Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Intune

Informacje i procedury przedstawione w tym artykule umożliwiają skonfigurowanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Intune. Konfiguracja obejmuje następujące ogólne kroki:

• Ustanawianie połączenia typu usługa-usługa między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender. To połączenie umożliwia Ochrona punktu końcowego w usłudze Microsoft Defender zbieranie danych o ryzyku maszyny z obsługiwanych urządzeń zarządzanych za pomocą Intune. Zapoznaj się z wymaganiami wstępnymi dotyczącymi używania Ochrona punktu końcowego w usłudze Microsoft Defender z Intune.
• Użyj zasad Intune, aby dołączyć urządzenia z Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączasz urządzenia w celu skonfigurowania ich do komunikowania się z Ochrona punktu końcowego w usłudze Microsoft Defender i dostarczania danych, które ułatwiają ocenę ich poziomu ryzyka.
• Użyj Intune zasad zgodności urządzeń, aby ustawić poziom ryzyka, na który chcesz zezwolić. Ochrona punktu końcowego w usłudze Microsoft Defender raportuje poziom ryzyka urządzeń. Urządzenia, które przekraczają dozwolony poziom ryzyka, są identyfikowane jako niezgodne.
• Użyj zasad dostępu warunkowego , aby zablokować użytkownikom dostęp do zasobów firmowych z niezgodnych urządzeń.
• Użyjzasad ochrony aplikacji dla systemów Android i iOS/iPadOS, aby ustawić poziomy ryzyka urządzenia. Ochrona aplikacji zasady współpracują zarówno z zarejestrowanymi, jak i niezarejestrowanych urządzeń.

Oprócz zarządzania ustawieniami Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach, które rejestrują się przy użyciu Intune, można zarządzać konfiguracjami zabezpieczeń usługi Defender for Endpoint na urządzeniach, które nie są zarejestrowane w Intune. Ten scenariusz nosi nazwę Zarządzanie zabezpieczeniami dla Ochrona punktu końcowego w usłudze Microsoft Defender i wymaga skonfigurowania przełącznika Zezwalaj Ochrona punktu końcowego w usłudze Microsoft Defender na wymuszanie konfiguracji zabezpieczeń punktu końcowego na wartość Włączone. Aby uzyskać więcej informacji, zobacz MDE Zarządzanie konfiguracją zabezpieczeń.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Łączenie Ochrona punktu końcowego w usłudze Microsoft Defender z Intune

Pierwszym krokiem jest skonfigurowanie połączenia service-to-service między Intune a Ochrona punktu końcowego w usłudze Microsoft Defender. Konfiguracja wymaga dostępu administracyjnego zarówno do Centrum zabezpieczeń usługi Microsoft Defender, jak i do Intune.

Wystarczy włączyć Ochrona punktu końcowego w usłudze Microsoft Defender jeden raz na dzierżawę.

Aby włączyć Ochrona punktu końcowego w usłudze Microsoft Defender

Otwórz portal Ochrona punktu końcowego w usłudze Microsoft Defender w security.microsoft.com. Centrum administracyjne Intune zawiera również link do portalu usługi Defender for Endpoint.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender, a następnie wybierz pozycję Otwórz Centrum zabezpieczeń usługi Microsoft Defender.

   Porada

   Jeśli w centrum administracyjnym Intune stan Połączenia w górnej części strony Ochrona punktu końcowego w usłudze Microsoft Defender jest już ustawiony na włączone, połączenie z Intune jest już aktywne, a w centrum administracyjnym jest wyświetlany inny tekst interfejsu użytkownika dla linku. W tym przypadku wybierz pozycję Otwórz konsolę administracyjną Ochrona punktu końcowego w usłudze Microsoft Defender, aby otworzyć Microsoft Defender dla portalu. Następnie możesz skorzystać ze wskazówek w poniższym kroku, aby potwierdzić, że Microsoft Intune połączenie jest ustawione na Włączone.

   

3. W portalu Microsoft Defender (wcześniej Centrum zabezpieczeń usługi Microsoft Defender):

   1. Wybierz pozycję Ustawienia>Punkty końcowe>Funkcje zaawansowane.

   2. W Microsoft Intune połączenia wybierz pozycję Włączone:

      

   3. Wybierz pozycję Zapisz preferencje.

   Uwaga

   Po nawiązaniu połączenia usługi powinny być synchronizowane ze sobą co najmniej raz na 24 godziny. Liczba dni bez synchronizacji, dopóki połączenie nie zostanie uznane za nieodpowiadające, można skonfigurować w centrum administracyjnym Microsoft Intune. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender>Numeruj dni, aż partner nie odpowiada

4. Wróć do strony Ochrona punktu końcowego w usłudze Microsoft Defender w centrum administracyjnym Microsoft Intune.

   1. Aby użyć usługi Defender for Endpoint z zasadami zgodności, skonfiguruj następujące elementy w obszarze Ocena zasad zgodności dla obsługiwanych platform:

      • Ustaw opcję Connect Android devices to Ochrona punktu końcowego w usłudze Microsoft Defender to On (Łączenie urządzeń z systemem Android w celu Ochrona punktu końcowego w usłudze Microsoft Defender włączone)
      • Ustaw opcję Connect iOS/iPadOS devices to Ochrona punktu końcowego w usłudze Microsoft Defender to On (Łączenie urządzeń z systemem iOS/iPadOS na wartość Włączone)
      • Ustaw opcję Połącz urządzenia z systemem Windows, aby Ochrona punktu końcowego w usłudze Microsoft Defender włączone

      Gdy te konfiguracje są włączone, odpowiednie urządzenia zarządzane za pomocą Intune i urządzenia zarejestrowane w przyszłości są połączone z Ochrona punktu końcowego w usłudze Microsoft Defender w celu zapewnienia zgodności.

      W przypadku urządzeń z systemem iOS usługa Defender for Endpoint obsługuje również następujące ustawienia, które ułatwiają ocenę luk w zabezpieczeniach aplikacji w Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu iOS. Aby uzyskać więcej informacji na temat korzystania z dwóch następujących ustawień, zobacz Konfigurowanie oceny luk w zabezpieczeniach aplikacji.

      • Włącz synchronizację aplikacji dla urządzeń z systemem iOS: ustaw wartość Włączone, aby umożliwić usłudze Defender for Endpoint żądanie metadanych aplikacji systemu iOS z Intune do użycia do celów analizy zagrożeń. Urządzenie z systemem iOS musi być zarejestrowane w usłudze MDM i dostarczać zaktualizowane dane aplikacji podczas ewidencjonowania urządzenia.

      • Wysyłanie pełnych danych spisu aplikacji na urządzeniach z systemem iOS/iPadOS należących do użytkownika: to ustawienie kontroluje dane spisu aplikacji, które Intune udostępniane usłudze Defender for Endpoint, gdy usługa Defender for Endpoint synchronizuje dane aplikacji i żąda listy spisu aplikacji.

        Po ustawieniu pozycji Włączone usługa Defender for Endpoint może zażądać listy aplikacji z Intune dla urządzeń z systemem iOS/iPadOS należących do użytkownika. Ta lista zawiera niezarządzane aplikacje i aplikacje, które zostały wdrożone za pośrednictwem Intune.

        Po ustawieniu pozycji Wyłączone dane dotyczące aplikacji niezarządzanych nie są udostępniane. Intune udostępnia dane dla aplikacji wdrożonych za pośrednictwem Intune.

      Aby uzyskać więcej informacji, zobacz Opcje przełączania usługi Mobile Threat Defense.

   2. Aby użyć usługi Defender for Endpoint z zasadami ochrony aplikacji dla systemów Android i iOS/iPadOS, skonfiguruj następujące elementy w obszarze Ochrona aplikacji ocena zasad dla używanych platform:

      • Ustaw opcję Połącz urządzenia z systemem Android, aby Microsoft Defender dla punktu końcowego na wartość Włączone.
      • Ustaw opcję Połącz urządzenia z systemem iOS/iPadOS, aby Ochrona punktu końcowego w usłudze Microsoft Defenderwłączone.

   Aby skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender integracji na potrzeby oceny zasad zgodności i ochrony aplikacji, musisz mieć rolę obejmującą uprawnienie Odczyt i modyfikowanie dla usługi Mobile Threat Defense w Intune. Wbudowana rola administratora programu Endpoint Security Manager dla Intune ma te uprawnienia. Aby uzyskać więcej informacji na temat ustawień zasad zgodności rozwiązania MDM i ustawień zasad ochrony aplikacji, zobacz Opcje przełączania usługi Mobile Threat Defense.

5. Wybierz Zapisz.

Porada

Od wersji usługi Intune z sierpnia 2023 r. (2308) klasyczne zasady dostępu warunkowego nie są już tworzone dla łącznika Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli dzierżawa ma klasyczne zasady urzędu certyfikacji, które zostały wcześniej utworzone na potrzeby integracji z Ochrona punktu końcowego w usłudze Microsoft Defender, można je usunąć. Aby wyświetlić klasyczne zasady dostępu warunkowego, na platformie Azure przejdź do Tożsamość Microsoft Entra>Dostęp> warunkowy— klasyczne zasady.

Dołączanie urządzeń

Po włączeniu obsługi Ochrona punktu końcowego w usłudze Microsoft Defender w Intune nawiązano połączenie typu service-to-service między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender. Następnie możesz dołączyć urządzenia zarządzane za pomocą Intune do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie umożliwia zbieranie danych dotyczących poziomów ryzyka urządzenia.

Podczas dołączania urządzeń należy użyć najnowszej wersji Ochrona punktu końcowego w usłudze Microsoft Defender dla każdej platformy.

Dołączanie urządzeń z systemem Windows

• Zasady wykrywania i reagowania na punkty końcowe (EDR). Strona Ochrona punktu końcowego w usłudze Microsoft Defender w centrum administracyjnym Intune zawiera link, który bezpośrednio otwiera przepływ pracy tworzenia zasad EDR, który jest częścią zabezpieczeń punktu końcowego w Intune.

  Użyj zasad EDR, aby skonfigurować zabezpieczenia urządzeń bez obciążenia związanego z większą treścią ustawień znajdujących się w profilach konfiguracji urządzeń. Można również używać zasad EDR z urządzeniami dołączonymi do dzierżawy, czyli urządzeniami zarządzanymi za pomocą Configuration Manager.

  Po skonfigurowaniu zasad EDR po nawiązaniu połączenia Intune z usługą Defender ustawienie zasad Ochrona punktu końcowego w usłudze Microsoft Defender typu pakietu konfiguracji klienta ma nową opcję konfiguracji: Automatyczne z łącznika. Dzięki tej opcji Intune automatycznie pobiera pakiet dołączania (obiekt blob) z wdrożenia usługi Defender for Endpoint, zastępując konieczność ręcznego skonfigurowania pakietu dołączania.

• Zasady konfiguracji urządzeń. Podczas tworzenia zasad konfiguracji urządzenia w celu dołączania urządzeń z systemem Windows wybierz szablon Ochrona punktu końcowego w usłudze Microsoft Defender. Po nawiązaniu połączenia Intune z usługą Defender Intune otrzymał pakiet konfiguracji dołączania z usługi Defender. Ten pakiet jest używany przez szablon do konfigurowania urządzeń do komunikowania się z usługami Ochrona punktu końcowego w usłudze Microsoft Defender oraz do skanowania plików i wykrywania zagrożeń. Dołączone urządzenia zgłaszają również poziom ryzyka do Ochrona punktu końcowego w usłudze Microsoft Defender na podstawie zasad zgodności. Po dołączeniu urządzenia przy użyciu pakietu konfiguracji nie trzeba tego robić ponownie.

• Zasady grupy lub Microsoft Configuration Manager. Więcej szczegółów na temat ustawień Ochrona punktu końcowego w usłudze Microsoft Defender zawiera dołączanie maszyn z systemem Windows przy użyciu Microsoft Configuration Manager.

Porada

W przypadku korzystania z wielu zasad lub typów zasad, takich jak zasady konfiguracji urządzenia i zasady wykrywania punktów końcowych i reagowania na nie, można zarządzać tymi samymi ustawieniami urządzenia (takimi jak dołączanie do usługi Defender for Endpoint), można tworzyć konflikty zasad dla urządzeń. Aby dowiedzieć się więcej o konfliktach, zobacz Zarządzanie konfliktami w artykule Zarządzanie zasadami zabezpieczeń .

Tworzenie profilu konfiguracji urządzenia w celu dołączania urządzeń z systemem Windows

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia punktu końcowego>Wykrywanie i reagowanie dotyczące punktów końcowych>Tworzenie zasad.

3. W obszarze Platforma wybierz pozycję Windows 10, Windows 11 i Windows Server.

4. W polu Typ profilu wybierz pozycję Wykrywanie punktów końcowych i odpowiedź, a następnie wybierz pozycję Utwórz.

5. Na stronie Podstawy wprowadź nazwę i opis (opcjonalnie) dla profilu, a następnie wybierz pozycję Dalej.

6. Na stronie Ustawienia konfiguracji skonfiguruj następujące opcje wykrywania i reagowania na punkty końcowe:

   • Ochrona punktu końcowego w usłudze Microsoft Defender typu pakietu konfiguracji klienta: wybierz pozycję Automatycznie z łącznika, aby użyć pakietu dołączania (obiektu blob) z wdrożenia usługi Defender for Endpoint. Jeśli dołączasz do innego lub odłączonego wdrożenia usługi Defender for Endpoint, wybierz pozycję Dołącz i wklej tekst z pliku obiektu blob WindowsDefenderATP.onboarding do pola Dołączanie (urządzenie ).
   • Udostępnianie przykładowe: zwraca lub ustawia parametr konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender Sample Sharing.
   • [Przestarzałe] Częstotliwość raportowania telemetrii: w przypadku urządzeń o wysokim ryzyku włącz to ustawienie, aby częściej raportować dane telemetryczne do usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

   

   Uwaga

   Powyższe przechwytywanie ekranu pokazuje opcje konfiguracji po skonfigurowaniu połączenia między Intune a Ochrona punktu końcowego w usłudze Microsoft Defender. Po nawiązaniu połączenia szczegóły dotyczące dołączania i odłączania obiektów blob są automatycznie generowane i przesyłane do Intune.

   Jeśli to połączenie nie zostało pomyślnie skonfigurowane, ustawienie Ochrona punktu końcowego w usłudze Microsoft Defender typu pakietu konfiguracji klienta zawiera tylko opcje określania dołączania i odłączania obiektów blob.

7. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

8. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania w grupach użytkowników musi zalogować się na urządzeniu przed zastosowaniem zasad, a urządzenie może dołączyć je do usługi Defender for Endpoint.

   Wybierz pozycję Dalej.

9. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu. OK, a następnie utwórz , aby zapisać zmiany, co spowoduje utworzenie profilu.

Dołączanie urządzeń z systemem macOS

Po nawiązaniu połączenia między usługami Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem macOS do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie konfiguruje urządzenia do komunikacji z punktem końcowym Microsoft Defender, który następnie zbiera dane dotyczące poziomu ryzyka urządzeń.

Aby uzyskać wskazówki dotyczące konfiguracji Intune, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu macOS.

Aby uzyskać więcej informacji na temat Ochrona punktu końcowego w usłudze Microsoft Defender dla komputerów Mac, w tym nowości w najnowszej wersji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla komputerów Mac w dokumentacji zabezpieczeń platformy Microsoft 365.

Dołączanie urządzeń z systemem Android

Po nawiązaniu połączenia service-to-service między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem Android do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie konfiguruje urządzenia do komunikacji z usługą Defender for Endpoint, która następnie zbiera dane dotyczące poziomu ryzyka urządzeń.

Nie ma pakietu konfiguracji dla urządzeń z systemem Android. Zamiast tego zobacz Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Android w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z wymaganiami wstępnymi i instrukcjami dołączania dla systemu Android.

W przypadku urządzeń z systemem Android można również użyć zasad Intune do modyfikowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender ochrona w Internecie.

Dołączanie urządzeń z systemem iOS/iPadOS

Po nawiązaniu połączenia service-to-service między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem iOS/iPadOS do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie konfiguruje urządzenia do komunikacji z usługą Defender for Endpoint, która następnie zbiera dane dotyczące poziomu ryzyka urządzeń.

Nie ma pakietu konfiguracji dla urządzeń z systemem iOS/iPadOS. Zamiast tego zobacz Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu iOS w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z wymaganiami wstępnymi i instrukcjami dołączania dla systemu iOS/iPadOS.

W przypadku urządzeń z systemem iOS/iPadOS (w trybie nadzorowanym) istnieje wyspecjalizowana możliwość, biorąc pod uwagę zwiększone możliwości zarządzania zapewniane przez platformę na tego typu urządzeniach. Aby skorzystać z tych możliwości, aplikacja Defender musi wiedzieć, czy urządzenie jest w trybie nadzorowanym. Intune umożliwia skonfigurowanie aplikacji Defender dla systemu iOS za pomocą zasad App Configuration (dla urządzeń zarządzanych), które powinny być przeznaczone dla wszystkich urządzeń z systemem iOS jako najlepsze rozwiązanie. Aby uzyskać więcej informacji, zobacz Complete deployment for supervised devices (Kompletne wdrażanie dla urządzeń nadzorowanych).

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Aplikacje> Zasady >konfiguracji aplikacji+ Dodaj, a następnie wybierz pozycjęUrządzenia zarządzane z listy rozwijanej.

3. Na stronie Podstawy wprowadź nazwę i opis (opcjonalnie) dla profilu, wybierz pozycję Platforma jako system iOS/iPadOS , a następnie wybierz pozycję Dalej.

4. Wybierz pozycję Aplikacja docelowa jako Microsoft Defender dla systemu iOS.

5. Na stronie Ustawienia ustaw klucz konfiguracji jako issupervised, a następnie wpisz wartość jako ciąg z wartością {{issupervised}} jako wartość Konfiguracja.

6. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

7. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. W tym scenariuszu najlepszym rozwiązaniem jest ukierunkowanie na wszystkie urządzenia. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania zasad w grupach użytkownik musi zalogować się na urządzeniu, zanim zostaną zastosowane zasady.

   Wybierz pozycję Dalej.

8. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście profilów konfiguracji.

Ponadto w przypadku urządzeń z systemem iOS/iPadOS (w trybie nadzorowanym) zespół usługi Defender dla systemu iOS udostępnia niestandardowy profil mobileconfig do wdrożenia na urządzeniach z systemem iPad/iOS. Profil mobileconfig służy do analizowania ruchu sieciowego w celu zapewnienia bezpiecznego przeglądania — funkcji usługi Defender dla systemu iOS.

1. Pobierz profil .mobile, który jest hostowany tutaj: https://aka.ms/mdatpiossupervisedprofile.

2. Zaloguj się do centrum administracyjnego Microsoft Intune.

3. Wybierz pozycjęKonfiguracja>urządzeń> Na karcie Zasady wybierz pozycję + Utwórz.

4. W obszarze Platforma wybierz pozycję iOS/iPadOS

5. W polu Typ profilu wybierz pozycję Niestandardowe, a następnie wybierz pozycję Utwórz.

6. Na stronie Podstawy wprowadź nazwę i opis (opcjonalnie) dla profilu, a następnie wybierz pozycję Dalej.

7. Wprowadź nazwę profilu konfiguracji i wybierz .mobileconfig plik do przekazania.

8. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

9. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. W tym scenariuszu najlepszym rozwiązaniem jest ukierunkowanie na wszystkie urządzenia. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania w grupach użytkownik musi zalogować się na urządzeniu, zanim zostaną zastosowane zasady.

   Wybierz pozycję Dalej.

10. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście profilów konfiguracji.

Wyświetl liczbę urządzeń dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender

Aby wyświetlić dołączone urządzenia z Ochrona punktu końcowego w usłudze Microsoft Defender na stronie łącznika Ochrona punktu końcowego w usłudze Microsoft Defender, potrzebna jest rola Intune obejmująca funkcję Odczyt dla Microsoft Defender uprawnienie zaawansowanej ochrony przed zagrożeniami.

Tworzenie i przypisywanie zasad zgodności w celu ustawienia poziomu ryzyka urządzenia

W przypadku urządzeń z systemami Android, iOS/iPadOS i Windows zasady zgodności określają poziom ryzyka, który uważasz za akceptowalny dla urządzenia.

Jeśli nie znasz już tworzenia zasad zgodności, zapoznaj się z procedurą Tworzenie zasad w artykule Tworzenie zasad zgodności w Microsoft Intune artykule. Poniższe informacje są specyficzne dla konfigurowania Ochrona punktu końcowego w usłudze Microsoft Defender w ramach zasad zgodności.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Zgodność urządzeń>. Na karcie Zasady wybierz pozycję + Utwórz zasady.

3. W obszarze Platforma użyj pola rozwijanego, aby wybrać jedną z następujących opcji:

   • Administrator urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10 lub nowszy

   Następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy określ nazwę , która ułatwia późniejsze zidentyfikowanie tych zasad. Możesz również określić opis.

5. Na karcie Ustawienia zgodności rozwiń kategorię Ochrona punktu końcowego w usłudze Microsoft Defender i ustaw opcję Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny na preferowany poziom.

   Klasyfikacje na poziomie zagrożenia są określane przez Ochrona punktu końcowego w usłudze Microsoft Defender.

   • Jasne: ten poziom jest najbezpieczniejszy. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal może uzyskiwać dostęp do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne. (Ochrona punktu końcowego w usłudze Microsoft Defender używa wartości Secure).
   • Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
   • Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
   • Wysoki: Ten poziom jest najmniej bezpieczny i zezwala na wszystkie poziomy zagrożeń. Urządzenia z wysokim, średnim lub niskim poziomem zagrożeń są uważane za zgodne.

6. Ukończ konfigurację zasad, w tym przypisanie zasad do odpowiednich grup.

Tworzenie i przypisywanie zasad ochrony aplikacji w celu ustawienia poziomu ryzyka urządzenia

Użyj procedury, aby utworzyć zasady ochrony aplikacji dla systemu iOS/iPadOS lub Android, i użyj następujących informacji na stronach Aplikacje, Uruchamianiewarunkowe i Przypisania :

• Aplikacje: wybierz aplikacje, do których mają być kierowane zasady ochrony aplikacji. W przypadku tego zestawu funkcji te aplikacje są blokowane lub selektywnie czyszczone w oparciu o ocenę ryzyka urządzenia przez wybranego dostawcę usługi Mobile Threat Defense.

• Uruchamianie warunkowe: poniżej warunków urządzenia użyj pola rozwijanego, aby wybrać pozycję Maksymalny dozwolony poziom zagrożenia urządzenia.

  Opcje wartości poziomu zagrożenia:

  • Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie, na którym są obecne jakiekolwiek zagrożenia, nie może uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
  • Niskie: urządzenie jest zgodne, jeśli są obecne tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
  • Średnie: urządzenie jest zgodne, jeśli znalezione na nim zagrożenia są na poziomie niskim lub średnim. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
  • Wysokie: ten poziom jest najmniej bezpieczny i umożliwia stosowanie wszystkich poziomów zagrożeń przy użyciu usługi Mobile Threat Defense tylko do celów raportowania. Na urządzeniach musi znajdować się aplikacja MTD, w której to ustawienie zostało aktywowane.

