Konfigurieren von Defender für Endpunkt unter Android-Features

Gilt für:

Bedingter Zugriff mit Defender für Endpunkt unter Android

Microsoft Defender for Endpoint unter Android zusammen mit Microsoft Intune und Azure Active Directory ermöglicht das Erzwingen der Gerätekompatibilität und der Richtlinien für bedingten Zugriff basierend auf Geräterisikostufen. Defender für Endpunkt ist eine Mobile Threat Defense (MTD)-Lösung, die Sie bereitstellen können, um diese Funktion über Intune zu nutzen.

Weitere Informationen zum Einrichten von Defender für Endpunkt unter Android und bedingtem Zugriff finden Sie unter Defender für Endpunkt und Intune.

Konfigurieren von benutzerdefinierten Indikatoren

Hinweis

Defender für Endpunkt unter Android unterstützt nur das Erstellen benutzerdefinierter Indikatoren für IP-Adressen und URLs/Domänen.

Defender für Endpunkt unter Android ermöglicht Administratoren das Konfigurieren von benutzerdefinierten Indikatoren zur Unterstützung von Android-Geräten. Weitere Informationen zum Konfigurieren von benutzerdefinierten Indikatoren finden Sie unter Verwalten von Indikatoren.

Konfigurieren des Webschutzes

Defender für Endpunkt unter Android ermöglicht IT-Administratoren die Konfiguration des Webschutzfeatures. Diese Funktion ist im Microsoft Endpoint Manager Admin Center verfügbar.

Hinweis

Defender für Endpunkt unter Android würde ein VPN verwenden, um das Webschutzfeature bereitzustellen. Dies ist kein normales VPN und ist ein lokales/selbstschleifendes VPN, das keinen Datenverkehr außerhalb des Geräts nimmt. Weitere Informationen finden Sie unter Konfigurieren des Webschutzes auf Geräten, auf denen Android ausgeführt wird.

Netzwerkschutz

Hinweis

Der Netzwerkschutz auf Microsoft Defender for Endpoint befindet sich jetzt in der öffentlichen Vorschau. Die folgenden Informationen beziehen sich auf vorab eingeführte Produkte, die vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert werden. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Dieses Feature bietet Schutz vor nicht autorisierten Wi-Fi verwandten Bedrohungen und nicht autorisierten Zertifikaten, die der primäre Angriffsvektor für Wi-Fi Netzwerke sind. Administratoren können die Stammzertifizierungsstelle (Ca) und private Stammzertifizierungsstellenzertifikate im Microsoft Endpoint Manager Admin Center auflisten und eine Vertrauensstellung mit Endpunkten einrichten. Es bietet dem Benutzer eine geführte Erfahrung, um eine Verbindung mit sicheren Netzwerken herzustellen, und benachrichtigt ihn auch, wenn eine verwandte Bedrohung erkannt wird.

Es enthält mehrere Administratorsteuerelemente, um Flexibilität zu bieten, z. B. die Möglichkeit, das Feature im Microsoft Endpoint Manager Admin Center zu konfigurieren und vertrauenswürdige Zertifikate hinzuzufügen. Administratoren können auch Datenschutzsteuerelemente aktivieren, um die Daten zu konfigurieren, die von Defender für Endpunkt von Android-Geräten gesendet werden.

Der Netzwerkschutz in Microsoft Defender für Endpunkt ist standardmäßig aktiviert. Administratoren können die folgenden Schritte zum Konfigurieren des Netzwerkschutzes auf Android-Geräten verwenden.

  1. Navigieren Sie in Microsoft Endpoint Manager Admin zu Den Konfigurationsrichtlinien für Apps > Apps. Erstellen Sie eine neue App-Konfigurationsrichtlinie.

    Abbildung des Erstellens einer Richtlinie.

  2. Geben Sie einen Namen und eine Beschreibung an, um die Richtlinie eindeutig zu identifizieren. Wählen Sie "Android Enterprise" als Plattform und "Nur persönliches Arbeitsprofil" als Profiltyp und "Microsoft Defender" als Gezielte App aus.

    Abbildung der Richtliniendetails.

  3. Wählen Sie auf der Seite "Einstellungen " die Option "Konfigurations-Designer verwenden" aus, und fügen Sie "Netzwerkschutz in Microsoft Defender aktivieren" als Schlüssel und Wert als "0" hinzu, um Den Netzwerkschutz zu deaktivieren. (Der Netzwerkschutz ist standardmäßig aktiviert.

    Abbildung der Auswahl der Richtlinie zum Aktivieren des Netzwerkschutzes

    Abbildung des Hinzufügens einer Konfigurationsrichtlinie.

  4. Wenn Ihre Organisation Stammzertifizierungsstellen verwendet, die privater Natur sein könnten, muss eine explizite Vertrauensstellung zwischen Intune (MDM-Lösung) und den Geräten des Benutzers eingerichtet werden, damit Defender sie nicht als nicht autorisierte Zertifikate erkennt.

    Um eine Vertrauensstellung für die Stammzertifizierungsstellen einzurichten, verwenden Sie "Vertrauenswürdige Zertifizierungsstellen-Zertifikatliste für Netzwerkschutz (Vorschau)" als Schlüssel, und fügen Sie im Wert die "durch Trennzeichen getrennte Liste der Zertifikatfingerabdrücke" hinzu.

    Abbildung des Zertifikats einer vertrauenswürdigen Zertifizierungsstelle.

  5. Fügen Sie für andere Konfigurationen im Zusammenhang mit dem Netzwerkschutz die folgenden Schlüssel und den entsprechenden Wert hinzu.

    Konfigurationsschlüssel Beschreibung
    Aktivieren des Netzwerkschutz-Datenschutzes 1 - Aktivieren , 0 - Deaktivieren ; Diese Einstellung wird von IT-Administratoren verwaltet, um den Datenschutz im Netzwerkschutz zu aktivieren oder zu deaktivieren.
    Aktivieren von Benutzern zum Vertrauen von Netzwerken und Zertifikaten 1 - Aktivieren , 0 - Deaktivieren ; Diese Einstellung wird von IT-Administratoren verwendet, um die In-App-Erfahrung des Endbenutzers zu aktivieren oder zu deaktivieren, um den unsicheren und verdächtigen Netzwerken und schädlichen Zertifikaten zu vertrauen und sie nicht zu vertrauen.
    Automatische Behebung von Netzwerkschutzwarnungen 1 - Aktivieren , 0 - Deaktivieren ; Diese Einstellung wird von IT-Administratoren verwendet, um die Wartungswarnungen zu aktivieren oder zu deaktivieren, die gesendet werden, wenn ein Benutzer Wartungsaktivitäten ausführt, z. B. den Wechsel zu einer sichereren Wi-Fi Zugriffspunkte oder das Löschen verdächtiger Zertifikate, die von Defender erkannt wurden.
  6. Fügen Sie die erforderlichen Gruppen hinzu, auf die die Richtlinie angewendet werden muss. Überprüfen und erstellen Sie die Richtlinie.

Datenschutzsteuerelemente

Zum Konfigurieren der Daten, die von Defender für Endpunkt von Android-Geräten gesendet werden, stehen die folgenden Datenschutzsteuerelemente zur Verfügung:

Bedrohungsbericht Details
Schadsoftwarebericht Administratoren können die Datenschutzsteuerung für den Schadsoftwarebericht einrichten. Wenn der Datenschutz aktiviert ist, sendet Defender für Endpunkt den Namen der Schadsoftware-App und andere App-Details nicht als Teil des Malware-Warnungsberichts.
Phishing-Bericht Administratoren können die Datenschutzsteuerung für den Phishing-Bericht einrichten. Wenn der Datenschutz aktiviert ist, sendet Defender für Endpunkt den Domänennamen und die Details der unsicheren Website nicht als Teil des Phishingbenachrichtigungsberichts.
Sicherheitsrisikobewertung von Apps (nur Android) Standardmäßig werden nur Informationen zu im Arbeitsprofil installierten Apps zur Sicherheitsrisikobewertung gesendet. Administratoren können den Datenschutz deaktivieren, um persönliche Apps einzuschließen
Netzwerkschutz (Vorschau) Administratoren können den Datenschutz im Netzwerkschutz aktivieren oder deaktivieren. Wenn diese Option aktiviert ist, sendet Defender keine Netzwerkdetails.

Konfigurieren des Berichts über Datenschutzwarnungen

Administratoren können jetzt die Datenschutzsteuerung für den Phishing-Bericht, den Schadsoftwarebericht und den Netzwerkbericht aktivieren, der von Microsoft Defender for Endpoint unter Android gesendet wird. Dadurch wird sichergestellt, dass der Domänenname, die App-Details und die Netzwerkdetails nicht als Teil der Warnung gesendet werden, wenn eine entsprechende Bedrohung erkannt wird.

Admin Privacy Controls (MDM) Führen Sie die folgenden Schritte aus, um den Datenschutz zu aktivieren.

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu "Apps > App-Konfigurationsrichtlinien" > "> verwaltete Geräte hinzufügen".

  2. Geben Sie der Richtlinie einen Namen, Plattform > Android Enterprise, wählen Sie den Profiltyp aus.

  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.

  4. Wählen Sie auf der Seite "Einstellungen" die Option "Konfigurations-Designer verwenden " aus, und klicken Sie auf "Hinzufügen".

  5. Wählen Sie die erforderliche Datenschutzeinstellung aus –

    • Ausblenden von URLs im Bericht
    • Ausblenden von URLs im Bericht für persönliches Profil
    • Ausblenden von App-Details im Bericht
    • Ausblenden von App-Details im Bericht für persönliches Profil
    • Aktivieren des Netzwerkschutz-Datenschutzes
  6. Um den Datenschutz zu aktivieren, geben Sie den ganzzahligen Wert als 1 ein, und weisen Sie diese Richtlinie Den Benutzern zu. Standardmäßig ist dieser Wert für MDE im Arbeitsprofil auf 0 und für MDE im persönlichen Profil auf 1 festgelegt.

  7. Überprüfen Sie dieses Profil, und weisen Sie es gezielten Geräten/Benutzern zu.

Datenschutzsteuerelemente für Endbenutzer

Diese Steuerelemente helfen dem Endbenutzer, die für seine Organisation freigegebenen Informationen zu konfigurieren.

  1. Bei Android Enterprise-Arbeitsprofilen sind Endbenutzersteuerelemente nicht sichtbar. Administratoren steuern diese Einstellungen.
  2. Für ein persönliches Android Enterprise-Profil wird das Steuerelement unter "Einstellungen> Datenschutz" angezeigt.
  3. Benutzern wird eine Umschaltfläche für unsichere Websiteinformationen, schädliche Anwendungen und Netzwerkschutz angezeigt.

Diese Umschalten sind nur sichtbar, wenn sie vom Administrator aktiviert werden. Benutzer können entscheiden, ob sie die Informationen an ihre Organisation senden möchten oder nicht.

Das Aktivieren/Deaktivieren der oben genannten Datenschutzsteuerelemente wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren der Sicherheitsrisikobewertung von Apps für BYOD-Geräte

Ab Version 1.0.3425.0303 von Microsoft Defender for Endpoint unter Android können Sie Sicherheitsrisikobewertungen von Betriebssystemen und Apps ausführen, die auf den integrierten mobilen Geräten installiert sind.

Hinweis

Die Sicherheitsrisikobewertung ist Teil Microsoft Defender Sicherheitsrisikomanagement in Microsoft Defender for Endpoint.

Hinweise zum Datenschutz im Zusammenhang mit Apps von persönlichen Geräten (BYOD):

  • Für Android Enterprise mit einem Arbeitsprofil werden nur Apps unterstützt, die im Arbeitsprofil installiert sind.
  • Für andere BYOD-Modi ist die Sicherheitsrisikobewertung von Apps standardmäßig nicht aktiviert. Wenn sich das Gerät jedoch im Administratormodus befindet, können Administratoren dieses Feature explizit über Microsoft Endpoint Manager aktivieren, um die Liste der auf dem Gerät installierten Apps abzurufen. Weitere Informationen finden Sie unten in den Details.

Konfigurieren des Datenschutzes für den Geräteadministratormodus

Führen Sie die folgenden Schritte aus, um die Sicherheitsrisikobewertung von Apps von Geräten im Geräteadministratormodus für benutzerorientierte Benutzer zu aktivieren.

Hinweis

Standardmäßig ist dies für Geräte deaktiviert, die im Geräteadministratormodus registriert sind.

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu **"**Gerätekonfigurationsprofile > > erstellen", und geben Sie die folgenden Einstellungen ein:

    • Plattform: Android-Geräteadministrator auswählen
    • Profil: Wählen Sie "Benutzerdefiniert" aus, und klicken Sie auf "Erstellen".
  2. Geben Sie im Abschnitt "Grundlagen " einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den Konfigurationseinstellungen die Einstellung "OMA-URI hinzufügen" aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 0 ein, um die Datenschutzeinstellung zu deaktivieren (standardmäßig ist der Wert 1)
  4. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Konfigurieren des Datenschutzes für das Android Enterprise-Arbeitsprofil

Defender für Endpunkt unterstützt die Sicherheitsrisikobewertung von Apps im Arbeitsprofil. Wenn Sie dieses Feature jedoch für benutzerorientierte Benutzer deaktivieren möchten, können Sie die folgenden Schritte ausführen:

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu App-Konfigurationsrichtlinien > > zum Hinzufügen > verwalteter Geräte.
  2. Geben Sie der Richtlinie einen Namen; Plattform > Android Enterprise; wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite "Einstellungen" die Option "Konfigurations-Designer verwenden" aus, und fügen Sie DefenderTVMPrivacyMode als Schlüssel- und Werttyp als ganze Zahl hinzu.
    • Um die Sicherheitsanfälligkeit von Apps im Arbeitsprofil zu deaktivieren, geben Sie "Wert" ein 1 , und weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf 0.
    • Für Benutzer, deren Schlüssel festgelegt ist 0, sendet Defender für Endpunkt die Liste der Apps aus dem Arbeitsprofil zur Bewertung der Sicherheitsanfälligkeit an den Back-End-Dienst.
  5. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Das Aktivieren oder Deaktivieren der oben genannten Datenschutzsteuerelemente wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzes für den Phishing-Benachrichtigungsbericht

Die Datenschutzsteuerung für Phishing-Berichte kann verwendet werden, um die Sammlung von Domänennamen oder Websiteinformationen im Phishing-Bedrohungsbericht zu deaktivieren. Dies gibt Organisationen die Flexibilität auszuwählen, ob sie den Domänennamen sammeln möchten, wenn eine bösartige oder phishing-Website von Defender für Endpunkt erkannt und blockiert wird.

Konfigurieren des Datenschutzes für den Phishing-Benachrichtigungsbericht auf registrierten Geräten des Android-Geräteadministrators:

Führen Sie die folgenden Schritte aus, um sie für benutzerorientierte Benutzer zu aktivieren:

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu **"**Gerätekonfigurationsprofile > > erstellen", und geben Sie die folgenden Einstellungen ein:

    • Plattform: Wählen Sie den Android-Geräteadministrator aus.
    • Profil: Wählen Sie "Benutzerdefiniert" aus, und klicken Sie auf "Erstellen".
  2. Geben Sie im Abschnitt "Grundlagen " einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den Konfigurationseinstellungen die Einstellung "OMA-URI hinzufügen" aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 1 ein, um die Datenschutzeinstellung zu aktivieren. Der Standardwert ist 0.
  4. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Die Verwendung dieses Datenschutzsteuerelements wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzes für den Phishing-Benachrichtigungsbericht im Android Enterprise-Arbeitsprofil

Führen Sie die folgenden Schritte aus, um den Datenschutz für benutzerorientierte Benutzer im Arbeitsprofil zu aktivieren:

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu App-Konfigurationsrichtlinien > > zum Hinzufügen > verwalteter Geräte.
  2. Geben Sie der Richtlinie einen Namen, Plattform > Android Enterprise, wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite "Einstellungen" die Option "Konfigurations-Designer verwenden " aus, und fügen Sie "DefenderExcludeURLInReport " als Schlüssel- und Werttyp als ganze Zahl hinzu.
    • Geben Sie 1 ein, um den Datenschutz zu aktivieren. Der Standardwert ist 0.
  5. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Das Aktivieren oder Deaktivieren der oben genannten Datenschutzsteuerelemente wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzes für schadsoftwarebedrohungsbericht

Die Datenschutzkontrolle für den Schadsoftware-Bedrohungsbericht kann verwendet werden, um die Sammlung von App-Details (Name und Paketinformationen) aus dem Malware-Bedrohungsbericht zu deaktivieren. Auf diese Weise können Organisationen auswählen, ob sie den App-Namen sammeln möchten, wenn eine schädliche App erkannt wird.

Konfigurieren des Datenschutzes für Schadsoftware-Warnungsbericht auf registrierten Geräten des Android-Geräteadministrators:

Führen Sie die folgenden Schritte aus, um sie für benutzerorientierte Benutzer zu aktivieren:

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu **"**Gerätekonfigurationsprofile > > erstellen", und geben Sie die folgenden Einstellungen ein:

    • Plattform: Wählen Sie den Android-Geräteadministrator aus.
    • Profil: Wählen Sie "Benutzerdefiniert" aus, und klicken Sie auf "Erstellen".
  2. Geben Sie im Abschnitt "Grundlagen " einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den Konfigurationseinstellungen die Einstellung "OMA-URI hinzufügen" aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 1 ein, um die Datenschutzeinstellung zu aktivieren. Der Standardwert ist 0.
  4. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Die Verwendung dieses Datenschutzsteuerelements wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus. Beispielsweise weisen Geräte mit einer schädlichen App immer ein Risikoniveau von "Mittel" auf.

Konfigurieren des Datenschutzes für den Malware-Warnungsbericht im Android Enterprise-Arbeitsprofil

Führen Sie die folgenden Schritte aus, um den Datenschutz für benutzerorientierte Benutzer im Arbeitsprofil zu aktivieren:

  1. Wechseln Sie im Microsoft Endpoint Manager Admin Center zu App-Konfigurationsrichtlinien > > zum Hinzufügen > verwalteter Geräte.
  2. Geben Sie der Richtlinie einen Namen, Plattform > Android Enterprise, wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite "Einstellungen" die Option "Konfigurations-Designer verwenden" aus, und fügen Sie DefenderExcludeAppInReport als Schlüssel- und Werttyp als ganze Zahl hinzu.
    • Geben Sie 1 ein, um den Datenschutz zu aktivieren. Der Standardwert ist 0.
  5. Klicken Sie auf "Weiter ", und weisen Sie dieses Profil gezielten Geräten/Benutzern zu.

Die Verwendung dieses Datenschutzsteuerelements wirkt sich nicht auf die Gerätekompatibilitätsprüfung oder den bedingten Zugriff aus. Beispielsweise weisen Geräte mit einer schädlichen App immer ein Risikoniveau von "Mittel" auf.