Configurar o acesso condicional no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Esta seção orienta você em todas as etapas necessárias para implementar corretamente o Acesso Condicional.

Antes de começar

Aviso

É importante observar que não há suporte para Microsoft Entra dispositivos registrados nesse cenário.
Há suporte apenas Intune dispositivos registrados.

Você precisa ter certeza de que todos os seus dispositivos estão registrados no Intune. Você pode usar qualquer uma das seguintes opções para registrar dispositivos no Intune:

• ADMINISTRAÇÃO de TI: para obter mais informações sobre como habilitar o registro automático, consulte Registro do Windows
• Usuário final: para obter mais informações sobre como registrar seu dispositivo Windows 10 e Windows 11 no Intune, consulte Registrar seu dispositivo Windows 10 em Intune
• Alternativa do usuário final: para obter mais informações sobre como ingressar em um domínio Microsoft Entra, consulte Como planejar sua implementação de junção Microsoft Entra.

Há etapas que você precisará tomar em Microsoft Defender XDR, no portal Intune e centro de administração do Microsoft Entra.

É importante observar as funções necessárias para acessar esses portais e implementar o acesso condicional:

• Microsoft Defender XDR – Você precisará entrar no portal com uma função de administrador global para ativar a integração.
• Intune – Você precisará entrar no portal com direitos de administrador de segurança com permissões de gerenciamento.
• centro de administração do Microsoft Entra – Você precisará entrar como administrador global, administrador de segurança ou administrador do Acesso Condicional.

Observação

Você precisará de um ambiente Microsoft Intune, com Intune dispositivos Windows 10 e Windows 11 Windows 10 gerenciados Microsoft Entra e Windows 11.

Siga as seguintes etapas para habilitar o Acesso Condicional:

• Etapa 1: ativar a conexão Microsoft Intune de Microsoft Defender XDR
• Etapa 2: ativar a integração do Defender para Ponto de Extremidade no Intune
• Etapa 3: Create a política de conformidade no Intune
• Etapa 4: Atribuir a política
• Etapa 5: Create uma política de acesso condicional Microsoft Entra

Etapa 1: ativar a conexão Microsoft Intune

1. No painel de navegação, selecione Configurações> Pontos de ExtremidadeRecursos>avançados>gerais>Microsoft Intune conexão.
2. Alterne a configuração de Microsoft Intune para Ativar.
3. Clique em Salvar preferências.

Etapa 2: ativar a integração do Defender para Ponto de Extremidade no Intune

1. Entre no portal do Intune
2. Selecione Segurança>do Ponto de Extremidade Microsoft Defender para Ponto de Extremidade.
3. Defina dispositivos Connect Windows 10.0.15063+ para Microsoft Defender Proteção Avançada contra Ameaças para Ativar.
4. Clique em Salvar.

Etapa 3: Create a política de conformidade no Intune

1. No portal do Azure, selecione Todos os serviços, filtre em Intune e selecione Microsoft Intune.

2. SelecionePolíticas> de conformidade>do dispositivo Create política.

3. Insira um nome e uma descrição.

4. Em Plataforma, selecione Windows 10 e posterior.

5. Nas configurações de Integridade do Dispositivo , defina Exigir que o dispositivo esteja no ou no nível de ameaça do dispositivo para o nível preferido:

   • Protegido: este é o nível mais seguro. O dispositivo não pode ter ameaças existentes e ainda acessar recursos da empresa. Se nenhuma ameaça for encontrada, o dispositivo será avaliado como não compatível.
   • Baixo: o dispositivo estará em conformidade se apenas ameaças de nível baixo existirem. Dispositivos com níveis de ameaça médios ou altos não estão em conformidade.
   • Médio: o dispositivo estará em conformidade se as ameaças encontradas no dispositivo forem de nível baixo ou médio. Se ameaças de nível alto forem detectadas, o dispositivo será determinado como não compatível.
   • Alto: esse nível é o menos seguro e permite todos os níveis de ameaça. Portanto, dispositivos com níveis de ameaça altos, médios ou baixos são considerados compatíveis.

6. Selecione OK e Create para salvar suas alterações (e criar a política).

Etapa 4: Atribuir a política

1. No portal do Azure, selecione Todos os serviços, filtre em Intune e selecione Microsoft Intune.
2. SelecionePolíticas deconformidade> do > dispositivo selecione sua política de conformidade Microsoft Defender para Ponto de Extremidade.
3. Selecione Atribuições.
4. Inclua ou exclua seus grupos de Microsoft Entra para atribuir a política a eles.
5. Para implantar a política nos grupos, selecione Salvar. Os dispositivos de usuário direcionados pela política são avaliados para conformidade.

Etapa 5: Create uma política de acesso condicional Microsoft Entra

1. No portal do Azure, abra Microsoft Entra ID>Conditional Access>New policy.

2. Insira um nome de política e selecione Usuários e grupos. Use as opções Incluir ou Excluir para adicionar os grupos para a política e selecione Concluído.

3. Selecione Aplicativos de nuvem e escolha quais aplicativos proteger. Por exemplo, escolha Selecionar aplicativos e selecione Office 365 SharePoint Online e Exchange Online do Office 365. Selecione Concluído para salvar as alterações.

4. Selecione Condições>Aplicativos do cliente para aplicar a política para aplicativos e navegadores. Por exemplo, selecione Sim e, em seguida, habilitar Navegador e Aplicativos móveis e clientes de área de trabalho. Selecione Concluído para salvar as alterações.

5. Selecione Conceder para aplicar Acesso Condicional baseado na conformidade do dispositivo. Por exemplo, selecione Conceder acesso>Exigir que o dispositivo seja marcado como compatível. Marque Selecionar para salvar suas alterações.

6. Selecione Habilitar política e, em seguida, Criar para salvar suas alterações.

Observação

Você pode usar o aplicativo Microsoft Defender para Ponto de Extremidade juntamente com o aplicativo Cliente Aprovado , política de Proteção de Aplicativo e Dispositivo Compatível (Exigir que o dispositivo seja marcado como compatível) em políticas de acesso condicional Microsoft Entra. Não há nenhuma exclusão necessária para o aplicativo Microsoft Defender para Ponto de Extremidade ao configurar o Acesso Condicional. Embora Microsoft Defender para Ponto de Extremidade no Android & iOS (ID do aplicativo - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) não seja um aplicativo aprovado, ele é capaz de relatar a postura de segurança do dispositivo em todas as três permissões de concessão.

No entanto, internamente, o Defender solicita o escopo MSGraph/User.read e o escopo do Túnel Intune (no caso de cenários do Defender+Túnel). Portanto, esses escopos devem ser excluídos*. Para excluir o escopo MSGraph/User.read, qualquer aplicativo de nuvem pode ser excluído. Para excluir o escopo do Túnel, você precisa excluir o 'Microsoft Tunnel Gateway'. Essas permissões e exclusões permitem o fluxo de informações de conformidade para o Acesso Condicional.

*Observe que a aplicação de uma política de Acesso Condicional a Todos os Aplicativos de Nuvem pode bloquear inadvertidamente o acesso do usuário em alguns casos, portanto, não é recomendável. Leia mais sobre políticas de Acesso Condicional em Aplicativos de Nuvem

Para obter mais informações, confira Impor a conformidade no Microsoft Defender para Ponto de Extremidade com o acesso condicional no Intune.

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.