке экрана показаны параметры конфигурации после настройки подключения между Intune и Microsoft Defender для конечной точки. При подключении сведения о подключении и отключении BLOB-объектов автоматически создаются и передаются в Intune.

    Если это подключение не настроено, параметр Microsoft Defender для конечной точки типа пакета конфигурации клиента включает только параметры для указания подключенных и отключенных BLOB-объектов.

  5. Теги области (необязательно): при необходимости добавьте область теги, а затем нажмите кнопку Далее.

  6. Назначения. Выберите группы устройств, которые получают этот профиль.

    Важно!

    • Группы устройств. Рекомендуется для немедленного развертывания.
    • Группы пользователей: требуется вход пользователя перед применением политики.

    Рекомендации по назначению см. в статье Назначение профилей пользователей и устройств.

  7. Проверка и создание: проверьте все параметры и нажмите кнопку Создать.

Действия по проверке
  1. Проверка развертывания политики. Перейдите в раздел Обнаружение конечных точек безопасности>конечной точки и ответ> Выберите свою политику >Состояние устройства.
  2. Проверка подключения устройств. Через 15–30 минут устройства должны появиться на портале Microsoft Defender в разделеИнвентаризация конечных>точекустройств.

Совет

Избегайте конфликтов политик: Несколько политик, управляющих одинаковыми параметрами, могут вызвать конфликты. Рекомендации по устранению неполадок см. в статье Управление конфликтами политик .

Подключение устройств macOS

В отличие от устройств Windows, macOS требует ручной настройки, так как Intune не предоставляет пакеты автоматического подключения для macOS.

Краткое руководство по подключению macOS

  1. Развертывание приложения. Следуйте инструкциям в руководстве по развертыванию Microsoft Defender для конечной точки для macOS.
  2. Настройка параметров. Используйте политики конфигурации приложений Intune.
  3. Проверка подключения: проверка устройства отображается на портале Microsoft Defender.

Дополнительные ресурсы:

Подключение устройств Android

Краткое руководство по подключению Android

  1. Развертывание приложения. Следуйте инструкциям в руководстве По развертыванию и настройке Microsoft Defender для конечной точки в Android.
  2. Настройка веб-защиты. Используйте политики веб-защиты Microsoft Defender для конечной точки для дополнительной безопасности.
  3. Проверка подключения. Подтвердите регистрацию устройства на портале Microsoft Defender.

Доступные конфигурации:

  • Параметры веб-защиты
  • Сканирование на основе VPN
  • Средства обеспечения конфиденциальности
  • Параметры обнаружения угроз

Подключение устройств iOS/iPadOS

Краткое руководство по подключению iOS

  1. Развертывание приложения. Следуйте Microsoft Defender для конечной точки предварительных требований для iOS и инструкции по подключению.
  2. Настройка обнаружения контроля. Настройка обнаружения в защищенном режиме для расширенных функций
  3. Проверка подключения. Проверьте регистрацию устройства на портале Microsoft Defender.

Конфигурация защищенного режима: Для защищенных устройств iOS/iPadOS настройте обнаружение контроля, чтобы включить расширенные функции управления. См. раздел Завершение развертывания для защищенных устройств.

Действия по настройке для защищенных устройств

  1. Создайте политику конфигурации приложений: В центре администрирования Microsoft Intune выберите Приложения>Политики конфигурации приложений>Добавить>управляемые устройства.

  2. Основные сведения о настройке:

    • Имя: введите описательное имя (например, "обнаружение контроля MDE - iOS")
    • Платформа: iOS/iPadOS
    • Целевое приложение: Microsoft Defender для конечной точки

  3. Параметры конфигурации:

    • Ключ конфигурации: issupervised
    • Тип значения: String
    • Значение конфигурации: {{issupervised}}

  4. Назначение. Предназначение для всех устройств или определенных защищенных групп устройств.

  5. Просмотр и создание: завершение создания политики.

Мониторинг состояния подключения устройства

Выполните следующие действия, чтобы отслеживать, какие устройства успешно подключены к Microsoft Defender для конечной точки.

Чтобы просмотреть состояние подключения:

  1. В Центре администрирования Microsoft Intune перейдите на вкладкуОбнаружение и ответ> конечной точки безопасности> конечной точкиEDR Состояние подключения.
  2. Просмотр состояния подключения для всех платформ

Необходимое разрешение: Вашей учетной записи требуется разрешение на чтение для Microsoft Defender Advanced Threat Protection в Intune RBAC.

Показатели успеха:

  • Устройства отображаются на портале Microsoft Defender в разделеИнвентаризация конечных>точекустройства
  • Состояние подключения EDR отображается "Успешно подключено"
  • Уровни риска начинают отображаться в отчетах о соответствии устройств

Создание и назначение политики соответствия требованиям в целях установки уровня риска для устройства

Устройства, превышающие настроенное пороговое значение риска, автоматически помечаются как несоответствующие, что позволяет политикам условного доступа блокировать их от корпоративных ресурсов.

Поддерживаемые платформы: Устройства Android, iOS/iPadOS и Windows

Необходимые условия:

  • Администратор доступ к центру администрирования Microsoft Intune с помощью роли Endpoint Security Manager или эквивалентных разрешений для политик соответствия устройств (настраиваемым ролям требуются права на назначение, создание, удаление, чтение и обновление для разрешений политик соответствия устройств).

Совет

Не знакомы с политиками соответствия требованиям? Общие инструкции см. в руководстве по созданию политики . В следующих шагах основное внимание уделяется Microsoft Defender для конечной точки интеграции.

Действия по созданию политики

  1. Перейдите к политикам соответствия. В центре администрирования Microsoft Intune выберите Устройства>, разверните узел Управление устройствами и перейдите на вкладкуПолитикисоответствия требованиям>на вкладке> Создать политику.

  2. Выберите платформу: Выберите целевую платформу:

    • Администратор устройства Android (ограниченная поддержка)
    • Android Enterprise (рекомендуется для Android)
    • iOS/iPadOS
    • Windows 10 и более поздние версии

    Важно!

    14 октября 2025 г. Windows 10 закончила поддержку и не будет получать обновления качества и компонентов. Windows 10 является допустимой версией в Intune. Устройства под управлением этой версии по-прежнему могут регистрироваться в Intune и использовать соответствующие функции, но функциональность не гарантируется и может отличаться.

    При необходимости выберите тип профиля, например политику соответствия Windows 10/11 для платформы Windows.

  3. Основные сведения о настройке:

    • Имя: введите описательное имя (например, "MDE уровень риска — устройства Windows").
    • Описание: необязательные сведения о назначении политики

  4. Задайте пороговое значение риска: На вкладке Параметры соответствия разверните узел Microsoft Defender для конечной точки и настройте Требовать, чтобы устройство было в оценке риска компьютера или под ней:

    Параметры уровня риска (определяются Microsoft Defender для конечной точки):

    • Очистить (наиболее безопасный):

      • Разрешает: угрозы отсутствуют
      • Блоки: все обнаруженные угрозы
      • Используйте, когда: Требуется максимальная безопасность

    • Низкий:

      • Разрешает: только низкоуровневые угрозы
      • Блоки: средние и высокие угрозы
      • Используйте, когда: сбалансированная безопасность и производительность

    • Средний:

      • Позволяет: низкие и средние угрозы
      • Блоки: только угрозы высокого уровня
      • Используйте, когда: Умеренные требования к безопасности

    • Высокий (наименее безопасный)

      • Разрешает: все уровни угроз
      • Блоки: нет (только для отчетов)
      • Используйте, когда: Максимальная производительность, минимальная блокировка

    Важно!

    Рекомендуемый параметр. Низкий обеспечивает наилучший баланс между безопасностью и производительностью пользователей для большинства организаций.

  5. Полная конфигурация:

    • Действия при несоответствии: настройка уведомлений и льготных периодов
    • Назначения: выберите устройства или группы пользователей для получения этой политики.
    • Проверка и создание: проверка параметров и создание политики

  6. Проверки:

    • Устройства, превышающие пороговое значение риска, отображаются как "Несоответствующие" в разделе Соответствие устройств>>соответствие устройствам
    • Проверка соответствия отчеты>о соответствии устройств на наличие тенденций соответствия требованиям

Создание и назначение политики защиты приложений в целях установки уровня риска для устройства

политики защита приложений работают независимо от регистрации устройств, обеспечивая дополнительный уровень безопасности для мобильных приложений.

Платформы: только iOS/iPadOS и Android

Необходимые условия:

  • Администратор доступ к центру администрирования Microsoft Intune с помощью роли Endpoint Security Manager или эквивалентных разрешений для политик мобильных приложений, связанных с безопасностью (настраиваемым ролям требуются права на назначение, создание, удаление, чтение, обновление и очистку для разрешения управляемых приложений).

Следуйте инструкциям в руководстве по созданию политики защиты приложений и настройте следующие Microsoft Defender для конечной точки параметры:

  • Приложения: выберите приложения для защиты с помощью политик на основе угроз.

  • Условный запуск: настройте действия по уровню угроз и реагированию.

    • Максимальный допустимый уровень угрозы устройства:
      • Защищено: угрозы не допускаются (наиболее безопасные)
      • Низкий: разрешены только низкоуровневые угрозы
      • Средний: разрешены низкие и средние угрозы
      • Высокий: разрешены все уровни угроз (только отчеты)
    • Действия при превышении порогового значения:
      • Блокировка доступа: запрет доступа к приложениям
      • Очистка данных: удаление корпоративных данных из приложения

  • Назначения. Назначение группам пользователей, устройства которых оцениваются для защиты на уровне приложений.

Важно!

политики защита приложений оценивают все защищенные приложения. Устройства, превышающие пороговое значение, блокируются или очищаются при условном запуске независимо от состояния регистрации.

Создание политики условного доступа

Политика условного доступа запрещает устройствам, помеченным как несоответствующие, доступ к корпоративным ресурсам, таким как SharePoint и Exchange Online.

Примечание.

Условный доступ — это технология Microsoft Entra. Центр администрирования Intune предоставляет прямой доступ к той же конфигурации условного доступа, которая доступна в портал Azure.

Необходимые условия:

Важно!

Политика, требующая соответствия устройств для всех облачных приложений, влияет на каждого пользователя в область сразу после включения. Прежде чем включить политику, сначала создайте ее в режиме "Только отчет ". Режим только для отчетов регистрирует действия политики, не блокируя никого, позволяя подтвердить область и перехватывать неправильные настройки перед применением. См. раздел Режим только для отчетов.

Действия по созданию политики

  1. Перейдите к условному доступу: В центре администрирования Microsoft Intune выберите Условныйдоступ к> конечной >точке Безопасность конечных точекСоздать политику.

  2. Базовая конфигурация:

    • Имя: введите описательное имя (например, "Блокировать несоответствующие устройства — интеграция MDE")

  3. Назначение пользователя:

    • Включить: выберите группы пользователей, на которые должна распространяться эта политика.
    • Исключить. Мы рекомендуем исключить учетные записи администратора аварийного реагирования вашей организации, чтобы предотвратить блокировку. Если вы используете Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, также исключите роль каталога Учетные записи синхронизации каталогов.

  4. Защита ресурсов:

    • Целевые ресурсы: выберите Облачные приложения
    • Включить. Выберите приложения и добавьте:
      • Office 365 SharePoint Online
      • Office 365 Exchange Online
      • Другие корпоративные приложения по мере необходимости

  5. Условия клиентского приложения:

    • Условия>Клиентские приложения>Настройка: Да
    • Выберите браузер имобильные приложения и настольные клиенты
    • Нажмите кнопку Готово.

  6. Элементы управления доступом:

    • Предоставить>Предоставление доступа
    • Выберите: требовать, чтобы устройство было помечено как соответствующее
    • Для нескольких элементов управления: требуются все выбранные элементы управления.
    • Нажмите Выбрать

  7. Включить политику: Установите для параметра Включить политикузначение Только отчет, а затем нажмите кнопку Создать. Политика сохраняется, но пока не блокирует доступ.

  8. Просмотрите результаты, доступные только для отчета: Подождите 24 часа, пока данные для входа накопятся, а затем просмотрите результаты:

    • В Центр администрирования Microsoft Entra перейдите в раздел Мониторинг удостоверений>& журналы входа>в систему.
    • Отфильтруйте по имени политики и просмотрите столбец Только отчет . Убедитесь, что только ожидаемые устройства и пользователи отображаются как несоответствующие.
    • Если область выглядит правильно, вернитесь враздел Политикиусловного доступа>, выберите свою политику и измените параметр Включить политику на Включено.

  9. Проверки: Протестируйте на несоответствующее устройство, чтобы убедиться, что доступ заблокирован правильно. Проверьте Microsoft Entra ID>Sign-ins на наличие журналов принудительного применения политики.

Дальнейшие действия

Дальнейшие действия

  1. Мониторинг развертывания: проверка состояния подключения устройства и отчетов о соответствии требованиям
  2. Проверка защиты: тестирование с помощью управляемых сценариев, чтобы убедиться, что политики работают должным образом
  3. Расширение защиты. Рассмотрите возможность управления уязвимостями для упреждающего устранения угроз

Улучшения для конкретной платформы

Дополнительные функции

интеграция Intune:

Microsoft Defender для конечной точки:

Ресурсы поддержки

  • Last updated on