Freigeben über

Integrieren von Microsoft Defender for Endpoint in Intune und Integrieren von Geräten

  • Artikel

Verwenden Sie die Informationen und Verfahren in diesem Artikel, um Microsoft Defender for Endpoint mit Intune zu verbinden und dann Geräte für Defender für Endpunkt zu integrieren und zu konfigurieren. Die Informationen in diesem Artikel umfassen die folgenden allgemeinen Schritte:

  • Richten Sie eine Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender für Endpunkt ein. Diese Verbindung ermöglicht Intune die Interaktion mit Microsoft Defender auf Geräten, einschließlich Installation (Onboarding) und Konfiguration des Defender für Endpunkt-Clients und Integration von Computerrisikobewertungen von unterstützten Geräten, die Sie mit Intune verwalten. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von Microsoft Defender for Endpoint mit Intune.
  • Integrieren von Geräten in Defender für Endpunkt Sie führen das Onboarding von Geräten durch, um sie für die Kommunikation mit Microsoft Defender für Endpunkt zu konfigurieren und Daten bereitzustellen, mit deren Hilfe Sie ihre Risikostufe bewerten können. Für jede Plattform gelten separate Anforderungen für das Onboarding in Defender.
  • Verwenden Sie Intune Gerätekonformitätsrichtlinien, um die Risikostufe festzulegen, die Sie zulassen möchten. Microsoft Defender for Endpoint berichte über die Risikostufe von Geräten. Geräte, die die zulässige Risikostufe überschreiten, werden als nicht konform eingestuft.
  • Verwenden Sie die Richtlinie für bedingten Zugriff , um zu verhindern, dass Benutzer auf Unternehmensressourcen zugreifen, während sie ein Gerät verwenden, das als nicht konform identifiziert wird.
  • Verwenden SieApp-Schutzrichtlinien für Android und iOS/iPadOS, um Geräterisikostufen festzulegen. App-Schutz Richtlinien funktionieren sowohl für registrierte als auch für nicht registrierte Geräte.

Zusätzlich zur Verwaltung von Einstellungen für Microsoft Defender for Endpoint auf Geräten, die sich bei Intune registrieren, können Sie Defender für Endpunkt-Sicherheitskonfigurationen auf Geräten verwalten, die nicht bei Intune registriert sind. Dieses Szenario wird als Sicherheitsverwaltung für Microsoft Defender für Endpunkt bezeichnet und erfordert die Konfiguration der Umschaltfläche Zulassen, dass Microsoft Defender für Endpunkt die Endpunkt-Sicherheitskonfigurationen erzwingt auf Ein. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltung.

Wichtig

Die Verwaltung von Android-Geräteadministratoren ist veraltet und für Geräte mit Zugriff auf Google Mobile Services (GMS) nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, wird empfohlen, zu einer anderen Android-Verwaltungsoption zu wechseln. Support- und Hilfedokumentationen bleiben für einige Geräte ohne GMS verfügbar, auf denen Android 15 und früher ausgeführt wird. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Verbinden von Microsoft Defender for Endpoint mit Intune

Bevor Intune und Defender für Endpunkt zusammenarbeiten können, müssen Sie die Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender for Endpoint einrichten. Dies ist eine einmalige Aktion pro Mandant. Setup erfordert Administratorzugriff sowohl auf das Microsoft Defender Security Center als auch auf das Microsoft Intune Admin Center.

Aktivieren der integration von Intune und Microsoft Defender for Endpoint

  1. Öffnen Sie das Microsoft Defender for Endpoint-Portal unter security.microsoft.com. Das Intune Admin Center enthält auch einen Link zum Defender für Endpunkt-Portal.

    1. Melden Sie sich beim Microsoft Intune Admin Center an.

    2. Wählen Sie Endpunktsicherheit>aus Microsoft Defender for Endpoint und überprüfen Sie die verbindungs-status oben auf der Seite. Wenn aktiviert ist, sind Defender und Intune bereits verbunden, und Sie können mit Schritt 2 fortfahren.

      Wenn die status Nicht verfügbar ist, fahren Sie hier fort.

    3. Scrollen Sie nach unten zum unteren Rand der seite Microsoft Defender for Endpoint, und wählen Sie den Link Microsoft Defender Security Center öffnen aus, um die Microsoft Defender für das Portal zu öffnen, und fahren Sie mit dem nächsten nummerierten Schritt fort.

    Tipp

    Wenn die Verbindung bereits aktiv ist, lautet der Link zum Öffnen des Defender-Portals: Öffnen Sie die Microsoft Defender for Endpoint Verwaltungskonsole.

    Screenshot mit dem Patch zum Öffnen von Microsoft Defender Security Center.

  2. In Microsoft Defender Portal:

    1. Scrollen Sie im linken Bereich nach unten, und wählen Sie Einstellungen>Endpunkte>Erweiterte Features aus.

    2. Scrollen Sie im Bereich erweiterte Features nach unten, um den Eintrag für Microsoft Intune Verbindung zu suchen, und legen Sie die Umschaltfläche auf Ein fest.

      Screenshot der Microsoft Intune-Verbindungseinstellung.

    3. Wählen Sie Einstellungen speichern aus, um die Verbindung zwischen Intune und Defender für Endpunkt abzuschließen.

    Hinweis

    Sobald die Verbindung hergestellt wurde, wird erwartet, dass die Dienste mindestens einmal alle 24 Stunden synchronisiert werden. Die Anzahl der Tage ohne Synchronisierung, bis die Verbindung als nicht reagiert, kann im Microsoft Intune Admin Center konfiguriert werden. Wählen Sie Endpunktsicherheit>Microsoft Defender für Endpunkt>Anzahl von Tagen, bis Partner als nicht reaktionsfähig gilt aus.

  3. Kehren Sie zur Seite Microsoft Defender for Endpoint im Microsoft Intune Admin Center zurück, auf der Sie Aspekte der Integration von Defender für Endpunkt konfigurieren. Die verbindungs-status sollte jetzt Aktiviert anzeigen.

    Überprüfen Sie auf dieser Seite jede Kategorie und die verfügbaren Konfigurationen für Plattformunterstützung und plattformspezifische Optionen, die Sie verwenden möchten, und legen Sie diese Umschaltflächen auf Ein fest. Sie können später zurückkehren, um eine dieser Optionen zu aktivieren oder zu deaktivieren.

    Um die folgenden Integrationen von Microsoft Defender for Endpoint einzurichten, muss Ihrem Konto eine Intune Rolle der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zugewiesen werden, die Lesen und Ändern für die Mobile Threat Defense-Berechtigung in Intune enthält. Die integrierte Administratorrolle von Endpoint Security Manager für Intune enthält diese Berechtigungen.

    Auswertung der Konformitätsrichtlinie : Um Defender für Endpunkt mit Konformitätsrichtlinien zu verwenden, konfigurieren Sie unter Auswertung der Konformitätsrichtlinie für die von Ihnen unterstützten Plattformen Folgendes:

    • Legen Sie Connect Android devices (Android-Geräte verbinden) für Microsoft Defender für Endpunkt auf Ein fest
    • Legen Sie iOS-/iPadOS-Geräte verbinden auf Microsoft Defender for Endpoint auf Ein fest.
    • Legen Sie Connect Windows devices (Windows-Geräte verbinden) für Microsoft Defender für Endpunkt auf Ein fest.

    Bei Aktivierung dieser Konfigurationen werden anwendbare Geräte, die Sie mit Intune verwalten, und Geräte, die Sie zukünftig registrieren, zu Konformitätszwecken mit Microsoft Defender für Endpunkt verbunden.

    Für iOS-Geräte unterstützt Defender für Endpunkt auch die folgenden Einstellungen, die die Sicherheitsrisikobewertung von Apps auf Microsoft Defender for Endpoint für iOS bereitstellen. Weitere Informationen zur Verwendung der folgenden beiden Einstellungen finden Sie unter Konfigurieren der Sicherheitsrisikobewertung von Apps.

    • Aktivieren der App-Synchronisierung für iOS-Geräte: Legen Sie diese Einstellung auf Ein fest, damit Defender für Endpunkt Metadaten von iOS-Anwendungen von Intune anfordern kann, die für Bedrohungsanalysezwecke verwendet werden sollen. Das iOS-Gerät muss MDM-registriert sein und aktualisierte App-Daten während des Eincheckens des Geräts bereitstellen.

    • Senden vollständiger Anwendungsinventurdaten auf persönlichen iOS-/iPadOS-Geräten: Diese Einstellung steuert die Anwendungsinventurdaten, die Intune mit Defender für Endpunkt freigeben, wenn Defender für Endpunkt App-Daten synchronisiert und die App-Bestandsliste anfordert.

      Wenn diese Einstellung auf Ein festgelegt ist, kann Defender für Endpunkt eine Liste von Anwendungen von Intune für persönliche iOS-/iPadOS-Geräte anfordern. Diese Liste enthält nicht verwaltete Apps und Apps, die über Intune bereitgestellt wurden.

      Wenn die Option auf Aus festgelegt ist, werden keine Daten zu nicht verwalteten Apps bereitgestellt. Intune gibt Daten zu den Apps weiter, die über Intune bereitgestellt wurden.

    Weitere Informationen finden Sie unter Mobile Threat Defense-Umschaltoptionen.

    App-Schutz Richtlinienauswertung: Konfigurieren Sie die folgenden Optionen für die Verwendung von Defender für Endpunkt mit Intune App-Schutzrichtlinien für Android und iOS/iPadOS. Konfigurieren Sie unter App-Schutz Richtlinienauswertung für die von Ihnen verwendeten Plattformen Folgendes:

    • Legen Sie Android-Geräte verbinden auf Microsoft Defender für Endpunkt auf Ein fest.
    • Legen Sie Connect iOS/iPadOS devices (iOS-/iPadOS-Geräte verbinden) auf Microsoft Defender for Endpoint on (Ein) fest.

    Weitere Informationen finden Sie unter Mobile Threat Defense-Umschaltoptionen.

  4. Klicken Sie auf Speichern.

Tipp

Ab august 2023 Intune Service Release (2308) werden klassische Richtlinien für bedingten Zugriff (Ca) nicht mehr für den Microsoft Defender for Endpoint Connector erstellt. Wenn Ihr Mandant über eine klassische Zertifizierungsstellenrichtlinie verfügt, die zuvor für die Integration mit Microsoft Defender for Endpoint erstellt wurde, kann sie gelöscht werden. Um klassische Richtlinien für bedingten Zugriff anzuzeigen, wechseln Sie in Azure zu Microsoft Entra ID> KlassischeRichtlinienfür bedingten Zugriff>.

Onboarding von Geräten

Nachdem Sie die Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender for Endpoint hergestellt haben, verwenden Sie Intune, um Ihre verwalteten Geräte in Microsoft Defender for Endpoint zu integrieren. Das Onboarding umfasst die Registrierung von Geräten im Defender für Endpunkt-Dienst, um sicherzustellen, dass sie geschützt und auf Sicherheitsbedrohungen überwacht werden und die Erfassung von Daten zu Geräterisikostufen ermöglicht.

Achten Sie beim Onboarding von Geräten darauf, die neueste Version von Microsoft Defender for Endpoint für jede Plattform zu verwenden.

Der Prozess zum Onboarding von Geräten in Defender für Endpunkt variiert je nach Plattform.

Onboarding von Windows-Geräten

Nachdem eine Verbindung zwischen Intune und Defender hergestellt wurde, erhält Intune automatisch ein Onboardingkonfigurationspaket von Defender, das von Intune zum Onboarding von Windows-Geräten verwendet werden kann. Dieses Paket wird von Intune EDR-Richtlinie verwendet, um Geräte für die Kommunikation mit Microsoft Defender for Endpoint Diensten zu konfigurieren und Dateien zu überprüfen und Bedrohungen zu erkennen. Die integrierten Geräte melden auch ihre Risikostufe an Microsoft Defender for Endpoint basierend auf Ihren Konformitätsrichtlinien.

Das Onboarding eines Geräts mit dem Konfigurationspaket ist eine einmalige Aktion.

Um das Onboardingpaket für Windows-Geräte bereitzustellen, können Sie eine vorkonfigurierte EDR-Richtlinienoption verwenden, die in der Gruppe Alle Geräte bereitgestellt wird, um alle anwendbaren Windows-Geräte zu integrieren, oder Sie können die EDR-Richtlinie manuell erstellen, um präzisere Bereitstellungen zu ermöglichen, sodass Sie einige zusätzliche Schritte ausführen müssen.

Verwenden der vorkonfigurierten Richtlinie

Mit diesem Pfad geben Sie einen Namen für die Onboardingrichtlinie an und wählen sowohl die Plattform als auch das Profil aus. Andere Einstellungen sind vorausgewählt und umfassen die Verwendung des Onboardingpakets ohne zusätzliche Einstellungen, die Verwendung des Standardbereichstags und die Zuweisung zur Gruppe Alle Geräte . Sie können diese Optionen während der Richtlinienerstellung nicht ändern, können aber später zurückkehren, um die Richtliniendetails zu bearbeiten.

  1. Öffnen Sie das Microsoft Intune Admin Center, wechseln Sie zu Endpunktsicherheit>Endpunkterkennung und -antwort>, und wählen Sie die Registerkarte EDR-Onboardingstatus aus.

  2. Wählen Sie auf dieser Registerkarte die Option Vorkonfigurierte Richtlinie bereitstellen aus.

    Screenshot, der den Pfad zur vorkonfigurierten Richtlinienoption anzeigt.

  3. Wählen Sie unter Plattform die Option Windows für Geräte aus, die direkt von Intune verwaltet werden, oder Windows (ConfigMgr) für Geräte, die über das Mandantenanfügungsszenario verwaltet werden. Wählen Sie unter Profil die Option Endpunkterkennung und -antwort aus.

  4. Geben Sie einen Namen für die Richtlinie an.

  5. Auf der Seite Überprüfen und Erstellen können Sie diese Richtlinienkonfiguration überprüfen. Wenn Sie bereit sind, wählen Sie Speichern aus, um diese Richtlinie zu speichern, die sofort mit der Bereitstellung in der Gruppe Alle Geräte beginnt.

Erstellen Sie Ihre eigene EDR-Richtlinie:

Mit diesem Pfad können Sie alle Aspekte der anfänglichen Onboardingrichtlinie definieren, bevor sie mit der Bereitstellung auf Geräten beginnt.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Endpunkterkennung und -antwort> aus, und wählen Sie auf der Registerkarte Zusammenfassung die Option Richtlinie erstellen aus.

  3. Wählen Sie für Plattformdie Option Windows, für Profil die Option Endpunkterkennung und -antwort aus, und wählen Sie dann Erstellen aus.

  4. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung (optional) für das Profil ein, und wählen Sie dann Weiter aus.

  5. Konfigurieren Sie auf der Seite Konfigurationseinstellungen die folgenden Optionen je nach Ihren Anforderungen:

    • Microsoft Defender for Endpoint Clientkonfigurationspakettyp: Wählen Sie Auto from connector aus. Bei dieser Option verwendet die Onboardingrichtlinie automatisch das Onboardingblob, das von Microsoft Defender empfangen Intune. Wenn Sie das Onboarding in eine andere oder nicht verbundene Defender für Endpunkt-Bereitstellung durchführen, wählen Sie Onboarding aus, und fügen Sie den Text aus der Blobdatei WindowsDefenderATP.onboarding in das Feld Onboarding (Gerät) ein.

    • Beispielfreigabe: Gibt den konfigurationsparameter Microsoft Defender for Endpoint Sample Sharing zurück oder legt diese fest.

    • [Veraltet] Telemetrieberichtshäufigkeit: Diese Einstellung ist veraltet und gilt nicht mehr für neue Geräte. Die Einstellung bleibt auf der Benutzeroberfläche der Richtlinie sichtbar, um die Sichtbarkeit für ältere Richtlinien zu ermöglichen, für die diese Einstellung konfiguriert wurde.

    Screenshot der Konfigurationsoptionen für Endpunkterkennung und -reaktion.

    Hinweis

    Der obige Screenshot zeigt Ihre Konfigurationsoptionen, nachdem Sie eine Verbindung zwischen Intune und Microsoft Defender für Endpunkt konfiguriert haben. Wenn eine Verbindung hergestellt ist, werden die Details für das Onboarding und das Offboarding von Blobs automatisch generiert und an Intune übertragen.

    Wenn Sie diese Verbindung nicht erfolgreich konfiguriert haben, enthält die Einstellung Microsoft Defender for Endpoint Clientkonfigurationspakettyp nur Optionen zum Angeben von Onboard- und Offboard-Blobs.

  6. Wählen Sie Weiter aus, um die Seite Bereichstags zu öffnen. Bereichstags sind optional. Wählen Sie Weiter aus, um fortzufahren.

