Integrace Microsoft Defender for Endpoint s Intune a onboardingem zařízení

Informace a postupy v tomto článku slouží k připojení Microsoft Defender for Endpoint pomocí Intune a následnému nasazení a konfiguraci zařízení pro Defender for Endpoint. Informace v tomto článku zahrnují následující obecné kroky:

• Navazte propojení mezi službami mezi Intune a Microsoft Defender for Endpoint. Toto připojení umožňuje Intune pracovat s Microsoft Defender na zařízeních, včetně instalace (onboardingu) a konfigurace klienta Defenderu for Endpoint a integrace skóre rizika počítače z podporovaných zařízení, která spravujete pomocí Intune. Projděte si požadavky na použití Microsoft Defender for Endpoint s Intune.
• Onboarding zařízení do Defenderu for Endpoint Onboardujete zařízení a nakonfigurujete je tak, aby komunikovala s Microsoft Defender for Endpoint a poskytovala data, která pomáhají vyhodnotit jejich úroveň rizika. Každá platforma má samostatné požadavky na onboarding do Defenderu.
• Pomocí Intune zásad dodržování předpisů zařízením nastavte úroveň rizika, kterou chcete povolit. Microsoft Defender for Endpoint hlášení o úrovni rizika zařízení. Zařízení, která překračují povolenou úroveň rizika, se identifikují jako nedodržující předpisy.
• Pomocí zásad podmíněného přístupu můžete uživatelům blokovat přístup k podnikovým prostředkům při používání zařízení, které je označeno jako nedodržující předpisy.
• Pomocízásad ochrany aplikací pro Android a iOS/iPadOS nastavte úrovně rizika zařízení. Ochrana aplikací zásady fungují s zaregistrovanými i nezaregistrovanými zařízeními.

Kromě správy nastavení pro Microsoft Defender for Endpoint na zařízeních, která se registrují pomocí Intune, můžete spravovat konfigurace zabezpečení Defenderu for Endpoint na zařízeních, která nejsou zaregistrovaná pomocí Intune. Tento scénář se nazývá Správa zabezpečení pro Microsoft Defender for Endpoint a vyžaduje konfiguraci přepínače Povolit Microsoft Defender for Endpoint k vynucení konfigurace zabezpečení koncových bodů na Zapnuto. Další informace najdete v tématu Microsoft Defender for Endpoint Správa konfigurace zabezpečení.

Důležité

Správa správců zařízení s Androidem je zastaralá a pro zařízení s přístupem k Google Mobile Services (GMS) už není dostupná. Pokud aktuálně používáte správu správce zařízení, doporučujeme přepnout na jinou možnost správy Androidu. Dokumentace k podpoře a nápovědě zůstává k dispozici pro některá zařízení bez GMS se systémem Android 15 a starším. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

Připojení Microsoft Defender for Endpoint k Intune

Než Intune a Defender for Endpoint budou moct spolupracovat, musíte nastavit propojení mezi Intune a Microsoft Defender for Endpoint. Jedná se o jednorázovou akci na tenanta. Instalace vyžaduje přístup správce k Centrum zabezpečení v programu Microsoft Defender i centru pro správu Microsoft Intune.

Povolení integrace Intune a Microsoft Defender for Endpoint

1. Otevřete portál Microsoft Defender for Endpoint na security.microsoft.com. Centrum pro správu Intune obsahuje také odkaz na portál Defender for Endpoint.

   1. Přihlaste se k Centru pro správu Microsoft 365.

   2. Vyberte Zabezpečení> koncového bodu Microsoft Defender for Endpoint a v horní části stránky zkontrolujte Stav připojení. Pokud je povoleno, defender a Intune už jsou připojené a můžete přeskočit ke kroku 2.

      Pokud je stav Nedostupný, pokračujte tady.

   3. Posuňte se dolů do dolní části stránky Microsoft Defender for Endpoint a vyberte odkaz Otevřít Centrum zabezpečení v programu Microsoft Defender. Otevře se Microsoft Defender portálu a pokračujte dalším číslem. krok.

   Tip

   Pokud je připojení už aktivní, odkaz pro otevření portálu Defender bude mít tento text: Otevřete konzolu pro správu Microsoft Defender for Endpoint.

   

2. Na portálu Microsoft Defender:

   1. V levém podokně se posuňte dolů a vyberte Nastavení>Koncové body>Pokročilé funkce.

   2. V podokně pokročilých funkcí přejděte dolů, vyhledejte položku pro Microsoft Intune připojení a nastavte přepínač na Zapnuto.

