Configurare Microsoft Defender per endpoint in Microsoft Intune

  • 6 minuti

Le organizzazioni possono integrare Microsoft Defender per endpoint con Microsoft Intune come soluzione Mobile Threat Defense. L'integrazione può contribuire a prevenire violazioni della sicurezza e limitare l'effetto delle violazioni all'interno di un'organizzazione.

Microsoft Defender per endpoint funziona con i dispositivi che eseguono:

  • Android
  • iOS/iPadOS
  • Windows 10/11

Per usare correttamente Microsoft Defender per endpoint e Microsoft Intune in concerto, è necessario:

  • Stabilire una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Questa connessione consente a Microsoft Defender per endpoint di raccogliere dati sui rischi del computer dai dispositivi supportati gestiti con Intune.
  • Usare un profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi con Microsoft Defender per endpoint. Un'organizzazione esegue l'onboarding dei dispositivi per configurarli per la comunicazione con Microsoft Defender per endpoint. In questo modo, l'organizzazione può raccogliere dati per valutarne il livello di rischio.
  • Usare un criterio di conformità dei dispositivi per impostare il livello di rischio che si vuole consentire. Microsoft Defender per endpoint segnala i livelli di rischio. Il sistema classifica i dispositivi che superano il livello di rischio consentito come non conformi.
  • Usare criteri di accesso condizionale per impedire agli utenti di accedere alle risorse aziendali da dispositivi non conformi. I criteri di accesso condizionale possono anche bloccare i dispositivi che superano i livelli di rischio previsti di un'organizzazione.
  • Usare i criteri di protezione delle app per Android e iOS/iPadOS per impostare i livelli di rischio del dispositivo. I criteri di protezione di app funzionano sia con i dispositivi registrati che con i dispositivi non registrati.

Quando un'organizzazione si integra Microsoft Intune con Microsoft Defender per endpoint, può sfruttare il modulo TvM (Threat and Vulnerability Management) di Microsoft Defender per endpoint. Può anche usare Intune per correggere la vulnerabilità dell'endpoint identificata da TVM.

Oltre a gestire le impostazioni per Microsoft Defender per endpoint nei dispositivi registrati con Intune, è possibile gestire le configurazioni di sicurezza di Defender per endpoint nei dispositivi non registrati con Intune. Questo scenario è denominato Gestione sicurezza per Microsoft Defender per endpoint. È necessario configurare l'interruttore Consenti Microsoft Defender per endpoint per applicare le configurazioni di sicurezza degli endpoint su Attivato. Per altre informazioni, vedere MDE Security Configuration Management.

Esempio di uso di Microsoft Defender per endpoint con Microsoft Intune

L'esempio seguente illustra come Microsoft Intune e Microsoft Defender per endpoint interagiscono per proteggere le organizzazioni. Per questo esempio Contoso ha già integrato Microsoft Defender per endpoint e Intune.

Si consideri un evento in cui un utente di Contoso invia un allegato Word con codice dannoso incorporato.

  • L'utente apre l'allegato, che abilita il codice incorporato.
  • Viene avviato un attacco con privilegi elevati. Un utente malintenzionato da un computer remoto dispone dei diritti di amministratore per il dispositivo della vittima.
  • L'utente malintenzionato accede quindi in remoto agli altri dispositivi dell'utente. Questa violazione della sicurezza può influire sull'intera organizzazione Contoso.

Microsoft Defender per endpoint consente di risolvere eventi di sicurezza come questo scenario.

  • In questo esempio Microsoft Defender per endpoint rileva ognuna delle azioni che si sono verificate:

    • Il dispositivo ha eseguito codice anomalo.
    • Si è verificata un'escalation dei privilegi del processo nel dispositivo.
    • Apertura del codice dannoso inserito nell'allegato nel dispositivo.
    • L'utente malintenzionato ha eseguito un comando esterno su un computer o un dispositivo remoto (noto come emissione di una shell remota sospetta). Ciò ha sollevato alcune preoccupazioni o dubbi circa le intenzioni o la legittimità dell'azione.

  • In base alle azioni del dispositivo, Microsoft Defender per endpoint classificato il dispositivo come ad alto rischio. Include anche un report dettagliato delle attività sospette nel portale di Microsoft Defender.

Per questo esempio, si supponga che Contoso disponga di un criterio di conformità del dispositivo Intune che classifica i dispositivi con un livello di rischio medio o alto come non conforme. Di conseguenza, i criteri di conformità classificavano il dispositivo compromesso come non conforme. Questa classificazione consente ai criteri di accesso condizionale di Contoso di bloccare l'accesso da tale dispositivo alle risorse aziendali di Contoso.

Per i dispositivi che eseguono Android, è possibile usare un criterio di Intune per modificare la configurazione di Microsoft Defender per endpoint in Android. Per altre informazioni, vedere la protezione web Microsoft Defender per endpoint.

Prerequisiti per l'integrazione di Microsoft Defender per endpoint e Microsoft Intune

Per usare Microsoft Defender per endpoint con Microsoft Intune, un'organizzazione deve avere le sottoscrizioni seguenti:

Le piattaforme seguenti supportano Microsoft Intune con Microsoft Defender per endpoint:

  • Android
  • iOS/iPadOS
  • Windows 10/11 (Microsoft Entra ID ibrido aggiunto o Microsoft Entra ID aggiunto)

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione dei dispositivi, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, Microsoft consiglia di passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Nota

Azure Active Directory (Azure AD) è ora Microsoft Entra ID. Altre informazioni.

Abilitare Microsoft Defender per endpoint in Intune

Per configurare la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è sufficiente abilitare Microsoft Defender per endpoint una sola volta per tenant.

Completare i passaggi seguenti per abilitare Microsoft Defender per endpoint con Microsoft Intune:

  1. Per iniziare, passare all'interfaccia di amministrazione di Microsoft Intune. A tale scopo, nell’interfaccia di amministrazione di Microsoft 365 selezionare Mostra tutte nel riquadro di spostamento. Nel gruppo Admin centers selezionare Endpoint Manager.

  2. Nell'interfaccia di amministrazione Microsoft Intune selezionare Sicurezza degli endpoint nel riquadro di spostamento.

  3. Nella sicurezza degli endpoint | Nella sezione Configurazione nel riquadro centrale della pagina Panoramica selezionare Microsoft Defender per endpoint.

  4. Nella sicurezza degli endpoint | Microsoft Defender per endpoint pagina scorrere verso il basso fino alla sezione Impostazioni condivise e selezionare Apri Microsoft Defender Security Center. Questo passaggio apre il portale di Microsoft Defender.

    Consiglio

    Nell'interfaccia di amministrazione Intune, se lo stato della connessione nella parte superiore della pagina Microsoft Defender per endpoint è già impostato su Abilitato, la connessione a Intune è già attiva e nell'interfaccia di amministrazione viene visualizzato un testo diverso dell'interfaccia utente per il collegamento. In questo evento selezionare Apri la console di amministrazione Microsoft Defender per endpoint per aprire il portale di Microsoft Defender. È quindi possibile usare le indicazioni nel passaggio seguente per verificare che la connessione Microsoft Intune sia impostata su Attivato.

  5. Nel portale Microsoft Defender, nel riquadro di spostamento a sinistra selezionare Impostazioni, quindi Endpoint e quindi Funzionalità avanzate.

  6. Impostare l'interruttore per l'impostazione Microsoft Intune connessione su On.

    Screenshot dell'impostazione di connessione Microsoft Intune.

  7. Selezionare Salva preferenze.

    Nota

    Dopo aver stabilito la connessione tra Microsoft Defender per endpoint e Microsoft Intune, i servizi devono essere sincronizzati tra loro almeno una volta ogni 24 ore. È possibile configurare il numero di giorni senza sincronizzazione fino a quando Microsoft Intune non considera la connessione non risponde nell'interfaccia di amministrazione Microsoft Intune. Selezionare Sicurezza degli endpoint, quindi Microsoft Defender per endpoint e quindi Numero di giorni fino a quando il partner non risponde.

  8. Tornare alla pagina Microsoft Defender per endpoint nell'interfaccia di amministrazione Microsoft Intune.

    1. Per usare Defender per endpoint con i criteri di conformità, configurare le opzioni seguenti in Valutazione dei criteri di conformità per le piattaforme supportate:

      • Impostare Connetti dispositivi Android su Microsoft Defender per endpoint su Attivato.
      • Impostare Connetti dispositivi iOS/iPadOS su Microsoft Defender per endpoint su Attivato.
      • Impostare Connetti dispositivi Windows su Microsoft Defender per endpoint su Attivato.

      Quando queste configurazioni sono attivate, i dispositivi applicabili gestiti con Intune e i dispositivi registrati in futuro sono connessi a Microsoft Defender per endpoint per la conformità. Per i dispositivi iOS, Defender per endpoint supporta anche le impostazioni seguenti che consentono di fornire la valutazione della vulnerabilità delle app in Microsoft Defender per endpoint per iOS. Per altre informazioni sull'uso delle due impostazioni seguenti, vedere Configurare la valutazione della vulnerabilità delle app.

      • Abilitare Sincronizzazione app per dispositivi iOS. Impostare su On per consentire a Defender per endpoint di richiedere i metadati delle applicazioni iOS da Intune da usare a scopo di analisi delle minacce. Il dispositivo iOS deve essere registrato in MDM e fornire dati dell'app aggiornati durante l'archiviazione del dispositivo.
      • Inviare dati completi sull'inventario delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale. Questa impostazione controlla i dati di inventario dell'applicazione che Intune condivide con Defender per endpoint quando Defender per endpoint sincronizza i dati dell'app e richiede l'elenco di inventario delle app. Se impostato su Attivato, Defender per endpoint può richiedere un elenco di applicazioni da Intune per dispositivi iOS/iPadOS di proprietà personale. Questo elenco include app e app non gestite distribuite tramite Intune. Se impostato su Disattivato, i dati sulle app non gestite non vengono forniti. Intune condivide i dati per le app distribuite tramite Intune.

      Per altre informazioni, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

    2. Per usare Defender per endpoint con i criteri di protezione delle app per Android e iOS/iPadOS, configurare quanto segue in Valutazione dei criteri di Protezione di app per le piattaforme usate:

      • Impostare Connettere i dispositivi Android a Microsoft Defender per endpoint su On.
      • Impostare Connect iOS/iPadOS devices (Connetti dispositivi iOS/iPadOS) su Microsoft Defender per endpointsu Sì.

    Per configurare un Microsoft Defender per endpoint di integrazione per la valutazione dei criteri di conformità e protezione delle app, è necessario disporre di un ruolo che includa Lettura e modifica per l'autorizzazione Mobile Threat Defense in Intune. Il ruolo di amministratore predefinito di Endpoint Security Manager per Intune include queste autorizzazioni. Per altre informazioni sulle impostazioni dei criteri di conformità MDM e sulle impostazioni dei criteri di protezione delle app, vedere Opzioni di attivazione/disattivazione di Mobile Threat Defense.

  9. Seleziona Salva.

Quando si integra una nuova applicazione per Intune Mobile Threat Defense e si abilita la connessione a Intune, Intune crea un criterio di accesso condizionale classico in Microsoft Entra ID. Ogni app MTD integrata, tra cui Microsoft Defender per endpoint o uno dei partner MTD di Microsoft , crea un nuovo criterio di accesso condizionale classico. È possibile ignorare questi criteri; tuttavia, non è consigliabile modificarli, eliminarli o disabilitarli.

Se si eliminano i criteri classici, è necessario eliminare la connessione a Intune responsabile della creazione. Dopo aver eliminato la connessione, è necessario configurarla di nuovo. In questo modo viene ricreato il criterio classico. Il sistema non supporta la migrazione dei criteri classici per le app MTD al nuovo tipo di criteri per l'accesso condizionale.

Le organizzazioni devono tenere conto delle considerazioni seguenti relative ai criteri di accesso condizionale classici per le app MTD:

  • Intune MTD li usa per richiedere la registrazione dei dispositivi in Microsoft Entra ID. In questo modo si garantisce che abbiano un ID dispositivo prima di comunicare con i partner MTD. I dispositivi richiedono l'ID per segnalare correttamente lo stato a Intune.
  • Non hanno alcun effetto su altre app cloud o risorse.
  • Si differenziano dai criteri di accesso condizionale che è possibile creare per gestire MTD.
  • Per impostazione predefinita, non interagiscono con altri criteri di accesso condizionale usati dalle organizzazioni per la valutazione.

Per visualizzare i criteri di accesso condizionale classici, nel Interfaccia di amministrazione di Microsoft Entra selezionare Accesso condizionale e quindi Criteri classici.