Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune

Вы можете интегрировать Microsoft Defender для конечной точки с Microsoft Intune в качестве решения Mobile Threat Defense. Это позволит устранять бреши в системе безопасности и уменьшить их влияние на организацию.

Microsoft Defender для конечной точки работает с устройствами под управлением:

• Android
• iOS/iPadOS
• Windows 10
• Windows 11
• macOS
• Windows Server 2008 R2
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server Semi-Annual Enterprise Channel
• Windows Server 2019 и более поздних версий
• Выпуск Windows Server 2019 Core
• Windows Server 2022

Для успешной работы требуется следующее:

• Подключение между службами Intune и Microsoft Defender для конечной точки. Это подключение позволяет Microsoft Defender для конечной точки собирать данные о рисках для компьютеров с поддерживаемых устройств, которыми вы управляете с помощью Intune.
• Профиль конфигурации устройств для подключения устройств с помощью Microsoft Defender для конечной точки. Вам нужно настроить устройства для обмена данными с Microsoft Defender для конечной точки, чтобы получать данные, которые помогают оценить уровень риска.
• Политика соответствия требованиям для устройств, которая определяет уровень допустимого риска. Об уровнях риска сообщает Microsoft Defender для конечной точки. Устройства с недопустимым уровнем риска определяются как не соответствующие требованиям.
• Политика условного доступа, блокирующая пользовательский доступ к корпоративным ресурсам с устройств, которые не соответствуют требованиям.

При интеграции Intune с Microsoft Defender для конечной точки можно воспользоваться преимуществами средства управления угрозами и уязвимостями (TVM) в Microsoft Defender для конечной точки, а также использовать Intune для устранения уязвимостей конечной точки, определенных TVM.

Пример использования Microsoft Defender для конечной точки с Intune

В следующем примере объясняется, как эти решения работают вместе, чтобы защитить вашу организацию. В этом примере Microsoft Defender для конечной точки и Intune уже интегрированы.

Предположим, кто-то отправляет вложение Word с внедренным вредоносным кодом пользователю в вашей организации.

• Пользователь открывает вложение и включает содержимое.
• Начинается атака с более высоким уровнем привилегий, и злоумышленник с удаленного компьютера получает права администратора к устройству жертвы.
• Затем злоумышленник удаленно получает доступ к другим устройствам пользователя. Эта брешь в системе безопасности может повлиять на всю организацию.

Microsoft Defender для конечной точки может устранять нарушения в системе безопасности, как описано в этом сценарии.

• В нашем примере Microsoft Defender для конечной точки обнаруживает, что на устройстве выполнен аномальный код, произошло повышение привилегий, был внедрен вредоносный код и сгенерирована подозрительная удаленная оболочка.
• На основе этих действий Microsoft Defender для конечной точки сообщает, что устройство имеет высокий уровень риска, и предоставляет подробный отчет о подозрительных действиях на портале Центра безопасности в Microsoft Defender.

Вы можете интегрировать Microsoft Defender для конечной точки с Microsoft Intune в качестве решения Mobile Threat Defense. Это позволит устранять бреши в системе безопасности и уменьшить их влияние на организацию.

Так как вы применили политику соответствия требованиям, которая классифицирует устройства Intune со средним или высоким уровнем риска как не соответствующие требованиям, скомпрометированное устройство также классифицируется как не соответствующее требованиям. Такая классификация позволяет срабатывать политике условного доступа и блокировать доступ к корпоративным ресурсам с этого устройства.

Для устройств под управлением Android можно использовать политику Intune для изменения конфигурации Microsoft Defender для конечной точки в Android. Подробные сведения см. в статье Защита от веб-угроз Microsoft Defender для конечной точки.

Предварительные требования

Подписки:
Чтобы использовать Microsoft Defender для конечной точки с Intune, необходимы следующие подписки:

• Microsoft Defender для конечной точки — эта подписка предоставляет доступ к Центр безопасности в Microsoft Defender (Microsoft Defender XDR).

  Параметры лицензирования Microsoft Defender для конечной точки см. в разделе о требованиях к лицензированию в статье Минимальные требования к Microsoft Defender для конечной точки и в разделе о включении пробной версии подписки Microsoft 365 E5.

• Microsoft Intune — подписка Microsoft Intune плана 1 предоставляет доступ к Intune и Центру администрирования Microsoft Intune.

  Параметры лицензирования Intune см. в статье Лицензирование Microsoft Intune.

Устройства, управляемые с помощью Intune:
В Intune с Майкрософт Defender для конечной точки поддерживаются следующие платформы:

• Android
• iOS/iPadOS
• Windows 10/11 (Microsoft Entra гибридное присоединение или Microsoft Entra присоединено)

Требования к системе для Microsoft Defender для конечной точки см. в статье Минимальные требования для Microsoft Defender для конечной точки.

Дальнейшие действия

• Сведения о подключении Microsoft Defender для конечной точки к Intune, подключении устройств и настройке политик условного доступа см. в этой статье.

Дополнительные сведения см. в документации Intune:

• Использование задач по обеспечению безопасности с управлением уязвимостью Defender для конечной точки для исправления проблем на устройствах
• Начало работы с политиками соответствия устройств в Intune

Дополнительные сведения см. в документации по Microsoft Defender для конечной точки:

• Условный доступ в Microsoft Defender для конечной точки
• Панель мониторинга рисков в Microsoft Defender для конечной точки