      

   3. Vyberte Uložit předvolby a dokončete připojení mezi Intune a Defenderem for Endpoint.

   Poznámka

   Po navázání připojení se očekává, že se služby budou vzájemně synchronizovat alespoň jednou za 24 hodin. Počet dnů bez synchronizace, dokud se připojení nepovažuje za nereagující, je možné nakonfigurovat v Centru pro správu Microsoft Intune. Vyberte Zabezpečení> koncového bodu Microsoft Defender for Endpoint>Počet dní, než partner přestane reagovat.

3. Vraťte se na stránku Microsoft Defender for Endpoint v Centru pro správu Microsoft Intune, kde nakonfigurujete aspekty integrace defenderu for Endpoint. Ve stavu připojení by se teď mělo zobrazit Povoleno.

   Na této stránce zkontrolujte jednotlivé kategorie a dostupné konfigurace pro možnosti podpory platforem a konkrétní platformy, které plánujete použít, a nastavte tyto přepínače na Zapnuto. Pokud chcete některou z těchto možností povolit nebo zakázat, můžete se vrátit později.

   Pokud chcete nastavit následující integrace Microsoft Defender for Endpoint, musí mít váš účet přiřazenou Intune roli řízení přístupu na základě role (RBAC), která zahrnuje oprávnění Číst a Měnit pro ochranu před mobilními hrozbami v Intune. Tato oprávnění zahrnuje předdefinovaná role správce Endpoint Security Manageru pro Intune.

   Vyhodnocení zásad dodržování předpisů – Pokud chcete používat Defender for Endpoint se zásadami dodržování předpisů, nakonfigurujte v části Vyhodnocení zásad dodržování předpisů pro platformy, které podporujete:

   • Nastavte Připojit zařízení s Androidem na Microsoft Defender for Endpoint na Zapnuto.
   • Nastavte Možnost Připojit zařízení s iOS/iPadOS na Microsoft Defender for Endpoint na Zapnuto.
   • Nastavte Možnost Připojit zařízení s Windows na Microsoft Defender for Endpoint na Zapnuto.

   Pokud jsou tyto konfigurace zapnuté, příslušná zařízení, která spravujete pomocí Intune, a zařízení, která zaregistrujete v budoucnu, jsou připojená k Microsoft Defender for Endpoint kvůli dodržování předpisů.

   Pro zařízení s iOSem podporuje Defender for Endpoint také následující nastavení, která pomáhají zajistit posouzení ohrožení zabezpečení aplikací v Microsoft Defender for Endpoint pro iOS. Další informace o použití následujících dvou nastavení najdete v tématu Konfigurace posouzení ohrožení zabezpečení aplikací.

   • Povolit synchronizaci aplikací pro zařízení s iOSem: Nastavte na Zapnuto, aby Defender for Endpoint požadoval metadata aplikací pro iOS z Intune, které se mají použít pro účely analýzy hrozeb. Zařízení s iOSem musí být zaregistrované v MDM a během ohlášení zařízení musí poskytovat aktualizovaná data aplikací.

   • Odesílání úplných dat inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví: Toto nastavení řídí data inventáře aplikací, která Intune sdílí s Defenderem for Endpoint, když Defender for Endpoint synchronizuje data aplikací a požádá o seznam inventáře aplikací.

     Pokud je zapnuto, může Defender for Endpoint požádat o seznam aplikací z Intune pro zařízení s iOS/iPadOS v osobním vlastnictví. Tento seznam obsahuje nespravované aplikace a aplikace nasazené prostřednictvím Intune.

     Při nastavení na Vypnuto se data o nespravovaných aplikacích nezobrazí. Intune sdílí data pro aplikace nasazené prostřednictvím Intune.

   Další informace najdete v tématu Možnosti přepínače Ochrana před mobilními hrozbami.

   vyhodnocení zásad Ochrana aplikací – Nakonfigurujte následující přepínače tak, aby používaly Defender for Endpoint s Intune zásadami ochrany aplikací pro Android a iOS/iPadOS. V části vyhodnocení zásad Ochrana aplikací nakonfigurujte pro platformy, které používáte:

   • Nastavte Možnost Připojit zařízení s Androidem na Microsoft Defender koncového bodu na Zapnuto.
   • Nastavte Možnost Připojit zařízení s iOS/iPadOS na Microsoft Defender for Endpointzapnuto na Zapnuto.

   Další informace najdete v tématu Možnosti přepínače Ochrana před mobilními hrozbami.

4. Vyberte Uložit.

Tip

Od verze služby Intune (2308) ze srpna 2023 se pro konektor Microsoft Defender for Endpoint už nevytvoří klasické zásady podmíněného přístupu. Pokud má váš tenant zásadu klasické certifikační autority, která byla dříve vytvořena pro integraci s Microsoft Defender for Endpoint, můžete ji odstranit. Pokud chcete zobrazit klasické zásady podmíněného přístupu, přejděte v Azure na Microsoft Entra ID>Zásady podmíněného přístupu>Classic.

Nasazování zařízení

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint použijte Intune k onboardingu spravovaných zařízení do Microsoft Defender for Endpoint. Onboarding zahrnuje registraci zařízení do služby Defender for Endpoint, aby se zajistilo, že jsou chráněná a monitorovaná z hlediska bezpečnostních hrozeb, a umožňuje shromažďování dat o úrovních rizika zařízení.

Při onboardingu zařízení nezapomeňte pro každou platformu použít nejnovější verzi Microsoft Defender for Endpoint.

Postup onboardingu zařízení do Defenderu for Endpoint se liší podle platformy.

Onboarding zařízení s Windows

Po navázání spojení mezi Intune a defenderem Intune automaticky obdrží z Programu Defender konfigurační balíček pro onboarding, který můžou Intune použít k onboardingu zařízení s Windows. Tento balíček používá Intune zásady EDR ke konfiguraci zařízení pro komunikaci s Microsoft Defender for Endpoint službami a ke kontrole souborů a detekci hrozeb. Nasazená zařízení také hlásí úroveň rizika Microsoft Defender for Endpoint na základě vašich zásad dodržování předpisů.

Onboarding zařízení pomocí konfiguračního balíčku je jednorázová akce.

Pokud chcete nasadit onboardingový balíček pro zařízení s Windows, můžete použít možnost předkonfigurované zásady EDR, která se nasadí do skupiny Všechna zařízení a onboarduje všechna příslušná zařízení s Windows, nebo můžete ručně vytvořit zásadu EDR pro podrobnější nasazení, což vyžaduje provedení několika dalších kroků.

Použití předkonfigurovaných zásad

Pomocí této cesty zadáte název zásady onboardingu a vyberete platformu i profil. Další nastavení jsou předem vybraná a zahrnují použití balíčku pro onboarding bez dalších nastavení, použití značky výchozího oboru a přiřazení ke skupině Všechna zařízení . Tyto možnosti nemůžete během vytváření zásad změnit, ale můžete se vrátit později a upravit podrobnosti o zásadách.

1. Otevřete Centrum pro správu Microsoft Intune, přejděte do částiDetekce a odpověď> koncového bodu zabezpečení> koncového bodu a vyberte kartu Stav onboardingu EDR.

2. Na této kartě vyberte Nasadit předkonfigurované zásady.

   

3. V části Platforma vyberte Windows pro zařízení spravovaná přímo službou Intune nebo Windows (ConfigMgr) pro zařízení spravovaná prostřednictvím scénáře připojení tenanta. V části Profil vyberte Zjišťování a odpověď koncového bodu.

4. Zadejte Název zásady.

5. Na stránce Zkontrolovat a vytvořit si můžete zkontrolovat konfiguraci těchto zásad. Až budete připravení, vyberte Uložit a uložte tuto zásadu, která se okamžitě začne nasazovat do skupiny Všechna zařízení .

Vytvoření vlastní zásady EDR:

Pomocí této cesty můžete definovat všechny aspekty počáteční zásady onboardingu před tím, než se začnou nasazovat do zařízení.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. VyberteZjišťování a odpověď> koncového bodu zabezpečení> koncového bodu a na kartě Souhrn vyberte Vytvořit zásadu.

3. V části Platforma vyberte Windows, v části Profil vyberte Zjišťování a odpověď koncového bodu a pak vyberte Vytvořit.

4. Na stránce Základy zadejte název a popis profilu (volitelné) a pak zvolte Další.

5. Na stránce Nastavení konfigurace nakonfigurujte následující možnosti v závislosti na vašich potřebách:

   • Microsoft Defender for Endpoint typ balíčku konfigurace klienta: V konektoru vyberte Automaticky. Při použití této možnosti zásady onboardingu automaticky použádí objekt blob pro zprovoznění, který Intune přijat z Microsoft Defender. Pokud onboardujete do jiného nebo odpojeného nasazení Defenderu for Endpoint, vyberte Onboarding a vložte text ze souboru objektu blob WindowsDefenderATP.onboarding do pole Onboarding (zařízení).

   • Sdílení ukázek: Vrátí nebo nastaví konfigurační parametr Microsoft Defender for Endpoint Sdílení ukázek.

   • [Zastaralé] Frekvence generování sestav telemetrie: Toto nastavení je zastaralé a už neplatí pro nová zařízení. Nastavení zůstane viditelné v uživatelském rozhraní zásad, aby bylo možné zobrazit starší zásady, které měly tuto konfiguraci.

   

   Poznámka

   Předchozí snímek obrazovky ukazuje možnosti konfigurace po nakonfigurování připojení mezi Intune a Microsoft Defender for Endpoint. Po připojení se automaticky vygenerují podrobnosti o objektech blob pro onboarding a offboarding a přenesou se do Intune.

   Pokud jste toto připojení nenakonfigurovali úspěšně, nastavení Microsoft Defender for Endpoint typu konfiguračního balíčku klienta zahrnuje jenom možnosti pro určení objektů blob pro nasazení a offboarding.

6. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další.

7. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Když nasadíte do skupin uživatelů, musí se uživatel před použitím zásad přihlásit k zařízení a zařízení může onboardovat do Defenderu for Endpoint.

   Pokračujte výběrem možnosti Další.

8. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

   Tip

   Pokud ke správě stejného nastavení zařízení používáte více zásad nebo typů zásad, jako jsou zásady konfigurace zařízenía zásady zjišťování koncových bodů a zásad odezvy , můžete pro zařízení vytvářet konflikty zásad. Další informace o konfliktech najdete v tématu Správa konfliktů v článku Správa zásad zabezpečení .

Onboarding zařízení se systémem macOS

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s macOS připojit k Microsoft Defender for Endpoint. Onboarding nakonfiguruje zařízení tak, aby komunikovali s koncovým bodem Microsoft Defender, který pak shromažďuje data o úrovni rizika zařízení.

Intune nepodporuje balíček automatického zprovoznění pro macOS jako u zařízení s Windows. Pokyny ke konfiguraci Intune najdete v tématu Microsoft Defender for Endpoint pro macOS.

Další informace o Microsoft Defender for Endpoint pro Mac včetně novinek v nejnovější verzi najdete v tématu Microsoft Defender for Endpoint pro Mac v dokumentaci k zabezpečení Microsoftu 365.

Onboarding zařízení s Androidem

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s Androidem připojit k Microsoft Defender for Endpoint.

Intune nepodporuje balíček automatického zprovoznění pro Android stejně jako u zařízení s Windows. Pokyny ke konfiguraci Intune najdete v tématu Přehled Microsoft Defender for Endpoint pro Android v dokumentaci k Microsoft Defender for Endpoint, kde najdete požadavky a pokyny k onboardingu pro Android.

U zařízení s Androidem můžete také pomocí zásad Intune upravit Microsoft Defender for Endpoint na Androidu. Další informace najdete v tématu Microsoft Defender for Endpoint webová ochrana.

Onboarding zařízení s iOS/iPadOS

Po navázání připojení mezi službami mezi Intune a Microsoft Defender for Endpoint můžete zařízení s iOS/iPadOS připojit k Microsoft Defender for Endpoint.

Intune nepodporuje automatický onboardingový balíček pro iOS/iPadOS stejně jako pro zařízení s Windows. Pokyny ke konfiguraci pro Intune najdete v tématu Přehled Microsoft Defender for Endpoint pro iOS v dokumentaci k Microsoft Defender for Endpoint, kde najdete požadavky a pokyny k onboardingu pro iOS/iPadOS.

U zařízení se systémem iOS/iPadOS (v režimu pod dohledem) existuje díky zvýšeným možnostem správy, které platforma poskytuje na těchto typech zařízení, specializované schopnosti. Aby aplikace Defender tyto možnosti využila, potřebuje vědět, jestli je zařízení v režimu pod dohledem. Další informace najdete v tématu Dokončení nasazení pro zařízení pod dohledem.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Aplikace>Zásady> konfigurace aplikací + Přidat a pak v rozevíracím seznamu vyberteSpravovaná zařízení.

3. Na stránce Základy zadejte Název a popis (volitelné) profilu, vyberte Platforma jako iOS/iPadOS a pak zvolte Další.

4. Jako Microsoft Defender pro iOS vyberte Cílová aplikace.

5. Na stránce Nastavení nastavte konfigurační klíč jako issupervised a pak jako řetězectyp hodnoty s hodnotou konfigurace{{issupervised}}.

6. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další.

7. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Pro tento scénář je osvědčeným postupem cílit na Všechna zařízení. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Když nasadíte zásady skupinám uživatelů, musí se uživatel přihlásit k zařízení, než se zásady uplatní.

   Vyberte Další.

8. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.

Zobrazení počtu zařízení, která jsou onboardována do Microsoft Defender for Endpoint

Sestavu stavu onboardingu zařízení můžete zobrazit v Centru pro správu Intune tak, že přejdete do částiDetekce a reakce> koncového bodu zabezpečení> koncového bodu a vyberete kartu Stav onboardingu EDR.

Pokud chcete tyto informace zobrazit, musí být vašemu účtu přiřazena role Intune, která zahrnuje čtení pro Microsoft Defender oprávnění Advanced Threat Protection.

Vytvoření a přiřazení zásad dodržování předpisů pro nastavení úrovně rizika zařízení

U zařízení s Androidem, iOS/iPadOS a Windows určují zásady dodržování předpisů úroveň rizika, kterou považujete pro zařízení za přijatelnou.

Pokud nemáte zkušenosti s vytvářením zásad dodržování předpisů, odkažte si postup Vytvoření zásady z článku Vytvoření zásady dodržování předpisů v Microsoft Intune. Následující informace jsou specifické pro konfiguraci Microsoft Defender for Endpoint v rámci zásad dodržování předpisů.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. VyberteDodržování předpisůzařízením>. Na kartě Zásady vyberte + Vytvořit zásadu.

3. V rozevíracím seznamu Platforma vyberte jednu z následujících možností:

   • Registrace správce zařízení s Androidem
   • Android Enterprise
   • iOS/iPadOS
   • Platforma: Windows 10 a novější

   Pak vyberte Vytvořit.

4. Na kartě Základy zadejte Název , který vám pomůže tuto zásadu později identifikovat. Můžete také zadat Popis.

5. Na kartě Nastavení dodržování předpisů rozbalte kategorii Microsoft Defender for Endpoint a nastavte možnost Vyžadovat, aby zařízení mělo nebo mělo skóre rizika počítače na upřednostňovanou úroveň.

   Klasifikace úrovně hrozeb se určují podle Microsoft Defender for Endpoint.

   • Vymazat: Tato úroveň je nejbezpečnější. Zařízení nemůže mít žádné existující hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy. (Microsoft Defender for Endpoint používá hodnotu Secure.)
   • Nízká: Zařízení je kompatibilní, pokud existují pouze hrozby nízké úrovně. Zařízení se střední nebo vysokou úrovní hrozeb nedodržují předpisy.
   • Střední: Zařízení je kompatibilní, pokud jsou hrozby, které se na zařízení nacházejí, nízké nebo střední. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
   • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Zařízení s vysokou, střední nebo nízkou úrovní hrozeb se považují za vyhovující.

6. Dokončete konfiguraci zásad, včetně jejich přiřazení k příslušným skupinám.

Vytvoření a přiřazení zásad ochrany aplikací pro nastavení úrovně rizika zařízení

Pomocí postupu vytvořte zásady ochrany aplikací pro iOS/iPadOS nebo Android a na stránkách Aplikace, Podmíněné spuštění a Přiřazení použijte následující informace:

• Aplikace: Vyberte aplikace, na které chcete cílit zásadami ochrany aplikací. Pro tuto sadu funkcí se tyto aplikace zablokují nebo selektivně vymažou na základě posouzení rizik zařízení od vybraného dodavatele ochrany před mobilními hrozbami.

• Podmíněné spuštění: V části Podmínky zařízení vyberte pomocí rozevíracího seznamu maximální povolenou úroveň ohrožení zařízení.

  Možnosti pro hodnotu na úrovni hrozby:

  • Zabezpečeno: Tato úroveň je nejbezpečnější. Zařízení nemůže obsahovat žádné hrozby a stále přistupovat k prostředkům společnosti. Pokud se najdou nějaké hrozby, vyhodnotí se zařízení jako nedodržující předpisy.
  • Nízká: Zařízení je kompatibilní, pokud se vyskytují pouze hrozby nízké úrovně. Cokoli vyššího nastaví zařízení do nevyhovujícího stavu.
  • Střední: Zařízení je kompatibilní, pokud jsou hrozby nalezené na zařízení nízké nebo střední úrovně. Pokud jsou zjištěny hrozby vysoké úrovně, zařízení se určí jako nedodržující předpisy.
  • Vysoká: Tato úroveň je nejméně bezpečná a umožňuje všechny úrovně hrozeb, a to pomocí ochrany před mobilními hrozbami pouze pro účely hlášení. Zařízení musí mít aplikaci MTD aktivovanou pomocí tohoto nastavení.

  Možnosti akce:

  • Blokovat přístup
  • Vymazání dat

• Přiřazení: Přiřaďte zásadu skupinám uživatelů. Zařízení používaná členy skupiny se vyhodnocují z hlediska přístupu k podnikovým datům v cílových aplikacích prostřednictvím Intune ochrany aplikací.

Důležité

Pokud vytvoříte zásadu ochrany aplikací pro libovolnou chráněnou aplikaci, vyhodnotí se úroveň hrozby zařízení. V závislosti na konfiguraci se zařízení, která nesplňují přijatelnou úroveň, buď zablokují, nebo selektivně vymažou prostřednictvím podmíněného spuštění. Pokud se zablokuje, bude jim zabráněno v přístupu k podnikovým prostředkům, dokud se hrozba na zařízení nevyřeší a nehlásí Intune zvoleným dodavatelem MTD.

Vytvoření zásady podmíněného přístupu

Zásady podmíněného přístupu můžou pomocí dat z Microsoft Defender for Endpoint blokovat přístup k prostředkům pro zařízení, která překračují vámi nastavenou úroveň hrozeb. Ze zařízení můžete zablokovat přístup k podnikovým prostředkům, jako je SharePoint nebo Exchange Online.

Tip

Podmíněný přístup je technologie Microsoft Entra. Uzel podmíněného přístupu, který se nachází v Centru pro správu Microsoft Intune, je uzel z Microsoft Entra.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zabezpečení koncového bodu>Podmíněný přístup>Vytvořit novou zásadu. Vzhledem k tomu, že Intune prezentuje uživatelské rozhraní pro vytváření zásad pro podmíněný přístup z Azure Portal, liší se rozhraní od pracovního postupu vytváření zásad, který možná znáte.

3. Zadejte název zásady.

4. V části Uživatelé pomocí karet Zahrnout a Vyloučit nakonfigurujte skupiny, které budou tuto zásadu přijímat.

5. V části Cílové prostředky nastavte Možnost Vybrat, na co se tato zásada vztahuje na cloudové aplikace a pak zvolte, které aplikace se mají chránit. Například zvolte Vybrat aplikace a pak v části Vybrat vyhledejte a vyberte Office 365 SharePointu Online a Office 365 Exchange Online.

6. V části Podmínky vyberte Klientské aplikace a pak nastavte Konfigurovat na Ano. Pak zaškrtněte políčka Prohlížeče a Mobilní aplikace a desktopoví klienti. Pak vyberte Hotovo a uložte konfiguraci klientské aplikace.

7. V části Udělení nakonfigurujte tuto zásadu tak, aby se použila na základě pravidel dodržování předpisů zařízením. Příklady:

   1. Vyberte Udělit přístup.
   2. Zaškrtněte políčko Vyžadovat označení zařízení jako vyhovující předpisům.
   3. Vyberte Vyžadovat všechny vybrané ovládací prvky. Zvolte Vybrat a uložte konfiguraci Udělit.

8. V části Povolit zásadu vyberte Zapnuto a potom Vytvořit a uložte změny.

Související obsah

• Konfigurace nastavení Microsoft Defender for Endpoint v Androidu
• Monitorování dodržování předpisů z hlediska úrovní rizik

Další informace najdete v dokumentaci k Intune:

• Použití úloh zabezpečení se správou ohrožení zabezpečení defenderu for Endpoints k nápravě problémů na zařízeních
• Začínáme se zásadami dodržování předpisů zařízením
• Přehled zásad ochrany aplikací

Další informace najdete v dokumentaci k Microsoft Defender for Endpoint:

• Microsoft Defender for Endpoint podmíněného přístupu
• řídicí panel Microsoft Defender for Endpoint rizik