Distribuzione di Microsoft Defender per Endpoint per Android con Microsoft Intune

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Informazioni su come distribuire Defender per endpoint in Android in dispositivi registrati Microsoft Intune Portale aziendale. Per altre informazioni su Microsoft Intune registrazione del dispositivo, vedere Registrare il dispositivo.

Nota

Defender per endpoint in Android è ora disponibile su Google Play

È possibile connettersi a Google Play da Microsoft Intune per distribuire l'app Defender per endpoint nelle modalità di registrazione Amministratore dispositivi e Android Enterprise.

Aggiornamenti all'app sono automatiche tramite Google Play.

Distribuire nei dispositivi registrati dall'amministratore del dispositivo

Informazioni su come distribuire Defender per endpoint in Android con Microsoft Intune Portale aziendale - Dispositivi registrati dall'amministratore del dispositivo.

Aggiungere come app android store

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare ad App>per Android Aggiungere>app> android store e scegliere Seleziona.

    Riquadro Aggiungi applicazione dell'archivio Android nel portale dell'interfaccia di amministrazione di Microsoft Intune

  2. Nella pagina Aggiungi app e nella sezione Informazioni sull'app immettere:

    Altri campi sono facoltativi. Selezionare Avanti.

    Pagina Aggiungi app che visualizza le informazioni sull'URL e sull'editore dell'applicazione nel portale dell'interfaccia di amministrazione Microsoft Intune

  3. Nella sezione Assegnazioni passare alla sezione Obbligatorio e selezionare Aggiungi gruppo. È quindi possibile scegliere i gruppi di utenti che si desidera assegnare a Defender per endpoint nell'app Android. Scegliere Seleziona e quindi Avanti.

    Nota

    Il gruppo di utenti selezionato deve essere costituito da Intune utenti registrati.

    Riquadro Aggiungi gruppo nella pagina Aggiungi app nel portale dell'interfaccia di amministrazione Microsoft Intune

  4. Nella sezione Rivedi+Create verificare che tutte le informazioni immesse siano corrette e quindi selezionare Create.

    In pochi istanti, l'app Defender per endpoint verrà creata correttamente e verrà visualizzata una notifica nell'angolo in alto a destra della pagina.

    Riquadro dello stato dell'applicazione nel portale dell'interfaccia di amministrazione Microsoft Intune

  5. Nella pagina delle informazioni sull'app visualizzata selezionare Stato di installazione del dispositivo nella sezione Monitoraggio per verificare che l'installazione del dispositivo sia stata completata correttamente.

    Pagina Stato installazione dispositivo nel portale di Microsoft Defender 365

Completare l'onboarding e controllare lo stato

  1. Dopo aver installato Defender per endpoint in Android nel dispositivo, verrà visualizzata l'icona dell'app.

    Icona Microsoft Defender ATP elencata nel riquadro Search

  2. Toccare l'icona Microsoft Defender per endpoint'app e seguire le istruzioni visualizzate per completare l'onboarding dell'app. I dettagli includono l'accettazione da parte dell'utente finale delle autorizzazioni Android richieste da Defender per endpoint in Android.

  3. Al termine dell'onboarding, il dispositivo inizierà a essere visualizzato nell'elenco Dispositivi nel portale di Microsoft Defender.

    Un dispositivo nel portale di Microsoft Defender per endpoint

Distribuire nei dispositivi registrati Android Enterprise

Defender per endpoint in Android supporta i dispositivi registrati android enterprise.

Per altre informazioni sulle opzioni di registrazione supportate da Microsoft Intune, vedere Opzioni di registrazione.

Attualmente, i dispositivi di proprietà personale con profilo di lavoro e le registrazioni dei dispositivi utente completamente gestiti di proprietà dell'azienda sono supportati per la distribuzione.

Aggiungere Microsoft Defender per endpoint in Android come app Google Play gestita

Seguire la procedura seguente per aggiungere Microsoft Defender per endpoint'app in Google Play gestito.

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare ad AppAndroid Apps Add (App>Android)> e selezionare Managed Google Play app (App Google Play gestita).

    Riquadro di aggiunta di applicazioni nel portale dell'interfaccia di amministrazione Microsoft Intune

  2. Nella pagina Google Play gestita che viene caricata successivamente, passare alla casella di ricerca e immettere Microsoft Defender. La ricerca dovrebbe visualizzare l'app Microsoft Defender per endpoint in Google Play gestito. Fare clic sull'app Microsoft Defender per endpoint dal risultato della ricerca app.

    Pagina Google Play gestita nel portale dell'interfaccia di amministrazione di Microsoft Intune

  3. Nella pagina descrizione dell'app che verrà visualizzata successivamente dovrebbe essere possibile visualizzare i dettagli dell'app in Defender per endpoint. Esaminare le informazioni nella pagina e quindi selezionare Approva.

    Pagina di Google Play gestito nel portale dell'interfaccia di amministrazione Microsoft Intune

  4. Verranno visualizzate le autorizzazioni che Defender per endpoint ottiene per il funzionamento. Esaminarli e quindi selezionare Approva.

    Pagina di approvazione delle autorizzazioni nel portale di Microsoft Defender 365

  5. Verrà visualizzata la pagina Impostazioni approvazione. La pagina conferma la preferenza per gestire le nuove autorizzazioni dell'app che potrebbero essere richieste da Defender per endpoint in Android. Esaminare le opzioni e selezionare l'opzione preferita. Scegliere Fine.

    Per impostazione predefinita, Google Play gestito seleziona Mantieni approvato quando l'app richiede nuove autorizzazioni.

    Pagina di completamento della configurazione delle impostazioni di approvazione nel portale di Microsoft Defender 365

  6. Dopo aver selezionato la gestione delle autorizzazioni, selezionare Sincronizza per sincronizzare Microsoft Defender per endpoint all'elenco delle app.

    Riquadro Sincronizzazione nel portale di Microsoft Defender 365

  7. La sincronizzazione verrà completata tra pochi minuti.

    Riquadro dello stato di sincronizzazione dell'applicazione nella pagina App Android nel portale di Microsoft Defender 365

  8. Selezionare il pulsante Aggiorna nella schermata delle app Android e Microsoft Defender per endpoint dovrebbe essere visibile nell'elenco delle app.

    Pagina che visualizza l'applicazione sincronizzata

  9. Defender per endpoint supporta i criteri di configurazione delle app per i dispositivi gestiti tramite Microsoft Intune. Questa funzionalità può essere sfruttata per selezionare configurazioni diverse per Defender.

    1. Nella pagina App passare a Criteri > di configurazione > delle app Aggiungere > dispositivi gestiti.

      Riquadro Criteri di configurazione dell'app nel portale dell'interfaccia di amministrazione Microsoft Intune

    2. Nella pagina Create criteri di configurazione dell'app immettere i dettagli seguenti:

      • Nome: Microsoft Defender per endpoint.
      • Scegliere Android Enterprise come piattaforma.
      • Scegliere Solo profilo di lavoro di proprietà personale o Profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda solo come tipo di profilo.
      • Fare clic su Seleziona app, scegliere Microsoft Defender, selezionare OK e quindi Avanti.

      Screenshot del riquadro dei dettagli dell'app associata.

    3. Selezionare Autorizzazioni>Aggiungi. Nell'elenco selezionare le autorizzazioni > dell'app disponibili OK.

    4. Selezionare un'opzione per ogni autorizzazione da concedere con questo criterio:

      • Prompt : richiede all'utente di accettare o negare.
      • Concessione automatica : approva automaticamente senza notificare l'utente.
      • Nega automaticamente : nega automaticamente senza notifica all'utente.

    5. Passare alla sezione Impostazioni di configurazione e scegliere 'Usa progettazione configurazione' nel formato Impostazioni di configurazione.

      Immagine dei criteri di configurazione delle app di creazione android.

    6. Fare clic su Aggiungi per visualizzare un elenco di configurazioni supportate. Selezionare la configurazione necessaria e fare clic su OK.

      Immagine della selezione dei criteri di configurazione per Android.

    7. Verranno visualizzate tutte le configurazioni selezionate. È possibile modificare il valore di configurazione in base alle esigenze e quindi selezionare Avanti.

      Immagine dei criteri di configurazione selezionati.

    8. Nella pagina Assegnazioni selezionare il gruppo di utenti a cui verranno assegnati i criteri di configurazione dell'app. Fare clic su Seleziona gruppi da includere , selezionare il gruppo applicabile e quindi selezionare Avanti. Il gruppo selezionato qui è in genere lo stesso gruppo a cui assegnare Microsoft Defender per endpoint'app Android.

