Dela via

Integrera Microsoft Defender för Endpoint med Intune och registrera enheter

  • Artikel

Använd informationen och procedurerna i den här artikeln för att ansluta Microsoft Defender för Endpoint med Intune och för att sedan publicera och konfigurera enheter för Defender för Endpoint. Informationen i den här artikeln innehåller följande allmänna steg:

  • Upprätta en tjänst-till-tjänst-anslutning mellan Intune och Microsoft Defender för Endpoint. Den här anslutningen gör det möjligt för Intune att interagera med Microsoft Defender på enheter, inklusive installation (registrering) och konfiguration av Defender för Endpoint-klienten och integrering av maskinriskpoäng från enheter som stöds som du hanterar med Intune. Se kraven för att använda Microsoft Defender för Endpoint med Intune.
  • Registrera enheter till Defender för Endpoint. Du registrerar enheter för att konfigurera dem för att kommunicera med Microsoft Defender för Endpoint och för att tillhandahålla data som hjälper till att bedöma deras risknivå. Varje plattform har separata krav för registrering till Defender.
  • Använd Intune principer för enhetsefterlevnad för att ange den risknivå som du vill tillåta. Microsoft Defender för Endpoint rapporter om enheternas risknivå. Enheter som överskrider den tillåtna risknivån identifieras som inkompatibla.
  • Använd principen för villkorsstyrd åtkomst för att blockera användare från att komma åt företagsresurser när de använder en enhet som identifieras som inkompatibel.
  • Användappskyddsprinciper för Android och iOS/iPadOS för att ange risknivåer för enheter. Appskydd principer fungerar med både registrerade och oregistrerade enheter.

Förutom att hantera inställningar för Microsoft Defender för Endpoint på enheter som registreras med Intune kan du hantera Säkerhetskonfigurationer för Defender för Endpoint på enheter som inte har registrerats med Intune. Det här scenariot kallas säkerhetshantering för Microsoft Defender för Endpoint och kräver att du konfigurerar växlingsknappen Tillåt Microsoft Defender för Endpoint för att framtvinga Endpoint Security-konfigurationer till . Mer information finns i Microsoft Defender för Endpoint Säkerhetskonfigurationshantering.

Viktigt

Hantering av Android-enhetsadministratörer är inaktuell och är inte längre tillgängligt för enheter med åtkomst till Google Mobile Services (GMS). Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Hanteringsalternativ för Android. Support- och hjälpdokumentationen är fortfarande tillgänglig för vissa enheter utan GMS, som kör Android 15 och tidigare. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Ansluta Microsoft Defender för Endpoint till Intune

Innan Intune och Defender för Endpoint kan fungera tillsammans måste du konfigurera tjänst-till-tjänst-anslutningen mellan Intune och Microsoft Defender för Endpoint. Det här är en engångsåtgärd per klientorganisation. Installationsprogrammet kräver administrativ åtkomst till både Microsoft Defender Säkerhetscenter och Microsoft Intune administrationscenter.

Aktivera integrering av Intune och Microsoft Defender för Endpoint

  1. Öppna Microsoft Defender för Endpoint-portalen på security.microsoft.com. Intune administrationscenter innehåller också en länk till Defender för Endpoint-portalen.

    1. Logga in på Microsoft Intune administrationscenter.

    2. Välj Slutpunktssäkerhet>Microsoft Defender för Endpoint och granska anslutningsstatus överst på sidan. Om den är Aktiverad är Defender och Intune redan anslutna och du kan gå vidare till steg 2.

      Om statusen är Ej tillgänglig fortsätter du här.

    3. Rulla ned till slutet av sidan Microsoft Defender för Endpoint och välj länken Öppna Microsoft Defender Säkerhetscenter för att öppna Microsoft Defender för portalen och fortsätt med nästa numrerade steg.

    Tips

    Om anslutningen redan är aktiv visas länken för att öppna Defender-portalen: Öppna Microsoft Defender för Endpoint-administratörskonsolen.

    Skärmbild som visar korrigeringen för att öppna Microsoft Defender Säkerhetscenter.

