使用應用程式防護原則 (MAM) ,在 Android 風險訊號上設定 適用於端點的 Microsoft Defender

  • 發行項

適用於:

在 Android 上 適用於端點的 Microsoft Defender,已在行動裝置 裝置管理 (MDM) 案例上保護企業使用者,現在會針對未使用 Intune 行動裝置管理 (MDM) 註冊的裝置,將支援延伸到行動裝置應用程式管理 (MAM) 。 它也會將這項支援延伸給使用其他企業行動管理解決方案的客戶,同時仍使用 Intune 來管理行動應用程式 (MAM) 。 這項功能可讓您管理和保護應用程式內的組織數據。

Intune 應用程式防護原則會套用 Android 威脅資訊的 適用於端點的 Microsoft Defender,以保護這些應用程式。 應用程式防護 應用程式) (原則是確保組織數據保持安全或包含在受控應用程式中的規則。 受控應用程式已套用應用程式保護原則,並可由 Intune 管理。

Android 上的 適用於端點的 Microsoft Defender 支援 MAM 的兩種設定。

  • Intune MDM + MAM:IT 系統管理員只能在 Intune 行動裝置管理 (MDM) 註冊的裝置上,使用應用程式保護原則來管理應用程式。
  • 不註冊裝置的 MAM:沒有裝置註冊的 MAM 或 MAM-WE 可讓 IT 系統管理員在未向 Intune MDM 註冊的裝置上使用應用程式保護原則來管理應用程式。 此布建表示應用程式可透過 Intune 在向第三方 EMM 提供者註冊的裝置上進行管理。 若要管理這兩個設定中的應用程式,客戶應該在 Microsoft Intune 系統管理中心使用 Intune

若要啟用這項功能,系統管理員必須設定 適用於端點的 Microsoft Defender 與 Intune 之間的連線、建立應用程式保護原則,並在目標裝置和應用程式上套用原則。

終端使用者也需要採取步驟,在其裝置上安裝 適用於端點的 Microsoft Defender,並啟用上線流程。

管理員 必要條件

  • 驗證已啟用 Endpoint-Intune 連接器的 Microsoft Defender

    a. 移至 [security.microsoft.com]。

    b. 選取 > [設定端點>][進階功能 > Microsoft Intune 開啟 [連線]。

    c. 如果連線未開啟,請選取切換以開啟它,然後選取 [ 儲存喜好設定]

    Microsoft Defender 入口網站中的 [進階功能] 區段。

    d. 移至 Microsoft Intune 系統管理中心,並驗證是否已啟用 Endpoint-Intune 連接器的 Microsoft Defender。

    Microsoft Defender 入口網站中的 intune 連接器狀態窗格。

  • 在 Android Connector 上啟用應用程式保護原則 (APP) 上的 適用於端點的 Microsoft Defender

    針對 應用程式防護 原則在 Microsoft Intune 上設定連接器:

    a. 移至租用戶系統管理>連接器和令牌 > 適用於端點的 Microsoft Defender

    b. 開啟Android (應用程式保護原則的切換,如下列螢幕快照) 所示。

    c. 選取 [儲存]

    Microsoft Defender入口網站中的應用程式設定窗格。

  • Create 應用程式保護原則

    藉由建立應用程式保護原則,根據 適用於端點的 Microsoft Defender 風險訊號封鎖受控應用程式的存取或抹除數據。

    適用於端點的 Microsoft Defender 可以設定為傳送要在應用程式保護原則 (應用程式中使用的威脅訊號,也稱為 MAM) 。 透過這項功能,您可以使用 適用於端點的 Microsoft Defender 來保護受控應用程式。

    1. Create 原則。

      應用程式防護 應用程式) (原則是確保組織數據保持安全或包含在受控應用程式中的規則。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則,或當使用者位於應用程式內時所禁止或監視的一組動作。

      Microsoft Defender 入口網站中 應用程式防護 原則頁面中的 [Create 原則] 索引標籤。

    2. 新增應用程式。

      a. 選擇要如何將此原則套用至不同裝置上的應用程式。 然後新增至少一個應用程式。

      使用此選項來指定此原則是否適用於非受控裝置。 在 Android 中,您可以指定適用於 Android Enterprise、Device 管理員 或 Unmanaged 裝置的原則。 您也可以選擇將原則的目標設為任何管理狀態裝置上的應用程式。

      因為行動裝置應用程式管理不需要裝置管理,所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心,這會對移除裝置管理的需求。 公司可以同時使用具有或不含 MDM 的應用程式保護原則。 例如,假設有員工同時使用公司所簽發的電話,以及自己的個人平板電腦。 公司電話已在 MDM 中註冊,並且受到應用程式防護原則保護,而個人裝置僅受應用程式防護原則保護。

      b. 選取 [應用程式]。

      受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。 任何已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式,都可以使用 Intune 應用程式保護原則來管理。 請參閱已使用這些工具建置並可供公開使用的受保護 Microsoft Intune 應用程式官方清單。

      範例:Outlook 作為受控應用程式

      Microsoft Defender 入口網站中的 [公用應用程式] 窗格。

    3. 設定保護原則的登入安全性需求。

      選取 [裝置條件] 中的 [設定>允許的裝置威脅等級上限],然後輸入值。 然後選 取 [動作:封鎖存取]。 Android 上的 適用於端點的 Microsoft Defender 共用此裝置威脅等級。

      Microsoft Defender 入口網站中的 [裝置條件] 窗格

  • 指派需要套用原則的使用者群組。

    取 [包含的群組]。 然後新增相關群組。

    Microsoft Defender 入口網站中的 [包含的群組] 窗格。

注意事項

如果設定原則的目標為 MAM) (未註冊的裝置,建議您在受控應用程式中部署一般應用程式組態設定,而不是使用受控裝置。

將應用程式設定原則部署至裝置時,當多個原則具有相同設定密鑰的不同值,並以相同的應用程式和使用者為目標時,可能會發生問題。 這些問題的原因是缺少解決不同值的衝突解決機制。 您可以確保只有針對相同應用程式和使用者定義裝置的單一應用程式設定原則並設為目標,即可避免這些問題。

使用者必要條件

  • 必須安裝訊息代理程式應用程式。

    • Intune 公司入口網站

  • 用戶擁有Managed應用程式的必要授權,並已安裝應用程式。

用戶上線

  1. 登入受控應用程式,例如 Outlook。 裝置已註冊,且應用程式保護原則會同步至裝置。 應用程式保護原則會辨識裝置的健康情況狀態。

  2. 選取 [繼續]。 系統會顯示一個畫面,建議您在Android應用程式上下載和設定 適用於端點的 Microsoft Defender。

  3. 選取 [下載]。 系統會將您重新導向至 App Store (Google play) 。

  4. 安裝 適用於端點的 Microsoft Defender (Mobile) 應用程式,然後啟動 [Managed 應用程式上線] 畫面。

    說明頁面,其中包含下載 MDE 並重新啟動應用程式上線畫面的程式。

  5. 按兩下 [繼續 > 啟動]。 適用於端點的 Microsoft Defender 啟動應用程式上線/啟用流程。 請依照步驟完成上線。 系統會自動將您重新導向回受控應用程式上線畫面,這現在表示裝置狀況良好。

  6. 選取 [繼續 ] 以登入 Managed 應用程式。

設定 Web 保護

適用於 Android 上的適用於端點的 Defender 可讓 IT 系統管理員設定 Web 保護。 Web 保護可在 Microsoft Intune 系統管理中心內取得。

Web 保護有助於保護裝置免於遭受 Web 威脅,並保護使用者免於遭受網路釣魚攻擊。 請注意,Web 保護中支援 (URL 和IP位址) 的反網路釣魚和自定義指標。 行動平臺目前不支援 Web 內容篩選。

  1. 在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增 > Managed 應用程式]

  2. 給與原則一個「名稱」。

  3. [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。

  4. 在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增下列索引鍵,並視需要設定其值。

    • 防網路釣魚
    • Vpn

    若要停用 Web 保護,請輸入 0 作為防網路釣魚和 VPN 值。

    若只要停用 Web 保護的 VPN 使用,請輸入下列值:

    • 0 表示 vpn
    • 1 表示防網路釣魚

    新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。

  5. 將此原則指派給使用者。 根據預設,此值會設定為 false。

  6. 檢閱並建立原則。

設定網路保護

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>應用程式設定原則]。 Create 新的應用程式設定原則。 按兩下 [Managed Apps]。

  2. 提供可唯一識別原則的名稱和描述。 將原則設為 [選取的應用程式],並搜尋 [Microsoft Defender Android 端點]。 按兩下該專案,然後按兩下 [選取],然後按兩下一步。

  3. 從下表新增索引鍵和值。 請確定您使用受控應用程式路由建立的每個原則中都有 「DefenderMAMConfigs」 密鑰。 針對受控裝置路由,此密鑰不應該存在。 當您完成時,請按 [ 下一步]

    機碼 值類型 默認 (true-enable、false-disable) 描述
    DefenderNetworkProtectionEnable 整數 0 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用Defender應用程式中的網路保護功能。
    DefenderAllowlistedCACertificates 字串 None-Disable;IT 系統管理員會使用此設定來建立根 CA 和自我簽署憑證的信任。
    DefenderCertificateDetection 整數 0 2-啟用,1 - 稽核模式,0 - 停用;當此功能的值為 2 時,當 Defender 偵測到錯誤的憑證時,使用者通知會傳送給使用者。 警示也會傳送給SOC管理員。 在稽核模式 (1) ,通知警示會傳送給SOC系統管理員,但是當Defender偵測到錯誤的憑證時,不會向用戶顯示任何使用者通知。 系統管理員可以使用 0 作為值來停用此偵測,並藉由將 2 設定為 值來啟用完整功能。
    DefenderOpenNetworkDetection 整數 0 2-啟用,1 - 稽核模式,0 - 停用;IT 系統管理員會使用此設定來啟用或停用開放式網路偵測。 根據預設,開啟的網路偵測會停用值為 0,且 Defender 不會在安全性入口網站中將使用者通知或警示傳送給 SOC 系統管理員。 如果切換至值為 1 的稽核模式,通知警示會傳送給 SOC 系統管理員,但是當 Defender 偵測到開啟的網路時,不會向使用者顯示任何使用者通知。 如果啟用值 2,則會顯示使用者通知,也會傳送警示給 SOC 系統管理員。
    DefenderEndUserTrustFlowEnable 整數 0 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。
    DefenderNetworkProtectionAutoRemediation 整數 1 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換至更安全的 Wi-Fi 存取點,或刪除 Defender 偵測到的可疑憑證。
    DefenderNetworkProtectionPrivacy 整數 1 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用網路保護中的隱私權。 如果隱私權停用值為 0,則會顯示使用者同意來共用惡意 Wifi 或憑證數據。 如果處於啟用狀態且值為 1,則不會顯示任何使用者同意,而且不會收集任何應用程式數據。

  4. 包含或排除您想要套用原則的群組。 繼續檢閱並提交原則。

注意事項

用戶必須啟用位置許可權 (這是選擇性許可權) ;這可讓適用於端點的 Defender 掃描其網路,並在有 WiFi 相關威脅時發出警示。 如果使用者拒絕位置許可權,適用於端點的 Defender 將只能針對網路威脅提供有限的保護,而且只會保護使用者免於遭受惡意憑證。

設定隱私權控制

系統管理員可以使用下列步驟來啟用隱私權,而不會收集功能變數名稱、應用程式詳細數據和網路資訊,作為對應威脅警示報告的一部分。

  1. 在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增 > Managed 應用程式]
  2. 給與原則一個「名稱」。
  3. 在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
  4. 在 [設定] 頁面的 [一般組態設定] 下,將 [DefenderExcludeURLInReport ] 和 [DefenderExcludeAppInReport ] 新增為索引鍵和值 1。
  5. 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
  6. 將此原則指派給使用者。 此值預設為 0。
  7. 在 [設定] 頁面的 [一般組態設定] 底下,將 DefenderExcludeURLInReportDefenderExcludeAppInReport 新增為索引鍵和值為 true。
  8. 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
  9. 將此原則指派給使用者。 根據預設,此值會設定為 false。
  10. 檢閱並建立原則。

選擇性許可權

Android 上的 適用於端點的 Microsoft Defender 會啟用上線流程中的選擇性許可權。 目前,MDE 所需的許可權在上線流程中是必要的。 透過這項功能,系統管理員可以在具有 MAM 原則的 Android 裝置上部署 MDE,而不需要在上線期間強制執行 VPN 和輔助功能許可權。 終端使用者可以在沒有必要許可權的情況下將應用程式上線,稍後可以檢閱這些許可權。

設定選擇性許可權

使用下列步驟來啟用裝置的選擇性許可權。

  1. 在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增 > Managed 應用程式]

  2. 給與原則一個「名稱」。

  3. 在公用應用程式中選取 [適用於端點的 Microsoft Defender]。

  4. 在 [設定] 頁面上,選取 [ 使用設定設計工具 ] 和 [DefenderOptionalVPN][DefenderOptionalAccessibility ],或 選取 [使用兩者] 作為索引鍵。

  5. 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。

  6. 若要啟用選擇性許可權,請輸入值為 1 ,並將此原則指派給使用者。 此值預設為 0。

    對於金鑰設定為 1 的使用者,他們可以在不提供這些許可權的情況下將應用程式上線。

  7. 在 [設定] 頁面中,選取 [ 使用組態設計工具 ] 和 [DefenderOptionalVPN][DefenderOptionalAccessibility ],或選取 [使用兩 ] 做為布爾值的索引鍵和值類型。

  8. 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。

  9. 若要啟用選擇性許可權,請輸入值為 true ,並將此原則指派給使用者。 根據預設,此值會設定為 false。

    對於金鑰設定為 true 的使用者,用戶可以在不提供這些許可權的情況下將應用程式上線。

  10. 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

使用者流程

用戶可以安裝並開啟應用程式,以開始上線程式。

  1. 如果系統管理員已設定選擇性許可權,則使用者可以選擇略過 VPN 或輔助功能許可權,或同時略過並完成上線。

  2. 即使使用者已略過這些許可權,裝置還是能夠上線,而且會傳送活動訊號。

  3. 由於許可權已停用,因此 Web 保護將不會作用中。 如果提供其中一個許可權,則會部分作用中。

  4. 稍後,使用者可以從應用程式內啟用 Web 保護。 這會在裝置上安裝 VPN 設定。

注意事項

選擇性許可權設定與 [停用 Web 保護] 設定不同。 選擇性許可權僅有助於在上線期間略過許可權,但可供終端使用者稍後檢閱和啟用,而停用 Web 保護則可讓使用者在沒有 Web 保護的情況下將 適用於端點的 Microsoft Defender 應用程式上線。 稍後無法啟用。

停用註銷

適用於端點的 Defender 可讓您部署應用程式並停用註銷按鈕。 藉由隱藏 [註銷] 按鈕,用戶將無法註銷Defender應用程式。 此動作有助於防止在適用於端點的 Defender 未執行時竄改裝置。

使用下列步驟來設定停用註銷:

  1. 在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增 > Managed 應用程式]
  2. 提供原則 名稱
  3. [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
  4. 在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增 DisableSignOut 作為索引鍵,並將值設定為 1。
    • 根據預設,停用註銷 = 0。
    • 管理員 必須讓 Disable Sign Out = 1 停用應用程式中的註銷按鈕。 一旦原則推送至裝置,使用者將不會看到 [註銷] 按鈕。
  5. 取 [下一步 ],並將此配置檔指派給目標裝置和使用者。

重要事項

這項功能處於公開預覽狀態。 下列資訊與發行前版本產品相關,可能會在正式發行前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

裝置標記

適用於 Android 上的適用於端點的 Defender 可讓系統管理員透過 Intune 設定標籤,以在上線期間大量標記行動裝置。 管理員 可以透過 Intune 設定原則來設定裝置標籤,並將它們推送至使用者的裝置。 一旦使用者安裝並啟用Defender,用戶端應用程式就會將裝置標籤傳遞至安全性入口網站。 裝置標籤會針對裝置清查中的裝置顯示。

使用下列步驟來設定裝置標籤:

  1. 在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增 > Managed 應用程式]

  2. 提供原則 名稱

  3. [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。

  4. 在 [設定] 頁面中,選取 [使用設定設計工具],並將 DefenderDeviceTag 新增為 [字串] 的索引鍵和值類型。

    • 管理員 可以藉由新增Key DefenderDeviceTag並設定裝置捲標的值來指派新的標籤。
    • 管理員 可以修改 Key DefenderDeviceTag 的值來編輯現有的標籤。
    • 管理員 可以藉由移除密鑰 DefenderDeviceTag 來刪除現有的標籤。

  5. 按 [下一步] 並將此原則指派給目標裝置和使用者。

注意事項

必須開啟Defender應用程式,標籤才能與 Intune同步,並傳遞至安全性入口網站。 卷標最多可能需要 18 小時才會反映在入口網站中。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。