Microsoft Intune を使用した Android 用 Microsoft Defender for Endpoint の展開

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft Intune ポータル サイト登録済みデバイスに Android に Defender for Endpoint を展開する方法について説明します。 デバイス登録Microsoft Intune詳細については、「デバイスの登録」を参照してください。

注:

Android 上の Defender for Endpoint が Google Play で利用できるようになりました

Microsoft Intuneから Google Play に接続して、デバイス管理者と Android Enterprise 登録モードで Defender for Endpoint アプリを展開できます。

アプリへのUpdatesは、Google Play を介して自動的に実行されます。

デバイス管理者が登録したデバイスに展開する

Microsoft Intune ポータル サイト - デバイス管理者が登録したデバイスを使用して Android に Defender for Endpoint を展開する方法について説明します。

Android ストア アプリとして追加する

  1. 管理センター Microsoft Intuneで、[アプリ]>[Android アプリ]> [Android ストア アプリ追加]> の順に移動し、[選択] を選択します

    Microsoft Intune管理センター ポータルの [Android ストア アプリケーションの追加] ウィンドウ

  2. [ アプリの追加] ページと [ アプリ情報 ] セクションで、次のように入力します。

    その他のフィールドは省略可能です。 [次へ] を選択します。

    Microsoft Intune管理センター ポータルにアプリケーションの発行元と URL 情報が表示されている [アプリの追加] ページ

  3. [ 割り当て] セクションで 、[ 必須 ] セクションに移動し、[ グループの追加 ] を選択します。その後、Android アプリで Defender for Endpoint をターゲットにするユーザー グループを選択できます。 [ 選択] を選択 し、[ 次へ] を選択します。

    注:

    選択したユーザー グループは、登録されているユーザー Intune構成する必要があります。

    Microsoft Intune管理センター ポータルの [アプリの追加] ページの [グループの追加] ウィンドウ

  4. [Review+Create] セクションで、入力したすべての情報が正しいことを確認し、[Create] を選択します。

    しばらくすると、Defender for Endpoint アプリが正常に作成され、ページの右上隅に通知が表示されます。

    Microsoft Intune管理センター ポータルの [アプリケーションの状態] ウィンドウ

  5. 表示されるアプリ情報ページの [ モニター ] セクションで、[ デバイスのインストール状態 ] を選択して、デバイスのインストールが正常に完了したことを確認します。

    Microsoft Defender 365 ポータルの [デバイスのインストール状態] ページ

オンボードとチェックの状態を完了する

  1. Android 上の Defender for Endpoint がデバイスにインストールされると、アプリ アイコンが表示されます。

    [Search] ウィンドウに一覧表示されているMicrosoft Defender ATP アイコン

  2. Microsoft Defender for Endpointアプリ アイコンをタップし、画面の指示に従ってアプリのオンボードを完了します。 詳細には、Android 上の Defender for Endpoint で必要な Android アクセス許可のエンド ユーザーの同意が含まれます。

  3. オンボードが成功すると、Microsoft Defender ポータルの [デバイス] 一覧にデバイスが表示されるようになります。

    Microsoft Defender for Endpoint ポータルのデバイス

Android Enterprise 登録済みデバイスにデプロイする

Android 上の Defender for Endpoint では、Android Enterprise 登録済みデバイスがサポートされています。

Microsoft Intuneでサポートされる登録オプションの詳細については、「登録オプション」を参照してください。

現在、仕事用プロファイルと会社所有のフル マネージド ユーザー デバイス登録を持つ個人所有のデバイスは、展開でサポートされています。

Android でマネージド Google Play アプリとしてMicrosoft Defender for Endpointを追加する

次の手順に従って、管理対象の Google Play にMicrosoft Defender for Endpointアプリを追加します。

  1. 管理センター Microsoft Intuneで、[アプリ>] [Android アプリ>の追加] に移動し、[マネージド Google Play アプリ] を選択します。

    Microsoft Intune管理センター ポータルのアプリケーションの追加ウィンドウ

  2. その後読み込まれるマネージド Google Play ページで、検索ボックスに「」と入力 Microsoft Defenderします。 検索には、マネージド Google Play のMicrosoft Defender for Endpoint アプリが表示されます。 アプリの検索結果からMicrosoft Defender for Endpoint アプリをクリックします。

    Microsoft Intune管理センター ポータルの [マネージド Google Play] ページ

  3. 次に表示される [アプリの説明] ページで、Defender for Endpoint でアプリの詳細を確認できます。 ページの情報を確認し、[承認] を選択 します

    Microsoft Intune管理センター ポータルのマネージド Google Play のページ

  4. Defender for Endpoint が機能するために取得するアクセス許可が表示されます。 それらを確認し、[承認] を選択 します

    Microsoft Defender 365 ポータルのアクセス許可の承認ページ

  5. [承認設定] ページが表示されます。 このページでは、Android 上の Defender for Endpoint が要求する可能性がある新しいアプリのアクセス許可を処理する設定が確認されます。 選択肢を確認し、任意のオプションを選択します。 [完了] を選択します。

    既定では、マネージド Google Play では、 アプリが新しいアクセス許可を要求したときに [承認を維持する] が選択されます。

    Microsoft Defender 365 ポータルの [承認設定の構成完了] ページ

  6. アクセス許可処理の選択が完了したら、[同期] を選択してMicrosoft Defender for Endpointをアプリの一覧に同期します。

    Microsoft Defender 365 ポータルの [同期] ウィンドウ

  7. 数分で同期が完了します。

    Microsoft Defender 365 ポータルの [Android アプリ] ページの [アプリケーション同期の状態] ウィンドウ

  8. [Android アプリ] 画面で [更新] ボタンを選択すると、アプリの一覧にMicrosoft Defender for Endpointが表示されます。

    同期されたアプリケーションを表示するページ

  9. Defender for Endpoint では、Microsoft Intuneを使用した管理対象デバイスのアプリ構成ポリシーがサポートされています。 この機能を利用して、Defender のさまざまな構成を選択できます。

    1. [ アプリ ] ページで、[ ポリシー] [アプリ構成ポリシー > ] [管理対象デバイスの > 追加] > の順に移動します

      Microsoft Intune管理センター ポータルの [アプリ構成ポリシー] ウィンドウ

    2. [アプリ構成ポリシーのCreate] ページで、次の詳細を入力します。

      • 名前: Microsoft Defender for Endpoint。
      • プラットフォームとして [Android Enterprise] を選択します。
      • [ 個人所有の仕事用プロファイルのみ] または [ フル マネージド、専用、会社所有の仕事用プロファイルのみ ] を [プロファイルの種類] として選択します。
      • [アプリの選択] をクリックし、[Microsoft Defender] を選択し、[OK] を選択し、[次へ] を選択します。

      [関連付けられたアプリの詳細] ウィンドウのスクリーンショット。

    3. [アクセス許可の追加] を選択します>。 一覧から、使用可能なアプリのアクセス許可 >[OK] を選択します

    4. このポリシーで付与するアクセス許可ごとにオプションを選択します。

      • プロンプト - ユーザーに同意または拒否を求めるメッセージが表示されます。
      • 自動付与 - ユーザーに通知せずに自動的に承認します。
      • 自動拒否 - ユーザーに通知せずに自動的に拒否します。

    5. [構成設定] セクションに移動し、[構成設定] 形式で [構成デザイナーを使用する] を選択します。

      Android のアプリ構成ポリシーの作成の画像。

    6. [ 追加 ] をクリックして、サポートされている構成の一覧を表示します。 必要な構成を選択し、[ OK] をクリックします。

      Android 用の構成ポリシーの選択の画像。

    7. 選択したすべての構成が一覧表示されます。 必要に応じて構成値を変更し、[ 次へ] を選択できます。

      選択した構成ポリシーの画像。

    8. [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [ 含めるグループの選択 ] をクリックし、該当するグループを選択し、[ 次へ] を選択します。 ここで選択したグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるグループと同じです。

      [選択したグループ] ウィンドウ

    9. 次に表示される [確認とCreate] ページで、すべての情報を確認し、[Create] を選択します。

      Defender for Endpoint のアプリ構成ポリシーが、選択したユーザー グループに割り当てられるようになりました。

  10. [プロパティ>] [割り当て>] [編集] の一覧で [アプリMicrosoft Defender選択します>。

    [プロパティ] ページの [編集] オプション

  11. ユーザー グループにアプリを 必須 アプリとして割り当てます。 これは、ポータル サイトアプリを介してデバイスの次の同期中に仕事用プロファイルに自動的にインストールされます。 この割り当ては、[必須] セクション > [グループの追加] に移動し、ユーザー グループを選択して [選択] をクリックすることで実行できます。

    [アプリケーションの編集] ページ

  12. [ アプリケーションの編集] ページで、上記で入力したすべての情報を確認します。 次に、[ 確認と保存] を選択し、もう一度 [保存] を選択 して割り当てを開始します。

Always-on VPN の自動セットアップ

Defender for Endpoint では、Microsoft Intuneを使用した管理対象デバイスのデバイス構成ポリシーがサポートされています。 この機能は、Android Enterprise 登録済みデバイスでの Always-on VPN の自動セットアップ に利用できるため、エンド ユーザーはオンボード中に VPN サービスを設定する必要はありません。

  1. [デバイス] で、[構成プロファイル>Createプロファイル>プラットフォーム>Android Enterprise] を選択します。

    デバイス登録の種類に基づいて、次のいずれかの下にある [デバイス 制限 ] を選択します。

    • フル マネージド、専用、Corporate-Owned 作業プロファイル
    • 個人所有の仕事用プロファイル

    [作成] を選択します。

    [ポリシー] ウィンドウの [構成プロファイル] メニュー項目

  2. 構成設定 [ 名前][説明] を指定して、構成プロファイルを一意に識別します。

    [基本] ウィンドウのデバイス構成プロファイルの [名前] フィールドと [説明] フィールド

  3. [ 接続] を 選択し、VPN を構成します。

    • Always-on VPN を有効にする

      作業プロファイルに VPN クライアントを設定して、可能な限り VPN に自動的に接続して再接続します。 特定のデバイス上の Always-on VPN 用に構成できる VPN クライアントは 1 つだけであるため、1 つのデバイスに展開される Always-on VPN ポリシーは 1 つ以下にしてください。

    • [VPN クライアントで カスタム ] ドロップダウン リストを選択します

      この場合のカスタム VPN は、Web 保護機能を提供するために使用される Defender for Endpoint VPN です。

      注:

      この VPN の自動セットアップを機能させるには、Microsoft Defender for Endpointアプリをユーザーのデバイスにインストールする必要があります。

    • Google Play ストアのMicrosoft Defender for Endpoint アプリのパッケージ ID を入力します。 Defender アプリ URL https://play.google.com/store/apps/details?id=com.microsoft.scmxの場合、パッケージ ID は com.microsoft.scmx です

    • ロックダウン モード 未構成 (既定値)

      [構成設定] タブの [接続] ウィンドウ

  4. 割り当て

    [ 割り当て] ページで、このアプリ構成ポリシーを割り当てるユーザー グループを選択します。 [含める グループの選択 ] を選択し、該当するグループを選択し、[ 次へ] を選択します。 ここで選択したグループは、通常、Android アプリMicrosoft Defender for Endpoint割り当てるグループと同じです。

    [デバイスの制限] の [デバイス構成プロファイルの割り当て] ウィンドウのスクリーンショット。

  5. 次に表示される [確認とCreate] ページで、すべての情報を確認し、[Create] を選択します。 これで、デバイス構成プロファイルが選択したユーザー グループに割り当てられます。

    確認と作成のためのデバイス構成プロファイルのプロビジョニング

状態を確認し、オンボードを完了する

  1. [デバイスのインストール状態] をクリックして、Android 上のMicrosoft Defender for Endpointのインストール状態を確認します。 デバイスがここに表示されていることを確認します。

    デバイスのインストール状態ウィンドウ

  2. デバイスでは、 作業プロファイルに移動してオンボード状態を検証できます。 Defender for Endpoint が使用可能であり、仕事用プロファイルを使用して 個人所有のデバイスに登録されていることを確認します。 企業所有のフル マネージド ユーザー デバイスに登録されている場合は、デバイス上に 1 つのプロファイルがあり、Defender for Endpoint が使用可能であることを確認できます。

    アプリケーションの表示ウィンドウ

  3. アプリがインストールされたら、アプリを開き、アクセス許可を受け入れると、オンボードが成功します。

    モバイル デバイスでのMicrosoft Defender for Endpoint アプリケーションの表示

  4. この段階では、デバイスは Android 上の Defender for Endpoint に正常にオンボードされます。 これを確認するには、Microsoft Defender ポータル[デバイス インベントリ] ページに移動します。

    Microsoft Defender for Endpoint ポータル

ANDROID Enterprise の個人用プロファイルで BYOD モードでMicrosoft Defenderを設定する

個人用プロファイルでMicrosoft Defenderを設定する

管理者は、次の手順に従って、Microsoft Endpoint Management 管理センターにアクセスして、個人プロファイルMicrosoft Defenderサポートを設定および構成できます。

  1. [アプリアプリ>の構成ポリシー] に移動し、[追加] をクリックします。 [ マネージド デバイス] を選択します

    アプリ構成ポリシーの追加の画像。

  2. [名前] と [説明] を入力して、構成ポリシーを一意に識別します。 [プラットフォーム] を [Android Enterprise] として選択し、[プロファイルの種類] を [個人所有の仕事用プロファイルのみ] に、[対象アプリ] を [Microsoft Defender] として選択します。

    名前付け構成ポリシーの画像。

  3. [設定] ページの [構成設定の形式] で、[ 構成デザイナーを使用 する] を選択し、[ 追加] をクリックします。 表示される構成の一覧から、[個人用プロファイルにMicrosoft Defender] を選択します

    個人用プロファイルの構成の画像。

  4. 選択した構成が一覧表示されます。 個人プロファイルをサポートMicrosoft Defender有効にするには、構成値を 1 に変更します。 管理者に同じことを通知する通知が表示されます。 [ 次へ] をクリックします。

    構成値の変更の画像。

  5. 構成ポリシーをユーザーのグループに割り当てます。 ポリシーを確認して作成します。

    ポリシーの確認と作成のイメージ。

管理者は、Microsoft Intune管理センターからプライバシー制御を設定して、Defender モバイル クライアントからセキュリティ ポータルに送信できるデータを制御することもできます。 詳細については、「 プライバシー制御の構成」を参照してください。

組織は、登録されている BYOD デバイス上のMicrosoft Defenderを使用して個人用プロファイルを保護するために、ユーザーと通信できます。

  • 前提条件: Microsoft Defenderは、個人用プロファイルでMicrosoft Defenderを有効にするには、作業プロファイルに既にインストールされ、アクティブになっている必要があります。

デバイスのオンボードを完了するには

  1. 個人の Google Play ストア アカウントを持つ個人用プロファイルに、Microsoft Defender アプリケーションをインストールします。
  2. 個人用プロファイルにポータル サイト アプリケーションをインストールします。 サインインは必要ありません。
  3. ユーザーがアプリケーションを起動すると、サインイン画面が表示されます。 企業アカウントのみを使用してログインします。
  4. ログインに成功すると、ユーザーには次の画面が表示されます。
    1. EULA 画面: ユーザーがまだ仕事用プロファイルに同意していない場合にのみ表示されます。
    2. 通知画面: ユーザーは、アプリケーションのオンボードを進めるために、この画面に同意する必要があります。 これは、アプリの初回実行時にのみ必要です。
  5. オンボードを完了するために必要なアクセス許可を指定します。

注:

前提条件:

  1. 個人用プロファイルでポータル サイトを有効にする必要があります。
  2. Microsoft Defenderは、作業プロファイルに既にインストールされ、アクティブである必要があります。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。