Microsoft Defender for Endpoint 计划 1
Microsoft Defender for Endpoint 计划 2
Microsoft 365 Defender
Android 上的 Defender for Endpoint 条件访问
Android 上的Microsoft Defender for Endpoint以及 Microsoft Intune 和 Azure Active Directory 支持基于设备风险级别强制实施设备合规性和条件访问策略。 Defender for Endpoint 是移动威胁防御 (MTD) 解决方案,可通过Intune进行部署。
有关如何在 Android 和条件访问上设置 Defender for Endpoint 的详细信息,请参阅
Defender for Endpoint 和 Intune
。
Android 版 Defender for Endpoint 仅支持为 IP 地址和 URL/域创建自定义指示器。
Android 上的 Defender for Endpoint 使管理员能够配置自定义指示器以支持 Android 设备。 有关如何配置自定义指示器的详细信息,请参阅
管理指示器
。
Android 上的 Defender for Endpoint 允许 IT 管理员配置 Web 保护功能。 此功能在 Microsoft Intune 管理中心内可用。
Web 保护
有助于保护设备免受 Web 威胁,并保护用户免受钓鱼网站攻击。 ) 的防钓鱼和自定义指示器 (URL 和 IP 地址作为 Web 保护的一部分受支持。 移动平台上当前不支持 Web 内容筛选。
Android 上的 Defender for Endpoint 将使用 VPN 来提供 Web 保护功能。 此 VPN 不是常规 VPN。 相反,它是一个本地/自循环 VPN,不会将流量带到设备外部。
有关详细信息,请参阅
在运行 Android 的设备上配置 Web 保护
。
此功能提供针对恶意Wi-Fi相关威胁和恶意证书的保护,这些证书是Wi-Fi网络的主要攻击途径。 管理员可以在Microsoft Intune管理中心列出根证书颁发机构 (CA) 和专用根 CA 证书,并与终结点建立信任。 它为用户提供了连接到安全网络的引导体验,并在检测到相关威胁时通知用户。
它包括多个管理控件,以提供灵活性,例如,能够从Microsoft Intune管理中心内配置该功能并添加受信任的证书。 管理员可以启用
隐私控制
,以配置从 Android 设备发送到 Defender for Endpoint 的数据。
默认情况下,终结点Microsoft Defender中的网络保护处于禁用状态。 管理员可以使用以下步骤在
Android 设备中配置网络保护。
在Microsoft Intune管理中心,导航到“应用”“>应用配置策略”。 创建新的应用配置策略。
如果组织使用专用的根 CA,则必须在Intune (MDM 解决方案) 和用户设备之间建立显式信任。 建立信任有助于防止 Defender 将根 CA 标记为恶意证书。
若要为根 CA 建立信任,请使用
“网络保护的受信任 CA 证书列表”
作为密钥。 在 值中,添加
“以逗号分隔的证书指纹列表 (SHA 1)
”。
要添加的指纹格式示例
:
50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431
证书 SHA-1 指纹字符应具有空格分隔或非分隔空格。
此格式无效:
50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31
任何其他分隔字符都无效。
网络保护警报的自动修正
1 - 启用 (默认) ,0 - 禁用。 安全管理员管理此设置以启用或禁用用户在执行修正活动(例如切换到更安全的Wi-Fi接入点或删除 Defender 检测到的可疑证书)时发送的修正警报。
管理开放网络的网络保护检测
0 - 禁用 (默认) ,1 - 审核模式,2 - 启用。 安全管理员管理此设置,以分别禁用、审核或启用开放网络检测。 在“审核”模式下,警报仅发送到 ATP 门户,没有最终用户体验。 对于用户体验,请将配置设置为“启用”模式。
管理证书的网络保护检测
0 - 禁用,1 - 审核模式 (默认) ,2 - 启用。 启用网络保护后,默认情况下会启用证书检测的审核模式。 在“审核”模式下,通知警报将发送给 SOC 管理员,但当 Defender 检测到错误的证书时,不会向用户显示最终用户通知。 但是,管理员可以禁用此检测,并将 0 设置为值,并通过将 2 设置为 值来启用完整功能。 当启用值为 2 的功能时,Defender 检测到错误的证书时,最终用户通知会发送给用户,并且警报也会发送到 SOC 管理员。
网络保护警报的自动修正
1:启用 (默认)
0:禁用
IT 管理员使用此设置启用或禁用在用户执行修正活动时发送的修正警报。 例如,用户切换到更安全的Wi-Fi接入点或删除 Defender 检测到的可疑证书。
管理开放网络的网络保护检测
0:禁用 (默认)
1:审核模式
安全管理员管理此设置以启用或禁用开放网络检测。
管理证书的网络保护检测
0:禁用
1:审核模式 (默认)
2:启用
启用网络保护后,默认情况下会启用证书检测的审核模式。 在审核模式下,通知警报会发送给 SOC 管理员,但 Defender 检测到错误的证书时不会显示最终用户通知。 管理员可以使用值 0 禁用此检测,或者通过设置值 2 来启用完整功能。 当值为 2 时,当 Defender 检测到错误的证书时,最终用户通知将发送给用户,并向 SOC 管理员发送警报。
用户需要启用位置权限 (这是可选权限) ;这使 Defender for Endpoint 能够扫描其网络,并在存在与 WIFI 相关的威胁时发出警报。 如果用户拒绝了位置权限,Defender for Endpoint 将只能针对网络威胁提供有限的保护,并且只能保护用户免受恶意证书的侵害。
以下隐私控件可用于配置 Defender for Endpoint 从 Android 设备发送的数据:
恶意软件报告
管理员可以为恶意软件报告设置隐私控制。 如果启用了隐私,则 Defender for Endpoint 不会在恶意软件警报报告中发送恶意软件应用名称和其他应用详细信息。
网络钓鱼报告
管理员可以为钓鱼报告设置隐私控制。 如果启用了隐私,则 Defender for Endpoint 不会在钓鱼警报报告中发送不安全网站的域名和详细信息。
应用的漏洞评估
默认情况下,仅发送有关工作配置文件中安装的应用的信息,以便进行漏洞评估。 管理员可以禁用隐私以包括个人应用
网络保护 (预览版)
管理员可以在网络保护中启用或禁用隐私。 如果启用,则 Defender 不会发送网络详细信息。
管理员现在可以为 Android 上Microsoft Defender for Endpoint发送的网络钓鱼报告、恶意软件报告和网络报告启用隐私控制。 此配置可确保在检测到相应的威胁时,不会分别将域名、应用详细信息和网络详细信息作为警报的一部分发送。
管理员隐私控制 (MDM) 使用以下步骤启用隐私。
在Microsoft Intune管理中心,转到
“应用”>“应用配置策略>”“添加>托管设备
”。
为策略命名
“平台 > Android 企业”,选择配置文件类型
。
选择
“Microsoft Defender for Endpoint
”作为目标应用。
在“设置”页上,选择“
使用配置设计器
”,然后选择“
添加
”。
选择所需的隐私设置 -
隐藏报表中的 URL
在报表中隐藏个人配置文件的 URL
在报表中隐藏应用详细信息
在个人个人资料的报表中隐藏应用详细信息
启用网络保护隐私
若要启用隐私,请输入整数值作为 1,并将此策略分配给用户。 默认情况下,对于工作配置文件中的 MDE,此值设置为 0,对于个人配置文件中的 MDE,此值设置为 1。
查看此配置文件并将其分配给目标设备/用户。
最终用户隐私控制
这些控件可帮助最终用户配置共享给组织的信息。
对于
Android Enterprise 工作配置文件
,最终用户控件将不可见。 管理员控制这些设置。
对于
Android Enterprise 个人配置文件
,控件显示在
“设置隐私”>
下。
用户会看到不安全站点信息、恶意应用程序和网络保护的切换。
仅当管理员启用时,这些切换才会可见。用户可以决定是否要将信息发送到组织。
启用/禁用上述隐私控制不会影响设备符合性检查或条件访问。
从 Android 上的 Microsoft Defender for Endpoint 版本 1.0.3425.0303,你可以对载入的移动设备上安装的 OS 和应用运行漏洞评估。
漏洞评估是
Microsoft Defender for Endpoint Microsoft Defender 漏洞管理
的一部分。
有关个人设备 (BYOD) 相关应用的隐私说明:
对于具有工作配置文件的 Android Enterprise,仅支持在工作配置文件上安装的应用。
对于其他 BYOD 模式,默认情况下
不会
启用应用的漏洞评估。 但是,当设备处于管理员模式时,管理员可以通过Microsoft Intune显式启用此功能,以获取设备上安装的应用列表。 有关详细信息,请参阅下面的详细信息。
使用以下步骤为目标用户启用设备
管理员
模式下
设备应用漏洞评估
。
默认情况下,对于使用设备管理模式注册的设备,此功能处于关闭状态。
在
Microsoft Intune 管理中心
中,转到
“设备
>
配置文件
>
”“创建配置文件”
并输入以下设置:
平台
:选择 Android 设备管理员
配置文件
:选择“自定义”,然后选择“创建”。
在
“基本信息
”部分中,指定配置文件的名称和说明。
在
“配置设置”
中,选择“添加
OMA-URI
设置”:
名称
:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
OMA-URI:
./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
数据类型:从下拉列表选择“整数”。
值:输入 0 可禁用隐私设置 (默认情况下,值为 1)
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
Defender for Endpoint 支持对工作配置文件中的应用进行漏洞评估。 但是,如果要为目标用户关闭此功能,可以使用以下步骤:
在
Microsoft Intune管理中心
,转到
“应用”
>
“应用配置策略
”\>
“添加
>
托管设备
”。
为策略命名;
平台 > Android Enterprise
;选择配置文件类型。
选择
“Microsoft Defender for Endpoint
”作为目标应用。
在“设置”页中,选择“
使用配置设计器
”,并将
DefenderTVMPrivacyMode
添加为“
整数
”作为键和值类型
若要在工作配置文件中禁用应用的漏洞,请输入 值作为
1
并将此策略分配给用户。 默认情况下,此值设置为
0
。
对于密钥设置为
0
的用户,Defender for Endpoint 会将应用列表从工作配置文件发送到后端服务,以便进行漏洞评估。
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
打开或关闭上述隐私控制不会影响设备符合性检查或条件访问。
网络钓鱼报告的隐私控制可用于禁用网络钓鱼威胁报告中的域名或网站信息的收集。 此设置使组织能够灵活地选择在 Defender for Endpoint 检测到并阻止恶意网站或网络钓鱼网站时是否要收集域名。
使用以下步骤为目标用户启用它:
在
Microsoft Intune 管理中心
中,转到
“设备
>
配置文件
>
”“创建配置文件”
并输入以下设置:
平台
:选择“Android 设备管理员”。
配置文件
:选择“自定义”,然后选择
“创建
”。
在
“基本信息
”部分中,指定配置文件的名称和说明。
在
“配置设置”
中,选择“添加
OMA-URI
设置”:
名称
:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
OMA-URI:
./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
数据类型:从下拉列表选择“整数”。
值:输入 1 以启用隐私设置。 默认值为 0。
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
使用此隐私控制不会影响设备符合性检查或条件访问。
使用以下步骤为工作配置文件中的目标用户启用隐私:
在
Microsoft Intune管理中心
,转到
“应用”
>
“应用配置策略
>
”“添加
>
托管设备
”。
为策略命名
“平台 > Android Enterprise
”,选择配置文件类型。
选择
“Microsoft Defender for Endpoint
”作为目标应用。
在“设置”页中,选择“
使用配置设计器
”,并将
DefenderExcludeURLInReport
添加为“
整数
”作为键和值类型。
输入
1 以启用隐私
。 默认值为 0。
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
打开或关闭上述隐私控制不会影响设备符合性检查或条件访问。
恶意软件威胁报告的隐私控制可用于禁用从恶意软件威胁报告) 的应用详细信息 (名称和包信息的收集。 此设置使组织能够灵活地选择在检测到恶意应用时是否要收集应用名称。
使用以下步骤为目标用户启用它:
在
Microsoft Intune 管理中心
中,转到
“设备
>
配置文件
>
”“创建配置文件”
并输入以下设置:
平台
:选择“Android 设备管理员”。
配置文件
:选择“自定义”,然后选择
“创建
”。
在
“基本信息
”部分中,指定配置文件的名称和说明。
在
“配置设置”
中,选择“添加
OMA-URI
设置”:
名称
:输入此 OMA-URI 设置的唯一名称和说明,以便稍后可以轻松找到它。
OMA-URI:
./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
数据类型:从下拉列表选择“整数”。
值:输入 1 以启用隐私设置。 默认值为 0。
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
使用此隐私控制不会影响设备符合性检查或条件访问。 例如,具有恶意应用的设备的风险级别始终为“中等”。
使用以下步骤为工作配置文件中的目标用户启用隐私:
在
Microsoft Intune管理中心
,转到
“应用”
>
“应用配置策略
>
”“添加
>
托管设备
”。
为策略命名
“平台 > Android Enterprise
”,选择配置文件类型。
选择
“Microsoft Defender for Endpoint
”作为目标应用。
在“设置”页中,选择“
使用配置设计器
”,并将
DefenderExcludeAppInReport
添加为“
整数
”作为键和值类型
输入
1 以启用隐私
。 默认值为 0。
选择“
下一步
”,并将此配置文件分配给目标设备/用户。
使用此隐私控制不会影响设备符合性检查或条件访问。 例如,具有恶意应用的设备的风险级别始终为“中等”。
Defender for Endpoint 支持在应用中不使用注销按钮进行部署,以防止用户注销 Defender 应用。 这一点对于防止用户篡改设备非常重要。
使用以下步骤配置“禁用注销”:
在
Microsoft Intune管理中心
,转到
“应用”
>
“应用配置策略
>
”“添加
>
托管设备
”。
为策略指定名称,选择“
平台 > Android 企业
版”,然后选择配置文件类型。
选择
“Microsoft Defender for Endpoint
”作为目标应用。
在“设置”页中,选择“
使用配置设计器
”,并添加
“禁用注销
”作为键,添加
“整数
”作为值类型。
默认情况下,对于 Android Enterprise 个人拥有的工作配置文件,禁用注销 = 1,完全托管,公司拥有的个人启用配置文件和 0(对于设备管理员模式)。
管理员需要使禁用注销 = 0 才能在应用中启用注销按钮。 推送策略后,用户将能够看到注销按钮。
选择“
下一步
”,并将此配置文件分配给目标设备和用户。
Android 上的 Microsoft Defender for Endpoint 概述
使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint