Konfigurera Defender för Endpoint för Android-funktioner

Gäller för:

Villkorlig åtkomst med Defender för Endpoint på Android

Microsoft Defender för Endpoint på Android, tillsammans med Microsoft Intune och Microsoft Entra ID, möjliggör framtvingande av principer för enhetsefterlevnad och villkorlig åtkomst baserat på enhetens risknivåer. Defender för Endpoint är en MTD-lösning (Mobile Threat Defense) som du kan distribuera via Intune.

Mer information om hur du konfigurerar Defender för Endpoint på Android och villkorsstyrd åtkomst finns i Defender för Endpoint och Intune.

Konfigurera anpassade indikatorer

Obs!

Defender för Endpoint på Android har endast stöd för att skapa anpassade indikatorer för IP-adresser och URL:er/domäner.

Defender för Endpoint på Android gör det möjligt för administratörer att konfigurera anpassade indikatorer för att stödja Android-enheter också. Mer information om hur du konfigurerar anpassade indikatorer finns i Hantera indikatorer.

Konfigurera webbskydd

Med Defender för Endpoint på Android kan IT-administratörer konfigurera webbskyddsfunktionen. Den här funktionen är tillgänglig i Microsoft Intune administrationscenter.

Webbskydd hjälper till att skydda enheter mot webbhot och skydda användare från nätfiskeattacker. Skydd mot nätfiske och anpassade indikatorer (URL och IP-adresser) stöds som en del av webbskyddet. Webbinnehållsfiltrering stöds för närvarande inte på mobila plattformar.

Obs!

Defender för Endpoint på Android skulle använda ett VPN för att tillhandahålla webbskyddsfunktionen. Det här VPN-nätverket är inte ett vanligt VPN. I stället är det ett lokalt/självslingande VPN som inte tar trafik utanför enheten.

Mer information finns i Konfigurera webbskydd på enheter som kör Android.

Nätverksskydd

Den här funktionen ger skydd mot falska Wi-Fi relaterade hot och falska certifikat, som är den primära attackvektorn för Wi-Fi nätverk. Administratörer kan lista rotcertifikatutfärdare (CA) och privata rotcertifikatutfärdarcertifikat i Microsoft Intune administrationscenter och upprätta förtroende med slutpunkter. Det ger användaren en guidad upplevelse för att ansluta till säkra nätverk och meddelar dem även om ett relaterat hot identifieras.

Den innehåller flera administratörskontroller som ger flexibilitet, till exempel möjligheten att konfigurera funktionen inifrån Microsoft Intune administrationscenter och lägga till betrodda certifikat. Administratörer kan aktivera sekretesskontroller för att konfigurera data som skickas till Defender för Endpoint från Android-enheter.

Nätverksskyddet i Microsoft Defender för slutpunkten är inaktiverat som standard. Administratörer kan använda följande steg för att konfigurera nätverksskydd på Android-enheter.

  1. I Microsoft Intune administrationscenter går du till Appkonfigurationsprinciper för appar>. Skapa en ny appkonfigurationsprincip.

    Bild av hur du skapar en princip.

  2. Ange ett namn och en beskrivning för att unikt identifiera principen. Välj "Android Enterprise" som plattform och "Endast personligt ägd arbetsprofil" som profiltyp och "Microsoft Defender" som Målapp.

    Bild av principinformation.

  3. På sidan Inställningar väljer du "Använd Configuration Designer" och lägger till "Aktivera nätverksskydd i Microsoft Defender" som nyckel och värde som "1" för att aktivera Nätverksskydd. (Nätverksskyddet är inaktiverat som standard)

    Bild av hur du väljer aktivera nätverksskyddsprincip

    Bild av lägg till konfigurationsprincip.

  4. Om din organisation använder rotcertifikatutfärdare som är privata måste du upprätta ett uttryckligt förtroende mellan Intune (MDM-lösning) och användarenheter. Genom att upprätta förtroende kan du förhindra att Defender flaggar rotcertifikatutfärdare som oseriösa certifikat.

