使用 Intune 中的条件访问强制执行 Microsoft Defender for Endpoint 的合规性
可以将 Microsoft Defender for Endpoint 和 Microsoft Intune 集成为移动威胁防御解决方案。 集成可让你免受安全漏洞的威胁,并帮助限制组织中的漏洞影响。
Microsoft Defender for Endpoint 适用于运行以下系统的设备:
- Android
- iOS/iPadOS
- Windows 10
- Windows 11
- macOS
- Windows Server 2008 R2
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server Semi-Annual 企业频道
- Windows Server 2019 及更高版本
- Windows Server 2019 核心版
- Windows Server 2022
若要成功,你将配合使用以下配置:
- 在 Intune 和 Microsoft Defender for Endpoint 之间创建一个服务到服务的连接。 通过这个连接,Microsoft Defender for Endpoint 可以从使用 Intune 管理的受支持设备收集有关计算机风险的数据。
- 使用设备配置文件将设备载入 Microsoft Defender for Endpoint。 载入设备将其配置为与 Microsoft Defender for Endpoint 进行通信,并提供有助于评估其风险级别的数据。
- 使用设备合规性策略设置要允许的风险级别。 由 Microsoft Defender for Endpoint 报告风险级别。 将超出允许风险级别的设备识别为不合规。
- “使用条件访问策略”阻止用户从不合规的设备访问公司资源。
将 Intune 与 Microsoft Defender for Endpoint 集成时,可以充分利用 Microsoft Defender for Endpoint 威胁和漏洞管理 (TVM) 并使用 Intune 修正由 TVM 标识的终结点漏洞。
将 Microsoft Defender for Endpoint 和 Intune 结合使用的示例
下面的示例有助于解释这些解决方案如何协同工作以帮助保组织。 在本例中,Microsoft Defender for Endpoint 和 Intune 已经集成在一起了。
有人向组织内的用户发送包含嵌入式恶意代码的 Word 附件。
- 在用户打开附件时,将启用内容。
- 提升的权限攻击随即启动,且来自远程计算机的攻击者对受害者的设备具有管理权限。
- 然后,攻击者会远程访问用户的其他设备。 此安全漏洞可能会影响整个组织。
Microsoft Defender for Endpoint 可以帮助解决类似这种情况的安全事件。
- 在本例中,Microsoft Defender for Endpoint 检测设备是否存在以下情形:执行了异常代码、遇到了进程权限提升、插入了恶意代码,以及发布了可疑的远程 Shell。
- 基于该设备的这些操作,Microsoft Defender for Endpoint 将该设备分类为高风险,并在 Microsoft Defender 安全中心门户中包含可疑活动的详细报告。
可以将 Microsoft Defender for Endpoint 和 Microsoft Intune 集成为移动威胁防御解决方案。 集成可让你免受安全漏洞的威胁,并帮助限制组织中的漏洞影响。
因为你有 Intune 设备合规性策略来对具有“中等”或“高”风险级别的设备分类为不合规,所以受危害的设备被分类为不合规。 这种分类允许条件访问策略介入并阻止从该设备访问公司资源。
对于运行 Android 的设备,你可以使用 Intune 策略修改 Android 上 Microsoft Defender for Endpoint 的配置。 有关详细信息,请参阅 Microsoft Defender for Endpoint Web 保护。
先决条件
订阅:
若要将 Microsoft Defender for Endpoint 与 Intune 结合使用,请确保具有以下订阅:
Microsoft Defender for Endpoint - 此订阅提供对Microsoft Defender 安全中心 (Microsoft Defender XDR) 的访问权限。
有关 Defender for Endpoint 许可证的选项,请参阅 Microsoft Defender for Endpoint 的最低要求和如何设置 Microsoft 365 E5 试用订阅中的“许可要求”。
Microsoft Intune - Microsoft Intune计划 1 订阅提供对 Intune 和 Microsoft Intune 管理中心的访问权限。
有关 Intune 许可选项,请参阅 Microsoft Intune 许可。
Intune 托管的设备:
具有 Microsoft Defender for Endpoint 的 Intune 支持以下平台:
- Android
- iOS/iPadOS
- Windows 10/11 (Microsoft Entra 混合联接或已加入Microsoft Entra)
有关Microsoft Defender for Endpoint的系统要求,请参阅Microsoft Defender for Endpoint的最低要求。
后续步骤
- 若要将 Microsoft Defender for Endpoint 连接到 Intune、载入设备并配置条件访问策略,请参阅在 Intune 中配置 Microsoft Defender for Endpoint。
有关详细信息,请参阅 Intune 文档:
从 Microsoft Defender for Endpoint 文档中了解详细信息:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