Настройка Microsoft Defender для конечной точки в Intune
Сведения и процедуры, описанные в этой статье, помогут вам настроить интеграцию Microsoft Defender для конечной точки с Intune. Настройка включает следующие шаги.
- Подключение между службами Intune и Microsoft Defender для конечной точки. Это подключение позволяет Microsoft Defender для конечной точки собирать данные о рисках для компьютеров с поддерживаемых устройств, которыми вы управляете с помощью Intune. Ознакомьтесь с предварительными условиями для использования Microsoft Defender для конечной точки с Intune.
- Используйте политику Intune для подключения устройств с Microsoft Defender для конечной точки. Вам нужно настроить устройства для обмена данными с Microsoft Defender для конечной точки, чтобы получать данные, которые помогают оценить уровень риска.
- Используйте политики соответствия устройств Intune, чтобы задать уровень риска, который вы хотите разрешить. Microsoft Defender для конечной точки сообщает об уровне риска устройств. Устройства с недопустимым уровнем риска определяются как не соответствующие требованиям.
- Политика условного доступа, блокирующая пользовательский доступ к корпоративным ресурсам с устройств, которые не соответствуют требованиям.
- Используйтеполитики защиты приложений для Android и iOS/iPadOS, чтобы задать уровни риска устройства. политики защита приложений работают как с зарегистрированными, так и с незарегистрированных устройств.
Помимо управления параметрами для Microsoft Defender для конечной точки на устройствах, которые регистрируются с помощью Intune, вы можете управлять конфигурациями безопасности Defender для конечной точки на устройствах, которые не зарегистрированы с помощью Intune. Этот сценарий называется Управлением безопасностью в Microsoft Defender для конечной точки и требует установить переключатель Разрешить Microsoft Defender для конечной точки принудительно включать конфигурации безопасности конечных точек в положение Вкл.. Дополнительные сведения см. в статье Управление конфигурацией безопасности MDE.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Подключение Microsoft Defender для конечной точки к Intune
Сначала вам нужно установить подключение между службами Intune и Microsoft Defender для конечной точки. Для этого требуется административный доступ к Центру безопасности в Microsoft Defender и Intune.
Microsoft Defender для конечной точки требуется включить только один раз для каждого клиента.
Включение Microsoft Defender для конечной точки
Откройте портал Microsoft Defender для конечной точки на security.microsoft.com. Центр администрирования Intune также содержит ссылку на портал Defender для конечной точки.
Войдите в Центр администрирования Microsoft Intune.
Выберите Безопасность конечной точки>Microsoft Defender для конечной точки, а затем — Открыть центр безопасности Microsoft Defender.
Совет
Если в центре администрирования Intune состояние подключения в верхней части страницы Microsoft Defender для конечной точки уже задано значение Включено, подключение к Intune уже активно, а в Центре администрирования отображается другой текст пользовательского интерфейса для ссылки. В этом случае выберите Открыть консоль администрирования Microsoft Defender для конечной точки, чтобы открыть Microsoft Defender для портала. Затем вы можете воспользоваться рекомендациями, приведенными на следующем шаге, чтобы убедиться, что для Microsoft Intune подключения установлено значение Включено.
На портале Microsoft Defender (ранее Центр безопасности в Microsoft Defender):
Для подключения Microsoft Intune выберите Вкл.:
Выберите Сохранить параметры.
Примечание.
После установки подключения службы должны синхронизироваться друг с другом по крайней мере каждые 24 часа. Количество дней без синхронизации, пока подключение не будет считаться неотвеченным, можно настроить в Центре администрирования Microsoft Intune. Выберите Безопасность конечной точки>Microsoft Defender для конечных точек, >Число дней, через которое партнер считается неотвечающим
Вернитесь на страницу Microsoft Defender для конечной точки в Центре администрирования Microsoft Intune.
Чтобы использовать Defender для конечной точки с политиками соответствия требованиям, настройте следующие параметры в разделе Оценка политики соответствия для поддерживаемых вами платформ:
- Задайте для параметра Подключение устройств Android к Microsoft Defender для конечной точки значение Вкл.
- Установите для параметра Connect iOS/iPadOS devices to Microsoft Defender для конечной точки значение Включено.
- Задайте для параметра Подключение устройств Windows к Microsoft Defender для конечной точки значение Вкл..
Если эти конфигурации включены, применимые устройства, которые управляются с помощью Intune, и устройства, которые вы зарегистрируете в будущем, будут подключены к Microsoft Defender для конечной точки для обеспечения соответствия.
Для устройств iOS Defender для конечной точки также поддерживает следующие параметры, которые помогают обеспечить оценку уязвимостей приложений в Microsoft Defender для конечной точки для iOS. Дополнительные сведения об использовании следующих двух параметров см. в разделе Настройка оценки уязвимостей приложений.
Включить синхронизацию приложений для устройств iOS. Установите значение Включено, чтобы разрешить Defender для конечной точки запрашивать метаданные приложений iOS из Intune для анализа угроз. Устройство iOS должно быть зарегистрировано в MDM и предоставлять обновленные данные приложения во время проверка устройства.
Отправка полных данных инвентаризации приложений на личные устройства iOS/iPadOS. Этот параметр управляет данными инвентаризации приложений, которые Intune совместно с Defender для конечной точки, когда Defender для конечной точки синхронизирует данные приложения и запрашивает список инвентаризации приложений.
Если задано значение Включено, Defender для конечной точки может запрашивать список приложений из Intune для личных устройств iOS/iPadOS. В этом списке содержатся неуправляемые приложения и приложения, развернутые с помощью Intune.
Если задано значение Выкл., данные о неуправляемых приложениях не предоставляются. Intune не предоставляет данные о приложениях, развернутых через Intune.
Подробнее см. в разделе Параметры переключения защиты от угроз для мобильных устройств.
Чтобы использовать Defender для конечной точки с политиками защиты приложений для Android и iOS/iPadOS, настройте следующие параметры в разделе защита приложений оценки политики для используемых платформ:
- Установите для параметра Подключить устройства Android значение Microsoft Defender для конечной точки значение Включено.
- Установите для параметра Подключить устройства iOS/iPadOS значение Microsoft Defender для конечной точкивключено.
Чтобы настроить интеграцию Microsoft Defender для конечной точки для оценки политики соответствия требованиям и защиты приложений, необходимо иметь роль, включающую чтение и изменение для разрешения Mobile Threat Defense в Intune. Эти разрешения включены в встроенную роль администратора Endpoint Security Manager для Intune. Подробнее о параметрах политики соответствия требованиям MDM и параметрах политики защиты приложений см. в разделе Параметры переключения защиты от угроз для мобильных устройств.
Нажмите Сохранить.
Совет
С выпуска службы Intune за август 2023 г. (2308) классические политики условного доступа (ЦС) больше не создаются для соединителя Microsoft Defender для конечной точки. Если у клиента есть классическая политика ЦС, созданная ранее для интеграции с Microsoft Defender для конечной точки, ее можно удалить. Чтобы просмотреть классические политики условного доступа, в Azure перейдите к Microsoft Entra ID>Кондиционныеклассические политики доступа>.
Подключение устройств
При включении поддержки Microsoft Defender для конечной точки в Intune вы установили подключение между Intune и Microsoft Defender для конечной точки. Затем вы можете подключить устройства, управляемые с помощью Intune, к Microsoft Defender для конечной точки. Подключение позволяет выполнять сбор данных об уровнях риска устройства.
При подключении устройств обязательно используйте последнюю версию Microsoft Defender для конечной точки для каждой платформы.
Подключение устройств Windows
Политика обнаружения конечных точек и реагирования (EDR). Страница Microsoft Defender для конечной точки в Центре администрирования Intune содержит ссылку, которая напрямую открывает рабочий процесс создания политики EDR, который является частью безопасности конечных точек в Intune.
Политики EDR можно использовать для настройки безопасности устройства без необходимости настройки дополнительных параметров в профилях конфигурации устройства. Политику EDR также можно использовать с подключенными к клиенту устройствами, которые управляются с помощью Configuration Manager.
При настройке политики EDR после подключения Intune к Defender параметр политики Microsoft Defender для конечной точки тип пакета конфигурации клиента имеет новый параметр конфигурации: Автоматически из соединителя. С помощью этого параметра Intune автоматически получает пакет подключения (большой двоичный объект) из развертывания Defender для конечной точки, заменяя необходимость настройки пакета подключения вручную.
Политика конфигурации устройства. При создании политики конфигурации устройств для подключения устройств Windows выберите шаблон Microsoft Defender для конечной точки. При подключении Intune к Defender Intune получили пакет конфигурации подключения от Defender. Этот пакет используется шаблоном для настройки устройств для взаимодействия с Microsoft Defender для конечной точки службами, а также для сканирования файлов и обнаружения угроз. Подключенные устройства также сообщают об уровне риска Microsoft Defender для конечной точки на основе ваших политик соответствия. Подключить устройство с использованием пакета конфигурации нужно только один раз.
Групповая политика или Microsoft Configuration Manager. Подключение компьютеров Windows с помощью Microsoft Configuration Manager содержит дополнительные сведения о параметрах Microsoft Defender для конечной точки.
Совет
Если для одних и тех же параметров устройств (например, подключения к Defender для конечной точки) используется множество политик либо политики типа конфигурация устройства или обнаружение и нейтрализация атак на конечные точки, то между политиками на устройствах могут возникать конфликты. Дополнительные сведения о конфликтах см. в разделе Управление конфликтами статьи Управление политиками безопасности.
Создание профиля конфигурации устройства для подключения устройств с Windows
Войдите в Центр администрирования Microsoft Intune.
Выберите Безопасность конечной точки>Обнаружение и нейтрализация атак на конечные точки>Создать политику.
В поле Платформа выберите Windows 10, Windows 11 и Windows Server.
В поле Тип профиля выберите Обнаружение и нейтрализация атак на конечные точки, а затем — Создать.
На странице Основные сведения введите имя и описание (необязательно) для профиля, а затем нажмите Далее.
На странице Параметры конфигурации настройте следующие параметры в разделе Обнаружение и нейтрализация атак на конечные точки.
- Microsoft Defender для конечной точки тип пакета конфигурации клиента. Выберите Автоматически из соединителя, чтобы использовать пакет подключения (BLOB-объект) из развертывания Defender для конечной точки. При подключении к другому или отключенному развертыванию Defender для конечной точки выберите Подключиться и вставьте текст из файла большого двоичного объекта WindowsDefenderATP.onboarding в поле Подключение (устройство).
- Общий доступ к примерам. Возвращает или задает параметр конфигурации Microsoft Defender для конечной точки демонстрационный общий доступ.
- [Не рекомендуется] Частота создания отчетов телеметрии. Для устройств с высоким риском включите этот параметр, чтобы он чаще сообщал данные телеметрии в службу Microsoft Defender для конечной точки.
Примечание.
На предыдущем снимке экрана показаны параметры конфигурации после настройки подключения между Intune и Microsoft Defender для конечной точки. При подключении сведения о подключении и отключении BLOB-объектов автоматически создаются и передаются в Intune.
Если это подключение не настроено успешно, параметр Microsoft Defender для конечной точки тип пакета конфигурации клиента включает только параметры для указания подключенных и отключенных BLOB-объектов.
Нажмите Далее, чтобы открыть страницу Теги области. Теги области являются необязательными. Нажмите кнопку Далее, чтобы продолжить.
На странице Назначения выберите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
При развертывании в группах пользователей пользователь должен войти на устройство, прежде чем будет применена политика, и устройство сможет подключиться к Defender для конечной точки.
Нажмите кнопку Далее.
На странице Просмотр и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке. Нажмите OK и Создать, чтобы сохранить изменения и создать профиль.
Подключение устройств macOS
Установив подключение между службами Intune и Microsoft Defender для конечной точки, вы можете подключать устройства macOS к Microsoft Defender для конечной точки. Подключение определяет способ обмена данными между устройствами и службой Microsoft Defender Endpoint, которая затем собирает данные об уровне риска устройств.
Рекомендации по конфигурации для Intune см. в разделе Microsoft Defender для конечной точки в macOS.
Дополнительные сведения о Microsoft Defender для конечной точки для Mac, включая новые возможности последнего выпуска, см. в разделе Microsoft Defender для конечной точки для Mac документации по безопасности Microsoft 365.
Подключение устройств Android
Установив подключение между службами Intune и Microsoft Defender для конечной точки, вы можете подключать устройства Android к Microsoft Defender для конечной точки. Подключение определяет способ обмена данными между устройствами и службой Defender для конечной точки, которая затем собирает данные об уровне риска устройств.
Пакет конфигурации для устройств под управлением Android не предусмотрен. Предварительные условия и инструкции по подключению Microsoft Defender для конечной точки в Android см. в статье Обзор возможностей Microsoft Defender для конечной точки для Android в документации по Microsoft Defender для конечной точки.
Для устройств под управлением Android можно также использовать политику Intune для изменения Microsoft Defender для конечной точки в Android. Подробные сведения см. в статье Защита от веб-угроз Microsoft Defender для конечной точки.
Подключение устройств iOS/iPadOS
Установив подключение между службами Intune и Microsoft Defender для конечной точки, вы можете подключать устройства iOS/iPadOS к Microsoft Defender для конечной точки. Подключение определяет способ обмена данными между устройствами и службой Defender для конечной точки, которая затем собирает данные об уровне риска устройств.
Пакет конфигурации для устройств под управлением iOS/iPadOS не предусмотрен. Предварительные условия и инструкции по подключению Microsoft Defender для конечной точки в iOS/iPadOS см. в статье Обзор Microsoft Defender для конечной точки в iOS/iPadOS в документации по Microsoft Defender для конечной точки.
Для устройств под управлением iOS/iPadOS (в защищенном режиме) предусмотрены специальные возможности, учитывая расширенные возможности управления, предоставляемые платформой на этих типах устройств. Чтобы воспользоваться этими возможностями, приложение Defender должно выяснить, находится ли устройство в защищенном режиме. Intune позволяет настроить приложение Defender для iOS с помощью политики Конфигурации приложений (для управляемых устройств), которая должна применяться для всех устройств iOS (рекомендуется). Дополнительные сведения см. в разделе Завершение развертывания для защищенных устройств.
Войдите в Центр администрирования Microsoft Intune.
Выберите Приложения>Политики конфигурации приложений>+ Добавить, а затем в раскрывающемся списке выберитеУправляемые устройства .
На странице Основные сведения введите имя в поле Имя и описание в поле Описание (необязательно) для профиля, а затем для параметра Платформа выберите значение iOS/iPadOS и нажмите кнопку Далее.
Для параметра Целевое приложение выберите Microsoft Defender для iOS.
На странице Параметры для параметра Ключ конфигурации задайте значение issupervised, а затем для параметра Тип значения выберите string; в качестве значения конфигурации выберите {{issupervised}}.
Нажмите Далее, чтобы открыть страницу Теги области. Теги области являются необязательными. Нажмите кнопку Далее, чтобы продолжить.
На странице Назначения выберите группы, которые получат этот профиль. В этом сценарии рекомендуется выбрать вариант Все устройства. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
При развертывании политики в группах пользователей пользователь должен войти на устройство перед применением политики.
Нажмите кнопку Далее.
На странице Проверка и создание после завершения нажмите Создать. Новый профиль отобразится в списке профилей конфигурации.
Кроме того, для устройств, работающих под управлением iOS/iPadOS (в защищенном режиме), команда разработчиков приложения Defender для iOS предоставила настраиваемый профиль .mobileconfig для развертывания на устройствах iPad/iOS. Профиль .mobileconfig используется для анализа сетевого трафика, чтобы обеспечить безопасный просмотр — функция Defender для iOS.
Скачайте профиль .mobile, размещенный по адресу: https://aka.ms/mdatpiossupervisedprofile.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация> на вкладке Политики выберите + Создать.
Для параметра Платформа выберите iOS/iPadOS.
Для параметра Тип профиля выберите Настраиваемый, а затем выберите Создать.
На странице Основные сведения введите имя и описание (необязательно) для профиля, а затем нажмите Далее.
Введите Имя профиля конфигурации и выберите файл
.mobileconfig
для отправки.Нажмите Далее, чтобы открыть страницу Теги области. Теги области являются необязательными. Нажмите кнопку Далее, чтобы продолжить.
На странице Назначения выберите группы, которые получат этот профиль. В этом сценарии рекомендуется выбрать вариант Все устройства. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
При развертывании в группах пользователей пользователь должен войти на устройство перед применением политики.
Нажмите кнопку Далее.
На странице Проверка и создание после завершения нажмите Создать. Новый профиль отобразится в списке профилей конфигурации.
Просмотр количества устройств, подключенных к Microsoft Defender для конечной точки
Чтобы просмотреть подключенные устройства из Microsoft Defender для конечной точки на странице соединителя Microsoft Defender для конечной точки, требуется роль Intune, которая включает чтениедля Microsoft Defender Разрешение Advanced Threat Protection.
Создание и назначение политики соответствия требованиям в целях установки уровня риска для устройства
Для устройств Android, iOS/iPadOS и Windows политика соответствия требованиям определяет допустимый уровень риска на устройстве.
Если вы не знакомы с созданием политики соответствия, ознакомьтесь с процедурой Создание политики в статье Создание политики соответствия требованиям в Microsoft Intune. Следующие сведения касаются настройки Microsoft Defender для конечной точки в рамках политики соответствия требованиям.
Войдите в Центр администрирования Microsoft Intune.
Выберите Соответствие устройств>. На вкладке Политики выберите + Создать политику.
В раскрывающемся списке Платформа выберите один из следующих вариантов.
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- Windows 10 и более поздние версии
Затем выберите Создать.
На вкладке Основные сведения укажите имя , которое поможет определить эту политику позже. При необходимости также можно заполнить поле Описание.
На вкладке Параметры соответствия разверните категорию Microsoft Defender для конечной точки и задайте для параметра Требовать, чтобы устройство было на уровне или под оценкой риска компьютера.
Категории уровней угроз определяет Microsoft Defender для конечной точки.
- Чистое. Этот уровень обеспечивает максимальную защиту. Устройство не может осуществлять доступ к ресурсам организации при наличии каких-либо угроз. При обнаружении любых угроз устройство переходит в состояние несоответствия. (Для пользователей Microsoft Defender для конечной точки задано значение Безопасно.)
- Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз считаются несоответствующими требованиям.
- Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
- Высокий. Этот уровень является наименее безопасным и разрешает все уровни угроз. Устройства с высоким, средним или низким уровнем угроз считаются соответствующими требованиям.
Завершите настройку политики, включая назначение политики применимым группам.
Создание и назначение политики защиты приложений в целях установки уровня риска для устройства
Используйте эту процедуру для создания политики защиты приложений для iOS/iPadOS или Android и используйте следующую информацию на страницах Приложения, Условный запуск и Назначения:
Приложения. Выберите приложения, для которых следует назначить политики защиты приложений. Для этого набора функций эти приложения будут заблокированы или выборочно очищены на основе оценки рисков устройств, предоставленной выбранным поставщиком защиты от угроз на мобильных устройствах.
Условный запуск. В разделе Условия устройства используйте раскрывающийся список, чтобы выбрать Максимальный допустимый уровень угрозы устройства.
Варианты уровня угрозы Значение:
- Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может осуществлять доступ к ресурсам компании при наличии каких-либо угроз. При обнаружении любых угроз устройство переходит в состояние несоответствия.
- Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Любая угроза с уровнем выше низкого переводит устройство в состояние несоответствия.
- Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
- Высокий. Это наименее безопасный уровень, допускающий все уровни угроз, а защита от угроз на мобильных устройствах используется только для отчетов. На устройствах приложение MTD должно быть активировано с этим параметром.
Параметры для действия:
- Заблокировать доступ
- Очистка данных
Назначения. Назначьте политику группам пользователей. Устройства, используемые участниками группы, оцениваются с точки зрения доступа к корпоративным данным в целевых приложениях с помощью защиты приложений Intune.
Важно!
При создании политики защиты приложений для любого защищенного приложения оценивается уровень угроз на устройстве. В зависимости от конфигурации устройства, которые не соответствуют допустимому уровню, либо блокируются, либо выборочно очищаются с помощью условного запуска. В случае блокировки доступ к корпоративным ресурсам будет запрещен до тех пор, пока угроза на устройстве не будет устранена и информация о ней не будет передана в Intune выбранным поставщиком MTD.
Создание политики условного доступа
Политики условного доступа могут использовать данные из Microsoft Defender для конечной точки, чтобы блокировать доступ к ресурсам для устройств, превышающих заданный уровень угроз. Вы можете заблокировать для устройства доступ к корпоративным ресурсам, таким как SharePoint или Exchange Online.
Совет
Условный доступ — это технология Microsoft Entra. Узел условного доступа, найденный в Центре администрирования Microsoft Intune, является узлом из Microsoft Entra.
Войдите в Центр администрирования Microsoft Intune.
Выберите Безопасность конечной точки>Условный доступ>Создать политику. Так как Intune представляет пользовательский интерфейс создания политики для условного доступа из портал Azure, интерфейс отличается от рабочего процесса создания политики, с которым вы знакомы.
Введите имя политики.
Для пользователей используйте вкладки Включить и Исключить , чтобы настроить группы, которые будут получать эту политику.
В поле Целевые ресурсы установите флажок Выберите, к чему эта политика применяется к облачным приложениям, а затем выберите приложения для защиты. Например, выберите Выбрать приложения, а затем в поле Выбрать найдите и выберите Office 365 SharePoint Online и Office 365 Exchange Online.
В поле Условия выберите Клиентские приложения , а затем задайте для параметра Настройка значение Да. Затем установите флажки для браузеров , мобильных приложений и классических клиентов. Затем нажмите кнопку Готово , чтобы сохранить конфигурацию клиентского приложения.
Для параметра Grant настройте эту политику для применения на основе правил соответствия устройств. Например:
- Выберите Предоставить доступ.
- Установите флажок Требовать, чтобы устройство было отмечено как соответствующее.
- Выберите Требовать все выбранные элементы управления. Выберите Выбрать , чтобы сохранить конфигурацию предоставления.
Для параметра Включить политику выберите Включено , а затем — Создать , чтобы сохранить изменения.
Дальнейшие действия
- Настройка параметров Microsoft Defender для конечной точки в Android
- Мониторинг параметров соответствия для уровней риска
Дополнительные сведения см. в документации Intune:
- Использование задач по обеспечению безопасности с управлением уязвимостью Defender для конечной точки для исправления проблем на устройствах
- Начало работы с политиками соответствия устройств
- Обзор политик защиты приложений
Дополнительные сведения см. в документации по Microsoft Defender для конечной точки: