Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Intune ポータル サイト登録済みデバイスに Android 上に Defender for Endpoint を展開する方法について説明します。 デバイス登録のIntuneの詳細については、「デバイスの登録」を参照してください

注意

Android 上の Defender for Endpoint が Google Play で利用できるようになりました

Intuneから Google Play に接続して、デバイス管理者と Android Enterprise の登録モード間で Defender for Endpoint アプリをデプロイできます。

アプリへの更新は Google Play を使用して自動的に行われます。

デバイス管理者が登録したデバイスに展開する

Intune ポータル サイト - デバイス管理者が登録したデバイスで Android に Defender for Endpoint を展開する方法について説明します。

Android ストア アプリとして追加する

  1. Microsoft エンドポイント マネージャー管理センターで、[Apps Android Apps Add Android store app] (Android ストア アプリの追加>****) > に移動し、[選択] を 選択します。>

    Microsoft エンドポイント マネージャー 管理 センター ポータルの [Android ストア アプリケーションの追加] ウィンドウ

  2. [ アプリの追加] ページと [ アプリ情報 ] セクションで次のように入力します。

    その他のフィールドは省略可能です。 次へ] を選択します。

    Microsoft エンドポイント マネージャー 管理 センター ポータルでアプリケーションの発行元と URL の情報を表示する [アプリの追加] ページ

  3. [割り当て] セクションの [必須] セクションに移動し、[グループの追加] を選択します。 その後、Android アプリで Defender for Endpoint をターゲットにするユーザー グループを選択できます。 [ 選択] を選択 し、[ 次へ] を選択します。

    注意

    選択したユーザー グループは、Intune登録されたユーザーで構成する必要があります。

    Microsoft エンドポイント マネージャー 管理 センター ポータルの [アプリの追加] ページの [グループの追加] ウィンドウ

  4. [ 確認と作成 ] セクションで、入力されたすべての情報が正しいことを確認し、[ 作成] を選択します。

    しばらくすると、Defender for Endpoint アプリが正常に作成され、ページの右上隅に通知が表示されます。

    Microsoft エンドポイント マネージャー 管理 センター ポータルのアプリケーションの状態ウィンドウ

  5. 表示されるアプリ情報ページの [ モニター ] セクションで、[ デバイスのインストール状態 ] を選択して、デバイスのインストールが正常に完了したことを確認します。

    Microsoft Defender 365 ポータルの [デバイスのインストール状態] ページ

オンボードを完了し、状態を確認する

  1. Android 上の Defender for Endpoint がデバイスにインストールされると、アプリ アイコンが表示されます。

    [検索] ウィンドウに表示される Microsoft Defender ATP アイコン

  2. Microsoft Defender for Endpointアプリアイコンをタップし、画面の指示に従ってアプリのオンボードを完了します。 詳細には、Android 上の Defender for Endpoint に必要な Android アクセス許可のエンドユーザー受け入れが含まれます。

  3. オンボードに成功すると、Microsoft 365 Defender ポータルの [デバイス] 一覧にデバイスが表示されます。

    Microsoft Defender for Endpoint ポータルのデバイス

Android Enterprise 登録済みデバイスにデプロイする

Android 上の Defender for Endpoint では、Android Enterprise に登録されたデバイスがサポートされます。

Intuneでサポートされている登録オプションの詳細については、「登録オプション」を参照してください。

現在、仕事用プロファイルを持つ個人所有のデバイスと、企業所有のフル マネージド ユーザー デバイスの登録が展開でサポートされています。

Android でマネージド Google Play アプリとしてMicrosoft Defender for Endpointを追加する

次の手順に従って、マネージド Google Play にアプリMicrosoft Defender for Endpoint追加します。

  1. Microsoft エンドポイント マネージャー管理センターで、[Apps > Android Apps > の追加] に移動し、[マネージド Google Play アプリ] を選択します。

    Microsoft エンドポイント マネージャー管理センター ポータルのアプリケーション追加ウィンドウ

  2. その後読み込まれるマネージド Google Play ページで、検索ボックスに移動し、次のように入力 Microsoft Defenderします。 検索では、Managed Google Play にMicrosoft Defender for Endpointアプリが表示されます。 アプリの検索結果からMicrosoft Defender for Endpointアプリをクリックします。

    Microsoft エンドポイント マネージャー管理センター ポータルの [マネージド Google Play] ページ

  3. 次に表示される [アプリの説明] ページでは、Defender for Endpoint でアプリの詳細を確認できます。 ページの情報を確認し、[ 承認] を選択します。

    Microsoft エンドポイント マネージャー管理センター ポータルの Managed Google Play のページ

  4. Defender for Endpoint が動作するために取得するアクセス許可が表示されます。 それらを確認し、[ 承認] を選択します。

    Microsoft Defender 365 ポータルのアクセス許可の承認ページ

  5. [承認設定] ページが表示されます。 このページでは、Android 上の Defender for Endpoint が求める可能性がある新しいアプリのアクセス許可を処理するためのユーザー設定が確認されます。 選択肢を確認し、好みのオプションを選択します。 [完了] を選択します。

    既定では、アプリが 新しいアクセス許可を要求したときに、マネージド Google Play によって [承認を保持] が選択されます。

    Microsoft Defender 365 ポータルの [承認設定の構成完了] ページ

  6. 選択を処理するアクセス許可が作成されたら、[同期] を選択してアプリの一覧Microsoft Defender for Endpoint同期します。

    Microsoft Defender 365 ポータルの [同期] ウィンドウ

  7. 同期は数分で完了します。

    Microsoft Defender 365 ポータルの Android アプリ ページのアプリケーション同期状態ウィンドウ

  8. Android アプリ画面で [更新] ボタンを選択すると、アプリの一覧にMicrosoft Defender for Endpointが表示されます。

    同期されたアプリケーションを表示するページ

  9. Defender for Endpoint では、Intune経由でマネージド デバイスのアプリ構成ポリシーがサポートされます。 この機能を利用して、Defender のさまざまな構成を選択できます。

    1. [ アプリ] ページで、[ ポリシー>アプリ構成ポリシー] > [管理対象デバイス>追加] に移動します

      Microsoft エンドポイント マネージャー管理センター ポータルの [アプリ構成ポリシー] ウィンドウ

    2. [ アプリ構成ポリシーの作成 ] ページで、次の詳細を入力します。

      • 名前: Microsoft Defender for Endpoint。
      • プラットフォームとして Android Enterprise を選択します。
      • [プロファイルの種類 ] として [仕事用プロファイルのみ ] を選択します。
      • [アプリの選択] をクリックし、Microsoft Defender ATP を選択 **して[OK]、[**次へ] の順に選択します。

      [関連付けられているアプリの詳細] ウィンドウのスクリーンショット。

    3. [ アクセス許可] > [追加] を選択します。 一覧から、使用可能なアプリのアクセス許可> [OK] を選択します

    4. このポリシーで付与するアクセス許可ごとにオプションを選択します。

      • プロンプト - ユーザーに同意または拒否を求めます。
      • 自動付与 - ユーザーに通知することなく自動的に承認されます。
      • 自動拒否 - ユーザーに通知せずに自動的に拒否されます。

    5. [設定] ページの [構成設定] セクションに移動し、構成設定 形式で [構成デザイナーの使用] を選択します。

      Android のアプリ構成ポリシーを作成するイメージ。

    6. [ 追加] をクリックして、サポートされている構成の一覧を表示します。 必要な構成を選択し、[ OK] をクリックします。

      Android の構成ポリシーを選択するイメージ。

    7. 選択したすべての構成が一覧表示されます。 必要に応じて構成値を変更し、[ 次へ] を選択できます。

      選択した構成ポリシーのイメージ。

    8. [ 割り当て ] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [ 含めるグループの選択] をクリックし、該当するグループを選択し、[ 次へ] を選択します。 ここで選択したグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるのと同じグループです。

      [選択したグループ] ウィンドウ

    9. 次に表示される [確認と作成] ページで、すべての情報を確認し、[ 作成] を選択します。

      ストレージアクセス許可を自動で作成する Defender for Endpoint のアプリ構成ポリシーが、選択したユーザー グループに割り当てられます。

      [アプリ構成ポリシーの作成] ページの [確認と作成] タブ

  10. プロパティ > の割り当ての 編集の一覧>で Microsoft Defender ATP アプリを>選択 します

    [プロパティ] ページの [編集] オプション

  11. アプリを 必須 アプリとしてユーザー グループに割り当てます。 これは、ポータル サイト アプリを介してデバイスを次回同期するときに 、仕事用プロファイル に自動的にインストールされます。 この割り当ては、[ 必須 ] セクション > [ グループの追加] に移動し、ユーザー グループを選択して [選択] をクリックすることで実行できます。

    [アプリケーションの編集] ページ

  12. [ アプリケーションの編集] ページで、上記で入力したすべての情報を確認します。 次に、[ 校閲と保存] を選択し、もう一度 [保存] を 選択して割り当てを開始します。

Always-on VPN の自動セットアップ

Defender for Endpoint では、Intune経由でマネージド デバイスのデバイス構成ポリシーがサポートされます。 この機能は、Android Enterprise 登録済みデバイスでの Always-on VPN の自動セットアップ に利用できるため、エンド ユーザーはオンボード中に VPN サービスを設定する必要はありません。

  1. [デバイス] で、[構成プロファイル>] の [プロファイル プラットフォーム > Android Enterprise の>作成] を選択します。

    デバイス登録の種類に基づいて、次のいずれかの下にある [デバイス の制限 ] を選択します。

    • フル マネージド、専用、Corporate-Owned作業プロファイル
    • 個人所有の仕事用プロファイル

    [作成] を選択します。

    [ポリシー] ウィンドウの [構成プロファイル] メニュー項目

  2. 構成設定 構成プロファイルを一意に識別するための 名前説明 を指定します。

    [基本] ウィンドウの [デバイス構成プロファイル名] フィールドと [説明] フィールド

  3. [ 接続 ] を選択し、VPN を構成します。

    • Always-on VPN を 有効にする

      仕事用プロファイルで VPN クライアントを設定し、可能な限り VPN に自動的に接続して再接続します。 特定のデバイスで常時オン VPN 用に構成できる VPN クライアントは 1 つだけです。そのため、1 つのデバイスに 1 つの常時オン VPN ポリシーを 1 つ以上デプロイしないようにしてください。

    • [VPN クライアントの カスタム ] ドロップダウン リストを選択する

      この場合のカスタム VPN は、Web 保護機能を提供するために使用される Defender for Endpoint VPN です。

      注意

      この VPN の自動セットアップを機能させるには、Microsoft Defender for Endpoint アプリをユーザーのデバイスにインストールする必要があります。

    • Google Play ストアでMicrosoft Defender for Endpoint アプリの パッケージ ID を 入力します。 Defender アプリ URL https://play.google.com/store/apps/details?id=com.microsoft.scmxの場合、パッケージ ID は com.microsoft.scmx です

    • ロックダウン モード 未構成 (既定)

      [構成設定] タブの [接続] ウィンドウ

  4. 割り当て

    [ 割り当て ] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [含める グループの選択] を選択し、該当するグループを選択して、[ 次へ] を選択します。 ここで選択したグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるのと同じグループです。

    [デバイスの制限] の [デバイス構成プロファイルの割り当て] ウィンドウのスクリーンショット。

  5. 次に表示される [確認と作成] ページで、すべての情報を確認し、[ 作成] を選択します。 これで、デバイス構成プロファイルが選択したユーザー グループに割り当てられます。

    デバイス構成プロファイル 's provision for Review + create

状態を確認し、オンボードを完了する

  1. [デバイスのインストール状態] をクリックして、Android でのMicrosoft Defender for Endpointの インストール状態 を確認します。 デバイスがここに表示されていることを確認します。

    デバイスのインストール状態ウィンドウ

  2. デバイスでは、 作業プロファイル に移動してオンボード状態を検証できます。 Defender for Endpoint が使用可能であり、 仕事用プロファイルを持つ個人用デバイスに 登録されていることを確認します。 企業所有のフル マネージド ユーザー デバイス に登録されている場合は、デバイスに 1 つのプロファイルがあり、Defender for Endpoint が使用可能であることを確認できます。

    アプリケーション表示ウィンドウ

  3. アプリがインストールされたら、アプリを開き、アクセス許可を受け入れてから、オンボードに成功します。

    モバイル デバイス上のMicrosoft Defender for Endpoint アプリケーションの表示

  4. この段階で、デバイスは Android 上の Defender for Endpoint に正常にオンボードされます。 これを確認するには、Microsoft 365 Defender ポータル[デバイス インベントリ] ページに移動します。

    Microsoft Defender for Endpoint ポータル

BYOD モードで Android Enterprise の個人用プロファイルで Microsoft Defender を設定する

個人用プロファイルで Microsoft Defender を設定する

管理者は Microsoft Endpoint Management 管理センター に移動し、次の手順に従って個人用プロファイルで Microsoft Defender サポートを設定および構成できます。

  1. [アプリ>アプリ構成ポリシー] に移動し、[追加] をクリックします。 [マネージド デバイス] を選択します。

    アプリ構成ポリシーを追加するイメージ。

  2. 構成ポリシーを一意に識別するには 、「名前」 と「 説明 」と入力します。 プラットフォームを [Android Enterprise]、[プロファイルの種類] を [個人用所有の仕事用プロファイルのみ]、 対象アプリ を [Microsoft Defender] として選択します。

    名前付け構成ポリシーのイメージ。

  3. [設定] ページの [構成設定の形式] で 、[ 構成デザイナーの使用 ] を選択し、[ 追加] をクリックします。 表示される構成の一覧から、[ 個人用プロファイルの Microsoft Defender] を選択します

    個人用プロファイルを構成するイメージ。

  4. 選択した構成が一覧表示されます。 Microsoft Defender サポートの個人用プロファイルを有効にするには、 構成値を 1 に変更します。 管理者に同じことについて通知する通知が表示されます。 [ 次へ] をクリックします。

    構成値を変更するイメージ。

  5. 構成ポリシーをユーザーのグループに 割り当てます。 ポリシー を確認して作成 します。

    ポリシーの確認と作成のイメージ。

管理者は、Microsoft エンドポイント マネージャー管理センターから プライバシー制御 を設定して、Defender モバイル クライアントからセキュリティ ポータルに送信できるデータを制御することもできます。 詳細については、 プライバシー制御の構成に関するページを参照してください。

組織は、登録済みの BYOD デバイスで Microsoft Defender を使用して個人用プロファイルを保護するために、ユーザーと通信できます。

  • 前提条件: 個人用プロファイルで Microsoft Defender を有効にするには、Microsoft Defender が既にインストールされ、仕事用プロファイルでアクティブになっている必要があります。

デバイスのオンボードを完了するには

  1. 個人用の Google Play ストア アカウントを使用して、個人用プロファイルに Microsoft Defender アプリケーションをインストールします。
  2. 個人プロファイルにポータル サイト アプリケーションをインストールします。 サインインは必要ありません。
  3. ユーザーがアプリケーションを起動すると、サインイン画面が表示されます。 企業アカウントのみを使用してログイン します。
  4. ログインに成功すると、ユーザーには次の画面が表示されます。
    1. EULA 画面: ユーザーが作業プロファイルに既に同意していない場合にのみ表示されます。
    2. 通知画面: ユーザーは、アプリケーションのオンボードを進めるために、この画面で同意を提供する必要があります。 これは、アプリの初回実行時にのみ必要です。
  5. オンボードを完了するために必要なアクセス許可を指定します。

注意

前提条件:

  1. 個人プロファイルでポータル サイトを有効にする必要があります。
  2. Microsoft Defender は、作業プロファイルに既にインストールされ、アクティブになっている必要があります。