  Opcje pola Akcja:

  • Blokuj dostęp
  • Wyczyść dane

• Przypisania: przypisz zasady do grup użytkowników. Urządzenia używane przez członków grupy są oceniane pod kątem dostępu do danych firmowych za pomocą aplikacji docelowych przez funkcję ochrony aplikacji usługi Intune.

Ważna

Jeśli utworzysz zasady ochrony aplikacji dla dowolnej chronionej aplikacji, oceniany jest poziom zagrożenia urządzenia. W zależności od konfiguracji urządzenia, które nie spełniają akceptowalnego poziomu, są blokowane lub selektywnie czyszczone przy użyciu warunkowego uruchomienia. W przypadku zablokowania nie będą one miały dostępu do zasobów firmowych, dopóki zagrożenie na urządzeniu nie zostanie rozwiązane i zgłoszone do usługi Intune przez wybranego dostawcę MTD.

Tworzenie zasad dostępu warunkowego

Zasady dostępu warunkowego mogą używać danych z Ochrona punktu końcowego w usłudze Microsoft Defender do blokowania dostępu do zasobów dla urządzeń, które przekraczają ustawiony poziom zagrożenia. Możesz zablokować dostęp z urządzenia do zasobów firmowych, takich jak SharePoint lub Exchange Online.

Porada

Dostęp warunkowy to technologia Microsoft Entra. Węzeł dostępu warunkowego znaleziony w centrum administracyjnym Microsoft Intune to węzeł z Microsoft Entra.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady. Ponieważ Intune przedstawia interfejs użytkownika tworzenia zasad dostępu warunkowego z Azure Portal, interfejs różni się od przepływu pracy tworzenia zasad, który może być znany.

3. Wprowadź nazwę zasad.

4. W przypadku użytkowników użyj kart Dołączanie i wykluczanie , aby skonfigurować grupy, które otrzymają te zasady.

5. W obszarze Zasoby docelowe ustaw pozycję Wybierz, co te zasady mają zastosowanie do aplikacji wchmurze, a następnie wybierz aplikacje do ochrony. Na przykład wybierz pozycję Wybierz aplikacje, a następnie wybierz pozycję Wybierz, wyszukaj i wybierz pozycję Office 365 SharePoint Online i Office 365 Exchange Online.

6. W obszarze Warunki wybierz pozycję Aplikacje klienckie , a następnie ustaw pozycję Konfiguruj na wartość Tak. Następnie zaznacz pola wyboru dla aplikacji przeglądarki i aplikacji mobilnych oraz klientów klasycznych. Następnie wybierz pozycję Gotowe , aby zapisać konfigurację aplikacji klienckiej.

7. W obszarze Grant skonfiguruj te zasady tak, aby były stosowane na podstawie reguł zgodności urządzeń. Przykład:

   1. Wybierz pozycję Udziel dostępu.
   2. Zaznacz pole wyboru Wymagaj, aby urządzenie było oznaczone jako zgodne.
   3. Wybierz pozycję Wymagaj wszystkich wybranych kontrolek. Wybierz pozycję Wybierz , aby zapisać konfigurację udzielania.

8. W obszarze Włącz zasady wybierz pozycję Włączone , a następnie pozycję Utwórz , aby zapisać zmiany.

Następne kroki

• Konfigurowanie ustawień Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android
• Monitorowanie zgodności pod kątem poziomów ryzyka

Dowiedz się więcej z dokumentacji Intune:

• Rozwiązywanie problemów na urządzeniach przy użyciu zadań zabezpieczeń za pomocą usługi Defender for Endpoints Vulnerability Management
• Wprowadzenie do zasad zgodności urządzeń
• Omówienie zasad Ochrona aplikacji

Dowiedz się więcej z dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender:

• Ochrona punktu końcowego w usłudze Microsoft Defender dostępu warunkowego
• pulpit nawigacyjny Ochrona punktu końcowego w usłudze Microsoft Defender ryzyka