Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z urządzeniami Intune i dołączania

Skorzystaj z informacji i procedur zawartych w tym artykule, aby nawiązać połączenie Ochrona punktu końcowego w usłudze Microsoft Defender z Intune, a następnie dołączyć i skonfigurować urządzenia dla usługi Defender for Endpoint. Informacje zawarte w tym artykule zawierają następujące ogólne kroki:

• Ustanawianie połączenia typu usługa-usługa między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender. To połączenie umożliwia Intune interakcję z Microsoft Defender na urządzeniach, w tym instalację (dołączanie) i konfigurację klienta usługi Defender for Endpoint oraz integrację wyników ryzyka maszyny z obsługiwanych urządzeń zarządzanych za pomocą Intune. Zapoznaj się z wymaganiami wstępnymi dotyczącymi używania Ochrona punktu końcowego w usłudze Microsoft Defender z Intune.
• Dołączanie urządzeń do usługi Defender for Endpoint. Dołączasz urządzenia w celu skonfigurowania ich do komunikowania się z Ochrona punktu końcowego w usłudze Microsoft Defender i dostarczania danych, które ułatwiają ocenę ich poziomu ryzyka. Każda platforma ma oddzielne wymagania dotyczące dołączania do usługi Defender.
• Użyj Intune zasad zgodności urządzeń, aby ustawić poziom ryzyka, na który chcesz zezwolić. Ochrona punktu końcowego w usłudze Microsoft Defender raporty dotyczące poziomu ryzyka urządzeń. Urządzenia, które przekraczają dozwolony poziom ryzyka, są identyfikowane jako niezgodne.
• Użyj zasad dostępu warunkowego , aby zablokować użytkownikom dostęp do zasobów firmowych podczas korzystania z urządzenia, które jest identyfikowane jako niezgodne.
• Użyjzasad ochrony aplikacji dla systemów Android i iOS/iPadOS, aby ustawić poziomy ryzyka urządzenia. Ochrona aplikacji zasady działają zarówno na zarejestrowanych, jak i niezarejestrowanych urządzeniach.

Oprócz zarządzania ustawieniami Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach, które rejestrują się przy użyciu Intune, można zarządzać konfiguracjami zabezpieczeń usługi Defender for Endpoint na urządzeniach, które nie są zarejestrowane w Intune. Ten scenariusz nosi nazwę Zarządzanie zabezpieczeniami dla Ochrona punktu końcowego w usłudze Microsoft Defender i wymaga skonfigurowania przełącznika Zezwalaj Ochrona punktu końcowego w usłudze Microsoft Defender na wymuszanie konfiguracji zabezpieczeń punktu końcowego na wartość Włączone. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzanie konfiguracją zabezpieczeń.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Łączenie Ochrona punktu końcowego w usłudze Microsoft Defender z Intune

Aby Intune i usługa Defender dla punktu końcowego mogły współpracować, należy skonfigurować połączenie między usługami Intune i Ochrona punktu końcowego w usłudze Microsoft Defender. Jest to jednorazowa akcja na dzierżawę. Konfiguracja wymaga dostępu administracyjnego zarówno do Centrum zabezpieczeń usługi Microsoft Defender, jak i centrum administracyjnego Microsoft Intune.

Włączanie integracji Intune i Ochrona punktu końcowego w usłudze Microsoft Defender

1. Otwórz portal Ochrona punktu końcowego w usłudze Microsoft Defender w security.microsoft.com. Centrum administracyjne Intune zawiera również link do portalu usługi Defender for Endpoint.

   1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

   2. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender i przejrzyj stan Połączenia w górnej części strony. Jeśli jest włączona, usługa Defender i Intune są już połączone i możesz przejść do kroku nr 2.

      Jeśli stan to Niedostępne, kontynuuj tutaj.

   3. Przewiń w dół do dołu strony Ochrona punktu końcowego w usłudze Microsoft Defender i wybierz link Otwórz Centrum zabezpieczeń usługi Microsoft Defender, aby otworzyć Microsoft Defender w portalu i przejdź do następnego ponumerowanego kroku.

