Freigeben über

Konfigurieren von Microsoft Defender for Endpoint mit Intune und Integrieren von Geräten

Dieser Artikel enthält schrittweise Anweisungen zum Verbinden Microsoft Defender for Endpoint mit Microsoft Intune, zum Integrieren von Geräten in Defender für Endpunkt nach Plattform und zum Konfigurieren von Konformitäts- und Richtlinien für bedingten Zugriff, die Geräterisikostufen verwenden, um den Zugriff auf Unternehmensressourcen zu steuern.

Aufgabenspezifische Anforderungen sind in diesem Artikel aufgeführt. Überprüfen Sie auch die allgemeinen Integrationsvoraussetzungen.

Was Sie erreichen werden

Nach Abschluss dieses Leitfadens haben Sie die folgenden Integrationsworkflows abgeschlossen:

Dienst-zu-Dienst-Verbindung zwischen Intune und Microsoft Defender for Endpoint
In Microsoft Defender for Endpoint integrierte Geräte (Windows, macOS, Android, iOS/iPadOS)
Konformitätsrichtlinien , die konfiguriert sind, um risikobehaftete Geräte automatisch als nicht konform zu kennzeichnen
Richtlinien für bedingten Zugriff , die nicht kompatible Geräte von Unternehmensressourcen blockieren

Schnelle Navigation

Für mobile Umgebungen: In diesem Leitfaden werden auch App-Schutzrichtlinien für Android- und iOS-/iPadOS-Geräte behandelt. Diese Richtlinien legen Risikostufen für Geräte fest und funktionieren sowohl mit registrierten als auch mit nicht registrierten Geräten, was zusätzlichen Schutz für mobile Apps basierend auf Microsoft Defender for Endpoint Bedrohungsbewertungen bietet.

Zusätzliche Funktionen: Neben registrierten Geräten können Sie auch Defender für Endpunkt-Sicherheitskonfigurationen auf Geräten verwalten, die nicht bei Intune registriert sind (einschließlich Linux Geräten). Dieses Szenario wird als Sicherheitsverwaltung für Microsoft Defender for Endpoint bezeichnet. Um dies zu aktivieren, legen Sie die Umschaltfläche Microsoft Defender for Endpoint zulassen, um Endpunktsicherheitskonfigurationen zu erzwingen auf Ein fest. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Sicherheitskonfigurationsverwaltung.

Wichtig

Die Verwaltung von Android-Geräteadministratoren (Android Device Administrator, DA) ist veraltet und für Geräte mit Zugriff auf Google Mobile Services (GMS) nicht mehr verfügbar. Wenn Sie derzeit die DA-Verwaltung verwenden, wird empfohlen, zu einer anderen Android-Verwaltungsoption zu wechseln. Support- und Hilfedokumentationen bleiben für einige Android 15- und frühere Geräte ohne GMS verfügbar. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Verbinden von Microsoft Defender for Endpoint mit Intune

Diese einmalige Einrichtung pro Mandant stellt die Dienst-zu-Dienst-Verbindung her, die Integrationsfeatures ermöglicht.

Voraussetzungen:

Aktivieren der integration von Intune und Microsoft Defender for Endpoint

  1. Überprüfen Sie zuerst die Verbindung status: Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Endpunktsicherheit>Microsoft Defender for Endpoint aus.

    • Wenn "Connection statusEnabled" (Aktiviert) angezeigt wird, sind die Dienste bereits verbunden. Fahren Sie mit Onboarding von Geräten fort.
    • Wenn verbindungs statusnicht verfügbar angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

  2. Öffnen Sie das Microsoft Defender-Portal: Scrollen Sie im Intune Admin Center nach unten auf der Seite Microsoft Defender for Endpoint, und wählen Sie Microsoft Defender Security Center öffnen aus (oder navigieren Sie dazu). direkt an security.microsoft.com).

    Tipp

    Wenn bereits eine Verbindung hergestellt wurde, lautet der Link: Öffnen Sie die Microsoft Defender for Endpoint Verwaltungskonsole.

