使用 Microsoft Defender for Endpoint 强制设备符合Microsoft Intune
可以将 Microsoft Defender for Endpoint 和 Microsoft Intune 集成为移动威胁防御解决方案。 集成可让你免受安全漏洞的威胁,并帮助限制组织中的漏洞影响。
有关支持的操作系统和版本的列表,请参阅Microsoft Defender for Endpoint要求。
若要成功,请在 Intune 中配置Microsoft Defender for Endpoint中详细介绍以下配置:
在 Intune 和 Microsoft Defender for Endpoint 之间创建一个服务到服务的连接。 通过这个连接,Microsoft Defender for Endpoint 可以从使用 Intune 管理的受支持设备收集有关计算机风险的数据。 请参阅将Microsoft Defender for Endpoint连接到Intune。
使用Intune策略加入具有Microsoft Defender for Endpoint的设备。 载入设备将其配置为与 Microsoft Defender for Endpoint 进行通信,并提供有助于评估其风险级别的数据。 请参阅 载入设备。
使用设备合规性策略设置要允许的风险级别。 由 Microsoft Defender for Endpoint 报告风险级别。 将超出允许风险级别的设备识别为不合规。 请参阅创建和分配符合性策略以设置设备风险级别和创建和分配应用保护策略以设置设备风险级别。
“使用条件访问策略”阻止用户从不合规的设备访问公司资源。 请参阅 创建条件访问策略。
将 Intune 与 Microsoft Defender for Endpoint 集成时,可以充分利用 Microsoft Defender for Endpoint 威胁和漏洞管理 (TVM) 并使用 Intune 修正由 TVM 标识的终结点漏洞。
将 Microsoft Defender for Endpoint 和 Intune 结合使用的示例
下面的示例有助于解释这些解决方案如何协同工作以帮助保组织。 在本例中,Microsoft Defender for Endpoint 和 Intune 已经集成在一起了。
有人向组织内的用户发送包含嵌入式恶意代码的 Word 附件。
- 在用户打开附件时,将启用内容。
- 提升的权限攻击随即启动,且来自远程计算机的攻击者对受害者的设备具有管理权限。
- 然后,攻击者会远程访问用户的其他设备。 此安全漏洞可能会影响整个组织。
Microsoft Defender for Endpoint 可以帮助解决类似这种情况的安全事件。
- 在本例中,Microsoft Defender for Endpoint 检测设备是否存在以下情形:执行了异常代码、遇到了进程权限提升、插入了恶意代码,以及发布了可疑的远程 Shell。
- 基于该设备的这些操作,Microsoft Defender for Endpoint 将该设备分类为高风险,并在 Microsoft Defender 安全中心门户中包含可疑活动的详细报告。
可以将 Microsoft Defender for Endpoint 和 Microsoft Intune 集成为移动威胁防御解决方案。 集成可让你免受安全漏洞的威胁,并帮助限制组织中的漏洞影响。
因为你有 Intune 设备合规性策略来对具有“中等”或“高”风险级别的设备分类为不合规,所以受危害的设备被分类为不合规。 这种分类允许条件访问策略介入并阻止从该设备访问公司资源。
对于运行 Android 的设备,你可以使用 Intune 策略修改 Android 上 Microsoft Defender for Endpoint 的配置。 有关详细信息,请参阅 Microsoft Defender for Endpoint Web 保护。
先决条件
订阅:
若要将 Microsoft Defender for Endpoint 与 Intune 结合使用,请确保具有以下订阅:
Microsoft Defender for Endpoint - 此订阅提供对 Microsoft Defender 安全中心的访问权限。
有关 Defender for Endpoint 许可证的选项,请参阅 Microsoft Defender for Endpoint 的最低要求和如何设置 Microsoft 365 E5 试用订阅中的“许可要求”。
Microsoft Intune - Microsoft Intune计划 1 订阅提供对Intune和Microsoft Intune管理中心的访问权限。
有关 Intune 许可选项,请参阅 Microsoft Intune 许可。
Intune 托管的设备:
具有 Microsoft Defender for Endpoint 的 Intune 支持以下平台:
- Android
- iOS/iPadOS
- Windows 10/11 (Microsoft Entra 混合联接或已加入Microsoft Entra)
有关Microsoft Defender for Endpoint的系统要求,请参阅Microsoft Defender for Endpoint的最低要求。
后续步骤
- 若要将 Microsoft Defender for Endpoint 连接到 Intune、载入设备并配置条件访问策略,请参阅在 Intune 中配置 Microsoft Defender for Endpoint。
有关详细信息,请参阅 Intune 文档:
从 Microsoft Defender for Endpoint 文档中了解详细信息: