使用应用保护策略 (MAM) 配置 Android 上的 Microsoft Defender for Endpoint 风险信号
适用于:
Microsoft Android 上的 Defender for Endpoint 已在移动设备管理 (MDM) 方案中保护企业用户,现在将支持扩展到移动应用管理 (MAM) ,适用于未使用 Intune 移动设备管理 (MDM) 注册的设备。 它还将此支持扩展到使用其他企业移动性管理解决方案的客户,同时仍使用 Intune 进行移动应用程序管理 (MAM) 。 借助此功能,可以在应用程序中管理和保护组织的数据。
Microsoft Android 上的 Defender for Endpoint 威胁信息由 Intune 应用保护策略来保护这些应用。 应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 托管应用程序应用了应用保护策略,可由 Intune 管理。
Microsoft Android 上的 Defender for Endpoint 支持 MAM 的两种配置。
- Intune MDM + MAM:IT 管理员只能在已注册 Intune 移动设备管理 (MDM) 的设备上使用应用保护策略来管理应用。
- 无需设备注册的 MAM:没有设备注册的 MAM 或 MAM-WE 允许 IT 管理员在未使用 Intune MDM 注册的设备上使用 应用保护策略 来管理应用。 此预配意味着 Intune 可以在注册到第三方 EMM 提供程序的设备上管理应用。 若要管理这两种配置中的应用,客户应在 Intune 管理中心Microsoft使用 Intune。
若要启用此功能,管理员需要配置 Microsoft Defender for Endpoint 与 Intune 之间的连接,创建应用保护策略,并在目标设备和应用程序上应用该策略。
最终用户还需要采取措施,在其设备上安装 Microsoft Defender for Endpoint 并激活载入流。
管理员先决条件
验证是否已启用 Microsoft Defender for Endpoint-Intune 连接器。
在 Android 连接器上启用 Microsoft Defender for Endpoint for App Protection Policy (APP) 。
在 Microsoft Intune 上为应用保护策略配置连接器:
创建应用保护策略。
通过创建应用保护策略,根据 Microsoft Defender for Endpoint 风险信号阻止访问或擦除托管应用的数据。
可以将 Microsoft Defender for Endpoint 配置为发送威胁信号,以便在应用保护策略 (应用(也称为 MAM) ) 中使用。 借助此功能,可以使用 Microsoft Defender for Endpoint 来保护托管应用。
创建策略。
应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。
添加应用。
选择要将此策略应用于不同设备上的应用的方式。 然后至少添加一个应用。
使用此选项可指定此策略是否应用于非托管设备。 在 Android 中,可以指定策略适用于 Android 企业版、设备管理员或非托管设备。 还可以选择将策略定向到任何管理状态设备上的应用。
由于移动应用管理不需要设备管理,因此可在受管理和不受管理设备上保护公司数据。 管理以用户标识为中心,因而不再需要设备管理。 公司可以同时使用具有或不带 MDM 的应用保护策略。 例如这样一种情况:员工同时使用公司电话和其个人平板电脑。 公司的手机在 MDM 中注册且受应用保护策略保护,而个人设备仅受应用保护策略保护。
选择“应用”。
受管理应用是一种自身执行应用保护策略的应用,可由 Intune 管理。 任何已与 Intune SDK 集成或由 Intune 应用包装工具 包装的应用都可以使用 Intune 应用保护策略进行管理。 请参阅使用以下工具构建并可供公众使用的 Microsoft Intune 保护的应用的官方列表。
示例:Outlook 作为托管应用
设置保护策略的登录安全要求。
在“设备条件”中选择“设置>允许的最大设备威胁级别”,然后输入一个值。 然后选择“操作:”阻止访问”。 Microsoft Android 上的 Defender for Endpoint 共享此设备威胁级别。
分配需要应用策略的用户组。
选择“ 包含的组”。 然后添加相关组。
注意
如果配置策略针对未注册的设备 (MAM) ,则建议在托管应用中部署常规应用配置设置,而不是使用托管设备。
将应用配置策略部署到设备时,如果多个策略对同一配置密钥具有不同的值,并且针对同一应用和用户,则可能会出现问题。 这些问题是由于缺少用于解决不同值的冲突解决机制。 可以通过确保仅针对同一应用和用户定义并针对设备的单个应用配置策略来防止这些问题。
最终用户先决条件
必须安装代理应用。
- Intune 公司门户
用户具有托管应用所需的许可证,并已安装该应用。
最终用户加入
登录到托管应用程序,例如 Outlook。 设备已注册,应用程序保护策略已同步到设备。 应用程序保护策略可识别设备的运行状况状态。
选择 继续。 显示一个屏幕,建议下载和设置 Microsoft Defender:防病毒 (Mobile) 应用。
选择“下载”。 你将被重定向到应用商店, (Google 播放) 。
安装 Microsoft Defender:防病毒 (移动) 应用,然后返回到托管应用载入屏幕。
单击“ 继续 > 启动”。 Microsoft Defender for Endpoint 应用载入/激活流已启动。 按照步骤完成载入。 你将自动重定向回托管应用载入屏幕,现在指示设备正常运行。
选择“ 继续 ”以登录到托管应用程序。
配置 Web 保护
Android 上的 Defender for Endpoint 允许 IT 管理员配置 Web 保护。 Microsoft Intune 管理中心内提供 Web 保护。
Web 保护有助于保护设备免受 Web 威胁,并保护用户免受钓鱼网站攻击。 请注意,) 的 URL 和 IP 地址 (防钓鱼和自定义指示器作为 Web 保护的一部分受支持。 移动平台上当前不支持 Web 内容筛选。
在 Intune 管理中心Microsoft,转到 “应用” > “应用配置策略 > ”“添加 > 托管应用”。
为策略指定 名称。
在 “选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。
在 “设置” 页的 “常规配置设置”下,添加以下键并根据需要设置其值。
- antiphishing
- vpn
若要禁用 Web 保护,请为反钓鱼和 VPN 值输入 0。
若要仅通过 Web 保护禁用 VPN 的使用,请输入以下值:
- 0(对于 vpn)
- 1 用于反钓鱼
添加 DefenderMAMConfigs 键并将值设置为 1。
将此策略分配给用户。 默认情况下,此值设置为 false。
查看并创建策略。
配置网络保护
在 Microsoft Intune 管理中心,导航到 “应用应用>配置策略”。 创建新的应用配置策略。 单击“托管应用”。
提供用于唯一标识策略的名称和说明。 将策略定位为“所选应用”,并搜索“Microsoft适用于 Android 的 Defender Endpoint”。 单击条目,然后单击 “选择” ,然后单击“ 下一步”。
添加下表中的键和值。 确保使用托管应用路由创建的每个策略中都存在 “DefenderMAMConfigs” 密钥。 对于托管设备路由,此密钥不应存在。 完成后,单击“ 下一步”。
键 值类型 默认 (1 启用、0-disable) 说明 DefenderNetworkProtectionEnable
整数 1 1 - 启用,0 - 禁用;IT 管理员使用此设置在 defender 应用中启用或禁用网络保护功能。 DefenderAllowlistedCACertificates
String None None-Disable;IT 管理员使用此设置来建立根 CA 和自签名证书的信任。 DefenderCertificateDetection
整数 0 2-启用,1 - 审核模式,0 - 禁用;如果启用此功能且值为 2,则 Defender 检测到错误的证书时,会将最终用户通知发送给用户。 警报也会发送给 SOC 管理员。 在审核模式下, (1) ,通知警报会发送给 SOC 管理员,但当 Defender 检测到错误的证书时,不会向用户显示最终用户通知。 管理员可以禁用此检测,并将 0 设置为值,并通过将 2 设置为值来启用完整功能。 DefenderOpenNetworkDetection
整数 2 2-启用,1 - 审核模式,0 - 禁用;IT 管理员使用此设置来启用或禁用打开的网络检测。 如果切换到值为 1 的审核模式,则通知警报将发送给 SOC 管理员,但在 defender 检测到打开的网络时,不会向用户显示最终用户通知。 如果启用了值 2,则会显示最终用户通知,并向 SOC 管理员发送警报。 DefenderEndUserTrustFlowEnable
整数 0 1 - 启用,0 - 禁用;IT 管理员使用此设置启用或禁用最终用户应用内体验,以信任和不信任不安全的可疑网络。 DefenderNetworkProtectionAutoRemediation
整数 1 1 - 启用,0 - 禁用;IT 管理员使用此设置启用或禁用当用户执行修正活动(例如切换到更安全的 Wi-Fi 接入点或删除 Defender 检测到的可疑证书)时发送的修正警报。 DefenderNetworkProtectionPrivacy
整数 1 1 - 启用,0 - 禁用;IT 管理员使用此设置来启用或禁用网络保护中的隐私。 如果使用值 0 禁用隐私,则会显示用户同意共享恶意 wifi 或证书数据。 如果处于启用状态且值为 1,则不会显示用户同意,并且不会收集应用数据。 包括或排除要应用策略的组。 继续查看并提交策略。
注意
- 仅当启用了父密钥“DefenderNetworkProtectionEnable”时,网络保护的其他配置密钥才起作用。
- 用户需要启用位置权限 (这是一种可选权限) ,并且需要授予“允许所有时间”权限,以确保即使应用未主动使用,也能够防范 Wi-Fi 威胁。 如果用户拒绝了位置权限,Defender for Endpoint 将只能针对网络威胁提供有限的保护,并且只能保护用户免受恶意证书的侵害。
配置隐私控制
管理员可以使用以下步骤来启用隐私,而不收集域名、应用详细信息和网络信息作为相应威胁警报报告的一部分。
- 在 Microsoft Intune 管理中心,转到 “应用” > “应用”“应用配置策略 > ”“添加 > 托管应用”。
- 为策略指定 名称。
- 在“选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。
- 在“设置”页上的“常规配置设置”下,将 DefenderExcludeURLInReport 和 DefenderExcludeAppInReport 添加为键,并将值添加为 1。
- 添加 DefenderMAMConfigs 键并将值设置为 1。
- 将此策略分配给用户。 默认情况下,此值设置为 0。
- 在“设置”页的“常规配置设置”下,将 DefenderExcludeURLInReport、 DefenderExcludeAppInReport 添加为键,并将值添加为 true。
- 添加 DefenderMAMConfigs 键并将值设置为 1。
- 将此策略分配给用户。 默认情况下,此值设置为 false。
- 查看并创建策略。
可选权限
Microsoft Android 上的 Defender for Endpoint 在载入流中启用可选权限。 目前,MDE 所需的权限在载入流中是必需的。 借助此功能,管理员可以使用 MAM 策略在 Android 设备上部署 MDE,而无需在载入期间强制实施强制 VPN 和辅助功能权限。 最终用户可以在没有强制权限的情况下加入应用,以后可以查看这些权限。
配置可选权限
使用以下步骤为设备启用可选权限。
在 Microsoft Intune 管理中心,转到 “应用” > “应用”“应用配置策略 > ”“添加 > 托管应用”。
为策略指定 名称。
在公共应用中 选择“Microsoft Defender for Endpoint ”。
在“设置”页上,选择“使用配置设计器和/或使用 DefenderOptionalVPN 或 DefenderOptionalAccessibility”作为键。
添加 DefenderMAMConfigs 键并将值设置为 1。
若要启用可选权限,请输入值 1 并将此策略分配给用户。 默认情况下,此值设置为 0。
对于密钥设置为 1 的用户,他们将能够在不授予这些权限的情况下载入应用。
在“设置”页中,选择“ 使用配置设计器 ”和“ DefenderOptionalVPN ”或 “DefenderOptionalAccessibility” ,或 同时 将键和值类型作为布尔值类型。
添加 DefenderMAMConfigs 键并将值设置为 1。
若要启用可选权限,请输入值为 true ,并将此策略分配给用户。 默认情况下,此值设置为 false。
对于密钥设置为 true 的用户,用户无需授予这些权限即可载入应用。
选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。
用户流程
用户可以安装并打开应用以启动载入过程。
如果管理员设置了“可选权限”,则用户可以选择跳过 VPN 或辅助功能权限,或同时跳过这两者并完成载入。
即使用户已跳过这些权限,设备也能够载入,并且将发送检测信号。
由于禁用了权限,因此 Web 保护不会处于活动状态。 如果授予其中一个权限,它将部分处于活动状态。
稍后,用户可以从应用内启用 Web 保护。 这将在设备上安装 VPN 配置。
注意
“可选权限”设置不同于“禁用 Web 保护”设置。 可选权限仅有助于在载入过程中跳过权限,但最终用户可在以后查看和启用该权限,而“禁用 Web 保护”允许用户在没有 Web 保护的情况下载入 Microsoft Defender for Endpoint 应用。 以后无法启用它。
禁用注销
Defender for Endpoint 允许部署应用并禁用“注销”按钮。 通过隐藏“注销”按钮,用户无法注销 Defender 应用。 此操作有助于防止在 Defender for Endpoint 未运行时篡改设备。
使用以下步骤配置“禁用注销”:
在 Intune 管理中心Microsoft,转到 “应用” > “应用配置策略 > ”“添加 > 托管应用”。
为策略提供 名称。
在 “选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。
在 “设置” 页的 “常规配置设置”下,添加 DisableSignOut 作为键,并将值设置为 1。
- 默认情况下,禁用注销 = 0。
- 管理员需要使禁用注销 = 1 才能禁用应用中的注销按钮。 将策略推送到设备后,用户将不会看到“注销”按钮。
选择“ 下一步 ”,并将此配置文件分配给目标设备和用户。
设备标记
Android 上的 Defender for Endpoint 允许管理员通过 Intune 设置标记,从而在载入期间对移动设备进行批量标记。 管理员可以通过配置策略通过 Intune 配置设备标记,并将其推送到用户的设备。 用户安装并激活 Defender 后,客户端应用会将设备标记传递到安全门户。 设备标记针对设备清单中的设备显示。
使用以下步骤配置设备标记:
在 Intune 管理中心Microsoft,转到 “应用” > “应用配置策略 > ”“添加 > 托管应用”。
为策略提供 名称。
在 “选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。
在“设置”页中,选择“使用配置设计器”,并将 DefenderDeviceTag 添加为“ 字符串”作为键和值类型。
- 管理员可以通过添加密钥 DefenderDeviceTag 并设置设备标记的值来分配新标记。
- 管理员可以通过修改键 DefenderDeviceTag 的值来编辑现有标记。
- 管理员可以通过删除密钥 DefenderDeviceTag 来删除现有标记。
单击“下一步”,并将此策略分配给目标设备和用户。
注意
需要打开 Defender 应用,才能将标记与 Intune 同步并传递到安全门户。 标记可能需要长达 18 小时才能反映在门户中。
相关主题
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。