Поделиться через


Настройка условного доступа в Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этом разделе описаны все действия, необходимые для правильной реализации условного доступа.

Подготовка к работе

Предупреждение

Важно отметить, что в этом сценарии не поддерживаются Microsoft Entra зарегистрированные устройства. Поддерживаются только Intune зарегистрированные устройства.

Необходимо убедиться, что все ваши устройства зарегистрированы в Intune. Для регистрации устройств в Intune можно использовать любой из следующих вариантов:

На портале Microsoft Defender, портале Intune и Центр администрирования Microsoft Entra необходимо выполнить действия.

Важно отметить необходимые роли для доступа к этим порталам и реализации условного доступа:

  • Microsoft Defender портал . Чтобы включить интеграцию, необходимо войти на портал с соответствующей ролью. См . раздел Параметры разрешений.
  • Intune. Вам потребуется войти на портал с правами администратора безопасности с разрешениями на управление.
  • Центр администрирования Microsoft Entra. Вам потребуется войти в систему как администратор безопасности или администратор условного доступа.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Вам потребуется Microsoft Intune среда с Intune управляемыми и Microsoft Entra присоединенными Windows 10 и Windows 11 устройствами.

Чтобы включить условный доступ, сделайте следующее:

  • Шаг 1. Включение подключения Microsoft Intune из Microsoft Defender XDR
  • Шаг 2. Включение интеграции Defender для конечной точки в Intune
  • Шаг 3. Создание политики соответствия требованиям в Intune
  • Шаг 4. Назначение политики
  • Шаг 5. Создание политики условного доступа Microsoft Entra

Шаг 1. Включение подключения Microsoft Intune

  1. В области навигации выберите Параметры Конечные>>точкиОбщие>дополнительные функции>Microsoft Intune подключение.

  2. Переключите параметр Microsoft Intune в значение Вкл.

  3. Нажмите кнопку Сохранить параметры.

Шаг 2. Включение интеграции Defender для конечной точки в Intune

  1. Войдите на портал Intune

  2. Выберите Endpoint Security>Microsoft Defender для конечной точки.

  3. Установите для параметра Подключить устройства Windows 10.0.15063+ значение Microsoft Defender Advanced Threat Protection значение Включено.

  4. Нажмите кнопку Сохранить.

Шаг 3. Создание политики соответствия требованиям в Intune

  1. В портал Azure выберите Все службы, отфильтруйте Intune и выберите Microsoft Intune.

  2. ВыберитеПолитики>соответствия устройств>Создать политику.

  3. Введите имя и описание.

  4. В разделе Платформа выберите Windows 10 и более поздних версий.

  5. В параметрах работоспособности устройства установите для параметра Требовать, чтобы устройство было на уровне угрозы устройства или ниже , чтобы он был выбран для вашего предпочтительного уровня:

    • Защищено. Этот уровень обеспечивает максимальную защиту. Устройство не может иметь существующих угроз и по-прежнему получать доступ к ресурсам компании. При обнаружении любых угроз устройство переходит в состояние несоответствия.
    • Низкий. Если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что устройство соответствует требованиям. Устройства со средним или высоким уровнем угроз не соответствуют требованиям.
    • Средний. Если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что устройство соответствует требованиям. Если на устройстве найдены угрозы высокого уровня, устройство переходит в состояние несоответствия.
    • Высокий. Этот уровень является наименее безопасным и допускает все уровни угроз. Поэтому устройства с высоким, средним или низким уровнем угроз считаются совместимыми.
  6. Нажмите кнопку ОК и создать , чтобы сохранить изменения (и создать политику).

Шаг 4. Назначение политики

  1. В портал Azure выберите Все службы, отфильтруйте Intune и выберите Microsoft Intune.

  2. ВыберитеПолитики>соответствия> устройств выберите политику соответствия требованиям Microsoft Defender для конечной точки.

  3. Выберите Назначения.

  4. Включите или исключите группы Microsoft Entra, чтобы назначить им политику.

  5. Чтобы развернуть политику в группах, нажмите кнопку Сохранить. Пользовательские устройства, на которые нацелена политика, оцениваются на соответствие.

Шаг 5. Создание политики условного доступа Microsoft Entra

  1. В портал Azure откройте новуюполитикуMicrosoft Entra ID>Кондиционный доступ>.

  2. Введите имя политики и выберите Пользователи и группы. Используйте параметры "Включить" или "Исключить", чтобы добавить группы для политики, затем нажмите кнопку Готово.

  3. Выберите Облачные приложения и выберите приложения для защиты. Например, нажмите Выбрать приложения и выберите Office 365 SharePoint Online или Office 365 Exchange Online. Нажмите Готово, чтобы сохранить изменения.

  4. Выберите Условия>Клиентские приложения, чтобы применить политику к приложениям и браузерам. Например, выберите Да, а затем включите Браузер и Mobile apps and desktop clients (Мобильные приложения и настольные клиенты). Нажмите Готово, чтобы сохранить изменения.

  5. Выберите Предоставить доступ, чтобы применить условный доступ на основе соответствия устройств. Например, выберите Предоставить доступ>Требовать, чтобы устройство было отмечено как соответствующее. Нажмите кнопку ОК, чтобы сохранить изменения.

  6. Выберите Включить политику и нажмите Создать, чтобы сохранить изменения.

Примечание.

Приложение Microsoft Defender для конечной точки можно использовать вместе с утвержденным клиентским приложением, политикой защиты приложений и совместимым устройством (требовать, чтобы устройство было помечено как соответствующее) в Microsoft Entra политиках условного доступа. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки в Android & iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, оно может сообщать о состоянии безопасности устройства во всех трех разрешениях.

Тем не менее, внутренне Defender запрашивает MSGraph/User.read область и Intune Tunnel область (в случае сценариев Defender+Tunnel). Поэтому эти области должны быть исключены*. Чтобы исключить MSGraph/User.read область, можно исключить любое облачное приложение. Чтобы исключить область Tunnel, необходимо исключить "Шлюз Microsoft Tunnel". Эти разрешения и исключения обеспечивают поток сведений о соответствии условному доступу.

Применение политики условного доступа ко всем облачным приложениям может в некоторых случаях случайно заблокировать доступ пользователей, поэтому это не рекомендуется. Дополнительные сведения о политиках условного доступа в облачных приложениях

Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.