Microsoft Defender for Endpoint - モバイル脅威防御
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Android と iOS のMicrosoft Defender for Endpointは、モバイル脅威防御ソリューション (MTD) です。 通常、会社は PC を脆弱性や攻撃から保護することには積極的ですが、一方で、モバイル デバイスは多くの場合、監視や保護のない状態が続きます。 モバイル プラットフォームにアプリの分離や審査済みのコンシューマー アプリ ストアなどの組み込みの保護がある場合、これらのプラットフォームは Web ベースやその他の高度な攻撃に対して脆弱なままです。 仕事用にデバイスを使用し、機密情報にアクセスする従業員が増えるにつれて、企業はモバイルに対するますます高度な攻撃からデバイスとリソースを保護するために MTD ソリューションをデプロイすることが不可欠です。
主な機能
Android と iOS のMicrosoft Defender for Endpointには、次の主要な機能が用意されています。最新の機能と利点については、お知らせをお読みください。
| 機能 | 説明 |
|---|---|
| Web Protection | フィッシング対策、安全でないネットワーク接続のブロック、URL とドメインのカスタム インジケーターのサポート。 (ファイルインジケーターと IP インジケーターは現在サポートされていません)。 |
| マルウェア対策 (Android のみ) | 悪意のあるアプリと APK ファイルのスキャン。 |
| 脱獄検出 (iOS のみ) | 脱獄されたデバイスの検出。 |
| Microsoft Defender 脆弱性の管理 (MDVM) | オンボードされたモバイル デバイスの脆弱性評価。 Android と iOS の両方に対する OS とアプリの脆弱性評価が含まれます。 Microsoft Defender for EndpointのMicrosoft Defender 脆弱性の管理の詳細については、こちらのページをご覧ください。 |
| ネットワーク保護 | 不正な Wi-Fi 関連する脅威と不正な証明書に対する保護。"許可" に追加する機能は、Intuneのルート CA 証明書とプライベート ルート CA 証明書を一覧表示し、エンドポイントとの信頼を確立します。 |
| 統合アラート | 統合Microsoft Defender ポータル内のすべてのプラットフォームからのアラート。 |
| 条件付きアクセス、条件付き起動 | リスクの高いデバイスが企業リソースにアクセスできないようにブロックする。 Defender for Endpoint リスクシグナルは、アプリ保護ポリシー (MAM) にも追加できます。 |
| プライバシーコントロール | Microsoft Defender for Endpointによって送信されるデータを制御することで、脅威レポートのプライバシーを構成します。 プライバシー制御は、管理者とエンド ユーザーが使用できます。 登録済みデバイスと登録解除済みデバイス用にも存在します。 |
| Microsoft Tunnel との統合 | 1 つのアプリでセキュリティと接続を有効にする VPN ゲートウェイ ソリューションである Microsoft Tunnel との統合。 Android と iOS の両方で使用できます。 |
これらの機能はすべて、Microsoft Defender for Endpointライセンス所有者が利用できます。 詳細については、「 ライセンス要件」を参照してください。
概要とデプロイ
モバイルでのMicrosoft Defender for Endpointのデプロイは、Microsoft Intuneを介して行うことができます。 MTD の機能とデプロイの概要については、次のビデオをご覧ください。
展開
次の表は、Android と iOS にMicrosoft Defender for Endpointをデプロイする方法をまとめたものです。 詳細なドキュメントについては、次の記事を参照してください。
サポートされている Android 登録シナリオ
| シナリオ | デバイスでポータル サイト アプリが必要ですか? | 保護プロファイル/前提条件 | デプロイ方法 |
|---|---|---|---|
| 仕事用プロファイルを使用した Android Enterprise 個人所有のデバイス | はい | 作業プロファイル セクションのみを保護します。 仕事用プロファイルの詳細 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| 個人プロファイルを使用した Android Enterprise 個人所有デバイス | はい | 個人プロファイルを保護します。 顧客が仕事用プロファイルを持つシナリオを持っている場合は、デバイス全体を保護します。 次の点に注意してください。 個人用プロファイルで会社のポータル アプリを有効にする必要があり、個人用プロファイルでMicrosoft Defenderを有効にするには、Microsoft Defenderが既にインストールされ、仕事用プロファイルでアクティブになっている必要があります。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| Android Enterprise の会社所有の仕事用プロファイル (COPE) | はい | 作業プロファイル セクションのみを保護します。 ポータル サイト アプリとMicrosoft Intune アプリの両方が自動的にインストールされます。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| Android Enterprise 企業所有のフル マネージド - 仕事用プロファイルなし (COBO) | はい | デバイス全体を保護します。 ポータル サイト アプリとMicrosoft Intune アプリの両方が自動的にインストールされます。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| MAM | はい。(インストールする必要があります。セットアップは必要ありません) | 登録済みのアプリのみを保護します。 MAM では、デバイス登録の有無にかかわらず、または Microsoft Enterprise Mobility Management 以外に登録されます。 | アプリ保護ポリシー (MAM) を使用して Android リスクシグナルに対するMicrosoft Defender for Endpointを構成する |
| デバイス管理者 | はい | IntuneとMDEは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
サポートされていない Android 登録シナリオ
現在、次のシナリオはサポートされていません。
- Android Enterprise 企業所有の個人プロファイル
- Android Enterprise 企業所有の専用デバイス (COSU) (キオスク/共有)
- Android Open-Source プロジェクト (AOSP)
サポートされている iOS 登録シナリオ
| シナリオ | デバイスでポータル サイト アプリが必要ですか? | 保護プロファイル/前提条件 | デプロイ方法 |
|---|---|---|---|
| 監視対象デバイス (ADE と Apple Configurator の登録) | はい | デバイス全体を保護します。 ADE の場合、Just in Time (JIT) 登録を使用するユーザーの場合、ポータル サイト アプリは必要ありません。これは、アプリがサーバーに接続してデバイスを自動的に登録するためですIntune | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| 教師なしデバイス (デバイス登録) | はい | デバイス全体を保護します。 Web ベースのデバイス登録では、管理されたアプリがサインインした後、ポータル サイト アプリではなく構成ポリシーが直接ダウンロードされるため、ポータル サイト アプリは必要ありません) | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| 教師なしデバイス (ユーザー登録) | はい | 作業データのみを保護します。 VPN はデバイス全体にアクセスでき、VPN はすべてのアプリ トラフィックをスキャンできます | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| MAM | いいえ | 登録済みのアプリのみを保護します。 VPN はデバイス全体にアクセスでき、すべてのアプリ トラフィックをスキャンできます) | モバイル アプリケーション管理を使用して iOS にMicrosoft Defender for Endpointをデプロイする |
サポートされていない iOS 登録シナリオ
iOS 専用/共有/キオスク デバイス登録はサポートされていません。
Android の低タッチ オンボードでサポートされているシナリオ
- 仕事用プロファイルを使用した Android Enterprise 個人所有のデバイス
- Android Enterprise の会社所有の仕事用プロファイル (COPE)
- Android Enterprise 企業所有のフル マネージド - 仕事用プロファイルなし (COBO)
iOS ゼロ タッチ オンボードでサポートされるシナリオ
- 監視対象デバイス (ADE と Apple Configurator の登録)
- 教師なしデバイス (デバイス登録)
エンド ユーザーのオンボード
iOS 登録済みデバイスに対してゼロタッチ オンボードを構成する: 管理者は、登録された iOS デバイスのMicrosoft Defender for Endpointを、ユーザーがアプリを開かなくても自動的にオンボードするようにゼロタッチ インストールを構成できます。
条件付きアクセスを構成してユーザー オンボードを適用する: これは、デプロイ後にエンド ユーザーがMicrosoft Defender for Endpoint アプリにオンボードされるように適用できます。 Defender for Endpoint リスク シグナルを使用した条件付きアクセスの構成に関する簡単なデモについては、このビデオをご覧ください。
オンボードを簡略化する
パイロット評価
Microsoft Defender for Endpointを使用したモバイル脅威防御の評価中に、より大きなデバイスセットにサービスをデプロイする前に、特定の条件が満たされていることを確認できます。 終了条件を定義し、広くデプロイする前にそれらが満たされていることを確認できます。
これにより、サービスのロールアウト中に発生する可能性がある潜在的な問題を減らすことができます。 役立つテストと終了条件を次に示します。
- デバイスインベントリ一覧にデバイスが表示される: モバイル デバイスで Defender for Endpoint のオンボードが正常に完了したら、Microsoft Defender ポータルのデバイス インベントリにデバイスが一覧表示されていることを確認します。
フィッシング テストを実行する:
https://smartscreentestratings2.netを参照し、Microsoft Defender for Endpointによってブロックされていることを確認します。 仕事用プロファイルを持つ Android Enterprise では、仕事用プロファイルのみがサポートされています。アラートがダッシュボードに表示される: 前述の検出テストのアラートがMicrosoft Defender ポータルに表示されることを確認します。
Android & iOS での Defender for Endpoint の展開または構成に関するヘルプが必要ですか? 製品のライセンスが 150 以上ある場合は、 FastTrack 特典を使用してください。 FastTrack の詳細については、Microsoft FastTrackをご覧ください。
Configure
リソース
- Android 用 Microsoft Defender for Endpoint
- iOS 用 Microsoft Defender for Endpoint API
- 今後のリリースについては、お 知らせをお読みください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。