Настройка Microsoft Defender для конечной точки сигналов риска Android с помощью политик защиты приложений (MAM)

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Microsoft Defender для конечной точки в Android, которая уже защищает корпоративных пользователей в сценариях мобильных Управление устройствами (MDM), теперь расширяет поддержку управления мобильными приложениями (MAM) для устройств, которые не зарегистрированы с помощью Intune управления мобильными устройствами (MDM). Кроме того, эта поддержка распространяется на клиентов, которые используют другие корпоративные решения для управления мобильными устройствами, но по-прежнему используют Intune для управления мобильными приложениями (MAM). Эта возможность позволяет управлять данными организации и защищать их в приложении.

Microsoft Defender для конечной точки к сведениям об угрозах Android применяется политиками защиты приложений Intune для защиты этих приложений. Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). К управляемому приложению применяются политики защиты приложений, которыми можно управлять с помощью Intune.

Microsoft Defender для конечной точки в Android поддерживает обе конфигурации MAM.

• Intune MDM + MAM: ИТ-администраторы могут управлять приложениями только с помощью политик защиты приложений на устройствах, зарегистрированных с помощью Intune управления мобильными устройствами (MDM).
• MAM без регистрации устройств. MAM без регистрации устройств или MAM-WE позволяет ИТ-администраторам управлять приложениями с помощью политик защиты приложений на устройствах, не зарегистрированных в Intune MDM. Эта подготовка означает, что приложениями могут управлять Intune на устройствах, зарегистрированных у сторонних поставщиков EMM. Для управления приложениями в обеих этих конфигурациях клиенты должны использовать Intune в Центре администрирования Microsoft Intune.

Чтобы включить эту возможность, администратору необходимо настроить подключение между Microsoft Defender для конечной точки и Intune, создать политику защиты приложений и применить ее к целевым устройствам и приложениям.

Конечные пользователи также должны принять меры для установки Microsoft Defender для конечной точки на своем устройстве и активации потока подключения.

предварительные требования Администратор

• Убедитесь, что Microsoft Defender для соединителя Endpoint-Intune включен.

  А. Перейдите к security.microsoft.com.

  Б. Выберите Параметры > Конечные > точки Дополнительные функции > Microsoft Intune подключение включено.

  c. Если подключение не включено, выберите переключатель, чтобы включить его, а затем выберите Сохранить настройки.

  

  d. Перейдите в центр администрирования Microsoft Intune и проверьте, включена ли Microsoft Defender для соединителя Endpoint-Intune.

  

• Включите Microsoft Defender для конечной точки в соединителе Android для политики защиты приложений (APP).

  Настройте соединитель на Microsoft Intune для политик защита приложений:

  А. Перейдите в раздел Администрирование > клиента Соединители и маркеры > Microsoft Defender для конечной точки.

  Б. Включите переключатель для политики защиты приложений для Android (как показано на следующем снимке экрана).

  в. Нажмите Сохранить.

  

• Create политики защиты приложений.

  Блокировка доступа или очистка данных управляемого приложения на основе Microsoft Defender для конечной точки сигналов риска путем создания политики защиты приложений.

  Microsoft Defender для конечной точки можно настроить для отправки сигналов об угрозах для использования в политиках защиты приложений (ПРИЛОЖЕНИЕ, также известное как MAM). С помощью этой возможности можно использовать Microsoft Defender для конечной точки для защиты управляемых приложений.

  1. Create политику.

     Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

     

  2. Добавление приложений.

     А. Выберите способ применения этой политики к приложениям на разных устройствах. Затем добавьте по крайней мере одно приложение.

     Используйте этот параметр, чтобы указать, применяется ли эта политика к неуправляемых устройствам. В Android можно указать политику, применяемую к устройствам Android Enterprise, устройствам Администратор или неуправляемых устройствах. Вы также можете выбрать целевую политику для приложений на устройствах с любым состоянием управления.

     Так как для управления мобильными приложениями не требуется управление устройствами, вы можете защитить данные организации как на управляемых, так и на неуправляемых устройствах. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами. Компании могут одновременно использовать политики защиты приложений с MDM или без нее. Давайте рассмотрим пример, в котором сотрудник одновременно использует выданный компанией телефон и личный планшет. В этой ситуации телефон компании регистрируется в решении MDM и защищается политиками защиты приложений, а личное устройство защищается только политиками защиты приложений.

     Б. Выберите Приложения.

     Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune. Любым приложением, интегрированным с пакетом SDK для Intune или упакованным Intune App Wrapping Tool, можно управлять с помощью политик защиты приложений Intune. См. официальный список защищенных приложений Microsoft Intune, которые были созданы с использованием этих средств и являются общедоступными.

     Пример: Outlook как управляемое приложение

     

  3. Настройте требования к безопасности входа для политики защиты.

     Выберите Параметр Максимальный > допустимый уровень угрозы устройства в разделе Условия устройства и введите значение. Затем выберите Действие: "Блокировать доступ". Microsoft Defender для конечной точки в Android используется этот уровень угрозы устройства.

     

• Назначьте группы пользователей, к которым необходимо применить политику.

  Выберите Включенные группы. Затем добавьте соответствующие группы.

  

Примечание.

Если политика конфигурации предназначена для незарегистрированных устройств (MAM), рекомендуется развернуть общие параметры конфигурации приложений в управляемых приложениях вместо использования управляемых устройств.

При развертывании политик конфигурации приложений на устройствах могут возникать проблемы, если несколько политик имеют разные значения для одного ключа конфигурации и предназначены для одного и того же приложения и пользователя. Эти проблемы связаны с отсутствием механизма разрешения конфликтов для разрешения различных значений. Вы можете предотвратить эти проблемы, убедив, что для одного приложения и пользователя определена только одна политика конфигурации приложений для устройств.

Предварительные требования для конечных пользователей

• Приложение брокера должно быть установлено.

  • Корпоративный портал Intune

• У пользователей есть необходимые лицензии для управляемого приложения и установлено приложение.

Подключение конечных пользователей

1. Войдите в управляемое приложение, например Outlook. Устройство регистрируется, а политика защиты приложений синхронизируется с устройством. Политика защиты приложений распознает состояние работоспособности устройства.

2. Нажмите Продолжить. Появится экран, на котором рекомендуется скачать и настроить Microsoft Defender для конечной точки в приложении Android.

3. Нажмите Скачать. Вы будете перенаправлены в магазин приложений (Google Play).

4. Установите приложение Microsoft Defender для конечной точки (mobile) и запустите экран подключения управляемого приложения.

   

5. Нажмите кнопку Продолжить > запуск. Инициируется поток подключения и активации приложений Microsoft Defender для конечной точки. Выполните действия, чтобы завершить подключение. Вы автоматически будете перенаправлены обратно на экран подключения управляемого приложения, который теперь указывает, что устройство работоспособно.

6. Нажмите кнопку Продолжить , чтобы войти в управляемое приложение.

Настройка веб-защиты

Defender для конечной точки в Android позволяет ИТ-администраторам настраивать веб-защиту. Веб-защита доступна в Центре администрирования Microsoft Intune.

Защита от веб-угроз помогает защитить устройства от веб-угроз и пользователей от фишинговых атак. Обратите внимание, что защита от фишинга и пользовательские индикаторы (URL-адреса и IP-адреса) поддерживаются в рамках веб-защиты. Фильтрация веб-содержимого в настоящее время не поддерживается на мобильных платформах.

1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

2. Присвойте политике имя.

3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

4. На странице Параметры в разделе Общие параметры конфигурации добавьте следующие ключи и задайте их значение по мере необходимости.

   • антифишинг
   • Vpn

   Чтобы отключить веб-защиту, введите 0 для значений защиты от фишинга и VPN.

   Чтобы отключить только использование VPN для веб-защиты, введите следующие значения:

   • 0 для VPN
   • 1 для защиты от фишинга

   Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

5. Назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.

6. Просмотрите и создайте политику.

Настройка защиты сети

1. В центре администрирования Microsoft Intune перейдите кразделу Политики конфигурации приложенийприложения>. Create новую политику конфигурации приложений. Щелкните Управляемые приложения.

2. Укажите имя и описание для уникальной идентификации политики. Найдите в политике значение "Выбранные приложения" и выполните поиск по запросу "Конечная точка Microsoft Defender для Android". Щелкните запись, а затем нажмите кнопку Выбрать , а затем — Далее.

3. Добавьте ключ и значение из следующей таблицы. Убедитесь, что ключ DefenderMAMConfigs присутствует в каждой политике, создаваемой с помощью маршрута управляемых приложений. Для маршрута управляемых устройств этот ключ не должен существовать. По завершении нажмите кнопку Далее.

   Ключ	Тип значения	По умолчанию (true-enable, false-disable)	Описание
   DefenderNetworkProtectionEnable	Целое число	0	1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения возможностей защиты сети в приложении Defender.
   DefenderAllowlistedCACertificates	String	Нет	None-Disable; Этот параметр используется ИТ-администраторами для установления доверия для корневого ЦС и самозаверяемых сертификатов.
   DefenderCertificateDetection	Integer	0	2—Включить, 1 — режим аудита, 0 — Отключить; Если эта функция включена со значением 2, пользователю отправляются уведомления, когда Defender обнаруживает недопустимый сертификат. Оповещения также отправляются администраторам SOC. В режиме аудита (1) уведомления отправляются администраторам SOC, но при обнаружении неправильного сертификата пользователю уведомления не отображаются. Администраторы могут отключить это обнаружение с 0 в качестве значения и включить полные функциональные возможности, задав значение 2.
   DefenderOpenNetworkDetection	Integer	0	2—Включить, 1 — режим аудита, 0 — Отключить; Этот параметр используется ИТ-администраторами для включения или отключения обнаружения открытой сети. По умолчанию обнаружение открытой сети отключено со значением 0, а defender не отправляет пользователям уведомления или оповещения администраторам SOC на портале безопасности. При переключении в режим аудита со значением 1 оповещение отправляется администратору SOC, но при обнаружении открытой сети для пользователя уведомление пользователя не отображается. Если он включен со значением 2, отображается уведомление конечного пользователя, а также отправляются оповещения администраторам SOC.
   DefenderEndUserTrustFlowEnable	Integer	0	1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами, чтобы включить или отключить взаимодействие с пользователем в приложении, чтобы доверять и не доверять небезопасным и подозрительным сетям.
   DefenderNetworkProtectionAutoRemediation	Integer	1	1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения оповещений об исправлении, отправляемых при выполнении пользователем действий по исправлению, таких как переключение на более безопасные точки доступа Wi-Fi или удаление подозрительных сертификатов, обнаруженных Defender.
   DefenderNetworkProtectionPrivacy	Integer	1	1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения конфиденциальности в защите сети. Если конфиденциальность отключена со значением 0, отображается согласие пользователя на предоставление общего доступа к вредоносным данным Wi-Fi или сертификатов. Если он находится в состоянии включено со значением 1, согласие пользователя не отображается и данные приложения не собираются.

4. Включите или исключите группы, к которым будет применяться политика. Перейдите к просмотру и отправке политики.

Примечание.

Пользователям необходимо включить разрешение на расположение (которое является необязательным разрешением); это позволяет Defender для конечной точки сканировать сети и оповещать их при наличии угроз, связанных с Wi-Fi. Если пользователь запрещает разрешение на расположение, Defender для конечной точки сможет обеспечить только ограниченную защиту от сетевых угроз и будет защищать пользователей только от несанкционированных сертификатов.

Настройка элементов управления конфиденциальностью

Администраторы могут выполнить следующие действия, чтобы включить конфиденциальность и не собирать доменное имя, сведения о приложении и сведения о сети в составе отчета об оповещениях о соответствующих угрозах.

1. В центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.
2. Присвойте политике имя.
3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
4. На странице Параметры в разделе Общие параметры конфигурации добавьте DefenderExcludeURLInReport и DefenderExcludeAppInReport в качестве ключей и значение 1.
5. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.
6. Назначьте эту политику пользователям. По умолчанию для этого параметра установлено значение 0.
7. На странице Параметры в разделе Общие параметры конфигурации добавьте DefenderExcludeURLInReport, DefenderExcludeAppInReport в качестве ключей и значение true.
8. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.
9. Назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.
10. Просмотрите и создайте политику.

Необязательные разрешения

Microsoft Defender для конечной точки в Android включает дополнительные разрешения в потоке подключения. В настоящее время разрешения, необходимые MDE, являются обязательными в потоке подключения. С помощью этой функции администратор может развертывать MDE на устройствах Android с политиками MAM без применения обязательных разрешений VPN и специальных возможностей во время подключения. Конечные пользователи могут подключить приложение без обязательных разрешений, а затем просматривать эти разрешения.

