Blockieren auf Risikogeräten

  • 11 Minuten

Sie können eine Bedrohung eindämmen, indem Sie Risikogeräten mithilfe des bedingten Zugriffs den Zugriff auf Ihre Unternehmensressourcen verweigern.

Sie benötigen eine Microsoft Intune-Umgebung mit Geräten unter Windows 10 oder höher, die von Intune verwaltet und in Entra AD eingebunden sind.

Erforderliche Rollen für den Zugriff auf diese Portale und die Implementierung des bedingten Zugriffs:

  • Microsoft Defender-Portal: Sie müssen sich mit der Rolle „Globaler Administrator“ beim Portal anmelden, um die Integration zu aktivieren.

  • Intune: Sie müssen sich mit den Rechten eines Sicherheitsadministrators und den Verwaltungsberechtigungen beim Portal anmelden.

  • Entra ID-Portal: Sie müssen sich als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff anmelden.

Führen Sie die folgenden Schritte aus, um den bedingten Zugriff zu aktivieren:

  1. Aktivieren Sie die Microsoft Intune-Verbindung über Microsoft Defender XDR.

  2. Aktivieren Sie die Integration von Defender für Endpunkt in Endpoint Manager.

  3. Erstellen der Konformitätsrichtlinie in Intune

  4. Zuweisen der Richtlinie

  5. Erstellen einer Richtlinie für bedingten Zugriff einer Entra ID

Aktivieren der Microsoft Intune-Verbindung

  1. Klicken Sie im Navigationsbereich von Microsoft Defender XDR auf Einstellungen > Endpunkte und dann im Abschnitt „Allgemein“ auf Erweiterte Funktionen.

  2. Schalten Sie die Microsoft Intune-Verbindungseinstellung auf Ein um.

  3. Wählen Sie Voreinstellungen speichern aus.

Aktivieren der Defender for Endpoint-Integration im Intune Admin Center

  1. Melden Sie sich beim Microsoft Intune Admin Center https://intune.microsoft.com an.

  2. Klicken Sie auf Endpunktsicherheit > Microsoft Defender für Endpunkt.

  3. Legen Sie Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations (Microsoft Defender für Endpunkt das Erzwingen von Sicherheitskonfigurationen für Endpunkte erlauben) auf Ein fest.

  4. Wählen Sie Speichern.

Erstellen der Compliancerichtlinie im Intune Admin Center

  1. Wählen Sie im Microsoft Intune Admin Center Dashboard und dann Compliancerichtlinien aus.

  2. Klicken Sie auf + Richtlinie erstellen.

  3. Klicken Sie auf Windows 10 und höher und dann auf Erstellen.

  4. Geben Sie einen Namen und eine Beschreibung ein, und klicken Sie auf Weiter.

  5. Erweitern Sie auf der Registerkarte Konformitätseinstellungen die Microsoft Defender for Endpoint-Regeln, und legen Sie Anfordern, dass sich das Gerät auf derselben Stufe der Risikobewertung des Computers oder darunter befindet auf den von Ihnen bevorzugten Wert fest:

    • Löschen: Diese Stufe ist die sicherste. Solange auf einem Gerät Bedrohungen vorhanden sind, ist kein Zugriff auf Unternehmensressourcen möglich. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
    • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
    • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
    • Hoch: Dies ist die unsicherste Stufe, die alle Bedrohungsstufen zulässt. Also werden Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen als konform angesehen.

  6. Klicken Sie auf Weiter, bis Sie auf Erstellen klicken können. Klicken Sie darauf, um Ihre Änderungen zu speichern (und die Richtlinie zu erstellen).

Zuweisen der Richtlinie in Endpoint Manager

  1. Öffnen Sie im Microsoft Endpoint Manager Admin Center die Richtlinie, die Sie im vorherigen Schritt erstellt haben, und klicken Sie auf Eigenschaften.

  2. Klicken Sie im Abschnitt „Zuweisungen“ auf Bearbeiten.

  3. Klicken Sie auf Zuweisungen.

  4. Schließen Sie Ihre Entra-ID-Gruppen ein oder aus, um ihnen die Richtlinie zuzuweisen.

  5. Um die Richtlinie für die Gruppen bereitzustellen, müssen Sie auf Überprüfen + Speichern und dann auf Speichern klicken. Die Benutzergeräte, denen die Richtlinie zugewiesen wurde, werden auf Konformität überprüft.

Erstellen einer Richtlinie für bedingten Zugriff einer Entra ID

  1. Wählen Sie im Azure-Portal im Menü „Dienstleistungen“ die Option Bedingter Entra ID-Zugriff aus, dann das Dropdownmenü + Neue Richtlinie, und klicken Sie anschließend auf Neue Richtlinie erstellen.

  2. Geben Sie einen Namen für die Richtlinie ein, und wählen Sie Users or workload entities (Benutzer oder Workloadentitäten) aus. Verwenden Sie die Optionen „Einschließen“ oder „Ausschließen“, um Ihre Gruppen der Richtlinie hinzuzufügen.

  3. Wählen Sie im Bereich „Cloud-Apps oder -aktionen“ aus, welche Apps geschützt werden sollen. Wählen Sie z.B. Apps auswählen und Office 365 SharePoint Online sowie Office 365 Exchange Online aus.

  4. Legen Sie im Bereich „Bedingungen“ fest, dass die Richtlinie auf Client-Apps und Browser angewendet werden soll. Klicken Sie zum Abschluss auf Fertig.

  5. Wenden Sie den bedingten Zugriff im Bereich „Gewähren“ auf Basis der Gerätekonformität an. Wählen Sie beispielsweise Zugriff gewähren > Markieren des Geräts als kompatibel erforderlich aus. Wählen Sie OK aus, um die Änderungen zu speichern.

  6. Wählen Sie Richtlinie aktivieren und dann Speichern aus, um Ihre Änderungen zu speichern.

Weitere Informationen finden Sie unter Verwenden von Defender for Endpoint zum Erzwingen der Gerätecompliance mit Microsoft Intune.