Поделиться через


Настройка Microsoft Defender для конечной точки для сигналов риска Android с помощью политик защиты приложений (MAM)

Область применения:

Microsoft Defender для конечной точки в Android, который уже защищает корпоративных пользователей в сценариях управления мобильными устройствами (MDM), теперь расширяет поддержку управления мобильными приложениями (MAM) для устройств, которые не зарегистрированы с помощью управления мобильными устройствами Intune (MDM). Она также расширяет эту поддержку для клиентов, которые используют другие решения для управления корпоративной мобильностью, но по-прежнему используют Intune для управления мобильными приложениями (MAM). Эта возможность позволяет управлять данными организации и защищать их в приложении.

Microsoft Defender для конечной точки в сведениях об угрозах Android применяется политиками защиты приложений Intune для защиты этих приложений. Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). К управляемому приложению применяются политики защиты приложений, которыми может управлять Intune.

Microsoft Defender для конечной точки в Android поддерживает обе конфигурации MAM.

  • Intune MDM + MAM. ИТ-администраторы могут управлять приложениями только с помощью политик защиты приложений на устройствах, зарегистрированных в службе управления мобильными устройствами Intune (MDM).
  • MAM без регистрации устройств. MAM без регистрации устройств или MAM-WE позволяет ИТ-администраторам управлять приложениями с помощью политик защиты приложений на устройствах, не зарегистрированных в Intune MDM. Эта подготовка означает, что intune может управлять приложениями на устройствах, зарегистрированных у сторонних поставщиков EMM. Для управления приложениями в обеих этих конфигурациях клиенты должны использовать Intune в Центре администрирования Microsoft Intune.

Чтобы включить эту возможность, администратору необходимо настроить подключение между Microsoft Defender для конечной точки и Intune, создать политику защиты приложений и применить ее к целевым устройствам и приложениям.

Пользователям также необходимо выполнить действия по установке Microsoft Defender для конечной точки на устройстве и активации потока подключения.

Предварительные требования администратора

  • Убедитесь, что соединитель Microsoft Defender для Endpoint-Intune включен.

    1. Перейдите к security.microsoft.com.

    2. Выберите Параметры Конечные >> точки Дополнительные функции > Подключение Microsoft Intune включено.

    3. Если подключение не включено, выберите переключатель, чтобы включить его, а затем выберите Сохранить настройки.

      Раздел Дополнительные функции на портале Microsoft Defender.

    4. Перейдите в Центр администрирования Microsoft Intune и проверьте, включен ли соединитель Microsoft Defender для Endpoint-Intune.

      Область состояния intune-connector на портале Microsoft Defender.

  • Включите Microsoft Defender для конечной точки в Android Connector for App Protection Policy (APP).

    Настройте соединитель в Microsoft Intune для политик защиты приложений:

    1. Перейдите в раздел Администрирование > клиента Соединители и токены > Microsoft Defender для конечной точки.

    2. Включите переключатель для политики защиты приложений для Android (как показано на следующем снимке экрана).

    3. Выберите Сохранить.

      Область параметров приложения на портале Microsoft Defender.

  • Создайте политику защиты приложений.

    Блокировка доступа или очистка данных управляемого приложения на основе сигналов риска Microsoft Defender для конечной точки путем создания политики защиты приложений.

    Microsoft Defender для конечной точки можно настроить для отправки сигналов об угрозах для использования в политиках защиты приложений (ПРИЛОЖЕНИЕ, также известное как MAM). С помощью этой возможности можно использовать Microsoft Defender для конечной точки для защиты управляемых приложений.

    1. Создайте политику.

      Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

      Вкладка Создание политики на странице Политики защиты приложений на портале Microsoft Defender.

    2. Добавление приложений.

      1. Выберите способ применения этой политики к приложениям на разных устройствах. Затем добавьте по крайней мере одно приложение.

        Используйте этот параметр, чтобы указать, применяется ли эта политика к неуправляемых устройствам. В Android можно указать политику, применяемую к устройствам Android Enterprise, администратора устройств или неуправляемых устройств. Вы также можете выбрать целевую политику для приложений на устройствах с любым состоянием управления.

        Так как для управления мобильными приложениями не требуется управление устройствами, вы можете защитить данные организации как на управляемых, так и на неуправляемых устройствах. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами. Компании могут одновременно использовать политики защиты приложений с MDM или без нее. Давайте рассмотрим пример, в котором сотрудник одновременно использует выданный компанией телефон и личный планшет. В этой ситуации телефон компании регистрируется в решении MDM и защищается политиками защиты приложений, а личное устройство защищается только политиками защиты приложений.

      2. Выберите Приложения.

        Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune. Любым приложением, интегрированным с пакетом SDK для Intune или упакованным средством упаковки приложений Intune , можно управлять с помощью политик защиты приложений Intune. См. официальный список защищенных приложений Microsoft Intune, которые были созданы с использованием этих средств и являются общедоступными.

        Пример: Outlook как управляемое приложение

        Область Общедоступные приложения на портале Microsoft Defender.

    3. Настройте требования к безопасности входа для политики защиты.

      Выберите Параметр Максимальный > допустимый уровень угрозы устройства в разделе Условия устройства и введите значение. Затем выберите Действие: "Блокировать доступ". Microsoft Defender для конечной точки в Android использует этот уровень угрозы устройства.

      Область

  • Назначьте группы пользователей, к которым необходимо применить политику.

    Выберите Включенные группы. Затем добавьте соответствующие группы.

    Панель Включенные группы на портале Microsoft Defender.

Примечание.

Если политика конфигурации предназначена для незарегистрированных устройств (MAM), рекомендуется развернуть общие параметры конфигурации приложений в управляемых приложениях вместо использования управляемых устройств.

При развертывании политик конфигурации приложений на устройствах могут возникать проблемы, если несколько политик имеют разные значения для одного ключа конфигурации и предназначены для одного и того же приложения и пользователя. Эти проблемы связаны с отсутствием механизма разрешения конфликтов для разрешения различных значений. Вы можете предотвратить эти проблемы, убедив, что для одного приложения и пользователя определена только одна политика конфигурации приложений для устройств.

Предварительные требования для конечных пользователей

  • Приложение брокера должно быть установлено.

    • Корпоративный портал Intune
  • У пользователей есть необходимые лицензии для управляемого приложения и установлено приложение.

Подключение конечных пользователей

  1. Войдите в управляемое приложение, например Outlook. Устройство регистрируется, а политика защиты приложений синхронизируется с устройством. Политика защиты приложений распознает состояние работоспособности устройства.

  2. Нажмите Продолжить. Появится экран, на котором рекомендуется скачать и настроить приложение Microsoft Defender: антивирусная программа (mobile).

  3. Нажмите Скачать. Вы будете перенаправлены в магазин приложений (Google Play).

  4. Установите приложение Microsoft Defender: Антивирусная программа (Mobile) и вернитесь на экран подключения управляемого приложения.

    Показывает процедуру скачивания приложения Microsoft Defender: Антивирусная программа (мобильное приложение).

  5. Нажмите кнопку Продолжить > запуск. Инициируется поток подключения и активации приложения Microsoft Defender для конечной точки. Выполните действия, чтобы завершить подключение. Вы автоматически будете перенаправлены обратно на экран подключения управляемого приложения, который теперь указывает, что устройство работоспособно.

  6. Нажмите кнопку Продолжить , чтобы войти в управляемое приложение.

Настройка веб-защиты

Defender для конечной точки в Android позволяет ИТ-администраторам настраивать веб-защиту. Веб-защита доступна в Центре администрирования Microsoft Intune.

Защита от веб-угроз помогает защитить устройства от веб-угроз и пользователей от фишинговых атак. Обратите внимание, что защита от фишинга и пользовательские индикаторы (URL-адреса и IP-адреса) поддерживаются в рамках веб-защиты. Фильтрация веб-содержимого в настоящее время не поддерживается на мобильных платформах.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

  2. Присвойте политике имя.

  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

  4. На странице Параметры в разделе Общие параметры конфигурации добавьте следующие ключи и задайте их значение по мере необходимости.

    • антифишинг
    • vpn

    Чтобы отключить веб-защиту, введите 0 для значений защиты от фишинга и VPN.

    Чтобы отключить только использование VPN для веб-защиты, введите следующие значения:

    • 0 для VPN
    • 1 для защиты от фишинга

    Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

  5. Назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.

  6. Просмотрите и создайте политику.

Настройка защиты сети

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения>Политики конфигурации приложений. Создайте политику конфигурации приложений. Щелкните Управляемые приложения.

  2. Укажите имя и описание для уникальной идентификации политики. Нацелите политику на "Выбранные приложения" и выполните поиск по запросу "Конечная точка Microsoft Defender для Android". Щелкните запись, а затем нажмите кнопку Выбрать , а затем — Далее.

  3. Добавьте ключ и значение из следующей таблицы. Убедитесь, что ключ DefenderMAMConfigs присутствует в каждой политике, создаваемой с помощью маршрута управляемых приложений. Для маршрута управляемых устройств этот ключ не должен существовать. По завершении нажмите кнопку Далее.

    Key Тип значения По умолчанию (1—включить, 0 —отключить) Описание
    DefenderNetworkProtectionEnable Целое число 1 1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения возможностей защиты сети в приложении Defender.
    DefenderAllowlistedCACertificates String Нет None-Disable; Этот параметр используется ИТ-администраторами для установления доверия для корневого ЦС и самозаверяемых сертификатов.
    DefenderCertificateDetection Integer 0 2—Включить, 1 — режим аудита, 0 — Отключить; Если эта функция включена со значением 2, пользователю отправляются уведомления, когда Defender обнаруживает недопустимый сертификат. Оповещения также отправляются администраторам SOC. В режиме аудита (1) уведомления отправляются администраторам SOC, но при обнаружении неправильного сертификата пользователю уведомления не отображаются. Администраторы могут отключить это обнаружение с 0 в качестве значения и включить полные функциональные возможности, задав значение 2.
    DefenderOpenNetworkDetection Integer 2 2—Включить, 1 — режим аудита, 0 — Отключить; Этот параметр используется ИТ-администраторами для включения или отключения обнаружения открытой сети. При переключении в режим аудита со значением 1 оповещение отправляется администратору SOC, но при обнаружении открытой сети для пользователя уведомление пользователя не отображается. Если он включен со значением 2, отображается уведомление конечного пользователя, а также отправляются оповещения администраторам SOC.
    DefenderEndUserTrustFlowEnable Integer 0 1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами, чтобы включить или отключить взаимодействие с пользователем в приложении, чтобы доверять и не доверять небезопасным и подозрительным сетям.
    DefenderNetworkProtectionAutoRemediation Integer 1 1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения оповещений об исправлении, отправляемых при выполнении пользователем действий по исправлению, таких как переключение на более безопасные точки доступа Wi-Fi или удаление подозрительных сертификатов, обнаруженных Defender.
    DefenderNetworkProtectionPrivacy Integer 1 1 — включить, 0 — отключить; Этот параметр используется ИТ-администраторами для включения или отключения конфиденциальности в защите сети. Если конфиденциальность отключена со значением 0, отображается согласие пользователя на предоставление общего доступа к вредоносным данным Wi-Fi или сертификатов. Если он находится в состоянии включено со значением 1, согласие пользователя не отображается и данные приложения не собираются.
  4. Включите или исключите группы, к которым будет применяться политика. Перейдите к просмотру и отправке политики.

Примечание.

  • Другие ключи конфигурации защиты сети будут работать только в том случае, если включен родительский ключ DefenderNetworkProtectionEnable.
  • Пользователям необходимо включить разрешение на расположение (которое является необязательным разрешением) и предоставить разрешение "Разрешить все время", чтобы обеспечить защиту от Wi-Fi угрозы, даже если приложение не используется активно. Если пользователь запрещает разрешение на расположение, Defender для конечной точки сможет обеспечить только ограниченную защиту от сетевых угроз и будет защищать пользователей только от несанкционированных сертификатов.

Настройка элементов управления конфиденциальностью

Администраторы могут выполнить следующие действия, чтобы включить конфиденциальность и не собирать доменное имя, сведения о приложении и сведения о сети в составе отчета об оповещениях о соответствующих угрозах.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.
  2. Присвойте политике имя.
  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
  4. На странице Параметры в разделе Общие параметры конфигурации добавьте DefenderExcludeURLInReport и DefenderExcludeAppInReport в качестве ключей и значение 1.
  5. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.
  6. Назначьте эту политику пользователям. По умолчанию для этого параметра установлено значение 0.
  7. На странице Параметры в разделе Общие параметры конфигурации добавьте DefenderExcludeURLInReport, DefenderExcludeAppInReport в качестве ключей и значение true.
  8. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.
  9. Назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.
  10. Просмотрите и создайте политику.

Необязательные разрешения

Microsoft Defender для конечной точки в Android включает дополнительные разрешения в потоке подключения. В настоящее время разрешения, необходимые MDE, являются обязательными в потоке подключения. С помощью этой функции администратор может развертывать MDE на устройствах Android с политиками MAM без применения обязательных разрешений VPN и специальных возможностей во время подключения. Конечные пользователи могут подключить приложение без обязательных разрешений, а затем просматривать эти разрешения.

Настройка дополнительного разрешения

Чтобы включить дополнительные разрешения для устройств, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

  2. Присвойте политике имя.

  3. Выберите Microsoft Defender для конечной точки в общедоступных приложениях.

  4. На странице Параметры выберите Использовать конструктор конфигураций и DefenderOptionalVPN или DefenderOptionalAccessibility или оба ключа.

  5. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

  6. Чтобы включить необязательные разрешения, введите значение 1 и назначьте эту политику пользователям. По умолчанию для этого параметра установлено значение 0.

    Пользователи с ключом 1 смогут подключить приложение без предоставления этих разрешений.

  7. На странице Параметры выберите Использовать конструктор конфигураций и DefenderOptionalVPN или DefenderOptionalAccessibility или в качестве типа ключа и значения в качестве логического типа.

  8. Добавьте ключ DefenderMAMConfigs и задайте для параметра значение 1.

  9. Чтобы включить необязательные разрешения, введите значение true и назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.

    Для пользователей с ключом, заданным как true, пользователи могут подключить приложение без предоставления этих разрешений.

  10. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

Поток пользователя

Пользователи могут установить и открыть приложение, чтобы начать процесс подключения.

  1. Если администратор настроил необязательные разрешения, пользователи могут пропустить разрешение VPN или специальные возможности или и то, и другое и завершить подключение.

  2. Даже если пользователь пропустил эти разрешения, устройство сможет подключиться, и будет отправлено пульс.

  3. Так как разрешения отключены, веб-защита не будет активной. Он будет частично активен, если предоставлено одно из разрешений.

  4. Позже пользователи смогут включить веб-защиту из приложения. Это приведет к установке конфигурации VPN на устройстве.

Примечание.

Параметр Необязательные разрешения отличается от параметра Отключить веб-защиту. Необязательные разрешения помогают только пропустить разрешения во время подключения, но они доступны для последующего просмотра и включения конечным пользователем, а отключение веб-защиты позволяет пользователям подключить приложение Microsoft Defender для конечной точки без веб-защиты. Его нельзя включить позже.

Отключение выхода

Defender для конечной точки позволяет развернуть приложение и отключить кнопку выхода. Скрывая кнопку выхода, пользователи не могут выйти из приложения Defender. Это действие помогает предотвратить незаконное изменение устройства, если Defender для конечной точки не запущен.

Чтобы настроить отключение выхода, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

  2. Укажите имя политики.

  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

  4. На странице Параметры в разделе Общие параметры конфигурации добавьте DisableSignOut в качестве ключа и задайте значение 1.

    • По умолчанию значение Отключить выход = 0.
    • Чтобы отключить кнопку выхода в приложении, администратор должен сделать параметр Отключить выход = 1. Пользователи не увидят кнопку выхода после отправки политики на устройство.
  5. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам и пользователям.

Маркировка устройств

Defender для конечной точки в Android позволяет массово помечать мобильные устройства во время подключения, позволяя администраторам настраивать теги через Intune. Администратор может настроить теги устройств через Intune с помощью политик конфигурации и отправить их на устройства пользователей. Когда пользователь устанавливает и активирует Defender, клиентское приложение передает теги устройств на портал безопасности. Теги устройств отображаются на устройствах в списке устройств.

Чтобы настроить теги устройств, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.

  2. Укажите имя политики.

  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

  4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderDeviceTag в качестве ключа, а тип значения — String.

    • Администратор может назначить новый тег, добавив ключ DefenderDeviceTag и задав значение для тега устройства.
    • Администратор может изменить существующий тег, изменив значение ключа DefenderDeviceTag.
    • Администратор может удалить существующий тег, удалив ключ DefenderDeviceTag.
  5. Нажмите кнопку Далее и назначьте эту политику целевым устройствам и пользователям.

Примечание.

Приложение Defender необходимо открыть, чтобы теги были синхронизированы с Intune и переданы на портал безопасности. На отражение тегов на портале может потребоваться до 18 часов.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.