Wymuszanie zgodności usługi Microsoft Defender ATP z dostępem warunkowym w usłudze IntuneEnforce compliance for Microsoft Defender ATP with Conditional Access in Intune

Usługę Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) można zintegrować z usługą Microsoft Intune w ramach rozwiązania Mobile Threat Defense, aby ułatwić zapobieganie naruszeniom bezpieczeństwa oraz ograniczyć wpływ naruszeń w organizacji.You can integrate Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) with Microsoft Intune as a Mobile Threat Defense solution, to help prevent security breaches and limit the impact of breaches within an organization. Usługa Microsoft Defender ATP współpracuje z urządzeniami z systemem Windows 10 lub nowszym.Microsoft Defender ATP works with devices that run Windows 10 or later.

Aby pomyślnie korzystać z usługi, należy równocześnie zastosować następujące konfiguracje:To be successful, you use the following configurations in concert:

  • Ustanowienie połączenia typu usługa do usługi między usługą Intune i usługą Microsoft Defender ATP.Establish a service-to-service connection between Intune and Microsoft Defender ATP. To połączenie umożliwia usłudze Microsoft Defender ATP zbieranie danych dotyczących ryzyka maszyny ze strony urządzeń z systemem Windows 10 zarządzanych za pomocą usługi Intune.This connection lets Microsoft Defender ATP collect data about machine risk from Windows 10 devices you manage with Intune.
  • Użycie profilu konfiguracji urządzenia w celu dołączania urządzeń do usługi Microsoft Defender ATP.Use a device configuration profile to onboard devices with Microsoft Defender ATP. Urządzenia należy dołączyć, aby je skonfigurować do komunikowania się z usługą Microsoft Defender ATP i dostarczyć dane, które pomogą ocenić ich poziom ryzyka.You onboard devices to configure them to communicate with Microsoft Defender ATP and to provide data that helps assess their risk level.
  • Użycie zasad zgodności urządzeń w celu ustawienia dozwolonego poziomu ryzyka.Use a device compliance policy to set the level of risk you want to allow. Poziomy ryzyka są zgłaszane przez usługę Microsoft Defender ATP.Risk levels are reported by Microsoft Defender ATP. Urządzenia, które przekraczają dozwolony poziom ryzyka, są identyfikowane jako niezgodne.Devices that exceed the allowed risk level are identified as non-compliant.
  • Użycie zasad dostępu warunkowego, aby uniemożliwić użytkownikom dostęp do zasobów firmy z niezgodnych urządzeń.Use a conditional access policy to block users from accessing corporate resources from devices that are non-compliant.

Ponadto po zintegrowaniu usługi Intune z usługą Microsoft Defender ATP można korzystać z zalet funkcji zarządzania zagrożeniami i lukami w zabezpieczeniach usługi ATP i używać usługi Intune do korygowania słabości punktów końcowych wykrytych przez funkcję zarządzania zagrożeniami i lukami w zabezpieczeniach.In addition, when you integrate Intune with Microsoft Defender ATP, you can take advantage of ATPs Threat & Vulnerability Management (TVM) and use Intune to remediate endpoint weakness identified by TVM.

Przykład korzystania z usługi Microsoft Defender ATP w usłudze IntuneExample of using Microsoft Defender ATP with Intune

Poniższy przykład pomoże wyjaśnić, jak te rozwiązania ze sobą współpracują, aby pomóc w ochronie organizacji.The following example helps explain how these solutions work together to help protect your organization. W tym przykładzie usługa Microsoft Defender ATP i usługa Intune są już zintegrowane.For this example, Microsoft Defender ATP and Intune are already integrated.

Rozważmy sytuację, gdy ktoś wysyła użytkownikowi w organizacji załącznik programu Word z osadzonym złośliwym kodem.Consider an event where someone sends a Word attachment with embedded malicious code to a user within your organization.

  • Użytkownik otwiera załącznik i uaktywnia zawartość.The user opens the attachment, and enables the content.
  • Rozpoczyna się atak z udziałem podniesionego przywileju i atakujący korzystający z maszyny zdalnej ma prawa administratora do urządzenia ofiary.An elevated privilege attack starts, and an attacker from a remote machine has admin rights to the victim’s device.
  • Następnie atakujący uzyskuje zdalnie dostęp do innych urządzeń użytkownika.The attacker then remotely accesses the user's other devices. Takie naruszenie zabezpieczeń może mieć wpływ na całą organizację.This security breach can impact the entire organization.

Za pomocą usługi Microsoft Defender ATP można łatwiej rozpoznać zdarzenia zabezpieczeń podobne do zdarzeń z tego scenariusza.Microsoft Defender ATP can help resolve security events like this scenario.

  • W naszym przykładzie usługa Microsoft Defender ATP wykrywa, że urządzenie wykonało nietypowy kod, doszło do eskalacji uprawnienia korzystania z procesu, wprowadzenia złośliwego kodu i wywołania podejrzanej powłoki zdalnej.In our example, Microsoft Defender ATP detects that the device executed abnormal code, experienced a process privilege escalation, injected malicious code, and issued a suspicious remote shell.
  • W oparciu o te czynności wykonane z danego urządzenia usługa Microsoft Defender ATP klasyfikuje je jako urządzenie wysokiego ryzyka i dodaje szczegółowy raport o podejrzanych działaniach w portalu Microsoft Defender Security Center.Based on these actions from the device, Microsoft Defender ATP classifies the device as high-risk and includes a detailed report of suspicious activity in the Microsoft Defender Security Center portal.

Ponieważ istnieją zasady zgodności urządzeń w usłudze Intune, zgodnie z którymi urządzenia z poziomem ryzyka Średni lub Wysoki będą klasyfikowane jako niezgodne, zagrożone urządzenie zostaje sklasyfikowane jako niezgodne.Because you have an Intune device compliance policy to classify devices with a Medium or High level of risk as non-compliant, the compromised device is classified as non-compliant. Ta klasyfikacja umożliwia zastosowanie zasad dostępu warunkowego i blokowanie dostępu do zasobów firmy z tego urządzenia.This classification allows your conditional access policy to kick in and block access from that device to your corporate resources.

Wymagania wstępnePrerequisites

Aby używać usługi Microsoft Defender ATP z usługą Intune, należy się upewnić, że następujące elementy zostały skonfigurowane i są gotowe do użycia:To use Microsoft Defender ATP with Intune, be sure you have the following configured, and ready for use:

  • Licencjonowana dzierżawa dla pakietu Enterprise Mobility + Security E3 i systemu Windows E5 (lub pakietu Microsoft 365 Enterprise E5)Licensed tenant for Enterprise Mobility + Security E3 and Windows E5 (or Microsoft 365 Enterprise E5)
  • Środowisko usługi Microsoft Intune oraz urządzenia z systemem Windows 10 zarządzane przy użyciu usługi Intune przyłączone również do usługi Azure ADMicrosoft Intune environment, with Intune managed Windows 10 devices that are also Azure AD joined
  • Usługa Microsoft Defender ATP oraz dostęp do usługi Microsoft Defender Security Center (portal ATP)Microsoft Defender ATP and access to the Microsoft Defender Security Center (ATP portal)

Włączanie usługi Microsoft Defender ATP w usłudze IntuneEnable Microsoft Defender ATP in Intune

Najpierw trzeba skonfigurować połączenie typu usługa do usługi między usługą Intune i usługą Microsoft Defender ATP.The first step you take is to set up the service-to-service connection between Intune and Microsoft Defender ATP. Wymaga to dostępu administracyjnego zarówno do usługi Microsoft Defender Security Center, jak i do usługi Intune.This requires administrative access to both the Microsoft Defender Security Center, and to Intune.

Aby włączyć usługę Defender ATPTo enable Defender ATP

  1. Zaloguj się do usługi Intune.Sign in to Intune.

  2. Wybierz pozycję Zgodność urządzenie > Microsoft Defender ATP, a następnie pod obszarem Ustawienia łącznika wybierz pozycję Otwórz usługę Microsoft Defender Security Center.Select Device compliance > Microsoft Defender ATP, and then below Connector Settings, select Open the Microsoft Defender Security Center.

    Wybieranie pozycji otwierającej usługę Microsoft Defender Security Center

  3. W usłudze Microsoft Defender Security Center:In Microsoft Defender Security Center:

    1. Wybierz pozycję Ustawienia > Funkcje zaawansowane.Select Settings > Advanced features.

    2. Dla pozycji Połączenie z usługą Microsoft Intune wybierz ustawienie Wł. :For Microsoft Intune connection, choose On:

      Włączanie połączenia z usługą Intune

    3. Wybierz pozycję Zapisz preferencje.Select Save preferences.

  4. Wróć do usługi Intune i wybierz pozycję Zgodność urządzeń > Microsoft Defender ATP.Go back to Intune, Device compliance > Microsoft Defender ATP. Ustaw pozycję Połącz urządzenia systemu Windows w wersji 10.0.15063 lub nowszej z usługą Microsoft Defender ATP na Wł.Set Connect Windows devices version 10.0.15063 and above to Microsoft Defender ATP to On.

  5. Wybierz pozycję Zapisz.Select Save.

Zwykle należy wykonać to zadanie raz.You typically do this task once. Po włączeniu usługi Microsoft Defender ATP dla dzierżawy usługi Intune nie trzeba tego robić ponownie.After you've enabled Microsoft Defender ATP for your Intune tenant, you don't need to do it again.

Porada

Po zintegrowaniu nowej aplikacji z usługą Intune Mobile Threat Defense (MTD) i włączeniu połączenia z usługą Intune usługa ta tworzy klasyczne zasady dostępu warunkowego w usłudze Azure Active Directory.When you integrate a new application to Intune Mobile Threat Defense and enable the connection to Intune, Intune creates a classic conditional access policy in Azure Active Directory. Każda zintegrowana aplikacja MTD, w tym Defender ATP lub dowolny z naszych dodatkowych partnerów MTD, tworzy nowe klasyczne zasady dostępu warunkowego.Each MTD app you integrate, including Defender ATP or any of our additional MTD partners, creates a new classic conditional access policy. Te zasady można ignorować, ale nie należy ich edytować, usuwać ani wyłączać.These policies can be ignored, but should not be edited, deleted, or disabled.

Klasyczne zasady dostępu warunkowego dla aplikacji MTD mają następujące cechy:Classic conditional access policies for MTD apps:

  • Są używane przez usługę Intune MTD do żądania zarejestrowania urządzeń w usłudze Azure AD, dzięki czemu mają one identyfikator urządzenia przed rozpoczęciem komunikacji z partnerami MTD.Are used by Intune MTD to require that devices are registered in Azure AD so that they have a device ID before communicating to MTD partners. Ten identyfikator jest wymagany, aby urządzenia mogły pomyślnie zgłaszać swój stan do usługi Intune.The ID is required so that devices and can successfully report their status to Intune.
  • Nie mają wpływu na żadne inne aplikacje lub zasoby w chmurze.Have no effect on any other Cloud apps or Resources.
  • Różnią się od zasad dostępu warunkowego, które można utworzyć, aby ułatwić sobie zarządzanie usługą MTD.Are distinct from conditional access policies you might create to help manage MTD.
  • Domyślnie nie wchodzą w interakcje z innymi zasadami dostępu warunkowego używanymi na potrzeby oceny.By default, don’t interact with other conditional access policies you use for evaluation.

Aby wyświetlić klasyczne zasady dostępu warunkowego, w witrynie Azure Portal przejdź do pozycji Azure Active Directory > Dostęp warunkowy > Zasady klasyczne.To view classic conditional access policies, in Azure, go to Azure Active Directory > Conditional Access > Classic policies.

Dołączanie urządzeń przy użyciu profilu konfiguracjiOnboard devices by using a configuration profile

Po nawiązaniu połączenia typu usługa do usługi między usługami Intune i Microsoft Defender ATP, możesz dołączyć urządzenia zarządzane w usłudze Intune do usługi ATP, aby można było zbierać dane dotyczące ich poziomu ryzyka, a następnie z nich korzystać.After you establish the service-to-service connection between Intune and Microsoft Defender ATP, you onboard your Intune managed devices to ATP so that data about their risk level can be collected and used. Aby dołączyć urządzenia, należy użyć profilu konfiguracji urządzenia dla usługi Microsoft Defender ATP.To onboard devices, you use a device configuration profile for Microsoft Defender ATP.

Po nawiązaniu połączenia z usługą Microsoft Defender ATP usługa Intune otrzymuje pakiet konfiguracyjny dołączania do usługi Microsoft Defender ATP z usługi Microsoft Defender ATP.When you established the connection to Microsoft Defender ATP, Intune received a Microsoft Defender ATP onboarding configuration package from Microsoft Defender ATP. Ten pakiet jest wdrażany na urządzeniach z profilem konfiguracji urządzenia.This package is deployed to devices with the device configuration profile. Pakiet konfiguracyjny konfiguruje urządzenia do komunikowania się z usługami Microsoft Defender ATP w celu skanowania plików, wykrywania zagrożeń oraz zgłaszania ryzyka do usługi Microsoft Defender ATP.The configuration package configures devices to communicate with Microsoft Defender ATP services to scan files, detect threats, and report the risk to Microsoft Defender ATP.

Po dołączeniu urządzenia przy użyciu pakietu konfiguracyjnego nie trzeba tego robić ponownie.After you onboard a device using configuration package, you don't need to do it again. Można również dodać urządzenia przy użyciu zasad grupy lub programu System Center Configuration Manager (SCCM).You can also onboard devices using a group policy or System Center Configuration Manager (SCCM).

Tworzenie profilu konfiguracji urządzeniaCreate the device configuration profile

  1. Zaloguj się do usługi Intune.Sign in to Intune.

  2. Wybierz kolejno pozycje Konfiguracja urządzeń > Profile > Utwórz profil.Select Device Configuration > Profiles > Create profile.

  3. Uzupełnij pola Nazwa i Opis.Enter a Name and Description.

  4. W polu Platforma wybierz pozycję Windows 10 i nowsze.For Platform, select Windows 10 and later

  5. W polu Typ profilu wybierz pozycję Microsoft Defender ATP (Windows 10 Desktop) .For Profile type, select Microsoft Defender ATP (Windows 10 Desktop).

  6. Skonfiguruj ustawienia:Configure the settings:

    • Typ pakietu konfiguracji klienta usługi Microsoft Defender ATP: Wybierz pozycję Dodaj, aby dodać pakiet konfiguracyjny do profilu.Microsoft Defender ATP client configuration package type: Select Onboard to add the configuration package to the profile. Wybierz pozycję Odłącz, aby usunąć pakiet konfiguracyjny z profilu.Select Offboard to remove the configuration package from the profile.

      Uwaga

      Jeśli połączenie z usługą Microsoft Defender ATP zostało ustanowione poprawnie, usługa Intune automatycznie dołączy profil konfiguracji dla użytkownika, a ustawienie Typ pakietu konfiguracji klienta usługi Microsoft Defender ATP nie będzie dostępne.If you've properly established a connection with Microsoft Defender ATP, Intune will automatically Onboard the configuration profile for you, and the Microsoft Defender ATP client configuration package type setting will not be available.

    • Udostępnianie próbek dla wszystkich plików: pozycja Włącz umożliwia zbieranie przykładów oraz ich udostępnianie w usłudze Microsoft Defender ATP.Sample sharing for all files: Enable allows samples to be collected, and shared with Microsoft Defender ATP. Na przykład, jeśli widzisz podejrzany plik, możesz go przesłać do usługi Microsoft Defender ATP w celu wykonania szczegółowej analizy.For example, if you see a suspicious file, you can submit it to Microsoft Defender ATP for deep analysis. Pozycja Nieskonfigurowane nie udostępnia żadnych przykładów w usłudze Microsoft Defender ATP.Not configured doesn't share any samples to Microsoft Defender ATP.

    • Usprawnij częstotliwość raportowania danych telemetrycznych: pozycja Włącz to ustawienie dla urządzeń narażonych na duże ryzyko, które pozwala na częstsze przekazywanie danych telemetrycznych do usługi Microsoft Defender ATP.Expedite telemetry reporting frequency: For devices that are at high risk, Enable this setting so it reports telemetry to the Microsoft Defender ATP service more frequently.

    Dodatkowe informacje na temat ustawień usługi Microsoft Defender ATP można znaleźć w artykule Onboard Windows 10 machines using System Center Configuration Manager (Dołączanie maszyn z systemem Windows 10 za pomocą programu System Center Configuration Manager).Onboard Windows 10 machines using System Center Configuration Manager has more details on these Microsoft Defender ATP settings.

  7. Wybierz opcję OK i Utwórz, aby zapisać zmiany i utworzyć profil.Select OK, and Create to save your changes, which creates the profile.

  8. Przypisz profil konfiguracji urządzenia do urządzeń, które chcesz ocenić za pomocą usługi Microsoft Defender ATP.Assign the device configuration profile to devices you want to assess with Microsoft Defender ATP.

Tworzenie i przypisywanie zasad zgodnościCreate and assign the compliance policy

Zasady zgodności określają poziom ryzyka, który uznaje się za akceptowalny dla urządzenia.The compliance policy determines the level of risk that you consider as acceptable for a device.

Tworzenie zasad zgodnościCreate the compliance policy

  1. Zaloguj się do usługi Intune.Sign in to Intune.

  2. Wybierz pozycję Zgodność urządzeń > Zasady > Utwórz zasady.Select Device compliance > Policies > Create policy.

  3. Uzupełnij pola Nazwa i Opis.Enter a Name and Description.

  4. W polu Platforma wybierz pozycję Windows 10 i nowsze.In Platform, select Windows 10 and later.

  5. W ustawieniach usługi Microsoft Defender ATP ustaw pozycję Wymagaj, aby urządzenie było na poziomie niższym lub równym ocenie ryzyka maszyny na preferowany poziom.In the Microsoft Defender ATP settings, set Require the device to be at or under the machine risk score to your preferred level.

    Klasyfikacja poziomów zagrożenia jest określana przez usługę Microsoft Defender ATP.Threat level classifications are determined by Microsoft Defender ATP.

    • Czyste: Ten poziom jest najbardziej bezpieczny.Clear: This level is the most secure. Urządzenie, na którym są obecne jakiekolwiek zagrożenia, nie może uzyskiwać dostępu do zasobów firmy.The device can't have any existing threats and still access company resources. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.If any threats are found, the device is evaluated as noncompliant. (Usługa Microsoft Defender ATP używa wartości Bezpieczny).(Microsoft Defender ATP users the value Secure.)
    • Niski: Urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu.Low: The device is compliant if only low-level threats exist. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.Devices with medium or high threat levels aren't compliant.
    • Średni: Urządzenie jest zgodne, jeśli znalezione na nim zagrożenia są na poziomie niskim lub średnim.Medium: The device is compliant if the threats found on the device are low or medium. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.If high-level threats are detected, the device is determined as noncompliant.
    • Wysoki: Ten poziom jest najmniej bezpieczny i zezwala na wszystkie poziomy zagrożeń.High: This level is the least secure and allows all threat levels. Urządzenia z wysokim, średnim i niskim poziomem zagrożeń są więc uznawane za zgodne.So devices that with high, medium, or low threat levels are considered compliant.
  6. Wybierz opcję OK i Utwórz, aby zapisać zmiany (i utworzyć zasady).Select OK, and Create to save your changes (and create the policy).

  7. Przypisz zasady zgodności urządzeń do odpowiednich grup.Assign the device compliance policy to applicable groups.

Tworzenie zasad dostępu warunkowegoCreate a Conditional Access policy

Zasady dostępu warunkowego blokują dostęp do zasobów dla urządzeń, które przekraczają poziom zagrożenia ustawiony w zasadach zgodności.The Conditional Access policy blocks access to resources for devices that exceed the threat level you set in your compliance policy. Możesz zablokować dostęp z urządzenia do zasobów firmowych, np. do programu SharePoint lub usługi Exchange Online.You can block access from the device to corporate resources, such as SharePoint or Exchange Online.

Porada

Dostęp warunkowy to pojęcie z technologii używanej w usłudze Azure Active Directory (Azure AD).Conditional Access is an Azure Active Directory (Azure AD) technology. Węzeł Dostęp warunkowy dostępny z usługi Intune jest tym samym węzłem, do którego dostęp jest uzyskiwany z usługi Azure AD.The Conditional Access node accessed from Intune is the same node as accessed from Azure AD.

  1. Zaloguj się do usługi Intune, a następnie wybierz kolejno pozycje Dostęp warunkowy > Nowe zasady.Sign in to Intune and select Conditional Access > New policy.

  2. W polu Nazwa wprowadź nazwę zasad i wybierz pozycję Użytkownicy i grupy.Enter a policy Name, and select Users and groups. Użyj opcji Dołącz lub Wyklucz, aby dodać grupy do zasad, i wybierz opcję Gotowe.Use the Include or Exclude options to add your groups for the policy, and select Done.

  3. Wybierz opcję Aplikacje w chmurze i wybierz aplikacje, które będą chronione.Select Cloud apps, and choose which apps to protect. Na przykład wybierz pozycję Wybierz aplikacje, a następnie pozycje Office 365 SharePoint Online i Office 365 Exchange Online.For example, choose Select apps, and select Office 365 SharePoint Online and Office 365 Exchange Online.

    Wybierz przycisk Gotowe, aby zapisać zmiany.Select Done to save your changes.

  4. Wybierz pozycję Warunki > Aplikacje klienckie, aby zastosować zasady do aplikacji i przeglądarek.Select Conditions > Client apps to apply the policy to apps and browsers. Na przykład wybierz przycisk Tak, a następnie włącz opcje Przeglądarka oraz Aplikacje mobilne i klienci stacjonarni.For example, select Yes, and then enable Browser and Mobile apps and desktop clients.

    Wybierz przycisk Gotowe, aby zapisać zmiany.Select Done to save your changes.

  5. Wybierz pozycję Udziel, aby zastosować dostęp warunkowy w zależności od zgodności urządzeń.Select Grant to apply Conditional Access based on device compliance. Na przykład wybierz pozycje Udziel dostępu > Wymagaj, aby urządzenie było oznaczone jako zgodne.For example, select Grant access > Require device to be marked as compliant.

    Wybierz przycisk Wybierz, aby zapisać zmiany.Choose Select to save your changes.

  6. Wybierz pozycję Włącz zasady, a następnie Utwórz, aby zapisać zmiany.Select Enable policy, and then Create to save your changes.

Monitorowanie zgodności urządzeniaMonitor device compliance

Następnie monitoruj stan urządzeń objętych zasadami zgodności usługi Microsoft Defender ATP.Next, monitor the state of devices that have the Microsoft Defender ATP compliance policy.

  1. Zaloguj się do usługi Intune.Sign in to Intune.
  2. Wybierz kolejno pozycje Zgodność urządzeń > Zgodność z zasadami.Select Device compliance > Policy compliance.
  3. Znajdź na liście zasady usługi Microsoft Defender ATP i zobacz, które urządzenia są zgodne, a które niezgodne.Find your Microsoft Defender ATP policy in the list, and see which devices are compliant or noncompliant.

Wyświetlanie stanu dołączaniaView onboarding status

Aby wyświetlić stan dołączania wszystkich urządzeń z systemem Windows 10 zarządzanych przez usługę Intune, można przejść do obszaru Zgodność urządzenia > Microsoft Defender ATP.To view the onboarding status of all Intune-managed Windows 10 devices, you can go to Device compliance > Microsoft Defender ATP. Na tej stronie można także zainicjować profil konfiguracji urządzenia umożliwiający dołączanie kolejnych urządzeń do usługi Microsoft Defender ATP.From this page, you can also initiate the creation of a device configuration profile for onboarding more devices to Microsoft Defender ATP.

Następne krokiNext steps

Microsoft Defender ATP conditional access (Dostęp warunkowy usługi Microsoft Defender ATP)Microsoft Defender ATP Conditional Access
Microsoft Defender ATP risk dashboard (Pulpit nawigacyjny ryzyka usługi Microsoft Defender ATP)Microsoft Defender ATP risk dashboard
Use security tasks with ATPs Vulnerability Management to remediate issues on devices (Korzystanie z zadań zabezpieczeń w ramach funkcji zarządzania lukami w zabezpieczeniach ATP, aby rozwiązywać problemy na urządzeniach).Use security tasks with ATPs Vulnerability Management to remediate issues on devices.
Wprowadzenie do zasad zgodności urządzeń w usłudze IntuneGet started with device compliance policies