    Om du vill upprätta förtroende för rotcertifikatutfärdarna använder du certifikatlistan betrodd certifikatutfärdare för nätverksskydd som nyckel. I värdet lägger du till "kommaavgränsad lista över certifikattumavtryck (SHA 1)".

    Exempel på tumavtrycksformat som ska läggas till: 50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431

    Viktigt

    Certifikat sha-1 tumavtryck tecken bör vara med antingen tomt utrymme avgränsade eller icke avgränsade.

    Det här formatet är ogiltigt: 50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31

    Andra separationstecken är ogiltiga.

    Bild av betrott CA-certifikat.

  5. För andra konfigurationer som rör nätverksskydd lägger du till följande nycklar och lämpligt motsvarande värde.

    Konfigurationsnyckel Beskrivning
    Certifikatlista för betrodd certifikatutfärdare för nätverksskydd Säkerhetsadministratörer hanterar den här inställningen för att upprätta förtroende för rotcertifikatutfärdare och självsignerade certifikat.
    Aktivera nätverksskydd i Microsoft Defender 1 – Aktivera, 0 – Inaktivera (standard). Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen.
    Aktivera sekretess för nätverksskydd 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet.
    Gör det möjligt för användare att lita på nätverk och certifikat 1 – Aktivera, 0 – Inaktivera (standard). Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på oskyddade och misstänkta nätverk och skadliga certifikat.
    Automatisk reparation av nätverksskyddsaviseringar 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter, till exempel att växla till en säkrare Wi-Fi åtkomstpunkt eller ta bort misstänkta certifikat som identifieras av Defender.
    Hantera identifiering av nätverksskydd för öppna nätverk 0 – Inaktivera (standard), 1 – Granskningsläge, 2 – Aktivera. Säkerhetsadministratörer hanterar den här inställningen för att inaktivera, granska eller aktivera öppen nätverksidentifiering. I läget Granskning skickas aviseringar endast till ATP-portalen utan slutanvändarupplevelse. För användarupplevelse ställer du in konfigurationen på "Aktivera"-läge.
    Hantera identifiering av nätverksskydd för certifikat 0 – Inaktivera, 1 – Granskningsläge (standard), 2 – Aktivera. När nätverksskyddet är aktiverat är granskningsläget för certifikatidentifiering aktiverat som standard. I granskningsläge skickas aviseringar till SOC-administratörer, men inga slutanvändarmeddelanden visas för användaren när Defender identifierar ett felaktigt certifikat. Administratörer kan dock inaktivera den här identifieringen med 0 som värde och aktivera fullständiga funktionsfunktioner genom att ange 2 som värde. När funktionen är aktiverad med värdet 2 skickas slutanvändarmeddelanden till användaren när Defender identifierar ett felaktigt certifikat, och aviseringar skickas också till SOC-Admin.
  6. Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.

    Konfigurationsnyckel Beskrivning
    Aktivera nätverksskydd i Microsoft Defender 1: Aktivera
    0: Inaktivera (standard)

    Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen.
    Aktivera sekretess för nätverksskydd 1: Aktivera (standard)
    0: Inaktivera

    Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet.
    Gör det möjligt för användare att lita på nätverk och certifikat 1
    Aktivera
    0:Inaktivera (standard)

    Den här inställningen används av IT-administratörer för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på de oskyddade och misstänkta nätverken och skadliga certifikat.
    Automatisk reparation av nätverksskyddsaviseringar 1: Aktivera (standard)
    0: Inaktivera

    Den här inställningen används av IT-administratörer för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter. Användaren växlar till exempel till en säkrare Wi-Fi åtkomstpunkt eller tar bort misstänkta certifikat som har identifierats av Defender.
    Hantera identifiering av nätverksskydd för öppna nätverk 0: Inaktivera (standard)
    1: Granskningsläge

    Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera identifiering av öppna nätverk.
    Hantera identifiering av nätverksskydd för certifikat 0: Inaktivera
    1: Granskningsläge (standard)
    2: Aktivera

    När nätverksskyddet är aktiverat är granskningsläget för certifikatidentifiering aktiverat som standard. I granskningsläge skickas aviseringar till SOC-administratörer, men inga slutanvändarmeddelanden visas när Defender identifierar ett felaktigt certifikat. Administratörer kan inaktivera den här identifieringen med värdet 0 eller aktivera fullständiga funktionsfunktioner genom att ange värdet 2. När värdet är 2 skickas slutanvändarmeddelanden till användare och aviseringar skickas till SOC-administratörer när Defender identifierar ett felaktigt certifikat.
  7. Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.

Obs!

Användare måste aktivera platsbehörighet (vilket är en valfri behörighet); Detta gör det möjligt för Defender för Endpoint att genomsöka sina nätverk och varna dem när det finns WIFI-relaterade hot. Om platsbehörigheten nekas av användaren kan Defender för Endpoint endast ge begränsat skydd mot nätverkshot och skyddar bara användarna från otillåtna certifikat.

Sekretesskontroller

Följande sekretesskontroller är tillgängliga för att konfigurera data som skickas av Defender för Endpoint från Android-enheter:

Hotrapport Information
Rapport om skadlig kod Administratörer kan konfigurera sekretesskontroll för rapport om skadlig kod. Om sekretess är aktiverat skickar Defender för Endpoint inte namnet på den skadliga koden och annan appinformation som en del av aviseringsrapporten för skadlig kod.
Nätfiskerapport Administratörer kan konfigurera sekretesskontroll för nätfiskerapporter. Om sekretess är aktiverat skickar Defender för Endpoint inte domännamnet och informationen om den osäkra webbplatsen som en del av rapporten om nätfiskeaviseringar.
Sårbarhetsbedömning av appar Som standard skickas endast information om appar som är installerade i arbetsprofilen för sårbarhetsbedömning. Administratörer kan inaktivera sekretess för att inkludera personliga appar
Nätverksskydd (förhandsversion) Administratörer kan aktivera eller inaktivera sekretess i nätverksskyddet. Om aktiverad skickar Defender inte nätverksinformation.

Konfigurera sekretessaviseringsrapport

Administratörer kan nu aktivera sekretesskontroll för nätfiskerapporten, rapporten om skadlig kod och nätverksrapporten som skickas av Microsoft Defender för Endpoint på Android. Den här konfigurationen säkerställer att domännamn, appinformation respektive nätverksinformation inte skickas som en del av aviseringen när ett motsvarande hot identifieras.

Admin Privacy Controls (MDM) Använd följande steg för att aktivera sekretess.

  1. I Microsoft Intune administrationscenter går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.

  2. Ge principen ett namn, Plattform > Android enterprise, välj profiltyp.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och sedan Lägg till.

  5. Välj den sekretessinställning som krävs –

    • Dölj URL:er i rapporten
    • Dölj URL:er i rapporten för personlig profil
    • Dölj appinformation i rapporten
    • Dölj appinformation i rapporten för personlig profil
    • Aktivera sekretess för nätverksskydd
  6. Om du vill aktivera sekretess anger du heltalsvärdet 1 och tilldelar den här principen till användare. Som standard är det här värdet inställt på 0 för MDE i arbetsprofilen och 1 för MDE för personlig profil.

  7. Granska och tilldela profilen till målenheter/användare.

Sekretesskontroller för slutanvändare

Dessa kontroller hjälper slutanvändaren att konfigurera den information som delas till organisationen.

  1. För Android Enterprise-arbetsprofilen visas inte slutanvändarkontroller. Administratörer styr de här inställningarna.
  2. För personlig Android Enterprise-profil visas kontrollen under Sekretess för inställningar>.
  3. Användarna ser en växlingsknapp för osäker webbplatsinformation, skadligt program och nätverksskydd.

Dessa reglage visas bara om de aktiveras av administratören. Användarna kan bestämma om de vill skicka informationen till organisationen eller inte.

