Microsoft Defender for Endpoint - 移动威胁防御
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
Android 和 iOS 上的Microsoft Defender for Endpoint是我们的移动威胁防御解决方案 (MTD) 。 通常,公司会积极保护电脑免受漏洞影响和恶意攻击,但通常不会监视和保护移动设备。 在移动平台具有内置保护(如应用隔离和经过审查的消费者应用商店)的情况下,这些平台仍容易受到基于 Web 或其他复杂攻击的攻击。 随着越来越多的员工使用设备进行工作和访问敏感信息,公司必须部署 MTD 解决方案,以保护设备和资源免受日益复杂的移动设备攻击。
关键功能
Android 和 iOS 上的Microsoft Defender for Endpoint提供了以下关键功能,有关最新功能和优势的信息,请阅读我们的公告。
| 功能 | 说明 |
|---|---|
| Web 保护 | 防钓鱼、阻止不安全网络连接,并支持 URL 和域的自定义指示器。 当前不支持 (文件和 IP 指示器。) |
| 恶意软件防护 (仅限 Android) | 扫描恶意应用。 |
| 仅 (iOS) 越狱检测 | 检测越狱设备。 |
| Microsoft Defender 漏洞管理 (MDVM) | 已载入移动设备的漏洞评估。 包括 Android 和 iOS 的 OS 和应用漏洞评估。 请访问此页,详细了解Microsoft Defender for Endpoint中的Microsoft Defender 漏洞管理。 |
| 网络保护 | 防止流氓 Wi-Fi 相关威胁和流氓证书;在Intune中将根 CA 和专用根 CA 证书添加到“允许”列表的功能;与终结点建立信任。 |
| 统一警报 | 来自统一Microsoft Defender门户中所有平台的警报。 |
| 条件访问、条件启动 | 阻止有风险的设备访问公司资源。 还可以将 Defender for Endpoint 风险信号添加到应用保护策略 (MAM) 。 |
| 隐私控件 | 通过控制Microsoft Defender for Endpoint发送的数据,在威胁报告中配置隐私。 隐私控制适用于管理员和最终用户。 它也适用于已注册和未注册的设备。 |
| 与 Microsoft Tunnel 集成 | 与 Microsoft Tunnel 集成,这是一种 VPN 网关解决方案,用于在单个应用中实现安全性和连接性。 在 Android 和 iOS 上均可用。 |
所有这些功能都适用于Microsoft Defender for Endpoint许可证持有者。 有关详细信息,请参阅 许可要求。
概述和部署
可以通过Microsoft Intune在移动设备上部署Microsoft Defender for Endpoint。 观看此视频,快速了解 MTD 功能和部署:
部署
下表总结了如何在 Android 和 iOS 上部署Microsoft Defender for Endpoint。 有关详细文档,请参阅以下文章:
支持的 Android 注册方案
| 应用场景 | 设备上需要公司门户应用? | 保护配置文件/先决条件 | 如何部署 |
|---|---|---|---|
| 使用工作配置文件的 Android Enterprise 个人拥有的设备 | 是 | 仅保护工作配置文件部分。 详细了解工作配置文件 | 使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint |
| 使用个人配置文件的 Android Enterprise 个人拥有的设备 | 是 | 保护个人配置文件。 当客户也具有工作配置文件的方案时,它会保护整个设备。 请注意以下事项:必须在个人配置文件上启用公司门户应用,并且Microsoft Defender必须已安装并在工作配置文件中处于活动状态,才能在个人配置文件中启用Microsoft Defender。 | 使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint |
| Android Enterprise 公司拥有的工作配置文件 (COPE) | 是 | 仅保护工作配置文件部分。 公司门户应用和Microsoft Intune应用都将自动安装。 | 使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint |
| Android Enterprise 公司拥有的完全托管 - 没有工作配置文件 (COBO) | 是 | 保护整个设备。 公司门户应用和Microsoft Intune应用都将自动安装。 | 使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint |
| MAM | 是的, (只需安装,则不需要安装) | 仅保护已注册的应用。 MAM 支持使用/不使用设备注册或使用非Microsoft企业移动性管理进行注册。 | 使用应用保护策略 (MAM) 在 Android 风险信号上配置Microsoft Defender for Endpoint |
| 设备管理员 | 是 | Intune和MDE于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 android 设备管理员管理的支持。 | 使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint |
不支持的 Android 注册方案
目前不支持以下方案:
- Android Enterprise 公司拥有的个人配置文件
- Android Enterprise 公司拥有的专用设备 (COSU) (展台/共享)
- Android Open-Source Project (AOSP)
支持的 iOS 注册方案
| 应用场景 | 设备上需要公司门户应用? | 保护配置文件/先决条件 | 如何部署 |
|---|---|---|---|
| 受监督设备 (ADE 和 Apple Configurator 注册 | 是 | 保护整个设备。 对于 ADE,如果使用实时 (JIT) 注册的用户,则不需要公司门户应用,因为应用通过连接到Intune服务器自动注册设备 | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| 非监督设备 (设备注册) | 是 | 保护整个设备。 对于基于 Web 的设备注册,公司门户应用不是必需的,因为在托管应用登录后,应用会直接下载配置策略,而不是公司门户应用) | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| 非监督设备 (用户注册) | 是 | 仅保护工作数据。 VPN 可以访问整个设备,并且 VPN 可以扫描所有应用流量 | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| MAM | 否 | 仅保护已注册的应用。 VPN 可以访问整个设备,并且可以扫描所有应用流量) | 使用移动应用程序管理在 iOS 上部署Microsoft Defender for Endpoint |
不支持的 iOS 注册方案
不支持 iOS 专用/共享/展台设备注册。
Android 低接触载入支持的方案
- 使用工作配置文件的 Android Enterprise 个人拥有的设备
- Android Enterprise 公司拥有的工作配置文件 (COPE)
- Android Enterprise 公司拥有的完全托管 - 无工作配置文件 (COBO)
iOS 零接触载入支持的方案
- (ADE 和 Apple Configurator 注册的受监督设备)
- 非监督设备 (设备注册)
最终用户加入
为 iOS 注册设备配置零接触载入:管理员可以配置零接触安装,以在已注册的 iOS 设备上静默载入Microsoft Defender for Endpoint,而无需用户打开应用。
配置条件访问以强制实施用户加入:可以应用此功能以确保最终用户在部署后加入到Microsoft Defender for Endpoint应用。 观看此视频,获取有关使用 Defender for Endpoint 风险信号配置条件访问的快速演示。
简化载入
试点评估
使用 Microsoft Defender for Endpoint 评估移动威胁防御时,可以在继续将服务部署到更大的设备集之前验证是否满足某些条件。 可以定义退出条件,并确保在广泛部署之前满足这些条件。
这有助于减少在推出服务时可能出现的潜在问题。 下面是一些可能有所帮助的测试和退出条件:
- 设备显示在设备清单列表中:在移动设备上成功载入 Defender for Endpoint 后,验证设备是否已在Microsoft Defender门户中的“设备清单”中列出。
运行网络钓鱼测试:浏览到
https://smartscreentestratings2.net并验证它是否被Microsoft Defender for Endpoint阻止。 在具有工作配置文件的 Android Enterprise 上,仅支持工作配置文件。警报显示在仪表板中:验证前面提到的检测测试的警报是否显示在Microsoft Defender门户中。
需要有关在 Android & iOS 上部署或配置 Defender for Endpoint 的帮助? 如果产品至少有 150 个许可证,请使用 FastTrack 权益。 若要详细了解 FastTrack,请参阅 Microsoft FastTrack。
配置
资源
- Android 上的 Microsoft Defender for Endpoint
- iOS 上的 Microsoft Defender for Endpoint
- 阅读我们的 公告,随时了解即将发布的版本。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。