Partilhar via

Configurar o Microsoft Defender para Endpoint em sinais de risco do Android através de Políticas de Proteção de Aplicações (MAM)

  • Artigo

Aplica-se a:

O Microsoft Defender para Endpoint para Android, que já protege utilizadores empresariais em cenários de Gestão de Dispositivos Móveis (MDM), agora expande o suporte para a Gestão de Aplicações Móveis (MAM) para dispositivos que não estão inscritos através da gestão de dispositivos móveis (MDM) do Intune. Também expande este suporte aos clientes que utilizam outras soluções de gestão de mobilidade empresarial, ao mesmo tempo que utilizam o Intune para a gestão de aplicações móveis (MAM). Esta capacidade permite-lhe gerir e proteger os dados da sua organização numa aplicação.

As informações sobre ameaças do Microsoft Defender para Endpoint no Android são aplicadas pelas Políticas de Proteção de Aplicações do Intune para proteger estas aplicações. As políticas de proteção de aplicações (APP) são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. Uma aplicação gerida tem políticas de proteção de aplicações aplicadas à mesma e pode ser gerida pelo Intune.

O Microsoft Defender para Endpoint no Android suporta ambas as configurações da MAM.

  • MDM + MAM do Intune: os administradores de TI só podem gerir aplicações através de Políticas de Proteção de Aplicações em dispositivos inscritos com a gestão de dispositivos móveis (MDM) do Intune.
  • MAM sem inscrição de dispositivos: a MAM sem inscrição de dispositivos ou MAM-WE permite que os administradores de TI façam a gestão de aplicações através de Políticas de Proteção de Aplicações em dispositivos não inscritos na MDM do Intune. Esta aprovisionamento significa que as aplicações podem ser geridas pelo Intune em dispositivos inscritos com fornecedores de EMM de terceiros. Para gerir aplicações em ambas as configurações, os clientes devem utilizar o Intune no centro de administração do Microsoft Intune.

Para ativar esta capacidade, um administrador tem de configurar a ligação entre o Microsoft Defender para Endpoint e o Intune, criar a política de proteção de aplicações e aplicar a política em aplicações e dispositivos visados.

Os utilizadores finais também precisam de tomar medidas para instalar o Microsoft Defender para Endpoint no respetivo dispositivo e ativar o fluxo de inclusão.

Pré-requisitos de administrador

  • Confirme que o conector do Microsoft Defender para Endpoint-Intune está ativado.

    1. Aceda a security.microsoft.com.

    2. Selecione Definições > Pontos Finais Funcionalidades > Avançadas > A Ligação do Microsoft Intune está ativada.

    3. Se a ligação não estiver ativada, selecione o botão de alternar para ativá-la e, em seguida, selecione Guardar Preferências.

      A secção Funcionalidades avançadas no portal do Microsoft Defender.

    4. Aceda ao centro de administração do Microsoft Intune e Valide se o conector do Microsoft Defender para Endpoint-Intune está ativado.

      O painel de estado do intune-connector no portal do Microsoft Defender.

  • Ative o Microsoft Defender para Endpoint no Conector Android para a Política de Proteção de Aplicações (APP).

    Configure o conector no Microsoft Intune para políticas de proteção de aplicações:

    1. Aceda a Conectores de Administração > de Inquilinos e Tokens > do Microsoft Defender para Ponto Final.

    2. Ative o botão de alternar para a política de proteção de aplicações para Android (como se pode ver na captura de ecrã seguinte).

    3. Seleccione Guardar.

      O painel de definições da aplicação no portal do Microsoft Defender.

  • Criar uma política de proteção de aplicações.

    Bloqueie o acesso ou a eliminação de dados de uma aplicação gerida com base nos sinais de risco do Microsoft Defender para Endpoint através da criação de uma política de proteção de aplicações.

    O Microsoft Defender para Endpoint pode ser configurado para enviar sinais de ameaças a serem utilizados em políticas de proteção de aplicações (APP, também conhecida como MAM). Com esta capacidade, pode utilizar o Microsoft Defender para Endpoint para proteger aplicações geridas.

    1. Criar uma política.

      As políticas de proteção de aplicações (APP) são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. Uma política pode ser uma regra que é imposta quando o utilizador tenta aceder ou mover dados "empresariais", ou um conjunto de ações que são proibidas ou monitorizadas quando o utilizador está dentro da aplicação.

      O separador Criar política na página Políticas de proteção de aplicações no portal do Microsoft Defender.

    2. Adicionar aplicações.

      1. Escolha como pretende aplicar esta política a aplicações em diferentes dispositivos. Em seguida, adicione pelo menos uma aplicação.

        Utilize esta opção para especificar se esta política se aplica a dispositivos não geridos. No Android, pode especificar que a política se aplica a dispositivos Android Enterprise, Administrador de Dispositivos ou Não Geridos. Também pode optar por direcionar a sua política para aplicações em dispositivos de qualquer estado de gestão.

        Uma vez que a gestão de aplicações móveis não requer gestão de dispositivos, pode proteger os dados da empresa em dispositivos geridos e não geridos. A gestão centra-se na identidade do utilizador, o que remove o requisito de gestão de dispositivos. As empresas podem utilizar políticas de proteção de aplicações com ou sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que utiliza um telemóvel emitido pela empresa e o seu próprio tablet pessoal. O telemóvel da empresa está inscrito na MDM e protegido por políticas de proteção de aplicações enquanto o dispositivo pessoal está protegido apenas por políticas de proteção de aplicações.

      2. Selecione Aplicações.

        Uma aplicação gerida é uma aplicação que tem políticas de proteção de aplicações aplicadas à mesma e que pode ser gerida pelo Intune. Qualquer aplicação que tenha sido integrada com o SDK do Intune ou encapsulada pela Ferramenta de Encapsulamento de Aplicações do Intune pode ser gerida através das Políticas de proteção de aplicações do Intune. Veja a lista oficial de aplicações protegidas do Microsoft Intune que foram criadas com estas ferramentas e que estão disponíveis para utilização pública.

        Exemplo: Outlook como uma aplicação gerida

        O painel Aplicações públicas no portal do Microsoft Defender.

    3. Defina os requisitos de segurança de início de sessão para a sua política de proteção.

      Selecione Definir > o nível máximo de ameaça permitido do dispositivo em Condições do Dispositivo e introduza um valor. Em seguida, selecione Ação: "Bloquear Acesso". O Microsoft Defender para Endpoint no Android partilha este Nível de Ameaça de Dispositivo.

      O painel Condições do dispositivo no portal do Microsoft Defender

  • Atribua grupos de utilizadores aos quais a política tem de ser aplicada.

    Selecione Grupos incluídos. Em seguida, adicione os grupos relevantes.

    O painel Grupos incluídos no portal do Microsoft Defender.

Nota

Se uma política de configuração se destinar a dispositivos não inscritos (MAM), a recomendação é implementar as definições gerais de configuração de aplicações nas Aplicações Geridas em vez de utilizar Dispositivos Geridos.

Ao implementar políticas de configuração de aplicações em dispositivos, podem ocorrer problemas quando várias políticas têm valores diferentes para a mesma chave de configuração e são direcionadas para a mesma aplicação e utilizador. Estes problemas devem-se à falta de um mecanismo de resolução de conflitos para resolver os diferentes valores. Pode evitar estes problemas ao garantir que apenas uma única política de configuração de aplicações para dispositivos é definida e direcionada para a mesma aplicação e utilizador.

Pré-requisitos do utilizador final

  • A aplicação de mediador tem de ser instalada.

    • Portal da Empresa do Intune

  • Os utilizadores têm as licenças necessárias para a aplicação gerida e têm a aplicação instalada.

Integração do utilizador final

  1. Inicie sessão numa aplicação gerida, por exemplo, o Outlook. O dispositivo está registado e a política de proteção de aplicações é sincronizada com o dispositivo. A política de proteção de aplicações reconhece o estado de funcionamento do dispositivo.

  2. Selecione Continuar. É apresentado um ecrã que recomenda a transferência e configuração da aplicação Microsoft Defender: Antivírus (Mobile).

  3. Selecione Transferir. Será redirecionado para a app store (Google Play).

  4. Instale a aplicação Microsoft Defender: Antivírus (Móvel) e volte ao ecrã de inclusão da aplicação gerida.

    Mostra o procedimento de transferência da aplicação Microsoft Defender: Antivírus (Móvel).

  5. Clique em Continuar Iniciação>. O fluxo de integração/ativação da aplicação Microsoft Defender para Endpoint é iniciado. Siga os passos para concluir a integração. Será redirecionado automaticamente para o ecrã de inclusão da aplicação gerida, que indica agora que o dispositivo está em bom estado de funcionamento.

  6. Selecione Continuar para iniciar sessão na aplicação gerida.

Configurar a proteção Web

O Defender para Endpoint no Android permite que os Administradores de TI configurem a proteção Web. A proteção Web está disponível no centro de administração do Microsoft Intune.

A proteção Web ajuda a proteger os dispositivos contra ameaças à Web e a proteger os utilizadores contra ataques de phishing. Tenha em atenção que os indicadores anti-phishing e personalizados (URL e endereços IP) são suportados como parte da proteção Web. Atualmente, a filtragem de conteúdos Web não é suportada em plataformas móveis.

  1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

  2. Dê um nome à política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , nas Definições de Configuração Geral, adicione as seguintes chaves e defina o respetivo valor conforme necessário.

    • antiphishing
    • vpn

    Para desativar a proteção Web, introduza 0 para os valores de antiphishing e VPN.

    Para desativar apenas a utilização de VPN por proteção Web, introduza estes valores:

    • 0 para vpn
    • 1 para antiphishing

    Adicione a chave DefenderMAMConfigs e defina o valor como 1.

  5. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.

  6. Reveja e crie a política.

Configurar a Proteção de Rede

  1. No centro de administração do Microsoft Intune, navegue para Aplicações>Políticas de configuração de aplicações. Criar uma nova Política de configuração de aplicações. Clique em Aplicações Geridas.

  2. Forneça um nome e uma descrição para identificar exclusivamente a política. Direcione a política para "Aplicações selecionadas" e procure "Microsoft Defender Endpoint para Android". Clique na entrada e, em seguida, clique em Selecionar e, em seguida , em Seguinte.

  3. Adicione a chave e o valor da tabela seguinte. Certifique-se de que a chave "DefenderMAMConfigs" está presente em todas as políticas que criar com a rota das Aplicações Geridas. Para a rota de Dispositivos Geridos, esta chave não deve existir. Quando terminar, clique em Seguinte.

    Chave Tipo de Valor Predefinição (1 ativar, 0 desativar) Descrição
    DefenderNetworkProtectionEnable Número inteiro 1 1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar as capacidades de proteção de rede na aplicação defender.
    DefenderAllowlistedCACertificates Cadeia Nenhum None-Disable; Esta definição é utilizada pelos administradores de TI para estabelecer confiança na AC de raiz e nos certificados autoassinados.
    DefenderCertificateDetection Número inteiro 0 2-Ativar, 1 - Modo de auditoria, 0 - Desativar; Quando esta funcionalidade está ativada com o valor como 2, as notificações do utilizador final são enviadas ao utilizador quando o Defender deteta um certificado incorreto. Os alertas também são enviados aos Administradores do SOC. No modo de auditoria (1), os alertas de notificação são enviados aos administradores do SOC, mas não são apresentadas notificações de utilizador final ao utilizador quando o Defender deteta um certificado incorreto. Os administradores podem desativar esta deteção com 0 como o valor e ativar a funcionalidade completa da funcionalidade ao definir 2 como o valor.
    DefenderOpenNetworkDetection Número inteiro 2 2-Ativar, 1 - Modo de auditoria, 0 - Desativar; Esta definição é utilizada pelos Administradores de TI para ativar ou desativar a deteção de rede aberta. Se mudar para o modo de auditoria com o valor 1, o alerta de notificação é enviado para o administrador do SOC, mas não é apresentada nenhuma notificação de utilizador final ao utilizador quando o Defender detetar uma rede aberta. Se estiver ativado com o valor 2, a notificação do utilizador final é apresentada e também são enviados alertas para os administradores do SOC.
    DefenderEndUserTrustFlowEnable Número inteiro 0 1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a experiência do utilizador final na aplicação para confiar e desconfiar das redes não seguras e suspeitas.
    DefenderNetworkProtectionAutoRemediation Número inteiro 1 1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar os alertas de remediação que são enviados quando um utilizador executa atividades de remediação, como mudar para pontos de acesso Wi-Fi mais seguros ou eliminar certificados suspeitos detetados pelo Defender.
    DefenderNetworkProtectionPrivacy Número inteiro 1 1 - Ativar, 0 - Desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a privacidade na proteção de rede. Se a privacidade estiver desativada com o valor 0, é mostrado o consentimento do utilizador para partilhar os dados de wi-fi ou certificados maliciosos. Se estiver no estado ativado com o valor 1, não é apresentado nenhum consentimento do utilizador e não são recolhidos dados da aplicação.

  4. Inclua ou exclua os grupos aos quais pretende aplicar a política. Avance para rever e submeter a política.

Nota

  • As outras chaves de configuração da Proteção de Rede só funcionarão se a chave principal "DefenderNetworkProtectionEnable" estiver ativada.
  • Os utilizadores precisam de ativar a permissão de localização (que é uma permissão opcional) e têm de conceder permissão "Permitir Todo o Tempo" para garantir a proteção contra Wi-Fi ameaça, mesmo quando a aplicação não está a ser utilizada ativamente. Se a permissão de localização for negada pelo utilizador, o Defender para Endpoint só poderá fornecer proteção limitada contra ameaças de rede e apenas protegerá os utilizadores de certificados não autorizados.

Configurar controlos de privacidade

Os administradores podem utilizar os seguintes passos para ativar a privacidade e não recolher o nome de domínio, os detalhes da aplicação e as informações de rede como parte do relatório de alerta para ameaças correspondentes.

  1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.
  2. Dê um nome à política.
  3. Em Selecionar Aplicações Públicas, selecione Microsoft Defender para Endpoint como a aplicação de destino.
  4. Na página Definições, em Definições gerais de Configuração, adicione DefenderExcludeURLInReport e DefenderExcludeAppInReport como as chaves e o valor como 1.
  5. Adicione a chave DefenderMAMConfigs e defina o valor como 1.
  6. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como 0.
  7. Na página Definições, na página Definições de Configuração Geral, adicione DefenderExcludeURLInReport, DefenderExcludeAppInReport como as chaves e o valor como verdadeiro.
  8. Adicione a chave DefenderMAMConfigs e defina o valor como 1.
  9. Atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.
  10. Reveja e crie a política.

Permissões opcionais

O Microsoft Defender para Endpoint no Android ativa Permissões Opcionais no fluxo de integração. Atualmente, as permissões exigidas pelo MDE são obrigatórias no fluxo de integração. Com esta funcionalidade, o administrador pode implementar a MDE em dispositivos Android com políticas de MAM sem impor as Permissões de VPN e Acessibilidade obrigatórias durante a integração. Os Utilizadores Finais podem integrar a aplicação sem as permissões obrigatórias e podem rever posteriormente estas permissões.

Configurar permissão opcional

Utilize os seguintes passos para ativar permissões Opcionais para dispositivos.

  1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

  2. Dê um nome à política.

  3. Selecione Microsoft Defender para Endpoint em aplicações públicas.

  4. Na página Definições, selecione Utilizar estruturador de configuração e DefenderOptionalVPN ou DefenderOptionalAccessibility ou ambos como chave.

  5. Adicione a chave DefenderMAMConfigs e defina o valor como 1.

  6. Para ativar permissões Opcionais, introduza o valor como 1 e atribua esta política aos utilizadores. Por predefinição, este valor está definido como 0.

    Para os utilizadores com a chave definida como 1, poderão integrar a aplicação sem conceder estas permissões.

  7. Na página Definições, selecione Utilizar estruturador de configuração e DefenderOptionalVPN ou DefenderOptionalAccessibility ou como chave e tipo de valor como Booleano.

  8. Adicione a chave DefenderMAMConfigs e defina o valor como 1.

  9. Para ativar permissões Opcionais, introduza o valor como verdadeiro e atribua esta política aos utilizadores. Por predefinição, este valor está definido como falso.

    Para os utilizadores com a chave definida como verdadeira, os utilizadores podem integrar a aplicação sem conceder estas permissões.

  10. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Fluxo de utilizador

Os utilizadores podem instalar e abrir a aplicação para iniciar o processo de integração.

  1. Se um administrador tiver configurado as Permissões opcionais, os utilizadores podem optar por ignorar a permissão de VPN ou de acessibilidade ou tanto e concluir a integração.

  2. Mesmo que o utilizador tenha ignorado estas permissões, o dispositivo é capaz de integrar e será enviado um heartbeat.

  3. Uma vez que as permissões estão desativadas, a proteção Web não estará ativa. Será parcialmente ativado se uma das permissões for concedida.

  4. Mais tarde, os utilizadores podem ativar a proteção Web a partir da aplicação. Esta ação irá instalar a configuração de VPN no dispositivo.

Nota

A definição Permissões opcionais é diferente da definição Desativar proteção Web. As permissões opcionais só ajudam a ignorar as permissões durante a integração, mas estão disponíveis para o utilizador final rever e ativar mais tarde, enquanto Desativar a proteção Web permite que os utilizadores integrem a aplicação Microsoft Defender para Endpoint sem a Proteção Web. Não pode ser ativado mais tarde.

Desativar terminar sessão

O Defender para Ponto Final permite-lhe implementar a aplicação e desativar o botão de fim de sessão. Ao ocultar o botão terminar sessão, os utilizadores são impedidos de terminar sessão na aplicação Defender. Esta ação ajuda a impedir a adulteração do dispositivo quando o Defender para Endpoint não está em execução.

Utilize os seguintes passos para configurar a opção Desativar a sessão:

  1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

  2. Indique um nome à política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , nas Definições de Configuração Geral, adicione DisableSignOut como a chave e defina o valor como 1.

    • Por predefinição, Desative Terminar Sessão = 0.
    • O administrador tem de ativar a opção Desativar Terminar Sessão = 1 para desativar o botão de terminar sessão na aplicação. Os utilizadores não verão o botão terminar sessão assim que a política for enviada para o dispositivo.

  5. Selecione Seguinte e atribua este perfil a utilizadores e dispositivos visados.

Etiquetagem de Dispositivos

O Defender para Endpoint no Android permite a identificação em massa dos dispositivos móveis durante a integração ao permitir que os administradores configurem etiquetas através do Intune. O administrador pode configurar as etiquetas de dispositivo através do Intune através de políticas de configuração e enviá-las para os dispositivos do utilizador. Assim que o Utilizador instalar e ativar o Defender, a aplicação cliente transmite as etiquetas do dispositivo para o Portal de Segurança. As Etiquetas de dispositivo são apresentadas nos dispositivos no Inventário de Dispositivos.

Utilize os seguintes passos para configurar as Etiquetas de dispositivo:

  1. No centro de administração do Microsoft Intune, aceda a Aplicações > Políticas de configuração de aplicações Adicionar > aplicações geridas>.

  2. Indique um nome à política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições, selecione Utilizar estruturador de configuração e adicione DefenderDeviceTag como a chave e o tipo de valor como Cadeia.

    • O administrador pode atribuir uma nova etiqueta ao adicionar a chave DefenderDeviceTag e definir um valor para a etiqueta do dispositivo.
    • O administrador pode editar uma etiqueta existente ao modificar o valor da chave DefenderDeviceTag.
    • O administrador pode eliminar uma etiqueta existente ao remover a chave DefenderDeviceTag.

  5. Clique em Seguinte e atribua esta política a utilizadores e dispositivos visados.

Nota

A aplicação Defender tem de ser aberta para que as etiquetas sejam sincronizadas com o Intune e transmitidas para o Portal de Segurança. As etiquetas podem demorar até 18 horas a refletir no portal.

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.