Konfigurera Defender för Endpoint för Android-funktioner
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Villkorlig åtkomst med Defender för Endpoint på Android
Microsoft Defender för Endpoint på Android, tillsammans med Microsoft Intune och Microsoft Entra ID, möjliggör framtvingande av principer för enhetsefterlevnad och villkorlig åtkomst baserat på enhetens risknivåer. Defender för Endpoint är en MTD-lösning (Mobile Threat Defense) som du kan distribuera via Intune.
Mer information om hur du konfigurerar Defender för Endpoint på Android och villkorsstyrd åtkomst finns i Defender för Endpoint och Intune.
Konfigurera anpassade indikatorer
Obs!
Defender för Endpoint på Android har endast stöd för att skapa anpassade indikatorer för IP-adresser och URL:er/domäner.
Defender för Endpoint på Android gör det möjligt för administratörer att konfigurera anpassade indikatorer för att stödja Android-enheter också. Mer information om hur du konfigurerar anpassade indikatorer finns i Hantera indikatorer.
Konfigurera webbskydd
Med Defender för Endpoint på Android kan IT-administratörer konfigurera webbskyddsfunktionen. Den här funktionen är tillgänglig i Microsoft Intune administrationscenter.
Webbskydd hjälper till att skydda enheter mot webbhot och skydda användare från nätfiskeattacker. Skydd mot nätfiske och anpassade indikatorer (URL och IP-adresser) stöds som en del av webbskyddet. Webbinnehållsfiltrering stöds för närvarande inte på mobila plattformar.
Obs!
Defender för Endpoint på Android skulle använda ett VPN för att tillhandahålla webbskyddsfunktionen. Det här VPN-nätverket är inte ett vanligt VPN. I stället är det ett lokalt/självslingande VPN som inte tar trafik utanför enheten.
Mer information finns i Konfigurera webbskydd på enheter som kör Android.
Nätverksskydd
Den här funktionen ger skydd mot falska Wi-Fi relaterade hot och falska certifikat, som är den primära attackvektorn för Wi-Fi nätverk. Administratörer kan lista rotcertifikatutfärdare (CA) och privata rotcertifikatutfärdarcertifikat i Microsoft Intune administrationscenter och upprätta förtroende med slutpunkter. Det ger användaren en guidad upplevelse för att ansluta till säkra nätverk och meddelar dem även om ett relaterat hot identifieras.
Den innehåller flera administratörskontroller som ger flexibilitet, till exempel möjligheten att konfigurera funktionen inifrån Microsoft Intune administrationscenter och lägga till betrodda certifikat. Administratörer kan aktivera sekretesskontroller för att konfigurera data som skickas till Defender för Endpoint från Android-enheter.
Nätverksskyddet i Microsoft Defender för slutpunkten är inaktiverat som standard. Administratörer kan använda följande steg för att konfigurera nätverksskydd på Android-enheter.
I Microsoft Intune administrationscenter går du till Appkonfigurationsprinciper för appar>. Skapa en ny appkonfigurationsprincip.
Ange ett namn och en beskrivning för att unikt identifiera principen. Välj "Android Enterprise" som plattform och "Endast personligt ägd arbetsprofil" som profiltyp och "Microsoft Defender" som Målapp.
På sidan Inställningar väljer du "Använd konfigurationsdesignern" och lägger till "Aktivera nätverksskydd i Microsoft Defender" som nyckel och värde som 0 för att inaktivera Nätverksskydd. (Nätverksskydd är aktiverat som standard)
Om din organisation använder rotcertifikatutfärdare som är privata måste du upprätta ett uttryckligt förtroende mellan Intune (MDM-lösning) och användarenheter. Genom att upprätta förtroende kan du förhindra att Defender flaggar rotcertifikatutfärdare som oseriösa certifikat.
Om du vill upprätta förtroende för rotcertifikatutfärdarna använder du certifikatlistan betrodd certifikatutfärdare för nätverksskydd som nyckel. I värdet lägger du till "kommaavgränsad lista över certifikattumavtryck (SHA 1)".
Exempel på tumavtrycksformat som ska läggas till:
50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431
Viktigt
Certifikat sha-1 tumavtryck tecken bör vara med antingen tomt utrymme avgränsade eller icke avgränsade.
Det här formatet är ogiltigt:
50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31
Andra separationstecken är ogiltiga.
För andra konfigurationer som rör nätverksskydd lägger du till följande nycklar och lämpligt motsvarande värde.
Konfigurationsnyckel Beskrivning Certifikatlista för betrodd certifikatutfärdare för nätverksskydd Säkerhetsadministratörer hanterar den här inställningen för att upprätta förtroende för rotcertifikatutfärdare och självsignerade certifikat. Aktivera nätverksskydd i Microsoft Defender 1 – Aktivera (standard), 0 – Inaktivera. Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen. Aktivera sekretess för nätverksskydd 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet. Gör det möjligt för användare att lita på nätverk och certifikat 1 – Aktivera, 0 – Inaktivera (standard). Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på oskyddade och misstänkta nätverk och skadliga certifikat. Automatisk reparation av nätverksskyddsaviseringar 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter, till exempel att växla till en säkrare Wi-Fi åtkomstpunkt eller ta bort misstänkta certifikat som identifieras av Defender. Hantera identifiering av nätverksskydd för öppna nätverk 2 – Aktivera (standard), 1 – Granskningsläge, 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera, granska eller inaktivera identifiering av öppna nätverk. I läget Granskning skickas aviseringar endast till ATP-portalen utan slutanvändarupplevelse. För slutanvändarupplevelsen ska konfigurationen vara inställd på "Aktivera"-läge. Hantera identifiering av nätverksskydd för certifikat 2 – Aktivera, 1 – Granskningsläge, 0 – Inaktivera (standard). I granskningsläge skickas aviseringar till SOC-administratörer, men inga slutanvändarmeddelanden visas för användaren när Defender identifierar ett felaktigt certifikat. Administratörer kan dock aktivera fullständiga funktionsfunktioner genom att ange 2 som värde. När funktionen är aktiverad med värdet 2 skickas slutanvändarmeddelanden till användaren när Defender identifierar ett felaktigt certifikat, och aviseringar skickas också till SOC-Admin. Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.
Konfigurationsnyckel Beskrivning Aktivera nätverksskydd i Microsoft Defender 1: Aktivera (standard)
0: Inaktivera
Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen.Aktivera sekretess för nätverksskydd 1: Aktivera (standard)
0: Inaktivera
Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet.Gör det möjligt för användare att lita på nätverk och certifikat 1: Aktivera
0: Inaktivera (standard)
Den här inställningen används av IT-administratörer för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på de oskyddade och misstänkta nätverken och skadliga certifikat.Automatisk reparation av nätverksskyddsaviseringar 1: Aktivera (standard)
0: Inaktivera
Den här inställningen används av IT-administratörer för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter. Användaren växlar till exempel till en säkrare Wi-Fi åtkomstpunkt eller tar bort misstänkta certifikat som har identifierats av Defender.Hantera identifiering av nätverksskydd för öppna nätverk 2: Aktivera (standard)
1: Granskningsläge
0: Inaktivera
Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera identifiering av öppna nätverk.Hantera identifiering av nätverksskydd för certifikat 2: Aktivera
1: Granskningsläge
0: Inaktivera (standard)
I granskningsläge skickas aviseringar till SOC-administratörer, men inga slutanvändarmeddelanden visas när Defender identifierar ett felaktigt certifikat. Administratörer kan aktivera fullständiga funktionsfunktioner genom att ange värdet 2. När värdet är 2 skickas slutanvändarmeddelanden till användare och aviseringar skickas till SOC-administratörer när Defender identifierar ett felaktigt certifikat.Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.
Obs!
- De andra konfigurationsnycklarna för Nätverksskydd fungerar bara om den överordnade nyckeln "Aktivera nätverksskydd i Microsoft Defender" är aktiverad.
- Användare måste aktivera platsbehörighet (vilket är en valfri behörighet) och måste ge behörigheten "Tillåt hela tiden" för att säkerställa skydd mot Wi-Fi hot, även när appen inte används aktivt. Om platsbehörigheten nekas av användaren kan Defender för Endpoint endast ge begränsat skydd mot nätverkshot och skyddar bara användarna från otillåtna certifikat.
Sekretesskontroller
Följande sekretesskontroller är tillgängliga för att konfigurera data som skickas av Defender för Endpoint från Android-enheter:
Hotrapport | Information |
---|---|
Rapport om skadlig kod | Administratörer kan konfigurera sekretesskontroll för rapport om skadlig kod. Om sekretess är aktiverat skickar Defender för Endpoint inte namnet på den skadliga koden och annan appinformation som en del av aviseringsrapporten för skadlig kod. |
Nätfiskerapport | Administratörer kan konfigurera sekretesskontroll för nätfiskerapporter. Om sekretess är aktiverat skickar Defender för Endpoint inte domännamnet och informationen om den osäkra webbplatsen som en del av rapporten om nätfiskeaviseringar. |
Sårbarhetsbedömning av appar | Som standard skickas endast information om appar som är installerade i arbetsprofilen för sårbarhetsbedömning. Administratörer kan inaktivera sekretess för att inkludera personliga appar |
Nätverksskydd | Administratörer kan aktivera eller inaktivera sekretess i nätverksskyddet. Om aktiverad skickar Defender inte nätverksinformation. |
Konfigurera sekretessaviseringsrapport
Administratörer kan nu aktivera sekretesskontroll för nätfiskerapporten, rapporten om skadlig kod och nätverksrapporten som skickas av Microsoft Defender för Endpoint på Android. Den här konfigurationen säkerställer att domännamn, appinformation respektive nätverksinformation inte skickas som en del av aviseringen när ett motsvarande hot identifieras.
Admin Privacy Controls (MDM) Använd följande steg för att aktivera sekretess.
I Microsoft Intune administrationscenter går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.
Ge principen ett namn, Plattform > Android enterprise, välj profiltyp.
Välj Microsoft Defender för Endpoint som målapp.
På sidan Inställningar väljer du Använd Configuration Designer och sedan Lägg till.
Välj den sekretessinställning som krävs
- Dölj URL:er i rapporten
- Dölj URL:er i rapporten för personlig profil
- Dölj appinformation i rapporten
- Dölj appinformation i rapporten för personlig profil
- Aktivera sekretess för nätverksskydd
Om du vill aktivera sekretess anger du heltalsvärdet 1 och tilldelar den här principen till användare. Som standard är det här värdet inställt på 0 för MDE i arbetsprofilen och 1 för MDE för personlig profil.
Granska och tilldela profilen till målenheter/användare.
Sekretesskontroller för slutanvändare
Dessa kontroller hjälper slutanvändaren att konfigurera den information som delas till organisationen.
- För Android Enterprise-arbetsprofilen visas inte slutanvändarkontroller. Administratörer styr de här inställningarna.
- För personlig Android Enterprise-profil visas kontrollen under Sekretess för inställningar>.
- Användarna ser en växlingsknapp för osäker webbplatsinformation, skadligt program och nätverksskydd.
Dessa reglage visas bara om de aktiveras av administratören. Användarna kan bestämma om de vill skicka informationen till organisationen eller inte.
Om du aktiverar/inaktiverar sekretesskontrollerna ovan påverkas inte enhetsefterlevnadskontrollen eller villkorlig åtkomst.
Konfigurera sårbarhetsbedömning av appar för BYOD-enheter
Från version 1.0.3425.0303 av Microsoft Defender för Endpoint på Android kan du köra sårbarhetsbedömningar av operativsystemet och appar som är installerade på de registrerade mobila enheterna.
Obs!
Sårbarhetsbedömning är en del av Microsoft Defender – hantering av säkerhetsrisker i Microsoft Defender för Endpoint.
Information om sekretess som rör appar från personliga enheter (BYOD):
- För Android Enterprise med en arbetsprofil stöds endast appar som är installerade på arbetsprofilen.
- För andra BYOD-lägen aktiveras som standard inte sårbarhetsbedömning av appar. Men när enheten är i administratörsläge kan administratörer uttryckligen aktivera den här funktionen via Microsoft Intune för att hämta listan över appar som är installerade på enheten. Mer information finns i informationen nedan.
Konfigurera sekretess för enhetsadministratörsläge
Använd följande steg för att aktivera sårbarhetsbedömning av appar från enheter i enhetsadministratörsläge för målanvändare.
Obs!
Som standard är detta inaktiverat för enheter som har registrerats med enhetsadministratörsläge.
I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:
- Plattform: Välj Android-enhetsadministratör
- Profil: Välj "Anpassad" och välj Skapa.
I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.
I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :
- Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
- OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderTVMPrivacyMode
- Datatyp: Välj Heltal i listrutan.
- Värde: Ange 0 för att inaktivera sekretessinställningen (som standard är värdet 1)
Välj Nästa och tilldela profilen till målenheter/användare.
Konfigurera sekretess för Android Enterprise-arbetsprofil
Defender för Endpoint stöder sårbarhetsbedömning av appar i arbetsprofilen. Men om du vill inaktivera den här funktionen för målanvändare kan du använda följande steg:
- I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper för appar> \>Lägg till>hanterade enheter.
- Ge principen ett namn. Plattform > Android Enterprise; välj profiltyp.
- Välj Microsoft Defender för Endpoint som målapp.
- På sidan Inställningar väljer du Använd Configuration Designer och lägger till Aktivera TVM-sekretess som nyckel- och värdetyp som Heltal
- Om du vill inaktivera sårbarhet för appar i arbetsprofilen anger du värdet som
1
och tilldelar den här principen till användare. Som standard är det här värdet inställt på0
.- För användare med nyckeluppsättning som
0
skickar Defender för Endpoint listan över appar från arbetsprofilen till serverdelstjänsten för sårbarhetsbedömning.
- För användare med nyckeluppsättning som
- Välj Nästa och tilldela profilen till målenheter/användare.
Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.
Konfigurera sekretess för aviseringsrapport för nätfiske
Sekretesskontroll för nätfiskerapport kan användas för att inaktivera insamling av domännamns- eller webbplatsinformation i nätfiskehotrapporten. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in domännamnet när en skadlig webbplats eller nätfiskewebbplats identifieras och blockeras av Defender för Endpoint.
Konfigurera sekretess för rapport om nätfiskeaviseringar på android-enhetsadministratörsregistrerade enheter:
Använd följande steg för att aktivera det för målanvändare:
I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:
- Plattform: Välj Android-enhetsadministratör.
- Profil: Välj "Anpassad" och välj Skapa.
I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.
I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :
- Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
- OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeURLInReport
- Datatyp: Välj Heltal i listrutan.
- Värde: Ange 1 för att aktivera sekretessinställningen. Standardvärdet är 0.
Välj Nästa och tilldela profilen till målenheter/användare.
Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten.
Konfigurera sekretess för phishing-aviseringsrapport i Android Enterprise-arbetsprofil
Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:
I Microsoft Intune administrationscenter och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.
Välj Microsoft Defender för Endpoint som målapp.
På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeURLInReport som nyckel- och värdetyp som Heltal.
Ange 1 för att aktivera sekretess. Standardvärdet är 0.
Välj Nästa och tilldela profilen till målenheter/användare.
Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.
Konfigurera sekretess för hotrapport om skadlig kod
Sekretesskontroll för hotrapport för skadlig kod kan användas för att inaktivera insamling av appinformation (namn och paketinformation) från hotrapporten om skadlig kod. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in appnamnet när en skadlig app identifieras.
