Konfigurace podmíněného přístupu v Microsoft Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tato část vás provede všemi kroky, které je potřeba provést, abyste mohli správně implementovat podmíněný přístup.

Než začnete

Upozornění

Je důležité si uvědomit, že Microsoft Entra zaregistrovaná zařízení se v tomto scénáři nepodporují.
Podporují se jenom Intune zaregistrovaná zařízení.

Musíte se ujistit, že všechna vaše zařízení jsou zaregistrovaná v Intune. K registraci zařízení v Intune můžete použít některou z následujících možností:

• SPRÁVA IT: Další informace o tom, jak povolit automatickou registraci, najdete v tématu Registrace systému Windows.
• Koncový uživatel: Další informace o registraci Windows 10 a Windows 11 zařízení v Intune najdete v tématu Registrace zařízení Windows 10 v Intune
• Alternativní řešení pro koncové uživatele: Další informace o připojení k doméně Microsoft Entra najdete v tématu Postupy: Plánování implementace Microsoft Entra připojení.

V Microsoft Defender XDR, portálu Intune a Centrum pro správu Microsoft Entra je potřeba provést kroky.

Je důležité si uvědomit požadované role pro přístup k těmto portálům a implementaci podmíněného přístupu:

• Microsoft Defender XDR – Abyste zapnuli integraci, budete se muset přihlásit k portálu s rolí globálního správce.
• Intune – K portálu se budete muset přihlásit s právy správce zabezpečení s oprávněními správy.
• Centrum pro správu Microsoft Entra – Budete se muset přihlásit jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.

Poznámka

Budete potřebovat Microsoft Intune prostředí se spravovanými Intune a Microsoft Entra připojenými Windows 10 a Windows 11 zařízeními.

Pomocí následujících kroků povolte podmíněný přístup:

• Krok 1: Zapněte připojení Microsoft Intune z Microsoft Defender XDR
• Krok 2: Zapnutí integrace Defenderu for Endpoint v Intune
• Krok 3: Create zásady dodržování předpisů v Intune
• Krok 4: Přiřazení zásady
• Krok 5: Create zásad podmíněného přístupu Microsoft Entra

Krok 1: Zapnutí připojení Microsoft Intune

1. V navigačním podokně vyberte Nastavení>Koncové body>Obecné>pokročilé funkce>Microsoft Intune připojení.
2. Přepněte nastavení Microsoft Intune na Zapnuto.
3. Klikněte na Uložit předvolby.

Krok 2: Zapnutí integrace Defenderu for Endpoint v Intune

1. Přihlášení k portálu Intune
2. Vyberte Endpoint Security>Microsoft Defender for Endpoint.
3. Nastavte Připojit zařízení Windows 10.0.15063+ na Microsoft Defender Advanced Threat Protection na Zapnuto.
4. Klikněte na Uložit.

Krok 3: Create zásady dodržování předpisů v Intune

1. V Azure Portal vyberte Všechny služby, vyfiltrujte Intune a vyberte Microsoft Intune.

2. VyberteZásady>dodržování předpisů>zařízením Create zásady.

3. Zadejte Název a Popis.

4. V části Platforma vyberte Windows 10 a novější.

5. V nastavení Stav zařízení nastavte Vyžadovat, aby zařízení bylo na úrovni ohrožení zařízení nebo pod úrovní ohrožení zařízení na upřednostňovanou úroveň:

   • Zabezpečeno: Tato úroveň je nejbezpečnější. Zařízení nemůže mít žádné existující hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy.
   • Nízká: Zařízení je kompatibilní, pokud existují pouze hrozby nízké úrovně. Zařízení se střední nebo vysokou úrovní hrozeb nedodržují předpisy.
   • Střední: Zařízení je kompatibilní, pokud jsou hrozby, které se na zařízení nacházejí, nízké nebo střední. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
   • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Zařízení s vysokou, střední nebo nízkou úrovní hrozeb se tedy považují za vyhovující.

6. Vyberte OK a Create uložte změny (a vytvořte zásadu).

Krok 4: Přiřazení zásady

1. V Azure Portal vyberte Všechny služby, vyfiltrujte Intune a vyberte Microsoft Intune.
2. VyberteZásady>dodržování předpisů> zařízením a vyberte zásady dodržování předpisů Microsoft Defender for Endpoint.
3. Vyberte Zadání.
4. Zahrnutím nebo vyloučením skupin Microsoft Entra jim přiřaďte zásady.
5. Pokud chcete zásadu nasadit do skupin, vyberte Uložit. U uživatelských zařízení, na která zásady cílí, se vyhodnotí dodržování předpisů.

Krok 5: Create zásad podmíněného přístupu Microsoft Entra

1. V Azure Portal otevřete Microsoft Entra ID>Podmíněný přístup>Nová zásada.

2. Zadejte název zásady a vyberte Uživatelé a skupiny. Pomocí možností Zahrnout nebo Vyloučit přidejte skupiny pro zásadu a vyberte Hotovo.

3. Vyberte Cloudové aplikace a zvolte, které aplikace chcete chránit. Vyberte třeba Vybrat aplikace a vyberte Office 365 SharePointu Online a Office 365 Exchange Online. Vyberte Hotovo a uložte změny.

4. Vyberte Podmínky>Klientské aplikace a použijte zásadu pro aplikace a prohlížeče. Vyberte například Ano a pak povolte prohlížeč a mobilní aplikace a desktopové klienty. Vyberte Hotovo a uložte změny.

5. Vyberte Udělit a použijte podmíněný přístup na základě dodržování předpisů zařízením. Například vyberte Udělit přístup>Vyžadovat, aby zařízení bylo označené jako vyhovující. Zvolte Vybrat a uložte změny.

6. Vyberte Povolit zásadu a pak Create uložte změny.

Poznámka

Aplikaci Microsoft Defender for Endpoint můžete použít společně se schválenými klientskými aplikacemi , zásadami ochrany aplikací a ovládacími prvky Kompatibilní zařízení (Vyžadovat označení zařízení jako vyhovující) v Microsoft Entra zásadách podmíněného přístupu. Při nastavování podmíněného přístupu není pro aplikaci Microsoft Defender for Endpoint potřeba žádné vyloučení. I když Microsoft Defender for Endpoint v Androidu & iOS (ID aplikace – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) není schválená aplikace, dokáže nahlásit stav zabezpečení zařízení ve všech třech oprávněních.

Defender ale interně požádá o obor MSGraph/User.read a Intune obor tunelu (v případě scénářů Defender+Tunel). Proto musí být tyto obory vyloučeny*. Pokud chcete vyloučit obor MSGraph/User.read, můžete vyloučit libovolnou jednu cloudovou aplikaci. Pokud chcete vyloučit obor tunelu, musíte vyloučit bránu Microsoft Tunnel Gateway. Tato oprávnění a vyloučení umožňují toku informací o dodržování předpisů do podmíněného přístupu.

*Upozorňujeme, že použití zásad podmíněného přístupu u všech cloudových aplikací může v některých případech neúmyslně zablokovat přístup uživatelů, takže se to nedoporučuje. Přečtěte si další informace o zásadách podmíněného přístupu v Cloud Apps.

Další informace najdete v tématu Vynucení dodržování předpisů pro Microsoft Defender for Endpoint pomocí podmíněného přístupu v Intune.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.