Usare Microsoft Defender per endpoint per imporre la conformità dei dispositivi con Microsoft Intune

È possibile integrare Microsoft Defender per endpoint con Microsoft Intune come soluzione Mobile Threat Defense. L'integrazione consente di evitare violazioni della sicurezza e limitare l'impatto delle violazioni all'interno di un'organizzazione.

Per l'elenco dei sistemi operativi e delle versioni supportate, vedere i requisiti di Microsoft Defender per endpoint.

Per avere esito positivo, usare le configurazioni seguenti in concerto, descritte in dettaglio in Configurare Microsoft Defender per endpoint in Intune:

• Stabilire una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Questa connessione consente a Microsoft Defender per endpoint di raccogliere dati sui rischi del computer dai dispositivi supportati gestiti con Intune. Vedere Connettere Microsoft Defender per endpoint a Intune.

• Usare un criterio di Intune per eseguire l'onboarding dei dispositivi con Microsoft Defender per endpoint. È possibile eseguire l'onboarding dei dispositivi per configurarli per comunicare con Microsoft Defender per endpoint e fornire dati che consentono di valutarne il livello di rischio. Vedere Eseguire l'onboarding dei dispositivi.

• Usare un criterio di conformità dei dispositivi per impostare il livello di rischio che si vuole consentire. I livelli di rischio sono segnalati da Microsoft Defender per endpoint. I dispositivi che superano il livello di rischio consentito vengono identificati come non conformi. Vedere Creare e assegnare criteri di conformità per impostare il livello di rischio del dispositivo e Creare e assegnare criteri di protezione delle app per impostare il livello di rischio del dispositivo.

• Usare un criterio di accesso condizionale per impedire agli utenti di accedere alle risorse aziendali da dispositivi non conformi. Vedere Creare criteri di accesso condizionale.

Integrando Intune con Microsoft Defender per endpoint, è possibile sfruttare Microsoft Defender per endpoint Threat & Vulnerability Management (TVM) e usare Intune per correggere la debolezza degli endpoint identificata da TVM.

Esempio di uso di Microsoft Defender per endpoint con Intune

L'esempio seguente illustra come queste soluzioni interagiscono per proteggere l'organizzazione. Per questo esempio, Microsoft Defender per endpoint e Intune sono già integrati.

Si consideri un evento in cui un utente invia un allegato di Word con codice dannoso incorporato a un utente all'interno dell'organizzazione.

• L'utente apre l'allegato e abilita il contenuto.
• Viene avviato un attacco con privilegi elevati e un utente malintenzionato da un computer remoto ha diritti di amministratore per il dispositivo della vittima.
• L'utente malintenzionato accede quindi in remoto agli altri dispositivi dell'utente. Questa violazione della sicurezza può influire sull'intera organizzazione.

Microsoft Defender per endpoint consente di risolvere eventi di sicurezza come questo scenario.

• Nell'esempio Microsoft Defender per endpoint rileva che il dispositivo ha eseguito codice anomalo, ha riscontrato un'escalation dei privilegi del processo, ha inserito codice dannoso e ha emesso una shell remota sospetta.
• In base a queste azioni del dispositivo, Microsoft Defender per endpoint classifica il dispositivo come ad alto rischio e include un report dettagliato delle attività sospette nel portale di Microsoft Defender Security Center.

È possibile integrare Microsoft Defender per endpoint con Microsoft Intune come soluzione Mobile Threat Defense. L'integrazione consente di evitare violazioni della sicurezza e limitare l'impatto delle violazioni all'interno di un'organizzazione.

Poiché sono presenti criteri di conformità dei dispositivi di Intune per classificare i dispositivi con un livello di rischio medio o elevato come non conformi, il dispositivo compromesso viene classificato come non conforme. Questa classificazione consente ai criteri di accesso condizionale di attivare e bloccare l'accesso da tale dispositivo alle risorse aziendali.

Per i dispositivi che eseguono Android, è possibile usare i criteri di Intune per modificare la configurazione di Microsoft Defender per endpoint in Android. Per altre informazioni, vedere la protezione web Microsoft Defender per endpoint.

Prerequisiti

Sottoscrizioni:
Per usare Microsoft Defender per endpoint con Intune, è necessario disporre delle sottoscrizioni seguenti:

• Microsoft Defender per endpoint : questa sottoscrizione consente di accedere al Microsoft Defender Security Center (Microsoft Defender XDR).

  Per le opzioni di licenza di Defender per endpoint, vedere Requisiti di licenza in Requisiti minimi per Microsoft Defender per endpoint e Come configurare una sottoscrizione di valutazione di Microsoft 365 E5.

• Microsoft Intune : una sottoscrizione di Microsoft Intune Piano 1 fornisce l'accesso a Intune e all'interfaccia di amministrazione di Microsoft Intune.

  Per le opzioni di licenza di Intune, vedere Microsoft Intune licenze.

Dispositivi gestiti con Intune:
Le piattaforme seguenti sono supportate per Intune con Microsoft Defender per endpoint:

• Android
• iOS/iPadOS
• Windows 10/11 (aggiunto a Microsoft Entra ibrido o aggiunto a Microsoft Entra)

Per i requisiti di sistema per Microsoft Defender per endpoint, vedere Requisiti minimi per Microsoft Defender per endpoint.

Passaggi successivi

• Per connettere Microsoft Defender per endpoint a Intune, eseguire l'onboarding dei dispositivi e configurare i criteri di accesso condizionale, vedere Configurare Microsoft Defender per endpoint in Intune.

Per altre informazioni, vedere la documentazione di Intune:

• Usare le attività di sicurezza con Gestione vulnerabilità di Defender per endpoint per correggere i problemi nei dispositivi
• Introduzione ai criteri di conformità dei dispositivi

Per altre informazioni, vedere la documentazione di Microsoft Defender per endpoint:

• Accesso condizionale di Microsoft Defender per endpoint
• Portale di Microsoft Defender