Configurar o Acesso Condicional no Microsoft Defender para Endpoint

Esta secção orienta-o ao longo de todos os passos necessários para implementar corretamente o Acesso Condicional.

Antes de começar

Tem de se certificar de que todos os seus dispositivos estão inscritos no Intune. Pode utilizar qualquer uma das seguintes opções para inscrever dispositivos no Intune:

• Administração de TI: para obter mais informações sobre como ativar a inscrição automática, consulte Ativar a inscrição automática do Windows.
• Utilizador final: para obter mais informações sobre como inscrever o seu dispositivo Windows 10 e Windows 11 no Intune, consulte Inscrever o seu dispositivo Windows no Intune.
• Alternativa ao utilizador final: para obter mais informações sobre como associar um domínio Microsoft Entra, consulte Como: Planear a implementação da associação Microsoft Entra.

Existem passos que terá de seguir no portal do Microsoft Defender, no portal do Intune e no centro de administração do Microsoft Entra.

É importante ter em atenção as funções necessárias para aceder a estes portais e implementar o Acesso Condicional:

• Microsoft Defender portal – terá de iniciar sessão no portal com uma função adequada para ativar a integração. Veja Opções de permissão.
• Intune – terá de iniciar sessão no portal com direitos de Administrador de Segurança com permissões de gestão.
• Microsoft Entra centro de administração – terá de iniciar sessão como Administrador de Segurança ou Administrador de Acesso Condicional.

Precisará de um ambiente do Microsoft Intune, com dispositivos Windows 10 e Windows 11 associados ao Intune e Microsoft Entra associados.

Siga os seguintes passos para ativar o Acesso Condicional:

• Passo 1: ativar a ligação do Microsoft Intune a partir do Microsoft Defender XDR
• Passo 2: ativar a integração do Defender para Endpoint no Intune
• Passo 3: criar a política de conformidade no Intune
• Passo 4: atribuir a política
• Passo 5: Criar uma política de Acesso Condicional Microsoft Entra

Passo 1: ativar a ligação do Microsoft Intune

1. No painel de navegação, selecione Definições Pontos finais>Funcionalidades Avançadas>Gerais>Ligação> doMicrosoft Intune.

2. Alterne a definição do Microsoft Intune para Ativado.

3. Clique em Guardar preferências.

Passo 2: ativar a integração do Defender para Endpoint no Intune

1. Iniciar sessão no portal do Intune

2. Selecione Segurança > de Ponto FinalMicrosoft Defender para Endpoint.

3. Defina Ligar dispositivos Windows 10.0.15063+ para Microsoft Defender Advanced Threat Protection como Ativado.

4. Clique em Guardar.

Passo 3: criar a política de conformidade no Intune

1. Na portal do Azure, selecione Todos os serviços, filtre no Intune e selecione Microsoft Intune.

2. SelecionePolíticas> de conformidade> do dispositivoCriar política.

3. Introduza um Nome e uma Descrição.

4. Em Plataforma, selecione Windows 10 e posterior.

5. Nas definições do Estado de Funcionamento do Dispositivo , defina Exigir que o dispositivo esteja no nível de Ameaça do Dispositivo ou abaixo do nível preferencial:

   • Seguro: este nível é o mais seguro. O dispositivo não pode ter ameaças existentes e ainda aceder aos recursos da empresa. Se forem encontradas ameaças, o dispositivo é avaliado como não conforme.
   • Baixo: o dispositivo está em conformidade se só existirem ameaças de baixo nível. Os dispositivos com níveis de ameaça médios ou elevados não estão em conformidade.
   • Médio: o dispositivo está em conformidade se as ameaças encontradas no dispositivo forem baixas ou médias. Se forem detetadas ameaças de alto nível, o dispositivo é determinado como não conforme.
   • Elevado: este nível é o menos seguro e permite todos os níveis de ameaça. Assim, os dispositivos com níveis de ameaça elevados, médios ou baixos são considerados conformes.

6. Selecione OK e Criar para guardar as alterações (e criar a política).

Passo 4: atribuir a política

1. Na portal do Azure, selecione Todos os serviços, filtre no Intune e selecione Microsoft Intune.

2. SelecionePolíticas> de conformidade> do dispositivo, selecione a sua política de conformidade Microsoft Defender para Endpoint.

3. Selecione Tarefas.

4. Inclua ou exclua os grupos de Microsoft Entra para lhes atribuir a política.

5. Para implementar a política nos grupos, selecione Guardar. Os dispositivos de utilizador visados pela política são avaliados quanto à conformidade.

Passo 5: Criar uma política de Acesso Condicional Microsoft Entra

1. Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, um Administrador de Acesso Condicional.
2. Navegue para Entra ID>Políticas de Acesso> Condicional.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.
5. Em Atribuições, selecione Utilizadores ou identidades da carga de trabalho.
   1. Em Incluir, selecione Todos os utilizadores
   2. Em Excluir:
      1. Selecionar Utilizadores e grupos
         1. Selecione o acesso de emergência da sua organização ou contas break-glass.
         2. Se utilizar soluções de identidade híbrida, como o Microsoft Entra Connect ou o Microsoft Entra Connect Cloud Sync, selecione Funções de diretório e, em seguida, selecione Contas de Sincronização de Diretórios
6. Em Recursos de destino>(anteriormente aplicações na cloud)>Inclua, selecione Todos os recursos (anteriormente "Todas as aplicações na cloud").
7. Em Concessão de controlos de> acesso.
   1. Selecione Exigir que o dispositivo seja marcado como conforme.
   2. Selecione Selecionar.
8. Confirme as definições e defina Ativar política como Apenas Relatório.
9. Selecione Criar para criar para ativar a sua política.

Depois de confirmar as definições através do impacto da política ou do modo só de relatório, mova o botão de alternar Ativar política de Apenas Relatório para Ativado.

Para obter mais informações, veja Impor a conformidade para Microsoft Defender para Endpoint com o Acesso Condicional no Intune.