Intune で Microsoft Defender for Endpoint を構成する

この記事に記載されている情報と手順を使用して、Microsoft Defender for Endpoint と Intune の統合を構成します。 構成には、次の一般的な手順が含まれます。

• テナントに対して Microsoft Defender for Endpoint を有効にする
• Android、iOS/iPadOS、Windows 10/11 が実行されているデバイスをオンボードする
• コンプライアンス ポリシーを使用してデバイスのリスク レベルを設定する
• 条件付きアクセス ポリシーを使用して、想定したリスク レベルを超えるデバイスをブロックする
• Android と iOS/iPadOS で、デバイスのリスク レベルを設定するアプリ保護ポリシーを使用する。 アプリ保護ポリシーは、登録されているデバイスと登録されていないデバイスの両方で動作します。

開始する前に、IntuneでMicrosoft Defender for Endpointを使用するには、環境が前提条件を満たしている必要があります。

Intune で管理しているデバイスでの Microsoft Defender for Endpoint の設定の管理に加えて、Intune に登録されていないデバイスでの Defender for Endpoint のセキュリティ構成を管理できます。 このシナリオは、Microsoft Defender for Endpoint のセキュリティ管理と呼ばれ、[Microsoft Defender for Endpoint に Endpoint セキュリティ構成の適用を許可する] トグルを [オン] に設定する必要があります。 詳細については、「MDE セキュリティ構成管理」を参照してください。

Intune で Microsoft Defender for Endpoint を有効にする

実行する最初の手順は、Intune と Microsoft Defender for Endpoint の間にサービス間接続を設定することです。 設定には、Microsoft Defender セキュリティ センターと Intune の両方に対する管理アクセス権が必要です。

Microsoft Defender for Endpoint を有効にする必要があるのは、テナントごとに 1 回だけです。

Microsoft Defender for Endpoint を有効にするには

1. Microsoft Intune管理センターにサインインします。

2. [エンドポイント セキュリティ]>[Microsoft Defender for Endpoint] の順に選択し、[Microsoft Defender セキュリティ センターを開く] を選択します。

   これにより、Microsoft 365 Defender ポータルがsecurity.microsoft.com で開き、それはsecuritycenter.windows.com での ポータルの使用に代わるものとなります。

   ヒント

   ページの上部にある [接続状態] が既に [有効] に設定されている場合は、既に Intune に接続されており、管理センターには次のスクリーンショットとは異なる UI が表示されます。 その場合は、[Open the Microsoft Defender for Endpoint admin console]\(Microsoft Defender for Endpoint 管理コンソールを開く\) のリンクを使用して Microsoft Defender セキュリティ センターを開き、以下の手順のガイダンスを使用して、Microsoft Intune の接続が [オン] に設定されていることを確認できます。

   

3. Microsoft 365 Defender (以前のMicrosoft Defender セキュリティ センター) において:

   1. [設定]>[エンドポイント]>[高度な機能]を選択します。

   2. [Microsoft Intune の接続] は、[オン] を選択します。

      

   3. [環境設定の保存] を選択します。

   注:

   接続が確立したら、"少なくとも" 24 時間ごとに 1 回は互いと同期をとることがサービスに求められます。 接続が応答しないと見なされるまでの同期なしの日数は、Microsoft Intune管理センターで構成できます。 [エンドポイント セキュリティ]、[Microsoft Defender for Endpoint]、[パートナーが無応答になるまでの日数] の順に選択します。

4. Microsoft Intune管理センターの [Microsoft Defender for Endpoint] ページに戻ります。

   1. コンプライアンス ポリシーで Defender for Endpoint を使用するには、サポートするプラットフォームの [MDM Compliance Policy Settings]\(MDM コンプライアンス ポリシーの設定\) で次のように構成します。

      • [Android デバイスを Microsoft Defender for Endpoint に接続します] を [オン] に設定します
      • [iOS デバイスを Microsoft Defender for Endpoint に接続します] を [オン] に設定します
      • Microsoft Defender for Endpoint への [Connect Windows devices]\(Windows デバイスを接続する\) を [オン] に設定します

      これらの構成が "オン" になっている場合、Intune で管理している該当するデバイスと、今後登録するデバイスは、コンプライアンスのために Microsoft Defender for Endpoint に接続されます。

      iOS デバイスの場合、Defender for Endpoint では、iOS 用のMicrosoft Defender for Endpointアプリの脆弱性評価を提供するのに役立つ次の設定もサポートされています。 次の 2 つの設定の使用方法の詳細については、「 アプリの脆弱性評価を構成する」を参照してください。

      • [iOS デバイスのアプリ同期を有効にする]: [オン] に設定すると、Defender for Endpoint は脅威分析のために使用するIntuneから iOS アプリケーションのメタデータを要求できます。 iOS デバイスは、MDM に登録されている必要があり、デバイスのチェックイン中に更新されたアプリ データが提供されます。

      • 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する: この設定は、Defender for Endpoint がアプリ データを同期してアプリ インベントリ リストを要求するときに、Intune が Defender for Endpoint と共有するアプリケーション インベントリ データを制御します。

        [オン] に設定すると、Defender for Endpoint は個人所有の iOS/iPadOS デバイスの Intune からアプリケーションのリストを要求できます。 これには、Intuneを介してデプロイされたアンマネージド アプリとアプリが含まれます。

        [Off] に設定すると、アンマネージド アプリに関するデータは提供されません。 Intune は、Intune を介して展開されるアプリのデータを共有します。

      詳細については、「Mobile Threat Defense トグル オプション」を参照してください。

   2. アプリ保護ポリシーで Defender for Endpoint を使用するには、サポートするプラットフォームの [App Protection Policy Settings]\(アプリ保護ポリシーの設定\) で次のように構成します。 これらの機能は、Android と iOS/iPadOS で使用できます。

      • アプリ保護ポリシーの評価のために Microsoft Defender for Endpoint への [Connect Android devices]\(Android デバイスを接続する\) を [オン] に設定します。
      • アプリ保護ポリシーの評価のために Microsoft Defender for Endpoint への [Connect iOS devices]\(iOS デバイスを接続する\) を [オン] に設定します。

   コンプライアンスとアプリ保護ポリシーの評価のために統合Microsoft Defender for Endpointを設定するには、Intuneの Mobile Threat Defense アクセス許可を含むロールが必要です。 Intuneの Endpoint Security Manager 組み込み管理者ロールには、このアクセス許可が含まれています。 MDM コンプライアンス ポリシー設定とアプリ保護ポリシー設定の両方の詳細については、「Mobile Threat Defense トグル オプションを参照してください。

5. [保存] を選択します。

ヒント

新しいアプリケーションを Intune Mobile Threat Defense に統合し、Intune への接続を有効にすると、Intune によって Azure Active Directory 内に従来の条件付きアクセス ポリシーが作成されます。 統合する各 MTD アプリ (Microsoft Defender for Endpoint や他の MTD パートナーなど) によって、新しい従来の条件付きアクセス ポリシーが作成されます。 これらのポリシーは無視してもかまいませんが、編集、削除、または無効にすることはできません。

従来のポリシーを削除した場合は、その作成に使用された Intune への接続を削除してから、それを再設定する必要があります。 これにより、従来のポリシーが再作成されます。 MTD アプリ用の従来のポリシーを、条件付きアクセス用の新しいポリシーの種類に移行することは、サポートされていません。

MTD アプリ用の従来の条件付きアクセス ポリシーは:

• デバイスが Azure AD に登録され、MTD パートナーと通信する前にデバイス ID を持っていることを要求するために、Intune MTD によって使用されます。 ID は、デバイスが Intune に正常に自身の状態を報告できるようにするために必要です。
• 他のクラウド アプリやリソースには影響しません。
• MTD の管理を支援するために作成する条件付きアクセス ポリシーとは異なります。
• 既定では、評価に使用する他の条件付きアクセス ポリシーとは対話しません。

従来の条件付きアクセス ポリシーを表示するには、Azure で [Azure Active Directory]>[条件付きアクセス]>[クラシック ポリシー] の順に移動します。

デバイスのオンボード

Intune で Microsoft Defender for Endpoint のサポートを有効にした場合、Intune と Microsoft Defender for Endpoint の間にサービス間接続が確立されます。 その後、Intune で管理するデバイスを Microsoft Defender for Endpoint にオンボードできます。 オンボードすると、デバイスのリスク レベルに関するデータを収集できるようになります。

デバイスをオンボードするときは必ず、各プラットフォーム用の Microsoft Defender for Endpoint の最新バージョンを使用してください。

Windows デバイスのオンボード

Intune と Microsoft Defender for Endpoint を接続すると、Intune では Microsoft Defender for Endpoint からオンボード構成パッケージを受信します。 Microsoft Defender for Endpoint のデバイス構成プロファイルを使用して、Windows デバイスにパッケージを展開します。

構成パッケージによってデバイスが構成され、Microsoft Defender for Endpoint サービスと通信を行ってファイルのスキャンや脅威の検出が実行されます。 また、コンプライアンス ポリシーに基づき、デバイスのリスク レベルが Microsoft Defender for Endpoint に報告されます。

構成パッケージを使用してデバイスをオンボードした後は、再度これを行う必要はありません。

次のものを使用してデバイスをオンボードすることもできます。

• エンドポイントの検出と応答 (EDR) ポリシー。 Intune EDR ポリシーは、Intune でのエンドポイント セキュリティの一部です。 デバイス構成プロファイルで見られるような大きな設定本文のオーバーヘッドなしで、デバイスのセキュリティを構成するには、EDR ポリシーを使用します。 また、テナントに接続されたデバイスで EDR ポリシーを使用することもできます。これは、Configuration Manager で管理するデバイスです。

Microsoft Defender for Endpoint コネクタ ページ内のMicrosoft Defender for Endpointからオンボードデバイスを表示するには、Microsoft Defender ATP アクセス許可を持つIntuneロールが必要です。

Intune と Microsoft Defender for Endpoint を接続した後に EDR ポリシーを構成すると、ポリシー設定 Microsoft Defender for Endpoint クライアント構成パッケージの種類には、[コネクタから自動] という新しいオプションがあります。 このオプションを使用すると、Intune は Defender for Endpoint の展開からオンボード パッケージ (BLOB) を自動的に取得し、[オンボード] パッケージを手動で構成する必要が置き換えられます。

• グループ ポリシーまたは Microsoft Configuration Manager。

ヒント

複数のポリシーまたはポリシーの種類 ("デバイス構成" ポリシー、"エンドポイントの検出と応答" ポリシーなど) を使用して、同じデバイス設定 (Defender for Endpoint へのオンボードなど) を管理する場合は、デバイスにポリシーの競合を作成することができます。 競合の詳細については、"セキュリティ ポリシーの管理" に関する記事の「競合の管理」を参照してください。

デバイス構成プロファイルを作成して Windows デバイスをオンボードする

1. Microsoft Intune管理センターにサインインします。

2. [エンドポイント セキュリティ]>[エンドポイントの検出と応答]>[ポリシーの作成] の順に選択します。

3. [プラットフォーム] には、[Windows 10 以降] を選択します。

4. [プロファイルの種類] で [エンドポイントの検出と応答] を選択し、[作成] を選択します。

5. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力して、[次へ] を選択します。

6. [構成設定] ページの [エンドポイントの検出と応答] で次のオプションを構成します。

   • [すべてのファイルのサンプル共有]: Microsoft Defender for Endpoint のサンプル共有の構成パラメーターを取得または設定します。
   • [テレメトリの報告頻度を早める]: 高リスクのデバイスがある場合は、この設定を有効にして、Microsoft Defender for Endpoint サービスにより頻繁にテレメトリを報告することができます。

   Microsoft Configuration Manager を使用した Windows マシンのオンボードには、Microsoft Defender for Endpoint設定の詳細が記載されています。

   

   注:

   上記の画面キャプチャは、Intune と Microsoft Defender for Endpoint の接続を構成した後の構成オプションを示しています。 接続されると、オンボードおよびオフボード BLOB に関する詳細が自動的に生成され、Intune に転送されます。

   この接続を正しく構成していない場合、設定 [Microsoft Defender for Endpoint client configuration package type]\(Microsoft Defender for Endpoint クライアント構成パッケージの種類\) によってオンボード BLOB とオフボード BLOB を指定するオプションが表示されます。

7. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

8. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

   ユーザー グループに展開する場合、ユーザーはポリシーが適用される前にデバイスにサインインする必要があり、デバイスは Defender for Endpoint にオンボードできます。

   [次へ] を選択します。

9. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。 [OK]、[作成] の順に選択して変更内容を保存します。これで、プロファイルが作成されます。

macOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に macOS デバイスをオンボードできます。 オンボードによって Microsoft Defender Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

Intune の構成ガイダンスについては、macOS 用 Microsoft Defender For Endpoint に関する記事を参照してください。

最新リリースの新機能など、Mac 用 Microsoft Defender for Endpoint の詳細については、Microsoft 365 のセキュリティに関するドキュメントで Mac 用 Microsoft Defender for Endpoint に関する記事を参照してください。

Android デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に Android デバイスをオンボードできます。 オンボードによって Defender for Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

Android を実行するデバイス用の構成パッケージはありません。 代わりに、Microsoft Defender for Endpoint のドキュメントに含まれている Android 用 Microsoft Defender for Endpoint の概要に関する記事を参照して、Android の前提条件とオンボード手順をご確認ください。

Android を実行するデバイスの場合、Intune ポリシーを使用して、Android に対する Microsoft Defender for Endpoint を変更することもできます。 詳細については、Microsoft Defender for Endpoint の Web 保護に関するページを参照してください。

iOS/iPadOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に iOS/iPadOS デバイスをオンボードできます。 オンボードによって Defender for Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

iOS および iPadOS を実行するデバイス用の構成パッケージはありません。 代わりに、Microsoft Defender for Endpoint のドキュメントに含まれている iOS 用 Microsoft Defender for Endpoint の概要に関する記事を参照して、iOS/iPadOS の前提条件とオンボード手順を確認してください。

iOS/iPadOS (監視モード) が実行されているデバイスの場合、これらの種類のデバイスでプラットフォームによって提供される管理機能が向上する特殊な機能が用意されています。 これらの機能を利用するには、デバイスが監視モードになっているかどうかを Defender アプリが把握できる必要があります。 Intune を使用すると、ベスト プラクティスとしてすべての iOS デバイスを対象にする必要があるアプリ構成ポリシー (マネージド デバイスの場合) により、iOS 用 Defender アプリを構成できます。 詳細については、「 監視対象デバイスの完全な展開」を参照してください。

1. Microsoft Intune管理センターにサインインします。

2. [アプリ]>[アプリ構成ポリシー]>[マネージド デバイス] を選択します。

3. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力し、[プラットフォーム] として [iOS/iPadOS] を選択して、[次へ] を選択します。

4. [対象アプリ] として [Microsoft Defender for iOS] を選択します。

5. [設定] ページで、[構成キー] を issupervised に設定し、[値の型] を [文字列] に設定し、[構成値] に {{issupervised}} を設定します。

6. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

7. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 このシナリオの場合、[すべてのデバイス] を対象にするのがベスト プラクティスです。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

   ユーザー グループに展開するときは、ポリシーが適用される前に、ユーザーはデバイスにサインインする必要があります。

   [次へ] を選択します。

8. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

さらに、iOS/iPadOS (監視モード) が実行されているデバイスの場合は、Defender for iOS チームにより、iPad/iOS デバイスに展開するためにカスタム .mobileconfig プロファイルが使用できるようになっています。 .mobileconfig プロファイルは、ネットワーク トラフィックを分析して安全な閲覧エクスペリエンスを保証するために使用されます。これは、Defender for iOS の機能です。

1. https://aka.ms/mdatpiossupervisedprofile でホストされている .mobile プロファイルをダウンロードします。

2. Microsoft Intune管理センターにサインインします。

3. [デバイス]>[構成プロファイル]>[プロファイルの作成] の順に選択します。

4. [プラットフォーム] で [iOS/iPadOS] を選択します

5. [プロファイルの種類] で [カスタム] を選択してから、[作成] を選択します。

6. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力して、[次へ] を選択します。

7. ［構成プロファイル名］ を入力し、アップロードする .mobileconfig ファイルを選択します。

8. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

9. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 このシナリオの場合、[すべてのデバイス] を対象にするのがベスト プラクティスです。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

   ユーザー グループに展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。

   [次へ] を選択します。

10. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

デバイスのリスク レベルを設定するコンプライアンス ポリシーを作成して割り当てる

Android、iOS/iPadOS、Windows デバイスの場合、コンプライアンス ポリシーによって、デバイスに対して許容可能と見なすリスク レベルが決まります。

コンプライアンス ポリシーの作成に慣れていない場合は、「Microsoft Intune でコンプライアンス ポリシーを作成する」の記事の「ポリシーを作成する」の手順を参照してください。 次の情報は、コンプライアンス ポリシーの一部として Microsoft Defender for Endpoint を構成する場合に固有のものです。

1. Microsoft Intune管理センターにサインインします。

2. [デバイス]>[コンプライアンス ポリシー]>[ポリシー]>[ポリシーの作成] を選択します。

3. [プラットフォーム] については、ドロップダウン ボックスを使用して、次のいずれかのオプションを選択します。

   • Android デバイス管理者
   • Android エンタープライズ
   • iOS/iPadOS
   • Windows 10 以降

   次に、[作成] を選択し、[ポリシーの作成] 構成ウィンドウを開きます。

4. 後でこのポリシーを識別するのに役立つ [名前] を指定します。 [説明] を指定することもできます。

5. [コンプライアンス設定] タブで、[Microsoft Defender for Endpoint] グループを展開し、オプションの [デバイスは、次のマシン リスク スコア以下であることが必要] を目的のレベルに設定します。

   脅威レベルの分類は、Microsoft Defender for Endpoint によって決定されます。

   • [クリア]: このレベルはセキュリティ上最も安全です。 デバイスには既存のいかなる脅威も存在できず、引き続き会社のリソースにアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。 (Microsoft Defender for Endpoint には値 [安全] が使用されます。)
   • [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 脅威レベルが中または高のデバイスは非準拠になります。
   • [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
   • [高]: 最も安全性の低いレベルであり、すべての脅威レベルが許容されます。 脅威レベルが高、中または低のデバイスは準拠していると見なされます。

6. 該当するグループへのポリシーの割り当てを含め、ポリシーの構成を完了します。

デバイス リスク レベルを設定するアプリ保護ポリシーを作成し、割り当てる

iOS および iPadOS または Android 用のアプリケーション保護ポリシーを作成するための手順に従い、[アプリ]、[条件付き起動]、[割り当て] ページで次の情報を使用します。

• アプリ: アプリ保護ポリシーの対象とするアプリを選択します。 この機能セットでは、選択した Mobile Threat Defense ベンダーによるデバイスのリスク評価に基づいて、これらのアプリがブロックまたは選択的にワイプされます。

• 条件付き起動: [ デバイスの条件] の下にあるドロップダウン ボックスを使用して、[ 最大許容デバイス脅威レベル] を選択します。

  脅威レベルの [値] のオプション:

  • [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスにいかなる脅威も存在できず、デバイスからは引き続き会社のリソースにアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
  • [低]: 存在する脅威が低レベルの場合のみ、デバイスは準拠しています。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
  • [中]: デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
  • [高]: このレベルは最も安全性が低く、すべての脅威レベルが許可され、Mobile Threat Defense はレポート目的にのみ使用されます。 デバイスには、この設定でアクティブ化された MTD アプリが含まれている必要があります。

  [アクション] のオプション:

  • [アクセスのブロック]
  • [データのワイプ]

• [割り当て]: このポリシーをユーザーのグループに割り当てます。 Intune アプリ保護の対象アプリで企業データにアクセスすることについて、このグループのメンバーが使用するデバイスが評価されます。

重要

保護されたアプリに対してアプリ保護ポリシーを作成すると、デバイスの脅威レベルが評価されます。 構成によっては、許容レベルを満たしていないデバイスは、条件付き起動によりブロックされるか、選択的にワイプされます。 ブロックされた場合は、デバイスの脅威が解決され、選択した MTD ベンダーによって Intune に報告されるまで、会社のリソースにアクセスすることはできません。

条件付きアクセス ポリシーを作成する

条件付きアクセス ポリシーでは Microsoft Defender for Endpoint からのデータを使用して、お客様が設定した脅威レベルを超えるデバイスによるリソースへのアクセスをブロックすることができます。 デバイスから企業リソース (SharePoint や Exchange Online など) へのアクセスをブロックできます。

ヒント

条件付きアクセスは、Azure Active Directory (Azure AD) テクノロジです。 Microsoft Intune管理センターにある条件付きアクセス ノードは、Azure AD のノードです。

1. Microsoft Intune管理センターにサインインします。

2. [エンドポイント セキュリティ]>[条件付きアクセス]>[新しいポリシー] の順に選択します。

3. ポリシーの [名前] を入力して、[ユーザーとグループ] を選択します。 含めるオプションまたは除外するオプションを使用して、ポリシーのグループを追加した後、[完了] を選択します。

4. [クラウド アプリ] を選択して、保護するアプリを選択します。 たとえば、[アプリを選択] を選び、[Office 365 SharePoint Online] と [Office 365 Exchange Online] を選択します。

   [完了] を選んで変更内容を保存します。

5. [条件]>[クライアント アプリ] の順に選択して、アプリとブラウザーにポリシーを適用します。 たとえば、[はい] を選択し、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] を有効にします。

   [完了] を選んで変更内容を保存します。

6. [許可] を選択し、デバイスのコンプライアンスに基づいて条件付きアクセスを適用します。 たとえば、[アクセスの許可]>[デバイスは準拠しているとしてマーク済みである必要があります] の順に選択します。

   [選択] を選んで変更を保存します。

7. [ポリシーを有効にする]、[作成] の順に選択して変更を保存します。

次の手順

• Android 上で Microsoft Defender for Endpoint の設定を構成する
• リスク レベルのコンプライアンスを監視する

Intune のドキュメントで詳細を確認します。

• Defender for Endpoints の脆弱性管理でセキュリティ タスクを使用してデバイスの問題を修復する
• デバイス コンプライアンス ポリシーの概要
• アプリ保護ポリシーの概要

詳細については、Defender for Endpoint のドキュメントを参照してください。

• Microsoft Defender for Endpoint の条件付きアクセス
• Microsoft Defender for Endpoint のリスク ダッシュボード