Configurare Microsoft Defender per endpoint nei segnali di rischio Android usando i criteri di protezione delle app (MAM)

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Microsoft Defender per endpoint in Android, che protegge già gli utenti aziendali negli scenari MDM (Mobile Gestione dispositivi), ora estende il supporto a Gestione app mobili (MAM) per i dispositivi che non sono registrati con Intune gestione dei dispositivi mobili (MDM). Estende anche questo supporto ai clienti che usano altre soluzioni di gestione della mobilità aziendale, pur usando Intune per la gestione delle applicazioni mobili (MAM). Questa funzionalità consente di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione.

Microsoft Defender per endpoint informazioni sulle minacce Android vengono applicate dai criteri di protezione delle app Intune per proteggere queste app. Protezione di app criteri (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. A un'applicazione gestita sono applicati criteri di protezione delle app e possono essere gestiti da Intune.

Microsoft Defender per endpoint in Android supporta entrambe le configurazioni di MAM.

• Intune MDM + MAM: gli amministratori IT possono gestire le app solo usando i criteri di protezione delle app nei dispositivi registrati con Intune gestione dei dispositivi mobili (MDM).
• MAM senza registrazione del dispositivo: MAM senza registrazione del dispositivo o MAM-WE consente agli amministratori IT di gestire le app usando i criteri di protezione delle app nei dispositivi non registrati con Intune MDM. Questo provisioning significa che le app possono essere gestite da Intune nei dispositivi registrati con provider EMM di terze parti. Per gestire le app in entrambe queste configurazioni, i clienti devono usare Intune nell'interfaccia di amministrazione Microsoft Intune.

Per abilitare questa funzionalità, un amministratore deve configurare la connessione tra Microsoft Defender per endpoint e Intune, creare i criteri di protezione delle app e applicare i criteri ai dispositivi e alle applicazioni di destinazione.

Gli utenti finali devono anche eseguire operazioni per installare Microsoft Defender per endpoint nel dispositivo e attivare il flusso di onboarding.

prerequisiti Amministrazione

• Verificare che il Microsoft Defender per Endpoint-Intune connettore sia abilitato.

  a. Vai a security.microsoft.com.

  b. Selezionare Impostazioni Endpoint >> Funzionalità > avanzate Microsoft Intune Connessione attivata.

  c. Se la connessione non è attivata, selezionare l'interruttore per attivarla e quindi selezionare Salva preferenze.

  

  d. Passare all'interfaccia di amministrazione di Microsoft Intune e verificare se Microsoft Defender per Endpoint-Intune connettore è abilitato.

  

• Abilitare Microsoft Defender per endpoint in Android Connector per i criteri di protezione delle app .

  Configurare il connettore in Microsoft Intune per i criteri di Protezione di app:

  a. Passare a Connettori e token > di amministrazione > tenant Microsoft Defender per endpoint.

  b. Attivare l'interruttore per i criteri di protezione delle app per Android (come illustrato nello screenshot seguente).

  c. Selezionare Salva.

  

• Create criteri di protezione delle app.

  Bloccare l'accesso o cancellare i dati di un'app gestita in base ai segnali di rischio Microsoft Defender per endpoint creando criteri di protezione delle app.

  Microsoft Defender per endpoint può essere configurato per inviare segnali di minaccia da usare nei criteri di protezione delle app (APP, noto anche come MAM). Con questa funzionalità è possibile usare Microsoft Defender per endpoint per proteggere le app gestite.

  1. Create un criterio.

     Protezione di app criteri (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app.

     

  2. Aggiungere app.

     a. Scegliere come applicare questo criterio alle app in dispositivi diversi. Aggiungere quindi almeno un'app.

     Utilizzare questa opzione per specificare se questo criterio si applica ai dispositivi non gestiti. In Android è possibile specificare che i criteri si applicano ai dispositivi Android Enterprise, Device Amministrazione o Non gestiti. È anche possibile scegliere di indirizzare i criteri alle app nei dispositivi con qualsiasi stato di gestione.

     Poiché la gestione delle app per dispositivi mobili non richiede la gestione dei dispositivi, è possibile proteggere i dati aziendali nei dispositivi gestiti e non gestiti. La gestione è incentrata sull'identità utente, che elimina il requisito per la gestione dei dispositivi. Le aziende possono usare contemporaneamente i criteri di protezione delle app con o senza MDM. Si consideri, ad esempio, un dipendente che usa sia un telefono emesso dall'azienda che il proprio tablet personale. Il telefono aziendale viene registrato in MDM e protetto dai criteri di protezione delle app, mentre il dispositivo personale è protetto solo dai criteri di protezione delle app.

     b. Selezionare App.

     Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e può essere gestita da Intune. Qualsiasi app integrata con l'SDK Intune o di cui è stato eseguito il wrapping dal Intune App Wrapping Tool può essere gestita usando Intune criteri di protezione delle app. Vedere l'elenco ufficiale delle app Microsoft Intune protette compilate con questi strumenti e disponibili per l'uso pubblico.

     Esempio: Outlook come app gestita

     

  3. Impostare i requisiti di sicurezza di accesso per i criteri di protezione.

     Selezionare Impostazione > livello di minaccia massimo consentito del dispositivo in Condizioni del dispositivo e immettere un valore. Selezionare quindi Azione: "Blocca accesso". Microsoft Defender per endpoint in Android condivide questo livello di minaccia del dispositivo.

     

• Assegnare gruppi di utenti a cui devono essere applicati i criteri.

  Selezionare Gruppi inclusi. Aggiungere quindi i gruppi pertinenti.

  

Nota

Se un criterio di configurazione deve essere destinato ai dispositivi non registrazione, è consigliabile distribuire le impostazioni di configurazione generale dell'app in App gestite anziché usare dispositivi gestiti.

Quando si distribuiscono i criteri di configurazione delle app nei dispositivi, possono verificarsi problemi quando più criteri hanno valori diversi per la stessa chiave di configurazione e sono destinati alla stessa app e allo stesso utente. Questi problemi sono dovuti alla mancanza di un meccanismo di risoluzione dei conflitti per la risoluzione dei diversi valori. È possibile evitare questi problemi assicurando che solo un singolo criterio di configurazione dell'app per i dispositivi sia definito e destinato alla stessa app e allo stesso utente.

Prerequisiti dell'utente finale

• L'app broker deve essere installata.

  • Portale aziendale di Intune

• Gli utenti hanno le licenze necessarie per l'app gestita e l'app è installata.

Onboarding dell'utente finale

1. Accedere a un'applicazione gestita, ad esempio Outlook. Il dispositivo viene registrato e i criteri di protezione dell'applicazione sono sincronizzati con il dispositivo. I criteri di protezione delle applicazioni riconoscono lo stato di integrità del dispositivo.

2. Selezionare Continua. Viene visualizzata una schermata che consiglia di scaricare e configurare Microsoft Defender per endpoint nell'app Android.

3. Selezionare Scarica. Sarai reindirizzato all'app store (Google Play).

4. Installare l'app Microsoft Defender per endpoint (mobile) e avviare nuovamente la schermata di onboarding dell'app gestita.

   

5. Fare clic su Continua > avvio. Viene avviato il flusso di onboarding/attivazione dell'app Microsoft Defender per endpoint. Seguire i passaggi per completare l'onboarding. Si verrà reindirizzati automaticamente alla schermata di onboarding dell'app gestita, che ora indica che il dispositivo è integro.

6. Selezionare Continua per accedere all'applicazione gestita.

Configurare la protezione Web

Defender per endpoint in Android consente agli amministratori IT di configurare la protezione Web. La protezione Web è disponibile all'interno dell'interfaccia di amministrazione Microsoft Intune.

La protezione Web consente di proteggere i dispositivi dalle minacce Web e proteggere gli utenti dagli attacchi di phishing. Si noti che gli indicatori personalizzati e anti-phishing (URL e indirizzi IP) sono supportati come parte della protezione Web. Il filtro dei contenuti Web non è attualmente supportato nelle piattaforme per dispositivi mobili.

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.

2. Assegnare un nome al criterio.

3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.

4. Nella pagina Impostazioni , in Impostazioni di configurazione generale, aggiungere le chiavi seguenti e impostarne il valore in base alle esigenze.

   • Antiphishing
   • Vpn

   Per disabilitare la protezione Web, immettere 0 per i valori di antiphishing e VPN.

   Per disabilitare solo l'uso della VPN da parte della protezione Web, immettere questi valori:

   • 0 per vpn
   • 1 per antiphishing

   Aggiungere la chiave DefenderMAMConfigs e impostare il valore su 1.

5. Assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.

6. Esaminare e creare i criteri.

Configurare protezione di rete

1. Nell Microsoft Intune a interfaccia di amministrazione passare aCriteri di configurazione dell'appper le app>. Create un nuovo criterio di configurazione dell'app. Fare clic su App gestite.

2. Specificare un nome e una descrizione per identificare in modo univoco i criteri. Impostare come destinazione il criterio "App selezionate" e cercare "endpoint Microsoft Defender per Android". Fare clic sulla voce, quindi su Seleziona e quindi su Avanti.

3. Aggiungere la chiave e il valore dalla tabella seguente. Assicurarsi che la chiave "DefenderMAMConfigs" sia presente in ogni criterio creato usando la route di App gestite. Per la route dei dispositivi gestiti, questa chiave non deve esistere. Al termine, fare clic su Avanti.

   Chiave	Tipo valore	Impostazione predefinita (true-enable, false-disable)	Descrizione
   DefenderNetworkProtectionEnable	Numero intero	0	1 - Abilita, 0 - Disabilita; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare le funzionalità di protezione della rete nell'app defender.
   DefenderAllowlistedCACertificates	Stringa	Nessuno	None-Disable; Questa impostazione viene usata dagli amministratori IT per stabilire l'attendibilità per la CA radice e i certificati autofirmati.
   DefenderCertificateDetection	Numero intero	0	2-Enable, 1 - Audit mode, 0 - Disable; Quando questa funzionalità è abilitata con valore 2, le notifiche dell'utente finale vengono inviate all'utente quando Defender rileva un certificato non valido. Gli avvisi vengono inviati anche agli amministratori soc. In modalità di controllo (1), gli avvisi di notifica vengono inviati agli amministratori soc, ma non vengono visualizzate notifiche dell'utente finale all'utente quando Defender rileva un certificato non valido. Gli amministratori possono disabilitare questo rilevamento con 0 come valore e abilitare la funzionalità completa impostando 2 come valore.
   DefenderOpenNetworkDetection	Numero intero	0	2-Enable, 1 - Audit mode, 0 - Disable; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare il rilevamento di rete aperto. Per impostazione predefinita, il rilevamento della rete aperta è disabilitato con valore 0 e Defender non invia notifiche o avvisi dell'utente finale agli amministratori soc nel portale di sicurezza. Se si passa alla modalità di controllo con valore 1, l'avviso di notifica viene inviato all'amministratore soc, ma non viene visualizzata alcuna notifica dell'utente finale all'utente quando Defender rileva una rete aperta. Se è abilitato con il valore 2, viene visualizzata la notifica dell'utente finale e vengono inviati avvisi anche agli amministratori soc.
   DefenderEndUserTrustFlowEnable	Numero intero	0	1 - Abilita, 0 - Disabilita; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare l'esperienza dell'utente finale in-app per considerare attendibili e non attendibili le reti non sicure e sospette.
   DefenderNetworkProtectionAutoRemediation	Numero intero	1	1 - Abilita, 0 - Disabilita; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare gli avvisi di correzione inviati quando un utente esegue attività di correzione, ad esempio il passaggio a punti di accesso più sicuri Wi-Fi o l'eliminazione di certificati sospetti rilevati da Defender.
   DefenderNetworkProtectionPrivacy	Numero intero	1	1 - Abilita, 0 - Disabilita; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare la privacy nella protezione di rete. Se la privacy è disabilitata con il valore 0, viene visualizzato il consenso dell'utente per condividere i dati di wi-fi o certificati dannosi. Se lo stato è abilitato con valore 1, non viene visualizzato alcun consenso utente e non vengono raccolti dati dell'app.

4. Includere o escludere i gruppi a cui si vuole applicare il criterio. Procedere con la revisione e l'invio dei criteri.

Nota

Gli utenti devono abilitare l'autorizzazione per la posizione (che è un'autorizzazione facoltativa); in questo modo Defender per endpoint può analizzare le reti e avvisarle quando sono presenti minacce correlate al WiFi. Se l'autorizzazione per la posizione viene negata dall'utente, Defender per endpoint sarà in grado di fornire solo una protezione limitata dalle minacce di rete e proteggerà gli utenti solo da certificati non autorizzati.

Configurare i controlli della privacy

Gli amministratori possono usare la procedura seguente per abilitare la privacy e non raccogliere il nome di dominio, i dettagli dell'app e le informazioni di rete come parte del report di avviso per le minacce corrispondenti.

1. Nell Microsoft Intune a interfaccia di amministrazione passare a Criteri > di configurazione delle app > Aggiungere > app gestite.
2. Assegnare un nome al criterio.
3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
4. Nella pagina Impostazioni, in Impostazioni di configurazione generale, aggiungere DefenderExcludeURLInReport e DefenderExcludeAppInReport come chiavi e valore 1.
5. Aggiungere la chiave DefenderMAMConfigs e impostare il valore su 1.
6. Assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su 0.
7. Nella pagina Impostazioni, in Impostazioni di configurazione generale aggiungere DefenderExcludeURLInReport, DefenderExcludeAppInReport come chiavi e valore true.
8. Aggiungere la chiave DefenderMAMConfigs e impostare il valore su 1.
9. Assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.
10. Esaminare e creare i criteri.

Autorizzazioni facoltative

Microsoft Defender per endpoint in Android abilita le autorizzazioni facoltative nel flusso di onboarding. Attualmente le autorizzazioni necessarie per MDE sono obbligatorie nel flusso di onboarding. Con questa funzionalità, l'amministratore può distribuire MDE nei dispositivi Android con criteri MAM senza applicare le autorizzazioni di accesso facilitato e VPN obbligatorie durante l'onboarding. Gli utenti finali possono eseguire l'onboarding dell'app senza le autorizzazioni obbligatorie e successivamente esaminarle.

Configurare l'autorizzazione facoltativa

Usare la procedura seguente per abilitare autorizzazioni facoltative per i dispositivi.

1. Nell Microsoft Intune a interfaccia di amministrazione passare a Criteri > di configurazione delle app > Aggiungere > app gestite.

2. Assegnare un nome al criterio.

3. Selezionare Microsoft Defender per endpoint nelle app pubbliche.

4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e DefenderOptionalVPN o DefenderOptionalAccessibility o entrambi come chiave.

5. Aggiungere la chiave DefenderMAMConfigs e impostare il valore su 1.

6. Per abilitare Autorizzazioni facoltative, immettere il valore 1 e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su 0.

   Per gli utenti con chiave impostata su 1, saranno in grado di eseguire l'onboarding dell'app senza concedere queste autorizzazioni.

7. Nella pagina Impostazioni selezionare Usa progettazione configurazione e DefenderOptionalVPN o DefenderOptionalAccessibility oppure entrambi come tipo chiave e valore come booleano.

8. Aggiungere la chiave DefenderMAMConfigs e impostare il valore su 1.

9. Per abilitare Autorizzazioni facoltative, immettere il valore true e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.

   Per gli utenti con chiave impostata su true, gli utenti possono eseguire l'onboarding dell'app senza concedere queste autorizzazioni.

10. Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

Flusso utente

Gli utenti possono installare e aprire l'app per avviare il processo di onboarding.

1. Se un amministratore dispone di autorizzazioni facoltative di configurazione, gli utenti possono scegliere di ignorare l'autorizzazione VPN o accessibilità oppure entrambi e completare l'onboarding.

2. Anche se l'utente ha ignorato queste autorizzazioni, il dispositivo è in grado di eseguire l'onboarding e verrà inviato un heartbeat.

3. Poiché le autorizzazioni sono disabilitate, la protezione Web non sarà attiva. Sarà parzialmente attiva se viene assegnata una delle autorizzazioni.

4. In seguito, gli utenti possono abilitare la protezione Web dall'interno dell'app. Verrà installata la configurazione VPN nel dispositivo.

Nota

L'impostazione Autorizzazioni facoltative è diversa dall'impostazione Disabilita protezione Web. Le autorizzazioni facoltative consentono solo di ignorare le autorizzazioni durante l'onboarding, ma è possibile che l'utente finale rivedi e abiliti in un secondo momento, mentre Disabilita la protezione Web consente agli utenti di eseguire l'onboarding dell'app Microsoft Defender per endpoint senza protezione Web. Non può essere abilitato in un secondo momento.

Disabilitare la disconnessione

Defender per endpoint consente di distribuire l'app e disabilitare il pulsante di disconnessione. Nascondendo il pulsante di disconnessione, agli utenti viene impedito di disconnettersi dall'app Defender. Questa azione consente di evitare manomissioni del dispositivo quando Defender per endpoint non è in esecuzione.

Seguire questa procedura per configurare l'opzione Disabilita disconnessione:

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.
2. Specificare un nome per il criterio.
3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
4. Nella pagina Impostazioni , in Impostazioni di configurazione generale, aggiungere DisableSignOut come chiave e impostare il valore su 1.
   • Per impostazione predefinita, Disabilita disconnessione = 0.
   • Amministrazione deve impostare Disabilita disconnessione = 1 per disabilitare il pulsante di disconnessione nell'app. Gli utenti non visualizzeranno il pulsante disconnettersi dopo il push dei criteri nel dispositivo.
5. Selezionare Avanti e assegnare questo profilo a utenti e dispositivi di destinazione.

Importante

Questa funzionalità è disponibile in anteprima pubblica. Le informazioni seguenti si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Assegnazione di tag ai dispositivi

Defender per endpoint in Android consente di contrassegnare in blocco i dispositivi mobili durante l'onboarding consentendo agli amministratori di configurare i tag tramite Intune. Amministrazione possibile configurare i tag del dispositivo tramite Intune tramite criteri di configurazione ed eseguirne il push nei dispositivi dell'utente. Dopo che l'utente installa e attiva Defender, l'app client passa i tag del dispositivo al portale di sicurezza. I tag Dispositivo vengono visualizzati nei dispositivi nell'inventario dei dispositivi.

Per configurare i tag dispositivo, seguire questa procedura:

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.

2. Specificare un nome per il criterio.

3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.

4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderDeviceTag come chiave e tipo di valore come String.

   • Amministrazione possibile assegnare un nuovo tag aggiungendo la chiave DefenderDeviceTag e impostando un valore per il tag del dispositivo.
   • Amministrazione possibile modificare un tag esistente modificando il valore della chiave DefenderDeviceTag.
   • Amministrazione possibile eliminare un tag esistente rimuovendo la chiave DefenderDeviceTag.

5. Fare clic su Avanti e assegnare questo criterio a utenti e dispositivi di destinazione.

Nota

L'app Defender deve essere aperta affinché i tag vengano sincronizzati con Intune e passati al portale di sicurezza. La riflessione dei tag nel portale può richiedere fino a 18 ore.

Argomenti correlati

• Panoramica di Microsoft Defender per Endpoint su Android

• Distribuzione di Microsoft Defender per Endpoint per Android con Microsoft Intune

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.