Настройка условного доступа в Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.
Подготовка к работе
Предупреждение
Важно отметить, что в этом сценарии не поддерживаются Microsoft Entra зарегистрированные устройства. Поддерживаются только Intune зарегистрированные устройства.
Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:
- ИТ-Администратор. Дополнительные сведения о включении автоматической регистрации см. в статье Включение автоматической регистрации Windows.
- Конечный пользователь. Дополнительные сведения о регистрации Windows 10 и Windows 11 устройства в Intune см. в статье Регистрация устройства Windows в Intune.
- Альтернатива для конечного пользователя. Дополнительные сведения о присоединении к домену Microsoft Entra см. в разделе Практическое руководство. Планирование реализации Microsoft Entra присоединения.
На портале Microsoft Defender, портале Intune и Центр администрирования Microsoft Entra необходимо выполнить действия.
Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:
- Microsoft Defender портал . Чтобы включить интеграцию, необходимо войти на портал с соответствующей ролью. См . раздел Параметры разрешений.
- Intune. Вам потребуется войти на портал с правами администратора безопасности с разрешениями на управление.
- Центр администрирования Microsoft Entra. Вам потребуется войти в систему как администратор безопасности или администратор условного доступа.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Вам потребуется Microsoft Intune среда с Intune управляемыми и Microsoft Entra присоединенными Windows 10 и Windows 11 устройствами.
Чтобы включить условный доступ, сделайте следующее:
- Шаг 1. Включение подключения Microsoft Intune из Microsoft Defender XDR
- Шаг 2. Включение интеграции Defender для конечной точки в Intune
- Шаг 3. Создание политики соответствия требованиям в Intune
- Шаг 4. Назначение политики
- Шаг 5. Создание политики условного доступа Microsoft Entra
Шаг 1. Включение подключения Microsoft Intune
В области навигации выберите Параметры Конечные>>точкиОбщие>дополнительные функции>Microsoft Intune подключение.
Переключите параметр Microsoft Intune в значение Вкл.
Нажмите кнопку Сохранить параметры.
Шаг 2. Включение интеграции Defender для конечной точки в Intune
Войдите на портал Intune
Выберите Endpoint Security>Microsoft Defender для конечной точки.
Установите для параметра Подключить устройства Windows 10.0.15063+ значение Microsoft Defender Advanced Threat Protection значение Включено.
Нажмите кнопку Сохранить.
Шаг 3. Создание политики соответствия требованиям в Intune
В портал Azure выберите Все службы, отфильтруйте Intune и выберите Microsoft Intune.
ВыберитеПолитики>соответствия устройств>Создать политику.
Введите имя и описание.
В разделе Платформа выберите Windows 10 и более поздних версий.
В параметрах работоспособности устройства установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или ниже , чтобы он был выбран для вашего предпочтительного уровня:
- Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
- Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
- Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
- Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.
Нажмите кнопку ОК и создать , чтобы сохранить изменения (и создать политику).
Шаг 4. Назначение политики
В портал Azure выберите Все службы, отфильтруйте Intune и выберите Microsoft Intune.
ВыберитеПолитики>соответствия> устройств выберите политику соответствия требованиям Microsoft Defender для конечной точки.
Выберите Назначения.
Включите или исключите группы Microsoft Entra, чтобы назначить им политику.
Чтобы развернуть политику в группах, нажмите кнопку Сохранить. Пользовательские устройства, на которые нацелена политика, оцениваются на соответствие.
Шаг 5. Создание политики условного доступа Microsoft Entra
В портал Azure откройте новуюполитикуMicrosoft Entra ID>Кондиционный доступ>.
Введите имя политики и выберите Пользователи и группы. Используйте параметры "Включить" или "Исключить", чтобы добавить группы для политики, затем нажмите кнопку Готово.
Выберите Облачные приложения и выберите приложения для защиты. Например, нажмите Выбрать приложения и выберите Office 365 SharePoint Online или Office 365 Exchange Online. Нажмите Готово, чтобы сохранить изменения.
Выберите Условия>Клиентские приложения, чтобы применить политику к приложениям и браузерам. Например, выберите Да, а затем включите Браузер и Mobile apps and desktop clients (Мобильные приложения и настольные клиенты). Нажмите Готово, чтобы сохранить изменения.
Выберите Предоставить доступ, чтобы применить условный доступ на основе соответствия устройств. Например, выберите Предоставить доступ>Требовать, чтобы устройство было отмечено как соответствующее. Нажмите кнопку ОК, чтобы сохранить изменения.
Выберите Включить политику и нажмите Создать, чтобы сохранить изменения.
Примечание.
Приложение Microsoft Defender для конечной точки можно использовать вместе с утвержденным клиентским приложением, политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было помечено как соответствующее) в Microsoft Entra политиках условного доступа. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.
Тем не менее, внутренне Defender запрашивает MSGraph/User.read область и Intune Tunnel область (в случае сценариев Defender+Tunnel). Поэтому эти области должны быть исключены*. Чтобы исключить MSGraph/User.read область, можно исключить любое облачное приложение. Чтобы исключить область Tunnel, необходимо исключить "Шлюз Microsoft Tunnel". Эти разрешения и исключения обеспечивают поток сведений о соответствии условному доступу.
Применение политики условного доступа ко всем облачным приложениям может в некоторых случаях случайно заблокировать доступ пользователей, поэтому это не рекомендуется. Дополнительные сведения о политиках условного доступа в облачных приложениях
Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.