  2. I Microsoft Defender portalen:

    1. Använd det vänstra fönstret för att rulla nedåt och välj Inställningar>Slutpunkter>Avancerade funktioner.

    2. I fönstret Avancerade funktioner rullar du ned för att hitta posten för Microsoft Intune anslutning och ställer in växlingsknappen på På.

      Skärmbild av inställningen för Microsoft Intune-anslutning.

    3. Välj Spara inställningar för att slutföra anslutningen mellan Intune och Defender för Endpoint.

    Obs!

    När anslutningen har upprättats förväntas tjänsterna synkroniseras med varandra minst en gång var 24:e timme. Antalet dagar utan synkronisering tills anslutningen anses sluta svara kan konfigureras i Microsoft Intune administrationscenter. Välj Slutpunktssäkerhet>Microsoft Defender för Endpoint>Antal dagar tills partnern inte svarar

  3. Gå tillbaka till Microsoft Defender för Endpoint sida i Microsoft Intune administrationscenter där du konfigurerar aspekter av Defender för Endpoint-integrering. Anslutningsstatusen bör nu visa Aktiverad.

    På den här sidan granskar du varje kategori och de tillgängliga konfigurationerna för plattformsstöd och plattformar specifika alternativ som du planerar att använda och ställer in dessa växlar på På. Du kan gå tillbaka senare för att aktivera eller inaktivera något av dessa alternativ.

    Om du vill konfigurera följande integreringar av Microsoft Defender för Endpoint måste ditt konto tilldelas en roll för Intune rollbaserad åtkomstkontroll (RBAC) som innehåller läs- och ändringsbehörighet för Mobile Threat Defense i Intune. Den inbyggda administratörsrollen för Endpoint Security Manager för Intune har dessa behörigheter inkluderade.

    Utvärdering av efterlevnadsprincip – Om du vill använda Defender för Endpoint med efterlevnadsprinciper konfigurerar du följande under Utvärdering av efterlevnadsprincip för de plattformar som du stöder:

    • Ange Anslut Android-enheter till Microsoft Defender för Endpoint till På
    • Ange Anslut iOS/iPadOS-enheter till Microsoft Defender för Endpoint till
    • Ange Anslut Windows-enheter till Microsoft Defender för Endpoint till På

    När dessa konfigurationer är ansluts tillämpliga enheter som du hanterar med Intune och enheter som du registrerar i framtiden till Microsoft Defender för Endpoint för efterlevnad.

    För iOS-enheter stöder Defender för Endpoint även följande inställningar som hjälper dig att tillhandahålla sårbarhetsbedömning av appar på Microsoft Defender för Endpoint för iOS. Mer information om hur du använder följande två inställningar finns i Konfigurera sårbarhetsbedömning av appar.

    • Aktivera appsynkronisering för iOS-enheter: Ställ in på På för att tillåta att Defender för Endpoint begär metadata för iOS-program från Intune som ska användas för hotanalys. iOS-enheten måste vara MDM-registrerad och tillhandahålla uppdaterade appdata under enhetskontrollen.

    • Skicka fullständiga programinventeringsdata på personligt ägda iOS/iPadOS-enheter: Den här inställningen styr programinventeringsdata som Intune resurser med Defender för Endpoint när Defender för Endpoint synkroniserar appdata och begär appinventeringslistan.

      När värdet är kan Defender för Endpoint begära en lista över program från Intune för personligt ägda iOS/iPadOS-enheter. Den här listan innehåller ohanterade appar och appar som har distribuerats via Intune.

      När värdet är Av tillhandahålls inte data om ohanterade appar. Intune delar data för de appar som distribuerades via Intune.

    Mer information finns i växlingsalternativ för Mobile Threat Defense.

    Appskydd principutvärdering – Konfigurera följande växlar för att använda Defender för Endpoint med Intune appskyddsprinciper för Android och iOS/iPadOS, konfigurera följande under Appskydd principutvärdering för de plattformar som du använder:

    • Ställ in Anslut Android-enheter till Microsoft Defender för slutpunkt till .
    • Ange Anslut iOS/iPadOS-enheter till Microsoft Defender för Endpoint.

