Konfigurieren von Defender für Endpunkt unter Android-Features

Gilt für:

Bedingter Zugriff mit Defender für Endpunkt unter Android

Microsoft Defender for Endpoint unter Android ermöglicht zusammen mit Microsoft Intune und Microsoft Entra ID das Erzwingen von Richtlinien für Gerätekonformität und bedingten Zugriff basierend auf Geräterisikostufen. Defender für Endpunkt ist eine MTD-Lösung (Mobile Threat Defense), die Sie über Intune bereitstellen können.

Weitere Informationen zum Einrichten von Defender für Endpunkt unter Android und bedingtem Zugriff finden Sie unter Defender für Endpunkt und Intune.

Konfigurieren von benutzerdefinierten Indikatoren

Hinweis

Defender für Endpunkt unter Android unterstützt nur das Erstellen benutzerdefinierter Indikatoren für IP-Adressen und URLs/Domänen.

Defender für Endpunkt unter Android ermöglicht Administratoren das Konfigurieren benutzerdefinierter Indikatoren für die Unterstützung von Android-Geräten. Weitere Informationen zum Konfigurieren benutzerdefinierter Indikatoren finden Sie unter Verwalten von Indikatoren.

Konfigurieren des Webschutzes

Defender für Endpunkt unter Android bietet IT-Administratoren die Möglichkeit, das Webschutzfeature zu konfigurieren. Diese Funktion ist im Microsoft Intune Admin Center verfügbar.

Webschutz unterstützt das Schützen von Geräten vor Bedrohungen im Web und schützt Benutzer vor Phishingangriffen. Antiphishing und benutzerdefinierte Indikatoren (URL und IP-Adressen) werden als Teil des Webschutzes unterstützt. Die Filterung von Webinhalten wird derzeit auf mobilen Plattformen nicht unterstützt.

Hinweis

Defender für Endpunkt unter Android würde ein VPN verwenden, um das Webschutzfeature bereitzustellen. Dieses VPN ist kein normales VPN. Stattdessen handelt es sich um ein lokales/Selbstschleifen-VPN, das keinen Datenverkehr außerhalb des Geräts annimmt.

Weitere Informationen finden Sie unter Konfigurieren des Webschutzes auf Geräten, auf denen Android ausgeführt wird.

Netzwerkschutz

Dieses Feature bietet Schutz vor bösartigen Wi-Fi zugehörigen Bedrohungen und bösartigen Zertifikaten, die der primäre Angriffsvektor für Wi-Fi-Netzwerke sind. Administratoren können die Zertifikate der Stammzertifizierungsstelle und der privaten Stammzertifizierungsstelle in Microsoft Intune Admin Center auflisten und eine Vertrauensstellung mit Endpunkten herstellen. Es bietet dem Benutzer eine geführte Erfahrung, um eine Verbindung mit sicheren Netzwerken herzustellen, und benachrichtigt ihn auch, wenn eine verwandte Bedrohung erkannt wird.

Es enthält mehrere Administratorsteuerelemente, um Flexibilität zu bieten, z. B. die Möglichkeit, das Feature aus dem Microsoft Intune Admin Center zu konfigurieren und vertrauenswürdige Zertifikate hinzuzufügen. Administratoren können Datenschutzsteuerelemente aktivieren, um die Daten zu konfigurieren, die von Android-Geräten an Defender für Endpunkt gesendet werden.

Der Netzwerkschutz in Microsoft Defender für Endpunkt ist standardmäßig deaktiviert. Administratoren können die folgenden Schritte ausführen, um den Netzwerkschutz auf Android-Geräten zu konfigurieren.

  1. Navigieren Sie im Microsoft Intune Admin Center zu App-Konfigurationsrichtlinien für Apps>. Erstellen Sie eine neue App-Konfigurationsrichtlinie.

    Abbildung: Erstellen einer Richtlinie

  2. Geben Sie einen Namen und eine Beschreibung an, um die Richtlinie eindeutig zu identifizieren. Wählen Sie "Android Enterprise" als Plattform und "Nur persönliches Arbeitsprofil" als Profiltyp und "Microsoft Defender" als Ziel-App aus.

    Abbildung der Richtliniendetails.

  3. Wählen Sie auf der Seite Einstellungen die Option "Konfigurations-Designer verwenden" aus, und fügen Sie "Netzwerkschutz in Microsoft Defender aktivieren" als Schlüssel und Wert als "1" hinzu, um den Netzwerkschutz zu aktivieren. (Netzwerkschutz ist standardmäßig deaktiviert)

    Abbildung der Auswahl der Netzwerkschutzrichtlinie aktivieren

    Abbildung des Hinzufügens einer Konfigurationsrichtlinie.

  4. Wenn Ihr organization private Stammzertifizierungsstellen verwendet, müssen Sie eine explizite Vertrauensstellung zwischen Intune (MDM-Lösung) und Benutzergeräten einrichten. Das Einrichten einer Vertrauensstellung verhindert, dass Defender Stammzertifizierungsstellen als nicht autorisierte Zertifikate kennzeichnet.

    Verwenden Sie zum Einrichten einer Vertrauensstellung für die Stammzertifizierungsstellen die Zertifikatliste der vertrauenswürdigen Zertifizierungsstelle für den Netzwerkschutz als Schlüssel. Fügen Sie im Wert die "durch Trennzeichen getrennte Liste von Zertifikatfingerabdrücken (SHA 1)" hinzu.

    Beispiel für das hinzuzufügende Fingerabdruckformat: 50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431

    Wichtig

    Zertifikats-SHA-1-Fingerabdruckzeichen sollten entweder mit Leerzeichen getrennt oder nicht getrennt sein.

    Dieses Format ist ungültig: 50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31

    Alle anderen Trennzeichen sind ungültig.

    Abbildung des Zertifikats der vertrauenswürdigen Zertifizierungsstelle.

  5. Fügen Sie für andere Konfigurationen im Zusammenhang mit dem Netzwerkschutz die folgenden Schlüssel und den entsprechenden Wert hinzu.

    Konfigurationsschlüssel Beschreibung
    Liste der Zertifikate der vertrauenswürdigen Zertifizierungsstelle für den Netzwerkschutz Sicherheitsadministratoren verwalten diese Einstellung, um eine Vertrauensstellung für stammzertifizierungsstelle und selbstsignierte Zertifikate einzurichten.
    Aktivieren des Netzwerkschutzes in Microsoft Defender 1 – Aktivieren, 0 – Deaktivieren (Standard). Diese Einstellung wird vom IT-Administrator verwendet, um die Netzwerkschutzfunktionen in der Defender-App zu aktivieren oder zu deaktivieren.
    Aktivieren des Datenschutzes für den Netzwerkschutz 1 – Aktivieren (Standard), 0 – Deaktivieren. Sicherheitsadministratoren verwalten diese Einstellung, um den Datenschutz im Netzwerkschutz zu aktivieren oder zu deaktivieren.
    Benutzern das Vertrauen von Netzwerken und Zertifikaten ermöglichen 1 – Aktivieren, 0 – Deaktivieren (Standard). Sicherheitsadministratoren verwalten diese Einstellung, um die In-App-Erfahrung des Endbenutzers zu aktivieren oder zu deaktivieren, um unsicheren und verdächtigen Netzwerken und böswilligen Zertifikaten zu vertrauen und ihnen zu vertrauen.
    Automatische Korrektur von Netzwerkschutzwarnungen 1 – Aktivieren (Standard), 0 – Deaktivieren. Sicherheitsadministratoren verwalten diese Einstellung, um die Wartungswarnungen zu aktivieren oder zu deaktivieren, die gesendet werden, wenn ein Benutzer Wartungsaktivitäten ausführt, z. B. den Wechsel zu einem sichereren Wi-Fi Zugriffspunkt oder das Löschen verdächtiger Zertifikate, die von Defender erkannt werden.
    Verwalten der Netzwerkschutzerkennung für offene Netzwerke 0 – Deaktivieren (Standard), 1 – Überwachungsmodus, 2 – Aktivieren. Sicherheitsadministratoren verwalten diese Einstellung, um die Erkennung von offenen Netzwerken zu deaktivieren, zu überwachen oder zu aktivieren. Im Modus "Überwachung" werden Warnungen nur ohne Endbenutzererfahrung an das ATP-Portal gesendet. Legen Sie für die Benutzererfahrung die Konfiguration auf den Modus "Aktivieren" fest.
    Verwalten der Netzwerkschutzerkennung für Zertifikate 0 – Deaktivieren, 1 – Überwachungsmodus (Standard), 2 – Aktivieren. Wenn der Netzwerkschutz aktiviert ist, ist der Überwachungsmodus für die Zertifikaterkennung standardmäßig aktiviert. Im Überwachungsmodus werden Benachrichtigungen an SOC-Administratoren gesendet, aber es werden keine Endbenutzerbenachrichtigungen für den Benutzer angezeigt, wenn Defender ein ungültiges Zertifikat erkennt. Administratoren können diese Erkennung jedoch mit 0 als Wert deaktivieren und die Funktionalität des vollständigen Features aktivieren, indem sie 2 als Wert festlegen. Wenn das Feature mit dem Wert 2 aktiviert ist, werden Endbenutzerbenachrichtigungen an den Benutzer gesendet, wenn Defender ein ungültiges Zertifikat erkennt, und Warnungen werden auch an den SOC-Admin gesendet.
  6. Fügen Sie die erforderlichen Gruppen hinzu, auf die die Richtlinie angewendet werden muss. Überprüfen und erstellen Sie die Richtlinie.

    Konfigurationsschlüssel Beschreibung
    Aktivieren des Netzwerkschutzes in Microsoft Defender 1: Aktivieren
    0: Deaktivieren (Standard)

    Diese Einstellung wird vom IT-Administrator verwendet, um die Netzwerkschutzfunktionen in der Defender-App zu aktivieren oder zu deaktivieren.
    Aktivieren des Datenschutzes für den Netzwerkschutz 1: Aktivieren (Standard)
    0: Deaktivieren

    Sicherheitsadministratoren verwalten diese Einstellung, um den Datenschutz im Netzwerkschutz zu aktivieren oder zu deaktivieren.
    Benutzern das Vertrauen von Netzwerken und Zertifikaten ermöglichen 1
    Aktivieren
    0:Deaktivieren (Standard)

    Diese Einstellung wird von IT-Administratoren verwendet, um die In-App-Erfahrung des Endbenutzers zu aktivieren oder zu deaktivieren, um unsicheren und verdächtigen Netzwerken und böswilligen Zertifikaten zu vertrauen und diese nicht vertrauenswürdig zu machen.
    Automatische Korrektur von Netzwerkschutzwarnungen 1: Aktivieren (Standard)
    0: Deaktivieren

    Diese Einstellung wird von IT-Administratoren verwendet, um die Wartungswarnungen zu aktivieren oder zu deaktivieren, die gesendet werden, wenn ein Benutzer Wartungsaktivitäten durchführt. Beispielsweise wechselt der Benutzer zu einem sichereren Wi-Fi Zugriffspunkt oder löscht verdächtige Zertifikate, die von Defender erkannt wurden.
    Verwalten der Netzwerkschutzerkennung für offene Netzwerke 0: Deaktivieren (Standard)
    1: Überwachungsmodus

    Sicherheitsadministratoren verwalten diese Einstellung, um die Erkennung geöffneter Netzwerke zu aktivieren oder zu deaktivieren.
    Verwalten der Netzwerkschutzerkennung für Zertifikate 0: Deaktivieren
    1: Überwachungsmodus (Standard)
    2: Aktivieren

    Wenn der Netzwerkschutz aktiviert ist, ist der Überwachungsmodus für die Zertifikaterkennung standardmäßig aktiviert. Im Überwachungsmodus werden Benachrichtigungswarnungen an SOC-Administratoren gesendet, aber es werden keine Endbenutzerbenachrichtigungen angezeigt, wenn Defender ein ungültiges Zertifikat erkennt. Administratoren können diese Erkennung mit dem Wert 0 deaktivieren oder vollständige Funktionen aktivieren, indem sie den Wert 2 festlegen. Wenn der Wert 2 ist, werden Endbenutzerbenachrichtigungen an Benutzer gesendet, und Warnungen werden an SOC-Administratoren gesendet, wenn Defender ein ungültiges Zertifikat erkennt.
  7. Fügen Sie die erforderlichen Gruppen hinzu, auf die die Richtlinie angewendet werden muss. Überprüfen und erstellen Sie die Richtlinie.

Hinweis

Benutzer müssen die Standortberechtigung aktivieren (eine optionale Berechtigung). Dies ermöglicht Es Defender für Endpunkt, seine Netzwerke zu überprüfen und sie zu warnen, wenn WIFI-bezogene Bedrohungen vorhanden sind. Wenn die Standortberechtigung vom Benutzer verweigert wird, bietet Defender für Endpunkt nur eingeschränkten Schutz vor Netzwerkbedrohungen und schützt die Benutzer nur vor nicht autorisierten Zertifikaten.

Datenschutzkontrollen

Die folgenden Datenschutzsteuerelemente sind verfügbar, um die Daten zu konfigurieren, die von Defender für Endpunkt von Android-Geräten gesendet werden:

Bedrohungsbericht Details
Schadsoftwarebericht Administratoren können die Datenschutzkontrolle für Schadsoftwareberichte einrichten. Wenn der Datenschutz aktiviert ist, sendet Defender für Endpunkt den Namen der Schadsoftware-App und andere App-Details nicht als Teil des Schadsoftwarewarnungsberichts.
Phish-Bericht Administratoren können die Datenschutzkontrolle für Phishing-Berichte einrichten. Wenn der Datenschutz aktiviert ist, sendet Defender für Endpunkt nicht den Domänennamen und details der unsicheren Website als Teil des Phishingwarnungsberichts.
Sicherheitsrisikobewertung von Apps Standardmäßig werden nur Informationen zu apps, die im Arbeitsprofil installiert sind, zur Sicherheitsrisikobewertung gesendet. Administratoren können den Datenschutz deaktivieren, um persönliche Apps einzuschließen.
Netzwerkschutz (Vorschau) Administratoren können den Datenschutz im Netzwerkschutz aktivieren oder deaktivieren. Wenn diese Option aktiviert ist, sendet Defender keine Netzwerkdetails.

Konfigurieren des Berichts zu Datenschutzwarnungen

Administratoren können jetzt die Datenschutzkontrolle für den Phishing-, Schadsoftware- und Netzwerkbericht aktivieren, der von Microsoft Defender for Endpoint unter Android gesendet wird. Diese Konfiguration stellt sicher, dass domänenname, App-Details und Netzwerkdetails nicht als Teil der Warnung gesendet werden, wenn eine entsprechende Bedrohung erkannt wird.

Admin Datenschutzkontrollen (MDM) Führen Sie die folgenden Schritte aus, um den Datenschutz zu aktivieren.

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps > App-Konfigurationsrichtlinien > Verwaltete Geräte hinzufügen>.

  2. Geben Sie der Richtlinie einen Namen( Platform > Android Enterprise), und wählen Sie den Profiltyp aus.

  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.

  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden und dann Hinzufügen aus.

  5. Wählen Sie die erforderliche Datenschutzeinstellung aus:

    • Ausblenden von URLs im Bericht
    • Ausblenden von URLs im Bericht für persönliches Profil
    • Ausblenden von App-Details im Bericht
    • Ausblenden von App-Details im Bericht für persönliches Profil
    • Aktivieren des Datenschutzes für den Netzwerkschutz
  6. Um den Datenschutz zu aktivieren, geben Sie den ganzzahligen Wert als 1 ein, und weisen Sie diese Richtlinie Benutzern zu. Standardmäßig ist dieser Wert für MDE im Arbeitsprofil auf 0 und für MDE für persönliches Profil auf 1 festgelegt.

  7. Überprüfen Sie dieses Profil, und weisen Sie es Zielgeräten/Benutzern zu.

Datenschutzsteuerelemente für Endbenutzer

Diese Steuerelemente helfen dem Endbenutzer, die für seine organization freigegebenen Informationen zu konfigurieren.

  1. Bei Android Enterprise-Arbeitsprofilen sind Endbenutzersteuerelemente nicht sichtbar. Administratoren steuern diese Einstellungen.
  2. Für ein persönliches Android Enterprise-Profil wird das Steuerelement unter Einstellungen> Datenschutz angezeigt.
  3. Benutzern wird eine Umschaltfläche für unsichere Websiteinformationen, schädliche Anwendungen und Netzwerkschutz angezeigt.

Diese Umschaltflächen sind nur sichtbar, wenn sie vom Administrator aktiviert wurden. Benutzer können entscheiden, ob sie die Informationen an ihre organization senden möchten oder nicht.

Das Aktivieren/Deaktivieren der oben genannten Datenschutzkontrollen wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren der Sicherheitsrisikobewertung von Apps für BYOD-Geräte

Ab Version 1.0.3425.0303 von Microsoft Defender for Endpoint unter Android können Sie Sicherheitsrisikobewertungen des Betriebssystems und der Apps ausführen, die auf den integrierten mobilen Geräten installiert sind.

Hinweis

Die Sicherheitsrisikobewertung ist Teil der Microsoft Defender Vulnerability Management in Microsoft Defender for Endpoint.

Hinweise zum Datenschutz im Zusammenhang mit Apps von persönlichen Geräten (BYOD):

  • Für Android Enterprise mit einem Arbeitsprofil werden nur Apps unterstützt, die im Arbeitsprofil installiert sind.
  • Für andere BYOD-Modi ist die Sicherheitsrisikobewertung von Apps standardmäßig nicht aktiviert. Wenn sich das Gerät jedoch im Administratormodus befindet, können Administratoren dieses Feature explizit über Microsoft Intune aktivieren, um die Liste der auf dem Gerät installierten Apps abzurufen. Weitere Informationen finden Sie weiter unten.

Konfigurieren des Datenschutzes für den Geräteadministratormodus

Führen Sie die folgenden Schritte aus, um die Sicherheitsrisikobewertung von Apps von Geräten im Geräteadministratormodus für Zielbenutzer zu aktivieren.

Hinweis

Standardmäßig ist dies für Geräte deaktiviert, die im Geräteadministratormodus registriert sind.

  1. Wechseln Sie Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen, und geben Sie die folgenden Einstellungen ein:

    • Plattform: Wählen Sie Android-Geräteadministrator aus.
    • Profil: Wählen Sie "Benutzerdefiniert" und dann Erstellen aus.
  2. Geben Sie im Abschnitt Grundlagen einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den KonfigurationseinstellungenOMA-URI-Einstellung hinzufügen aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 0 ein, um die Datenschutzeinstellung zu deaktivieren (standardmäßig ist der Wert 1).
  4. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Konfigurieren des Datenschutzes für das Android Enterprise-Arbeitsprofil

Defender für Endpunkt unterstützt die Sicherheitsrisikobewertung von Apps im Arbeitsprofil. Falls Sie dieses Feature jedoch für Zielbenutzer deaktivieren möchten, können Sie die folgenden Schritte ausführen:

  1. Wechseln Sie Microsoft Intune Admin Center zuApp-Konfigurationsrichtlinien> \>Verwaltete Gerätehinzufügen>.
  2. Benennen Sie die Richtlinie; Plattform > Android Enterprise; Wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie DefenderTVMPrivacyMode als Schlüssel- und Werttyp als Integer hinzu.
    • Um die Sicherheitsanfälligkeit von Apps im Arbeitsprofil zu deaktivieren, geben Sie wert als 1 ein, und weisen Sie diese Richtlinie benutzern zu. Standardmäßig ist dieser Wert auf 0festgelegt.
    • Für Benutzer, deren Schlüssel als 0festgelegt ist, sendet Defender für Endpunkt die Liste der Apps aus dem Arbeitsprofil zur Sicherheitsrisikobewertung an den Back-End-Dienst.
  5. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Das Aktivieren oder Deaktivieren der oben genannten Datenschutzsteuerelemente wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzes für den Phishingwarnungsbericht

Die Datenschutzkontrolle für Phish-Berichte kann verwendet werden, um die Sammlung von Domänennamen oder Websiteinformationen im Bedrohungsbericht für Phish zu deaktivieren. Diese Einstellung gibt Organisationen die Flexibilität zu wählen, ob sie den Domänennamen erfassen möchten, wenn eine schädliche Website oder eine Phishing-Website erkannt und von Defender für Endpunkt blockiert wird.

Konfigurieren des Datenschutzberichts für Phishingwarnungen auf registrierten Geräten des Android-Geräteadministrators:

Führen Sie die folgenden Schritte aus, um es für Zielbenutzer zu aktivieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen, und geben Sie die folgenden Einstellungen ein:

    • Plattform: Wählen Sie Android-Geräteadministrator aus.
    • Profil: Wählen Sie "Benutzerdefiniert" und dann Erstellen aus.
  2. Geben Sie im Abschnitt Grundlagen einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den KonfigurationseinstellungenOMA-URI-Einstellung hinzufügen aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 1 ein, um die Datenschutzeinstellung zu aktivieren. Der Standardwert ist 0.
  4. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Die Verwendung dieser Datenschutzkontrolle wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzberichts für Phishingwarnungen im Android Enterprise-Arbeitsprofil

Führen Sie die folgenden Schritte aus, um den Datenschutz für Zielbenutzer im Arbeitsprofil zu aktivieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.
  2. Geben Sie der Richtlinie einen Namen( Platform > Android Enterprise), und wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie DefenderExcludeURLInReport als Schlüssel- und Werttyp als Integer hinzu.
    • Geben Sie 1 ein, um den Datenschutz zu aktivieren. Der Standardwert ist 0.
  5. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Das Aktivieren oder Deaktivieren der oben genannten Datenschutzsteuerelemente wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus.

Konfigurieren des Datenschutzberichts für Schadsoftware-Bedrohungen

Die Datenschutzkontrolle für den Bericht über Schadsoftware-Bedrohungen kann verwendet werden, um die Sammlung von App-Details (Name und Paketinformationen) aus dem Bericht zur Bedrohung durch Schadsoftware zu deaktivieren. Diese Einstellung gibt Organisationen die Flexibilität zu wählen, ob sie den App-Namen erfassen möchten, wenn eine schädliche App erkannt wird.

Konfigurieren des Datenschutzberichts für Schadsoftwarewarnungen auf registrierten Geräten des Android-Geräteadministrators:

Führen Sie die folgenden Schritte aus, um es für Zielbenutzer zu aktivieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen, und geben Sie die folgenden Einstellungen ein:

    • Plattform: Wählen Sie Android-Geräteadministrator aus.
    • Profil: Wählen Sie "Benutzerdefiniert" und dann Erstellen aus.
  2. Geben Sie im Abschnitt Grundlagen einen Namen und eine Beschreibung des Profils an.

  3. Wählen Sie in den KonfigurationseinstellungenOMA-URI-Einstellung hinzufügen aus:

    • Name: Geben Sie einen eindeutigen Namen und eine Beschreibung für diese OMA-URI-Einstellung ein, damit Sie sie später leicht finden können.
    • OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
    • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
    • Wert: Geben Sie 1 ein, um die Datenschutzeinstellung zu aktivieren. Der Standardwert ist 0.
  4. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Die Verwendung dieser Datenschutzkontrolle wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus. Beispielsweise haben Geräte mit einer schädlichen App immer die Risikostufe "Mittel".

Konfigurieren des Datenschutzberichts für Schadsoftwarewarnungen im Android Enterprise-Arbeitsprofil

Führen Sie die folgenden Schritte aus, um den Datenschutz für Zielbenutzer im Arbeitsprofil zu aktivieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.
  2. Geben Sie der Richtlinie einen Namen( Platform > Android Enterprise), und wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie DefenderExcludeAppInReport als Schlüssel- und Werttyp als Integer hinzu.
    • Geben Sie 1 ein, um den Datenschutz zu aktivieren. Der Standardwert ist 0.
  5. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten/Benutzern zu.

Die Verwendung dieser Datenschutzkontrolle wirkt sich nicht auf die Gerätekonformitätsprüfung oder den bedingten Zugriff aus. Beispielsweise haben Geräte mit einer schädlichen App immer die Risikostufe "Mittel".

Deaktivieren der Abmeldung

Defender für Endpunkt unterstützt die Bereitstellung ohne die Abmeldeschaltfläche in der App, um zu verhindern, dass sich Benutzer von der Defender-App abmelden. Dies ist wichtig, um zu verhindern, dass Benutzer das Gerät manipulieren. Führen Sie die folgenden Schritte aus, um die Abmeldung deaktivieren zu konfigurieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.
  2. Geben Sie der Richtlinie einen Namen, wählen Sie Plattform > Android Enterprise aus, und wählen Sie den Profiltyp aus.
  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.
  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie Abmelden deaktivieren als Schlüssel und Ganze Zahl als Werttyp hinzu.
    • Standardmäßig deaktivieren Sie Abmelden = 1 für persönliche Android Enterprise-Arbeitsprofile, vollständig verwaltete, unternehmenseigene persönlich aktivierte Profile und 0 für den Geräteadministratormodus.
    • Administratoren müssen Abmelden deaktivieren = 0 festlegen, um die Abmeldeschaltfläche in der App zu aktivieren. Benutzern wird die Abmeldeschaltfläche angezeigt, sobald die Richtlinie gepusht wurde.
  5. Wählen Sie Weiter aus, und weisen Sie dieses Profil Zielgeräten und Benutzern zu.

Wichtig

Dieses Feature befindet sich in der öffentlichen Vorschau. Die folgenden Informationen beziehen sich auf vorab freigegebene Produkte, die vor der kommerziellen Veröffentlichung wesentlich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Gerätetagging

Defender für Endpunkt unter Android ermöglicht das Massenmarkieren der mobilen Geräte während des Onboardings, indem administratoren Tags über Intune einrichten können. Admin können die Gerätetags über Intune über Konfigurationsrichtlinien konfigurieren und auf die Geräte des Benutzers pushen. Nachdem der Benutzer Defender installiert und aktiviert hat, übergibt die Client-App die Gerätetags an das Sicherheitsportal. Die Gerätetags werden für die Geräte im Gerätebestand angezeigt.

Führen Sie die folgenden Schritte aus, um die Gerätetags zu konfigurieren:

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.

  2. Geben Sie der Richtlinie einen Namen, wählen Sie Plattform > Android Enterprise aus, und wählen Sie den Profiltyp aus.

  3. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.

  4. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie DefenderDeviceTag als Schlüssel und Werttyp als Zeichenfolge hinzu.

    • Admin können ein neues Tag zuweisen, indem Sie den Schlüssel DefenderDeviceTag hinzufügen und einen Wert für das Gerätetag festlegen.
    • Admin können ein vorhandenes Tag bearbeiten, indem sie den Wert des Schlüssels DefenderDeviceTag ändern.
    • Admin können ein vorhandenes Tag löschen, indem sie den Schlüssel DefenderDeviceTag entfernen.
  5. Klicken Sie auf Weiter, und weisen Sie diese Richtlinie Zielgeräten und Benutzern zu.

Hinweis

Die Defender-App muss geöffnet werden, damit Tags mit Intune synchronisiert und an das Sicherheitsportal übergeben werden. Es kann bis zu 18 Stunden dauern, bis Tags im Portal angezeigt werden.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.