Android と iOS のMicrosoft Defender for Endpointは、モバイル脅威防御 (MTD) ソリューションです。 多くの場合、企業は脆弱性や攻撃からコンピューターを保護することに積極的ですが、モバイル デバイスは監視されておらず、保護されていません。 モバイル プラットフォームには、いくつかの組み込みの保護 (アプリの分離や審査済みのコンシューマー アプリ ストアなど) がありますが、これらのプラットフォームは、Web ベースやその他の高度な攻撃に対して脆弱なままです。 機密性の高い作業情報にアクセスするためにデバイスを使用するユーザーが増えるにつれて、企業はデバイスとリソースを保護するために MTD ソリューションをデプロイすることが不可欠です。
Android と iOS のMicrosoft Defender for Endpointには、次の主要な機能があります。
| 機能 | 説明 |
|---|---|
| Web Protection | フィッシング対策、安全でないネットワーク接続のブロック、URL とドメインのカスタム インジケーターのサポート。 (ファイルインジケーターと IP インジケーターは現在サポートされていません)。 |
| マルウェア対策 (Android のみ) | 悪意のあるアプリと APK Filesのスキャン。 |
| 脱獄検出 (iOS のみ) | 脱獄されたデバイスの検出。 |
| ルート検出 (Android - プレビュー) | ルート化されたデバイスの検出。 |
| Microsoft Defender 脆弱性の管理 (MDVM) | オンボードされたモバイル デバイスの脆弱性評価。 Android と iOS の両方に対する OS とアプリの脆弱性評価が含まれます。 詳細については、「Microsoft Defender 脆弱性の管理とは」を参照してください。 |
| ネットワーク保護 | 不正な Wi-Fi 関連する脅威と不正な証明書に対する保護。"許可" に追加する機能は、Intuneのルート CA 証明書とプライベート ルート CA 証明書を一覧表示し、エンドポイントとの信頼を確立します。 |
| 統合アラート | 統合Microsoft Defender ポータル内のすべてのプラットフォームからのアラート。 |
| 条件付きアクセス、条件付き起動 | リスクの高いデバイスが企業リソースにアクセスできないようにブロックする。 Defender for Endpoint リスクシグナルは、アプリ保護ポリシー (MAM) にも追加できます。 |
| プライバシーコントロール | Microsoft Defender for Endpointによって送信されるデータを制御することで、脅威レポートのプライバシーを構成します。 プライバシー制御は、管理者とエンド ユーザーが使用できます。 登録済みデバイスと登録解除済みデバイス用にも存在します。 |
| Microsoft Tunnel との統合 | 1 つのアプリでセキュリティと接続を有効にする VPN ゲートウェイ ソリューションである Microsoft Tunnel との統合。 Android と iOS の両方で使用できます。 |
これらの機能は、Microsoft Defender for Endpointライセンス所有者が利用できます。 詳細については、「 ライセンス要件」を参照してください。
最新の機能と利点については、お 知らせをお読みください。
概要とデプロイ
Microsoft Intuneを含むサブスクリプションがある場合は、Intuneを使用してモバイル デバイスにMicrosoft Defender for Endpointをデプロイできます。 MTD の機能とデプロイの概要については、次のビデオをご覧ください。
Intuneに既に登録されているデバイスのオンボード
Microsoft Intuneに既に登録されているデバイスは、再登録を必要とせずにMicrosoft Defender for Endpointにオンボードできます。 Defender アプリをインストールし、必要な構成プロファイルを割り当てると、デバイスは自動的にオンボードを完了します。
Android (Intune登録済みデバイス)
サポートされている Android Enterprise シナリオの 1 つで、デバイスが既にIntuneに登録されていることを確認します。
Intuneを使用してMicrosoft Defender for Endpoint アプリをデプロイします。
Microsoft Defender for Endpoint構成プロファイルを割り当てます。
- Web 保護
- ネットワーク保護
- アプリ保護 (該当する場合)
Defender アプリが構成を受け取ると、デバイスは自動的にオンボードされます。
条件付きアクセスを使用して、必要に応じてユーザーのオンボードを適用します。
iOS/iPadOS (Intune登録済みデバイス)
- デバイスが ADE、*、Apple Configurator、*、デバイス登録、またはユーザー登録を使用して登録されていることを確認します。
- Intuneを使用してMicrosoft Defender for Endpointをデプロイします。
- 次の Defender for Endpoint 構成ポリシーを割り当てます。
- Web 保護
- ネットワーク保護
- ゼロタッチ オンボード (監視対象デバイスの場合)
* ポリシーが配信されると、アプリはユーザー操作なしでデバイスを自動的に構成してオンボードします。
注:
既存のIntune登録済みデバイスを再登録する必要はありません。 オンボードは、Defender アプリと MTD 構成ポリシーがデバイスに配信された後に自動的に行われます。
展開
次の表は、Android と iOS にMicrosoft Defender for Endpointをデプロイする方法をまとめたものです。 詳細なドキュメントについては、次の記事を参照してください。
サポートされている Android 登録シナリオ
| シナリオ | デバイスでポータル サイト アプリが必要ですか? | 保護プロファイル/前提条件 | デプロイ方法 |
|---|---|---|---|
| 仕事用プロファイルを使用した Android Enterprise 個人所有のデバイス | はい | 作業プロファイル セクションのみを保護します。 仕事用プロファイルの詳細 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| 個人プロファイルを使用した Android Enterprise 個人所有デバイス | はい | 個人プロファイルを保護します。 顧客も仕事用プロファイルを持っている場合は、デバイス全体を保護します。
|
Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| Android Enterprise の会社所有の仕事用プロファイル (COPE) | はい | 作業プロファイル セクションのみを保護します。 ポータル サイト アプリとMicrosoft Intune アプリの両方が自動的にインストールされます。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| Android Enterprise 企業所有のフル マネージド - 仕事用プロファイルなし (COBO) | はい | デバイス全体を保護します。 ポータル サイト アプリとMicrosoft Intune アプリの両方が自動的にインストールされます。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
| MAM | はい (インストール済み、セットアップは必要ありません) | 登録済みのアプリのみを保護します。 MAM では、デバイス登録の有無にかかわらず、または Microsoft Enterprise Mobility Management 以外に登録されます。 | アプリ保護ポリシー (MAM) を使用して Android リスクシグナルに対するMicrosoft Defender for Endpointを構成する |
| デバイス管理者 (2024 年 12 月 31 日非推奨) | はい | Intuneと Defender for Endpoint は、2024 年 12 月に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了しました。 | Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開 |
サポートされていない Android 登録シナリオ
現在、次のシナリオはサポートされていません。
- Android Enterprise 企業所有の個人プロファイル
- Android Enterprise 企業所有の専用デバイス (COSU) (キオスク/共有)
- Android Open-Source プロジェクト (AOSP)
Android の低タッチ オンボードでサポートされているシナリオ
- 仕事用プロファイルを使用する Android Enterprise 個人所有のデバイス。
- Android Enterprise 企業所有の仕事用プロファイル (COPE)。
- Android Enterprise 企業所有のフル マネージド - 仕事用プロファイルなし (COBO)。
サポートされている iOS 登録シナリオ
| シナリオ | デバイスでポータル サイト アプリが必要ですか? | 保護プロファイル/前提条件 | デプロイ方法 |
|---|---|---|---|
| 監視対象デバイス (ADE と Apple Configurator の登録) | はい | デバイス全体を保護します。 ADE の場合、Just in Time (JIT) 登録を使用するユーザーの場合、ポータル サイト アプリは必要ありません。これは、アプリがサーバーに接続してデバイスを自動的に登録するためですIntune | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| 教師なしデバイス (デバイス登録) | はい | デバイス全体を保護します。 Web ベースのデバイス登録の場合、管理されたアプリがサインインした後、ポータル サイト アプリではなく構成ポリシーが直接ダウンロードされるため、ポータル サイト アプリは必要ありません | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| 教師なしデバイス (ユーザー登録) | はい | デバイス全体を保護します。 例外は TVM 機能であり、管理者によってプッシュされた作業アプリのみが保護されます。 Web 保護はデバイス レベルで機能し、すべてのアプリからのネットワーク トラフィックをスキャンします。 | Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする |
| MAM | 不要 | 登録済みのアプリのみを保護します。 VPN はデバイス全体にアクセスでき、すべてのアプリ トラフィックをスキャンできます | モバイル アプリケーション管理を使用して iOS にMicrosoft Defender for Endpointをデプロイする |
サポートされていない iOS 登録シナリオ
iOS 専用/共有/キオスク デバイス登録はサポートされていません。
iOS ゼロ タッチ オンボードでサポートされるシナリオ
- 監視対象デバイス (ADE と Apple Configurator の登録)
- 教師なしデバイス (デバイス登録)
エンド ユーザーのオンボード
iOS 登録済みデバイスに対してゼロタッチ オンボードを構成する: 管理者は、登録された iOS デバイスのMicrosoft Defender for Endpointを、ユーザーがアプリを開かなくても自動的にオンボードするようにゼロタッチ インストールを構成できます。
条件付きアクセスを構成してユーザーオンボードを適用する: 条件付きアクセスを適用すると、デプロイ後にユーザーがMicrosoft Defender for Endpoint アプリにオンボードされるようにすることができます。 Defender for Endpoint リスク シグナルを使用した条件付きアクセスの構成に関する簡単なデモについては、このビデオをご覧ください。
オンボードを簡略化する
パイロット評価
Microsoft Defender for Endpointを使用したモバイル脅威防御の評価中に、より大きなデバイスセットにサービスをデプロイする前に、特定の条件が満たされていることを確認できます。 終了条件を定義し、広くデプロイする前にそれらが満たされていることを確認できます。
この方法は、サービスのロールアウト中に発生する可能性がある潜在的な問題を減らすのに役立ちます。 役立つテストと終了条件を次に示します。
- デバイスインベントリ一覧にデバイスが表示される: モバイル デバイスで Defender for Endpoint のオンボードが正常に完了したら、Microsoft Defender ポータルのデバイス インベントリにデバイスが一覧表示されていることを確認します。
フィッシング テストを実行する:
https://smartscreentestratings2.netを参照し、Microsoft Defender for Endpointによってブロックされていることを確認します。 仕事用プロファイルを持つ Android Enterprise では、仕事用プロファイルのみがサポートされています。アラートがダッシュボードに表示される: 前述の検出テストのアラートがMicrosoft Defender ポータルに表示されることを確認します。
Android & iOS での Defender for Endpoint の展開または構成に関するヘルプが必要ですか? 製品のライセンスが 150 以上ある場合は、 FastTrack 特典を使用してください。 FastTrack の詳細については、Microsoft FastTrackをご覧ください。
Configure
リソース
- Android 用 Microsoft Defender for Endpoint
- iOS 用 Microsoft Defender for Endpoint API
- 今後のリリースについては、お 知らせをお読みください。