    Mer information finns i växlingsalternativ för Mobile Threat Defense.

  4. Välj Spara.

Tips

Från och med augusti 2023 Intune service release (2308) skapas inte längre klassiska principer för villkorsstyrd åtkomst (CA) för Microsoft Defender för Endpoint-anslutningsappen. Om din klientorganisation har en klassisk CA-princip som tidigare har skapats för integrering med Microsoft Defender för Endpoint kan den tas bort. Om du vill visa klassiska principer för villkorsstyrd åtkomst går du till Microsoft Entra ID>Villkorlig åtkomst>klassiska principer.

Registrera enheter

När du har upprättat tjänst-till-tjänst-anslutningen mellan Intune och Microsoft Defender för Endpoint använder du Intune för att registrera dina hanterade enheter för att Microsoft Defender för Endpoint. Registrering omfattar registrering av enheter i Defender för Endpoint-tjänsten för att säkerställa att de skyddas och övervakas för säkerhetshot och möjliggör insamling av data om enhetsrisknivåer.

När du registrerar enheter bör du använda den senaste versionen av Microsoft Defender för Endpoint för varje plattform.

Processen för att registrera enheter till Defender för Endpoint varierar beroende på plattform.

Registrera Windows-enheter

När en anslutning mellan Intune och Defender har upprättats tar Intune automatiskt emot ett konfigurationspaket för registrering från Defender som kan användas av Intune för att registrera Windows-enheter. Det här paketet används av Intune EDR-princip för att konfigurera enheter att kommunicera med Microsoft Defender för Endpoint tjänster och för att söka igenom filer och identifiera hot. De registrerade enheterna rapporterar också sin risknivå till Microsoft Defender för Endpoint baserat på dina efterlevnadsprinciper.

Registrering av en enhet med konfigurationspaketet är en engångsåtgärd.

Om du vill distribuera registreringspaketet för Windows-enheter kan du välja att använda ett förkonfigurerat EDR-principalternativ som distribueras till gruppen Alla enheter för att registrera alla tillämpliga Windows-enheter, eller så kan du manuellt skapa EDR-principen för mer detaljerade distributioner, vilket kräver att du utför några ytterligare steg.

Använda den förkonfigurerade principen

Med den här sökvägen anger du ett namn för onboarding-principen och väljer både plattform och profil. Andra inställningar är förvalda och inkluderar användning av onboarding-paketet utan ytterligare inställningar, användning av standardomfångstaggen och tilldelning till gruppen Alla enheter. Du kan inte ändra de här alternativen när principen skapas, men du kan gå tillbaka senare för att redigera principinformationen.

  1. Öppna Microsoft Intune administrationscenter och gå till Slutpunktssäkerhet>Slutpunktsidentifiering och svar> och välj fliken EDR-registreringsstatus.

  2. På den här fliken väljer du Distribuera förkonfigurerad princip.

    Skärmbild som visar sökvägen till det förkonfigurerade principalternativet.

  3. För Plattform väljer du Windows för enheter som hanteras direkt av Intune eller Windows (ConfigMgr) för enheter som hanteras via scenariot Klientkoppling. För Profil väljer du Slutpunktsidentifiering och svar.

  4. Ange ett namn för principen.

  5. På sidan Granska och skapa kan du granska den här principkonfigurationen. När du är klar väljer du Spara för att spara den här principen, som omedelbart börjar distribueras till gruppen Alla enheter .

Skapa en egen EDR-princip:

Med den här sökvägen kan du definiera alla aspekter av den första registreringsprincipen innan den börjar distribueras till enheter.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet>Slutpunktsidentifiering och svar> . På fliken Sammanfattning väljer du Skapa princip.

  3. För Plattform väljer du Windows för Profil, väljer Slutpunktsidentifiering och svar och väljer sedan Skapa.

  4. På sidan Grundläggande anger du namn och beskrivning (valfritt) för profilen och väljer sedan Nästa.

  5. På sidan Konfigurationsinställningar konfigurerar du följande alternativ beroende på dina behov:

    • Microsoft Defender för Endpoint pakettyp för klientkonfiguration: Välj Automatiskt från anslutningsappen. Med det här alternativet använder onboarding-principen automatiskt den registreringsblob som Intune tagit emot från Microsoft Defender. Om du registrerar en annan eller frånkopplad Defender för Endpoint-distribution väljer du Registrera och klistrar in texten från blobfilen WindowsDefenderATP.onboarding i fältet Registrering (enhet).

    • Exempeldelning: Returnerar eller anger konfigurationsparametern Microsoft Defender för Endpoint exempeldelning.

    • [Inaktuell] Frekvens för telemetrirapportering: Den här inställningen är inaktuell och gäller inte längre för nya enheter. Inställningen förblir synlig i principgränssnittet för synlighet för äldre principer som har konfigurerats.

    Skärmbild av konfigurationsalternativen för slutpunktsidentifiering och svar.

    Obs!

    Föregående skärmbild visar konfigurationsalternativen när du har konfigurerat en anslutning mellan Intune och Microsoft Defender för Endpoint. När du är ansluten genereras automatiskt information om registrerings- och avregistreringsblobar och överförs till Intune.

    Om du inte har konfigurerat den här anslutningen innehåller inställningen Microsoft Defender för Endpoint klientkonfigurationspakettyp endast alternativ för att ange registrerings- och avregistreringsblobar.

  6. Välj Nästa för att öppna sidan Omfångstaggar . Omfångstaggar är valfria. Gå vidare genom att klicka på Nästa.

  7. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    När du distribuerar till användargrupper måste en användare logga in på en enhet innan principen tillämpas och enheten kan registreras i Defender för Endpoint.

    Gå vidare genom att klicka på Nästa.

  8. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

    Tips

    När du använder flera principer eller principtyper som enhetskonfigurationsprincip och slutpunktsidentifiering och svarsprincip för att hantera samma enhetsinställningar kan du skapa principkonflikter för enheter. Mer information om konflikter finns i Hantera konflikter i artikeln Hantera säkerhetsprinciper .

Registrera macOS-enheter

När du har upprättat tjänst-till-tjänst-anslutningen mellan Intune och Microsoft Defender för Endpoint kan du registrera macOS-enheter för att Microsoft Defender för Endpoint. Onboarding konfigurerar enheter att kommunicera med Microsoft Defender slutpunkt, som sedan samlar in data om enheters risknivå.

Intune stöder inte ett automatiskt registreringspaket för macOS som det gör för Windows-enheter. Konfigurationsvägledning för Intune finns i Microsoft Defender för Endpoint för macOS.

Mer information om Microsoft Defender för Endpoint för Mac, inklusive nyheter i den senaste versionen, finns i Microsoft Defender för Endpoint för Mac i säkerhetsdokumentationen för Microsoft 365.

Registrera Android-enheter

När du har upprättat tjänst-till-tjänst-anslutningen mellan Intune och Microsoft Defender för Endpoint kan du registrera Android-enheter för att Microsoft Defender för Endpoint.

Intune stöder inte ett automatiskt registreringspaket för Android som för Windows-enheter. Konfigurationsvägledning för Intune finns i Översikt över Microsoft Defender för Endpoint för Android i Microsoft Defender för Endpoint-dokumentationen för krav och registreringsanvisningar för Android.

För enheter som kör Android kan du också använda Intune princip för att ändra Microsoft Defender för Endpoint på Android. Mer information finns i Microsoft Defender för Endpoint webbskydd.

Registrera iOS/iPadOS-enheter

När du har upprättat tjänst-till-tjänst-anslutningen mellan Intune och Microsoft Defender för Endpoint kan du registrera iOS/iPadOS-enheter för att Microsoft Defender för Endpoint.

Intune har inte stöd för ett automatiskt registreringspaket för iOS/iPadOS på samma sätt som för Windows-enheter. Konfigurationsvägledning för Intune finns i Översikt över Microsoft Defender för Endpoint för iOS i Microsoft Defender för Endpoint dokumentation för krav och registreringsanvisningar för iOS/iPadOS.

För enheter som kör iOS/iPadOS (i övervakat läge) finns det särskilda möjligheter med tanke på de ökade hanteringsfunktionerna som tillhandahålls av plattformen på dessa typer av enheter. För att kunna dra nytta av dessa funktioner måste Defender-appen veta om en enhet är i övervakat läge. Mer information finns i Fullständig distribution för övervakade enheter.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Appar>Appkonfigurationsprinciper>+ Lägg till och välj sedanHanterade enheter i listrutan.

  3. På sidan Grundläggande anger du ett Namn och en beskrivning (valfritt) för profilen, väljer Plattform som iOS/iPadOS och väljer sedan Nästa.

  4. Välj Målapp som Microsoft Defender för iOS.

  5. På sidan Inställningar anger du konfigurationsnyckeln som issupervised och sedan Värdetyp som sträng med {{issupervised}} som konfigurationsvärde.

  6. Välj Nästa för att öppna sidan Omfångstaggar . Omfångstaggar är valfria. Gå vidare genom att klicka på Nästa.

  7. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. I det här scenariot är det bästa praxis att rikta in sig på Alla enheter. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    När du distribuerar en princip till användargrupper måste en användare logga in på en enhet innan principen tillämpas.

    Välj Nästa.

  8. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan över konfigurationsprofiler.

Visa antalet enheter som har registrerats för Microsoft Defender för Endpoint

Du kan visa en rapport om enhetsregistreringsstatus från Intune administrationscenter genom att gå till Slutpunktssäkerhet>Slutpunktsidentifiering och svar> och välja fliken EDR-registreringsstatus.

Om du vill visa den här informationen måste ditt konto tilldelas en Intune roll som innehåller Läs för behörigheten Microsoft Defender Advanced Threat Protection.

Skapa och tilldela efterlevnadsprincip för att ange enhet risknivå

För Android-, iOS/iPadOS- och Windows-enheter avgör efterlevnadsprincipen den risknivå som du anser vara acceptabel för en enhet.

Om du inte är bekant med att skapa en efterlevnadsprincip kan du läsa artikeln Skapa en principi artikeln Skapa en efterlevnadsprincip i Microsoft Intune. Följande information är specifik för att konfigurera Microsoft Defender för Endpoint som en del av en efterlevnadsprincip.

  1. Logga in på Microsoft Intune administrationscenter.

  2. VäljEnhetsefterlevnad>. På fliken Principer väljer du + Skapa princip.

  3. För Plattform använder du listrutan för att välja något av följande alternativ:

    • Android-enhetsadministratör
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 och senare

    Välj sedan Skapa.

  4. På fliken Grundläggande anger du ett namn som hjälper dig att identifiera den här principen senare. Du kan också välja att ange en Beskrivning.

  5. På fliken Efterlevnadsinställningar expanderar du kategorin Microsoft Defender för Endpoint och anger alternativet Kräv att enheten ska vara på eller under riskpoängen för datorn till önskad nivå.

    Klassificeringar på hotnivå bestäms av Microsoft Defender för Endpoint.

    • Klart: Den här nivån är den säkraste. Enheten kan inte ha några befintliga hot och har fortfarande åtkomst till företagsresurser. Om något hot identifieras kommer enheten att utvärderas som icke-kompatibel. (Microsoft Defender för Endpoint använder värdet Secure.)
    • Låg: Enheten är kompatibel om det bara finns hot på låg nivå. Enheter med medelhög eller hög hotnivå är inte kompatibla.
    • Medel: Enheten är kompatibel om hoten som hittas på enheten är låga eller medelstora. Om hot på en högre nivå identifieras på enheten får den statusen icke-kompatibel.
    • Hög: Den här nivån är den minst säkra och tillåter alla hotnivåer. Enheter med höga, medelstora eller låga hotnivåer anses vara kompatibla.

  6. Slutför konfigurationen av principen, inklusive tilldelning av principen till tillämpliga grupper.

Skapa och tilldela appskyddsprincip för att ange enhet risknivå

Använd proceduren för att skapa en programskyddsprincip för antingen iOS/iPadOS eller Android och använd följande information på sidorna Appar, Villkorsstyrd start och Tilldelningar :

  • Appar: Välj de appar som du vill ska omfattas av appskyddsprinciper. För den här funktionsuppsättningen blockeras eller rensas dessa appar selektivt, baserat på enhetens riskbedömning från din valda leverantör av Mobile Threat Defense.

  • Villkorsstyrd start: Under Enhetsvillkoren använder du listrutan för att välja Högsta tillåtna hotnivå för enheten.

    Alternativ för hotnivån Värde:

    • Skyddad: Det här är den säkraste nivån. Enheten får inte ha några existerande hot och fortfarande ha tillgång till företagsresurser. Om något hot identifieras kommer enheten att utvärderas som icke-kompatibel.
    • Låg: Enheten följer standard om det enbart finns hot på den låga nivån på enheten. Om hot på en högre nivå identifieras får enheten statusen icke-kompatibel.
    • Medel: Enheten följer standard om hoten som hittas på enheten är på en låg eller medelhög nivå. Om hot på en högre nivå identifieras på enheten får den statusen icke-kompatibel.
    • Hög: Denna nivå är den minst säkra och tillåter alla hotnivåer och använder endast Mobile Threat Defense i rapporteringssyfte. Enheterna måste ha MTD-appen aktiverad med den här inställningen.

    Alternativ för åtgärd:

    • Blockera åtkomst
    • Rensa data

  • Tilldelningar: Tilldela principen till användargrupper. De enheter som används av gruppmedlemmarna utvärderas för åtkomst till företagsdata i riktade appar via Intune-appskydd.

Viktigt

Om du skapar en appskyddsprincip för alla skyddade appar utvärderas enhetens hotnivå. Beroende på konfigurationen blockeras eller rensas enheter som inte uppfyller en acceptabel nivå selektivt via villkorlig start. Om de blockeras kan de inte komma åt företagsresurser förrän hotet på enheten har lösts och rapporterats till Intune av den valda MTD-leverantören.

Skapa en princip för villkorsstyrd åtkomst

Principer för villkorlig åtkomst kan använda data från Microsoft Defender för Endpoint för att blockera åtkomst till resurser för enheter som överskrider den hotnivå som du anger. Du kan blockera åtkomst från enheten till företagsresurser, till exempel SharePoint eller Exchange Online.

Tips

Villkorlig åtkomst är en Microsoft Entra teknik. Noden villkorsstyrd åtkomst som finns i Microsoft Intune administrationscenter är noden från Microsoft Entra.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip. Eftersom Intune visar användargränssnittet för principskapande för villkorsstyrd åtkomst från Azure Portal skiljer sig gränssnittet från arbetsflödet för att skapa principer som du kanske är bekant med.

  3. Ange ett principnamn.

  4. För Användare använder du flikarna Inkludera och Exkludera för att konfigurera grupper som ska ta emot den här principen.

  5. För Målresurser anger du Välj vad den här principen gäller förmolnappar och väljer sedan vilka appar som ska skyddas. Välj till exempel Välj appar och sedan välj Välj, sök efter och välj Office 365 SharePoint Online och Office 365 Exchange Online.

  6. För Villkor väljer du Klientappar och anger sedan Konfigurera till Ja. Markera sedan kryssrutorna för Webbläsare och Mobilappar och skrivbordsklienter. Välj sedan Klar för att spara klientappkonfigurationen.

  7. För Bevilja konfigurerar du den här principen så att den tillämpas baserat på reglerna för enhetsefterlevnad. Till exempel:

    1. Välj Bevilja åtkomst.
    2. Markera kryssrutan kräv att enheten är markerad som kompatibel.
    3. Välj Kräv alla markerade kontroller. Välj Välj för att spara konfigurationen Bevilja.

  8. För Aktivera princip väljer du och sedan Skapa för att spara ändringarna.

Relaterat innehåll

Läs mer i Intune-dokumentationen:

Läs mer i Microsoft Defender för Endpoint dokumentationen: