Настройка условного доступа в Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.
Подготовка к работе
Предупреждение
Важно отметить, что в этом сценарии зарегистрированные устройства Microsoft Entra не поддерживаются. Поддерживаются только зарегистрированные устройства Intune.
Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:
- ИТ-администратор. Дополнительные сведения о включении автоматической регистрации см. в статье Регистрация Windows.
- Конечный пользователь: дополнительные сведения о регистрации устройства с Windows 10 и Windows 11 в Intune см. в статье Регистрация устройства с Windows 10 в Intune.
- Альтернатива для конечного пользователя. Дополнительные сведения о присоединении к домену Microsoft Entra см. в разделе Практическое руководство. Планирование реализации присоединения к Microsoft Entra.
Необходимо выполнить действия на портале Microsoft Defender, портале Intune и Центре администрирования Microsoft Entra.
Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:
- Портал Microsoft Defender . Чтобы включить интеграцию, необходимо войти на портал с ролью глобального администратора.
- Intune . Вам потребуется войти на портал с правами администратора безопасности с разрешениями на управление.
- Центр администрирования Microsoft Entra . Вам потребуется войти как глобальный администратор, администратор безопасности или администратор условного доступа.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Примечание.
Вам потребуется среда Microsoft Intune с управляемыми устройствами Intune и устройствами Windows 10 и Windows 11, присоединенными к Microsoft Entra.
Чтобы включить условный доступ, сделайте следующее:
- Шаг 1. Включение подключения Microsoft Intune из XDR в Microsoft Defender
- Шаг 2. Включение интеграции Defender для конечной точки в Intune
- Шаг 3. Создание политики соответствия требованиям в Intune
- Шаг 4. Назначение политики
- Шаг 5. Создание политики условного доступа Microsoft Entra
Шаг 1. Включение подключения Microsoft Intune
В области навигации выберите Параметры Конечные>точки>Общие>дополнительные функции>подключения Microsoft Intune.
Переключите параметр Microsoft Intune в значение Вкл.
Нажмите кнопку Сохранить параметры.
Шаг 2. Включение интеграции Defender для конечной точки в Intune
Вход на портал Intune
Выберите Безопасность >конечной точкиMicrosoft Defender для конечной точки.
Установите для параметра Подключение устройств Windows 10.0.15063+ значение Включено в Microsoft Defender Advanced Threat Protection.
Нажмите кнопку Сохранить.
Шаг 3. Создание политики соответствия требованиям в Intune
На портале Azure выберите Все службы, отфильтруйте по Intune и выберите Microsoft Intune.
ВыберитеПолитики>соответствия устройств>Создать политику.
Введите имя и описание.
В разделе Платформа выберите Windows 10 и более поздних версий.
В параметрах работоспособности устройства установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или ниже , чтобы он был выбран для вашего предпочтительного уровня:
- Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
- Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
- Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
- Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.
Нажмите кнопку ОК и создать , чтобы сохранить изменения (и создать политику).
Шаг 4. Назначение политики
На портале Azure выберите Все службы, отфильтруйте по Intune и выберите Microsoft Intune.
ВыберитеПолитики>соответствия устройств>, выберите политику соответствия Microsoft Defender для конечной точки.
Выберите Назначения.
Включите или исключите группы Microsoft Entra, чтобы назначить им политику.
Чтобы развернуть политику в группах, нажмите кнопку Сохранить. Пользовательские устройства, на которые нацелена политика, оцениваются на соответствие.
Шаг 5. Создание политики условного доступа Microsoft Entra
На портале Azure откройте новуюполитикуусловного доступа Microsoft>Entra ID>.
Введите имя политики и выберите Пользователи и группы. Используйте параметры "Включить" или "Исключить", чтобы добавить группы для политики, затем нажмите кнопку Готово.
Выберите Облачные приложения и выберите приложения для защиты. Например, нажмите Выбрать приложения и выберите Office 365 SharePoint Online или Office 365 Exchange Online. Нажмите Готово, чтобы сохранить изменения.
Выберите Условия>Клиентские приложения, чтобы применить политику к приложениям и браузерам. Например, выберите Да, а затем включите Браузер и Mobile apps and desktop clients (Мобильные приложения и настольные клиенты). Нажмите Готово, чтобы сохранить изменения.
Выберите Предоставить доступ, чтобы применить условный доступ на основе соответствия устройств. Например, выберите Предоставить доступ>Требовать, чтобы устройство было отмечено как соответствующее. Нажмите кнопку ОК, чтобы сохранить изменения.
Выберите Включить политику и нажмите Создать, чтобы сохранить изменения.
Примечание.
Вы можете использовать приложение Microsoft Defender для конечной точки вместе с утвержденным клиентским приложением , политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было отмечено как соответствующее) в политиках условного доступа Microsoft Entra. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.
Тем не менее, внутренне Defender запрашивает область MSGraph/User.read и область Intune Tunnel (в случае сценариев Defender+Tunnel). Поэтому эти области должны быть исключены*. Чтобы исключить область MSGraph/User.read, можно исключить любое облачное приложение. Чтобы исключить область туннеля, необходимо исключить "Шлюз Microsoft Tunnel". Эти разрешения и исключения обеспечивают поток сведений о соответствии условному доступу.
Применение политики условного доступа ко всем облачным приложениям может в некоторых случаях случайно заблокировать доступ пользователей, поэтому это не рекомендуется. Дополнительные сведения о политиках условного доступа в облачных приложениях
Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.