  7. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wenn Sie die Bereitstellung in Benutzergruppen durchführen, muss sich ein Benutzer auf einem Gerät anmelden, bevor die Richtlinie angewendet wird und das Gerät das Onboarding in Defender für Endpunkt durchführen kann.

    Wählen Sie Weiter aus, um fortzufahren.

  8. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + Erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

    Tipp

    Wenn Sie mehrere Richtlinien oder Richtlinientypen wie Gerätekonfigurationsrichtlinie und Endpunkterkennungs- und -antwortrichtlinie verwenden, um die gleichen Geräteeinstellungen zu verwalten, können Sie Richtlinienkonflikte für Geräte erstellen. Weitere Informationen über Konflikte finden Sie unter Verwalten von Konflikten im Artikel Verwalten von Sicherheitsrichtlinien.

Onboarding von macOS-Geräten

Nachdem Sie die Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender für Endpunkt eingerichtet haben, können Sie macOS-Geräte per Onboarding in Microsoft Defender für Endpunkt integrieren. Beim Onboarding werden Geräte für die Kommunikation mit Microsoft Defender für Endpunkt konfiguriert, womit dann Daten zur Risikostufe von Geräten erfasst werden.

Intune unterstützt kein automatisches Onboardingpaket für macOS wie für Windows-Geräte. Eine Anleitung für die Konfiguration von Intune finden Sie unter Microsoft Defender für Endpunkt für macOS.

Weitere Informationen zu Microsoft Defender for Endpoint für Mac, einschließlich der Neuerungen in der neuesten Version, finden Sie unter Microsoft Defender for Endpoint für Mac in der Microsoft 365-Sicherheitsdokumentation.

Durchführen des Onboardings für Android-Geräte

Nachdem Sie die Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender für Endpunkt eingerichtet haben, können Sie Android-Geräte per Onboarding in Microsoft Defender für Endpunkt integrieren.

Intune unterstützt kein automatisches Onboardingpaket für Android wie für Windows-Geräte. Konfigurationsanleitungen für Intune finden Sie unter Übersicht über Microsoft Defender for Endpoint für Android in der Microsoft Defender for Endpoint-Dokumentation für die Voraussetzungen und Onboardinganweisungen für Android.

Bei Android-Geräten können Sie auch eine Intune-Richtlinie verwenden, um Microsoft Defender für Endpunkt unter Android zu ändern. Weitere Informationen finden Sie unter Webschutz in Microsoft Defender für Endpunkt.

Onboarding von iOS-/iPadOS-Geräten

Nachdem Sie die Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender für Endpunkt eingerichtet haben, können Sie iOS-/iPadOS-Geräte per Onboarding in Microsoft Defender für Endpunkt integrieren.

Intune unterstützt kein automatisches Onboardingpaket für iOS/iPadOS wie für Windows-Geräte. Konfigurationsanleitungen für Intune finden Sie unter Übersicht über Microsoft Defender for Endpoint für iOS in der Microsoft Defender for Endpoint-Dokumentation für Voraussetzungen und Onboardinganweisungen für iOS/iPadOS.

Für Geräte, die iOS/iPadOS (im überwachten Modus) ausführen, gibt es aufgrund der erweiterten Verwaltungsfunktionen der Plattform auf diesen Gerätetypen spezielle Möglichkeiten. Um diese Funktionen nutzen zu können, muss die Defender-App wissen, ob sich ein Gerät im überwachten Modus befindet. Weitere Informationen finden Sie unter Abschließen der Bereitstellung für überwachte Geräte.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Apps>App-Konfigurationsrichtlinien>+ Hinzufügen und dann in der DropdownlisteVerwaltete Geräte aus.

  3. Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung (optional) für das Profil ein, wählen Sie unter Plattform die Option iOS/iPadOS auf, und klicken Sie dann auf Weiter.

  4. Wählen Sie unter Ziel-App die Option Microsoft Defender for iOS (Microsoft Defender für iOS) aus.

  5. Legen Sie issupervised auf der Seite Einstellungen als Konfigurationsschlüssel und dann den WerttypZeichenfolge mit {{issupervised}} als Konfigurationswert fest.

  6. Wählen Sie Weiter aus, um die Seite Bereichstags zu öffnen. Bereichstags sind optional. Wählen Sie Weiter aus, um fortzufahren.