Настройка дополнительного разрешения

Чтобы включить дополнительные разрешения для устройств, выполните следующие действия.

1. В центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

2. Присвойте политике имя.

3. Выберите Microsoft Defender для конечной точки в общедоступных приложениях.

4. На странице Параметры выберите Использовать конструктор конфигураций и DefenderOptionalVPN или DefenderOptionalAccessibility или оба ключа.

5. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

6. Чтобы включить необязательные разрешения, введите значение 1 и назначьте эту политику пользователям. По умолчанию для этого параметра установлено значение 0.

   Пользователи с ключом 1 смогут подключить приложение без предоставления этих разрешений.

7. На странице Параметры выберите Использовать конструктор конфигураций и DefenderOptionalVPN или DefenderOptionalAccessibility или в качестве типа ключа и значения в качестве логического типа.

8. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

9. Чтобы включить необязательные разрешения, введите значение true и назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.

   Для пользователей с ключом, заданным как true, пользователи могут подключить приложение без предоставления этих разрешений.

10. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

Поток пользователя

Пользователи могут установить и открыть приложение, чтобы начать процесс подключения.

1. Если администратор настроил необязательные разрешения, пользователи могут пропустить разрешение VPN или специальные возможности или и то, и другое и завершить подключение.

2. Даже если пользователь пропустил эти разрешения, устройство сможет подключиться, и будет отправлено пульс.

3. Так как разрешения отключены, веб-защита не будет активной. Он будет частично активен, если предоставлено одно из разрешений.

4. Позже пользователи смогут включить веб-защиту из приложения. Это приведет к установке конфигурации VPN на устройстве.

Примечание.

Параметр Необязательные разрешения отличается от параметра Отключить веб-защиту. Необязательные разрешения позволяют пропускать разрешения только во время подключения, но они доступны для последующего просмотра и включения конечным пользователем, а отключение веб-защиты позволяет пользователям подключить приложение Microsoft Defender для конечной точки без веб-защиты. Его нельзя включить позже.

Отключение выхода

Defender для конечной точки позволяет развернуть приложение и отключить кнопку выхода. Скрывая кнопку выхода, пользователи не могут выйти из приложения Defender. Это действие помогает предотвратить незаконное изменение устройства, если Defender для конечной точки не запущен.

Чтобы настроить отключение выхода, выполните следующие действия.

1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.
2. Укажите имя политики.
3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
4. На странице Параметры в разделе Общие параметры конфигурации добавьте DisableSignOut в качестве ключа и задайте значение 1.
   • По умолчанию значение Отключить выход = 0.
   • Администратор, чтобы отключить кнопку выхода в приложении, необходимо установить значение Отключить выход = 1. Пользователи не увидят кнопку выхода после отправки политики на устройство.
5. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам и пользователям.

Важно!

Эта функция доступна в общедоступной предварительной версии. Следующая информация относится к предварительно выпущенной продукции, которая может быть существенно изменена до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Маркировка устройств

Defender для конечной точки в Android позволяет массово помечать мобильные устройства во время подключения, позволяя администраторам настраивать теги с помощью Intune. Администратор могут настраивать теги устройств с помощью Intune с помощью политик конфигурации и отправлять их на устройства пользователей. Когда пользователь устанавливает и активирует Defender, клиентское приложение передает теги устройств на портал безопасности. Теги устройств отображаются на устройствах в списке устройств.

Чтобы настроить теги устройств, выполните следующие действия.

1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

2. Укажите имя политики.

3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderDeviceTag в качестве ключа, а тип значения — String.

   • Администратор можно назначить новый тег, добавив ключ DefenderDeviceTag и задав значение для тега устройства.
   • Администратор можно изменить существующий тег, изменив значение ключа DefenderDeviceTag.
   • Администратор можно удалить существующий тег, удалив ключ DefenderDeviceTag.

5. Нажмите кнопку Далее и назначьте эту политику целевым устройствам и пользователям.

Примечание.

Приложение Defender необходимо открыть, чтобы теги были синхронизированы с Intune и переданы на портал безопасности. На отражение тегов на портале может потребоваться до 18 часов.

Статьи по теме

• Обзор Microsoft Defender для конечной точки на Android

• Развертывание Microsoft Defender для конечной точки на Android с помощью Microsoft Intune

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.