Konfigurera sekretess för varningsrapport för skadlig kod på android-enhetsadministratörsregistrerade enheter:
Använd följande steg för att aktivera det för målanvändare:
I Microsoft Intune administrationscenter går du tillEnhetskonfigurationsprofiler>>Skapa profil och anger följande inställningar:
- Plattform: Välj Android-enhetsadministratör.
- Profil: Välj "Anpassad" och välj Skapa.
I avsnittet Grundläggande anger du ett namn och en beskrivning av profilen.
I konfigurationsinställningarna väljer du Lägg till OMA-URI-inställning :
- Namn: Ange ett unikt namn och en beskrivning för den här OMA-URI-inställningen så att du enkelt kan hitta den senare.
- OMA-URI: ./Vendor/MSFT/DefenderATP/DefenderExcludeAppInReport
- Datatyp: Välj Heltal i listrutan.
- Värde: Ange 1 för att aktivera sekretessinställningen. Standardvärdet är 0.
Välj Nästa och tilldela profilen till målenheter/användare.
Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten. Till exempel har enheter med en skadlig app alltid risknivån "Medel".
Konfigurera sekretess för varningsrapport för skadlig kod i Android Enterprise-arbetsprofil
Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:
I Microsoft Intune administrationscenter och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.
Välj Microsoft Defender för Endpoint som målapp.
På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeAppInReport som nyckel- och värdetyp som Heltal
Ange 1 för att aktivera sekretess. Standardvärdet är 0.
Välj Nästa och tilldela profilen till målenheter/användare.
Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten. Till exempel har enheter med en skadlig app alltid risknivån "Medel".
Inaktivera utloggning
Defender för Endpoint stöder distribution utan utloggningsknappen i appen för att förhindra användare från att logga ut från Defender-appen. Detta är viktigt för att förhindra att användare manipulerar enheten. Använd följande steg för att konfigurera Inaktivera utloggning:
I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.
Välj Microsoft Defender för Endpoint som målapp.
På sidan Inställningar väljer du Använd Configuration Designer och lägger till Inaktivera utloggning som nyckel och Heltal som värdetyp.
- Som standard inaktiverar du logga ut = 1 för Personligt ägda Android Enterprise-arbetsprofiler, fullständigt hanterade, företagsägda personligt aktiverade profiler och 0 för enhetsadministratörsläge.
- Administratörer måste göra Inaktivera utloggning = 0 för att aktivera utloggningsknappen i appen. Användarna kommer att kunna se utloggningsknappen när principen har push-överförts.
Välj Nästa och tilldela profilen till målenheter och användare.
Enhetstaggning
Defender för Endpoint på Android möjliggör masstaggning av mobila enheter under registrering genom att tillåta administratörer att konfigurera taggar via Intune. Admin kan konfigurera enhetstaggar via Intune via konfigurationsprinciper och skicka dem till användarens enheter. När användaren har installerat och aktiverat Defender skickar klientappen enhetstaggar till säkerhetsportalen. Enhetstaggar visas mot enheterna i enhetsinventeringen.
Använd följande steg för att konfigurera enhetstaggar:
I Microsoft Intune administrationscenter går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.
Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.
Välj Microsoft Defender för Endpoint som målapp.
På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderDeviceTag som nyckel- och värdetyp som Sträng.
- Admin kan tilldela en ny tagg genom att lägga till nyckeln DefenderDeviceTag och ange ett värde för enhetstaggen.
- Admin kan redigera en befintlig tagg genom att ändra värdet för nyckeln DefenderDeviceTag.
- Admin kan ta bort en befintlig tagg genom att ta bort nyckeln DefenderDeviceTag.
Klicka på Nästa och tilldela den här principen till målenheter och användare.
Obs!
Defender-appen måste öppnas för att taggar ska synkroniseras med Intune och skickas till säkerhetsportalen. Det kan ta upp till 18 timmar innan taggar visas i portalen.
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.