共用方式為

在適用於端點的 Microsoft Defender 中設定條件式存取

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本節會引導您完成正確實作條件式存取所需的所有步驟。

開始之前

警告

請務必注意,在此案例中不支援 Microsoft Entra 註冊的裝置。 僅支援 Intune 註冊的裝置。

您必須確定所有裝置都已在 Intune 中註冊。 您可以使用下列任何選項,在 Intune 中註冊裝置:

您必須在 Microsoft Defender 入口網站、Intune 入口網站和 Microsoft Entra 系統管理中心中採取一些步驟。

請務必注意存取這些入口網站並實作條件式存取的必要角色:

  • Microsoft Defender 入口網站 - 您必須使用適當的角色登入入口網站,才能開啟整合。 請參閱 權限選項
  • Intune - 您必須使用具有管理許可權的安全性系統管理員許可權登入入口網站。
  • Microsoft Entra 系統管理中心 - 您必須以安全性系統管理員或條件式存取系統管理員身分登入。

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

您需要 Microsoft Intune 環境,其中包含 Intune 受控和 Microsoft Entra 加入的 Windows 10 和 Windows 11 裝置。

請採取下列步驟來啟用條件式存取:

  • 步驟 1:從 Microsoft Defender 全面偵測回應開啟 Microsoft Intune 連線
  • 步驟 2:在 Intune 中開啟適用於端點的 Defender 整合
  • 步驟 3:在 Intune 中建立合規性原則
  • 步驟 4:指派原則
  • 步驟 5:建立 Microsoft Entra 條件式存取原則

步驟 1:開啟 Microsoft Intune 連線

  1. 在導覽窗格中,選取 [設定>] [端點] [>一般>] [進階功能>] [Microsoft Intune 連線]。

  2. 將 Microsoft Intune 設定切換為 [ 開啟]。

  3. 按一下 儲存偏好設定

步驟 2:在 Intune 中開啟適用於端點的 Defender 整合

  1. 登入 Intune 入口網站

  2. 選取 [端點安全性>] 適用於端點的 Microsoft Defender

  3. 將 [將 Windows 10.0.15063+ 裝置連線至 Microsoft Defender 進階威脅防護] 設定為 [開啟]。

  4. 按一下儲存

步驟 3:在 Intune 中建立合規性原則

  1. Azure 入口網站中,選取 [所有服務]、篩選 Intune,然後選取 [Microsoft Intune]。

  2. 選取 [ 裝置合規性>原則] [>建立原則]。

  3. 輸入 名稱描述

  4. [平臺] 中,選取 [Windows 10] 和更新版本

  5. [裝置健康情況 ] 設定中,將 [要求裝置處於或低於 [裝置威脅層級] 設定為慣用層級:

    • 安全:此層級是最安全的。 裝置不能有任何現有威脅,但仍可以存取公司資源。 如果找到任何威脅,系統會將裝置評估為不符合規範。
    • 低:如果只有低層級威脅存在,則裝置符合規範。 具有中等或高威脅層級的裝置不符合規範。
    • 中:如果在裝置上發現的威脅為低或中,則裝置符合規範。 如果偵測到高威脅層級,則系統會將裝置判定為不符合規範。
    • :此層級最不安全,並允許所有威脅層級。 因此,具有高、中或低威脅等級的裝置被視為合規。

  6. 選取 [確定],然後選取 [ 建立 ] 以儲存變更 (,並建立原則) 。

步驟 4:指派原則

  1. Azure 入口網站中,選取 [所有服務]、篩選 Intune,然後選取 [Microsoft Intune]。

  2. 選取 [裝置合規性>原則]>,選取您的適用於端點的 Microsoft Defender 合規性原則。

  3. 選取 [作業]

  4. 包含或排除您的 Microsoft Entra 群組,以指派原則給他們。

  5. 若要將原則部署至群組,請選取 [儲存]。 系統會評估原則所針對的使用者裝置是否符合規範。

步驟 5:建立 Microsoft Entra 條件式存取原則

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 Entra ID>條件式存取>原則
  3. 選取 [新增原則]。
  4. 為您的政策命名。 我們建議組織為其原則名稱建立有意義的標準。
  5. [指派] 底下,選取 [ 使用者或工作負載身分識別]。
    1. [包含] 底下,選取 [所有使用者]
    2. 「排除」下:
      1. 選取 [使用者和群組]
        1. 選擇您組織的緊急存取或緊急存取帳戶。
        2. 如果您使用 Microsoft Entra Connect 或 Microsoft Entra Connect 雲端同步等混合式身分識別解決方案,請選取 [目錄角色],然後選取 [目錄同步處理帳戶]
  6. [目標資源>] [先前為雲端應用程式 (資源]) >[包含] 底下,選取 [ 所有資源] (先前為 [所有雲端應用程式 )
  7. 存取控制>下,授與
    1. 選取 [要求裝置標示為符合規範]。
    2. 選取 選取
  8. 確認您的設定,並將 [啟用原則] 設定為 [僅限報告]。
  9. 選取 [ 建立] 以建立以啟用您的原則。

使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。

注意事項

您可以適用於端點的 Microsoft Defender搭配 [已核准的用戶端應用程式] 、 [應用程式保護原則] 和 [符合規範的裝置] 搭配使用) [符合規範的裝置 (要求裝置標示為符合規範控制項Microsoft Entra條件式存取原則。 設定條件式存取時,不需要適用於端點的 Microsoft Defender 應用程式排除。 雖然 Android & iOS (應用程式識別碼 - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 適用於端點的 Microsoft Defender不是核准的應用程式,但它能夠報告所有三個授與權限中的裝置安全性狀態。

如需詳細資訊,請參閱 在 Intune 中使用條件式存取強制執行適用於端點的 Microsoft Defender 合規性

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on