Condividi tramite


Configurare l'accesso condizionale in Microsoft Defender per endpoint

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questa sezione illustra tutti i passaggi necessari per implementare correttamente l'accesso condizionale.

Prima di iniziare

Avviso

È importante notare che Microsoft Entra dispositivi registrati non sono supportati in questo scenario. Sono supportati solo Intune dispositivi registrati.

È necessario assicurarsi che tutti i dispositivi siano registrati in Intune. È possibile usare una delle opzioni seguenti per registrare i dispositivi in Intune:

È necessario eseguire alcuni passaggi nel portale di Microsoft Defender, nel portale di Intune e nella Interfaccia di amministrazione di Microsoft Entra.

È importante prendere nota dei ruoli necessari per accedere a questi portali e implementare l'accesso condizionale:

  • Microsoft Defender portale: è necessario accedere al portale con un ruolo appropriato per attivare l'integrazione. Vedere Opzioni di autorizzazione.
  • Intune: è necessario accedere al portale con diritti di amministratore della sicurezza con autorizzazioni di gestione.
  • Interfaccia di amministrazione di Microsoft Entra: è necessario accedere come amministratore della sicurezza o dell'accesso condizionale.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

È necessario un ambiente Microsoft Intune, con Intune dispositivi gestiti e Microsoft Entra aggiunti Windows 10 e Windows 11.

Seguire questa procedura per abilitare l'accesso condizionale:

  • Passaggio 1: Attivare la connessione Microsoft Intune da Microsoft Defender XDR
  • Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune
  • Passaggio 3: Creare i criteri di conformità in Intune
  • Passaggio 4: Assegnare i criteri
  • Passaggio 5: Creare un criterio di accesso condizionale Microsoft Entra

Passaggio 1: Attivare la connessione Microsoft Intune

  1. Nel riquadro di spostamento selezionare Impostazioni Endpoint>>Funzionalità>avanzate generali>Microsoft Intune connessione.

  2. Attivare o disattivare l'impostazione Microsoft Intune su .

  3. Fare clic su Salva preferenze.

Passaggio 2: Attivare l'integrazione di Defender per endpoint in Intune

  1. Accedere al portale di Intune

  2. Selezionare Endpoint Security>Microsoft Defender per endpoint.

  3. Impostare Connect Windows 10.0.15063+ devices (Connetti Windows 10.0.15063+ dispositivi) su Microsoft Defender Advanced Threat Protection su .

  4. Fare clic su Salva.

Passaggio 3: Creare i criteri di conformità in Intune

  1. Nel portale di Azure selezionare Tutti i servizi, filtrare in base a Intune e selezionare Microsoft Intune.

  2. Selezionare Criteri di conformità>del> dispositivoCrea criterio.

  3. Immettere un nome e una descrizione.

  4. In Piattaforma selezionare Windows 10 e versioni successive.

  5. Nelle impostazioni Integrità dispositivo impostare Richiedi che il dispositivo sia al livello di minaccia del dispositivo o sotto il livello di minaccia del dispositivo sul livello preferito:

    • Protetto: questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Se viene rilevata qualsiasi minaccia, il dispositivo viene valutato come non conforme.
    • Basso: il dispositivo è conforme se esistono solo minacce di basso livello. I dispositivi con livelli di minaccia medio o elevato non sono conformi.
    • Medio: il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato non conforme.
    • Alto: questo livello è il meno sicuro e consente tutti i livelli di minaccia. Pertanto, i dispositivi con livelli di minaccia elevati, medi o bassi sono considerati conformi.
  6. Selezionare OK e Crea per salvare le modifiche e creare i criteri.

Passaggio 4: Assegnare i criteri

  1. Nel portale di Azure selezionare Tutti i servizi, filtrare in base a Intune e selezionare Microsoft Intune.

  2. Selezionare Criteri di conformità>del> dispositivo selezionare i criteri di conformità Microsoft Defender per endpoint.

  3. Selezionare Attività.

  4. Includere o escludere i gruppi di Microsoft Entra per assegnare i criteri.

  5. Per distribuire i criteri ai gruppi, selezionare Salva. I dispositivi utente di destinazione dei criteri vengono valutati per la conformità.

Passaggio 5: Creare un criterio di accesso condizionale Microsoft Entra

  1. Nel portale di Azure aprire Microsoft Entra ID>Condizione nuovo criterio di accesso> condizionale.

  2. Immettere un nome di criterio e selezionare Utenti e gruppi. Usare le opzioni Includi o Escludi per aggiungere i gruppi per i criteri e selezionare Fine.

  3. Selezionare App cloud e scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e selezionare Office 365 SharePoint Online e Office 365 Exchange Online. Selezionare Fine per salvare le modifiche.

  4. Selezionare Condizioni>App client per applicare i criteri ad app e browser. Ad esempio, selezionare , quindi abilitare Browser e App per dispositivi mobili e client desktop. Selezionare Fine per salvare le modifiche.

  5. Selezionare Concedi per applicare l'accesso condizionale in base alla conformità del dispositivo. Ad esempio, selezionare Concedi accesso>Richiedi che il dispositivo sia contrassegnato come conforme. Scegliere Seleziona per salvare le modifiche.

  6. Selezionare Abilita criterio e quindi Crea per salvare le modifiche.

Nota

È possibile usare l'app Microsoft Defender per endpoint insieme all'app client approvata, ai criteri di protezione delle app e ai controlli Dispositivo conforme (Richiedi che il dispositivo sia contrassegnato come conforme) nei criteri di accesso condizionale Microsoft Entra. Non è necessaria alcuna esclusione per l'app Microsoft Defender per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft Defender per endpoint in Android & iOS (ID app - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) non è un'app approvata, è in grado di segnalare il comportamento di sicurezza del dispositivo in tutte e tre le autorizzazioni di concessione.

Defender richiede tuttavia internamente l'ambito MSGraph/User.read e Intune ambito tunnel (nel caso di scenari Defender+Tunnel). Questi ambiti devono quindi essere esclusi*. Per escludere l'ambito MSGraph/User.read, è possibile escludere qualsiasi app cloud. Per escludere l'ambito del tunnel, è necessario escludere "Microsoft Tunnel Gateway". Queste autorizzazioni ed esclusioni abilitano il flusso per le informazioni di conformità all'accesso condizionale.

L'applicazione di criteri di accesso condizionale a tutte le app cloud potrebbe bloccare inavvertitamente l'accesso degli utenti in alcuni casi, quindi non è consigliabile. Altre informazioni sui criteri di accesso condizionale nelle app cloud

Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.