   Porada

   Jeśli połączenie jest już aktywne, link do otwierania portalu usługi Defender brzmi: Otwórz konsolę administracyjną Ochrona punktu końcowego w usłudze Microsoft Defender.

   

2. W portalu Microsoft Defender:

   1. Użyj okienka po lewej stronie, aby przewinąć w dół i wybrać pozycję Ustawienia>Punkty końcowe>Funkcje zaawansowane.

   2. W okienku funkcji zaawansowanych przewiń w dół, aby zlokalizować wpis Microsoft Intune połączenia i ustaw przełącznik na Wł.

      

   3. Wybierz pozycję Zapisz preferencje, aby zakończyć połączenie między Intune i usługą Defender dla punktu końcowego.

   Uwaga

   Po nawiązaniu połączenia usługi powinny być synchronizowane ze sobą co najmniej raz na 24 godziny. Liczba dni bez synchronizacji, dopóki połączenie nie zostanie uznane za nieodpowiadające, można skonfigurować w centrum administracyjnym Microsoft Intune. Wybierz pozycję Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender>Numeruj dni, aż partner nie odpowiada

3. Wróć do strony Ochrona punktu końcowego w usłudze Microsoft Defender w centrum administracyjnym Microsoft Intune, na której konfigurujesz aspekty integracji usługi Defender for Endpoint. Stan połączenia powinien teraz wyświetlać wartość Włączone.

   Na tej stronie zapoznaj się z każdą kategorią i dostępnymi konfiguracjami dla pomocy technicznej platformy i konkretnych opcji platformy, których planujesz użyć, i ustaw te przełączniki na Włączone. Możesz wrócić później, aby włączyć lub wyłączyć dowolną z tych opcji.

   Aby skonfigurować następujące integracje Ochrona punktu końcowego w usłudze Microsoft Defender, twoje konto musi mieć przypisaną Intune rolę kontroli dostępu opartej na rolach (RBAC), która obejmuje uprawnienia odczytu i modyfikowania usługi Mobile Threat Defense w Intune. Wbudowana rola administratora programu Endpoint Security Manager dla Intune ma te uprawnienia.

   Ocena zasad zgodności — aby używać usługi Defender for Endpoint z zasadami zgodności, skonfiguruj następujące elementy w obszarze Ocena zasad zgodności dla obsługiwanych platform:

   • Ustaw opcję Connect Android devices to Ochrona punktu końcowego w usłudze Microsoft Defender to On (Łączenie urządzeń z systemem Android w celu Ochrona punktu końcowego w usłudze Microsoft Defender włączone)
   • Ustaw opcję Connect iOS/iPadOS devices to Ochrona punktu końcowego w usłudze Microsoft Defender to On (Łączenie urządzeń z systemem iOS/iPadOS na wartość Włączone)
   • Ustaw opcję Połącz urządzenia z systemem Windows, aby Ochrona punktu końcowego w usłudze Microsoft Defender włączone

   Gdy te konfiguracje są włączone, odpowiednie urządzenia zarządzane za pomocą Intune i urządzenia zarejestrowane w przyszłości są połączone z Ochrona punktu końcowego w usłudze Microsoft Defender w celu zapewnienia zgodności.

   W przypadku urządzeń z systemem iOS usługa Defender for Endpoint obsługuje również następujące ustawienia, które ułatwiają ocenę luk w zabezpieczeniach aplikacji w Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu iOS. Aby uzyskać więcej informacji na temat korzystania z dwóch następujących ustawień, zobacz Konfigurowanie oceny luk w zabezpieczeniach aplikacji.

   • Włącz synchronizację aplikacji dla urządzeń z systemem iOS: ustaw wartość Włączone, aby umożliwić usłudze Defender for Endpoint żądanie metadanych aplikacji systemu iOS z Intune do użycia do celów analizy zagrożeń. Urządzenie z systemem iOS musi być zarejestrowane w usłudze MDM i dostarczać zaktualizowane dane aplikacji podczas ewidencjonowania urządzenia.

   • Wysyłanie pełnych danych spisu aplikacji na urządzeniach z systemem iOS/iPadOS należących do użytkownika: to ustawienie kontroluje dane spisu aplikacji, które Intune udostępniane usłudze Defender for Endpoint, gdy usługa Defender for Endpoint synchronizuje dane aplikacji i żąda listy spisu aplikacji.

     Po ustawieniu pozycji Włączone usługa Defender for Endpoint może zażądać listy aplikacji z Intune dla urządzeń z systemem iOS/iPadOS należących do użytkownika. Ta lista zawiera niezarządzane aplikacje i aplikacje, które zostały wdrożone za pośrednictwem Intune.

     Po ustawieniu pozycji Wyłączone dane dotyczące aplikacji niezarządzanych nie są udostępniane. Intune udostępnia dane dla aplikacji wdrożonych za pośrednictwem Intune.

   Aby uzyskać więcej informacji, zobacz Opcje przełączania usługi Mobile Threat Defense.

   Ochrona aplikacji oceny zasad — skonfiguruj następujące przełączniki, aby używać usługi Defender for Endpoint z zasadami ochrony aplikacji Intune dla systemów Android i iOS/iPadOS, skonfiguruj następujące opcje w obszarze Ochrona aplikacji ocena zasad dla używanych platform:

   • Ustaw opcję Połącz urządzenia z systemem Android, aby Microsoft Defender dla punktu końcowego na wartość Włączone.
   • Ustaw opcję Połącz urządzenia z systemem iOS/iPadOS, aby Ochrona punktu końcowego w usłudze Microsoft Defenderwłączone.

   Aby uzyskać więcej informacji, zobacz Opcje przełączania usługi Mobile Threat Defense.

4. Wybierz Zapisz.

Porada

Od wersji usługi Intune z sierpnia 2023 r. (2308) klasyczne zasady dostępu warunkowego nie są już tworzone dla łącznika Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli dzierżawa ma klasyczne zasady urzędu certyfikacji, które zostały wcześniej utworzone na potrzeby integracji z Ochrona punktu końcowego w usłudze Microsoft Defender, można je usunąć. Aby wyświetlić klasyczne zasady dostępu warunkowego, na platformie Azure przejdź do Tożsamość Microsoft Entra>Dostęp> warunkowy— klasyczne zasady.

Dołączanie urządzeń

Po nawiązaniu połączenia typu usługa-usługa między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender użyj Intune, aby dołączyć urządzenia zarządzane do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie obejmuje rejestrowanie urządzeń w usłudze Defender for Endpoint w celu zapewnienia ich ochrony i monitorowania pod kątem zagrożeń bezpieczeństwa oraz umożliwia zbieranie danych dotyczących poziomów ryzyka urządzenia.

Podczas dołączania urządzeń należy użyć najnowszej wersji Ochrona punktu końcowego w usłudze Microsoft Defender dla każdej platformy.

Proces dołączania urządzeń do usługi Defender for Endpoint różni się w zależności od platformy.

Dołączanie urządzeń z systemem Windows

Po nawiązaniu połączenia między Intune i usługą Defender Intune automatycznie odbiera pakiet konfiguracji dołączania z usługi Defender, który może być używany przez Intune do dołączania urządzeń z systemem Windows. Ten pakiet jest używany przez zasady Intune EDR do konfigurowania urządzeń do komunikowania się z usługami Ochrona punktu końcowego w usłudze Microsoft Defender oraz do skanowania plików i wykrywania zagrożeń. Dołączone urządzenia zgłaszają również poziom ryzyka do Ochrona punktu końcowego w usłudze Microsoft Defender na podstawie zasad zgodności.

Dołączanie urządzenia przy użyciu pakietu konfiguracji to jednorazowa akcja.

Aby wdrożyć pakiet dołączania dla urządzeń z systemem Windows, można użyć wstępnie skonfigurowanej opcji zasad EDR, która jest wdrażana w grupie Wszystkie urządzenia w celu dołączenia wszystkich odpowiednich urządzeń z systemem Windows, lub ręcznie utworzyć zasady EDR dla bardziej szczegółowych wdrożeń, co wymaga wykonania kilku dodatkowych kroków.

Używanie wstępnie skonfigurowanych zasad

W tej ścieżce podaj nazwę zasad dołączania i wybierz zarówno platformę , jak i profil. Inne ustawienia są wstępnie zaznaczone i obejmują użycie pakietu dołączania bez dodatkowych ustawień, użycie domyślnego tagu zakresu i przypisanie do grupy Wszystkie urządzenia . Nie można zmienić tych opcji podczas tworzenia zasad, ale możesz wrócić później, aby edytować szczegóły zasad.

1. Otwórz centrum administracyjne Microsoft Intune i przejdź do obszaruWykrywanie i reagowanie> punktu końcowego zabezpieczeń> punktu końcowego, a następnie wybierz kartę Stan dołączania EDR.

2. Na tej karcie wybierz pozycję Wdróż wstępnie skonfigurowane zasady.

   

3. W obszarze Platforma wybierz pozycję Windows dla urządzeń zarządzanych bezpośrednio przez Intune lub Windows (ConfigMgr) dla urządzeń zarządzanych za pośrednictwem scenariusza Dołączanie dzierżawy. W obszarze Profil wybierz pozycję Wykrywanie i reagowanie punktu końcowego.

4. Określ nazwę zasad.

5. Na stronie Przeglądanie i tworzenie można przejrzeć tę konfigurację zasad. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać te zasady, które natychmiast zaczynają być wdrażane w grupie Wszystkie urządzenia .

Utwórz własne zasady EDR:

Za pomocą tej ścieżki można zdefiniować wszystkie aspekty początkowych zasad dołączania przed rozpoczęciem wdrażania na urządzeniach.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycjęWykrywanie i reagowanie> punktu końcowego zabezpieczeń> punktu końcowego, a następnie na karcie Podsumowanie wybierz pozycję Utwórz zasady.

3. W obszarze Platforma wybierz pozycję Windows, w obszarze Profil wybierz pozycję Wykrywanie punktu końcowego i odpowiedź, a następnie wybierz pozycję Utwórz.

4. Na stronie Podstawy wprowadź nazwę i opis (opcjonalnie) dla profilu, a następnie wybierz pozycję Dalej.

5. Na stronie Ustawienia konfiguracji skonfiguruj następujące opcje w zależności od potrzeb:

   • Ochrona punktu końcowego w usłudze Microsoft Defender typ pakietu konfiguracji klienta: wybierz pozycję Auto z łącznika. W przypadku tej opcji zasady dołączania automatycznie używają obiektu blob dołączania, który Intune odebrany od Microsoft Defender. Jeśli dołączasz do innego lub odłączonego programu Defender na potrzeby wdrożenia punktu końcowego, wybierz pozycję Dołącz i wklej tekst z pliku obiektu blob WindowsDefenderATP.onboarding do pola Dołączanie (urządzenie ).

   • Udostępnianie przykładowe: zwraca lub ustawia parametr konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender Sample Sharing.

   • [Przestarzałe] Częstotliwość raportowania danych telemetrycznych: to ustawienie jest przestarzałe i nie ma już zastosowania do nowych urządzeń. Ustawienie pozostaje widoczne w interfejsie użytkownika zasad pod kątem widoczności starszych zasad, które zostały skonfigurowane.

   

   Uwaga

   Powyższe przechwytywanie ekranu pokazuje opcje konfiguracji po skonfigurowaniu połączenia między Intune a Ochrona punktu końcowego w usłudze Microsoft Defender. Po nawiązaniu połączenia szczegóły dotyczące dołączania i odłączania obiektów blob są automatycznie generowane i przesyłane do Intune.

   Jeśli to połączenie nie zostało pomyślnie skonfigurowane, ustawienie Ochrona punktu końcowego w usłudze Microsoft Defender typu pakietu konfiguracji klienta zawiera tylko opcje określania dołączania i odłączania obiektów blob.

6. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

7. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania w grupach użytkowników musi zalogować się na urządzeniu przed zastosowaniem zasad, a urządzenie może dołączyć je do usługi Defender for Endpoint.

   Wybierz przycisk Dalej, aby kontynuować.

8. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

   Porada

   W przypadku używania wielu zasad lub typów zasad, takich jak zasady konfiguracji urządzenia oraz zasady wykrywania i reagowania punktu końcowego w celu zarządzania tymi samymi ustawieniami urządzenia, można tworzyć konflikty zasad dla urządzeń. Aby dowiedzieć się więcej o konfliktach, zobacz Zarządzanie konfliktami w artykule Zarządzanie zasadami zabezpieczeń .

