Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Abschnitt führt Sie durch alle Schritte, die Sie ausführen müssen, um den bedingten Zugriff ordnungsgemäß zu implementieren.
Bevor Sie beginnen
Warnung
Es ist wichtig zu beachten, dass Microsoft Entra registrierten Geräte in diesem Szenario nicht unterstützt werden. Es werden nur in Intune registrierte Geräte unterstützt.
Sie müssen sicherstellen, dass alle Ihre Geräte bei Intune registriert sind. Sie können eine der folgenden Optionen verwenden, um Geräte bei Intune zu registrieren:
- IT-Admin: Weitere Informationen zum Aktivieren der automatischen Registrierung finden Sie unter Aktivieren der automatischen Windows-Registrierung.
- Endbenutzer: Weitere Informationen zum Registrieren Ihres Windows 10 und Windows 11 Geräts in Intune finden Sie unter Registrieren Ihres Windows-Geräts bei Intune.
- Endbenutzeralternative: Weitere Informationen zum Beitreten zu einer Microsoft Entra Domäne finden Sie unter Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.
Es gibt Schritte, die Sie im Microsoft Defender-Portal, im Intune-Portal und Microsoft Entra Admin Center ausführen müssen.
Es ist wichtig, die erforderlichen Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs zu beachten:
- Microsoft Defender Portal: Sie müssen sich beim Portal mit einer geeigneten Rolle anmelden, um die Integration zu aktivieren. Weitere Informationen finden Sie unter Berechtigungsoptionen.
- Intune : Sie müssen sich beim Portal mit Sicherheitsadministratorrechten mit Verwaltungsberechtigungen anmelden.
- Microsoft Entra Admin Center: Sie müssen sich als Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Sie benötigen eine Microsoft Intune-Umgebung mit verwalteten und Microsoft Entra in Intune eingebundenen Windows 10- und Windows 11-Geräten.
Führen Sie die folgenden Schritte aus, um den bedingten Zugriff zu aktivieren:
- Schritt 1: Aktivieren der Microsoft Intune-Verbindung über Microsoft Defender XDR
- Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune
- Schritt 3: Erstellen der Konformitätsrichtlinie in Intune
- Schritt 4: Zuweisen der Richtlinie
- Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff
Schritt 1: Aktivieren der Microsoft Intune-Verbindung
Wählen Sie im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features>Microsoft Intune-Verbindung aus.
Schalten Sie die Microsoft Intune-Einstellung auf Ein um.
Klicken Sie auf Einstellungen speichern.
Schritt 2: Aktivieren der Integration von Defender für Endpunkt in Intune
Anmelden beim Intune-Portal
Wählen Sie Endpunktsicherheit>Microsoft Defender for Endpoint aus.
Legen Sie Connect Windows 10.0.15063+ devices (Geräte verbinden) auf Microsoft Defender Advanced Threat Protection auf Ein fest.
Klicken Sie auf Speichern.
Schritt 3: Erstellen der Konformitätsrichtlinie in Intune
Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.
Wählen Sie Gerätekonformitätsrichtlinien>>Richtlinie erstellen aus.
Geben Sie einen Namen und eine Beschreibung ein.
Wählen Sie unter Plattformdie Option Windows 10 und höher aus.
Legen Sie in den Einstellungen für die Geräteintegritätdie Option Gerät muss sich auf der gerätegedrohten Ebene befinden oder darunter sein auf Ihre bevorzugte Ebene fest:
- Geschützt: Diese Stufe ist die sicherste Einstellung. Das Gerät kann keine vorhandenen Bedrohungen aufweisen und weiterhin auf Unternehmensressourcen zugreifen. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
- Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
- Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
- Hoch: Diese Stufe ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen gelten also als konform.
Wählen Sie OK und Erstellen aus, um Ihre Änderungen zu speichern (und die Richtlinie zu erstellen).
Schritt 4: Zuweisen der Richtlinie
Wählen Sie im Azure-PortalAlle Dienste aus, filtern Sie nach Intune, und wählen Sie Microsoft Intune aus.
Wählen Sie Gerätekonformitätsrichtlinien>> aus, wählen Sie Ihre Microsoft Defender for Endpoint Konformitätsrichtlinie aus.
Wählen Sie Zuweisungen aus.
Schließen Sie Ihre Microsoft Entra-Gruppen ein, um ihnen die Richtlinie zuzuweisen.
Wählen Sie Speichern aus, um die Richtlinie für die Gruppen bereitzustellen. Die Von der Richtlinie betroffenen Benutzergeräte werden auf Konformität ausgewertet.
Schritt 5: Erstellen einer Microsoft Entra Richtlinie für bedingten Zugriff
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID>Bedingte Zugriffsrichtlinien>.
- Wählen Sie Neue Richtlinie aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Organisationen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Unter Ausschließen:
- Auswählen von Benutzern und Gruppen
- Wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer organization aus.
- Wenn Sie Hybrididentitätslösungen wie Microsoft Entra Connect oder Microsoft Entra Cloudsynchronisierung verwenden, wählen Sie Verzeichnisrollen und dann Verzeichnissynchronisierungskonten aus.
- Auswählen von Benutzern und Gruppen
- Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher "Alle Cloud-Apps") aus.
- Klicken Sie unterZugriffssteuerungserteilung>.
- Klicken Sie auf Markieren des Geräts als konform erforderlich.
- Wählen Sie Auswählen aus.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
- Wählen Sie Erstellen aus, um ihre Richtlinie zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder des Modus nur für Berichte bestätigt haben, verschieben Sie den Umschalter Richtlinie aktivieren von Nur Bericht auf Ein.
Hinweis
Sie können die Microsoft Defender for Endpoint-App zusammen mit den Steuerelementen Genehmigte Client-App, App-Schutzrichtlinie und Kompatibles Gerät (Gerät muss als konform gekennzeichnet sein) in Microsoft Entra Richtlinien für bedingten Zugriff verwenden. Für die Microsoft Defender for Endpoint-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender for Endpoint unter Android & iOS (App-ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Sicherheitsstatus des Geräts in allen drei Berechtigungen melden.
Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.