使用應用程式防護原則 (MAM) ,在 Android 上設定適用於端點的 Microsoft Defender 風險訊號
適用於:
Microsoft Android 上的適用於端點的 Defender,已在行動裝置管理 (MDM) 案例上保護企業使用者,現在會針對未使用 Intune 行動裝置管理 (MDM) 註冊的裝置,將支援延伸到行動應用程式管理 (MAM) 。 它也會將這項支援延伸到使用其他企業行動管理解決方案的客戶,同時仍使用Intune進行行動應用程式管理 (MAM) 。 這項功能可讓您管理和保護應用程式內的組織數據。
Microsoft Android 上適用於端點的 Defender 威脅資訊是由 Intune 應用程式保護原則套用來保護這些應用程式。 應用程式) (應用程式保護原則是確保組織數據保持安全或包含在受控應用程式中的規則。 受控應用程式已套用應用程式保護原則,且可由Intune管理。
Microsoft Android 上的適用於端點的 Defender 支援 MAM 的兩種設定。
- Intune MDM + MAM:IT 系統管理員只能在已向 Intune 行動裝置管理註冊的裝置上使用應用程式保護原則來管理應用程式 (MDM) 。
- 不註冊裝置的 MAM:沒有裝置註冊的 MAM 或 MAM-WE 可讓 IT 系統管理員在未向 Intune MDM 註冊的裝置上使用 應用程式保護 原則來管理應用程式。 此布建表示 Intune 可以在向第三方 EMM 提供者註冊的裝置上管理應用程式。 若要管理這兩個設定中的應用程式,客戶應該在 Microsoft Intune 系統管理中心使用 Intune。
若要啟用這項功能,系統管理員必須設定適用於端點的 Microsoft Defender 與 Intune 之間的連線、建立應用程式保護原則,並在目標裝置和應用程式上套用原則。
終端使用者也需要採取步驟,在其裝置上安裝 Microsoft Defender for Endpoint 並啟用上線流程。
系統管理員必要條件
驗證已啟用適用於 Endpoint-Intune 的 Microsoft Defender 連接器。
(APP) ,在 Android Connector 上啟用適用於端點的 Microsoft Defender 應用程式保護原則 。
針對應用程式保護原則,在 Microsoft Intune 上設定連接器:
建立應用程式保護原則。
根據適用於端點的 Microsoft Defender 風險訊號,藉由建立應用程式保護原則來封鎖受控應用程式的存取或抹除數據。
Microsoft適用於端點的 Defender 可以設定為傳送威脅訊號,以用於應用程式保護原則 (應用程式,也稱為 MAM) 。 透過這項功能,您可以使用適用於端點的 Microsoft Defender 來保護受控應用程式。
建立原則。
應用程式) (應用程式保護原則是確保組織數據保持安全或包含在受控應用程式中的規則。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則,或當使用者位於應用程式內時所禁止或監視的一組動作。
新增應用程式。
選擇要如何將此原則套用至不同裝置上的應用程式。 然後新增至少一個應用程式。
使用此選項來指定此原則是否適用於非受控裝置。 在 Android 中,您可以指定適用於 Android Enterprise、Device Admin 或 Unmanaged 裝置的原則。 您也可以選擇將原則的目標設為任何管理狀態裝置上的應用程式。
因為行動裝置應用程式管理不需要裝置管理,所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心,這會對移除裝置管理的需求。 公司可以同時使用具有或不含 MDM 的應用程式保護原則。 例如,假設有員工同時使用公司所簽發的電話,以及自己的個人平板電腦。 公司電話已在 MDM 中註冊,並且受到應用程式防護原則保護,而個人裝置僅受應用程式防護原則保護。
選取 [應用程式]。
受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。 任何已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式,都可以使用 Intune 應用程式保護原則來管理。 請參閱已使用這些工具建置並可供公開使用的 Microsoft 受 Intune 保護應用程式 官方清單。
範例:Outlook 作為受控應用程式
設定保護原則的登入安全性需求。
選取 [裝置條件] 中的 [設定>允許的裝置威脅等級上限],然後輸入值。 然後選 取 [動作:封鎖存取]。 Microsoft Android 上的適用於端點的 Defender 會共用此裝置威脅等級。
指派需要套用原則的使用者群組。
選 取 [包含的群組]。 然後新增相關群組。
注意事項
如果設定原則的目標為 MAM) (未註冊的裝置,建議您在受控應用程式中部署一般應用程式組態設定,而不是使用受控裝置。
將應用程式設定原則部署至裝置時,當多個原則具有相同設定密鑰的不同值,並以相同的應用程式和使用者為目標時,可能會發生問題。 這些問題的原因是缺少解決不同值的衝突解決機制。 您可以確保只有針對相同應用程式和使用者定義裝置的單一應用程式設定原則並設為目標,即可避免這些問題。
使用者必要條件
必須安裝訊息代理程式應用程式。
- Intune 公司入口網站
用戶擁有Managed應用程式的必要授權,並已安裝應用程式。
用戶上線
登入受控應用程式,例如 Outlook。 裝置已註冊,且應用程式保護原則會同步至裝置。 應用程式保護原則會辨識裝置的健康情況狀態。
選取 [繼續]。 系統會顯示一個畫面,建議您下載並設定 Microsoft Defender: Antivirus (Mobile) 應用程式。
選取 [下載]。 系統會將您重新導向至 App Store (Google play) 。
安裝 Microsoft Defender: Antivirus (Mobile) 應用程式,然後返回 Managed 應用程式上線畫面。
按兩下 [繼續 > 啟動]。 Microsoft適用於端點的 Defender 應用程式上線/啟用流程已起始。 請依照步驟完成上線。 系統會自動將您重新導向回受控應用程式上線畫面,這現在表示裝置狀況良好。
選取 [繼續 ] 以登入 Managed 應用程式。
設定 Web 保護
適用於 Android 上的適用於端點的 Defender 可讓 IT 系統管理員設定 Web 保護。 Web 保護可在 Microsoft Intune 系統管理中心內取得。
Web 保護有助於保護裝置免於遭受 Web 威脅,並保護使用者免於遭受網路釣魚攻擊。 請注意,Web 保護中支援 (URL 和IP位址) 的反網路釣魚和自定義指標。 行動平臺目前不支援 Web 內容篩選。
在 Microsoft Intune 系統管理中心,移至 [應用程式 > 應用程式設定原則 > ] [新增 > 受控應用程式]。
給與原則一個「名稱」。
在 [選取公用應用程式] 底下,選擇 [Microsoft適用於端點的 Defender ] 作為目標應用程式。
在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增下列索引鍵,並視需要設定其值。
- 防網路釣魚
- vpn
若要停用 Web 保護,請輸入 0 作為防網路釣魚和 VPN 值。
若只要停用 Web 保護的 VPN 使用,請輸入下列值:
- 0 表示 vpn
- 1 表示防網路釣魚
新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
將此原則指派給使用者。 根據預設,此值會設定為 false。
檢閱並建立原則。
設定網路保護
在 Microsoft Intune 系統管理中心,流覽至 [應用程式>應用程式設定原則]。 建立新的應用程式設定原則。 按兩下 [Managed Apps]。
提供可唯一識別原則的名稱和描述。 將原則設為 「選取的應用程式」 ,並搜尋 「Microsoft適用於 Android 的 Defender 端點」。 按兩下該專案,然後按兩下 [選取],然後按兩下一步。
從下表新增索引鍵和值。 請確定您使用受控應用程式路由建立的每個原則中都有 「DefenderMAMConfigs」 密鑰。 針對受控裝置路由,此密鑰不應該存在。 當您完成時,請按 [ 下一步]。
機碼 值類型 默認 (啟用 1、0-disable) 描述 DefenderNetworkProtectionEnable
整數 1 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用Defender應用程式中的網路保護功能。 DefenderAllowlistedCACertificates
字串 無 None-Disable;IT 系統管理員會使用此設定來建立根 CA 和自我簽署憑證的信任。 DefenderCertificateDetection
整數 0 2-啟用,1 - 稽核模式,0 - 停用;當此功能的值為 2 時,當 Defender 偵測到錯誤的憑證時,使用者通知會傳送給使用者。 警示也會傳送給SOC管理員。 在稽核模式 (1) ,通知警示會傳送給SOC系統管理員,但是當Defender偵測到錯誤的憑證時,不會向用戶顯示任何使用者通知。 系統管理員可以使用 0 作為值來停用此偵測,並藉由將 2 設定為 值來啟用完整功能。 DefenderOpenNetworkDetection
整數 2 2-啟用,1 - 稽核模式,0 - 停用;IT 系統管理員會使用此設定來啟用或停用開放式網路偵測。 如果切換至值為 1 的稽核模式,通知警示會傳送給 SOC 系統管理員,但是當 Defender 偵測到開啟的網路時,不會向使用者顯示任何使用者通知。 如果啟用值 2,則會顯示使用者通知,也會傳送警示給 SOC 系統管理員。 DefenderEndUserTrustFlowEnable
整數 0 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。 DefenderNetworkProtectionAutoRemediation
整數 1 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換至更安全的 Wi-Fi 存取點,或刪除 Defender 偵測到的可疑憑證。 DefenderNetworkProtectionPrivacy
整數 1 1 - 啟用,0 - 停用;IT 系統管理員會使用此設定來啟用或停用網路保護中的隱私權。 如果隱私權停用值為 0,則會顯示使用者同意來共用惡意 Wifi 或憑證數據。 如果處於啟用狀態且值為 1,則不會顯示任何使用者同意,而且不會收集任何應用程式數據。 包含或排除您想要套用原則的群組。 繼續檢閱並提交原則。
注意事項
- 只有在啟用父金鑰 'DefenderNetworkProtectionEnable' 時,網路保護的其他組態密鑰才能運作。
- 用戶必須啟用位置許可權 (這是選擇性許可權) ,而且需要授與「隨時允許」許可權,以確保保護 Wi-Fi 威脅,即使應用程式並未主動使用也一般。 如果使用者拒絕位置許可權,適用於端點的 Defender 將只能針對網路威脅提供有限的保護,而且只會保護使用者免於遭受惡意憑證。
設定隱私權控制
系統管理員可以使用下列步驟來啟用隱私權,而不會收集功能變數名稱、應用程式詳細數據和網路資訊,作為對應威脅警示報告的一部分。
- 在 Microsoft Intune 系統管理中心,移至 [應用程式 > 應用程式設定原則 > ] [新增 > 受控應用程式]。
- 給與原則一個「名稱」。
- 在 [選取公用應用程式] 底下,選擇 [Microsoft適用於端點的 Defender ] 作為目標應用程式。
- 在 [設定] 頁面的 [一般組態設定] 下,將 [DefenderExcludeURLInReport ] 和 [DefenderExcludeAppInReport ] 新增為索引鍵和值 1。
- 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
- 將此原則指派給使用者。 此值預設為 0。
- 在 [設定] 頁面的 [一般組態設定] 底下,將 DefenderExcludeURLInReport、 DefenderExcludeAppInReport 新增為索引鍵和值為 true。
- 新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
- 將此原則指派給使用者。 根據預設,此值會設定為 false。
- 檢閱並建立原則。
選擇性許可權
Microsoft Android 上適用於端點的 Defender 可在上線流程中啟用選擇性許可權。 目前,MDE 所需的許可權在上線流程中是必要的。 透過這項功能,系統管理員可以在具有 MAM 原則的 Android 裝置上部署 MDE,而不需要在上線期間強制執行 VPN 和輔助功能許可權。 終端使用者可以在沒有必要許可權的情況下將應用程式上線,稍後可以檢閱這些許可權。
設定選擇性許可權
使用下列步驟來啟用裝置的選擇性許可權。
在 Microsoft Intune 系統管理中心,移至 [應用程式 > 應用程式設定原則 > ] [新增 > 受控應用程式]。
給與原則一個「名稱」。
在公用應用程式中選 Microsoft適用於端點的Defender 。
在 [設定] 頁面上,選取 [ 使用設定設計工具 ] 和 [DefenderOptionalVPN] 或 [DefenderOptionalAccessibility ],或 選取 [使用兩者] 作為索引鍵。
新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
若要啟用選擇性許可權,請輸入值為 1 ,並將此原則指派給使用者。 此值預設為 0。
對於金鑰設定為 1 的使用者,他們可以在不提供這些許可權的情況下將應用程式上線。
在 [設定] 頁面中,選取 [ 使用組態設計工具 ] 和 [DefenderOptionalVPN] 或 [DefenderOptionalAccessibility ],或選取 [使用兩 者 ] 做為布爾值的索引鍵和值類型。
新增 DefenderMAMConfigs 索引 鍵,並將值設定為 1。
若要啟用選擇性許可權,請輸入值為 true ,並將此原則指派給使用者。 根據預設,此值會設定為 false。
對於金鑰設定為 true 的使用者,用戶可以在不提供這些許可權的情況下將應用程式上線。
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
使用者流程
用戶可以安裝並開啟應用程式,以開始上線程式。
如果系統管理員已設定選擇性許可權,則使用者可以選擇略過 VPN 或輔助功能許可權,或同時略過並完成上線。
即使使用者已略過這些許可權,裝置還是能夠上線,而且會傳送活動訊號。
由於許可權已停用,因此 Web 保護將不會作用中。 如果提供其中一個許可權,則會部分作用中。
稍後,使用者可以從應用程式內啟用 Web 保護。 這會在裝置上安裝 VPN 設定。
注意事項
選擇性許可權設定與 [停用 Web 保護] 設定不同。 選擇性許可權僅有助於在上線期間略過許可權,但可供終端使用者稍後檢閱和啟用,而停用Web保護則可讓使用者在沒有Web保護的情況下,將Microsoft Defender for Endpoint 應用程式上線。 稍後無法啟用。
停用註銷
適用於端點的 Defender 可讓您部署應用程式並停用註銷按鈕。 藉由隱藏 [註銷] 按鈕,用戶將無法註銷Defender應用程式。 此動作有助於防止在適用於端點的 Defender 未執行時竄改裝置。
使用下列步驟來設定停用註銷:
在 Microsoft Intune 系統管理中心,移至 [應用程式 > 應用程式設定原則 > ] [新增 > 受控應用程式]。
提供原則 名稱。
在 [選取公用應用程式] 底下,選擇 [Microsoft適用於端點的 Defender ] 作為目標應用程式。
在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增 DisableSignOut 作為索引鍵,並將值設定為 1。
- 根據預設,停用註銷 = 0。
- 系統管理員必須將 [停用註銷 = 1] 設為停用應用程式中的 [註銷] 按鈕。 一旦原則推送至裝置,使用者將不會看到 [註銷] 按鈕。
選 取 [下一步 ],並將此配置檔指派給目標裝置和使用者。
裝置標記
適用於 Android 上的適用於端點的 Defender 可讓系統管理員透過 Intune 設定標籤,以便在上線期間大量標記行動裝置。 系統管理員可以透過設定原則透過 Intune 設定裝置標籤,並將它們推送至使用者的裝置。 一旦使用者安裝並啟用Defender,用戶端應用程式就會將裝置標籤傳遞至安全性入口網站。 裝置標籤會針對裝置清查中的裝置顯示。
使用下列步驟來設定裝置標籤:
在 Microsoft Intune 系統管理中心,移至 [應用程式 > 應用程式設定原則 > ] [新增 > 受控應用程式]。
提供原則 名稱。
在 [選取公用應用程式] 底下,選擇 [Microsoft適用於端點的 Defender ] 作為目標應用程式。
在 [設定] 頁面中,選取 [使用設定設計工具],並將 DefenderDeviceTag 新增為 [字串] 的索引鍵和值類型。
- 系統管理員可以藉由新增 密鑰 DefenderDeviceTag 並設定裝置標籤的值來指派新的標籤。
- 系統管理員可以修改 金鑰 DefenderDeviceTag 的值,以編輯現有的標籤。
- 系統管理員可以藉由移除密鑰 DefenderDeviceTag 來刪除現有的標籤。
按 [下一步] 並將此原則指派給目標裝置和使用者。
注意事項
必須開啟Defender應用程式,標籤才能與Intune同步,並傳遞至安全性入口網站。 卷標最多可能需要 18 小時才會反映在入口網站中。
相關主題
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。