Wymuszanie zgodności usługi Microsoft Defender ATP z dostępem warunkowym w usłudze IntuneEnforce compliance for Microsoft Defender ATP with Conditional Access in Intune

Usługę Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) można zintegrować z usługą Microsoft Intune w ramach rozwiązania Mobile Threat Defense.You can integrate Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) with Microsoft Intune as a Mobile Threat Defense solution. Integracja może ułatwić zapobieganie naruszeniom bezpieczeństwa oraz ograniczyć wpływ naruszeń w organizacji.Integration can help you prevent security breaches and limit the impact of breaches within an organization.

Usługa Microsoft Defender ATP współpracuje z urządzeniami z systemem Windows 10 lub nowszym oraz z urządzeniami z systemem Android.Microsoft Defender ATP works with devices that run Windows 10 or later, and with Android devices.

Aby pomyślnie korzystać z usługi, należy równocześnie zastosować następujące konfiguracje:To be successful, you'll use the following configurations in concert:

  • Ustanowienie połączenia typu usługa do usługi między usługą Intune i usługą Microsoft Defender ATP.Establish a service-to-service connection between Intune and Microsoft Defender ATP. To połączenie umożliwia usłudze Microsoft Defender ATP zbieranie danych dotyczących ryzyka maszyny z obsługiwanych urządzeń zarządzanych za pomocą usługi Intune.This connection lets Microsoft Defender ATP collect data about machine risk from supported devices you manage with Intune.
  • Użycie profilu konfiguracji urządzenia w celu dołączania urządzeń do usługi Microsoft Defender ATP.Use a device configuration profile to onboard devices with Microsoft Defender ATP. Urządzenia należy dołączyć, aby je skonfigurować do komunikowania się z usługą Microsoft Defender ATP i dostarczyć dane, które pomogą ocenić ich poziom ryzyka.You onboard devices to configure them to communicate with Microsoft Defender ATP and to provide data that helps assess their risk level.
  • Użycie zasad zgodności urządzeń w celu ustawienia dozwolonego poziomu ryzyka.Use a device compliance policy to set the level of risk you want to allow. Poziomy ryzyka są zgłaszane przez usługę Microsoft Defender ATP.Risk levels are reported by Microsoft Defender ATP. Urządzenia, które przekraczają dozwolony poziom ryzyka, są identyfikowane jako niezgodne.Devices that exceed the allowed risk level are identified as noncompliant.
  • Użyj zasad dostępu warunkowego, aby uniemożliwić użytkownikom dostęp do zasobów firmy z niezgodnych urządzeń.Use a conditional access policy to block users from accessing corporate resources from devices that are noncompliant.

Po zintegrowaniu usługi Intune z usługą Microsoft Defender ATP można korzystać z zalet funkcji zarządzania zagrożeniami i lukami w zabezpieczeniach usługi Microsoft Defender ATP i używać usługi Intune do korygowania słabości punktów końcowych wykrytych przez funkcję zarządzania zagrożeniami i lukami w zabezpieczeniach.When you integrate Intune with Microsoft Defender ATP, you can take advantage of Microsoft Defender ATPs Threat & Vulnerability Management (TVM) and use Intune to remediate endpoint weakness identified by TVM.

Przykład korzystania z usługi Microsoft Defender ATP w usłudze IntuneExample of using Microsoft Defender ATP with Intune

Poniższy przykład pomoże wyjaśnić, jak te rozwiązania ze sobą współpracują, aby pomóc w ochronie organizacji.The following example helps explain how these solutions work together to help protect your organization. W tym przykładzie usługa Microsoft Defender ATP i usługa Intune są już zintegrowane.For this example, Microsoft Defender ATP and Intune are already integrated.

Rozważmy sytuację, gdy ktoś wysyła użytkownikowi w organizacji załącznik programu Word z osadzonym złośliwym kodem.Consider an event where someone sends a Word attachment with embedded malicious code to a user within your organization.

  • Użytkownik otwiera załącznik i uaktywnia zawartość.The user opens the attachment, and enables the content.
  • Rozpoczyna się atak z udziałem podniesionego przywileju i atakujący korzystający z maszyny zdalnej ma prawa administratora do urządzenia ofiary.An elevated privilege attack starts, and an attacker from a remote machine has admin rights to the victim's device.
  • Następnie atakujący uzyskuje zdalnie dostęp do innych urządzeń użytkownika.The attacker then remotely accesses the user's other devices. Takie naruszenie zabezpieczeń może mieć wpływ na całą organizację.This security breach can impact the entire organization.

Za pomocą usługi Microsoft Defender ATP można łatwiej rozpoznać zdarzenia zabezpieczeń podobne do zdarzeń z tego scenariusza.Microsoft Defender ATP can help resolve security events like this scenario.

  • W naszym przykładzie usługa Microsoft Defender ATP wykrywa, że urządzenie wykonało nietypowy kod, doszło do eskalacji uprawnienia korzystania z procesu, wprowadzenia złośliwego kodu i wywołania podejrzanej powłoki zdalnej.In our example, Microsoft Defender ATP detects that the device executed abnormal code, experienced a process privilege escalation, injected malicious code, and issued a suspicious remote shell.
  • W oparciu o te czynności wykonane z danego urządzenia usługa Microsoft Defender ATP klasyfikuje je jako urządzenie wysokiego ryzyka i dodaje szczegółowy raport o podejrzanych działaniach w portalu Microsoft Defender Security Center.Based on these actions from the device, Microsoft Defender ATP classifies the device as high-risk and includes a detailed report of suspicious activity in the Microsoft Defender Security Center portal.

Usługę Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) można zintegrować z usługą Microsoft Intune w ramach rozwiązania Mobile Threat Defense.You can integrate Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) with Microsoft Intune as a Mobile Threat Defense solution. Integracja może ułatwić zapobieganie naruszeniom bezpieczeństwa oraz ograniczyć wpływ naruszeń w organizacji.Integration can help you prevent security breaches and limit the impact of breaches within an organization.

Ponieważ w usłudze Intune istnieją zasady zgodności urządzeń, zgodnie z którymi urządzenia z poziomem ryzyka Średni lub Wysoki są klasyfikowane jako niezgodne, urządzenie z naruszonymi zabezpieczeniami jest klasyfikowane jako niezgodne.Because you have an Intune device compliance policy to classify devices with a Medium or High level of risk as noncompliant, the compromised device is classified as noncompliant. Ta klasyfikacja umożliwia zastosowanie zasad dostępu warunkowego i blokowanie dostępu do zasobów firmy z tego urządzenia.This classification allows your conditional access policy to kick in and block access from that device to your corporate resources.

W przypadku urządzeń z systemem Android można użyć zasad usługi Intune w celu modyfikacji konfiguracji usługi Microsoft Defender ATP w systemie Android.For devices that run Android, you can use Intune policy to modify the configuration of Microsoft Defender ATP on Android. Aby uzyskać więcej informacji, zobacz Ochrona w Internecie usługi Microsoft Defender ATP.For more information, see Microsoft Defender ATP web protection.

Wymagania wstępnePrerequisites

Aby używać usługi Microsoft Defender ATP z usługą Intune, należy się upewnić, że następujące elementy zostały skonfigurowane i są gotowe do użycia:To use Microsoft Defender ATP with Intune, be sure you have the following configured, and ready for use:

  • Licencjonowana dzierżawa dla pakietu Enterprise Mobility + Security E3 i systemu Windows E5 (lub rozwiązania Microsoft 365 Business Premium)Licensed tenant for Enterprise Mobility + Security E3 and Windows E5 (or Microsoft 365 Business Premium)
  • Środowisko usługi Microsoft Intune oraz urządzenia z systemem Windows 10 oraz Android zarządzane przy użyciu usługi Intune przyłączone również do usługi Azure ADMicrosoft Intune environment, with Intune managed Windows 10, or Android devices that are also Azure AD joined
  • Środowisko usługi Microsoft Defender ATP umożliwiające dostęp do Centrum zabezpieczeń usługi Microsoft Defender (portal ATP)Microsoft Defender ATP environment which will give you access to the Microsoft Defender Security Center (ATP portal)

Uwaga

Usługa Microsoft Defender ATP nie jest obsługiwana w przypadku stosowania zasad ochrony aplikacji usługi Intune w systemach iOS/iPadOS i Android.Microsoft Defender ATP is not supported with iOS/iPadOS and Android Intune app protection policies.

Następne krokiNext steps

Dowiedz się więcej z dokumentacji usługi Intune:Learn more from the Intune documentation:

Dowiedz się więcej z dokumentacji usługi Microsoft Defender ATP:Learn more from the Microsoft Defender ATP documentation: