Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tej sekcji przedstawiono wszystkie kroki, które należy wykonać w celu prawidłowego zaimplementowania dostępu warunkowego.
Przed rozpoczęciem
Ostrzeżenie
Należy pamiętać, że Microsoft Entra zarejestrowanych urządzeń nie są obsługiwane w tym scenariuszu. Obsługiwane są tylko urządzenia zarejestrowane w usłudze Intune.
Upewnij się, że wszystkie urządzenia są zarejestrowane w usłudze Intune. Aby zarejestrować urządzenia w usłudze Intune, możesz użyć dowolnej z następujących opcji:
- ADMINISTRACJA IT: Aby uzyskać więcej informacji na temat włączania automatycznej rejestracji, zobacz Włączanie automatycznej rejestracji systemu Windows.
- Użytkownik końcowy: Aby uzyskać więcej informacji na temat rejestrowania urządzenia Windows 10 i Windows 11 w usłudze Intune, zobacz Rejestrowanie urządzenia z systemem Windows w usłudze Intune.
- Alternatywa dla użytkownika końcowego: Aby uzyskać więcej informacji na temat dołączania do domeny Microsoft Entra, zobacz Instrukcje: planowanie implementacji dołączania Microsoft Entra.
Istnieją kroki, które należy wykonać w portalu Microsoft Defender, portalu usługi Intune i centrum administracyjnym Microsoft Entra.
Ważne jest, aby zanotować role wymagane do uzyskania dostępu do tych portali i zaimplementować dostęp warunkowy:
- Microsoft Defender portalu — aby włączyć integrację, musisz zalogować się do portalu z odpowiednią rolą. Zobacz Opcje uprawnień.
- Intune — musisz zalogować się do portalu z uprawnieniami administratora zabezpieczeń z uprawnieniami do zarządzania.
- Microsoft Entra centrum administracyjnym — musisz zalogować się jako administrator zabezpieczeń lub administrator dostępu warunkowego.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Potrzebne będzie środowisko usługi Microsoft Intune z urządzeniami zarządzanymi i Microsoft Entra przyłączonymi do usługi Intune Windows 10 i Windows 11.
Wykonaj następujące kroki, aby włączyć dostęp warunkowy:
- Krok 1. Włączanie połączenia usługi Microsoft Intune z Microsoft Defender XDR
- Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune
- Krok 3. Tworzenie zasad zgodności w usłudze Intune
- Krok 4. Przypisywanie zasad
- Krok 5. Tworzenie zasad dostępu warunkowego Microsoft Entra
Krok 1. Włączanie połączenia usługi Microsoft Intune
W okienku nawigacji wybierz pozycję Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowanepołączenie z usługą> Microsoft Intune.
Przełącz ustawienie usługi Microsoft Intune na Wł.
Kliknij pozycję Zapisz preferencje.
Krok 2. Włączanie integracji usługi Defender for Endpoint w usłudze Intune
Zaloguj się do portalu usługi Intune
Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender.
Ustaw pozycję Połącz urządzenia Windows 10.0.15063+ na Microsoft Defender zaawansowanej ochrony przed zagrożeniami na wartość Włączone.
Kliknij Zapisz.
Krok 3. Tworzenie zasad zgodności w usłudze Intune
W Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune i wybierz pozycję Microsoft Intune.
Wybierz pozycjęZasady>zgodności> urządzeńUtwórz zasady.
Wprowadź nazwę i opis.
W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
W ustawieniach Kondycja urządzenia ustaw opcję Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie na preferowany poziom:
- Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
- Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
- Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
- Wysoki: Ten poziom jest najmniej bezpieczny i umożliwia korzystanie ze wszystkich poziomów zagrożeń. Dlatego urządzenia o wysokim, średnim lub niskim poziomie zagrożenia są uważane za zgodne.
Wybierz przycisk OK i utwórz , aby zapisać zmiany (i utworzyć zasady).
Krok 4. Przypisywanie zasad
W Azure Portal wybierz pozycję Wszystkie usługi, przefiltruj usługę Intune i wybierz pozycję Microsoft Intune.
Wybierz pozycjęZasady>zgodności> urządzeń, wybierając zasady zgodności Ochrona punktu końcowego w usłudze Microsoft Defender.
Wybierz pozycję Przypisania.
Dołącz lub wyklucz grupy Microsoft Entra, aby przypisać im zasady.
Aby wdrożyć zasady w grupach, wybierz pozycję Zapisz. Urządzenia użytkowników objęte zasadami są oceniane pod kątem zgodności.
Krok 5. Tworzenie zasad dostępu warunkowego Microsoft Entra
- Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako administrator dostępu warunkowego.
- Przejdź do Tożsamość Entra>Zasady dostępu >warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadom nazwę. Zalecamy, aby organizacje utworzyły zrozumiały standard nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy
- W obszarze Wyklucz:
- Wybierz pozycję Użytkownicy i grupy
- Wybierz konta dostępu awaryjnego lub konta typu break-glass w organizacji.
- Jeśli używasz rozwiązań tożsamości hybrydowej, takich jak Microsoft Entra Connect lub Microsoft Entra Connect Cloud Sync, wybierz pozycję Role katalogów, a następnie wybierz pozycję Konta synchronizacji katalogów
- Wybierz pozycję Użytkownicy i grupy
- W obszarze Zasoby>docelowe (dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
- W obszarze Udzielanie kontroli> dostępu.
- Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na wartość Tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu ustawień przy użyciu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z pozycji Tylko raport do pozycji Włączone.
Uwaga
Możesz użyć aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender wraz z kontrolkami Zatwierdzona aplikacja kliencka, Zasady ochrony aplikacji i Zgodne urządzenie (wymagaj, aby urządzenie było oznaczone jako zgodne) w Microsoft Entra zasad dostępu warunkowego. Podczas konfigurowania dostępu warunkowego nie jest wymagane wykluczenie aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender. Mimo że Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android & iOS (Identyfikator aplikacji - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nie jest zatwierdzoną aplikacją, może raportować stan zabezpieczeń urządzeń we wszystkich trzech uprawnieniach udzielania.
Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w usłudze Intune.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.