Eseguire l'onboarding dei dispositivi in Microsoft Defender for Endpoint

Quando un'organizzazione abilita il supporto per Microsoft Defender per endpoint in Intune, si stabilisce una connessione da servizio a servizio tra Microsoft Intune e Microsoft Defender per endpoint. L'organizzazione può quindi eseguire l'onboarding in Microsoft Defender per endpoint dei dispositivi gestiti con Intune. L'onboarding, a sua volta, consente la raccolta di dati sui livelli di rischio dei dispositivi.

L'unità precedente ha esaminato come abilitare Microsoft Defender per endpoint e come configurarlo per l'integrazione con Intune. Questa unità continua con il processo di integrazione. Esamina i passaggi seguenti per eseguire l'onboarding dei dispositivi e configurare i criteri di conformità e accesso condizionale:

• Eseguire l'onboarding dei dispositivi che eseguono Android, iOS/iPadOS e Windows 10/11.

• Usare i criteri di conformità per impostare i livelli di rischio del dispositivo.

• Usare i criteri di accesso alla conformità per bloccare i dispositivi che superano i livelli di rischio previsti.

  Nota

  I dispositivi Android e iOS/iPadOS usano criteri di protezione delle app che impostano i livelli di rischio dei dispositivi. I criteri di protezione di app funzionano sia con i dispositivi registrati che con i dispositivi non registrati.

Le sezioni seguenti descrivono questi passaggi.

Aggiungere dispositivi Windows

Una volta che un'organizzazione ha connesso Intune e Microsoft Defender per endpoint, Intune riceve un pacchetto di configurazione dell'onboarding da Microsoft Defender per endpoint. L'organizzazione usa quindi un profilo di configurazione del dispositivo per Microsoft Defender per endpoint per distribuire il pacchetto nei propri dispositivi Windows.

Il pacchetto di configurazione configura i dispositivi in modo da comunicare con i servizi di Microsoft Defender per endpoint per analizzare file e rilevare minacce. I dispositivi segnalano anche i livelli di rischio a Microsoft Defender per endpoint. I livelli di rischio si basano sui criteri di conformità dell'organizzazione.

Le organizzazioni possono anche eseguire l'onboarding dei dispositivi tramite:

• Criteri di rilevamento e reazione dagli endpoint (EDR). I criteri EDR di Intune fanno parte della sicurezza degli endpoint in Intune. La pagina Microsoft Defender per endpoint nell'interfaccia di amministrazione Intune include un collegamento che apre direttamente il flusso di lavoro di creazione dei criteri EDR, che fa parte della sicurezza degli endpoint in Intune. Le organizzazioni possono usare i criteri EDR per configurare la sicurezza dei dispositivi senza il sovraccarico del corpo più grande delle impostazioni disponibili nei profili di configurazione dei dispositivi. Possono anche usare i criteri EDR con i dispositivi collegati al tenant. Le organizzazioni usano Configuration Manager per gestire questi dispositivi. Quando un'organizzazione configura un criterio EDR dopo la connessione di Intune e Microsoft Defender per endpoint, l'impostazione dei criteri Tipo di pacchetto di configurazione client di Microsoft Defender per endpoint dispone di una nuova opzione di configurazione: Automatico dal connettore. Con questa opzione, Intune ottiene automaticamente il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint, sostituendo la necessità di configurare manualmente un pacchetto di Onboarding.
• Criterio di configurazione del dispositivo. Quando si creano criteri di configurazione dei dispositivi per l'onboarding dei dispositivi Windows, selezionare il modello Microsoft Defender per endpoint. Quando si è connessi Intune a Defender, Intune ricevuto un pacchetto di configurazione di onboarding da Defender. Questo pacchetto viene usato dal modello per configurare i dispositivi per comunicare con i servizi di Microsoft Defender per endpoint e per analizzare i file e rilevare le minacce. I dispositivi caricati segnalano anche il livello di rischio a Microsoft Defender per endpoint in base ai criteri di conformità. Dopo aver eseguito l'onboarding di un dispositivo usando il pacchetto di configurazione, non è necessario ripeterlo.
• Criteri di gruppo o Microsoft Endpoint Configuration Manager. Per altre informazioni sulle impostazioni di Microsoft Defender per endpoint, vedere Eseguire l'onboarding di computer Windows con Microsoft Configuration Manager.

Creare il profilo di configurazione del dispositivo per eseguire l'onboarding dei dispositivi Windows

1. Per iniziare, passare all'interfaccia di amministrazione di Microsoft Intune. A tale scopo, nell’interfaccia di amministrazione di Microsoft 365 selezionare Mostra tutte nel riquadro di spostamento. Nel gruppo Admin centers selezionare Endpoint Manager.

2. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare Sicurezza degli endpoint nel riquadro di spostamento a sinistra.

3. Nella sicurezza degli endpoint | Nella sezione Gestisci nel riquadro centrale della pagina Panoramica selezionare Rilevamento endpoint e risposta.

4. Nella sicurezza degli endpoint | Pagina Rilevamento endpoint e risposta selezionare +Crea criteri sulla barra dei menu.

5. Nel riquadro Crea un profilo visualizzato selezionare Windows 10 e versioni successive nel campo Piattaforma.

6. Nel campo Profilo selezionare Rilevamento endpoint e risposta.

7. Selezionare Crea. In questo modo viene avviata la creazione guidata profilo .

8. Nella creazione guidata profilo , nella scheda Informazioni di base immettere un nome e una descrizione (facoltativo) per il profilo e quindi selezionare Avanti.

9. Nella scheda Impostazioni di configurazione configurare le opzioni seguenti per Rilevamento endpoint e risposta e quindi selezionare Avanti:

   • Microsoft Defender per endpoint tipo di pacchetto di configurazione client. Selezionare Auto from connector (Auto from connector ) per usare il pacchetto di onboarding (BLOB) dalla distribuzione di Defender per endpoint. Se si esegue l'onboarding in una distribuzione di Defender per endpoint diversa o disconnessa, selezionare Onboarding e incollare il testo dal file BLOB WindowsDefenderATP.onboarding nel campo Onboarding (Dispositivo).
   • Condivisione di esempi. Restituisce o imposta il parametro di configurazione Condivisione di esempio di Microsoft Defender per endpoint.
   • [Deprecato] Frequenza dei report di telemetria. Per i dispositivi ad alto rischio, abilitare questa impostazione in modo che segnali più frequentemente i dati di telemetria al servizio Microsoft Defender per endpoint.

   Per altre informazioni sulle impostazioni di Microsoft Defender per endpoint, vedere Eseguire l'onboarding di computer Windows tramite Microsoft Endpoint Configuration Manager.

   

10. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

11. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Quando si esegue la distribuzione nei gruppi di utenti, un utente deve accedere a un dispositivo prima che i criteri vengano applicati e il dispositivo possa eseguire l'onboarding in Defender per endpoint. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo. Seleziona Avanti.

12. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato. Selezionare OK e quindi crea per salvare le modifiche, che crea il profilo.

Eseguire l'onboarding dei dispositivi macOs

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi macOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Microsoft Defender Endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Letture aggiuntive. Per altre informazioni sulle indicazioni sulla configurazione per Intune, vedere Microsoft Defender per endpoint per macOS. Per altre informazioni sull'onboarding dei dispositivi macOS, vedere Microsoft Defender per endpoint per Mac.

Eseguire l'onboarding dei dispositivi Android

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi Android in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint, che raccoglie quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono Android. Vedere invece Panoramica di Microsoft Defender per endpoint per Android per i prerequisiti e le istruzioni di onboarding per Android. Per i dispositivi che eseguono Android, è possibile anche usare i criteri di Intune per modificare Microsoft Defender per endpoint in Android.

Letture aggiuntive. Per altre informazioni, vedere Protezione Web di Microsoft Defender per endpoint.

Eseguire l'onboarding di dispositivi iOS/iPadOS

Dopo aver stabilito la connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint, è possibile eseguire l'onboarding dei dispositivi iOS/iPadOS in Microsoft Defender per endpoint. L'onboarding configura i dispositivi affinché comunichino con Defender per endpoint. Raccolgono quindi i dati sul livello di rischio dei dispositivi.

Non esiste un pacchetto di configurazione per i dispositivi che eseguono iOS/iPadOS. Vedere invece Panoramica di Microsoft Defender per endpoint per iOS per i prerequisiti e istruzioni di onboarding per iOS/iPadOS.

Per i dispositivi che eseguono iOS/iPadOS (in modalità con supervisione), è possibile usare funzionalità specializzate in base alle maggiori funzionalità di gestione offerte dalla piattaforma in questi tipi di dispositivi. Per sfruttare tali funzionalità, l'app Defender deve sapere se un dispositivo è in modalità di supervisione. Intune consente di configurare l'app Defender per iOS tramite un criterio di Configurazione app (per i dispositivi gestiti). Come procedura consigliata, questo criterio deve essere destinato a tutti i dispositivi iOS. Per altre informazioni, vedere Completare la distribuzione per i dispositivi con supervisione.

1. Passare all'interfaccia di amministrazione Microsoft Intune come indicato in precedenza.
2. Nell'interfaccia di amministrazione Microsoft Intune selezionare App nel riquadro di spostamento a sinistra.
3. Nelle app | Nella sezione Criteri nel riquadro centrale della pagina Panoramica selezionare Criteri di configurazione dell'app.
4. Nelle app | Pagina Criteri di configurazione dell'app selezionare +Aggiungi sulla barra dei menu. Nel menu a discesa visualizzato selezionare Dispositivi gestiti. In questo modo viene avviata la Creazione guidata criteri di configurazione dell'app .
5. Nella scheda Informazioni di base della configurazione guidata dell'app immettere un nome e una descrizione dei criteri (facoltativo).
6. Nel campo Piattaforma selezionare iOS/iPadOS.
7. A destra di App di destinazione selezionare il collegamento Seleziona app .
8. Nel riquadro App associata visualizzato selezionare Word e quindi selezionare Avanti.
9. Scegliere Avanti.
10. Nella scheda Impostazioni impostare il formato impostazioni di configurazione su Usa Progettazione configurazione.
11. Nel campo Chiave di configurazione visualizzato immettere issupervised.
12. Nel campo Tipo di valore selezionare Stringa.
13. Nel campo Valore di configurazione immettere {{issupervised}}.
14. Selezionare Avanti nella scheda Impostazioni .
15. Nella scheda Assegnazioni selezionare i gruppi per ricevere questo profilo. Per questo scenario, selezionare +Aggiungi tutti i dispositivi nella barra dei menu in Gruppi inclusi. È consigliabile scegliere come destinazione tutti i dispositivi. Quando un amministratore distribuisce un utente ai gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri.
16. Selezionare Avanti nella scheda Assegnazioni .
17. Nella pagina Rivedi e crea selezionare Crea dopo aver completato la revisione e la verifica dei dettagli. I nuovi criteri devono essere visualizzati nell'elenco dei criteri di configurazione delle app. Se non compaiono immediatamente, selezionare l'opzione Aggiorna sulla barra dei menu.

Letture aggiuntive. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

Creare e assegnare criteri di conformità per impostare il livello di rischio del dispositivo

Per i dispositivi Android, iOS/iPadOS e Windows, i criteri di conformità determinano il livello di rischio che un'organizzazione considera accettabile per i propri dispositivi. Microsoft Defender per endpoint esegue la valutazione effettiva del livello di rischio per ogni dispositivo, usando i criteri di conformità come uno dei fattori di valutazione.

Quando un amministratore crea un criterio di conformità in Microsoft Intune per impostare il livello di rischio del dispositivo, definisce i criteri che il dispositivo deve soddisfare per rispettare gli standard di sicurezza dell'organizzazione. I criteri di conformità valutano lo stato corrente del dispositivo in base a questi criteri. Genera quindi un report di conformità, che invia a Microsoft Defender per endpoint.

Microsoft Defender per endpoint quindi analizza il report di conformità, insieme ad altri dati di sicurezza e intelligence sulle minacce, per determinare il livello di rischio complessivo del dispositivo. Il livello di rischio si basa su un'ampia gamma di fattori, tra cui:

• Stato di conformità del dispositivo
• Configurazione software e hardware del dispositivo
• Attività di rete
• Altri indicatori di potenziali minacce alla sicurezza

Riepilogo:

• I criteri di conformità definiscono i criteri per la conformità del dispositivo.
• Microsoft Defender per endpoint esegue la valutazione effettiva del livello di rischio del dispositivo.
• Microsoft Intune distribuisce e applica i criteri nel dispositivo.

Se non si ha familiarità con la creazione di un criterio di conformità, fare riferimento alla procedura Creare un criterio dall'articolo Creare un criterio di conformità in Microsoft Intune. Le informazioni seguenti sono specifiche per la configurazione di Microsoft Defender per endpoint come parte di un criterio di conformità:

1. Passare all'interfaccia di amministrazione Microsoft Intune come indicato in precedenza.

2. Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi nel riquadro di spostamento a sinistra.

3. Nei dispositivi | Nella sezione Criteri nel riquadro centrale della pagina Panoramica selezionare Criteri di conformità.

4. Nei criteri di conformità | Pagina Criteri selezionare +Crea profilo sulla barra dei menu.

5. Nel riquadro Crea un criterio visualizzato selezionare in nel campo Piattaforma e quindi selezionare una delle piattaforme dal menu a discesa visualizzato. Selezionare Crea. In questo modo viene avviata la procedura guidata dei criteri di conformità [piattaforma selezionata ].

6. Nella procedura guidata criteri di conformità [piattaforma selezionata] immettere un nome e una descrizione dei criteri nella scheda Informazioni di base (facoltativo). Seleziona Avanti.

7. Nella scheda Impostazioni di conformità espandere il gruppo Microsoft Defender per endpoint. Selezionare il campo Richiedi che il dispositivo sia in corrispondenza o sotto il campo punteggio di rischio del computer . Nel menu a discesa visualizzato selezionare il livello preferito. Per altre informazioni, vedere Microsoft Defender per endpoint determina le classificazioni a livello di minaccia.

   • Chiaro. Questo livello è il più sicuro. Il dispositivo non può avere minacce esistenti e accedere comunque alle risorse aziendali. Microsoft Defender per endpoint valuta i dispositivi con eventuali minacce come non conformi. Microsoft Defender per endpoint usa il valore Sicuro.
   • Basso. Il dispositivo è conforme se esistono solo minacce di basso livello. Microsoft Defender per endpoint valuta i dispositivi con livelli di minaccia medi o elevati come non conformi.
   • Medio. Il dispositivo è conforme se le minacce rilevate nel dispositivo sono basse o medie. Microsoft Defender per endpoint valuta i dispositivi con livelli di minaccia elevati come non conformi.
   • Elevato. Questo livello è il meno sicuro e consente tutti i livelli di minaccia. I criteri classificano i dispositivi con livelli di minaccia elevati, medi o bassi come conformi.

8. Selezionare Avanti nella scheda Impostazioni di conformità .

9. Nella scheda Azioni per la non conformità aggiungere la sequenza di azioni nei dispositivi non conformi. Si noti l'azione predefinita denominata Contrassegna il dispositivo non conforme, che Microsoft Defender per endpoint esegue immediatamente dopo aver valutato un dispositivo come non conforme. Facoltativamente, è possibile modificare la pianificazione per questa azione se non si vuole che l'azione venga eseguita immediatamente. Aggiungere qualsiasi altra azione non conforme come richiesto dall'organizzazione e quindi selezionare Avanti.

10. Nella scheda Assegnazioni selezionare i gruppi per ricevere questo profilo. Per questo scenario, selezionare +Aggiungi tutti i dispositivi nella barra dei menu in Gruppi inclusi. È consigliabile scegliere come destinazione tutti i dispositivi. Quando un amministratore distribuisce un utente ai gruppi di utenti, un utente deve accedere a un dispositivo prima dell'applicazione dei criteri.

11. Selezionare Avanti nella scheda Assegnazioni .

12. Nella pagina Rivedi e crea selezionare Crea dopo aver completato la revisione e la verifica dei dettagli. Dopo che il sistema ha creato il criterio, viene visualizzata una finestra per i criteri appena creati.

Creare e assegnare criteri di protezione delle app per impostare il livello di minaccia del dispositivo

Quando si creano criteri di protezione delle app per un'app protetta, Microsoft Intune distribuisce i criteri nel dispositivo. Il servizio protezione app Microsoft Intune applica quindi i criteri. Tuttavia, Microsoft Defender per endpoint esegue la valutazione del livello di minaccia del dispositivo. A tale scopo, monitora continuamente il dispositivo alla ricerca di potenziali minacce alla sicurezza e vulnerabilità.

I criteri di protezione delle app consentono di proteggere l'app e i relativi dati nel dispositivo, ma non influiscono direttamente sulla valutazione del livello di minaccia del dispositivo. Piuttosto, Microsoft Defender per endpoint determina il livello di minaccia del dispositivo in base a un'ampia gamma di fattori, tra cui:

• Threat intelligence
• Analisi comportamentale
• Altri dati di sicurezza raccolti e analizzati dal servizio Microsoft Defender per endpoint.

Riepilogo:

• Microsoft Intune distribuisce e applica i criteri di protezione delle app.
• Microsoft Defender per endpoint valuta il livello di minaccia del dispositivo.

Esaminare la procedura per creare un criterio di protezione delle applicazioni per iOS/iPadOS o Android. Usare quindi le informazioni seguenti nelle pagine App, Avvio condizionale e Attività:

• App. Selezionare le app di destinazione dei criteri di protezione delle app. Un amministratore può quindi bloccare o cancellare in modo selettivo queste app in base alla valutazione dei rischi del dispositivo da parte del fornitore di Mobile Threat Defense scelto.

• Avvio condizionale. In Condizioni del dispositivo usare la casella a discesa per selezionare Massimo livello di minaccia consentito per il dispositivo. Selezionare una delle opzioni seguenti per il livello di minaccia Valore:

  • Protetto. Questo livello è il più sicuro. Nel dispositivo non possono essere presenti minacce per poter accedere alle risorse aziendali. Microsoft Defender per endpoint valuta i dispositivi con eventuali minacce come non conformi.
  • Basso. Il dispositivo è conforme se sono presenti solo minacce di livello basso. Microsoft Defender per endpoint valuta i dispositivi con livelli di minaccia medi o elevati come non conformi.
  • Medio. Il dispositivo è conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Microsoft Defender per endpoint valuta i dispositivi con livelli di minaccia elevati come non conformi.
  • Elevato. Questo livello è il meno sicuro e consente tutti i livelli di minaccia, usando Mobile Threat Defense (MTD) solo a scopo di creazione di report. I dispositivi devono avere l'app MTD attivata con questa impostazione. Selezionare una delle opzioni consigliate seguenti per l'esecuzione dell'amministratore in base all'azione a livello di minaccia:
    • Blocca accesso
    • Cancella i dati

• Attività. Assegnare i criteri a gruppi di utenti. Intune protezione delle app valuta i dispositivi usati dai membri del gruppo per l'accesso ai dati aziendali nelle app di destinazione.

Creare un criterio di accesso condizionale

I criteri di accesso condizionale possono usare i dati di Microsoft Defender per endpoint per bloccare l'accesso alle risorse per i dispositivi che superano il livello di minaccia impostato. È possibile bloccare l'accesso dal dispositivo alle risorse aziendali, ad esempio SharePoint o Exchange Online. Questo servizio applica i criteri di accesso condizionale per Microsoft 365 e altri servizi cloud Microsoft. Quando Microsoft Defender per endpoint considera un dispositivo non conforme, il servizio di accesso condizionale riceve una notifica e può intervenire per bloccare l'accesso di quel dispositivo alle risorse aziendali.

Riepilogo:

• Microsoft Defender per endpoint fornisce i dati di intelligence sulle minacce e di valutazione dei rischi usati dal servizio di accesso condizionale per determinare se un dispositivo è conforme.
• Microsoft Intune distribuisce i criteri di conformità ai dispositivi e garantisce che soddisfino gli standard di sicurezza richiesti.
• Il servizio di accesso condizionale in Microsoft Entra ID blocca i dispositivi che superano il livello di minaccia impostato da un'organizzazione.

Completare la procedura seguente per creare criteri di accesso condizionale in base alla conformità del dispositivo:

1. Passare all'interfaccia di amministrazione Microsoft Intune come indicato in precedenza.

2. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare Sicurezza degli endpoint nel riquadro di spostamento a sinistra.

3. Nella pagina Sicurezza degli endpoint | Panoramica, nella sezione Gestione del riquadro di spostamento centrale, selezionare Accesso condizionale.

4. Nella pagina Accesso condizionale | Criteri, selezionare +Nuovo criterio sulla barra dei menu.

5. Nella pagina Nuovo immettere un nome del criterio. Quindi, definire le assegnazioni e i controlli di accesso associati ai criteri. Ad esempio:

   • Nella sezione Utenti usare le schede Includi o Escludi per configurare i gruppi che ricevono questo criterio.

   • Per Risorse di destinazione, impostare Selezionare l'applicazione di questo criterio alleapp cloud e quindi scegliere le app da proteggere. Ad esempio, scegliere Seleziona app e quindi selezionare Seleziona, cercare e selezionare Office 365 SharePoint Online e Office 365 Exchange Online.

   • In Condizioni selezionare App client e quindi impostare Configura su Sì. Selezionare quindi le caselle di controllo per app browser e per dispositivi mobili e client desktop. Selezionare quindi Fine per salvare la configurazione dell'app client.

   • Per Concedi, configurare questo criterio per l'applicazione in base alle regole di conformità del dispositivo. Ad esempio:

     1. Selezionare Concedi accesso.
     2. Selezionare la casella di controllo Richiedi che il dispositivo sia contrassegnato come conforme.
     3. Selezionare Richiedi tutti i controlli selezionati. Scegliere Seleziona per salvare la configurazione concedi.

   • In Abilita criterio selezionare Sì e quindi Crea per salvare le modifiche.

Verifica delle conoscenze

Scegliere la risposta migliore per ognuna di queste domande.