通过

在 Microsoft Defender for Endpoint 中配置条件访问

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本部分将指导完成正确实现条件访问所需的所有步骤。

开始之前

警告

请务必注意,此方案不支持已注册Microsoft Entra设备。 仅支持已注册 Intune 的设备。

需要确保所有设备都在 Intune 中注册。 可以使用以下任一选项在 Intune 中注册设备:

需要在Microsoft Defender门户、Intune 门户和Microsoft Entra管理中心执行一些步骤。

请务必注意访问这些门户和实现条件访问所需的角色:

  • Microsoft Defender门户 - 需要以适当的角色登录到门户才能启用集成。 请参阅 权限选项
  • Intune - 需要使用具有管理权限的安全管理员权限登录到门户。
  • Microsoft Entra管理中心 - 需要以安全管理员或条件访问管理员身份登录。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

你将需要一个Microsoft Intune 环境,其中 Intune 托管并Microsoft Entra联接Windows 10和Windows 11设备。

执行以下步骤以启用条件访问:

  • 步骤 1:从 Microsoft Defender XDR 启用 Microsoft Intune 连接
  • 步骤 2:在 Intune 中启用 Defender for Endpoint 集成
  • 步骤 3:在 Intune 中创建合规性策略
  • 步骤 4:分配策略
  • 步骤 5:创建Microsoft Entra条件访问策略

步骤 1:打开 Microsoft Intune 连接

  1. 在导航窗格中,选择 “设置>终结点>常规>高级功能>Microsoft Intune 连接”。

  2. 将“Microsoft Intune”设置切换为 “开”。

  3. 单击“ 保存首选项”。

步骤 2:在 Intune 中启用 Defender for Endpoint 集成

  1. 登录到 Intune 门户

  2. 选择“终结点安全性>Microsoft Defender for Endpoint”。

  3. “连接 Windows 10.0.15063+ 设备”设置为“Microsoft Defender高级威胁防护”设置为“开”。

  4. 单击保存

步骤 3:在 Intune 中创建合规性策略

  1. Azure 门户中,选择“所有服务”,对 Intune 进行筛选,然后选择“Microsoft Intune”。

  2. 选择“ 设备符合性>策略>”“创建策略”。

  3. 输入 “名称”“说明”。

  4. “平台”中,选择“Windows 10及更高版本”。

  5. “设备运行状况 ”设置 中,将“要求设备处于或低于设备威胁级别 ”设置为首选级别:

    • 安全:此级别是最安全的威胁级别。 设备不能有任何现有威胁,并且仍可访问公司资源。 如果发现了任何威胁,设备都会被评估为不符合。
    • :如果设备上仅存在低级别威胁,则该设备符合策略。 具有中等或较高威胁级别的设备不符合要求。
    • :如果设备上发现的威胁为低级别或中等级别,则该设备符合策略。 如果检测到高级别威胁,则设备会被确定为不合规。
    • :此级别是最不安全的,允许所有威胁级别。 因此,具有高、中或低威胁级别的设备被视为合规。

  6. 选择“ 确定”,然后选择“ 创建 ”以保存更改 (并创建策略) 。

步骤 4:分配策略

  1. Azure 门户中,选择“所有服务”,对 Intune 进行筛选,然后选择“Microsoft Intune”。

  2. 选择“设备符合性>策略>”,选择Microsoft Defender for Endpoint符合性策略。

  3. 选择“分配”。

  4. 包括或排除Microsoft Entra组以为其分配策略。

  5. 若要将策略部署到组,请选择“ 保存”。 将评估策略面向的用户设备是否合规。

步骤 5:创建Microsoft Entra条件访问策略

  1. 至少以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到Entra ID>条件访问>策略
  3. 选择“ 新建策略”。
  4. 为策略命名。 我们建议组织为其策略名称创建有意义的标准。
  5. “分配”下,选择“ 用户或工作负荷标识”。
    1. “包括”下,选择“所有用户
    2. “排除”下:
      1. 选择 “用户和组”
        1. 选择组织的紧急访问或破禁帐户。
        2. 如果使用 Microsoft Entra Connect 或 Microsoft Entra Connect Cloud Sync 等混合标识解决方案,请选择“目录角色”,然后选择“目录同步帐户”
  6. 在“ 目标资源>资源 (以前的云应用) >包括”下,选择 “所有资源” (以前的“所有云应用”)
  7. “访问控制>授予”下。
    1. 选择“需要将设备标记为兼容”
    2. 选择 “选择”。
  8. 确认设置并将 “启用策略” 设置为 “仅报告”。
  9. 选择“ 创建 ”以启用策略。

使用 策略影响或仅报告模式确认设置后,将 “启用策略” 开关从“ 仅报告” 移动到“ ”。

注意

可以将 Microsoft Defender for Endpoint 应用与批准的客户端应用应用保护策略合规设备 (要求设备在Microsoft Entra条件访问策略中标记为合规) 控件。 设置条件访问时,Microsoft Defender for Endpoint应用不需要排除。 尽管 Android & iOS 上的Microsoft Defender for Endpoint (应用 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已批准的应用,但它能够在所有三个授予权限中报告设备安全状况。

有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区