使用应用保护策略 (MAM) 在 Android 风险信号上配置Microsoft Defender for Endpoint
适用于:
Android 上的Microsoft Defender for Endpoint已在移动设备管理 (MDM) 方案中保护企业用户,现在支持未使用Intune移动设备管理 (MDM) 注册的设备 (MAM) 。 它还将此支持扩展到使用其他企业移动管理解决方案的客户,同时仍使用 Intune 进行移动应用程序管理 (MAM) 。 借助此功能,可以在应用程序中管理和保护组织的数据。
Intune应用保护策略对 Android 威胁信息应用Microsoft Defender for Endpoint,以保护这些应用。 应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 托管应用程序应用了应用保护策略,可以通过Intune进行管理。
Android 上的Microsoft Defender for Endpoint支持 MAM 的两种配置。
- Intune MDM + MAM:IT 管理员只能在已注册Intune移动设备管理 (MDM) 的设备上使用应用保护策略来管理应用。
- 无需设备注册的 MAM:没有设备注册的 MAM 或 MAM-WE 允许 IT 管理员在未使用 Intune MDM 注册的设备上使用应用保护策略管理应用。 此预配意味着应用可以通过Intune在第三方 EMM 提供商注册的设备上进行管理。 若要管理这两种配置中的应用,客户应使用 Microsoft Intune 管理中心中的 Intune。
若要启用此功能,管理员需要配置Microsoft Defender for Endpoint与Intune之间的连接,创建应用保护策略,并在目标设备和应用程序上应用该策略。
最终用户还需要采取措施在其设备上安装Microsoft Defender for Endpoint并激活载入流。
管理员先决条件
验证是否已启用 Endpoint-Intune 连接器的Microsoft Defender。
a. 转到 security.microsoft.com。
b. 选择“设置>终结点>高级功能>”Microsoft Intune“连接已打开”。
c. 如果未打开连接,请选择切换开关将其打开,然后选择“ 保存首选项”。
d. 转到Microsoft Intune管理中心,验证是否启用了 Endpoint-Intune 连接器Microsoft Defender。
在 Android 连接器上为应用保护策略启用Microsoft Defender for Endpoint (APP) 。
在 Microsoft Intune 上为应用保护策略配置连接器:
a. 转到租户管理>连接器和令牌>Microsoft Defender for Endpoint。
b. 打开 Android (应用保护策略的切换开关,如以下屏幕截图) 所示。
c. 选择“保存”。
Create应用保护策略。
通过创建应用保护策略,根据Microsoft Defender for Endpoint风险信号阻止访问或擦除托管应用的数据。
可以将Microsoft Defender for Endpoint配置为发送威胁信号,以在应用保护策略 (APP(也称为 MAM) ) 中使用。 借助此功能,可以使用 Microsoft Defender for Endpoint 来保护托管应用。
Create策略。
应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。
添加应用。
a. 选择要将此策略应用于不同设备上的应用的方式。 然后至少添加一个应用。
使用此选项可指定此策略是否应用于非托管设备。 在 Android 中,可以指定策略适用于 Android 企业版、设备管理员或非托管设备。 还可以选择将策略定向到任何管理状态设备上的应用。
由于移动应用管理不需要设备管理,因此可在受管理和不受管理设备上保护公司数据。 管理以用户标识为中心,因而不再需要设备管理。 公司可以同时使用具有或不带 MDM 的应用保护策略。 例如这样一种情况:员工同时使用公司电话和其个人平板电脑。 公司的手机在 MDM 中注册且受应用保护策略保护,而个人设备仅受应用保护策略保护。
b. 选择“应用”。
受管理应用是一种自身执行应用保护策略的应用,可由 Intune 管理。 任何已与 Intune SDK 集成或由Intune App Wrapping Tool包装的应用都可以使用Intune应用保护策略进行管理。 请参阅使用以下工具构建并可供公众使用的 Microsoft Intune 保护的应用的官方列表。
示例:Outlook 作为托管应用
设置保护策略的登录安全要求。
在“设备条件”中选择“设置>允许的最大设备威胁级别”,然后输入一个值。 然后选择“操作:”阻止访问”。 Android 上的Microsoft Defender for Endpoint共享此设备威胁级别。
分配需要应用策略的用户组。
选择“ 包含的组”。 然后添加相关组。
注意
如果配置策略针对未注册的设备 (MAM) ,则建议在托管应用中部署常规应用配置设置,而不是使用托管设备。
将应用配置策略部署到设备时,如果多个策略对同一配置密钥具有不同的值,并且针对同一应用和用户,则可能会出现问题。 这些问题是由于缺少用于解决不同值的冲突解决机制。 可以通过确保仅针对同一应用和用户定义并针对设备的单个应用配置策略来防止这些问题。
最终用户先决条件
必须安装代理应用。
- Intune 公司门户
用户具有托管应用所需的许可证,并已安装该应用。
最终用户加入
登录到托管应用程序,例如 Outlook。 设备已注册,应用程序保护策略已同步到设备。 应用程序保护策略可识别设备的运行状况状态。
选择 继续。 显示一个屏幕,建议在 Android 应用上下载和设置Microsoft Defender for Endpoint。
选择“下载”。 你将被重定向到应用商店, (Google 播放) 。
安装 Microsoft Defender for Endpoint (Mobile) 应用并重新启动托管应用载入屏幕。
单击“ 继续 > 启动”。 启动Microsoft Defender for Endpoint应用加入/激活流。 按照步骤完成载入。 你将自动重定向回托管应用载入屏幕,现在指示设备正常运行。
选择“ 继续 ”以登录到托管应用程序。
配置 Web 保护
Android 上的 Defender for Endpoint 允许 IT 管理员配置 Web 保护。 Microsoft Intune管理中心内提供 Web 保护。
Web 保护有助于保护设备免受 Web 威胁,并保护用户免受钓鱼网站攻击。 请注意,) 的 URL 和 IP 地址 (防钓鱼和自定义指示器作为 Web 保护的一部分受支持。 移动平台上当前不支持 Web 内容筛选。
在Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管应用”。
为策略指定 名称。
在“选择公共应用”下,选择“Microsoft Defender for Endpoint”作为目标应用。
在 “设置” 页的 “常规配置设置”下,添加以下键并根据需要设置其值。
- antiphishing
- Vpn
若要禁用 Web 保护,请为反钓鱼和 VPN 值输入 0。
若要仅通过 Web 保护禁用 VPN 的使用,请输入以下值:
- 0(对于 vpn)
- 1 用于反钓鱼
添加 DefenderMAMConfigs 键并将值设置为 1。
将此策略分配给用户。 默认情况下,此值设置为 false。
查看并创建策略。
配置网络保护
在Microsoft Intune管理中心,导航到“应用”“>应用配置策略”。 Create新的应用配置策略。 单击“托管应用”。
提供用于唯一标识策略的名称和说明。 将策略定位到“所选应用”,并搜索“适用于 Android 的 Microsoft Defender 终结点”。 单击条目,然后单击 “选择” ,然后单击“ 下一步”。
添加下表中的键和值。 确保使用托管应用路由创建的每个策略中都存在 “DefenderMAMConfigs” 密钥。 对于托管设备路由,此密钥不应存在。 完成后,单击“ 下一步”。
键 值类型 默认 (true-enable、false-disable) 说明 DefenderNetworkProtectionEnable整数 0 1 - 启用,0 - 禁用;IT 管理员使用此设置在 defender 应用中启用或禁用网络保护功能。 DefenderAllowlistedCACertificatesString 无 None-Disable;IT 管理员使用此设置来建立根 CA 和自签名证书的信任。 DefenderCertificateDetection整数 0 2-启用,1 - 审核模式,0 - 禁用;如果启用此功能且值为 2,则 Defender 检测到错误的证书时,会将最终用户通知发送给用户。 警报也会发送给 SOC 管理员。 在审核模式下, (1) ,通知警报会发送给 SOC 管理员,但当 Defender 检测到错误的证书时,不会向用户显示最终用户通知。 管理员可以禁用此检测,并将 0 设置为值,并通过将 2 设置为值来启用完整功能。 DefenderOpenNetworkDetection整数 0 2-启用,1 - 审核模式,0 - 禁用;IT 管理员使用此设置来启用或禁用打开的网络检测。 默认情况下,禁用开放网络检测,值为 0,并且 defender 不会在安全门户中向 SOC 管理员发送最终用户通知或警报。 如果切换到值为 1 的审核模式,则通知警报将发送给 SOC 管理员,但在 defender 检测到打开的网络时,不会向用户显示最终用户通知。 如果启用了值 2,则会显示最终用户通知,并向 SOC 管理员发送警报。 DefenderEndUserTrustFlowEnable整数 0 1 - 启用,0 - 禁用;IT 管理员使用此设置启用或禁用最终用户应用内体验,以信任和不信任不安全的可疑网络。 DefenderNetworkProtectionAutoRemediation整数 1 1 - 启用,0 - 禁用;IT 管理员使用此设置启用或禁用当用户执行修正活动(例如切换到更安全的 Wi-Fi 接入点或删除 Defender 检测到的可疑证书)时发送的修正警报。 DefenderNetworkProtectionPrivacy整数 1 1 - 启用,0 - 禁用;IT 管理员使用此设置来启用或禁用网络保护中的隐私。 如果使用值 0 禁用隐私,则会显示用户同意共享恶意 wifi 或证书数据。 如果处于启用状态且值为 1,则不会显示用户同意,并且不会收集应用数据。 包括或排除要应用策略的组。 继续查看并提交策略。
注意
用户需要启用位置权限 (这是可选权限) ;这使 Defender for Endpoint 能够扫描其网络,并在存在与 WiFi 相关的威胁时发出警报。 如果用户拒绝了位置权限,Defender for Endpoint 将只能针对网络威胁提供有限的保护,并且只能保护用户免受恶意证书的侵害。
配置隐私控制
管理员可以使用以下步骤来启用隐私,而不收集域名、应用详细信息和网络信息作为相应威胁警报报告的一部分。
- 在Microsoft Intune管理中心,转到“应用”“应用>配置策略>”“添加>托管应用”。
- 为策略指定 名称。
- 在“选择公共应用”下,选择“Microsoft Defender for Endpoint”作为目标应用。
- 在“设置”页上的“常规配置设置”下,将 DefenderExcludeURLInReport 和 DefenderExcludeAppInReport 添加为键,并将值添加为 1。
- 添加 DefenderMAMConfigs 键并将值设置为 1。
- 将此策略分配给用户。 默认情况下,此值设置为 0。
- 在“设置”页的“常规配置设置”下,将 DefenderExcludeURLInReport、 DefenderExcludeAppInReport 添加为键,并将值添加为 true。
- 添加 DefenderMAMConfigs 键并将值设置为 1。
- 将此策略分配给用户。 默认情况下,此值设置为 false。
- 查看并创建策略。
可选权限
Android 上的Microsoft Defender for Endpoint在载入流中启用可选权限。 目前,MDE所需的权限在载入流中是必需的。 借助此功能,管理员可以使用 MAM 策略在 Android 设备上部署MDE,而无需在载入期间强制实施强制 VPN 和辅助功能权限。 最终用户可以在没有强制权限的情况下加入应用,以后可以查看这些权限。
配置可选权限
使用以下步骤为设备启用可选权限。
在Microsoft Intune管理中心,转到“应用”“应用>配置策略>”“添加>托管应用”。
为策略指定 名称。
在公共应用中选择Microsoft Defender for Endpoint。
在“设置”页上,选择“使用配置设计器和/或使用 DefenderOptionalVPN 或 DefenderOptionalAccessibility”作为键。
添加 DefenderMAMConfigs 键并将值设置为 1。
若要启用可选权限,请输入值 1 并将此策略分配给用户。 默认情况下,此值设置为 0。
对于密钥设置为 1 的用户,他们将能够在不授予这些权限的情况下载入应用。
在“设置”页中,选择“ 使用配置设计器 ”和“ DefenderOptionalVPN ”或 “DefenderOptionalAccessibility” ,或 同时 将键和值类型作为布尔值类型。
添加 DefenderMAMConfigs 键并将值设置为 1。
若要启用可选权限,请输入值为 true ,并将此策略分配给用户。 默认情况下,此值设置为 false。
对于密钥设置为 true 的用户,用户无需授予这些权限即可载入应用。
选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。
用户流程
用户可以安装并打开应用以启动载入过程。
如果管理员设置了“可选权限”,则用户可以选择跳过 VPN 或辅助功能权限,或同时跳过这两者并完成载入。
即使用户已跳过这些权限,设备也能够载入,并且将发送检测信号。
由于禁用了权限,因此 Web 保护不会处于活动状态。 如果授予其中一个权限,它将部分处于活动状态。
稍后,用户可以从应用内启用 Web 保护。 这将在设备上安装 VPN 配置。
注意
“可选权限”设置不同于“禁用 Web 保护”设置。 可选权限仅有助于在载入期间跳过权限,但最终用户可以在以后查看和启用该权限,而“禁用 Web 保护”允许用户在没有 Web 保护的情况下加入Microsoft Defender for Endpoint应用。 以后无法启用它。
禁用注销
Defender for Endpoint 允许部署应用并禁用“注销”按钮。 通过隐藏“注销”按钮,用户无法注销 Defender 应用。 此操作有助于防止在 Defender for Endpoint 未运行时篡改设备。
使用以下步骤配置“禁用注销”:
- 在Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管应用”。
- 为策略提供 名称。
- 在“选择公共应用”下,选择“Microsoft Defender for Endpoint”作为目标应用。
- 在 “设置” 页的 “常规配置设置”下,添加 DisableSignOut 作为键,并将值设置为 1。
- 默认情况下,禁用注销 = 0。
- 管理员需要禁用注销 = 1 才能禁用应用中的注销按钮。 将策略推送到设备后,用户将不会看到“注销”按钮。
- 选择“ 下一步 ”,并将此配置文件分配给目标设备和用户。
重要
此功能以公共预览版提供。 以下信息与预发布产品有关,在商业发布之前,该产品可能会进行实质性修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
设备标记
Android 上的 Defender for Endpoint 允许管理员通过Intune设置标记,从而在载入期间对移动设备进行批量标记。 管理员可以通过配置策略Intune配置设备标记,并将其推送到用户的设备。 用户安装并激活 Defender 后,客户端应用会将设备标记传递到安全门户。 设备标记针对设备清单中的设备显示。
使用以下步骤配置设备标记:
在Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管应用”。
为策略提供 名称。
在“选择公共应用”下,选择“Microsoft Defender for Endpoint”作为目标应用。
在“设置”页中,选择“使用配置设计器”,并将 DefenderDeviceTag 添加为“ 字符串”作为键和值类型。
- 管理员可以通过添加键 DefenderDeviceTag 并设置设备标记的值来分配新标记。
- 管理员可以通过修改键 DefenderDeviceTag 的值来编辑现有标记。
- 管理员可以通过删除键 DefenderDeviceTag 来删除现有标记。
单击“下一步”,并将此策略分配给目标设备和用户。
注意
需要打开 Defender 应用才能将标记与 Intune 同步并传递到安全门户。 标记可能需要长达 18 小时才能反映在门户中。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