在 Microsoft Defender for Endpoint 中配置条件访问

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

本部分将指导完成正确实现条件访问所需的所有步骤。

开始之前

警告

请务必注意，此方案中不支持已注册Microsoft Entra设备。
仅支持已注册Intune设备。

你需要确保所有设备都已注册Intune。 可以使用以下任一选项在 Intune 中注册设备：

• IT 管理员：有关如何启用自动注册的详细信息，请参阅 Windows 注册
• 最终用户：有关如何在 Intune 中注册Windows 10和Windows 11设备的详细信息，请参阅在 Intune 中注册Windows 10设备
• 最终用户替代方法：有关加入Microsoft Entra域的详细信息，请参阅如何：规划Microsoft Entra联接实现。

Microsoft Defender XDR、Intune门户和Microsoft Entra 管理中心中需要执行一些步骤。

请务必注意访问这些门户和实现条件访问所需的角色：

• Microsoft Defender XDR - 需要使用全局管理员角色登录到门户才能打开集成。
• Intune - 需要使用具有管理权限的安全管理员权限登录到门户。
• Microsoft Entra 管理中心 - 需要以全局管理员、安全管理员或条件访问管理员身份登录。

注意

你将需要一个Microsoft Intune环境，其中包含Intune托管和Microsoft Entra联接Windows 10和Windows 11设备。

执行以下步骤以启用条件访问：

• 步骤 1：从Microsoft Defender XDR打开Microsoft Intune连接
• 步骤 2：在 Intune 中启用 Defender for Endpoint 集成
• 步骤 3：在 Intune 中Create合规性策略
• 步骤 4：分配策略
• 步骤 5：Create Microsoft Entra条件访问策略

步骤 1：打开Microsoft Intune连接

1. 在导航窗格中，选择“设置>终结点>常规>高级功能>Microsoft Intune连接”。
2. 将Microsoft Intune设置切换为“开”。
3. 单击“ 保存首选项”。

步骤 2：在 Intune 中启用 Defender for Endpoint 集成

1. 登录到 Intune 门户
2. 选择“终结点安全性>Microsoft Defender for Endpoint”。
3. 将“连接 Windows 10.0.15063+ 设备”设置为“Microsoft Defender高级威胁防护”设置为“开”。
4. 单击保存。

步骤 3：在 Intune 中Create合规性策略

1. 在Azure 门户，选择“所有服务”，根据Intune进行筛选，然后选择“Microsoft Intune”。

2. 选择“设备符合性>策略>Create策略”。

3. 输入 “名称” 和 “说明”。

4. 在“平台”中，选择“Windows 10及更高版本”。

5. 在 “设备运行状况 ”设置 中，将“要求设备处于或低于设备威胁级别 ”设置为首选级别：

   • 安全：此级别是最安全的威胁级别。 设备不能有任何现有威胁，并且仍可访问公司资源。 如果发现了任何威胁，设备都会被评估为不符合。
   • 低：如果设备上仅存在低级别威胁，则该设备符合策略。 具有中等或较高威胁级别的设备不符合要求。
   • 中：如果设备上发现的威胁为低级别或中等级别，则该设备符合策略。 如果检测到高级别威胁，则设备会被确定为不合规。
   • 高：此级别是最不安全的，允许所有威胁级别。 因此，具有高、中或低威胁级别的设备被视为合规。

6. 选择“确定”，Create保存更改 (并创建策略) 。

步骤 4：分配策略

1. 在Azure 门户，选择“所有服务”，根据Intune进行筛选，然后选择“Microsoft Intune”。
2. 选择“设备符合性>策略>”，选择Microsoft Defender for Endpoint符合性策略。
3. 选择“分配”。
4. 包括或排除Microsoft Entra组以为其分配策略。
5. 若要将策略部署到组，请选择“ 保存”。 将评估策略面向的用户设备是否合规。

步骤 5：Create Microsoft Entra条件访问策略

1. 在Azure 门户中，打开Microsoft Entra ID>条件访问>新策略。

2. 输入策略 名称，然后选择 “用户和组”。 使用“包括”或“排除”选项来添加策略的组，然后选择“完成”。

3. 选择“ 云应用”，然后选择要保护的应用。 例如，选取“选择应用”，然后选择“Office 365 SharePoint Online”和“Office 365 Exchange Online”。 选择“完成”以保存更改。

4. 选择“条件”>“客户端应用”，将策略应用到应用和浏览器。 例如，选择“是”，然后启用“浏览器”和“移动应用和桌面客户端”。 选择“完成”以保存更改。

5. 选择“授予”，应用基于设备符合性的条件访问。 例如，选择“授予访问权限”>“要求设备标记为符合策略”。 选取“选择”，保存所做的更改。

6. 选择“启用策略”，然后选择“创建”以保存更改。

注意

可以将 Microsoft Defender for Endpoint 应用与批准的客户端应用 、应用保护策略和合规设备 (要求设备在Microsoft Entra条件访问策略中标记为合规) 控件。 设置条件访问时，Microsoft Defender for Endpoint应用不需要排除。 尽管 Android & iOS 上的Microsoft Defender for Endpoint (应用 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已批准的应用，但它能够在所有三个授予权限中报告设备安全状况。

但是，在 Defender+Tunnel 方案) 的情况下，Defender 内部请求 MSGraph/User.read 范围和Intune Tunnel 范围 (。 因此，必须排除这些范围*。 若要排除 MSGraph/User.read 范围，可以排除任何一个云应用。 若要排除 Tunnel 范围，需要排除“Microsoft Tunnel Gateway”。这些权限和排除项使符合性信息流可以流到条件访问。

*请注意，将条件访问策略应用于所有云应用在某些情况下可能会无意中阻止用户访问，因此不建议这样做。 详细了解 云应用上的条件访问策略

有关详细信息，请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。

希望体验 Defender for Endpoint？ 注册免费试用版。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。