Om du aktiverar/inaktiverar sekretesskontrollerna ovan påverkas inte enhetsefterlevnadskontrollen eller villkorlig åtkomst.

Konfigurera sårbarhetsbedömning av appar för BYOD-enheter

Från version 1.0.3425.0303 av Microsoft Defender för Endpoint på Android kan du köra sårbarhetsbedömningar av operativsystemet och appar som är installerade på de registrerade mobila enheterna.

Obs!

Sårbarhetsbedömning är en del av Microsoft Defender – hantering av säkerhetsrisker i Microsoft Defender för Endpoint.

Information om sekretess som rör appar från personliga enheter (BYOD):

  • För Android Enterprise med en arbetsprofil stöds endast appar som är installerade på arbetsprofilen.
  • För andra BYOD-lägen aktiveras som standard inte sårbarhetsbedömning av appar. Men när enheten är i administratörsläge kan administratörer uttryckligen aktivera den här funktionen via Microsoft Intune för att hämta listan över appar som är installerade på enheten. Mer information finns i informationen nedan.

Konfigurera sekretess för enhetsadministratörsläge

Använd följande steg för att aktivera sårbarhetsbedömning av appar från enheter i enhetsadministratörsläge för målanvändare.

Obs!

Som standard är detta inaktiverat för enheter som har registrerats med enhetsadministratörsläge.

  1. I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:

    • Plattform: Välj Android-enhetsadministratör
    • Profil: Välj "Anpassad" och välj Skapa.
  2. I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.

  3. I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :

    • Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
    • Datatyp: Välj Heltal i listrutan.
    • Värde: Ange 0 för att inaktivera sekretessinställningen (som standard är värdet 1)
  4. Välj Nästa och tilldela profilen till målenheter/användare.

Konfigurera sekretess för Android Enterprise-arbetsprofil

Defender för Endpoint stöder sårbarhetsbedömning av appar i arbetsprofilen. Men om du vill inaktivera den här funktionen för målanvändare kan du använda följande steg:

  1. I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper för appar> \>Lägg till>hanterade enheter.
  2. Ge principen ett namn. Plattform > Android Enterprise; välj profiltyp.
  3. Välj Microsoft Defender för Endpoint som målapp.
  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderTVMPrivacyMode som nyckel- och värdetyp som Heltal
    • Om du vill inaktivera sårbarhet för appar i arbetsprofilen anger du värdet som 1 och tilldelar den här principen till användare. Som standard är det här värdet inställt på 0.
    • För användare med nyckeluppsättning som 0skickar Defender för Endpoint listan över appar från arbetsprofilen till serverdelstjänsten för sårbarhetsbedömning.
  5. Välj Nästa och tilldela profilen till målenheter/användare.

Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.

Konfigurera sekretess för aviseringsrapport för nätfiske

Sekretesskontroll för nätfiskerapport kan användas för att inaktivera insamling av domännamns- eller webbplatsinformation i nätfiskehotrapporten. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in domännamnet när en skadlig webbplats eller nätfiskewebbplats identifieras och blockeras av Defender för Endpoint.

Konfigurera sekretess för rapport om nätfiskeaviseringar på android-enhetsadministratörsregistrerade enheter:

Använd följande steg för att aktivera det för målanvändare:

  1. I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:

    • Plattform: Välj Android-enhetsadministratör.
    • Profil: Välj "Anpassad" och välj Skapa.
  2. I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.

  3. I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :

    • Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
    • Datatyp: Välj Heltal i listrutan.
    • Värde: Ange 1 för att aktivera sekretessinställningen. Standardvärdet är 0.
  4. Välj Nästa och tilldela profilen till målenheter/användare.

Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten.

Konfigurera sekretess för phishing-aviseringsrapport i Android Enterprise-arbetsprofil

Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:

  1. I Microsoft Intune administrationscenter och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
  2. Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.
  3. Välj Microsoft Defender för Endpoint som målapp.
  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeURLInReport som nyckel- och värdetyp som Heltal.
    • Ange 1 för att aktivera sekretess. Standardvärdet är 0.
  5. Välj Nästa och tilldela profilen till målenheter/användare.

Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.

Konfigurera sekretess för hotrapport om skadlig kod

Sekretesskontroll för hotrapport för skadlig kod kan användas för att inaktivera insamling av appinformation (namn och paketinformation) från hotrapporten om skadlig kod. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in appnamnet när en skadlig app identifieras.

Konfigurera sekretess för varningsrapport för skadlig kod på android-enhetsadministratörsregistrerade enheter:

Använd följande steg för att aktivera det för målanvändare:

  1. I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:

    • Plattform: Välj Android-enhetsadministratör.
    • Profil: Välj "Anpassad" och välj Skapa.
  2. I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.

  3. I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :

    • Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
    • Datatyp: Välj Heltal i listrutan.
    • Värde: Ange 1 för att aktivera sekretessinställningen. Standardvärdet är 0.
  4. Välj Nästa och tilldela profilen till målenheter/användare.

Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten. Till exempel har enheter med en skadlig app alltid risknivån "Medel".

Konfigurera sekretess för varningsrapport för skadlig kod i Android Enterprise-arbetsprofil

Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:

  1. I Microsoft Intune administrationscenter och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
  2. Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.
  3. Välj Microsoft Defender för Endpoint som målapp.
  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeAppInReport som nyckel- och värdetyp som Heltal
    • Ange 1 för att aktivera sekretess. Standardvärdet är 0.
  5. Välj Nästa och tilldela profilen till målenheter/användare.

Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten. Till exempel har enheter med en skadlig app alltid risknivån "Medel".

Inaktivera utloggning

Defender för Endpoint stöder distribution utan utloggningsknappen i appen för att förhindra användare från att logga ut från Defender-appen. Detta är viktigt för att förhindra att användare manipulerar enheten. Använd följande steg för att konfigurera Inaktivera utloggning:

  1. I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
  2. Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.
  3. Välj Microsoft Defender för Endpoint som målapp.
  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till Inaktivera utloggning som nyckel och Heltal som värdetyp.
    • Som standard inaktiverar du logga ut = 1 för Personligt ägda Android Enterprise-arbetsprofiler, fullständigt hanterade, företagsägda personligt aktiverade profiler och 0 för enhetsadministratörsläge.
    • Administratörer måste göra Inaktivera utloggning = 0 för att aktivera utloggningsknappen i appen. Användarna kommer att kunna se utloggningsknappen när principen har push-överförts.
  5. Välj Nästa och tilldela profilen till målenheter och användare.

Viktigt

Den här funktionen finns i allmänt tillgänglig förhandsversion. Följande information gäller förhyrda produkter som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Enhetstaggning

Defender för Endpoint på Android möjliggör masstaggning av mobila enheter under registrering genom att tillåta administratörer att konfigurera taggar via Intune. Admin kan konfigurera enhetstaggar via Intune via konfigurationsprinciper och skicka dem till användarens enheter. När användaren har installerat och aktiverat Defender skickar klientappen enhetstaggar till säkerhetsportalen. Enhetstaggar visas mot enheterna i enhetsinventeringen.

Använd följande steg för att konfigurera enhetstaggar:

  1. I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.

  2. Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderDeviceTag som nyckel- och värdetyp som Sträng.

    • Admin kan tilldela en ny tagg genom att lägga till nyckeln DefenderDeviceTag och ange ett värde för enhetstaggen.
    • Admin kan redigera en befintlig tagg genom att ändra värdet för nyckeln DefenderDeviceTag.
    • Admin kan ta bort en befintlig tagg genom att ta bort nyckeln DefenderDeviceTag.
  5. Klicka på Nästa och tilldela den här principen till målenheter och användare.

Obs!

Defender-appen måste öppnas för att taggar ska synkroniseras med Intune och skickas till säkerhetsportalen. Det kan ta upp till 18 timmar innan taggar visas i portalen.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.