Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft Intune ポータル サイトに登録されているデバイスで Android に Defender for Endpoint を展開する方法について説明します。 Microsoft Intune デバイス登録の詳細については、「デバイス の登録」を参照してください。

注:

Android 上の Defender for Endpoint が Google Play で利用できるようになりました

Microsoft Intune から Google Play に接続して、デバイス管理者と Android Enterprise 登録モード間で Defender for Endpoint アプリを展開できます。 アプリの更新は、Google Play を介して自動的に行われます。

デバイス管理者が登録したデバイスに展開する

Microsoft Intune ポータル サイト - デバイス管理者が登録したデバイスを使用して、Android に Defender for Endpoint を展開する方法について説明します。

Android ストア アプリとして追加する

1. Microsoft Intune 管理センターで、アプリ>Android Apps>Add>Android ストア アプリに移動し、[選択] を選択します。

   

2. [ アプリの追加] ページと [ アプリ情報 ] セクションで、次のように入力します。

   • 名前
   • 説明
   • Publisher as Microsoft。
   • https://play.google.com/store/apps/details?id=com.microsoft.scmxとしてのアプリ ストア URL (Defender for Endpoint アプリ Google Play ストア URL)

   その他のフィールドは省略可能です。 [次へ] を選択します。

   

3. [ 割り当て] セクションで 、[ 必須 ] セクションに移動し、[ グループの追加 ] を選択します。その後、ユーザー グループ (またはグループ) を選択して、Android アプリで Defender for Endpoint を受信できます。 [ 選択] を選択 し、[ 次へ] を選択します。

   注:

   選択したユーザー グループは、Intune に登録されているユーザーで構成されている必要があります。

   

4. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

   しばらくすると、Defender for Endpoint アプリが正常に作成され、画面の右上隅に通知が表示されます。

   

5. 表示されるアプリ情報ページの [ モニター ] セクションで、[ デバイスのインストール状態 ] を選択して、デバイスのインストールが正常に完了したことを確認します。

   

オンボードを完了し、状態を確認する

1. Android 上の Defender for Endpoint がデバイスにインストールされると、アプリ アイコンが表示されます。

   

2. Microsoft Defender for Endpoint アプリ アイコンをタップし、画面の指示に従ってアプリのオンボードを完了します。 詳細には、Android 上の Defender for Endpoint で必要な Android アクセス許可のエンド ユーザーの同意が含まれます。

3. オンボードが成功すると、デバイスが Microsoft Defender ポータルのデバイスの一覧に表示されます。

   

Android Enterprise 登録済みデバイスにデプロイする

Android 上の Defender for Endpoint では、Android Enterprise 登録済みデバイスがサポートされています。

Microsoft Intune でサポートされる登録オプションの詳細については、「 登録オプション」を参照してください。

現在、仕事用プロファイルと企業所有のフル マネージド ユーザー デバイス登録を使用する個人所有のデバイスは、展開でサポートされています。

Android 上の Microsoft Defender for Endpoint をマネージド Google Play アプリとして追加する

次の手順に従って、Microsoft Defender for Endpoint アプリをマネージド Google Play に追加します。

1. Microsoft Intune 管理センターで、[アプリ>Android Apps] に移動し> [マネージド Google Play アプリ] を選択します。

   

2. 読み込まれたマネージド Google Play ページで、検索ボックスに「 Microsoft Defender」と入力します。 検索には、マネージド Google Play の Microsoft Defender for Endpoint アプリが表示されます。 [アプリ] 検索結果から Microsoft Defender for Endpoint アプリを選択します。

   

3. [ アプリの説明 ] ページで、Defender for Endpoint アプリに関するアプリの詳細を確認できます。 ページの情報を確認し、[承認] を選択 します。

   

4. Defender for Endpoint が取得するアクセス許可を承認するように求められたら、情報を確認し、[承認] を選択 します。

   

5. [ 承認の設定 ] ページで、Android 上の Defender for Endpoint が要求する可能性がある新しいアプリのアクセス許可を処理する設定を確認します。 選択肢を確認し、任意のオプションを選択します。 [完了] を選択します。

   既定では、マネージド Google Play では、 アプリが新しいアクセス許可を要求したときに [承認を維持する] が選択されます。

   

6. アクセス許可処理の選択が完了したら、[ 同期 ] を選択して Microsoft Defender for Endpoint をアプリの一覧に同期します。

   

7. 数分で同期が完了します。

   

8. [Android アプリ] 画面で [ 更新 ] ボタンを選択すると、Microsoft Defender for Endpoint がアプリの一覧に表示されます。

   

9. Defender for Endpoint では、Microsoft Intune を使用した管理対象デバイスのアプリ構成ポリシーがサポートされています。 この機能を使用して、Defender for Endpoint のさまざまな構成を選択できます。

   1. [ アプリ ] ページで、[ ポリシー>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

      

   2. [ アプリ構成ポリシーの作成 ] ページで、次の詳細を入力します。

      • 名前: Microsoft Defender for Endpoint。
      • プラットフォームとして [Android Enterprise] を選択します。
      • [ 個人所有の仕事用プロファイルのみ] または [ フル マネージド、専用、会社所有の仕事用プロファイルのみ ] を [プロファイルの種類] として選択します。
      • [ アプリの選択] を選択し、[ Microsoft Defender] を選択し、[ OK] を 選択し、[ 次へ] を選択します。

      

   3. [アクセス許可]>[追加] を選択します。 リストから、使用可能なアプリのアクセス許可を選択して >[OK] を選択します。

   4. このポリシーで付与する各アクセス許可のオプションを選択します。

      • プロンプト - ユーザーに同意または拒否を求めるメッセージが表示されます。
      • 自動付与 - ユーザーに通知せずに自動的に承認します。
      • 自動拒否 - ユーザーに通知せずに自動的に拒否します。

   5. [構成設定] セクションに移動し、[構成設定] 形式で [構成デザイナーを使用する] を選択します。

      

   6. [ 追加] を 選択して、サポートされている構成の一覧を表示します。 必要な構成を選択し、[OK] を選択 します。

      

   7. 選択したすべての構成が一覧表示されます。 必要に応じて構成値を変更し、[ 次へ] を選択できます。

      

   8. [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [ 含めるグループの選択 ] を選択し、該当するグループを選択し、[ 次へ] を選択します。 ここで選択したグループは、通常、Microsoft Defender for Endpoint Android アプリを割り当てるグループと同じです。

      

   9. 次に表示される [ 確認と作成 ] ページで、すべての情報を確認し、[ 作成] を選択します。

      Defender for Endpoint のアプリ構成ポリシーが、選択したユーザー グループに割り当てられるようになりました。

10. 一覧で [Microsoft Defender アプリ] >[プロパティ>Assignments>Edit] を選択します。

    

11. ユーザー グループにアプリを 必須 アプリとして割り当てます。 ポータル サイト アプリを使用したデバイスの次回の同期中に 、仕事用プロファイル に自動的にインストールされます。 この割り当てを行うには、[必要] セクション>[グループの追加] に移動し、適切なユーザー グループを選択してから、[選択] を選択します。

    

12. [ アプリケーションの編集] ページで、前に入力したすべての情報を確認します。 次に、[ 確認と保存] を選択し、もう一度 [保存] を選択 して割り当てを開始します。

Always-on VPN の自動セットアップ

Defender for Endpoint では、Microsoft Intune を使用した管理対象デバイスのデバイス構成ポリシーがサポートされています。 この機能を使用すると、Android Enterprise 登録済みデバイスで Always-on VPN を自動セットアップ できるため、エンド ユーザーはオンボード中に VPN サービスを設定する必要はありません。

1. [デバイス] で、[構成プロファイル>プロファイルの作成>Platform>Android Enterprise を選択します。 デバイス登録の種類に基づいて、次のいずれかの下にある [デバイス 制限 ] を選択します。

   • フル マネージド、専用、Corporate-Owned 作業プロファイル
   • 個人所有の仕事用プロファイル

   その後、[作成] を選択します。

   

2. 構成設定。 [ 名前] と [説明] を指定して、構成プロファイルを一意に識別します。

   

3. [ 接続] を選択し、VPN を構成します。

   • Always-on VPN を有効にします。 作業プロファイルに VPN クライアントを設定して、可能な限り VPN に自動的に接続して再接続します。 特定のデバイス上の Always-on VPN 用に構成できる VPN クライアントは 1 つだけであるため、1 つのデバイスに展開される Always-on VPN ポリシーは 1 つ以下にしてください。

   • [VPN クライアントで カスタム ] ドロップダウン リストを選択します。 この場合のカスタム VPN は Defender for Endpoint VPN であり、Web Protection 機能を提供するために使用されます。

     注:

     この VPN の自動セットアップを機能させるには、Microsoft Defender for Endpoint アプリをユーザーのデバイスにインストールする必要があります。

   • Google Play ストアの Microsoft Defender for Endpoint アプリの パッケージ ID を 入力します。 Defender アプリ URL の場合、パッケージ ID はcom.microsoft.scmx。

   • [ロックダウン モード] を [未構成] (既定値) に設定します。

     

4. 割り当て。 [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [含める グループの選択 ] を選択し、該当するグループを選択し、[ 次へ] を選択します。

   選択するグループは、通常、Microsoft Defender for Endpoint Android アプリを割り当てるグループと同じです。

   

5. 次に表示される [ 確認と作成 ] ページで、すべての情報を確認し、[ 作成] を選択します。 これで、デバイス構成プロファイルが選択したユーザー グループに割り当てられます。

   

状態を確認し、オンボードを完了する

1. [デバイスのインストール状態] をクリックして、Android 上の Microsoft Defender for Endpoint の インストール状態を確認します。 デバイスがここに表示されていることを確認します。

   

2. デバイスでは、 作業プロファイルに移動してオンボード状態を検証できます。 Defender for Endpoint が使用可能であり、仕事用プロファイルを使用して 個人所有のデバイスに登録されていることを確認します。 会社所有の フル マネージド ユーザー デバイスに登録している場合は、デバイス上に 1 つのプロファイルがあり、Defender for Endpoint が使用可能であることを確認できます。

   

3. アプリがインストールされたら、アプリを開き、アクセス許可を受け入れると、オンボードが成功します。

   

4. この時点で、デバイスは Android 上の Defender for Endpoint に正常にオンボードされます。 これを Microsoft Defender ポータルで確認するには、[デバイス インベントリ] ページに移動します。

   

ロータッチ オンボードを構成する

注:

この機能は現在プレビューの段階です。 このセクションの情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

管理者は、低タッチ オンボード モードで Microsoft Defender for Endpoint を構成できます。 このシナリオでは、管理者がデプロイ プロファイルを作成し、ユーザーはオンボードを完了するためにアクセス許可のセットを減らす必要があります。

Android の低タッチ オンボードは既定で無効になっています。 管理者は、次の手順に従って、Intune 上のアプリ構成ポリシーを使用して有効にすることができます。

1. 「Android 上の Microsoft Defender for Endpoint をマネージド Google Play アプリとして追加 する(この記事では)」セクションの手順に従って、Defender アプリをターゲット ユーザー グループにプッシュします。

2. 「 Always-on VPN の自動セットアップ (この記事)」の手順に従って、VPN プロファイルをユーザーのデバイスにプッシュします。

3. [ アプリ>アプリケーション構成ポリシー] で、[ マネージド デバイス] を選択します。

4. ポリシーを一意に識別する名前を指定します。

   • [ プラットフォーム] で、[ Android Enterprise] を選択します。
   • 必要なプロファイルの種類を選択します。
   • 対象アプリの場合は、[ Microsoft Defender: Antivirus] を選択します。

   [次へ] を選択します。

5. ランタイムアクセス許可を追加します。 [ 場所のアクセス (細かい)] を選択し、 POST_NOTIFICATIONS し、[ アクセス許可] の状態 を [ Auto grant] に変更します。 (このアクセス許可は、Android 13 以降ではサポートされていません)。

6. [ 構成設定] で、[ Use Configuration designer] を選択し、[ 追加] を選択します。

7. [ 低タッチ オンボード] と [ユーザー UPN] を選択します。 [User UPN] で、値の種類を Variable に変更し、構成値を User Principal Name に設定します。 構成値を 1 に変更することで、ロータッチ オンボードを有効にします。

   

8. ポリシーをターゲット ユーザー グループに割り当てます。

9. ポリシーを確認して作成します。

BYOD モードで Android Enterprise の個人用プロファイルで Microsoft Defender を設定する

個人用プロファイルで Microsoft Defender を設定する

管理者は、次の手順に従って 、Microsoft Endpoint Management 管理センター にアクセスして、個人用プロファイルで Microsoft Defender サポートを設定および構成できます。

1. [アプリ>アプリ構成ポリシー] に移動し、[追加] をクリックします。 [ マネージド デバイス] を選択します。

   

2. [名前] と [説明] を入力して、構成ポリシーを一意に識別します。 [プラットフォーム] を [Android Enterprise] として選択し、[プロファイルの種類] を [個人用所有の仕事用プロファイルのみ] に、[対象アプリ] を [Microsoft Defender] として選択します。

   

3. [設定] ページの [構成設定の形式] で、[ 構成デザイナーを使用 する] を選択し、[ 追加] をクリックします。 表示される構成の一覧から、[ 個人用プロファイルの Microsoft Defender] を選択します。

   

4. 選択した構成が一覧表示されます。 Microsoft Defender サポートの個人用プロファイルを有効にするには、 構成値を 1 に変更します。 管理者に同じことを通知する通知が表示されます。 [ 次へ] をクリックします。

   

5. 構成ポリシーをユーザーのグループに割り当てます。 ポリシーを確認して作成します。

   

管理者は、Microsoft Intune 管理センターから プライバシー制御 を設定して、Defender モバイル クライアントからセキュリティ ポータルに送信できるデータを制御することもできます。 詳細については、「 プライバシー制御の構成」を参照してください。

組織は、登録されている BYOD デバイスで Microsoft Defender と個人用プロファイルを保護するために、ユーザーと通信できます。

• 前提条件: 個人プロファイルで Microsoft Defender を有効にするには、Microsoft Defender が既にインストールされ、仕事用プロファイルでアクティブになっている必要があります。

デバイスのオンボードを完了する

1. 個人の Google Play ストア アカウントを持つ個人用プロファイルに Microsoft Defender アプリケーションをインストールします。

2. 個人用プロファイルにポータル サイト アプリケーションをインストールします。 サインインは必要ありません。

3. ユーザーがアプリケーションを起動すると、サインイン画面が表示されます。 企業アカウントのみを使用してログインします。

4. 正常にサインインすると、ユーザーには次の画面が表示されます。

   1. EULA 画面: ユーザーがまだ仕事用プロファイルに同意していない場合にのみ表示されます。
   2. 通知画面: ユーザーは、アプリケーションのオンボードを進めるために、この画面に同意する必要があります。 これは、アプリの初回実行時にのみ必要です。

5. オンボードを完了するために必要なアクセス許可を指定します。

   注:

   前提条件:

   1. 個人用プロファイルでポータル サイトを有効にする必要があります。
   2. Microsoft Defender は既にインストールされ、仕事用プロファイルでアクティブになっている必要があります。

関連記事

• Android 用 Microsoft Defender for Endpoint の概要
• Android 機能用に Microsoft Defender for Endpoint を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。