Поделиться через

Интеграция Microsoft Defender для конечной точки с Intune для соответствия устройств

Узнайте, как интеграция Microsoft Defender для конечной точки с Microsoft Intune может защитить организацию. Эта интеграция позволяет оценивать риски устройств в режиме реального времени и автоматически блокировать скомпрометированные устройства из корпоративных ресурсов, чтобы предотвратить нарушения безопасности и ограничить их влияние, автоматически помечая устройства, рискованные как несоответствующие.

Например, если вредоносная программа компрометирует устройство пользователя, Microsoft Defender для конечной точки помечает это устройство как высокий риск, и Intune может автоматически отключить доступ к корпоративным ресурсам.

Совет

Перед началом работы убедитесь, что вашей учетной записи назначена роль Intune с достаточными разрешениями для настройки этих параметров. Например, встроенная роль Intune Endpoint Security Manager имеет необходимые разрешения.

Рабочий процесс интеграции

Следующий рабочий процесс применяется к устройствам, зарегистрированным в Intune. Подробные инструкции см. в разделе Настройка Microsoft Defender для конечной точки в Intune:

  1. Установите подключение между Intune и Microsoft Defender для конечной точки.
  2. Подключение устройств с Microsoft Defender для конечной точки с помощью политики Intune.
  3. Создайте политику соответствия устройств , чтобы задать допустимые уровни риска.
  4. Настройте политику условного доступа для блокировки устройств, не соответствующих требованиям.

Расширение интеграции: После настройки вы можете использовать управление уязвимостями & угроз (TVM) для устранения уязвимостей конечных точек, выявленных Defender.

Дополнительные параметры интеграции

политики защита приложений. Политики защиты приложений можно использовать для установки уровней риска устройств для зарегистрированных и незарегистрированных устройств. Это обеспечивает защиту на уровне приложения на основе оценки угроз в Defender.

Незарегистрированные устройства. Для устройств, которые не зарегистрированы в Intune, используйте управление безопасностью Intune для Microsoft Defender для конечной точки для управления параметрами Defender с помощью политик безопасности конечных точек, не требуя полной регистрации устройств.

Перед началом любого из этих рабочих процессов интеграции убедитесь, что у вас есть необходимые лицензии и конфигурации платформы.

Предварительные условия

требования к Intune

Подписка: Microsoft Intune (план 1) подписка предоставляет доступ к Intune и Центру администрирования Microsoft Intune.

Варианты лицензирования см. в разделе лицензирование Microsoft Intune.

Поддерживаемые платформы:

Платформа Требования
Android устройства, управляемые Intune
iOS/iPadOS устройства, управляемые Intune
Windows Microsoft Entra ID гибридное присоединение или Microsoft Entra ID присоединено

требования к Microsoft Defender для конечной точки

Подписка: Microsoft Defender для конечной точки подписка предоставляет доступ к порталу Microsoft Defender XDR.

Требования к лицензированию и системе см. в разделе:

Реальный сценарий: остановка фишинговой атаки

В этом примере показано, как Microsoft Defender для конечной точки и Intune работать вместе для автоматического сдерживания угроз. В этом сценарии интеграция уже настроена.

Как разворачивается атака

  1. Первоначальный компрометация. Пользователь получает Word документ по электронной почте, содержащий внедренный вредоносный код.
  2. Действие пользователя. Пользователь открывает вложение и включает макросы.
  3. Повышение привилегий. Вредоносная программа получает повышенные привилегии на устройстве.
  4. Боковое перемещение. Злоумышленник пытается получить доступ к другим корпоративным ресурсам через скомпрометированное устройство.

Как интеграция предотвращает нарушение

  1. Обнаружение: Microsoft Defender для конечной точки обнаруживает:

    • Аномальное выполнение кода
    • Повышение привилегий процесса
    • Внедрение вредоносного кода
    • Подозрительная активность удаленной оболочки

  2. Оценка рисков. На основе этих индикаторов угроз Microsoft Defender для конечной точки классифицирует устройство как высокорискованные и создает подробный отчет на портале Microsoft Defender XDR.

  3. Обеспечение соответствия требованиям. Политика соответствия устройств Intune автоматически помечает устройства со средним или высоким уровнем риска как несоответствующие.

  4. Блокировка доступа. Политики условного доступа немедленно блокируют скомпрометированное устройство доступ к корпоративным ресурсам.

  5. Сдерживание: угроза сдержит, пока группы безопасности исследуют и устраняют ее.

Примечание.

Вы можете интегрировать Microsoft Defender для конечной точки с Microsoft Intune как решение Mobile Threat Defense (MTD), то есть Defender выступает в качестве механизма обнаружения угроз для принятия решений о соответствии Intune.

Возможности, зависящие от платформы

Различные платформы предлагают уникальные параметры конфигурации при интеграции с Microsoft Defender для конечной точки:

Android. Используйте политики конфигурации устройств Intune для настройки Microsoft Defender для конечной точки параметров веб-защиты, включая возможность включения или отключения сканирования на основе VPN.

iOS/iPadOS. Включите оценку уязвимостей приложений, чтобы позволить Defender анализировать метаданные приложений из Intune для расширенного обнаружения угроз.

Windows: преимущества автоматического подключения и использование Microsoft Defender для конечной точки базовых показателей безопасности для комплексных и предписывающих конфигураций безопасности.

Дальнейшие действия

Готовы настроить эту настройку? Перейдите к руководству по настройке, которое приведено ниже, чтобы получить пошаговые инструкции.

Настройка интеграции

Основное руководство. Настройка Microsoft Defender для конечной точки в Intune. Полные пошаговые инструкции по подключению, подключению устройств и настройке политик условного доступа.

Расширение знаний

ресурсы Intune:

Microsoft Defender для конечной точки ресурсов:

  • Last updated on