    Screenshot mit dem Patch zum Öffnen von Microsoft Defender Security Center.

  3. Aktivieren Sie die Verbindung in Microsoft Defender Portal: Navigieren Sie im Microsoft Defender-Portal zu Systemeinstellungen>>Endpunkte>Allgemein>Erweiterte Features.

    Screenshot der Defender-Konsole mit dem Pfad zu

    Suchen Sie Microsoft Intune Verbindung, schalten Sie sie auf Ein um, und wählen Sie dann Einstellungen speichern aus.

    Screenshot der Microsoft Intune-Verbindungseinstellung.

    Weitere Informationen zu dieser Einstellung finden Sie unter Microsoft Intune-Verbindung in der Defender für Endpunkt-Dokumentation.

  4. Validierung: Kehren Sie zum Intune Admin Center zurück. Die Verbindungs-status sollte jetzt Aktiviert angezeigt werden (die Aktualisierung kann bis zu 15 Minuten dauern). Sie können die Überwachungseinstellungen unter Endpunktsicherheit> überprüfen und bei Bedarf anpassen Microsoft Defender for Endpoint.

Die Dienst-zu-Dienst-Verbindung ist jetzt hergestellt. Konfigurieren Sie weiterhin, welche Plattformen und Features diese Integration verwenden.

Konfigurieren von Integrationseinstellungen

Nachdem die Dienstverbindung hergestellt wurde, konfigurieren Sie, welche Plattformen eine Verbindung mit Microsoft Defender for Endpoint herstellen, um kompatibilitäts- und app-schutzrichtlinienauswerten zu können.

Voraussetzungen: Admin Zugriff auf das Microsoft Intune Admin Center mit der Endpoint Security Manager-Rolle oder entsprechenden Berechtigungen für Mobile Threat Defense-Einstellungen (benutzerdefinierte Rollen erfordern Lese- und Änderungsrechte für die Mobile Threat Defense-Berechtigung; siehe Erstellen einer benutzerdefinierten Rolle).

Konfigurieren von Compliance- und App-Schutzeinstellungen

  1. Navigieren Sie zu den Integrationseinstellungen: Navigieren Sie im Microsoft Intune Admin Center zu Endpunktsicherheit>Microsoft Defender for Endpoint. Die verbindungs-status sollte jetzt Aktiviert anzeigen.

  2. Konfigurieren der Auswertung von Konformitätsrichtlinien: Aktivieren Sie diese Optionen unter Konformitätsrichtlinienauswertung für Ihre unterstützten Plattformen:

    • Verbinden von Android-Geräten mit Microsoft Defender for Endpoint: Ein
    • Verbinden von iOS-/iPadOS-Geräten mit Microsoft Defender for Endpoint: Ein
    • Verbinden von Windows-Geräten mit Microsoft Defender for Endpoint: Ein

    Hinweis

    Wenn diese Option aktiviert ist, werden alle anwendbaren Geräte, die Sie derzeit mit Intune verwalten, sowie zukünftige Registrierungen zur Konformitätsbewertung mit Microsoft Defender for Endpoint verbunden.

    Tipp

    Zusätzliche iOS-Einstellungen: Für iOS-Geräte unterstützt Defender für Endpunkt auch Einstellungen, die die Sicherheitsrisikobewertung von Apps ermöglichen. Sie können die App-Synchronisierung für iOS-Geräte aktivieren, um die Metadatenfreigabe für die Bedrohungsanalyse zu ermöglichen (erfordert MDM-Registrierung) und Das Senden von vollständigen Anwendungsinventurdaten auf persönlichen iOS-/iPadOS-Geräten konfigurieren, um zu steuern, welche App-Daten für Defender für Endpunkt freigegeben werden. Weitere Informationen finden Sie unter Konfigurieren der Sicherheitsrisikobewertung von Apps.

    Weitere Informationen finden Sie unter Mobile Threat Defense-Umschaltoptionen.

  3. Konfigurieren der Auswertung der App-Schutzrichtlinie: Aktivieren Sie diese Optionen unter App-Schutz Richtlinienauswertung für mobile Plattformen:

    • Verbinden von Android-Geräten mit Microsoft Defender for Endpoint: Ein
    • Verbinden von iOS-/iPadOS-Geräten mit Microsoft Defender for Endpoint: Ein

    Tipp

    App-Schutz Richtlinien funktionieren sowohl für registrierte als auch für nicht registrierte Geräte. Weitere Informationen finden Sie unter Umschaltoptionen für Mobile Threat Defense.

  4. Speichern Sie Ihre Konfiguration: Wählen Sie Speichern aus, um alle Einstellungen anzuwenden.

Die von Ihnen aktivierten Plattformen verbinden Geräte mit Microsoft Defender for Endpoint zur Bedrohungs- und Konformitätsbewertung.

Wichtig

Bereinigung des klassischen bedingten Zugriffs: Ab August 2023 erstellt Intune keine klassischen Richtlinien für bedingten Zugriff mehr für Microsoft Defender for Endpoint. Wenn Ihr Mandant über Legacyrichtlinien aus früheren Integrationen verfügt, können Sie diese sicher löschen. Zur Überprüfung: Azure-Portal>Microsoft Entra ID>Richtlinien für denklassischen bedingten Zugriff>.

Onboarding von Geräten

Das Onboarding von Geräten konfiguriert Ihre verwalteten Geräte für die Kommunikation mit Microsoft Defender for Endpoint und ermöglicht die Bedrohungserkennung und Risikobewertung.

Voraussetzungen: Admin Zugriff auf das Microsoft Intune Admin Center mit der Endpoint Security Manager-Rolle oder gleichwertigen Berechtigungen für Endpunkterkennungs- und Antwortrichtlinien (benutzerdefinierte Rollen erfordern Zuweisen, Erstellen, Löschen, Lesen, Aktualisieren und Berichte anzeigen für die Berechtigung Endpunkterkennung und -antwort).

Tipp

Versionsanforderung: Verwenden Sie für jede Plattform immer die neueste Microsoft Defender for Endpoint Version, um einen optimalen Schutz und eine optimale Kompatibilität sicherzustellen.

Plattformspezifisches Onboarding:

  • Windows: Paket für automatisches Onboarding (empfohlen)
  • macOS, Android, iOS/iPadOS: Manuelle Konfiguration erforderlich

Onboarding von Windows-Geräten

Wenn die Dienstverbindung hergestellt wurde, erhält Intune automatisch ein Onboardingkonfigurationspaket von Microsoft Defender for Endpoint. Dieses Paket ermöglicht Folgendes:

Hinweis

Das Onboarding von Geräten ist eine einmalige Aktion pro Gerät.

Wählen Sie Ihren Bereitstellungsansatz aus:

  • Schnelleinrichtung: Vorkonfigurierte Richtlinie (wird auf allen Geräten bereitgestellt)
  • Benutzerdefinierte Einrichtung: Manuelle Richtlinienerstellung (präzise Steuerung)

Option 1: Schnelleinrichtung (vorkonfigurierte Richtlinie)

Verwenden Sie diese Option für eine schnelle, umfassende Bereitstellung auf allen Windows-Geräten ohne zusätzliche Konfiguration.

Was ist enthalten:

  • Konfiguration des Pakets für automatisches Onboarding
  • Standardbereichstag
  • Zuweisung zur Gruppe "Alle Geräte"
  • Keine zusätzliche Konfiguration erforderlich
Schnelleinrichtungsschritte

  1. Wechseln Sie im Microsoft Intune Admin Center zur Registerkarte Endpunktsicherheit>Endpunkterkennung und -antwort>EDR Onboarding Status.

  2. Wählen Sie Vorkonfigurierte Richtlinie bereitstellen aus.

    Screenshot, der den Pfad zur vorkonfigurierten Richtlinienoption anzeigt.

  3. Konfigurieren Sie die Richtlinie:

    • Plattform: Wählen Sie Windows (für Intune verwaltet) oder Windows (ConfigMgr) (für Mandantenanfügung) aus.
    • Profil: Wählen Sie Endpunkterkennung und -antwort aus.
    • Name: Geben Sie einen beschreibenden Namen ein (z. B. "MDE EDR-Onboarding – Alle Windows-Geräte").

  4. Überprüfen und erstellen: Überprüfen Sie die Einstellungen, und wählen Sie Speichern aus. Die Richtlinie beginnt sofort mit der Bereitstellung auf allen Windows-Geräten.

    Hinweis

    Sie können Richtliniendetails später bearbeiten, aber die Einstellungen für die anfängliche Bereitstellung können während der Erstellung nicht geändert werden.

Option 2: Benutzerdefinierte Einrichtung (manuelle Richtlinienerstellung)

Verwenden Sie diese Option für eine präzise Steuerung, bestimmte Gerätegruppen oder benutzerdefinierte Bereichstags.

Benutzerdefinierte Einrichtungsschritte

  1. Wählen Sie im Microsoft Intune Admin CenterEndpunktsicherheit>Endpunkterkennung und -antwort>Registerkarte Zusammenfassung>Richtlinie erstellen aus.

  2. Plattform und Profil:

    • Plattform: Windows
    • Profil: Endpunkterkennung und -antwort
    • Wählen Sie Erstellen aus

  3. Grundlagen: Geben Sie einen beschreibenden Namen und eine optionale Beschreibung ein, und wählen Sie dann Weiter aus.

  4. Konfigurationseinstellungen: Konfigurieren Sie diese Optionen basierend auf Ihren Anforderungen:

    • Microsoft Defender for Endpoint Clientkonfigurationspakettyp:

      • Auto from connector (empfohlen): Verwendet das Automatische Onboarding-Paket von Microsoft Defender for Endpoint.
      • Onboarding: Fügen Sie für nicht verbundene Umgebungen den Blobinhalt WindowsDefenderATP.onboarding ein.

    • Beispielfreigabe: Konfigurieren Sie, ob Geräte verdächtige Dateibeispiele für die Analyse mit Microsoft teilen.

      • Alle: Ermöglicht die automatische Freigabe von Beispielen für eine erweiterte Bedrohungserkennung.
      • Keine: Deaktiviert die Beispielfreigabe (kann die Erkennungsfunktionen reduzieren)

    Hinweis

    Die Häufigkeit der Telemetrieberichterstellung ist veraltet und wirkt sich nicht auf neue Geräte aus. Die Einstellung bleibt für ältere Richtlinienkompatibilität sichtbar.

    Screenshot der Konfigurationsoptionen für Endpunkterkennung und -reaktion.

    Hinweis

    Die vorherige Bildschirmaufnahme zeigt Ihre Konfigurationsoptionen, nachdem eine Verbindung zwischen Intune und Microsoft Defender for Endpoint eingerichtet wurde. Wenn eine Verbindung hergestellt ist, werden die Details für das Onboarding und das Offboarding von Blobs automatisch generiert und an Intune übertragen.

    Wenn diese Verbindung nicht erfolgreich konfiguriert wurde, enthält die Einstellung Microsoft Defender for Endpoint Clientkonfigurationspakettyp nur Optionen zum Angeben von Onboard- und Offboard-Blobs.

  5. Bereichstags (optional): Fügen Sie bei Bedarf Bereichstags hinzu, und wählen Sie dann Weiter aus.

  6. Zuweisungen: Wählen Sie Gerätegruppen aus, die dieses Profil erhalten.

    Wichtig

    • Gerätegruppen: Empfohlen für die sofortige Bereitstellung.
    • Benutzergruppen: Erfordert die Benutzeranmeldung, bevor die Richtlinie angewendet wird.

    Anleitungen zur Zuweisung finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

  7. Überprüfen + erstellen: Überprüfen Sie alle Einstellungen, und wählen Sie Erstellen aus.

Validierungsschritte
  1. Richtlinienbereitstellung überprüfen: Navigieren Sie zu Endpunktsicherheit>Endpunkterkennung und -antwort> Wählen Sie Ihre Richtlinie >Device status aus.
  2. Überprüfen des Geräte-Onboardings: Nach 15 bis 30 Minuten sollten Geräte im Microsoft Defender-Portal unter Endpunkte>Gerätebestand angezeigt werden.

Tipp

Vermeiden Sie Richtlinienkonflikte: Mehrere Richtlinien, die dieselben Einstellungen verwalten, können Konflikte verursachen. Anleitungen zur Lösung finden Sie unter Verwalten von Richtlinienkonflikten .

Onboarding von macOS-Geräten

Im Gegensatz zu Windows-Geräten erfordert macOS eine manuelle Konfiguration, da Intune keine automatischen Onboardingpakete für macOS bereitstellt.

MacOS-Onboarding – Schnellstart

  1. Bereitstellen der App: Befolgen Sie die Anweisungen im Bereitstellungshandbuch für Microsoft Defender for Endpoint für macOS.
  2. Konfigurieren von Einstellungen: Verwenden Sie Intune App-Konfigurationsrichtlinien.
  3. Überprüfen des Onboardings: Überprüfen Sie, ob das Gerät im Microsoft Defender-Portal angezeigt wird.

Zusätzliche Ressourcen:

Durchführen des Onboardings für Android-Geräte

Schnellstart für das Android-Onboarding

  1. Bereitstellen der App: Befolgen Sie die Anweisungen im Bereitstellungshandbuch bereitstellen und konfigurieren Microsoft Defender for Endpoint unter Android.
  2. Konfigurieren des Webschutzes: Verwenden Sie Microsoft Defender for Endpoint Webschutzrichtlinien für zusätzliche Sicherheit.
  3. Überprüfen des Onboardings: Bestätigen Sie die Geräteregistrierung im Microsoft Defender-Portal.

Verfügbare Konfigurationen:

  • Webschutzeinstellungen
  • VPN-basierte Überprüfung
  • Kontrollmechanismen für den Datenschutz
  • Bedrohungserkennungseinstellungen

Onboarding von iOS-/iPadOS-Geräten

Schnellstart für das iOS-Onboarding

  1. Bereitstellen der App: Befolgen Sie Microsoft Defender for Endpoint für iOS-Voraussetzungen und onboarding-Anweisungen.
  2. Konfigurieren der Überwachungserkennung: Einrichten der Erkennung im überwachten Modus für erweiterte Features
  3. Überprüfen des Onboardings: Überprüfen Sie die Geräteregistrierung im Microsoft Defender-Portal.

Konfiguration des überwachten Modus: Konfigurieren Sie für überwachte iOS-/iPadOS-Geräte die Überwachungserkennung, um erweiterte Verwaltungsfunktionen zu aktivieren. Weitere Informationen finden Sie unter Abschließen der Bereitstellung für überwachte Geräte.

Konfigurationsschritte für überwachte Geräte

  1. Erstellen einer App-Konfigurationsrichtlinie: Wählen Sie im Microsoft Intune Admin CenterApps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen> aus.

  2. Grundlegendes konfigurieren:

    • Name: Geben Sie einen beschreibenden Namen ein (z. B. "MDE Supervision Detection – iOS")
    • Plattform: iOS/iPadOS
    • Ziel-App: Microsoft Defender for Endpoint

  3. Konfigurationseinstellungen:

    • Konfigurationsschlüssel: issupervised
    • Werttyp: Zeichenfolge
    • Konfigurationswert: {{issupervised}}

  4. Zuweisung: Alle Geräte oder bestimmte überwachte Gerätegruppen als Ziel.

  5. Überprüfen + erstellen: Abschließen der Richtlinienerstellung.

Überwachen von status für das Onboarding von Geräten

Führen Sie die folgenden Schritte aus, um zu überwachen, welche Geräte erfolgreich in Microsoft Defender for Endpoint integriert werden.

So zeigen Sie onboarding status an:

  1. Wechseln Sie im Microsoft Intune Admin Center zur Registerkarte Endpunktsicherheit>Endpunkterkennung und -antwort>EDR Onboarding Status
  2. Überprüfen der onboarding-status für alle Plattformen

Erforderliche Berechtigung: Ihr Konto benötigt leseberechtigung für Microsoft Defender Erweiterter Schutz vor Bedrohungen in Intune RBAC.

Erfolgsindikatoren:

  • Geräte werden im Microsoft Defender-Portal unter Endpunkte>Gerätebestand angezeigt.
  • Der EDR-Onboardingstatus zeigt "Erfolgreich integriert" an.
  • Risikostufen werden in Berichten zur Gerätekonformität angezeigt

Erstellen und Zuweisen von Konformitätsrichtlinien zum Festlegen der Risikostufe für Geräte

Geräte, die den konfigurierten Risikoschwellenwert überschreiten, werden automatisch als nicht konform markiert, sodass Richtlinien für bedingten Zugriff sie für Unternehmensressourcen blockieren können.

Unterstützte Plattformen: Android-, iOS-/iPadOS- und Windows-Geräte

Voraussetzungen:

  • Admin Zugriff auf das Microsoft Intune Admin Center mit der Endpoint Security Manager-Rolle oder entsprechenden Berechtigungen für Gerätekonformitätsrichtlinien (benutzerdefinierte Rollen erfordern Zuweisen, Erstellen, Löschen, Lesen und Aktualisieren für die Berechtigung Gerätekonformitätsrichtlinien).

Tipp

Sind Compliancerichtlinien neu? Allgemeine Anweisungen finden Sie im Leitfaden zum Erstellen einer Richtlinie . Die folgenden Schritte konzentrieren sich speziell auf Microsoft Defender for Endpoint Integration.

Schritte zum Erstellen der Richtlinie

  1. Navigieren Sie zu Konformitätsrichtlinien: Wählen Sie im Microsoft Intune Admin Centerdie Option Geräte> aus, erweitern Sie Geräte verwalten, und wählen Sie die Registerkarte>Konformitätsrichtlinien>Richtlinie erstellen aus.

  2. Plattform auswählen: Wählen Sie Ihre Zielplattform aus:

    • Android-Geräteadministrator (eingeschränkter Support)
    • Android Enterprise (empfohlen für Android)
    • iOS/iPadOS
    • Windows 10 und höher

    Wichtig

    Am 14. Oktober 2025 hat Windows 10 das Ende des Supports erreicht und erhält keine Qualitäts- und Featureupdates. Windows 10 ist eine zulässige Version in Intune. Geräte, auf denen diese Version ausgeführt wird, können sich weiterhin bei Intune registrieren und berechtigte Features verwenden. Die Funktionalität wird jedoch nicht garantiert und kann variieren.

    Wählen Sie bei Bedarf einen Profiltyp aus, z. B. Windows 10/11-Konformitätsrichtlinie für die Windows-Plattform.

  3. Grundlegendes konfigurieren:

    • Name: Geben Sie einen beschreibenden Namen ein (z. B. "MDE Risikostufe – Windows-Geräte").
    • Beschreibung: Optionale Details zum Richtlinienzweck

  4. Risikoschwellenwert festlegen: Erweitern Sie auf der Registerkarte KompatibilitätseinstellungenMicrosoft Defender for Endpoint, und konfigurieren Sie Anfordern, dass sich das Gerät bei oder unter der Computerrisikobewertung befindet:

    Optionen auf Risikoebene (bestimmt durch Microsoft Defender for Endpoint):

    • Löschen (am sichersten):

      • Erlaubt: Keine Bedrohungen
      • Blöcke: Alle erkannten Bedrohungen
      • Verwenden Sie, wenn: Maximale Sicherheit erforderlich

    • Niedrig:

      • Erlaubt: Nur Bedrohungen auf niedriger Ebene
      • Blöcke: Mittlere und hohe Bedrohungen
      • Verwenden, wenn: Ausgewogene Sicherheit und Produktivität

    • Mittel:

      • Ermöglicht: Niedrige und mittlere Bedrohungen
      • Blöcke: Nur allgemeine Bedrohungen
      • Verwenden, wenn: Sicherheitsanforderungen moderieren

    • Hoch (am wenigsten sicher)

      • Erlaubt: Alle Bedrohungsstufen
      • Blöcke: Keine (nur Berichterstellung)
      • Verwenden, wenn: Maximale Produktivität, minimale Blockierung

    Wichtig

    Empfohlene Einstellung: Niedrig bietet für die meisten Organisationen das beste Gleichgewicht zwischen Sicherheit und Benutzerproduktivität.

  5. Vollständige Konfiguration:

    • Aktionen bei Nichtkonformität: Konfigurieren von Benachrichtigungen und Toleranzperioden
    • Zuweisungen: Wählen Sie Geräte- oder Benutzergruppen aus, die diese Richtlinie erhalten sollen.
    • Überprüfen und erstellen: Überprüfen und Erstellen der Einstellungen und Erstellen der Richtlinie

  6. Validierung:

    • Geräte, die den Risikoschwellenwert überschreiten, werden unterGerätekonformität>> als "Nicht konform" angezeigt.
    • Überprüfen von Berichten>zur Gerätekonformität auf Compliancetrends

Erstellen und Zuweisen von App-Schutzrichtlinien zum Festlegen der Risikostufe für Geräte

App-Schutz Richtlinien funktionieren unabhängig von der Geräteregistrierung und bieten eine zusätzliche Sicherheitsebene für mobile Anwendungen.

Plattformen: nur iOS/iPadOS und Android

Voraussetzungen:

  • Admin Zugriff auf das Microsoft Intune Admin Center mit der Endpoint Security Manager-Rolle oder entsprechenden Berechtigungen für sicherheitsbezogene Richtlinien für mobile Apps (benutzerdefinierte Rollen erfordern Zuweisen, Erstellen, Löschen, Lesen, Aktualisieren und Zurücksetzen für die Berechtigung Verwaltete Apps).

Befolgen Sie den Leitfaden zur Erstellung von Anwendungsschutzrichtlinien, und konfigurieren Sie diese Microsoft Defender for Endpoint spezifischen Einstellungen:

  • Apps: Auswählen von Apps, die durch bedrohungsbasierte Richtlinien geschützt werden sollen

  • Bedingter Start: Konfigurieren von Bedrohungsstufen- und Reaktionsaktionen:

    • Maximal zulässige Geräte-Bedrohungsstufe:
      • Gesichert: Keine Bedrohungen zulässig (am sichersten)
      • Niedrig: Nur Bedrohungen auf niedriger Ebene zulässig
      • Mittel: Niedrige und mittlere Bedrohungen zulässig
      • Hoch: Alle Zulässigen Bedrohungsstufen (nur Berichterstellung)
    • Aktionen bei Überschreitung des Schwellenwerts:
      • Zugriff blockieren: App-Zugriff verhindern
      • Daten zurücksetzen: Entfernen von Unternehmensdaten aus der App

  • Zuweisungen: Zuweisen zu Benutzergruppen, deren Geräte für den Schutz auf App-Ebene ausgewertet werden

Wichtig

App-Schutz Richtlinien werten alle geschützten Apps aus. Geräte, die den Schwellenwert überschreiten, werden durch bedingten Start blockiert oder zurückgesetzt, unabhängig von der Registrierung status.

Erstellen einer Richtlinie für bedingten Zugriff

Eine Richtlinie für bedingten Zugriff hindert Geräte, die als nicht konform gekennzeichnet sind, am Zugriff auf Unternehmensressourcen wie SharePoint und Exchange Online.

Hinweis

Bedingter Zugriff ist eine Microsoft Entra Technologie. Das Intune Admin Center bietet direkten Zugriff auf die gleiche Konfiguration für bedingten Zugriff, die im Azure-Portal verfügbar ist.

Voraussetzungen:

Wichtig

Eine Richtlinie, die Gerätekonformität für alle Cloud-Apps erfordert, wirkt sich sofort auf jeden Benutzer im Bereich aus, wenn sie aktiviert ist. Bevor Sie die Richtlinie aktivieren, erstellen Sie sie zuerst im Reinen Berichtsmodus . Im Reinen Berichtsmodus wird protokolliert, was die Richtlinie getan hätte, ohne jemanden zu blockieren, sodass Sie den Bereich bestätigen und Fehlkonfigurationen vor der Erzwingung abfangen können . Weitere Informationen finden Sie unter Nur-Bericht-Modus.

Schritte zum Erstellen der Richtlinie

  1. Navigieren Sie zu Bedingter Zugriff: Wählen Sie im Microsoft Intune Admin CenterEndpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

  2. Grundlegende Konfiguration:

    • Name: Geben Sie einen beschreibenden Namen ein (z. B. "Nicht kompatible Geräte blockieren – MDE Integration").

  3. Benutzerzuweisung:

    • Einschließen: Wählen Sie Benutzergruppen aus, die dieser Richtlinie unterliegen sollen.
    • Ausschließen: Es wird empfohlen, die Notfalladministratorkonten Ihrer organization auszuschließen, um eine Sperrung zu verhindern. Wenn Sie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, schließen Sie auch die Verzeichnisrolle Verzeichnissynchronisierungskonten aus.

  4. Ressourcenschutz:

    • Zielressourcen: Wählen Sie Cloud-Apps aus.
    • Einschließen: Wählen Sie Apps auswählen und hinzufügen:
      • Office 365 SharePoint Online
      • Office 365 Exchange Online
      • Andere Unternehmensanwendungen nach Bedarf

  5. Client-App-Bedingungen:

    • Bedingungen>Client-Apps>Konfigurieren: Ja
    • Auswählen: Browser - und mobile Apps und Desktopclients
    • Wählen Sie Fertig aus.

  6. Zugriffssteuerungen:

    • Gewähren>Gewähren des Zugriffs
    • Auswählen: Markieren des Geräts als konform erforderlich
    • Für mehrere Steuerelemente: Alle ausgewählten Steuerelemente anfordern
    • Wählen Sie die Option Auswählen aus.

  7. Richtlinie aktivieren: Legen Sie Richtlinie aktivieren auf Nur Bericht fest, und wählen Sie dann Erstellen aus. Die Richtlinie wurde gespeichert, blockiert aber noch keinen Zugriff.

  8. Überprüfen sie die Ergebnisse nur für Den Bericht: Warten Sie 24 Stunden, bis Anmeldedaten gesammelt wurden, und überprüfen Sie dann die Ergebnisse:

    • Wechseln Sie im Microsoft Entra Admin Center zu Identitätsüberwachung>&Integritätsprotokolle>.
    • Filtern Sie nach Ihrem Richtliniennamen, und überprüfen Sie die Spalte Nur Bericht . Vergewissern Sie sich, dass nur erwartete Geräte und Benutzer als nicht konform angezeigt werden.
    • Wenn der Bereich richtig aussieht, kehren Sie zuRichtlinien für bedingten Zugriff> zurück, wählen Sie Ihre Richtlinie aus, und ändern Sie Richtlinie aktivieren in Ein.

  9. Validierung: Testen Sie mit einem nicht konformen Gerät, um sicherzustellen, dass der Zugriff ordnungsgemäß blockiert ist. Überprüfen Sie Microsoft Entra ID>Anmeldeprotokolle für die Richtlinienerzwingung.

Nächste Schritte

Sofortige nächste Schritte

  1. Überwachen der Bereitstellung: Überprüfen der Geräte-Onboarding-status und Konformitätsberichte
  2. Überprüfen des Schutzes: Testen Sie mit kontrollierten Szenarien, um sicherzustellen, dass Richtlinien wie erwartet funktionieren.
  3. Erweitern des Schutzes: Erwägen der Verwaltung von Sicherheitsrisiken für eine proaktive Bedrohungsbehebung

Plattformspezifische Verbesserungen

Erweiterte Features

Intune Integration:

Microsoft Defender for Endpoint:

Supportressourcen

  • Last updated on