Configurer Microsoft Defender pour point de terminaison sur les signaux de risque Android à l’aide de stratégies de protection des applications (GAM)

  • Article

S’applique à :

Microsoft Defender pour point de terminaison sur Android, qui protège déjà les utilisateurs d’entreprise sur les scénarios de Gestion des appareils mobiles (GPM), étend désormais la prise en charge de la gestion des applications mobiles (GAM) pour les appareils qui ne sont pas inscrits à l’aide de Intune gestion des appareils mobiles (GPM). Il étend également cette prise en charge aux clients qui utilisent d’autres solutions de gestion de la mobilité d’entreprise, tout en utilisant Intune pour la gestion des applications mobiles (GAM). Cette fonctionnalité vous permet de gérer et de protéger les données de votre organization au sein d’une application.

Microsoft Defender pour point de terminaison sur les informations sur les menaces Android est appliquée par Intune stratégies de protection des applications pour protéger ces applications. Les stratégies de protection des applications (APP) sont des règles qui garantissent que les données d’une organisation sont sécurisées ou restent dans une application managée. Des stratégies de protection des applications sont appliquées à une application gérée et peuvent être gérées par Intune.

Microsoft Defender pour point de terminaison sur Android prend en charge les deux configurations de mam.

  • Intune GPM + GAM : les administrateurs informatiques peuvent uniquement gérer les applications à l’aide de stratégies de protection des applications sur les appareils inscrits auprès de Intune gestion des appareils mobiles (GPM).
  • GAM sans inscription d’appareil : mam sans inscription d’appareil, ou MAM-WE, permet aux administrateurs informatiques de gérer les applications à l’aide de stratégies de protection des applications sur les appareils non inscrits avec Intune GPM. Cette configuration signifie que les applications peuvent être gérées par Intune sur des appareils inscrits auprès de fournisseurs EMM tiers. Pour gérer les applications dans ces deux configurations, les clients doivent utiliser Intune dans le centre d’administration Microsoft Intune.

Pour activer cette fonctionnalité, un administrateur doit configurer la connexion entre Microsoft Defender pour point de terminaison et Intune, créer la stratégie de protection des applications et appliquer la stratégie sur les appareils et applications ciblés.

Les utilisateurs finaux doivent également prendre des mesures pour installer Microsoft Defender pour point de terminaison sur leur appareil et activer le flux d’intégration.

Administration prérequis

  • Vérifiez que le Microsoft Defender pour Endpoint-Intune connecteur est activé.

    a. Allez à security.microsoft.com.

    b. Sélectionnez Paramètres > Points de terminaison Fonctionnalités > avancées > Microsoft Intune La connexion est activée.

    c. Si la connexion n’est pas activée, sélectionnez le bouton bascule pour l’activer, puis sélectionnez Enregistrer les préférences.

    Section Fonctionnalités avancées dans le portail Microsoft Defender.

    d. Accédez au Centre d’administration Microsoft Intune et vérifiez si Microsoft Defender pour Endpoint-Intune connecteur est activé.

    Volet status intune-connector dans le portail Microsoft Defender.

  • Activez Microsoft Defender pour point de terminaison sur le connecteur Android pour la stratégie de protection des applications (APP).

    Configurez le connecteur sur Microsoft Intune pour les stratégies Protection d'applications :

    a. Accédez à l’Microsoft Defender pour point de terminaison Connecteurs et jetons d’administration > du > locataire.

    b. Activez le bouton bascule pour la stratégie de protection des applications pour Android (comme illustré dans la capture d’écran suivante).

    c. Sélectionnez Enregistrer.

    Volet des paramètres de l’application dans le portail Microsoft Defender.

  • Create une stratégie de protection des applications.

    Bloquer l’accès ou réinitialiser les données d’une application managée en fonction de Microsoft Defender pour point de terminaison signaux de risque en créant une stratégie de protection des applications.

    Microsoft Defender pour point de terminaison pouvez être configuré pour envoyer des signaux de menace à utiliser dans les stratégies de protection des applications (APP, également appelée GAM). Avec cette fonctionnalité, vous pouvez utiliser Microsoft Defender pour point de terminaison pour protéger les applications gérées.

    1. Create une stratégie.

      Les stratégies de protection des applications (APP) sont des règles qui garantissent que les données d’une organisation sont sécurisées ou restent dans une application managée. Une stratégie peut être une règle qui est appliquée lorsque l’utilisateur tente d’accéder à des données « d’entreprise » ou de les déplacer, ou s’il tente un ensemble d’actions interdites ou surveillées lorsqu’il se trouve dans l’application.

      Onglet Stratégie Create dans la page stratégies de Protection d'applications du portail Microsoft Defender.

    2. Ajouter des applications.

      a. Choisissez la façon dont vous souhaitez appliquer cette stratégie aux applications sur différents appareils. Ajoutez ensuite au moins une application.

      Utilisez cette option pour spécifier si cette stratégie s’applique aux appareils non gérés. Dans Android, vous pouvez spécifier que la stratégie s’applique aux appareils Android Entreprise, Device Administration ou Non managés. Vous pouvez également choisir de cibler votre stratégie sur des applications sur des appareils de n’importe quel état de gestion.

      Étant donné que la gestion des applications mobiles ne nécessite pas de gestion des appareils, vous pouvez protéger les données d’entreprise à la fois sur les appareils gérés et non gérés. La gestion est centrée autour de l’identité de l’utilisateur, ce qui supprime la nécessité de gérer les appareils. Les entreprises peuvent utiliser des stratégies de protection des applications avec ou sans GPM en même temps. Considérons, par exemple, un employé qui utilise à la fois un téléphone fourni par l’entreprise et sa propre tablette personnelle. Le téléphone de l’entreprise est inscrit dans la gestion des appareils mobiles (MAM) et protégé par des stratégies de protection des applications, tandis que l’appareil personnel est protégé uniquement par des stratégies de protection des applications.

      b. Sélectionner les applications.

      Une application gérée est une application à laquelle des stratégies de protection d’application sont appliquées et pouvant être gérée par Intune. Toute application qui a été intégrée au Kit de développement logiciel (SDK) Intune ou encapsulée par le Intune App Wrapping Tool peut être gérée à l’aide de Intune stratégies de protection des applications. Voir la liste officielle des applications protégées Microsoft Intune qui ont été construites à l'aide de ces outils et sont disponibles pour un usage public.

      Exemple : Outlook en tant qu’application managée

      Volet Applications publiques dans le portail Microsoft Defender.

    3. Définissez les exigences de sécurité de connexion pour votre stratégie de protection.

      Sélectionnez Définition du > niveau maximal de menace d’appareil autorisé dans Conditions de l’appareil et entrez une valeur. Sélectionnez ensuite Action : « Bloquer l’accès ». Microsoft Defender pour point de terminaison sur Android partage ce niveau de menace d’appareil.

      Volet Conditions de l’appareil dans le portail Microsoft Defender

  • Affectez des groupes d’utilisateurs pour lesquels la stratégie doit être appliquée.

    Sélectionnez Groupes inclus. Ajoutez ensuite les groupes appropriés.

    Volet Groupes inclus dans le portail Microsoft Defender.

Remarque

Si une stratégie de configuration doit cibler des appareils non inscrits (GAM), il est recommandé de déployer les paramètres de configuration d’application généraux dans applications gérées au lieu d’utiliser des appareils gérés.

Lors du déploiement de stratégies de configuration d’application sur des appareils, des problèmes peuvent se produire lorsque plusieurs stratégies ont des valeurs différentes pour la même clé de configuration et sont ciblées pour la même application et le même utilisateur. Ces problèmes sont dus à l’absence d’un mécanisme de résolution des conflits pour résoudre les différentes valeurs. Vous pouvez éviter ces problèmes en vous assurant qu’une seule stratégie de configuration d’application pour les appareils est définie et ciblée pour la même application et le même utilisateur.

Prérequis pour l’utilisateur final

  • L’application broker doit être installée.

    • Portail d’entreprise Intune

  • Les utilisateurs disposent des licences requises pour l’application gérée et de l’installation de l’application.

Intégration des utilisateurs finaux

  1. Connectez-vous à une application managée, par exemple Outlook. L’appareil est inscrit et la stratégie de protection des applications est synchronisée avec l’appareil. La stratégie de protection des applications reconnaît l’état d’intégrité de l’appareil.

  2. Cliquez sur Continuer. Un écran s’affiche pour recommander le téléchargement et la configuration de Microsoft Defender pour point de terminaison sur l’application Android.

  3. Sélectionnez Télécharger. Vous êtes redirigé vers l’App Store (Google Play).

  4. Installez l’application Microsoft Defender pour point de terminaison (mobile) et lancez l’écran Intégration des applications gérées.

    Les pages d’illustration qui contiennent la procédure de téléchargement de MDE et de lancement de l’écran d’intégration des applications.

  5. Cliquez sur Continuer > le lancement. Le flux d’intégration/d’activation de l’application Microsoft Defender pour point de terminaison est lancé. Suivez les étapes pour terminer l’intégration. Vous êtes automatiquement redirigé vers l’écran d’intégration des applications gérées, qui indique désormais que l’appareil est sain.

  6. Sélectionnez Continuer pour vous connecter à l’application managée.

Configurer la protection web

Defender pour point de terminaison sur Android permet aux administrateurs informatiques de configurer la protection web. La protection web est disponible dans le centre d’administration Microsoft Intune.

La protection web permet de sécuriser les appareils contre les menaces web et de protéger les utilisateurs contre les attaques par hameçonnage. Notez que les indicateurs anti-hameçonnage et personnalisés (URL et adresses IP) sont pris en charge dans le cadre de la protection web. Le filtrage de contenu web n’est actuellement pas pris en charge sur les plateformes mobiles.

  1. Dans le Centre d’administration Microsoft Intune, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.

  2. Donner à la stratégie un nom.

  3. Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.

  4. Dans la page Paramètres , sous Paramètres de configuration générale, ajoutez les clés suivantes et définissez leur valeur en fonction des besoins.

    • Antiphishing
    • VPN

    Pour désactiver la protection web, entrez 0 pour les valeurs antiphishing et VPN.

    Pour désactiver uniquement l’utilisation du VPN par la protection web, entrez les valeurs suivantes :

    • 0 pour vpn
    • 1 pour l’antiphishing

    Ajoutez la clé DefenderMAMConfigs et définissez la valeur sur 1.

  5. Affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.

  6. Passez en revue et créez la stratégie.

Configurer la protection réseau

  1. Dans Microsoft Intune centre d’administration, accédez à Applications Stratégies>de configuration des applications. Create une nouvelle stratégie de configuration d’application. Cliquez sur Applications gérées.

  2. Fournissez un nom et une description pour identifier la stratégie de manière unique. Ciblez la stratégie sur « Applications sélectionnées » et recherchez « point de terminaison Microsoft Defender pour Android ». Cliquez sur l’entrée, puis sur Sélectionner , puis sur Suivant.

  3. Ajoutez la clé et la valeur du tableau suivant. Vérifiez que la clé « DefenderMAMConfigs » est présente dans chaque stratégie que vous créez à l’aide de l’itinéraire Managed Apps. Pour la route des appareils gérés, cette clé ne doit pas exister. Lorsque vous avez terminé, cliquez sur Suivant.

    Clé Type de valeur Par défaut (true-enable, false-disable) Description
    DefenderNetworkProtectionEnable Entier 0 1 - Activer, 0 - Désactiver ; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver les fonctionnalités de protection réseau dans l’application Defender.
    DefenderAllowlistedCACertificates Chaîne Aucune Aucune désactivation ; Ce paramètre est utilisé par les administrateurs informatiques pour établir une approbation pour l’autorité de certification racine et les certificats auto-signés.
    DefenderCertificateDetection Entier 0 2-Activer, 1 - Mode Audit, 0 - Désactiver ; Lorsque cette fonctionnalité est activée avec la valeur 2, des notifications à l’utilisateur final sont envoyées à l’utilisateur lorsque Defender détecte un certificat incorrect. Les alertes sont également envoyées aux administrateurs SOC. En mode audit (1), les alertes de notification sont envoyées aux administrateurs SOC, mais aucune notification de l’utilisateur final n’est affichée à l’utilisateur quand Defender détecte un certificat incorrect. Les administrateurs peuvent désactiver cette détection avec 0 comme valeur et activer toutes les fonctionnalités en définissant 2 comme valeur.
    DefenderOpenNetworkDetection Entier 0 2-Activer, 1 - Mode Audit, 0 - Désactiver ; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver la détection de réseau ouvert. Par défaut, la détection du réseau ouvert est désactivée avec la valeur 0 et defender n’envoie pas de notifications ou d’alertes à l’utilisateur final aux administrateurs SOC dans le portail de sécurité. Si vous passez en mode audit avec la valeur 1, l’alerte de notification est envoyée à l’administrateur SOC, mais aucune notification de l’utilisateur final n’est affichée à l’utilisateur quand defender détecte un réseau ouvert. S’il est activé avec la valeur 2, la notification de l’utilisateur final s’affiche et des alertes aux administrateurs SOC sont également envoyées.
    DefenderEndUserTrustFlowEnable Entier 0 1 - Activer, 0 - Désactiver ; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver l’expérience de l’utilisateur final dans l’application pour approuver et ne pas se fier aux réseaux non sécurisés et suspects.
    DefenderNetworkProtectionAutoRemediation Entier 1 1 - Activer, 0 - Désactiver ; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver les alertes de correction envoyées lorsqu’un utilisateur effectue des activités de correction, telles que le passage à des points d’accès Wi-Fi plus sûrs ou la suppression de certificats suspects détectés par Defender.
    DefenderNetworkProtectionPrivacy Entier 1 1 - Activer, 0 - Désactiver ; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver la confidentialité dans la protection du réseau. Si la confidentialité est désactivée avec la valeur 0, le consentement de l’utilisateur est affiché pour partager les données wifi ou de certificats malveillants. Si son état est activé avec la valeur 1, aucun consentement de l’utilisateur n’est affiché et aucune donnée d’application n’est collectée.

  4. Incluez ou excluez les groupes auxquels la stratégie doit s’appliquer. Passez à l’examen et à l’envoi de la stratégie.

Remarque

Les utilisateurs doivent activer l’autorisation d’emplacement (qui est une autorisation facultative) ; Cela permet à Defender pour point de terminaison d’analyser leurs réseaux et de les alerter en cas de menaces wi-fi. Si l’autorisation d’emplacement est refusée par l’utilisateur, Defender pour point de terminaison ne peut fournir qu’une protection limitée contre les menaces réseau et protéger uniquement les utilisateurs contre les certificats non autorisés.

Configurer les contrôles de confidentialité

Les administrateurs peuvent utiliser les étapes suivantes pour activer la confidentialité et ne pas collecter le nom de domaine, les détails de l’application et les informations réseau dans le cadre du rapport d’alerte pour les menaces correspondantes.

  1. Dans Microsoft Intune centre d’administration, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.
  2. Donner à la stratégie un nom.
  3. Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.
  4. Dans la page Paramètres, sous Paramètres de configuration généraux, ajoutez DefenderExcludeURLInReport et DefenderExcludeAppInReport comme clés et la valeur 1.
  5. Ajoutez la clé DefenderMAMConfigs et définissez la valeur sur 1.
  6. Affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur 0.
  7. Dans la page Paramètres, sous Paramètres de configuration généraux, ajoutez DefenderExcludeURLInReport, DefenderExcludeAppInReport comme clés et la valeur true.
  8. Ajoutez la clé DefenderMAMConfigs et définissez la valeur sur 1.
  9. Affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.
  10. Passez en revue et créez la stratégie.

Autorisations facultatives

Microsoft Defender pour point de terminaison sur Android active les autorisations facultatives dans le flux d’intégration. Actuellement, les autorisations requises par MDE sont obligatoires dans le flux d’intégration. Avec cette fonctionnalité, l’administrateur peut déployer des MDE sur des appareils Android avec des stratégies GAM sans appliquer les autorisations VPN et d’accessibilité obligatoires lors de l’intégration. Les utilisateurs finaux peuvent intégrer l’application sans les autorisations obligatoires et peuvent passer en revue ces autorisations ultérieurement.

Configurer une autorisation facultative

Procédez comme suit pour activer les autorisations facultatives pour les appareils.

  1. Dans Microsoft Intune centre d’administration, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.

  2. Donner à la stratégie un nom.

  3. Sélectionnez Microsoft Defender pour point de terminaison dans les applications publiques.

  4. Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et DefenderOptionalVPN ou DefenderOptionalAccessibility ou les deux comme clé.

  5. Ajoutez la clé DefenderMAMConfigs et définissez la valeur sur 1.

  6. Pour activer les autorisations facultatives, entrez la valeur 1 et affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur 0.

    Pour les utilisateurs dont la clé est définie sur 1, ils pourront intégrer l’application sans accorder ces autorisations.

  7. Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et DefenderOptionalVPN ou DefenderOptionalAccessibility , ou les deux comme type de clé et de valeur booléen.

  8. Ajoutez la clé DefenderMAMConfigs et définissez la valeur sur 1.

  9. Pour activer les autorisations facultatives, entrez la valeur true et affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.

    Pour les utilisateurs dont la clé est définie sur true, les utilisateurs peuvent intégrer l’application sans accorder ces autorisations.

  10. Sélectionnez Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

Flux utilisateur

Les utilisateurs peuvent installer et ouvrir l’application pour démarrer le processus d’intégration.

  1. Si un administrateur dispose d’autorisations facultatives, les utilisateurs peuvent choisir d’ignorer l’autorisation VPN ou d’accessibilité, ou les deux, et de terminer l’intégration.

  2. Même si l’utilisateur a ignoré ces autorisations, l’appareil peut l’intégrer et une pulsation est envoyée.

  3. Étant donné que les autorisations sont désactivées, la protection web n’est pas active. Il sera partiellement actif si l’une des autorisations est accordée.

  4. Plus tard, les utilisateurs pourront activer la protection web à partir de l’application. Cette opération installe la configuration VPN sur l’appareil.

Remarque

Le paramètre Autorisations facultatives est différent du paramètre Désactiver la protection web. Les autorisations facultatives permettent uniquement d’ignorer les autorisations lors de l’intégration, mais elles sont disponibles pour l’utilisateur final pour les examiner et les activer ultérieurement, tandis que Désactiver la protection web permet aux utilisateurs d’intégrer l’application Microsoft Defender pour point de terminaison sans la protection web. Il ne peut pas être activé ultérieurement.

Désactiver la déconnexion

Defender pour point de terminaison vous permet de déployer l’application et de désactiver le bouton de déconnexion. En masquant le bouton de déconnexion, les utilisateurs ne peuvent pas se déconnecter de l’application Defender. Cette action permet d’empêcher la falsification de l’appareil lorsque Defender pour point de terminaison n’est pas en cours d’exécution.

Procédez comme suit pour configurer la déconnexion Désactiver :

  1. Dans le Centre d’administration Microsoft Intune, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.
  2. Donnez un nom à la stratégie.
  3. Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.
  4. Dans la page Paramètres , sous Paramètres de configuration généraux, ajoutez DisableSignOut comme clé et définissez la valeur sur 1.
    • Par défaut, désactiver la déconnexion = 0.
    • Administration devez définir Désactiver la déconnexion = 1 pour désactiver le bouton de déconnexion dans l’application. Les utilisateurs ne verront pas le bouton de déconnexion une fois la stratégie envoyée à l’appareil.
  5. Sélectionnez Suivant et affectez ce profil aux appareils et utilisateurs ciblés.

Importante

Cette fonctionnalité est en préversion publique. Les informations suivantes concernent le produit pré-publié qui peut être modifié de manière substantielle avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Étiquetage des appareils

Defender pour point de terminaison sur Android permet de marquer en bloc les appareils mobiles pendant l’intégration en permettant aux administrateurs de configurer des étiquettes via Intune. Administration pouvez configurer les étiquettes d’appareil via Intune via des stratégies de configuration et les envoyer aux appareils de l’utilisateur. Une fois que l’utilisateur a installé et activé Defender, l’application cliente transmet les étiquettes d’appareil au portail de sécurité. Les étiquettes d’appareil s’affichent sur les appareils dans l’inventaire des appareils.

Procédez comme suit pour configurer les étiquettes d’appareil :

  1. Dans le Centre d’administration Microsoft Intune, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.

  2. Donnez un nom à la stratégie.

  3. Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.

  4. Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DefenderDeviceTag comme clé et type de valeur en tant que Chaîne.

    • Administration pouvez affecter une nouvelle balise en ajoutant la clé DefenderDeviceTag et en définissant une valeur pour balise d’appareil.
    • Administration pouvez modifier une balise existante en modifiant la valeur de la clé DefenderDeviceTag.
    • Administration pouvez supprimer une balise existante en supprimant la clé DefenderDeviceTag.

  5. Cliquez sur Suivant et affectez cette stratégie aux appareils et utilisateurs ciblés.

Remarque

L’application Defender doit être ouverte pour que les balises soient synchronisées avec Intune et transmises au portail de sécurité. La réflexion des étiquettes dans le portail peut prendre jusqu’à 18 heures.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.