Configurare Microsoft Defender per l'endpoint in Intune

Usare le informazioni e le procedure in questo articolo per configurare l'integrazione di Microsoft Defender per Endpoint con Intune. La configurazione include i passaggi generali seguenti:

  • Abilitare Microsoft Defender per l'endpoint per il tenant
  • Eseguire l'onboarding dei dispositivi che eseguono Android, iOS/iPadOS e Windows 10
  • Usare i criteri di conformità per impostare i livelli di rischio dei dispositivi
  • Usare i criteri di accesso condizionale per bloccare i dispositivi che superano i livelli di rischio previsti
  • Android e iOS/iPadOS usano criteri di protezione delle app che impostano i livelli di rischio dei dispositivi. Protezione di app funzionano sia con i dispositivi registrati che con i dispositivi non registrati.

Prima di iniziare, l'ambiente deve soddisfare i prerequisiti per l'uso di Microsoft Defender per Endpoint con Intune.

Abilitare Microsoft Defender per l'endpoint in Intune

Il primo passaggio da eseguire consiste nel configurare la connessione da servizio a servizio tra Intune e Microsoft Defender per Endpoint. Per eseguire la configurazione è necessario l'accesso amministrativo a Microsoft Defender Security Center e a Intune.

È necessario abilitare Microsoft Defender per Endpoint una sola volta per ogni tenant.

Per abilitare Microsoft Defender per l'endpoint

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Endpoint security Microsoft Defender for Endpoint (Sicurezza degli endpoint Microsoft Defender per > endpoint) e quindi open the Microsoft Defender Security Center.

    Suggerimento

    Se lo stato della connessione nella parte superiore della pagina è già impostato su Abilitato, la connessione a Intune è già stata stabilita e l'interfaccia di amministrazione visualizza un'interfaccia utente diversa rispetto allo screenshot seguente. In questo caso, è possibile usare il collegamento Aprire la console di amministrazione di Microsoft Defender per endpoint per aprire il Microsoft Defender Security Center e usare le indicazioni nel passaggio seguente per verificare che la connessione Microsoft Intune sia impostata su Sì.

    Screenshot che mostra la patch per aprire il Microsoft Defender Security Center.

  3. In Microsoft Defender Security Center:

    1. Selezionare Settings (Impostazioni) > Advanced features (Funzionalità avanzate).

    2. Per Microsoft Intune connection (Connessione Microsoft Intune) selezionare On (Attivata):

      Screenshot dell'impostazione Microsoft Intune connessione.

    3. Selezionare Save preferences (Salva preferenze).

  4. Tornare alla pagina Microsoft Defender for Endpoint nell'interfaccia Microsoft Endpoint Manager di amministrazione.

    1. Per usare Defender per endpoint con criteri di conformità, configurare quanto segue in Criteri di conformità MDM Impostazioni per le piattaforme supportate:

      • Impostare Connessione dispositivi Android su Microsoft Defender per Endpoint su On
      • Impostare Connessione dispositivi iOS su Microsoft Defender per Endpoint su On
      • Impostare Connessione Windows dispositivi su Microsoft Defender per Endpoint su On

      Quando queste configurazioni sono in, i dispositivi applicabili gestiti con Intune e i dispositivi registrati in futuro vengono connessi a Microsoft Defender for Endpoint per la conformità.

    2. Per usare Defender per endpoint con criteri di protezione delle app, configurare quanto segue in Criteri di protezione Impostazioni per le piattaforme supportate. Queste funzionalità sono disponibili per Android e iOS/iPadOS.

      • Impostare Connessione dispositivi Android su Microsoft Defender for Endpoint per la valutazione dei criteri di protezione delle app su Su.
      • Impostare Connessione dispositivi iOS su Microsoft Defender for Endpoint per la valutazione dei criteri di protezione delle app su Su.
  5. Selezionare Salva.