Dołączanie urządzeń z systemem macOS

Po nawiązaniu połączenia między usługami Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem macOS do Ochrona punktu końcowego w usłudze Microsoft Defender. Dołączanie konfiguruje urządzenia do komunikacji z punktem końcowym Microsoft Defender, który następnie zbiera dane dotyczące poziomu ryzyka urządzeń.

Intune nie obsługuje automatycznego dołączania pakietu dla systemu macOS, tak jak w przypadku urządzeń z systemem Windows. Aby uzyskać wskazówki dotyczące konfiguracji Intune, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu macOS.

Aby uzyskać więcej informacji na temat Ochrona punktu końcowego w usłudze Microsoft Defender dla komputerów Mac, w tym nowości w najnowszej wersji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender dla komputerów Mac w dokumentacji zabezpieczeń platformy Microsoft 365.

Dołączanie urządzeń z systemem Android

Po nawiązaniu połączenia service-to-service między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem Android do Ochrona punktu końcowego w usłudze Microsoft Defender.

Intune nie obsługuje automatycznego dołączania pakietu dla systemu Android, tak jak w przypadku urządzeń z systemem Windows. Aby uzyskać wskazówki dotyczące konfiguracji Intune, zobacz Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Android w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z wymaganiami wstępnymi i instrukcje dołączania dla systemu Android.

W przypadku urządzeń z systemem Android można również użyć zasad Intune do modyfikowania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android. Aby uzyskać więcej informacji, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender ochrona w Internecie.

Dołączanie urządzeń z systemem iOS/iPadOS

Po nawiązaniu połączenia service-to-service między Intune i Ochrona punktu końcowego w usłudze Microsoft Defender można dołączyć urządzenia z systemem iOS/iPadOS do Ochrona punktu końcowego w usłudze Microsoft Defender.

Intune nie obsługuje automatycznego dołączania pakietu dla systemu iOS/iPadOS, tak jak w przypadku urządzeń z systemem Windows. Aby uzyskać wskazówki dotyczące konfiguracji Intune, zobacz Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu iOS w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender dotyczącej wymagań wstępnych i dołączania instrukcje dotyczące systemu iOS/iPadOS.

W przypadku urządzeń z systemem iOS/iPadOS (w trybie nadzorowanym) istnieje wyspecjalizowana możliwość, biorąc pod uwagę zwiększone możliwości zarządzania zapewniane przez platformę na tego typu urządzeniach. Aby skorzystać z tych możliwości, aplikacja Defender musi wiedzieć, czy urządzenie jest w trybie nadzorowanym. Aby uzyskać więcej informacji, zobacz Complete deployment for supervised devices (Kompletne wdrażanie dla urządzeń nadzorowanych).

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Aplikacje> Zasady >konfiguracji aplikacji+ Dodaj, a następnie wybierz pozycjęUrządzenia zarządzane z listy rozwijanej.

3. Na stronie Podstawy wprowadź nazwę i opis (opcjonalnie) dla profilu, wybierz pozycję Platforma jako system iOS/iPadOS , a następnie wybierz pozycję Dalej.

4. Wybierz pozycję Aplikacja docelowa jako Microsoft Defender dla systemu iOS.

5. Na stronie Ustawienia ustaw klucz konfiguracji jako issupervised, a następnie wpisz wartość jako ciąg z wartością {{issupervised}} jako wartość Konfiguracja.

6. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

7. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. W tym scenariuszu najlepszym rozwiązaniem jest ukierunkowanie na wszystkie urządzenia. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania zasad w grupach użytkownik musi zalogować się na urządzeniu przed zastosowaniem zasad.

   Wybierz pozycję Dalej.

8. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście profilów konfiguracji.

Wyświetl liczbę urządzeń dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender

Raport o stanie dołączania urządzeń można wyświetlić z poziomu centrum administracyjnego Intune, przechodząc do obszaruWykrywanie i reagowanie> punktu końcowego zabezpieczeń >punktu końcowegooraz wybierając kartę Stan dołączania EDR.

Aby wyświetlić te informacje, twoje konto musi mieć przypisaną rolę Intune zawierającą uprawnienie Odczyt dla Microsoft Defender zaawansowanej ochrony przed zagrożeniami.

Tworzenie i przypisywanie zasad zgodności w celu ustawienia poziomu ryzyka urządzenia

W przypadku urządzeń z systemami Android, iOS/iPadOS i Windows zasady zgodności określają poziom ryzyka, który uważasz za akceptowalny dla urządzenia.

Jeśli nie znasz już tworzenia zasad zgodności, zapoznaj się z procedurą Tworzenie zasad w artykule Tworzenie zasad zgodności w Microsoft Intune artykule. Poniższe informacje są specyficzne dla konfigurowania Ochrona punktu końcowego w usłudze Microsoft Defender w ramach zasad zgodności.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Zgodność urządzeń>. Na karcie Zasady wybierz pozycję + Utwórz zasady.

3. W obszarze Platforma użyj pola rozwijanego, aby wybrać jedną z następujących opcji:

   • Administrator urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10 lub nowszy

   Następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy określ nazwę , która ułatwia późniejsze zidentyfikowanie tych zasad. Możesz również określić opis.

5. Na karcie Ustawienia zgodności rozwiń kategorię Ochrona punktu końcowego w usłudze Microsoft Defender i ustaw opcję Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny na preferowany poziom.

   Klasyfikacje na poziomie zagrożenia są określane przez Ochrona punktu końcowego w usłudze Microsoft Defender.

   • Jasne: ten poziom jest najbezpieczniejszy. Urządzenie nie może mieć żadnych istniejących zagrożeń i nadal może uzyskiwać dostęp do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne. (Ochrona punktu końcowego w usłudze Microsoft Defender używa wartości Secure).
   • Niski: urządzenie jest zgodne, jeśli istnieją tylko zagrożenia niskiego poziomu. Urządzenia ze średnim lub wysokim poziomem zagrożenia nie są zgodne.
   • Średni: urządzenie jest zgodne, jeśli zagrożenia znalezione na urządzeniu są niskie lub średnie. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
   • Wysoki: Ten poziom jest najmniej bezpieczny i zezwala na wszystkie poziomy zagrożeń. Urządzenia z wysokim, średnim lub niskim poziomem zagrożeń są uważane za zgodne.

6. Ukończ konfigurację zasad, w tym przypisanie zasad do odpowiednich grup.

Tworzenie i przypisywanie zasad ochrony aplikacji w celu ustawienia poziomu ryzyka urządzenia

Użyj procedury, aby utworzyć zasady ochrony aplikacji dla systemu iOS/iPadOS lub Android, i użyj następujących informacji na stronach Aplikacje, Uruchamianiewarunkowe i Przypisania :

• Aplikacje: wybierz aplikacje, do których mają być kierowane zasady ochrony aplikacji. W przypadku tego zestawu funkcji te aplikacje są blokowane lub selektywnie czyszczone w oparciu o ocenę ryzyka urządzenia przez wybranego dostawcę usługi Mobile Threat Defense.

• Uruchamianie warunkowe: poniżej warunków urządzenia użyj pola rozwijanego, aby wybrać pozycję Maksymalny dozwolony poziom zagrożenia urządzenia.

  Opcje wartości poziomu zagrożenia:

  • Zabezpieczone: ten poziom jest najbardziej bezpieczny. Urządzenie, na którym są obecne jakiekolwiek zagrożenia, nie może uzyskiwać dostępu do zasobów firmy. Jeśli zostaną znalezione jakiekolwiek zagrożenia, urządzenie zostanie ocenione jako niezgodne.
  • Niskie: urządzenie jest zgodne, jeśli są obecne tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
  • Średnie: urządzenie jest zgodne, jeśli znalezione na nim zagrożenia są na poziomie niskim lub średnim. W przypadku wykrycia zagrożeń wysokiego poziomu urządzenie zostanie określone jako niezgodne.
  • Wysokie: ten poziom jest najmniej bezpieczny i umożliwia stosowanie wszystkich poziomów zagrożeń przy użyciu usługi Mobile Threat Defense tylko do celów raportowania. Na urządzeniach musi znajdować się aplikacja MTD, w której to ustawienie zostało aktywowane.

  Opcje pola Akcja:

  • Blokuj dostęp
  • Wyczyść dane

• Przypisania: przypisz zasady do grup użytkowników. Urządzenia używane przez członków grupy są oceniane pod kątem dostępu do danych firmowych za pomocą aplikacji docelowych przez funkcję ochrony aplikacji usługi Intune.

Ważna

Jeśli utworzysz zasady ochrony aplikacji dla dowolnej chronionej aplikacji, oceniany jest poziom zagrożenia urządzenia. W zależności od konfiguracji urządzenia, które nie spełniają akceptowalnego poziomu, są blokowane lub selektywnie czyszczone przy użyciu warunkowego uruchomienia. W przypadku zablokowania nie będą one miały dostępu do zasobów firmowych, dopóki zagrożenie na urządzeniu nie zostanie rozwiązane i zgłoszone do usługi Intune przez wybranego dostawcę MTD.

Tworzenie zasad dostępu warunkowego

Zasady dostępu warunkowego mogą używać danych z Ochrona punktu końcowego w usłudze Microsoft Defender do blokowania dostępu do zasobów dla urządzeń, które przekraczają ustawiony poziom zagrożenia. Możesz zablokować dostęp z urządzenia do zasobów firmowych, takich jak SharePoint lub Exchange Online.

Porada

Dostęp warunkowy to technologia Microsoft Entra. Węzeł dostępu warunkowego znaleziony w centrum administracyjnym Microsoft Intune to węzeł z Microsoft Entra.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady. Ponieważ Intune przedstawia interfejs użytkownika tworzenia zasad dostępu warunkowego z Azure Portal, interfejs różni się od przepływu pracy tworzenia zasad, który może być znany.

3. Wprowadź nazwę zasad.

4. W przypadku użytkowników użyj kart Dołączanie i wykluczanie , aby skonfigurować grupy, które otrzymają te zasady.

5. W obszarze Zasoby docelowe ustaw pozycję Wybierz, co te zasady mają zastosowanie do aplikacji wchmurze, a następnie wybierz aplikacje do ochrony. Na przykład wybierz pozycję Wybierz aplikacje, a następnie wybierz pozycję Wybierz, wyszukaj i wybierz pozycję Office 365 SharePoint Online i Office 365 Exchange Online.

6. W obszarze Warunki wybierz pozycję Aplikacje klienckie , a następnie ustaw pozycję Konfiguruj na wartość Tak. Następnie zaznacz pola wyboru dla aplikacji przeglądarki i aplikacji mobilnych oraz klientów klasycznych. Następnie wybierz pozycję Gotowe , aby zapisać konfigurację aplikacji klienckiej.

7. W obszarze Grant skonfiguruj te zasady tak, aby były stosowane na podstawie reguł zgodności urządzeń. Przykład:

   1. Wybierz pozycję Udziel dostępu.
   2. Zaznacz pole wyboru Wymagaj, aby urządzenie było oznaczone jako zgodne.
   3. Wybierz pozycję Wymagaj wszystkich wybranych kontrolek. Wybierz pozycję Wybierz , aby zapisać konfigurację udzielania.

8. W obszarze Włącz zasady wybierz pozycję Włączone , a następnie pozycję Utwórz , aby zapisać zmiany.

Zawartość pokrewna

• Konfigurowanie ustawień Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android
• Monitorowanie zgodności pod kątem poziomów ryzyka

Dowiedz się więcej z dokumentacji Intune:

• Rozwiązywanie problemów na urządzeniach przy użyciu zadań zabezpieczeń za pomocą usługi Defender for Endpoints Vulnerability Management
• Wprowadzenie do zasad zgodności urządzeń
• Przegląd zasad ochrony aplikacji

Dowiedz się więcej z dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender:

• Ochrona punktu końcowego w usłudze Microsoft Defender dostępu warunkowego
• pulpit nawigacyjny Ochrona punktu końcowego w usłudze Microsoft Defender ryzyka