Интеграция Microsoft Defender для конечной точки с Intune для соответствия устройств

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет оценивать риски устройств в режиме реального времени и блокировать скомпрометированные устройства из корпоративных ресурсов, автоматически помечая их как несоответствующие.

Например, если вредоносная программа компрометирует устройство пользователя, Microsoft Defender для конечной точки помечает это устройство как высокий риск, и Intune может автоматически отключить доступ к корпоративным ресурсам.

В этой статье объясняется, как работает интеграция, какие возможности она предоставляет для обеспечения соответствия устройств и когда следует использовать каждый вариант. Пошаговую настройку см. в разделе Настройка Microsoft Defender для конечной точки в Intune.

Рабочий процесс интеграции

На высоком уровне интеграция устройств, зарегистрированных в Intune, работает следующим образом. Подробные инструкции см. в разделе Настройка Microsoft Defender для конечной точки в Intune:

1. Установите подключение между Intune и Microsoft Defender для конечной точки.
2. Подключение устройств с Microsoft Defender для конечной точки с помощью политики Intune.
3. Создайте политику соответствия устройств , чтобы задать допустимые уровни риска.
4. Настройте политику условного доступа для блокировки устройств, не соответствующих требованиям.

Расширение интеграции: После настройки можно использовать Управление уязвимостями Microsoft Defender для устранения слабых мест конечных точек, определенных Defender.

Дополнительные параметры интеграции

Следующие параметры расширяют интеграцию за рамки традиционного соответствия устройств и могут быть полезны в смешанной регистрации или незарегистрированных средах.

политики защита приложений. Политики защиты приложений можно использовать для установки уровней риска устройств для зарегистрированных и незарегистрированных устройств. Это обеспечивает защиту на уровне приложения на основе оценки угроз в Defender.

Незарегистрированные устройства. Для устройств, которые не зарегистрированы в Intune, используйте управление безопасностью Intune для Microsoft Defender для конечной точки для управления параметрами Defender с помощью политик безопасности конечных точек, не требуя полной регистрации устройств.

Предварительные условия

Управление доступом на основе ролей

Чтобы настроить эту интеграцию, вам потребуются разрешения для управления подключением Intune–Defender, подключением устройств и политиками соответствия. В частности, Intune роль управления доступом на основе ролей (RBAC) должна включать:

• Защита от угроз на мобильных устройствах: изменение и чтение — требуется для установки подключения между службой Intune и Defender.
• Обнаружение и ответ конечных точек. Назначение, создание, чтение и обновление — требуется для подключения устройств с помощью политики EDR Intune.
• Политики соответствия устройств: назначение, создание, чтение и обновление — требуется для настройки политик соответствия на уровне риска.

Эти разрешения можно добавить в настраиваемую роль Intune или использовать встроенную роль Endpoint Security Manager, которая является встроенной Intune ролью с наименьшими привилегиями, которая включает все необходимые разрешения. Дополнительные сведения см. в разделе Управление доступом на основе ролей для Microsoft Intune.

требования к Intune

Подписка: Microsoft Intune (план 1) подписка предоставляет доступ к Intune и Центру администрирования Microsoft Intune.

Варианты лицензирования см. в разделе лицензирование Microsoft Intune.

Поддерживаемые платформы:

требования к Microsoft Defender для конечной точки

Подписка: Microsoft Defender для конечной точки подписка предоставляет доступ к порталу Microsoft Defender XDR.

Сведения о требованиях к лицензированию и системе см. в разделе Минимальные требования для Microsoft Defender для конечной точки.

Пример. Автоматическое сдерживание угроз

В следующем примере показано, как интеграция автоматически содержит угрозу, если она уже настроена:

1. Обнаружение: Microsoft Defender для конечной точки обнаруживает активность угроз на устройстве и классифицирует ее как высокую степень риска.
2. Обеспечение соответствия требованиям. Intune получает сигнал риска и автоматически помечает устройство как несоответствующее на основе пороговых значений политики соответствия.
3. Блокировка доступа. Политики условного доступа немедленно блокируют доступ к корпоративным ресурсам для несоответствующих устройств.
4. Сдерживание: угроза сдерживается, пока ваша группа безопасности изучает и устраняет ее на портале Microsoft Defender XDR.

Возможности, зависящие от платформы

Различные платформы предлагают уникальные параметры конфигурации при интеграции с Microsoft Defender для конечной точки:

Android: развертывание Defender для конечной точки на устройствах Android с помощью Управляемого Google Play с помощью Intune политик развертывания приложений и конфигурации приложений. Полное руководство по развертыванию см. в статье Развертывание Microsoft Defender для конечной точки в Android. После развертывания используйте политики конфигурации устройств Intune для настройки Microsoft Defender для конечной точки параметров веб-защиты, включая возможность включения или отключения сканирования на основе VPN.

iOS/iPadOS: включите оценку уязвимостей приложений , чтобы разрешить Defender проверять установленные приложения на наличие известных уязвимостей.

Windows: преимущества автоматического подключения и использование Microsoft Defender для конечной точки базовых показателей безопасности для комплексных и предписывающих конфигураций безопасности.

Дальнейшие действия

Настройка интеграции

Настройка Microsoft Defender для конечной точки в Intune. Выполните пошаговые инструкции по подключению Intune и Defender, подключению устройств и настройке политик условного доступа.

Связанные материалы

ресурсы Intune:

• Начало работы с политиками соответствия устройств

Microsoft Defender для конечной точки ресурсов:

• Условный доступ в Microsoft Defender для конечной точки
• портал Microsoft Defender XDR