Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft Intune ポータル サイト登録済みデバイスに Android に Defender for Endpoint を展開する方法について説明します。 デバイス登録Microsoft Intune詳細については、「デバイスの登録」を参照してください。

注:

Android 上の Defender for Endpoint が Google Play で利用できるようになりました

Microsoft Intuneから Google Play に接続して、デバイス管理者と Android Enterprise 登録モード間で Defender for Endpoint アプリをデプロイできます。 アプリへのUpdatesは、Google Play を介して自動的に実行されます。

デバイス管理者が登録したデバイスに展開する

デバイス管理者が登録したデバイスのMicrosoft Intune ポータル サイトを使用して、Android に Defender for Endpoint を展開する方法について説明します。

Android ストア アプリとして追加する

1. Microsoft Intune管理センターで、アプリ>Android Apps>Add>Android store app に移動します。 次に、[選択] を選びます。

   

2. [ アプリの追加] ページの [ アプリ情報 ] セクションで、次の詳細を指定します。

   • 名前
   • 説明
   • Publisher as Microsoft。
   • https://play.google.com/store/apps/details?id=com.microsoft.scmxとしてのアプリ ストア URL (Google Play ストアの Defender for Endpoint アプリの URL)

   その他のフィールドは省略可能です。 [次へ] を選択します。

   

3. [ 割り当て] セクションで 、[ 必須 ] セクションに移動し、[ グループの追加 ] を選択します。その後、ユーザー グループ (またはグループ) を選択して、Android アプリで Defender for Endpoint を受信できます。 [ 選択] を選択し、[ 次へ] をタップします。

   選択したユーザー グループは、登録されているユーザー Intune構成する必要があります。

   

4. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

   しばらくすると、Defender for Endpoint アプリが作成され、画面の右上隅に通知が表示されます。

   

5. 表示されるアプリ情報ページの [ モニター ] セクションで、[ デバイスのインストール状態 ] を選択して、デバイスのインストールが正常に完了したことを確認します。

   

オンボードとチェックの状態を完了する

1. Android 上の Defender for Endpoint がデバイスにインストールされると、アプリ アイコンが表示されます。

   

2. Microsoft Defender for Endpointアプリ アイコンをタップし、画面の指示に従ってオンボードを完了します。 詳細には、Android 上の Defender for Endpoint で必要な Android アクセス許可のエンド ユーザーの同意が含まれます。

3. オンボードが成功すると、Microsoft Defender ポータルのデバイスの一覧にデバイスが表示されます。

   

Android Enterprise 登録済みデバイスにデプロイする

Android 上の Defender for Endpoint では、Android Enterprise 登録済みデバイスがサポートされています。

Microsoft Intuneでサポートされる登録オプションの詳細については、「登録オプション」を参照してください。

現在、仕事用プロファイルを持つ個人所有のデバイス、仕事用プロファイルを持つ企業所有デバイス、および企業所有のフル マネージド ユーザー デバイス登録は、Android Enterprise でサポートされています。

Android でマネージド Google Play アプリとしてMicrosoft Defender for Endpointを追加する

次の手順に従って、管理対象の Google Play ストアにMicrosoft Defender for Endpointアプリを追加します。

1. Microsoft Intune管理センターで、[アプリ>Android Apps] に移動します> [マネージド Google Play アプリ] を追加して選択します。

   

2. 読み込まれたマネージド Google Play ページで、検索ボックスに「 Microsoft Defender」と入力します。 検索には、マネージド Google Play ストアのMicrosoft Defender for Endpoint アプリが表示されます。 検索結果の一覧からMicrosoft Defender for Endpoint アプリを選択します。

   

3. [ アプリの説明 ] ページで、Defender for Endpoint アプリに関するアプリの詳細を確認できます。 ページの情報を確認し、[承認] を選択 します。

   

4. Defender for Endpoint が取得するアクセス許可を承認するように求められたら、情報を確認し、[承認] を選択 します。

   

5. [ 承認の設定 ] ページで、Android 上の Defender for Endpoint が要求する可能性がある新しいアプリのアクセス許可を処理する設定を確認します。 選択肢を確認し、任意のオプションを選択します。 次に、[ 完了] を選択します。

   既定では、マネージド Google Play では、 アプリが新しいアクセス許可を要求したときに [承認を維持する] が選択されます。

   

6. アクセス許可処理の選択が完了したら、[同期] を選択してMicrosoft Defender for Endpointをアプリの一覧に同期します。

   

   数分で同期が完了します。

   

7. Android アプリ画面で [ 更新 ] ボタンを選択します。 Microsoft Defender for Endpointはアプリの一覧に表示されます。

   

8. Defender for Endpoint では、Microsoft Intuneを使用したマネージド デバイスのアプリ構成ポリシーがサポートされています。 この機能を使用して、Defender for Endpoint のさまざまな構成を選択できます。

   1. [ アプリ ] ページで、[ ポリシー>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

      

   2. [ アプリ構成ポリシーの作成 ] ページで、次の詳細を指定します。

      • 名前: Microsoft Defender for Endpoint。

      • プラットフォームとして [Android Enterprise] を選択します。

      • [ 個人所有の仕事用プロファイルのみ] または [ フル マネージド、専用、会社所有の仕事用プロファイルのみ ] を [プロファイルの種類] として選択します。

      • [アプリの選択] を選択し、[Microsoft Defender] を選択し、[OK] を選択し、[次へ] を選択します。

        

   3. [アクセス許可]>[追加] を選択します。 リストから、使用可能なアプリのアクセス許可を選択して >[OK] を選択します。

   4. このポリシーで付与する各アクセス許可のオプションを選択します。

      • プロンプト - ユーザーが受け入れるか拒否するようにプロンプトします。
      • 自動付与 - ユーザーに通知せずに自動的に承認します。
      • 自動拒否 - ユーザーに通知せずに自動的に拒否します。

   5. [構成設定] セクションに移動し、[構成デザイナーの使用] を選択します。

      

   6. [ 追加] を 選択して、サポートされている構成の一覧を表示します。 必要な構成を選択し、[OK] を選択 します。

      

   7. 選択したすべての構成が一覧表示されます。 必要に応じて構成値を変更し、[ 次へ] を選択できます。

      

   8. [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [ 含めるグループの選択] を選択し、グループを選択して、[ 次へ] を選択します。 ここで選択したグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるグループと同じです。

      

   9. 次に表示される [ 確認と作成 ] ページで、すべての情報を確認し、[ 作成] を選択します。

      Defender for Endpoint のアプリ構成ポリシーが、選択したユーザー グループに割り当てられるようになりました。

9. > Properties>Assignments>Edit の一覧で [アプリMicrosoft Defender選択します。

   

10. アプリを必要なアプリとしてユーザー グループに割り当てます。 これは、アプリを介したデバイスの次回の同期中に、仕事用プロファイルポータル サイト自動的にインストールされます。 [必須] セクションに移動し、[グループの追加] を選択し、適切なユーザー グループを選択して、[選択] を選択します。

    

11. [ アプリケーションの編集] ページで、前に指定したすべての情報を確認します。 [ 確認と保存] を選択し、[ 保存 ] を選択して割り当てを開始します。

Always-on VPN の自動セットアップ

Defender for Endpoint では、Microsoft Intuneを使用したマネージド デバイスのデバイス構成ポリシーがサポートされています。 この機能を使用すると、Android Enterprise 登録済みデバイスで Always-on VPN の自動セットアップを使用できるため、エンド ユーザーはオンボード中に VPN サービスを設定する必要はありません。

1. [デバイス] で、[構成プロファイル>プロファイルの作成>Platform>Android Enterprise を選択します。 デバイス登録の種類に基づいて、次のいずれかの下にある [デバイス 制限 ] を選択します。

   • フル マネージド、専用、Corporate-Owned 作業プロファイル
   • 個人所有の仕事用プロファイル

   その後、[作成] を選択します。

   

2. 構成設定。 [ 名前] と [説明] を指定して、構成プロファイルを一意に識別します。

   

3. [ 接続] を選択し、VPN を構成します。

   1. Always-on VPN を有効にします。 作業プロファイルに VPN クライアントを設定して、可能な限り VPN に自動的に接続して再接続します。 特定のデバイス上の Always-on VPN 用に構成できる VPN クライアントは 1 つだけであるため、1 つのデバイスに展開される Always-on VPN ポリシーは 1 つ以下にしてください。

   2. VPN クライアントの一覧で、[カスタム] を選択します。 この場合、カスタム VPN は Defender for Endpoint VPN であり、Web Protection を提供します。

      注:

      自動 VPN セットアップを実行するには、Microsoft Defender for Endpoint アプリをユーザーのデバイスにインストールする必要があります。

   3. Google Play ストアのMicrosoft Defender for Endpoint アプリのパッケージ ID を指定します。 Microsoft Defender アプリ URL の場合、パッケージ ID はcom.microsoft.scmx。

   4. [ロックダウン モード] を [未構成] (既定値) に設定します。

      

4. 割り当て。 [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [含める グループの選択 ] を選択し、該当するグループを選択して、[ 次へ] を選択します。

   選択するグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるグループと同じです。

   

5. 次に表示される [ 確認と作成 ] ページで、すべての情報を確認し、[ 作成] を選択します。 これで、デバイス構成プロファイルが選択したユーザー グループに割り当てられます。

   

状態を確認し、オンボードを完了する

1. [デバイスのインストール状態] をタップして、Android 上のMicrosoft Defender for Endpointのインストール状態を確認します。 デバイスがここに表示されていることを確認します。

   

2. デバイスでは、作業プロファイルに移動してオンボード状態を検証できます。 Defender for Endpoint が使用可能であり、 個人所有のデバイスと仕事用プロファイルを使用して登録されていることを確認します。 会社所有の フル マネージド ユーザー デバイスを使用して登録している場合は、デバイス上に 1 つのプロファイルがあり、Defender for Endpoint が使用可能であることを確認できます。

   

3. アプリがインストールされたら、アプリを開き、アクセス許可を受け入れます。 オンボードは正常に完了します。

   

4. Microsoft Defender ポータルでオンボード状態を確認します。 [デバイス インベントリ] ページに移動します。

   

ロータッチ オンボードを構成する

注:

Android の低タッチ オンボードが GA になりました。

管理者は、ロータッチ オンボード モードでMicrosoft Defender for Endpointを構成できます。 このシナリオでは、管理者がデプロイ プロファイルを作成し、ユーザーはオンボードを完了するために、アクセス許可のセットを減らす必要があります。 Android のロータッチ オンボードは既定で無効になっています。 管理者は、次の手順に従って、Intuneのアプリ構成ポリシーを使用して有効にすることができます。

1. 「Android でマネージド Google Play アプリとしてMicrosoft Defender for Endpointを追加する」セクションの手順に従って、Microsoft Defender アプリをターゲット ユーザー グループにプッシュします (この記事では)。

2. 「 Always-on VPN の自動セットアップ (この記事)」の手順に従って、VPN プロファイルをユーザーのデバイスにプッシュします。

3. [ アプリ>アプリケーション構成ポリシー] で、[ マネージド デバイス] を選択します。

4. ポリシーを一意に識別する名前を指定します。

   • [ プラットフォーム] で、[ Android Enterprise] を選択します。
   • 必要なプロファイルの種類を選択します。
   • 対象アプリの場合は、[ Microsoft Defender: Antivirus] を選択します。

   [次へ] を選択します。

5. ランタイムアクセス許可を追加します。 [ 場所のアクセス (細かい)] を選択し、 POST_NOTIFICATIONS し、[ アクセス許可] の状態 を [ Auto grant] に変更します。 (このアクセス許可は、Android 13 以降ではサポートされていません)。

6. [ 構成設定] で、[ Use Configuration designer] を選択し、[ 追加] を選択します。

7. [ 低タッチ オンボード] と [ユーザー UPN] を選択します。 [User UPN] で、値の種類を Variable に変更し、構成値を User Principal Name に設定します。 構成値を 1 に変更することで、ロータッチ オンボードを有効にします。

   ポリシーが作成されると、これらの値型は文字列値として表示されます。

8. ポリシーをターゲット ユーザー グループに割り当てます。

9. ポリシーを確認して作成します。

ANDROID Enterprise の個人プロファイルで BYOD モードでMicrosoft Defenderを設定する

個人用プロファイルでMicrosoft Defenderを設定する

管理者は、Microsoft Intune管理センターを使用して、次の手順に従って、個人プロファイルMicrosoft Defenderサポートを設定および構成できます。

1. [アプリ>アプリ構成ポリシー] に移動し、[追加] を選択します。 [ マネージド デバイス] を選択します。

   • 構成ポリシーを一意に識別する名前と説明を指定します。
   • [プラットフォーム] で、[Android Enterprise] として [プラットフォーム] を選択します
   • [プロファイルの種類] で、[個人所有の仕事用プロファイルのみ] を選択します
   • [対象アプリ] で、[Microsoft Defender] を選択します。

2. [設定] ページの [ 構成設定の形式] で、[ 構成デザイナーを使用する] を選択し、[ 追加] を選択します。 表示される構成の一覧から、[個人用プロファイル] で [Microsoft Defender] を選択します。

3. 選択した構成が一覧表示されます。 個人プロファイルをサポートMicrosoft Defender有効にするには、構成値を 1 に変更します。 管理者に通知が表示されます。 [次へ] を選択します。

4. 構成ポリシーをユーザーのグループに割り当てます。 ポリシーを確認して作成します。

管理者は、Microsoft Intune管理センターでプライバシー制御を設定して、Microsoft Defender アプリからMicrosoft Defender ポータルに送信されるデータを制御することもできます。 詳細については、「 プライバシー制御の構成」を参照してください。

組織は、登録されている BYOD デバイスでMicrosoft Defender アプリを使用して、個人プロファイルを保護するためにユーザーと通信できます。 個人用プロファイルでMicrosoft Defenderを有効にするには、仕事用プロファイルを使用して、Microsoft Defender アプリをインストールしてアクティブにする必要があります。

デバイスのオンボードを完了する

1. 個人の Google Play ストア アカウントを持つ個人用プロファイルに、Microsoft Defender アプリケーションをインストールします。

2. 個人用プロファイルにポータル サイト アプリケーションをインストールします。 サインインは必要ありません。

3. ユーザーがアプリケーションを起動すると、サインイン画面が表示されます。 企業アカウントのみを使用してログインします。

4. 正常にサインインすると、ユーザーには次の画面が表示されます。

   • EULA 画面: ユーザーが自分の仕事用プロファイルにまだ同意していない場合にのみ表示されます。
   • 通知画面: ユーザーは、アプリケーションのオンボードを進めるために、この画面に同意する必要があります。 これは、アプリの初回実行時にのみ必要です。

5. オンボードを完了するために必要なアクセス許可を指定します。

   注:

   前提条件:

   1. 個人用プロファイルでポータル サイトを有効にする必要があります。
   2. Microsoft Defenderは、作業プロファイルに既にインストールされ、アクティブである必要があります。

関連記事

• Android 用 Microsoft Defender for Endpoint の概要
• Android 機能用に Microsoft Defender for Endpoint を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。