Configurar Microsoft Defender para Endpoint em sinais de risco do Android através de Políticas de Proteção de Aplicações (MAM)

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Microsoft Defender para Endpoint no Android, que já protege os utilizadores empresariais em cenários de Gestão de Dispositivos Móvel (MDM), agora expande o suporte para a Gestão de Aplicações Móveis (MAM) para dispositivos que não estão inscritos através da gestão de dispositivos móveis (MDM) Intune. Também expande este suporte aos clientes que utilizam outras soluções de gestão de mobilidade empresarial, ao mesmo tempo que utilizam Intune para a gestão de aplicações móveis (MAM). Esta capacidade permite-lhe gerir e proteger os dados da sua organização numa aplicação.

Microsoft Defender para Endpoint em informações sobre ameaças do Android são aplicadas pelas Políticas de Proteção de Aplicações Intune para proteger estas aplicações. Proteção de aplicações políticas (APP) são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. Uma aplicação gerida tem políticas de proteção de aplicações aplicadas à mesma e pode ser gerida por Intune.

Microsoft Defender para Endpoint no Android suportam ambas as configurações da MAM.

• Intune MDM + MAM: os administradores de TI só podem gerir aplicações através de Políticas de Proteção de Aplicações em dispositivos inscritos com Intune gestão de dispositivos móveis (MDM).
• MAM sem inscrição de dispositivos: a MAM sem inscrição de dispositivos ou MAM-WE permite que os administradores de TI façam a gestão de aplicações através de Políticas de Proteção de Aplicações em dispositivos não inscritos com Intune MDM. Esta aprovisionamento significa que as aplicações podem ser geridas por Intune em dispositivos inscritos com fornecedores de EMM de terceiros. Para gerir aplicações em ambas as configurações, os clientes devem utilizar Intune no centro de administração do Microsoft Intune.

Para ativar esta capacidade, um administrador tem de configurar a ligação entre Microsoft Defender para Endpoint e Intune, criar a política de proteção de aplicações e aplicar a política em aplicações e dispositivos visados.

Os utilizadores finais também têm de tomar medidas para instalar Microsoft Defender para Endpoint no respetivo dispositivo e ativar o fluxo de inclusão.

pré-requisitos do Administração

• Confirme que o Microsoft Defender do conector Endpoint-Intune está ativado.

  a. Aceda a security.microsoft.com.

  b. Selecione Definições > Pontos Finais Funcionalidades > Avançadas > Microsoft Intune a Ligação está ativada.

  c. Se a ligação não estiver ativada, selecione o botão de alternar para ativá-la e, em seguida, selecione Guardar Preferências.

  

  d. Aceda ao centro de administração do Microsoft Intune e Valide se o conector Microsoft Defender para Endpoint-Intune está ativado.

  

• Ative Microsoft Defender para Endpoint no Conector Android para a Política de Proteção de Aplicações (APP).

  Configure o conector no Microsoft Intune para políticas de Proteção de aplicações:

  a. Aceda a Conectores de Administração > de Inquilinos e Tokens > Microsoft Defender para Endpoint.

  b. Ative o botão de alternar para a política de proteção de aplicações para Android (como se pode ver na captura de ecrã seguinte).

  c. Seleccione Guardar.

  

• Create uma política de proteção de aplicações.

  Bloqueie o acesso ou a eliminação de dados de uma aplicação gerida com base em sinais de risco Microsoft Defender para Endpoint ao criar uma política de proteção de aplicações.

  Microsoft Defender para Endpoint pode ser configurado para enviar sinais de ameaças a serem utilizados em políticas de proteção de aplicações (APP, também conhecida como MAM). Com esta capacidade, pode utilizar Microsoft Defender para Endpoint para proteger aplicações geridas.

  1. Create uma política.

     Proteção de aplicações políticas (APP) são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. Uma política pode ser uma regra que é imposta quando o utilizador tenta aceder ou mover dados "empresariais", ou um conjunto de ações que são proibidas ou monitorizadas quando o utilizador está dentro da aplicação.

     

  2. Adicionar aplicações.

     a. Escolha como pretende aplicar esta política a aplicações em diferentes dispositivos. Em seguida, adicione pelo menos uma aplicação.

     Utilize esta opção para especificar se esta política se aplica a dispositivos não geridos. No Android, pode especificar que a política se aplica a dispositivos Android Enterprise, Dispositivo Administração ou Não Geridos. Também pode optar por direcionar a sua política para aplicações em dispositivos de qualquer estado de gestão.

     Uma vez que a gestão de aplicações móveis não requer gestão de dispositivos, pode proteger os dados da empresa em dispositivos geridos e não geridos. A gestão centra-se na identidade do utilizador, o que remove o requisito de gestão de dispositivos. As empresas podem utilizar políticas de proteção de aplicações com ou sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que utiliza um telemóvel emitido pela empresa e o seu próprio tablet pessoal. O telemóvel da empresa está inscrito na MDM e protegido por políticas de proteção de aplicações enquanto o dispositivo pessoal está protegido apenas por políticas de proteção de aplicações.

     b. Selecione Aplicações.

     Uma aplicação gerida é uma aplicação que tem políticas de proteção de aplicações aplicadas à mesma e pode ser gerida por Intune. Qualquer aplicação que tenha sido integrada com o SDK Intune ou encapsulada pelo Intune App Wrapping Tool pode ser gerida com políticas de proteção de aplicações Intune. Veja a lista oficial de Microsoft Intune aplicações protegidas que foram criadas com estas ferramentas e estão disponíveis para utilização pública.

     Exemplo: Outlook como uma aplicação gerida

     

  3. Defina os requisitos de segurança de início de sessão para a sua política de proteção.

     Selecione Definir > o nível máximo de ameaça permitido do dispositivo em Condições do Dispositivo e introduza um valor. Em seguida, selecione Ação: "Bloquear Acesso". Microsoft Defender para Endpoint no Android partilha este Nível de Ameaça de Dispositivo.

     

• Atribua grupos de utilizadores aos quais a política tem de ser aplicada.

  Selecione Grupos incluídos. Em seguida, adicione os grupos relevantes.

  

Nota

Se uma política de configuração se destinar a dispositivos não inscritos (MAM), a recomendação é implementar as definições gerais de configuração de aplicações nas Aplicações Geridas em vez de utilizar Dispositivos Geridos.

Ao implementar políticas de configuração de aplicações em dispositivos, podem ocorrer problemas quando várias políticas têm valores diferentes para a mesma chave de configuração e são direcionadas para a mesma aplicação e utilizador. Estes problemas devem-se à falta de um mecanismo de resolução de conflitos para resolver os diferentes valores. Pode evitar estes problemas ao garantir que apenas uma única política de configuração de aplicações para dispositivos é definida e direcionada para a mesma aplicação e utilizador.

Pré-requisitos do utilizador final

• A aplicação de mediador tem de ser instalada.

  • Portal da Empresa do Intune

• Os utilizadores têm as licenças necessárias para a aplicação gerida e têm a aplicação instalada.

Integração do utilizador final

1. Inicie sessão numa aplicação gerida, por exemplo, o Outlook. O dispositivo está registado e a política de proteção de aplicações é sincronizada com o dispositivo. A política de proteção de aplicações reconhece o estado de funcionamento do dispositivo.

2. Selecione Continuar. É apresentado um ecrã que recomenda a transferência e configuração de Microsoft Defender para Endpoint na aplicação Android.

3. Selecione Transferir. Será redirecionado para a app store (Google Play).

4. Instale a aplicação Microsoft Defender para Endpoint (Mobile) e inicie novamente o ecrã de inclusão da aplicação gerida.

   

5. Clique em Continuar Iniciação>. O fluxo de inclusão/ativação da aplicação Microsoft Defender para Endpoint é iniciado. Siga os passos para concluir a integração. Será redirecionado automaticamente para o ecrã de inclusão da aplicação gerida, que indica agora que o dispositivo está em bom estado de funcionamento.

6. Selecione Continuar para iniciar sessão na aplicação gerida.

Configurar a proteção Web

O Defender para Endpoint no Android permite que os Administradores de TI configurem a proteção Web. A proteção Web está disponível no centro de administração do Microsoft Intune.

A proteção Web ajuda a proteger os dispositivos contra ameaças à Web e a proteger os utilizadores contra ataques de phishing. Tenha em atenção que os indicadores anti-phishing e personalizados (URL e endereços IP) são suportados como parte da proteção Web. Atualmente, a filtragem de conteúdos Web não é suportada em plataformas móveis.

1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

2. Dê um nome à política.

3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

4. Na página Definições , nas Definições de Configuração Geral, adicione as seguintes chaves e defina o respetivo valor conforme necessário.

   • antiphishing
   • vpn

   Para desativar a proteção Web, introduza 0 para os valores de antiphishing e VPN.

   Para desativar apenas a utilização de VPN por proteção Web, introduza estes valores:

   • 0 para vpn
   • 1 para antiphishing

   Adicione a chave DefenderMAMConfigs e defina o valor como 1.

5. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.

6. Reveja e crie a política.

Configurar a Proteção de Rede

1. No Microsoft Intune centro de administração, navegue para Aplicações>Políticas de configuração de aplicações. Create uma nova Política de configuração de aplicações. Clique em Aplicações Geridas.

2. Forneça um nome e uma descrição para identificar exclusivamente a política. Direcione a política para "Aplicações selecionadas" e procure "Microsoft Defender Ponto Final para Android". Clique na entrada e, em seguida, clique em Selecionar e, em seguida , em Seguinte.

3. Adicione a chave e o valor da tabela seguinte. Certifique-se de que a chave "DefenderMAMConfigs" está presente em todas as políticas que criar com a rota das Aplicações Geridas. Para a rota de Dispositivos Geridos, esta chave não deve existir. Quando terminar, clique em Seguinte.

   Chave	Tipo de Valor	Predefinição (true-enable, false-disable)	Descrição
   DefenderNetworkProtectionEnable	Número inteiro	0	1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar as capacidades de proteção de rede na aplicação defender.
   DefenderAllowlistedCACertificates	Cadeia	Nenhum	None-Disable; Esta definição é utilizada pelos administradores de TI para estabelecer confiança na AC de raiz e nos certificados autoassinados.
   DefenderCertificateDetection	Número inteiro	0	2-Ativar, 1 - Modo de auditoria, 0 - Desativar; Quando esta funcionalidade está ativada com o valor como 2, as notificações do utilizador final são enviadas ao utilizador quando o Defender deteta um certificado incorreto. Os alertas também são enviados aos Administradores do SOC. No modo de auditoria (1), os alertas de notificação são enviados aos administradores do SOC, mas não são apresentadas notificações de utilizador final ao utilizador quando o Defender deteta um certificado incorreto. Os administradores podem desativar esta deteção com 0 como o valor e ativar a funcionalidade completa da funcionalidade ao definir 2 como o valor.
   DefenderOpenNetworkDetection	Número inteiro	0	2-Ativar, 1 - Modo de auditoria, 0 - Desativar; Esta definição é utilizada pelos Administradores de TI para ativar ou desativar a deteção de rede aberta. Por predefinição, a deteção de rede aberta está desativada com o valor 0 e o Defender não envia notificações ou alertas do utilizador final aos administradores do SOC no portal de segurança. Se mudar para o modo de auditoria com o valor 1, o alerta de notificação é enviado para o administrador do SOC, mas não é apresentada nenhuma notificação de utilizador final ao utilizador quando o Defender detetar uma rede aberta. Se estiver ativado com o valor 2, a notificação do utilizador final é apresentada e também são enviados alertas para os administradores do SOC.
   DefenderEndUserTrustFlowEnable	Número inteiro	0	1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a experiência do utilizador final na aplicação para confiar e desconfiar das redes não seguras e suspeitas.
   DefenderNetworkProtectionAutoRemediation	Número inteiro	1	1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar os alertas de remediação que são enviados quando um utilizador executa atividades de remediação, como mudar para pontos de acesso Wi-Fi mais seguros ou eliminar certificados suspeitos detetados pelo Defender.
   DefenderNetworkProtectionPrivacy	Número inteiro	1	1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a privacidade na proteção de rede. Se a privacidade estiver desativada com o valor 0, é mostrado o consentimento do utilizador para partilhar os dados de wi-fi ou certificados maliciosos. Se estiver no estado ativado com o valor 1, não é apresentado nenhum consentimento do utilizador e não são recolhidos dados da aplicação.

4. Inclua ou exclua os grupos aos quais pretende aplicar a política. Avance para rever e submeter a política.

Nota

Os utilizadores têm de ativar a permissão de localização (que é uma permissão opcional); isto permite ao Defender para Endpoint analisar as respetivas redes e alertá-las quando existirem ameaças relacionadas com Wi-Fi. Se a permissão de localização for negada pelo utilizador, o Defender para Endpoint só poderá fornecer proteção limitada contra ameaças de rede e apenas protegerá os utilizadores de certificados não autorizados.

Configurar controlos de privacidade

Os administradores podem utilizar os seguintes passos para ativar a privacidade e não recolher o nome de domínio, os detalhes da aplicação e as informações de rede como parte do relatório de alerta para ameaças correspondentes.

1. No Microsoft Intune centro de administração, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.
2. Dê um nome à política.
3. Em Selecionar Aplicações Públicas, selecione Microsoft Defender para Endpoint como a aplicação de destino.
4. Na página Definições, em Definições gerais de Configuração, adicione DefenderExcludeURLInReport e DefenderExcludeAppInReport como as chaves e o valor como 1.
5. Adicione a chave DefenderMAMConfigs e defina o valor como 1.
6. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como 0.
7. Na página Definições, na página Definições de Configuração Geral, adicione DefenderExcludeURLInReport, DefenderExcludeAppInReport como as chaves e o valor como verdadeiro.
8. Adicione a chave DefenderMAMConfigs e defina o valor como 1.
9. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.
10. Reveja e crie a política.

Permissões opcionais

Microsoft Defender para Endpoint no Android ativa permissões opcionais no fluxo de integração. Atualmente, as permissões exigidas pelo MDE são obrigatórias no fluxo de inclusão. Com esta funcionalidade, o administrador pode implementar MDE em dispositivos Android com políticas de MAM sem impor as Permissões de VPN e Acessibilidade obrigatórias durante a integração. Os Utilizadores Finais podem integrar a aplicação sem as permissões obrigatórias e podem rever posteriormente estas permissões.

Configurar permissão opcional

Utilize os seguintes passos para ativar permissões Opcionais para dispositivos.

1. No Microsoft Intune centro de administração, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

2. Dê um nome à política.

3. Selecione Microsoft Defender para Endpoint em aplicações públicas.

4. Na página Definições, selecione Utilizar estruturador de configuração e DefenderOptionalVPN ou DefenderOptionalAccessibility ou ambos como chave.

5. Adicione a chave DefenderMAMConfigs e defina o valor como 1.

6. Para ativar permissões Opcionais, introduza o valor como 1 e atribua esta política aos utilizadores. Por predefinição, este valor está definido como 0.

   Para os utilizadores com a chave definida como 1, poderão integrar a aplicação sem conceder estas permissões.

7. Na página Definições, selecione Utilizar estruturador de configuração e DefenderOptionalVPN ou DefenderOptionalAccessibility ou como chave e tipo de valor como Booleano.

8. Adicione a chave DefenderMAMConfigs e defina o valor como 1.

9. Para ativar permissões Opcionais, introduza o valor como verdadeiro e atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.

   Para os utilizadores com a chave definida como verdadeira, os utilizadores podem integrar a aplicação sem conceder estas permissões.

10. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Fluxo de utilizador

Os utilizadores podem instalar e abrir a aplicação para iniciar o processo de integração.

1. Se um administrador tiver configurado as Permissões opcionais, os utilizadores podem optar por ignorar a permissão de VPN ou de acessibilidade ou tanto e concluir a integração.

2. Mesmo que o utilizador tenha ignorado estas permissões, o dispositivo é capaz de integrar e será enviado um heartbeat.

3. Uma vez que as permissões estão desativadas, a proteção Web não estará ativa. Será parcialmente ativado se uma das permissões for concedida.

4. Mais tarde, os utilizadores podem ativar a proteção Web a partir da aplicação. Esta ação irá instalar a configuração de VPN no dispositivo.

Nota

A definição Permissões opcionais é diferente da definição Desativar proteção Web. As permissões opcionais só ajudam a ignorar as permissões durante a integração, mas estão disponíveis para o utilizador final rever e ativar mais tarde, enquanto Desativar a proteção Web permite que os utilizadores integrem a aplicação Microsoft Defender para Endpoint sem a Proteção Web. Não pode ser ativado mais tarde.

Desativar terminar sessão

O Defender para Ponto Final permite-lhe implementar a aplicação e desativar o botão de fim de sessão. Ao ocultar o botão terminar sessão, os utilizadores são impedidos de terminar sessão na aplicação Defender. Esta ação ajuda a impedir a adulteração do dispositivo quando o Defender para Endpoint não está em execução.

Utilize os seguintes passos para configurar a opção Desativar a sessão:

1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.
2. Indique um nome à política.
3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.
4. Na página Definições , nas Definições de Configuração Geral, adicione DisableSignOut como a chave e defina o valor como 1.
   • Por predefinição, Desative Terminar Sessão = 0.
   • Administração precisa de desativar a opção Terminar Sessão = 1 para desativar o botão de terminar sessão na aplicação. Os utilizadores não verão o botão terminar sessão assim que a política for enviada para o dispositivo.
5. Selecione Seguinte e atribua este perfil a utilizadores e dispositivos visados.

Importante

Esta funcionalidade está em Pré-visualização Pública. As seguintes informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Etiquetagem de Dispositivos

O Defender para Endpoint no Android permite a identificação em massa dos dispositivos móveis durante a integração ao permitir que os administradores configurem etiquetas através de Intune. Administração pode configurar as etiquetas de dispositivo através de Intune através de políticas de configuração e enviá-las para os dispositivos do utilizador. Assim que o Utilizador instalar e ativar o Defender, a aplicação cliente transmite as etiquetas do dispositivo para o Portal de Segurança. As Etiquetas de dispositivo são apresentadas nos dispositivos no Inventário de Dispositivos.

Utilize os seguintes passos para configurar as Etiquetas de dispositivo:

1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

2. Indique um nome à política.

3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

4. Na página Definições, selecione Utilizar estruturador de configuração e adicione DefenderDeviceTag como a chave e o tipo de valor como Cadeia.

   • Administração pode atribuir uma nova etiqueta ao adicionar a chave DefenderDeviceTag e definir um valor para a etiqueta do dispositivo.
   • Administração pode editar uma etiqueta existente ao modificar o valor da chave DefenderDeviceTag.
   • Administração pode eliminar uma etiqueta existente ao remover a chave DefenderDeviceTag.

5. Clique em Seguinte e atribua esta política a utilizadores e dispositivos visados.

Nota

A aplicação Defender tem de ser aberta para que as etiquetas sejam sincronizadas com Intune e transmitidas para o Portal de Segurança. As etiquetas podem demorar até 18 horas a refletir no portal.

Tópicos relacionados

• Descrição geral do Microsoft Defender para Endpoint no Android

• Implementar o Microsoft Defender para Endpoint no Android com o Microsoft Intune

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.