Suggerimento

Quando si integra una nuova applicazione in Intune Mobile Threat Defense e si abilita la connessione per Intune, Intune crea criteri di accesso condizionale classici in Azure Active Directory. Ogni app MTD integrata, tra cui Microsoft Defender per Endpoint o uno dei partner MTDaggiuntivi, crea un nuovo criterio di accesso condizionale classico. Questi criteri possono essere ignorati, ma non devono essere modificati, eliminati o disabilitati.

Se i criteri classici vengono eliminati, sarà necessario eliminare la connessione a Intune che li ha creati e poi riconfigurarla. In questo modo si ricreano i criteri classici. Non è possibile eseguire la migrazione dei criteri classici per le app MTD al nuovo tipo di criteri per l'accesso condizionale.

I criteri di accesso condizionale classici per le app gestite:

  • Vengono usati da Intune MTD per richiedere che i dispositivi vengano registrati in Azure AD in modo da avere un ID dispositivo prima di comunicare con i partner MTD. L'ID è necessario per consentire ai dispositivi di segnalare correttamente lo stato a Intune.
  • Non ha alcun effetto su altre app o risorse cloud.
  • Sono diversi dai criteri di accesso condizionale che è possibile creare per facilitare la gestione di MTD.
  • Per impostazione predefinita, non interagiscono con altri criteri di accesso condizionale usati per la valutazione.

Per visualizzare i criteri di accesso condizionale classici, in Azure passare a Azure Active Directory > Accesso condizionale > Criteri classici.

Eseguire l'onboarding dei dispositivi

Quando è stato abilitato il supporto per Microsoft Defender per Endpoint in Intune, è stata stabilita una connessione da servizio a servizio tra Intune e Microsoft Defender per Endpoint. È quindi possibile eseguire l'onboard dei dispositivi gestiti con Intune in Microsoft Defender per Endpoint. L'onboarding consente la raccolta di dati sui livelli di rischio dei dispositivi.

Quando si esegue l'onboarding dei dispositivi, assicurarsi di usare la versione più recente di Microsoft Defender per Endpoint per ogni piattaforma.

Eseguire l'onboarding di dispositivi Windows

Dopo aver connesso Intune e Microsoft Defender per Endpoint, Intune riceve un pacchetto di configurazione di onboarding da Microsoft Defender per Endpoint. Usare un profilo di configurazione del dispositivo per Microsoft Defender per Endpoint per distribuire il pacchetto nei Windows dispositivi.

Il pacchetto di configurazione configura i dispositivi per comunicare con Microsoft Defender per i servizi endpoint per analizzare i file e rilevare le minacce. Il dispositivo segnala anche il livello di rischio a Microsoft Defender per Endpoint in base ai criteri di conformità.

Dopo l'onboarding di un dispositivo usando il pacchetto di configurazione, non è necessario eseguire di nuovo questa operazione.

È anche possibile eseguire l'onboard dei dispositivi usando:

  • Criteri di rilevamento di endpoint e risposta. I criteri EDR Intune fanno parte della sicurezza degli endpoint in Intune. Usare EDR criteri per configurare la sicurezza dei dispositivi senza il sovraccarico del corpo più ampio delle impostazioni presenti nei profili di configurazione dei dispositivi. È anche possibile usare i criteri di rilevamento di endpoint e risposta con i dispositivi collegati al tenant, che sono dispositivi gestiti con Configuration Manager.
  • Criteri di gruppo o Microsoft Endpoint Configuration Manager.

Suggerimento

Quando si usano più criteri o tipi di criteri, ad esempio i criteri di configurazione del dispositivo, il rilevamento degli endpoint e i criteri di risposta per gestire le stesse impostazioni del dispositivo( ad esempio l'onboarding in Defender per l'endpoint), è possibile creare conflitti di criteri per i dispositivi. Per altre informazioni sui conflitti, vedere Gestire i conflitti nell'articolo Gestire i criteri di sicurezza.

Creare il profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi Windows

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Endpoint security (Sicurezza degli endpoint) > Rilevamento di endpoint e risposta > Crea criterio.

  3. In Piattaforma selezionare Windows 10 e versioni successive.

  4. Per il Tipo di profilo selezionare Rilevamento endpoint e risposta e quindi selezionare Crea.

  5. Nella pagina Informazioni di base compilare i campi Nome e Descrizione (facoltativo) per il profilo, quindi scegliere Avanti.

  6. Nella pagina Impostazioni di configurazione configurare le opzioni seguenti per Rilevamento endpoint e Risposta:

    • Condivisione di esempio per tutti i file: restituisce o imposta il parametro di configurazione Microsoft Defender for Endpoint Sample Sharing.
    • Accelera la frequenza di creazione di report di telemetria: per i dispositivi ad alto rischio, abilitare questa impostazione in modo da segnalare più frequentemente i dati di telemetria al servizio Microsoft Defender per endpoint.

    Onboard Windows 10 computer usando Microsoft Endpoint Configuration Manager informazioni dettagliate sulle impostazioni di Microsoft Defender per endpoint.

    Screenshot delle opzioni di configurazione per Rilevamento endpoint e Risposta.

    Nota

    La schermata precedente mostra le opzioni di configurazione dopo aver configurato una connessione tra Intune e Microsoft Defender per l'endpoint. Quando si è connessi, i dettagli per i BLOB di onboarding e offboarding vengono generati e trasferiti automaticamente in Intune.

    Se la connessione non è stata configurata correttamente, viene visualizzata l'impostazione Tipo di pacchetto di configurazione client di Microsoft Defender per endpoint con le opzioni per specificare i BLOB di onboarding e offboarding.

  7. Selezionare Avanti per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

  8. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Quando si esegue la distribuzione in gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri e può eseguire l'onboarding del dispositivo in Defender per Endpoint.

    Selezionare Avanti.

  9. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato. Scegliere OK e quindi Crea per salvare le modifiche e creare il profilo.

Onboard di dispositivi macOS

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per Endpoint, è possibile eseguire l'onboard di dispositivi macOS in Microsoft Defender per Endpoint. L'onboarding configura i dispositivi per comunicare con Microsoft Defender Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Per indicazioni sulla configurazione per Intune, vedere Microsoft Defender per Endpoint per macOS.

Per altre informazioni su Microsoft Defender per Endpoint per Mac, incluse le novità della versione più recente, vedere Microsoft Defender per Endpoint per Mac nella documentazione Microsoft 365 sicurezza.

Eseguire l'onboarding dei dispositivi Android

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per Endpoint, è possibile eseguire l'onboard di dispositivi Android in Microsoft Defender per Endpoint. L'onboarding configura i dispositivi per comunicare con Defender per Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non è disponibile un pacchetto di configurazione per i dispositivi che eseguono Android. Vedere invece Panoramica di Microsoft Defender per Endpoint per Android nella documentazione di Microsoft Defender per endpoint per i prerequisiti e le istruzioni di onboarding per Android.

Per i dispositivi che eseguono Android, è anche possibile usare i criteri di Intune per modificare Microsoft Defender per Endpoint in Android. Per altre informazioni, vedere Microsoft Defender per Endpoint Web Protection.

Eseguire l'onboarding di dispositivi iOS/iPadOS

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per Endpoint, è possibile eseguire l'onboard di dispositivi iOS/iPadOS in Microsoft Defender per Endpoint. L'onboarding configura i dispositivi per comunicare con Defender per Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non è disponibile un pacchetto di configurazione per i dispositivi che eseguono iOS/iPadOS. Vedere invece Panoramica di Microsoft Defender per Endpoint per iOS nella documentazione di Microsoft Defender per endpoint per i prerequisiti e istruzioni di onboarding per iOS/iPadOS.

Per i dispositivi che eseguono iOS/iPadOS (in modalità di supervisione), è disponibile una capacità specifica considerate le funzionalità di gestione più avanzate offerte dalla piattaforma su questi tipi di dispositivi. Per sfruttare i vantaggi di queste funzionalità, l'app Defender deve essere in grado di stabilire se un dispositivo è in modalità con supervisione. Intune consente di configurare l'app Defender per iOS tramite un criterio di Configurazione app (per i dispositivi gestiti) che deve essere destinato a tutti i dispositivi iOS come procedura consigliata.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare App > Criteri di configurazione dell'app > Dispositivi gestiti.

  3. Nella pagina Informazioni di base compilare i campi Nome e Descrizione (facoltativo) per il profilo, selezionare iOS/iPadOS per Piattaforma e quindi scegliere Avanti.

  4. Selezionare Microsoft Defender per iOS per App interessate.

  5. Nella pagina Impostazioni impostare Chiave di configurazione su issupervised e quindi Tipo di valore su stringa con {{issupervised}} come Valore di configurazione.

  6. Selezionare Avanti per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

  7. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Quando si esegue la distribuzione a gruppi di utenti, un utente deve accedere a un dispositivo prima che i criteri vengano applicati.

    Selezionare Avanti.

  8. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco dei profili di configurazione.

Inoltre, per i dispositivi che eseguono iOS/iPadOS (in modalità con supervisione), il team di Defender per iOS ha reso disponibile un profilo mobileconfig personalizzato per la distribuzione nei dispositivi iPad/iOS. Il profilo .mobileconfig verrà usato per analizzare il traffico di rete per garantire un'esperienza di esplorazione sicura, una funzionalità di Defender per iOS.

  1. Scaricare il profilo mobile, ospitato qui: https://aka.ms/mdatpiossupervisedprofile .

  2. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  3. Selezionare Dispositivi > Profili di configurazione > Crea profilo.

  4. Per Piattaforma selezionare iOS/iPadOS.

  5. Per Tipo di profilo selezionare Personalizzato e quindi selezionare Crea.

  6. Nella pagina Informazioni di base compilare i campi Nome e Descrizione (facoltativo) per il profilo, quindi scegliere Avanti.

  7. Immettere un Nome del profilo di configurazione e selezionare un file con estensione mobileconfig da caricare.

  8. Selezionare Avanti per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

  9. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per questo scenario, è consigliabile scegliere come destinazione Tutti i dispositivi. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Quando si esegue la distribuzione a gruppi di utenti, un utente deve accedere a un dispositivo prima che venga applicato il criterio.

    Selezionare Avanti.

  10. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco dei profili di configurazione.

Creare e assegnare i criteri di conformità per impostare il livello di rischio del dispositivo

Per i dispositivi Android, iOS/iPadOS e Windows, i criteri di conformità determinano il livello di rischio considerato accettabile per un dispositivo.

Se non si ha familiarità con la creazione dei criteri di conformità, fare riferimento alla procedura Creare un criterio nell'articolo Creare criteri di conformità in Microsoft Intune. Le informazioni seguenti sono specifiche per la configurazione di Microsoft Defender per l'endpoint come parte dei criteri di conformità.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Dispositivi > Criteri di conformità > Criteri > Crea criterio.

  3. Per Piattaforma usare la casella di riepilogo a discesa per selezionare una delle opzioni seguenti:

    • Amministratore di dispositivi Android
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 e versioni successive

    Selezionare quindi Crea per aprire la finestra di configurazione Crea criterio.

  4. Specificare un Nome per identificare facilmente i criteri in un secondo momento. È anche possibile specificare una Descrizione.

  5. Nella scheda Impostazioni di conformità espandere il gruppo Microsoft Defender per endpoint e impostare l'opzione Richiedi che il dispositivo sia al massimo al punteggio di rischio del computer sul livello preferito.

    Le classificazioni a livello di minaccia sono determinate da Microsoft Defender per l'endpoint.

    • Cancella: questo livello è il più sicuro. Nel dispositivo non possono essere presenti minacce per poter accedere alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme. Microsoft Defender per Endpoint usa il valore Secure.
    • Bassa: il dispositivo è conforme se sono presenti solo minacce di livello basso. I dispositivi con un livello di minaccia medio o alto non sono conformi.
    • Media: il dispositivo è conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene determinato come non conforme.
    • Alta: questo livello è il meno sicuro e consente tutti i livelli di minaccia. Sono considerati conformi i dispositivi con un livello di minaccia alto, medio o basso.
  6. Completare la configurazione dei criteri, inclusa l'assegnazione dei criteri ai gruppi applicabili.

Creare e assegnare criteri di protezione delle app per impostare il livello di rischio del dispositivo

Usare la procedura per creare criteri di protezione delle applicazioni per iOS/iPadOS o Android e usare le informazioni seguenti nelle pagine App, Avvio condizionale e Assegnazioni:

  • App: selezionare le app a cui si vogliono assegnare i criteri di protezione delle app. Per questo set di funzionalità, queste app vengono bloccate o cancellate selettivamente in base alla valutazione dei rischi del dispositivo dal fornitore di Mobile Threat Defense scelto.

  • Avvio condizionale: in Condizioni del dispositivo usare la casella di riepilogo a discesa per selezionare Livello di minaccia massimo consentito del dispositivo.

    Opzioni per Valore del livello di minaccia:

    • Protetti: questo livello è il più sicuro. Nel dispositivo non possono essere presenti minacce per poter accedere alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
    • Bassa: il dispositivo è conforme se sono presenti solo minacce di livello basso. In presenza di minacce di livello più alto, il dispositivo verrà messo in stato di non conformità.
    • Media: il dispositivo è conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene determinato come non conforme.
    • Alta: questo livello è il meno sicuro e consente tutti i livelli di minaccia, usando Mobile Threat Defense solo a scopo di report. È necessario che nei dispositivi l'app MTD sia attivata con questa impostazione.

    Opzioni per Azione:

    • Blocca accesso
    • Cancella i dati
  • Assegnazioni: Assegnare i criteri ai gruppi di utenti. I dispositivi usati dai membri del gruppo vengono valutati per l'accesso ai dati aziendali nelle app di destinazione tramite la protezione delle app di Intune.

Importante

Se si crea un criterio di protezione per un'app protetta, viene valutato il livello di minaccia del dispositivo. I dispositivi che, a causa del modo in cui sono stati configurati, non soddisfano un livello accettabile, vengono bloccati o cancellati in modo selettivo tramite l'avvio condizionale. Ai dispositivi bloccati, inoltre, viene impedito di accedere alle risorse aziendali fino a quando la minaccia sul dispositivo non viene risolta e segnalata a Intune da parte del fornitore di soluzioni MTD scelto.

Creare criteri di accesso condizionale

I criteri di accesso condizionale possono usare i dati di Microsoft Defender per Endpoint per bloccare l'accesso alle risorse per i dispositivi che superano il livello di minaccia impostato. È possibile bloccare l'accesso dal dispositivo alle risorse aziendali, ad esempio SharePoint o Exchange Online.

Suggerimento

L'accesso condizionale è una tecnologia di Azure Active Directory (Azure AD). Il nodo Accesso condizionale nell'interfaccia di amministrazione di Microsoft Endpoint Manager è il nodo da Azure AD.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Endpoint Security (Sicurezza endpoint) > Accesso condizionale > Nuovi criteri.

  3. Immettere un nome per il criterio e selezionare Utenti e gruppi. Usare le opzioni Includi o Escludi per aggiungere i gruppi per il criterio e quindi selezionare Fine.

  4. Selezionare App cloud e quindi scegliere le app da proteggere. Ad esempio, scegliere Seleziona le app e quindi selezionare Office 365 SharePoint Online e Office 365 Exchange Online.

    Selezionare Fatto per salvare le modifiche.

  5. Selezionare Condizioni > App client per applicare il criterio alle app e ai browser. Ad esempio, selezionare e quindi abilitare Browser e App per dispositivi mobili e client desktop.

    Selezionare Fatto per salvare le modifiche.

  6. Selezionare Concedi per applicare l'accesso condizionale basato sulla conformità del dispositivo. Ad esempio, selezionare Concedi accesso > Richiedi che i dispositivi siano contrassegnati come conformi.

    Scegliere OK per salvare le modifiche.

  7. Selezionare Abilita criterio e quindi Crea per salvare le modifiche.

Passaggi successivi

Per altre informazioni, vedere la documentazione di Intune:

Per altre informazioni, vedere la documentazione di Microsoft Defender per endpoint: