Microsoft Defender for Endpointは、モバイル デバイスで複数の機能を提供します。 これらの機能の一部は既定に設定されており、管理者の構成が必要な機能もあります。 次の表は、Android と iOS でMicrosoft Defender for Endpointに関連するリソースを構成する方法を示しています。
機能の構成
| 構成 | 説明 | Android AE 構成キー | Android MAM | iOS |
|---|---|---|---|---|
| Web Protection | 管理者はこの設定を使用して、Web 保護機能を変更できます。 無効にすると、エンド ユーザーは VPN アクセス許可の要求を受け取りません | アンチフィッシング = 0/1 (既定値)、VPN = 0 または 1(既定値) | アンチフィッシング = 0 または 1(既定値)、VPN = 0 または 1(既定値) | WebProtection = true (既定値) または false |
| ネットワーク保護 | ネットワーク保護は既定で無効になっています。 管理者は、不正な WiFi と証明書検出 (Android でのみ利用可能) をモバイルに含めることができます。 | Microsoft Defender = 0 または 1 でネットワーク保護を有効にする (既定値) | DefenderNetworkProtectionEnable = 0 または 1 (既定値) | DefenderNetworkProtectionEnable = 0 または 1(既定値) |
プライバシーの構成
| 構成 | 説明 | Android AE 構成キー | Android MAM | iOS |
|---|---|---|---|---|
| フィッシング アラート レポートのプライバシー | プライバシーが有効になっている場合、Defender for Endpoint はドメイン名と Web サイトの詳細を送信しません | レポートの URL を非表示にする=0(既定値)/1 | DefenderExcludeURLInReport = 0(default)/1 | DefenderExcludeURLInReport = 0(default)/1 |
| マルウェア脅威レポートのプライバシーを構成する | 脅威レポートのアプリの詳細 (名前、パッケージ情報) のコレクションを制御する | レポートでアプリの詳細を非表示にする= 0(既定値)/1 | DefenderExcludeAppInReport = 0(default)/1 | |
| アプリの脆弱性評価でプライバシーを構成する | Defender for Vulnerability Management が有効になっている場合にセキュリティ ポータルに表示されるアプリ データを制御する | 脆弱性管理のプライバシーを有効にする= 0(既定値)/1 | DefenderTVMPrivacyMode = 0(default)/1 | DefenderTVMPrivacyMode = 0(default)/1 |
| ネットワーク保護 | アラート レポートでネットワークと証明書の詳細のコレクションを制御する | ネットワーク保護のプライバシーを有効にする = 1/0 | DefenderNetworkProtectionPrivacy = 1/0 | DefenderNetworkProtectionPrivacy |
その他の構成
| 構成 | 説明 | Android AE 構成キー | Android MAM | iOS |
|---|---|---|---|---|
| サインアウトを無効または有効にする | エンド ユーザーに対してサインアウト オプションを無効にすることができます。 これにより、デバイスの改ざんを防ぐことができます。 | サインアウトを無効にする = 1(既定値)/0 | DisableSignOut = 1/0 | DisableSignOut = 1/0 |
| デバイスのタグ付け | Defender for Endpoint では、オンボード中にモバイル デバイスの一括タグ付けを有効にします。 管理者は、Intuneを使用して、この構成を使用してタグを設定できます。 | デバイス タグ (文字列としての値) | DefenderDeviceTag (文字列としての値) | DefenderDeviceTag (文字列としての値) |
| オプションのアクセス許可 | 管理者は、Defender for Endpoint のオンボード中にエンド ユーザーに対していくつかのアクセス許可を省略可能にすることができます。 ユーザーには、後でこれらのアクセス許可を付与するオプションが表示されます。 | 該当なし | DefenderOptionalVPN = 0(default)/1, DefenderOptionalAccessibility = 0(default)/1 | DefenderOptionalVPN = 0(default)/1, DefenderOptionalAccessibility = 0(default)/1 |
アラートの重大度とプライバシー情報
| アラートの種類 | 重要度 | プライバシー情報 (Android) | プライバシー情報 (iOS) |
|---|---|---|---|
| フィッシング対策 (Defender 警告) | 情報 | 悪意のある接続の URL、接続情報、プロトコルの種類。詳細については、以下を参照してください。 | ドメイン名、悪意のある Web サイトの IP アドレス。詳細については、以下を参照してください。 |
| フィッシング対策 (Defender の警告が見落とされました) | 低 | ||
| マルウェア対策 | 中 | インストール ソース、ストレージの場所、インストール時刻など、悪意のある API に関する情報。詳細については、以下を参照してください。 | |
| 脱獄 | 高 | 該当なし | 該当なし |
| 不正な Wifi | 低 | ||
| ネットワーク検出を開く | 情報 | ||
| 疑わしい証明書 | 情報 |
条件付きアクセス (CA) ポリシーからのモバイル アプリの除外のMicrosoft Defender
Microsoft Defender モバイル アプリは、デバイスのセキュリティ体制を報告するために、バックグラウンドで常に実行する必要があるセキュリティ アプリです。 このセキュリティ体制は、マネージド アプリをセキュリティで保護し、企業データがセキュリティで保護されたデバイスでのみアクセスされるようにするために、コンプライアンスポリシーとアプリ保護ポリシーで使用されます。 ただし、特定の場所に基づいてブロック ポリシーを設定する、頻繁にサインインを強制するなど、制限の厳しい条件付きアクセス ポリシーを使用すると、Defender がレポートの態勢からブロックされる可能性があります。 Defender アプリがデバイスの状態を報告できない場合、デバイスが脅威にさらされている状況が発生し、デバイス上の企業データの脆弱性が発生する可能性があります。 シームレスな保護を確保するために、Defender アプリをブロックする条件付きアクセス ポリシーから除外することをお勧めします。
除外するために必要なアプリ
MicrosoftDefenderATP XPlat アプリ (a0e84e36-b067-4d5c-ab4a-3db38e598ae2): MicrosoftDefenderATP XPlat アプリは、Defender リスクシグナルを Defender バックエンドに転送するアプリケーションです。 ただし、制限の厳しい CA ポリシーが存在すると、Defender がレポートシグナルからブロックされる可能性があります。 これらのシナリオでは、MicrosoftDefenderATP XPlat アプリを除外することをお勧めします。 MicrosoftDefenderATP XPlat アプリは、Mac や Linux などの他のプラットフォームでも使用されることに注意してください。 そのため、これらのプラットフォームでポリシーが同じ場合は、Mobile 用に別の条件付きアクセス ポリシーを作成することをお勧めします。
Microsoft Defender for Mobile TVM アプリ (e724aa31-0f56-4018-b8be-f8cb82ca1196): Mobile TVM (脅威と脆弱性管理) のMicrosoft Defenderは、iOS デバイスにインストールされているアプリの脆弱性評価を提供するサービスです。 ただし、制限の厳しい CA ポリシーが存在すると、Defender がオンボード要求を TVM バックエンド サービスに通信できなくなる可能性があります。 organizationで MDVM (脆弱性評価) が使用されている場合は、このサービスを除外する必要があります。
除外する手順
除外する必要があるアプリのサービス プリンシパルを作成します。 サービス プリンシパルを作成する手順。
上記のサービス プリンシパル オブジェクトの作成中に、Mobile TVM アプリ (e724aa31-0f56-4018-b8be-f8cb8cb2ca196) のMicrosoft Defender、MicrosoftDefenderATP XPlat アプリ (a0e84e36-b067-4d5c-ab4a-3db38e598ae2) を使用します。
オブジェクトが正常に作成されると、2 つのアプリが CA 画面に表示され、除外できます。
