在 Android 功能上配置 Defender for Endpoint

  • 项目

适用于:

Android 上的 Defender for Endpoint 条件访问

Android 上的Microsoft Defender for Endpoint以及Microsoft Intune和Microsoft Entra ID,可实现基于设备风险级别强制实施设备合规性和条件访问策略。 Defender for Endpoint 是移动威胁防御 (MTD) 解决方案,可通过Intune进行部署。

有关如何在 Android 和条件访问上设置 Defender for Endpoint 的详细信息,请参阅 Defender for Endpoint 和 Intune

配置自定义指示器

注意

Android 版 Defender for Endpoint 仅支持为 IP 地址和 URL/域创建自定义指示器。

Android 上的 Defender for Endpoint 使管理员能够配置自定义指示器以支持 Android 设备。 有关如何配置自定义指示器的详细信息,请参阅 管理指示器

配置 Web 保护

Android 上的 Defender for Endpoint 允许 IT 管理员配置 Web 保护功能。 此功能在 Microsoft Intune 管理中心内可用。

Web 保护有助于保护设备免受 Web 威胁,并保护用户免受钓鱼网站攻击。 ) 的防钓鱼和自定义指示器 (URL 和 IP 地址作为 Web 保护的一部分受支持。 移动平台上当前不支持 Web 内容筛选。

注意

Android 上的 Defender for Endpoint 将使用 VPN 来提供 Web 保护功能。 此 VPN 不是常规 VPN。 相反,它是一个本地/自循环 VPN,不会将流量带到设备外部。

有关详细信息,请参阅 在运行 Android 的设备上配置 Web 保护

网络保护

此功能提供针对恶意 Wi-Fi 相关威胁和恶意证书的保护,这些证书是 Wi-Fi 网络的主要攻击途径。 管理员可以在Microsoft Intune管理中心列出根证书颁发机构 (CA) 和专用根 CA 证书,并与终结点建立信任。 它为用户提供了连接到安全网络的引导体验,并在检测到相关威胁时通知用户。

它包括多个管理控件,以提供灵活性,例如,能够从Microsoft Intune管理中心内配置该功能并添加受信任的证书。 管理员可以启用 隐私控制 ,以配置从 Android 设备发送到 Defender for Endpoint 的数据。

默认情况下,终结点Microsoft Defender中的网络保护处于禁用状态。 管理员可以使用以下步骤在 Android 设备中配置网络保护。

  1. 在Microsoft Intune管理中心,导航到“应用”“>应用配置策略”。 Create新的应用配置策略。

    有关如何创建策略的图像。

  2. 提供用于唯一标识策略的名称和说明。 选择“Android Enterprise”作为平台,选择“仅限个人拥有的工作配置文件”作为配置文件类型,选择“Microsoft Defender”作为目标应用。

    策略详细信息的图像。

  3. 在“设置”页中,选择“使用配置设计器”,并将“在 Microsoft Defender 中启用网络保护”作为键,并将值添加为“1”以启用网络保护。 (网络保护默认禁用)

    如何选择“启用网络保护策略”的图像

    添加配置策略的图像。

  4. 如果组织使用专用的根 CA,则必须在Intune (MDM 解决方案) 和用户设备之间建立显式信任。 建立信任有助于防止 Defender 将根 CA 标记为恶意证书。

    若要为根 CA 建立信任,请使用 “网络保护的受信任 CA 证书列表” 作为密钥。 在 值中,添加 “以逗号分隔的证书指纹列表 (SHA 1) ”。

    要添加的指纹格式示例50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431

    重要

    证书 SHA-1 指纹字符应具有空格分隔或非分隔空格。

    此格式无效: 50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31

    任何其他分隔字符都无效。

    受信任的 CA 证书的图像。

  5. 对于与网络保护相关的其他配置,请添加以下密钥和相应的相应值。

    配置密钥 说明
    网络保护的受信任 CA 证书列表 安全管理员管理此设置以建立根 CA 和自签名证书的信任。
    在 Microsoft Defender 中启用网络保护 1 - 启用,0- 禁用 (默认) 。 IT 管理员使用此设置在 Defender 应用中启用或禁用网络保护功能。
    启用网络保护隐私 1 - 启用 (默认) ,0 - 禁用。 安全管理员管理此设置以启用或禁用网络保护中的隐私。
    让用户信任网络和证书 1 - 启用,0 - 禁用 (默认) 。 安全管理员管理此设置以启用或禁用最终用户的应用内体验,以信任和不信任不安全的可疑网络和恶意证书。
    网络保护警报的自动修正 1 - 启用 (默认) ,0 - 禁用。 安全管理员管理此设置以启用或禁用用户在执行修正活动(例如切换到更安全的 Wi-Fi 接入点或删除 Defender 检测到的可疑证书)时发送的修正警报。
    管理开放网络的网络保护检测 0 - 禁用 (默认) ,1 - 审核模式,2 - 启用。 安全管理员管理此设置,以分别禁用、审核或启用开放网络检测。 在“审核”模式下,警报仅发送到 ATP 门户,没有最终用户体验。 对于用户体验,请将配置设置为“启用”模式。
    管理证书的网络保护检测 0 - 禁用,1 - 审核模式 (默认) ,2 - 启用。 启用网络保护后,默认情况下会启用证书检测的审核模式。 在“审核”模式下,通知警报将发送给 SOC 管理员,但当 Defender 检测到错误的证书时,不会向用户显示最终用户通知。 但是,管理员可以禁用此检测,并将 0 设置为值,并通过将 2 设置为 值来启用完整功能。 当启用值为 2 的功能时,Defender 检测到错误的证书时,最终用户通知会发送给用户,并且警报也会发送到 SOC 管理员。

  6. 添加必须应用策略的所需组。 查看并创建策略。

    配置密钥 说明
    在 Microsoft Defender 中启用网络保护 1:启用
    0:禁用 (默认)

    IT 管理员使用此设置在 Defender 应用中启用或禁用网络保护功能。
    启用网络保护隐私 1:启用 (默认)
    0:禁用

    安全管理员管理此设置以启用或禁用网络保护中的隐私。
    让用户信任网络和证书 1
    启用
    0:禁用 (默认)

    IT 管理员使用此设置启用或禁用最终用户应用内体验,以信任和不信任不安全的可疑网络和恶意证书。
    网络保护警报的自动修正 1:启用 (默认)
    0:禁用

    IT 管理员使用此设置启用或禁用在用户执行修正活动时发送的修正警报。 例如,用户切换到更安全的 Wi-Fi 接入点或删除 Defender 检测到的可疑证书。
    管理开放网络的网络保护检测 0:禁用 (默认)
    1:审核模式

    安全管理员管理此设置以启用或禁用开放网络检测。
    管理证书的网络保护检测 0:禁用
    1:审核模式 (默认)
    2:启用

    启用网络保护后,默认情况下会启用证书检测的审核模式。 在审核模式下,通知警报会发送给 SOC 管理员,但 Defender 检测到错误的证书时不会显示最终用户通知。 管理员可以使用值 0 禁用此检测,或者通过设置值 2 来启用完整功能。 当值为 2 时,当 Defender 检测到错误的证书时,最终用户通知将发送给用户,并向 SOC 管理员发送警报。

  7. 添加必须应用策略的所需组。 查看并创建策略。

注意

用户需要启用位置权限 (这是可选权限) ;这使 Defender for Endpoint 能够扫描其网络,并在存在与 WIFI 相关的威胁时发出警报。 如果用户拒绝了位置权限,Defender for Endpoint 将只能针对网络威胁提供有限的保护,并且只能保护用户免受恶意证书的侵害。

隐私控件

以下隐私控件可用于配置 Defender for Endpoint 从 Android 设备发送的数据:

威胁报告 详细信息
恶意软件报告 管理员可以为恶意软件报告设置隐私控制。 如果启用了隐私,则 Defender for Endpoint 不会在恶意软件警报报告中发送恶意软件应用名称和其他应用详细信息。
网络钓鱼报告 管理员可以为钓鱼报告设置隐私控制。 如果启用了隐私,则 Defender for Endpoint 不会在钓鱼警报报告中发送不安全网站的域名和详细信息。
应用的漏洞评估 默认情况下,仅发送有关工作配置文件中安装的应用的信息,以便进行漏洞评估。 管理员可以禁用隐私以包括个人应用
网络保护 (预览版) 管理员可以在网络保护中启用或禁用隐私。 如果启用,则 Defender 不会发送网络详细信息。

配置隐私警报报告

管理员现在可以为 Android 上Microsoft Defender for Endpoint发送的网络钓鱼报告、恶意软件报告和网络报告启用隐私控制。 此配置可确保在检测到相应的威胁时,不会分别将域名、应用详细信息和网络详细信息作为警报的一部分发送。

管理员隐私控制 (MDM) 使用以下步骤启用隐私。

  1. 在Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名 “平台 > Android 企业”,选择配置文件类型

  3. 选择“Microsoft Defender for Endpoint”作为目标应用。

  4. 在“设置”页上,选择“ 使用配置设计器 ”,然后选择“ 添加”。

  5. 选择所需的隐私设置 -

    • 隐藏报表中的 URL
    • 在报表中隐藏个人配置文件的 URL
    • 在报表中隐藏应用详细信息
    • 在个人个人资料的报表中隐藏应用详细信息
    • 启用网络保护隐私

  6. 若要启用隐私,请输入整数值作为 1,并将此策略分配给用户。 默认情况下,对于工作配置文件中的MDE,此值设置为 0,对于个人配置文件上的MDE,此值设置为 1。

  7. 查看此配置文件并将其分配给目标设备/用户。

最终用户隐私控制

这些控件可帮助最终用户配置共享给组织的信息。

  1. 对于 Android Enterprise 工作配置文件,最终用户控件将不可见。 管理员控制这些设置。
  2. 对于 Android Enterprise 个人配置文件,控件显示在“设置隐私”>下。
  3. 用户会看到不安全站点信息、恶意应用程序和网络保护的切换。

仅当管理员启用时,这些切换才会可见。用户可以决定是否要将信息发送到组织。

启用/禁用上述隐私控制不会影响设备符合性检查或条件访问。

为 BYOD 设备配置应用的漏洞评估

从 Android 上的 Microsoft Defender for Endpoint 版本 1.0.3425.0303,你可以对载入的移动设备上安装的 OS 和应用运行漏洞评估。

注意

漏洞评估是Microsoft Defender for Endpoint Microsoft Defender 漏洞管理的一部分。

有关个人设备 (BYOD) 相关应用的隐私说明:

  • 对于具有工作配置文件的 Android Enterprise,仅支持在工作配置文件上安装的应用。
  • 对于其他 BYOD 模式,默认情况下 不会 启用应用的漏洞评估。 但是,当设备处于管理员模式时,管理员可以通过Microsoft Intune显式启用此功能,以获取设备上安装的应用列表。 有关详细信息,请参阅下面的详细信息。

为设备管理员模式配置隐私

使用以下步骤为目标用户启用设备管理员模式下设备应用漏洞评估

注意

默认情况下,对于使用设备管理模式注册的设备,此功能处于关闭状态。

  1. Microsoft Intune 管理中心 中,转到“设备>配置文件>Create配置文件”,然后输入以下设置:

    • 平台:选择 Android 设备管理员
    • 配置文件:选择“自定义”,然后选择Create。

  2. “基本信息 ”部分中,指定配置文件的名称和说明。

  3. “配置设置”中,选择“添加 OMA-URI 设置”:

    • 名称:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
    • 数据类型:从下拉列表选择“整数”。
    • 值:输入 0 可禁用隐私设置 (默认情况下,值为 1)

  4. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

为 Android Enterprise 工作配置文件配置隐私

Defender for Endpoint 支持对工作配置文件中的应用进行漏洞评估。 但是,如果要为目标用户关闭此功能,可以使用以下步骤:

  1. Microsoft Intune管理中心,转到“应用”>“应用配置策略”\>“添加>托管设备”。
  2. 为策略命名; 平台 > Android Enterprise;选择配置文件类型。
  3. 选择“Microsoft Defender for Endpoint”作为目标应用。
  4. 在“设置”页中,选择“使用配置设计器”,并将 DefenderTVMPrivacyMode 添加为“整数”作为键和值类型
    • 若要在工作配置文件中禁用应用的漏洞,请输入 值作为 1 并将此策略分配给用户。 默认情况下,此值设置为 0
    • 对于密钥设置为 0的用户,Defender for Endpoint 会将应用列表从工作配置文件发送到后端服务,以便进行漏洞评估。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

打开或关闭上述隐私控制不会影响设备符合性检查或条件访问。

为钓鱼警报报告配置隐私

网络钓鱼报告的隐私控制可用于禁用网络钓鱼威胁报告中的域名或网站信息的收集。 此设置使组织能够灵活地选择在 Defender for Endpoint 检测到并阻止恶意网站或网络钓鱼网站时是否要收集域名。

在 Android 设备管理员注册的设备上配置网络钓鱼警报报告的隐私:

使用以下步骤为目标用户启用它:

  1. Microsoft Intune 管理中心 中,转到“设备>配置文件>Create配置文件”,然后输入以下设置:

    • 平台:选择“Android 设备管理员”。
    • 配置文件:选择“自定义”,然后选择Create

  2. “基本信息 ”部分中,指定配置文件的名称和说明。

  3. “配置设置”中,选择“添加 OMA-URI 设置”:

    • 名称:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
    • 数据类型:从下拉列表选择“整数”。
    • 值:输入 1 以启用隐私设置。 默认值为 0。

  4. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

使用此隐私控制不会影响设备符合性检查或条件访问。

在 Android Enterprise 工作配置文件上配置网络钓鱼警报报告的隐私

使用以下步骤为工作配置文件中的目标用户启用隐私:

  1. Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管设备”。
  2. 为策略命名 “平台 > Android Enterprise”,选择配置文件类型。
  3. 选择“Microsoft Defender for Endpoint”作为目标应用。
  4. 在“设置”页中,选择“ 使用配置设计器 ”,并将 DefenderExcludeURLInReport 添加为“ 整数”作为键和值类型。
    • 输入 1 以启用隐私。 默认值为 0。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

打开或关闭上述隐私控制不会影响设备符合性检查或条件访问。

为恶意软件威胁报告配置隐私

恶意软件威胁报告的隐私控制可用于禁用从恶意软件威胁报告) 的应用详细信息 (名称和包信息的收集。 此设置使组织能够灵活地选择在检测到恶意应用时是否要收集应用名称。

在 Android 设备管理员注册的设备上为恶意软件警报报告配置隐私:

使用以下步骤为目标用户启用它:

  1. Microsoft Intune 管理中心 中,转到“设备>配置文件>Create配置文件”,然后输入以下设置:

    • 平台:选择“Android 设备管理员”。
    • 配置文件:选择“自定义”,然后选择Create

  2. “基本信息 ”部分中,指定配置文件的名称和说明。

  3. “配置设置”中,选择“添加 OMA-URI 设置”:

    • 名称:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
    • 数据类型:从下拉列表选择“整数”。
    • 值:输入 1 以启用隐私设置。 默认值为 0。

  4. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

使用此隐私控制不会影响设备符合性检查或条件访问。 例如,具有恶意应用的设备的风险级别始终为“中等”。

在 Android Enterprise 工作配置文件上为恶意软件警报报告配置隐私

使用以下步骤为工作配置文件中的目标用户启用隐私:

  1. Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管设备”。
  2. 为策略命名 “平台 > Android Enterprise”,选择配置文件类型。
  3. 选择“Microsoft Defender for Endpoint”作为目标应用。
  4. 在“设置”页中,选择“使用配置设计器”,并将 DefenderExcludeAppInReport 添加为“整数”作为键和值类型
    • 输入 1 以启用隐私。 默认值为 0。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

使用此隐私控制不会影响设备符合性检查或条件访问。 例如,具有恶意应用的设备的风险级别始终为“中等”。

禁用注销

Defender for Endpoint 支持在应用中不使用注销按钮进行部署,以防止用户注销 Defender 应用。 这一点对于防止用户篡改设备非常重要。 使用以下步骤配置“禁用注销”:

  1. Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管设备”。
  2. 为策略指定名称,选择“ 平台 > Android 企业版”,然后选择配置文件类型。
  3. 选择“Microsoft Defender for Endpoint”作为目标应用。
  4. 在“设置”页中,选择“ 使用配置设计器 ”,并添加 “禁用注销 ”作为键,添加 “整数 ”作为值类型。
    • 默认情况下,对于 Android Enterprise 个人拥有的工作配置文件,禁用注销 = 1,完全托管,公司拥有的个人启用配置文件和 0(对于设备管理员模式)。
    • 管理员需要使禁用注销 = 0 才能在应用中启用注销按钮。 推送策略后,用户将能够看到注销按钮。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备和用户。

重要

此功能以公共预览版提供。 以下信息与预发布产品有关,在商业发布之前,该产品可能会进行实质性修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

设备标记

Android 上的 Defender for Endpoint 允许管理员通过Intune设置标记,从而在载入期间对移动设备进行批量标记。 管理员可以通过配置策略Intune配置设备标记,并将其推送到用户的设备。 用户安装并激活 Defender 后,客户端应用会将设备标记传递到安全门户。 设备标记针对设备清单中的设备显示。

使用以下步骤配置设备标记:

  1. Microsoft Intune管理中心,转到“应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略指定名称,选择“ 平台 > Android 企业版”,然后选择配置文件类型。

  3. 选择“Microsoft Defender for Endpoint”作为目标应用。

  4. 在“设置”页中,选择“使用配置设计器”,并将 DefenderDeviceTag 添加为“ 字符串”作为键和值类型。

    • 管理员可以通过添加键 DefenderDeviceTag 并设置设备标记的值来分配新标记。
    • 管理员可以通过修改键 DefenderDeviceTag 的值来编辑现有标记。
    • 管理员可以通过删除键 DefenderDeviceTag 来删除现有标记。

  5. 单击“下一步”,并将此策略分配给目标设备和用户。

注意

需要打开 Defender 应用才能将标记与 Intune 同步并传递到安全门户。 标记可能需要长达 18 小时才能反映在门户中。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区