      Riquadro Gruppi selezionati

    9. Nella pagina Rivedi e Create successiva esaminare tutte le informazioni e quindi selezionare Create.

      I criteri di configurazione dell'app per Defender per endpoint sono ora assegnati al gruppo di utenti selezionato.

  10. Selezionare Microsoft Defender'app nell'elenco >Proprietà>Assegnazioni>Modifica.

    Opzione Modifica nella pagina Proprietà

  11. Assegnare l'app come app obbligatoria a un gruppo di utenti. Viene installato automaticamente nel profilo di lavoro durante la sincronizzazione successiva del dispositivo tramite Portale aziendale'app. Questa assegnazione può essere eseguita passando alla sezione >ObbligatorioAggiungi gruppo, selezionando il gruppo di utenti e facendo clic su Seleziona.

    Pagina Modifica applicazione

  12. Nella pagina Modifica applicazione esaminare tutte le informazioni immesse in precedenza. Selezionare quindi Rivedi e salva e quindi salva di nuovo per iniziare l'assegnazione.

Configurazione automatica della VPN Always-On

Defender per endpoint supporta i criteri di configurazione dei dispositivi per i dispositivi gestiti tramite Microsoft Intune. Questa funzionalità può essere sfruttata per la configurazione automatica della VPN Always-on nei dispositivi registrati Android Enterprise, quindi l'utente finale non deve configurare il servizio VPN durante l'onboarding.

  1. In Dispositivi selezionare Profili> di configurazione Create Profile>Platform>Android Enterprise

    Selezionare Restrizioni del dispositivo in una delle opzioni seguenti, in base al tipo di registrazione del dispositivo:

    • Profilo di lavoro completamente gestito, dedicato e Corporate-Owned
    • Profilo di lavoro di proprietà personale

    Selezionare Crea.

    Voce di menu Profili di configurazione nel riquadro Criteri

  2. Impostazioni di configurazione Specificare un nome e una descrizione per identificare in modo univoco il profilo di configurazione.

    Campi Nome e descrizione del profilo di configurazione dei dispositivi nel riquadro Informazioni di base

  3. Selezionare Connettività e configurare vpn:

    • Abilitare la VPN Always-On

      Configurare un client VPN nel profilo di lavoro per connettersi e riconnettersi automaticamente alla VPN quando possibile. È possibile configurare un solo client VPN per la VPN sempre attiva in un determinato dispositivo, quindi assicurarsi di non avere più di un criterio VPN always-on distribuito in un singolo dispositivo.

    • Selezionare Personalizzato nell'elenco a discesa client VPN

      La VPN personalizzata in questo caso è La VPN di Defender per endpoint usata per fornire la funzionalità protezione Web.

      Nota

      Microsoft Defender per endpoint'app deve essere installata nel dispositivo dell'utente per il funzionamento della configurazione automatica di questa VPN.

    • Immettere l'ID pacchetto dell'app Microsoft Defender per endpoint in Google Play Store. Per l'URL https://play.google.com/store/apps/details?id=com.microsoft.scmxdell'app Defender, l'ID pacchetto è com.microsoft.scmx

    • Modalità di blocco Non configurato (impostazione predefinita)

      Riquadro Connettività nella scheda Impostazioni di configurazione

  4. Assegnazione

    Nella pagina Assegnazioni selezionare il gruppo di utenti a cui verranno assegnati i criteri di configurazione dell'app. Scegliere Seleziona gruppi da includere e selezionare il gruppo applicabile, quindi selezionare Avanti. Il gruppo selezionato qui è in genere lo stesso gruppo a cui assegnare Microsoft Defender per endpoint'app Android.

    Screenshot del riquadro Assegnazione del profilo di configurazione dei dispositivi nel riquadro Restrizioni del dispositivo.

  5. Nella pagina Rivedi e Create successiva esaminare tutte le informazioni e quindi selezionare Create. Il profilo di configurazione del dispositivo è ora assegnato al gruppo di utenti selezionato.

    Provisioning del profilo di configurazione dei dispositivi per Revisione e creazione

Controllare lo stato e completare l'onboarding

  1. Verificare lo stato di installazione di Microsoft Defender per endpoint in Android facendo clic su Stato installazione dispositivo. Verificare che il dispositivo sia visualizzato qui.

    Riquadro stato dell'installazione del dispositivo

  2. Nel dispositivo è possibile convalidare lo stato di onboarding passando al profilo di lavoro. Verificare che Defender per endpoint sia disponibile e che l'utente sia registrato nei dispositivi di proprietà personale con profilo di lavoro. Se si è registrati in un dispositivo utente completamente gestito di proprietà dell'azienda, si avrà un singolo profilo nel dispositivo in cui è possibile verificare che Defender per endpoint sia disponibile.

    Riquadro di visualizzazione dell'applicazione

  3. Quando l'app è installata, aprire l'app e accettare le autorizzazioni e quindi l'onboarding dovrebbe avere esito positivo.

    Visualizzazione di un'applicazione Microsoft Defender per endpoint in un dispositivo mobile

  4. In questa fase l'onboarding del dispositivo viene eseguito correttamente in Defender per endpoint in Android. È possibile verificarlo nel portale di Microsoft Defender passando alla pagina Inventario dispositivi.

    Portale Microsoft Defender per endpoint

Configurare Microsoft Defender nel profilo personale in Android Enterprise in modalità BYOD

Configurare Microsoft Defender nel profilo personale

Gli amministratori possono passare all'interfaccia di amministrazione di Microsoft Endpoint Management per configurare e configurare Microsoft Defender supporto nei profili personali seguendo questa procedura:

  1. Passare a Criteri di configurazione dell'app app> e fare clic su Aggiungi. Selezionare Dispositivi gestiti.

    Immagine dell'aggiunta di criteri di configurazione dell'app.

  2. Immettere Nome e Descrizione per identificare in modo univoco i criteri di configurazione. Selezionare piattaforma come "Android Enterprise", Tipo di profilo come "Solo profilo di lavoro di proprietà personale" e App di destinazione come "Microsoft Defender".

    Immagine dei criteri di configurazione dei nomi.

  3. Nella pagina delle impostazioni, in 'Formato impostazioni configurazione', selezionare 'Usa progettazione configurazione' e fare clic su Aggiungi. Nell'elenco delle configurazioni visualizzate selezionare "Microsoft Defender nel profilo personale".

    Immagine della configurazione del profilo personale.

  4. Verrà elencata la configurazione selezionata. Modificare il valore di configurazione su 1 per abilitare Microsoft Defender supportare i profili personali. Verrà visualizzata una notifica che informa l'amministratore dello stesso. Fare clic su Avanti.

    Immagine della modifica del valore di configurazione.

  5. Assegnare i criteri di configurazione a un gruppo di utenti. Esaminare e creare i criteri.

    Immagine della revisione e della creazione di criteri.

Gli amministratori possono anche configurare i controlli della privacy dall'interfaccia di amministrazione Microsoft Intune per controllare quali dati possono essere inviati dal client per dispositivi mobili Defender al portale di sicurezza. Per altre informazioni, vedere Configurazione dei controlli della privacy.

Le organizzazioni possono comunicare con gli utenti per proteggere il profilo personale con Microsoft Defender nei dispositivi BYOD registrati.

  • Prerequisito: Microsoft Defender deve essere già installato e attivo nel profilo di lavoro per abilitare Microsoft Defender nei profili personali.

Per completare l'onboarding di un dispositivo

  1. Installare l'applicazione Microsoft Defender in un profilo personale con un account Google Play Store personale.
  2. Installare l'applicazione Portale aziendale nel profilo personale. Non è richiesto alcun accesso.
  3. Quando un utente avvia l'applicazione, visualizza la schermata di accesso. Accedere usando solo l'account aziendale.
  4. In un account di accesso riuscito, gli utenti visualizzeranno le schermate seguenti:
    1. Schermata EULA: visualizzata solo se l'utente non ha già acconsentito nel profilo di lavoro.
    2. Schermata di avviso: gli utenti devono fornire il consenso su questa schermata per procedere con l'onboarding dell'applicazione. Questa operazione è necessaria solo durante la prima esecuzione dell'app.
  5. Specificare le autorizzazioni necessarie per completare l'onboarding.

Nota

Prerequisito:

  1. Il portale aziendale deve essere abilitato nel profilo personale.
  2. Microsoft Defender deve essere già installato e attivo nel profilo di lavoro.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.