Konfigurieren von Microsoft Defender for Endpoint unter Android-Risikosignalen mithilfe von App-Schutzrichtlinien (MAM)

  • Artikel

Gilt für:

Microsoft Defender for Endpoint unter Android, das unternehmensweite Benutzer bereits in Mdm-Szenarien (Mobile Geräteverwaltung) schützt, erweitert jetzt die Unterstützung für Mobile App Management (MAM) für Geräte, die nicht mit Intune mobiler Geräteverwaltung (Mobile Device Management, MDM) registriert sind. Diese Unterstützung wird auch auf Kunden erweitert, die andere Enterprise Mobility Management-Lösungen verwenden, während sie weiterhin Intune für die Verwaltung mobiler Anwendungen (MAM) verwenden. Mit dieser Funktion können Sie die Daten Ihrer organization innerhalb einer Anwendung verwalten und schützen.

Microsoft Defender for Endpoint auf Android-Bedrohungsinformationen werden von Intune App-Schutzrichtlinien angewendet, um diese Apps zu schützen. App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Für eine verwaltete Anwendung gelten App-Schutzrichtlinien und können von Intune verwaltet werden.

Microsoft Defender for Endpoint unter Android unterstützt beide Konfigurationen von MAM.

  • Intune MDM + MAM: IT-Administratoren können Apps nur mithilfe von App-Schutzrichtlinien auf Geräten verwalten, die mit Intune Mobile Device Management (MDM) registriert sind.
  • MAM ohne Geräteregistrierung: MAM ohne Geräteregistrierung oder MAM-WE ermöglicht IT-Administratoren das Verwalten von Apps mithilfe von App-Schutzrichtlinien auf Geräten, die nicht bei Intune MDM registriert sind. Diese Bereitstellung bedeutet, dass Apps von Intune auf Geräten verwaltet werden können, die bei EMM-Drittanbietern registriert sind. Um Apps in beiden Konfigurationen zu verwalten, sollten Kunden Intune im Microsoft Intune Admin Center verwenden.

Um diese Funktion zu aktivieren, muss ein Administrator die Verbindung zwischen Microsoft Defender for Endpoint und Intune konfigurieren, die App-Schutzrichtlinie erstellen und die Richtlinie auf Zielgeräte und Anwendungen anwenden.

Endbenutzer müssen außerdem Schritte ausführen, um Microsoft Defender for Endpoint auf ihrem Gerät zu installieren und den Onboardingflow zu aktivieren.

Admin Voraussetzungen

  • Überprüfen Sie, ob die Microsoft Defender für Endpoint-Intune Connector aktiviert ist.

    a. Wechseln Sie zu security.microsoft.com.

    b. Wählen Sie Einstellungen > Endpunkte > Erweiterte Features > aus, Microsoft Intune Verbindung aktiviert ist.

    c. Wenn die Verbindung nicht aktiviert ist, wählen Sie die Umschaltfläche aus, um sie zu aktivieren, und wählen Sie dann Einstellungen speichern aus.

    Der Abschnitt Erweiterte Features im Microsoft Defender-Portal.

    d. Wechseln Sie zum Microsoft Intune Admin Center, und überprüfen Sie, ob Microsoft Defender für Endpoint-Intune Connector aktiviert ist.

    Der Bereich intune-connector status im Microsoft Defender-Portal.

  • Aktivieren Sie Microsoft Defender for Endpoint für android Connector for App Protection Policy (APP).

    Konfigurieren Sie den Connector auf Microsoft Intune für App-Schutz Richtlinien:

    a. Wechseln Sie zu Mandantenverwaltungsconnectors > und Token > Microsoft Defender for Endpoint.

    b. Aktivieren Sie die Umschaltfläche für die App-Schutzrichtlinie für Android (wie im folgenden Screenshot zu sehen).

    c. Wählen Sie Speichern aus.

    Der Bereich mit den Anwendungseinstellungen im Microsoft Defender-Portal.

  • Create eine App-Schutzrichtlinie.

    Blockieren Sie den Zugriff auf oder zurücksetzen Sie Daten einer verwalteten App basierend auf Microsoft Defender for Endpoint Risikosignalen, indem Sie eine App-Schutzrichtlinie erstellen.

    Microsoft Defender for Endpoint kann so konfiguriert werden, dass Bedrohungssignale gesendet werden, die in App-Schutzrichtlinien (APP, auch als MAM bezeichnet) verwendet werden. Mit dieser Funktion können Sie Microsoft Defender for Endpoint verwenden, um verwaltete Apps zu schützen.

    1. Create einer Richtlinie.

      App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Eine Richtlinie kann eine Regel sein, die erzwungen wird, wenn ein Benutzer versucht, auf „unternehmenseigene“ Daten zuzugreifen oder diese zu verschieben. Es kann sich auch um eine Reihe von Aktionen handeln, die nicht zulässig sind oder überwacht werden, wenn sich ein Benutzer in der App befindet.

      Die Registerkarte Create-Richtlinie auf der Seite App-Schutz-Richtlinien im Microsoft Defender-Portal.

    2. Fügen Sie Apps hinzu.

      a. Wählen Sie aus, wie Sie diese Richtlinie auf Apps auf verschiedenen Geräten anwenden möchten. Fügen Sie dann mindestens eine App hinzu.

      Verwenden Sie diese Option, um anzugeben, ob diese Richtlinie für nicht verwaltete Geräte gilt. In Android können Sie angeben, dass die Richtlinie für Android Enterprise, Device Admin oder Nicht verwaltete Geräte gilt. Sie können ihre Richtlinie auch auf Apps auf Geräten mit einem beliebigen Verwaltungsstatus ausrichten.

      Da die Verwaltung von mobilen Apps keine Geräteverwaltung voraussetzt, können Sie Unternehmensdaten auf verwalteten und auf nicht verwalteten Geräten schützen. Bei der Verwaltung wird die Benutzeridentität in den Mittelpunkt gestellt, wodurch sich die Geräteverwaltung erübrigt. Unternehmen können Gleichzeitig App-Schutzrichtlinien mit oder ohne MDM verwenden. Nehmen Sie beispielsweise weinen Mitarbeiter an, der sowohl ein unternehmenseigenes Smartphone als auch seinen privaten Tablet verwendet. Das unternehmenseigene Smartphone wird in einer MDM registriert und von App-Schutzrichtlinien geschützt, während das private Gerät nur von App-Schutzrichtlinien geschützt wird.

      b. Wählen Sie Apps aus.

      Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet wurden und die von Intune verwaltet werden kann. Jede App, die in das Intune SDK integriert oder vom Intune App Wrapping Tool umschlossen wurde, kann mithilfe Intune App-Schutzrichtlinien verwaltet werden. Weitere Informationen finden Sie in der offiziellen Liste der durch Microsoft Intune geschützten Apps, die mithilfe dieser Tools erstellt wurden und für die öffentliche Nutzung verfügbar sind.

      Beispiel: Outlook als verwaltete App

      Der Bereich Öffentliche Apps im Microsoft Defender-Portal.

    3. Legen Sie Anmeldesicherheitsanforderungen für Ihre Schutzrichtlinie fest.

      Wählen Sie Unter Gerätebedingungen die Option Max. zulässige Gerätebedrohungsstufe festlegen > aus, und geben Sie einen Wert ein. Wählen Sie dann Aktion: "Zugriff blockieren" aus. Microsoft Defender for Endpoint unter Android teilt diese Geräte-Bedrohungsstufe.

      Bereich

  • Weisen Sie Benutzergruppen zu, für die die Richtlinie angewendet werden muss.

    Wählen Sie Eingeschlossene Gruppen aus. Fügen Sie dann die relevanten Gruppen hinzu.

    Der Bereich Eingeschlossene Gruppen im Microsoft Defender-Portal.

Hinweis

Wenn eine Konfigurationsrichtlinie auf nicht registrierte Geräte (MAM) ausgerichtet sein soll, empfiehlt es sich, die allgemeinen App-Konfigurationseinstellungen in verwalteten Apps bereitzustellen, anstatt verwaltete Geräte zu verwenden.

Beim Bereitstellen von App-Konfigurationsrichtlinien auf Geräten können Probleme auftreten, wenn mehrere Richtlinien unterschiedliche Werte für denselben Konfigurationsschlüssel aufweisen und für die gleiche App und denselben Benutzer vorgesehen sind. Diese Probleme sind auf das Fehlen eines Konfliktlösungsmechanismus zum Auflösen der unterschiedlichen Werte zurückzuführen. Sie können diese Probleme verhindern, indem Sie sicherstellen, dass nur eine einzelne App-Konfigurationsrichtlinie für Geräte definiert und für dieselbe App und denselben Benutzer bestimmt ist.

Voraussetzungen für Endbenutzer

  • Die Broker-App muss installiert sein.

    • Intune-Unternehmensportal

  • Benutzer verfügen über die erforderlichen Lizenzen für die verwaltete App und haben die App installiert.

Onboarding für Endbenutzer

  1. Melden Sie sich bei einer verwalteten Anwendung an, z. B. Outlook. Das Gerät wird registriert, und die Anwendungsschutzrichtlinie wird mit dem Gerät synchronisiert. Die Anwendungsschutzrichtlinie erkennt den Integritätszustand des Geräts.

  2. Wählen Sie Weiter. Es wird ein Bildschirm angezeigt, der das Herunterladen und Einrichten von Microsoft Defender for Endpoint in der Android-App empfiehlt.

  3. Klicken Sie auf Herunterladen. Sie werden zum App Store (Google Play) weitergeleitet.

  4. Installieren Sie die Microsoft Defender for Endpoint -App (Mobil), und starten Sie den Onboardingbildschirm für verwaltete Apps zurück.

    Die illustrativen Seiten, die das Verfahren zum Herunterladen von MDE und zum Erneuten Starten des App-Onboarding-Bildschirms enthalten.

  5. Klicken Sie auf Weiter > Starten. Der Onboarding-/Aktivierungsflow für Microsoft Defender for Endpoint App wird initiiert. Führen Sie die Schritte aus, um das Onboarding abzuschließen. Sie werden automatisch zurück zum Onboardingbildschirm für verwaltete Apps weitergeleitet, der nun anzeigt, dass das Gerät fehlerfrei ist.

  6. Wählen Sie Weiter aus, um sich bei der verwalteten Anwendung anzumelden.

Konfigurieren des Webschutzes

Defender für Endpunkt unter Android ermöglicht IT-Administratoren das Konfigurieren des Webschutzes. Webschutz ist im Microsoft Intune Admin Center verfügbar.

Webschutz unterstützt das Schützen von Geräten vor Bedrohungen im Web und schützt Benutzer vor Phishingangriffen. Beachten Sie, dass Antiphishing und benutzerdefinierte Indikatoren (URL und IP-Adressen) als Teil des Webschutzes unterstützt werden. Die Filterung von Webinhalten wird derzeit auf mobilen Plattformen nicht unterstützt.

  1. Navigieren Sie im Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Apps hinzufügen>.

  2. Geben Sie der Richtlinie einen Namen.

  3. Wählen Sie unter Öffentliche Apps auswählendie Option Microsoft Defender for Endpoint als Ziel-App aus.

  4. Fügen Sie auf der Seite Einstellungen unter Allgemeine Konfigurationseinstellungen die folgenden Schlüssel hinzu, und legen Sie deren Wert nach Bedarf fest.

    • Antiphishing
    • Vpn

    Um den Webschutz zu deaktivieren, geben Sie 0 als Antiphishing- und VPN-Werte ein.

    Um nur die Verwendung von VPN durch Webschutz zu deaktivieren, geben Sie die folgenden Werte ein:

    • 0 für VPN
    • 1 für Antiphishing

    Fügen Sie den Schlüssel DefenderMAMConfigs hinzu, und legen Sie den Wert auf 1 fest.

  5. Weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf false festgelegt.

  6. Überprüfen und erstellen Sie die Richtlinie.

Konfigurieren des Netzwerkschutzes

  1. Navigieren Sie Microsoft Intune Admin Center zuApp-Konfigurationsrichtlinien für Apps>. Create eine neue App-Konfigurationsrichtlinie. Klicken Sie auf Verwaltete Apps.

  2. Geben Sie einen Namen und eine Beschreibung an, um die Richtlinie eindeutig zu identifizieren. Legen Sie die Richtlinie auf "Ausgewählte Apps" fest, und suchen Sie nach "Microsoft Defender Endpunkt für Android". Klicken Sie auf den Eintrag, klicken Sie dann auf Auswählen und dann auf Weiter.

  3. Fügen Sie den Schlüssel und den Wert aus der folgenden Tabelle hinzu. Stellen Sie sicher, dass der Schlüssel "DefenderMAMConfigs" in jeder Richtlinie vorhanden ist, die Sie mithilfe der Route für verwaltete Apps erstellen. Für die Route "Verwaltete Geräte" sollte dieser Schlüssel nicht vorhanden sein. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Schlüssel Typ Standard (true-enable, false-disable) Beschreibung
    DefenderNetworkProtectionEnable Ganzzahl 0 1 – Aktivieren, 0 – Deaktivieren; Diese Einstellung wird von IT-Administratoren verwendet, um die Netzwerkschutzfunktionen in der Defender-App zu aktivieren oder zu deaktivieren.
    DefenderAllowlistedCACertificates String Keine Keine-Deaktivierung; Diese Einstellung wird von IT-Administratoren verwendet, um eine Vertrauensstellung für die Stammzertifizierungsstelle und selbstsignierte Zertifikate herzustellen.
    DefenderCertificateDetection Ganze Zahl 0 2 Aktivieren, 1 – Überwachungsmodus, 0 – Deaktivieren; Wenn dieses Feature mit dem Wert 2 aktiviert ist, werden Endbenutzerbenachrichtigungen an den Benutzer gesendet, wenn Defender ein ungültiges Zertifikat erkennt. Warnungen werden auch an SOC-Administratoren gesendet. Im Überwachungsmodus (1) werden Benachrichtigungswarnungen an SOC-Administratoren gesendet, aber dem Benutzer werden keine Endbenutzerbenachrichtigungen angezeigt, wenn Defender ein ungültiges Zertifikat erkennt. Administratoren können diese Erkennung mit 0 als Wert deaktivieren und vollständige Funktionen aktivieren, indem sie 2 als Wert festlegen.
    DefenderOpenNetworkDetection Ganze Zahl 0 2 Aktivieren, 1 – Überwachungsmodus, 0 – Deaktivieren; Diese Einstellung wird von IT-Administratoren verwendet, um die Erkennung geöffneter Netzwerke zu aktivieren oder zu deaktivieren. Standardmäßig ist die Erkennung des offenen Netzwerks mit dem Wert 0 deaktiviert, und Defender sendet keine Benachrichtigungen oder Warnungen von Endbenutzern an SOC-Administratoren im Sicherheitsportal. Wenn sie in den Überwachungsmodus mit dem Wert 1 gewechselt ist, wird eine Benachrichtigung an den SOC-Administrator gesendet, aber es wird keine Endbenutzerbenachrichtigung für den Benutzer angezeigt, wenn Defender ein geöffnetes Netzwerk erkennt. Wenn es mit dem Wert 2 aktiviert ist, wird eine Endbenutzerbenachrichtigung angezeigt, und es werden auch Warnungen an SOC-Administratoren gesendet.
    DefenderEndUserTrustFlowEnable Ganze Zahl 0 1 – Aktivieren, 0 – Deaktivieren; Diese Einstellung wird von IT-Administratoren verwendet, um die In-App-Benutzeroberfläche des Endbenutzers zu aktivieren oder zu deaktivieren, um unsicheren und verdächtigen Netzwerken zu vertrauen und diese nicht vertrauenswürdig zu machen.
    DefenderNetworkProtectionAutoRemediation Ganze Zahl 1 1 – Aktivieren, 0 – Deaktivieren; Diese Einstellung wird von IT-Administratoren verwendet, um die Wartungswarnungen zu aktivieren oder zu deaktivieren, die gesendet werden, wenn ein Benutzer Wartungsaktivitäten ausführt, z. B. den Wechsel zu sichereren Wi-Fi Access Points oder das Löschen verdächtiger Zertifikate, die von Defender erkannt wurden.
    DefenderNetworkProtectionPrivacy Ganze Zahl 1 1 – Aktivieren, 0 – Deaktivieren; Diese Einstellung wird von IT-Administratoren verwendet, um den Datenschutz im Netzwerkschutz zu aktivieren oder zu deaktivieren. Wenn der Datenschutz mit dem Wert 0 deaktiviert ist, wird die Zustimmung des Benutzers angezeigt, um die schädlichen WLAN- oder Zertifikatdaten zu teilen. Wenn sie sich im aktivierten Zustand mit dem Wert 1 befindet, wird keine Benutzereinwilligung angezeigt, und es werden keine App-Daten gesammelt.

  4. Schließen Sie die Gruppen ein, auf die die Richtlinie angewendet werden soll, oder schließen Sie sie aus. Fahren Sie mit der Überprüfung und Übermittlung der Richtlinie fort.

Hinweis

Benutzer müssen die Standortberechtigung aktivieren (eine optionale Berechtigung). Dadurch kann Defender für Endpunkt seine Netzwerke überprüfen und sie warnen, wenn WLAN-bezogene Bedrohungen vorhanden sind. Wenn die Standortberechtigung vom Benutzer verweigert wird, bietet Defender für Endpunkt nur eingeschränkten Schutz vor Netzwerkbedrohungen und schützt die Benutzer nur vor nicht autorisierten Zertifikaten.

Konfigurieren von Datenschutzsteuerelementen

Administratoren können die folgenden Schritte ausführen, um den Datenschutz zu aktivieren und nicht den Domänennamen, App-Details und Netzwerkinformationen als Teil des Warnungsberichts für entsprechende Bedrohungen zu sammeln.

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Apps hinzufügen>.
  2. Geben Sie der Richtlinie einen Namen.
  3. Wählen Sie unter Öffentliche Apps auswählen die Option Microsoft Defender for Endpoint als Ziel-App aus.
  4. Fügen Sie auf der Seite Einstellungen unter Allgemeine Konfigurationseinstellungen DefenderExcludeURLInReport und DefenderExcludeAppInReport als Schlüssel und Wert als 1 hinzu.
  5. Fügen Sie den Schlüssel DefenderMAMConfigs hinzu, und legen Sie den Wert auf 1 fest.
  6. Weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf 0 festgelegt.
  7. Fügen Sie auf der Seite Einstellungen unter Allgemeine Konfigurationseinstellungen DefenderExcludeURLInReport, DefenderExcludeAppInReport als Schlüssel und Wert als true hinzu.
  8. Fügen Sie den Schlüssel DefenderMAMConfigs hinzu, und legen Sie den Wert auf 1 fest.
  9. Weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf false festgelegt.
  10. Überprüfen und erstellen Sie die Richtlinie.

Optionale Berechtigungen

Microsoft Defender for Endpoint unter Android aktiviert optionale Berechtigungen im Onboardingflow. Derzeit sind die von MDE erforderlichen Berechtigungen im Onboardingflow obligatorisch. Mit diesem Feature kann der Administrator MDE auf Android-Geräten mit MAM-Richtlinien bereitstellen, ohne die obligatorischen VPN- und Barrierefreiheitsberechtigungen während des Onboardings zu erzwingen. Endbenutzer können das Onboarding der App ohne die obligatorischen Berechtigungen durchführen und diese Berechtigungen später überprüfen.

Konfigurieren optionaler Berechtigungen

Führen Sie die folgenden Schritte aus, um optionale Berechtigungen für Geräte zu aktivieren.

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Apps hinzufügen>.

  2. Geben Sie der Richtlinie einen Namen.

  3. Wählen Sie in öffentlichen Apps Microsoft Defender for Endpoint aus.

  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden und DefenderOptionalVPN oder DefenderOptionalAccessibility oder beides als Schlüssel aus.

  5. Fügen Sie den Schlüssel DefenderMAMConfigs hinzu, und legen Sie den Wert auf 1 fest.

  6. Um optionale Berechtigungen zu aktivieren, geben Sie den Wert als 1 ein , und weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf 0 festgelegt.

    Benutzer, deren Schlüssel auf 1 festgelegt ist, können die App integrieren, ohne diese Berechtigungen zu erteilen.

  7. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden und DefenderOptionalVPN oder DefenderOptionalAccessibility oder beides als Schlüssel- und Werttyp als Boolescher Wert aus.

  8. Fügen Sie den Schlüssel DefenderMAMConfigs hinzu, und legen Sie den Wert auf 1 fest.

  9. Um optionale Berechtigungen zu aktivieren, geben Sie wert als true ein, und weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert auf false festgelegt.

    Für Benutzer, deren Schlüssel auf true festgelegt ist, können die Benutzer die App integrieren, ohne diese Berechtigungen zu erteilen.

  10. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Benutzerflow

Benutzer können die App installieren und öffnen, um den Onboardingprozess zu starten.

  1. Wenn ein Administrator über optionale Berechtigungen verfügt, können Benutzer die VPN- oder Barrierefreiheitsberechtigung oder beides überspringen und das Onboarding abschließen.

  2. Selbst wenn der Benutzer diese Berechtigungen übersprungen hat, kann das Gerät das Onboarding durchführen, und ein Heartbeat wird gesendet.

  3. Da Berechtigungen deaktiviert sind, ist der Webschutz nicht aktiv. Sie ist teilweise aktiv, wenn eine der Berechtigungen erteilt wird.

  4. Später können Benutzer den Webschutz innerhalb der App aktivieren. Dadurch wird die VPN-Konfiguration auf dem Gerät installiert.

Hinweis

Die Einstellung Optionale Berechtigungen unterscheidet sich von der Einstellung Webschutz deaktivieren. Optionale Berechtigungen helfen nur, die Berechtigungen während des Onboardings zu überspringen, aber sie sind für den Endbenutzer verfügbar, um sie später zu überprüfen und zu aktivieren, während Webschutz deaktivieren Benutzern das Onboarding der Microsoft Defender for Endpoint-App ohne Webschutz ermöglicht. Sie kann später nicht mehr aktiviert werden.

Deaktivieren der Abmeldung

Mit Defender für Endpunkt können Sie die App bereitstellen und die Abmeldeschaltfläche deaktivieren. Durch ausblenden der Abmeldeschaltfläche werden Benutzer daran gehindert, sich von der Defender-App abzumelden. Diese Aktion verhindert, dass das Gerät manipuliert wird, wenn Defender für Endpunkt nicht ausgeführt wird.

Führen Sie die folgenden Schritte aus, um die Abmeldung deaktivieren zu konfigurieren:

  1. Navigieren Sie im Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Apps hinzufügen>.
  2. Geben Sie der Richtlinie einen Namen an.
  3. Wählen Sie unter Öffentliche Apps auswählendie Option Microsoft Defender for Endpoint als Ziel-App aus.
  4. Fügen Sie auf der Seite Einstellungen unter Allgemeine KonfigurationseinstellungenDisableSignOut als Schlüssel hinzu, und legen Sie den Wert auf 1 fest.
    • Standardmäßig deaktivieren Sie Die Abmeldung = 0.
    • Admin muss Abmelden deaktivieren = 1 festlegen, um die Abmeldeschaltfläche in der App zu deaktivieren. Die Abmeldeschaltfläche wird benutzern nicht angezeigt, sobald die Richtlinie per Push auf das Gerät übertragen wurde.
  5. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten und Benutzern zu.

Wichtig

Dieses Feature befindet sich in der öffentlichen Vorschau. Die folgenden Informationen beziehen sich auf vorab freigegebene Produkte, die vor der kommerziellen Veröffentlichung wesentlich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Gerätetagging

Defender für Endpunkt unter Android ermöglicht das Massenmarkieren der mobilen Geräte während des Onboardings, indem administratoren Tags über Intune einrichten können. Admin können die Gerätetags über Intune über Konfigurationsrichtlinien konfigurieren und auf die Geräte des Benutzers pushen. Nachdem der Benutzer Defender installiert und aktiviert hat, übergibt die Client-App die Gerätetags an das Sicherheitsportal. Die Gerätetags werden für die Geräte im Gerätebestand angezeigt.

Führen Sie die folgenden Schritte aus, um die Gerätetags zu konfigurieren:

  1. Navigieren Sie im Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Apps hinzufügen>.

  2. Geben Sie der Richtlinie einen Namen an.

  3. Wählen Sie unter Öffentliche Apps auswählendie Option Microsoft Defender for Endpoint als Ziel-App aus.

  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie DefenderDeviceTag als Schlüssel und Werttyp als Zeichenfolge hinzu.

    • Admin können ein neues Tag zuweisen, indem Sie den Schlüssel DefenderDeviceTag hinzufügen und einen Wert für das Gerätetag festlegen.
    • Admin können ein vorhandenes Tag bearbeiten, indem sie den Wert des Schlüssels DefenderDeviceTag ändern.
    • Admin können ein vorhandenes Tag löschen, indem sie den Schlüssel DefenderDeviceTag entfernen.

  5. Klicken Sie auf Weiter, und weisen Sie diese Richtlinie Zielgeräten und Benutzern zu.

Hinweis

Die Defender-App muss geöffnet werden, damit Tags mit Intune synchronisiert und an das Sicherheitsportal übergeben werden. Es kann bis zu 18 Stunden dauern, bis Tags im Portal angezeigt werden.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.