Schritt 3. Integrieren von Mobile Threat Defense

Der Microsoft Mobile Threat Defense-Connector (MTD) ist ein Feature in Microsoft Intune, das unabhängig vom Betriebssystem des Geräts einen Kommunikationskanal zwischen Intune und ihrem ausgewählten MTD-Anbieter erstellt. Es gibt viele unterstützte MTD-Partner sowohl für Windows- als auch für mobile Geräte. Intune Daten eines MTD-Anbieters als Informationsquelle für Gerätekonformitätsrichtlinien integriert, können gerätebedingte Zugriffsregeln auf diese Informationen reagieren, um Unternehmensressourcen wie Exchange- und SharePoint Online-Daten zu schützen, indem der Zugriff von kompromittierten Geräten blockiert wird.

Die Bedrohungserkennung für mobile Anwendungsverwaltung (Mobile Application Management, MAM) kann mit verschiedenen MTD-Partnern integriert werden, einschließlich Windows-Sicherheit Center. Diese Integration bietet eine Bewertung der Clientgeräteintegrität zum Intune App-Schutzrichtlinien über einen Dienst-zu-Dienst-Connector. Diese Bewertung unterstützt die Steuerung des Datenflusses und des Zugriffs auf Organisationsdaten auf persönlichen, nicht verwalteten Geräten.

Die Integritätsbewertung und der Zustand umfassen die folgenden Details:

  • Benutzer-, App- und Gerätebezeichner
  • Ein vordefinierter Integritätszustand
  • Der Zeitpunkt der letzten Aktualisierung des Integritätszustands

Nur benutzer, die bei MAM registriert sind, senden Integritätszustandsdaten. Wenn Endbenutzer das Senden von Daten beenden möchten, können sie sich von ihrem organization-Konto in geschützten Anwendungen abmelden. Ebenso können Administratoren die Datenübertragung beenden, indem sie den MTD-Connector aus Microsoft Intune entfernen.

Intune-App-Schutzrichtlinien

Intune App-Schutzrichtlinien tragen dazu bei, Unternehmensdaten zu schützen und sicherzustellen, dass Clientgeräte fehlerfrei sind. Es kann auch andere Clientintegritätsüberprüfungen über Windows-Sicherheit Center durchführen. Dazu gehört die Windows-Sicherheit Center-Risikostufe, die Endbenutzern den Zugriff auf Unternehmensressourcen ermöglicht. Darüber hinaus umfasst dies auch das Einrichten mandantenbasierter Connectors für Microsoft Intune für Windows-Sicherheit Center.

  • Apps: Wählen Sie die Apps aus, die Sie als Ziel verwenden möchten, aus Den App-Schutzrichtlinien. Für diese Featuregruppe werden diese Apps blockiert oder basierend auf der Geräterisikobewertung des Mobile Threat Defense-Anbieters selektiv zurückgesetzt.
  • Integritätsprüfungen: Unter Gerätebedingungen können Sie Maximal zulässige Geräte-Bedrohungsstufe auswählen.

Wichtig

Konfigurieren Sie Ihre Mobile Threat Defense-Connectors , bevor Sie Benutzer in diese Richtlinien integrieren. Wenn Ihr Mandant sowohl Microsoft Defender for Endpoint als auch einen anderen MTD-Partner verwendet und Sie keinen primären Connector festlegen, Intune standardmäßig Microsoft Defender for Endpoint. Anleitungen zum Schutz nicht registrierter Geräte finden Sie unter Mobile Threat Defense für nicht registrierte Geräte.

Optionen für die Bedrohungsstufe

Sie können einen der folgenden Werte für die Bedrohungsstufe auswählen:

  • Geschützt: Diese Stufe ist die sicherste Einstellung. Solange auf einem Gerät Bedrohungen vorhanden sind, ist kein Zugriff auf Unternehmensressourcen möglich. Wenn Bedrohungen gefunden werden, wird das Gerät als nicht kompatibel bewertet.
  • Niedrig: Das Gerät ist kompatibel, wenn nur Bedrohungen auf niedriger Stufe vorliegen. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.
  • Mittel: Das Gerät gilt als konform, wenn die auf dem Gerät gefundenen Bedrohungen von niedriger oder mittlerer Ebene sind. Wenn allgemeine Bedrohungen erkannt werden, wird das Gerät als nicht konform markiert.
  • Hoch: Diese Stufe bietet die geringste Sicherheit. Es werden alle Bedrohungsstufen zugelassen, und Mobile Threat Defense wird nur zu Berichtszwecken verwendet. Auf Geräten muss mit dieser Einstellung die MTD-App aktiviert sein.

Optionen für Aktion

Sie können eine der folgenden Aktionsoptionen auswählen:

  • Zugriff blockieren: Hindert die Benutzer daran, Aktivitäten auszuführen, bis sie wieder konform sind.
  • Daten zurücksetzen: Dadurch werden alle informationen entfernt, die in der Anwendung im Zusammenhang mit den Unternehmensdaten gespeichert sind. Dies wirkt sich nicht auf personenbezogene Daten im persönlichen Profil aus.

Aufgaben

Weisen Sie die Richtlinie Benutzergruppen zu. Die von den Gruppenmitgliedern verwendeten Geräte werden für den Zugriff auf Unternehmensdaten in Ziel-Apps über den Intune-App-Schutz ausgewertet.

Verwenden Sie die Einstellungen für den bedingten Start, um die progressive Sicherheit auf den Ebenen des Secure Enterprise-Browsers zu gewährleisten. Konfigurieren Sie die folgenden Werte, wobei die Plattform die Einstellung unterstützt.

Ebene 1 – Basic

  • Offline-Toleranzperiode (Zugriff blockieren): Auf 10080 Minuten festgelegt.
  • Offline-Toleranzperiode (Daten zurücksetzen): Auf 90 Tage festgelegt.
  • Maximal zulässige Geräte-Bedrohungsstufe: Wählen Sie Hoch mit der Aktion Zugriff blockieren aus.

Ebene 2 – Erweitert

  • Deaktiviertes Konto: Legen Sie diese Einstellung auf Zugriff blockieren fest.
  • Mindestversion des Betriebssystems: Geben Sie 10.0.22621.2506 ein, und wählen Sie Zugriff blockieren aus.
  • Maximal zulässige Geräte-Bedrohungsstufe: Wählen Sie Niedrig mit der Aktion Zugriff blockieren aus.
  • Offline-Toleranzperiode (Daten zurücksetzen): Auf 30 Tage festgelegt.

Ebene 3 – Hoch

App-Bedingungen:

  • Offline-Toleranzperiode (Zugriff blockieren): Auf 1440 Minuten festgelegt.
  • Offline-Toleranzperiode (Daten zurücksetzen): Auf 30 Tage festgelegt.

Gerätebedingungen:

  • Mindestversion des Betriebssystems: Geben Sie 10.0.22621.2506 ein, und wählen Sie Zugriff blockieren aus.
  • Maximale Betriebssystemversion: Geben Sie 10.0.22641 ein, und wählen Sie Warnung aus.
  • Maximal zulässige Geräte-Bedrohungsstufe: Wählen Sie Gesichert mit der Aktion Zugriff blockieren aus.
  • Geräte-Bedrohungsstufe: Wählen Sie Hoch mit der Aktion Zugriff blockieren aus.
  • Mobile Threat Defense-Apps: Legen Sie auf Aktiviert/Erforderlich fest, mit der Aktion Zugriff blockieren , um die Brokeraktivierung zu erzwingen.
  • SafetyNet-Gerätenachweis: Legen Sie mit der Aktion Zugriff blockieren auf Pass fest. Diese Option wird für Android-Geräte angezeigt.
  • Korrektur der Gerätesperrung erforderlich: Legen Sie mit der Aktion Zugriff blockieren auf Aktiviert fest.

Tipp

Diese Schwellenwerte entsprechen dem Level 3 (High)-Status des Secure Enterprise Browser-Frameworks. Verwenden Sie Bereichstags und Zuweisungen, um die richtigen Entra-ID-Gruppen für jede Ebene als Ziel zu verwenden.

Wichtig

Wenn Sie eine App-Schutzrichtlinie für eine beliebige geschützte App erstellen, wird die Bedrohungsstufe des Geräts bewertet. Je nach Konfiguration werden Geräte, die die konfigurierte Bedrohungsstufe nicht erfüllen, entweder blockiert, oder Unternehmensdaten werden selektiv durch bedingten Start zurückgesetzt. Wenn sie blockiert werden, werden sie so lange daran gehindert, auf Unternehmensressourcen zuzugreifen, bis die Bedrohung auf dem Gerät aufgelöst und vom ausgewählten MTD-Anbieter an Intune gemeldet wird.

Konfigurieren des MTD-Connectors

Führen Sie die folgenden Schritte aus, um den MTD-Connector zu konfigurieren.

  1. Navigieren Sie zum Microsoft Intune Admin Center.

  2. Wählen Sie Mandantenadministratorconnectors>und Token>Mobile Threat Defense aus.

  3. Wählen Sie Erstellen aus, um den Bereich Connector hinzufügen anzuzeigen.

  4. Wählen Sie im Dropdownfeld Mobile Threat Defense-Connector zum Einrichten auswählendie Option Windows-Sicherheit Center aus.

    Hinweis

    In diesem Beispiel wählen Sie Windows-Sicherheit Center aus. Eine vollständige Liste der MTD-Partner finden Sie unter Mobile Threat Defense-Partner.

  5. Wählen Sie Erstellen aus, um den Connector zu erstellen.

  6. Wählen Sie in der Connectorliste den Windows-Sicherheit Center-Connector aus, um die Bearbeitungsansicht zu öffnen, aktivieren Sie die Umschaltfläche Windows-Geräte für MAM verbinden, und speichern Sie Ihre Änderungen.

Hinweis

Die Verbindungs-status des Connectors ist nach der Erstellung verfügbar und ändert sich in Aktiviert, wenn Sie die Umschaltfläche Windows-Geräte für MAM verbinden aktivieren. Weitere Informationen zu den einzelnen Status finden Sie unter Connector status.

Nächster Schritt

Fahren Sie mit Schritt 4 fort, um App-Konfigurationsrichtlinien für Microsoft Edge for Business zu erstellen.

  • Last updated on