Konfigurer betinget adgang i Microsoft Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I dette afsnit gennemgås alle de trin, du skal udføre for at implementere betinget adgang korrekt.

Før du begynder

Advarsel

Det er vigtigt at bemærke, at Microsoft Entra registrerede enheder ikke understøttes i dette scenarie.
Det er kun intune-tilmeldte enheder, der understøttes.

Du skal sikre dig, at alle dine enheder er tilmeldt i Intune. Du kan bruge en af følgende indstillinger til at tilmelde enheder i Intune:

• It-Administration: Du kan få flere oplysninger om, hvordan du aktiverer automatisk tilmelding, under Windows-tilmelding
• Slutbruger: Du kan få flere oplysninger om, hvordan du tilmelder din Windows 10 og Windows 11 enhed i Intune, under Tilmeld din Windows 10 enhed i Intune
• Slutbrugerens alternativ: Du kan finde flere oplysninger om, hvordan du tilmelder dig et Microsoft Entra domæne, under Sådan gør du: Planlæg implementeringen af Microsoft Entra joinforbindelse.

Der er trin, du skal udføre i Microsoft Defender XDR, Intune-portalen og Microsoft Entra-administrationscenter.

Det er vigtigt at bemærke de påkrævede roller for at få adgang til disse portaler og implementere betinget adgang:

• Microsoft Defender XDR – Du skal logge på portalen med en global administratorrolle for at aktivere integrationen.
• Intune – Du skal logge på portalen med rettigheder som sikkerhedsadministrator med administratorrettigheder.
• Microsoft Entra-administrationscenter – Du skal logge på som global administrator, sikkerhedsadministrator eller administrator af betinget adgang.

Bemærk!

Du skal bruge et Microsoft Intune miljø, hvor Intune administreres og Microsoft Entra joinforbundne Windows 10 og Windows 11 enheder.

Udfør følgende trin for at aktivere Betinget adgang:

• Trin 1: Aktivér forbindelsen Microsoft Intune fra Microsoft Defender XDR
• Trin 2: Aktivér Defender for Endpoint-integration i Intune
• Trin 3: Opret politikken for overholdelse af regler og standarder i Intune
• Trin 4: Tildel politikken
• Trin 5: Opret en politik for betinget adgang Microsoft Entra

Trin 1: Aktivér Microsoft Intune forbindelse

1. Vælg Indstillinger>Slutpunkter>Generelle>avancerede funktioner>Microsoft Intune forbindelse i navigationsruden.
2. Slå indstillingen for Microsoft Intune til Til.
3. Klik på Gem indstillinger.

Trin 2: Aktivér Defender for Endpoint-integration i Intune

1. Log på Intune-portalen
2. Vælg Endpoint Security>Microsoft Defender for Endpoint.
3. Indstil Connect Windows 10.0.15063+ enheder til Microsoft Defender Advanced Threat Protection til On.
4. Klik på Gem.

Trin 3: Opret politikken for overholdelse af regler og standarder i Intune

1. Vælg Alle tjenester i Azure Portal, filtrer efter Intune, og vælg Microsoft Intune.

2. VælgPolitikker for>enhedsoverholdelse>Opret politik.

3. Angiv et navn og en beskrivelse.

4. Vælg Windows 10 og nyere i Platform.

5. I indstillingerne for Enhedstilstand skal du angive Kræv, at enheden er på eller under Device Threat Level til dit foretrukne niveau:

   • Beskyttet: Dette niveau er det mest sikre. Enheden kan ikke have nogen eksisterende trusler og har stadig adgang til virksomhedens ressourcer. Hvis der findes nogen trusler, evalueres enheden som ikke-overholder.
   • Lav: Enheden er kompatibel, hvis der kun findes trusler på lavt niveau. Enheder med mellemstor eller høj trussel er ikke kompatible.
   • Medium: Enheden er kompatibel, hvis de trusler, der findes på enheden, er lave eller mellemstore. Hvis der registreres trusler på højt niveau, bestemmes enheden som ikke-overholder.
   • Høj: Dette niveau er det mindst sikre og tillader alle trusselsniveauer. Så enheder, der med høje, mellemstore eller lave trusselsniveauer anses for at være kompatible.

6. Vælg OK og Opret for at gemme dine ændringer (og oprette politikken).

Trin 4: Tildel politikken

1. Vælg Alle tjenester i Azure Portal, filtrer efter Intune, og vælg Microsoft Intune.
2. VælgPolitikker for>enhedsoverholdelse> vælg din Microsoft Defender for Endpoint politik for overholdelse af angivne standarder.
3. Vælg Tildelinger.
4. Medtag eller udelad dine Microsoft Entra grupper for at tildele dem politikken.
5. Hvis du vil installere politikken i grupperne, skal du vælge Gem. De brugerenheder, der er målrettet af politikken, evalueres for overholdelse af angivne standarder.

Trin 5: Opret en politik for betinget adgang Microsoft Entra

1. Åbn Microsoft Entra IDKonditional adgang>ny politiki Azure Portal>.

2. Angiv et politiknavn, og vælg Brugere og grupper. Brug indstillingerne Inkluder eller Udelad til at tilføje dine grupper for politikken, og vælg Udført.

3. Vælg Cloudapps, og vælg, hvilke apps der skal beskyttes. Vælg f.eks. Vælg apps, og vælg Office 365 SharePoint Online og Office 365 Exchange Online. Vælg Udført for at gemme ændringerne.

4. Vælg Betingelser>Klientapps for at anvende politikken på apps og browsere. Vælg f.eks. Ja, og aktivér derefter browser- og mobilapps og skrivebordsklienter. Vælg Udført for at gemme ændringerne.

5. Vælg Tildel for at anvende betinget adgang baseret på enhedens overholdelse af angivne standarder. Vælg f.eks. Giv adgang>Kræv, at enheden markeres som kompatibel. Vælg Vælg for at gemme dine ændringer.

6. Vælg Aktivér politik, og opret derefter for at gemme dine ændringer.

Bemærk!

Du kan bruge Microsoft Defender for Endpoint-appen sammen med kontrolelementer af typen Godkendt klient,Appbeskyttelsespolitik og Kompatibel enhed (kræv, at enheden er markeret som kompatibel) i Microsoft Entra politikker for betinget adgang. Der kræves ingen udeladelse for Microsoft Defender for Endpoint-appen under konfiguration af betinget adgang. Selvom Microsoft Defender for Endpoint på Android & iOS (app-id – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) ikke er en godkendt app, kan den rapportere enhedens sikkerhedsholdning i alle de tre tilladelser.

Men internt anmoder Defender om området MSGraph/User.read og Intune-tunnelområdet (i tilfælde af Defender+Tunnel-scenarier). Disse områder skal derfor udelades*. Hvis du vil udelade MSGraph/User.read-området, kan alle cloudapps udelades. Hvis du vil udelade tunnelområdet, skal du udelade 'Microsoft Tunnel Gateway'. Disse tilladelser og udeladelser aktiverer flowet for overholdelsesoplysninger til Betinget adgang.

*Bemærk, at hvis du anvender en politik for betinget adgang til alle cloudapps, kan det i nogle tilfælde utilsigtet blokere brugeradgang, så det anbefales ikke. Læs mere om politikker for betinget adgang i cloudapps

Du kan få flere oplysninger under Gennemtving overholdelse af angivne standarder for Microsoft Defender for Endpoint med betinget adgang i Intune.

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.