  7. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Für dieses Szenario besteht die bewährte Methode darin, Alle Geräte als Ziel zu verwenden. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wenn Sie eine Richtlinie für Benutzergruppen bereitstellen, muss sich ein Benutzer auf einem Gerät anmelden, bevor die Richtlinie angewendet wird.

    Wählen Sie Weiter aus.

  8. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste der Konfigurationsprofile angezeigt.

Anzeigen der Anzahl von Geräten, die in Microsoft Defender for Endpoint integriert sind

Sie können einen Bericht zum Onboarding von Geräten status im Intune Admin Center anzeigen, indem Sie zu Endpunktsicherheit>Endpunkterkennung und -antwort> wechseln und die Registerkarte EDR-Onboardingstatus auswählen.

Um diese Informationen anzuzeigen, muss Ihrem Konto eine Intune Rolle zugewiesen werden, die Lesen für die Microsoft Defender Advanced Threat Protection-Berechtigung enthält.

Erstellen und Zuweisen von Konformitätsrichtlinien zum Festlegen der Risikostufe für Geräte

Für Android-, iOS-/iPadOS- und Windows-Geräte bestimmt die Konformitätsrichtlinie die Risikostufe, die Sie für ein Gerät als akzeptabel einstufen.

Wenn Sie mit dem Erstellen von Konformitätsrichtlinien nicht vertraut sind, lesen Sie den Abschnitt Erstellen der Richtlinie im Artikel Erstellen einer Konformitätsrichtlinie in Microsoft Intune. Die folgenden Informationen beziehen sich speziell auf die Konfiguration von Microsoft Defender für Endpunkt im Rahmen einer Konformitätsrichtlinie.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität> aus. Wählen Sie auf der Registerkarte Richtliniendie Option + Richtlinie erstellen aus.

  3. Verwenden Sie das Dropdownfeld, um eine der folgenden Optionen für Plattform auszuwählen:

    • Android-Geräteadministrator
    • Android für Unternehmen
    • iOS/iPadOS
    • Windows 10 und höher

    Wählen Sie als Nächstes Erstellen aus.

  4. Geben Sie auf der Registerkarte Grundlagen einen Namen an, mit dem Sie diese Richtlinie später identifizieren können. Sie können auch eine Beschreibung angeben.

  5. Erweitern Sie auf der Registerkarte Kompatibilitätseinstellungen die Kategorie Microsoft Defender for Endpoint, und legen Sie die Option Gerät muss sich auf der Computerrisikobewertung oder unter der Computerrisikobewertung befinden auf Ihre bevorzugte Stufe fest.

    Bedrohungsstufenklassifizierungen werden von Microsoft Defender für Endpunkt bestimmt.

    • Löschen: Diese Stufe ist die sicherste Einstellung. Solange auf einem Gerät Bedrohungen vorhanden sind, ist kein Zugriff auf Unternehmensressourcen möglich. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet. (Microsoft Defender für Endpunkt verwendet den Wert Sicher.)
    • Niedrig: Das Gerät ist konform, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Geräte mit mittleren oder hohen Bedrohungsstufen sind nicht konform.
    • Mittel: Das Gerät ist konform, wenn auf dem Gerät Bedrohungen niedriger oder mittlerer Stufe gefunden werden. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
    • Hoch: Dies ist die unsicherste Stufe, die alle Bedrohungsstufen zulässt. Geräte mit hohen, mittleren oder niedrigen Bedrohungsstufen werden als konform angesehen.

  6. Vervollständigen Sie die Konfiguration der Richtlinie einschließlich der Zuweisung der Richtlinie zu den entsprechenden Gruppen.

Erstellen und Zuweisen von App-Schutzrichtlinien zum Festlegen der Risikostufe für Geräte

Verwenden Sie die Prozedur, um eine iOS-/iPadOS- oder Android-App-Schutzrichtlinie zu erstellen, und verwenden Sie die folgenden Informationen auf den Seiten Apps, Bedingter Start und Zuweisungen:

  • Apps: Wählen Sie die Apps aus, für welche die App-Schutzrichtlinien gelten sollen. Für diese Featuregruppe werden diese Apps blockiert oder basierend auf der Geräterisikobewertung des Mobile Threat Defense-Anbieters selektiv zurückgesetzt.

  • Bedingter Start: Verwenden Sie unter Gerätebedingungen das Dropdownfeld, um maximal zulässige Gerätebedrohungsstufe auszuwählen.

    Optionen für den Wert der Bedrohungsstufe:

    • Geschützt: Diese Stufe ist die sicherste Einstellung. Solange auf einem Gerät Bedrohungen vorhanden sind, ist kein Zugriff auf Unternehmensressourcen möglich. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
    • Niedrig: Das Gerät ist kompatibel, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.
    • Mittel: Das Gerät ist kompatibel, wenn die auf dem Gerät gefundenen Bedrohungen niedriger oder mittlerer Stufe sind. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.
    • Hoch: Diese Stufe bietet die geringste Sicherheit. Es werden alle Bedrohungsstufen zugelassen, und Mobile Threat Defense wird nur zu Berichtszwecken verwendet. Auf Geräten muss mit dieser Einstellung die MTD-App aktiviert sein.

    Optionen für Aktion:

    • Zugriff blockieren
    • Daten löschen

  • Zuweisungen: Weisen Sie die Richtlinie Benutzergruppen zu. Die von den Gruppenmitgliedern verwendeten Geräte werden für den Zugriff auf Unternehmensdaten in Ziel-Apps über den Intune-App-Schutz ausgewertet.

Wichtig

Wenn Sie eine App-Schutzrichtlinie für eine beliebige geschützte App erstellen, wird die Bedrohungsstufe des Geräts bewertet. Abhängig von der Konfiguration werden Geräte, die keiner akzeptablen Ebene entsprechen, entweder blockiert oder selektiv über den bedingten Start zurückgesetzt. Wenn sie blockiert werden, werden sie so lange daran gehindert, auf Unternehmensressourcen zuzugreifen, bis die Bedrohung auf dem Gerät aufgelöst und vom ausgewählten MTD-Anbieter an Intune gemeldet wird.

Erstellen einer Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff können Daten aus Microsoft Defender for Endpoint verwenden, um den Zugriff auf Ressourcen für Geräte zu blockieren, die die von Ihnen festgelegte Bedrohungsstufe überschreiten. Sie können den Zugriff des Geräts auf Unternehmensressourcen wie SharePoint oder Exchange Online blockieren.

Tipp

Bedingter Zugriff ist eine Microsoft Entra Technologie. Der Knoten für bedingten Zugriff im Microsoft Intune Admin Center ist der Knoten aus Microsoft Entra.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus. Da Intune die Benutzeroberfläche für die Richtlinienerstellung für bedingten Zugriff aus dem Azure-Portal darstellt, unterscheidet sich die Schnittstelle von dem Workflow zur Richtlinienerstellung, mit dem Sie möglicherweise vertraut sind.

  3. Geben Sie einen Richtliniennamen ein.

  4. Verwenden Sie für Benutzer die Registerkarten Einschließen und Ausschließen , um Gruppen zu konfigurieren, die diese Richtlinie erhalten sollen.

  5. Legen Sie für Zielressourcen auswählen fest, wofür diese Richtlinie fürCloud-Apps gilt, und wählen Sie dann die zu schützenden Apps aus. Wählen Sie z. B. Apps auswählen und dann für Auswählen nach Office 365 SharePoint Online und Office 365 Exchange Online aus.

  6. Wählen Sie unter Bedingungendie Option Client-Apps aus, und legen Sie dann Konfigurieren auf Ja fest. Aktivieren Sie als Nächstes die Kontrollkästchen für Browser - und mobile Apps und Desktopclients. Wählen Sie dann Fertig aus, um die Client-App-Konfiguration zu speichern.

  7. Konfigurieren Sie für Grant diese Richtlinie so, dass sie basierend auf Gerätekonformitätsregeln angewendet wird. Zum Beispiel:

    1. Wählen Sie Zugriff gewähren aus.
    2. Aktivieren Sie das Kontrollkästchen Gerät muss als konform gekennzeichnet werden.
    3. Wählen Sie Alle ausgewählten Steuerelemente erforderlich aus. Wählen Sie Auswählen aus, um die Konfiguration der Gewährung zu speichern.

  8. Wählen Sie unter Richtlinie aktivieren die Option Ein und dann Erstellen aus, um Ihre Änderungen zu speichern.

Verwandte Inhalte

In der Intune-Dokumentation erhalten Sie weitere Informationen:

Weitere Informationen finden Sie in der Dokumentation zu Microsoft Defender für Endpunkt: