Dela via

Konfigurera Defender för Endpoint för Android-funktioner

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Villkorlig åtkomst med Defender för Endpoint på Android

Microsoft Defender för Endpoint på Android, tillsammans med Microsoft Intune och Microsoft Entra ID, möjliggör framtvingande av principer för enhetsefterlevnad och villkorlig åtkomst baserat på enhetens risknivåer. Defender för Endpoint är en MTD-lösning (Mobile Threat Defense) som du kan distribuera via Intune.

Mer information om hur du konfigurerar Defender för Endpoint på Android och villkorsstyrd åtkomst finns i Defender för Endpoint och Intune.

Konfigurera anpassade indikatorer

Obs!

Defender för Endpoint på Android har endast stöd för att skapa anpassade indikatorer för IP-adresser och URL:er/domäner.

IP 245.245.0.1 är en intern Defender IP-adress och bör inte inkluderas i anpassade indikatorer av kunder för att undvika funktionsproblem. Dessutom stöds inte aviseringar för anpassade indikatorer för närvarande för Defender för Endpoint på Android.

Defender för Endpoint på Android gör det möjligt för administratörer att konfigurera anpassade indikatorer för att stödja Android-enheter också. Mer information om hur du konfigurerar anpassade indikatorer finns i Översikt över indikatorer.

Konfigurera webbskydd

Med Defender för Endpoint på Android kan IT-administratörer konfigurera webbskyddsfunktionen. Den här funktionen är tillgänglig i administrationscentret för Microsoft Intune.

Webbskydd hjälper till att skydda enheter mot webbhot och skydda användare från nätfiskeattacker. Skydd mot nätfiske och anpassade indikatorer (URL och IP-adresser) stöds som en del av webbskyddet. Webbinnehållsfiltrering stöds för närvarande inte på mobila plattformar.

Obs!

Defender för Endpoint på Android skulle använda ett VPN för att tillhandahålla webbskyddsfunktionen. Det här VPN-nätverket är inte ett vanligt VPN. I stället är det ett lokalt/självslingande VPN som inte tar trafik utanför enheten.

Mer information finns i Konfigurera webbskydd på enheter som kör Android.

Nätverksskydd

Den här funktionen ger skydd mot falska Wi-Fi relaterade hot och falska certifikat, som är den primära attackvektorn för Wi-Fi nätverk. Administratörer kan lista rotcertifikatutfärdare (CA) och privata rotcertifikatutfärdarcertifikat i administrationscentret för Microsoft Intune och upprätta förtroende med slutpunkter. Det ger användaren en guidad upplevelse för att ansluta till säkra nätverk och meddelar dem även om ett relaterat hot identifieras.

Den innehåller flera administratörskontroller som ger flexibilitet, till exempel möjligheten att konfigurera funktionen inifrån administrationscentret för Microsoft Intune och lägga till betrodda certifikat. Administratörer kan aktivera sekretesskontroller för att konfigurera data som skickas till Defender för Endpoint från Android-enheter.

Nätverksskydd i Microsoft Defender för slutpunkt är aktiverat som standard. Administratörer kan använda följande steg för att konfigurera nätverksskydd på Android-enheter.

I administrationscentret för Microsoft Intune går du till Appkonfigurationsprinciper för appar > . Skapa en ny appkonfigurationsprincip.

  1. Ange ett namn och en beskrivning för att unikt identifiera principen. Välj "Android Enterprise" som plattform och "Endast personligt ägd arbetsprofil" som profiltyp och "Microsoft Defender" som Målapp.

  2. På sidan Inställningar väljer du "Använd konfigurationsdesignern" och lägger till "Aktivera nätverksskydd i Microsoft Defender" som nyckel och värde som 0 för att inaktivera Nätverksskydd. (Nätverksskydd är aktiverat som standard)

  3. Om din organisation använder rotcertifikatutfärdare som är privata måste du upprätta ett uttryckligt förtroende mellan Intune (MDM-lösning) och användarenheter. Genom att upprätta förtroende kan du förhindra att Defender flaggar rotcertifikatutfärdare som oseriösa certifikat.

    Om du vill upprätta förtroende för rotcertifikatutfärdarna använder du certifikatlistan betrodd certifikatutfärdare för nätverksskydd som nyckel. I värdet lägger du till "kommaavgränsad lista över certifikattumavtryck (SHA 1)".

    Exempel på tumavtrycksformat som ska läggas till: 50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431

    Viktigt

    Certifikat sha-1 tumavtryck tecken bör vara med antingen tomt utrymme avgränsade eller icke avgränsade.

    Det här formatet är ogiltigt: 50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31

    Andra separationstecken är ogiltiga.

  4. För andra konfigurationer som rör nätverksskydd lägger du till följande nycklar och lämpligt motsvarande värde.

    Konfigurationsnyckel Beskrivning
    Certifikatlista för betrodd certifikatutfärdare för nätverksskydd Säkerhetsadministratörer hanterar den här inställningen för att upprätta förtroende för rotcertifikatutfärdare och självsignerade certifikat.
    Aktivera nätverksskydd i Microsoft Defender 1 – Aktivera (standard), 0 – Inaktivera. Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen.
    Aktivera sekretess för nätverksskydd 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet.
    Gör det möjligt för användare att lita på nätverk och certifikat 1 – Aktivera, 0 – Inaktivera (standard). Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på oskyddade och misstänkta nätverk och skadliga certifikat.
    Automatisk reparation av nätverksskyddsaviseringar 1 – Aktivera (standard), 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter, till exempel att växla till en säkrare Wi-Fi åtkomstpunkt eller ta bort misstänkta certifikat som identifieras av Defender. Den här inställningen gäller endast för aviseringar och påverkar inte händelser på enhetens tidslinje. Därför påverkar det inte öppna Wi-Fi nätverk eller självsignerade certifikat.
    Hantera identifiering av nätverksskydd för öppna nätverk 2 – Aktivera (standard), 1 – Granskningsläge, 0 – Inaktivera. Säkerhetsadministratörer hanterar den här inställningen för att aktivera, granska eller inaktivera identifiering av öppna nätverk. I läget Granskning skickas händelser endast till ATP-portalen utan slutanvändarupplevelse. För slutanvändarupplevelsen ska konfigurationen vara inställd på "Aktivera"-läge.
    Hantera identifiering av nätverksskydd för certifikat 2 – Aktivera, 1 – Granskningsläge, 0 – Inaktivera (standard). I granskningsläge skickas händelser till SOC-administratörer, men inga slutanvändarmeddelanden visas för användaren när Defender identifierar ett felaktigt certifikat. Administratörer kan dock aktivera fullständiga funktionsfunktioner genom att ange 2 som värde. När funktionen är aktiverad med värdet 2 skickas slutanvändarmeddelanden till användaren när Defender identifierar ett felaktigt certifikat, och händelser skickas också till SOC-Admin.

  5. Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.

    Konfigurationsnyckel Beskrivning
    Aktivera nätverksskydd i Microsoft Defender 1: Aktivera (standard)
    0: Inaktivera

    Den här inställningen används av IT-administratören för att aktivera eller inaktivera nätverksskyddsfunktionerna i Defender-appen.
    Aktivera sekretess för nätverksskydd 1: Aktivera (standard)
    0: Inaktivera

    Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera sekretess i nätverksskyddet.
    Gör det möjligt för användare att lita på nätverk och certifikat 1: Aktivera
    0: Inaktivera (standard)

    Den här inställningen används av IT-administratörer för att aktivera eller inaktivera slutanvändarens upplevelse i appen för att lita på och inte lita på de oskyddade och misstänkta nätverken och skadliga certifikat.
    Automatisk reparation av nätverksskyddsaviseringar 1: Aktivera (standard)
    0: Inaktivera

    Den här inställningen används av IT-administratörer för att aktivera eller inaktivera de åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter. Användaren växlar till exempel till en säkrare Wi-Fi åtkomstpunkt eller tar bort misstänkta certifikat som har identifierats av Defender. Den här inställningen gäller endast för aviseringar och påverkar inte händelser på enhetens tidslinje. Därför gäller det inte identifiering av öppna Wi-Fi nätverk eller självsignerade certifikat
    Öppna nätverksidentifiering 2: Aktivera (standard)
    1: Granskningsläge
    0: Inaktivera

    Säkerhetsadministratörer hanterar den här inställningen för att aktivera eller inaktivera identifiering av öppna nätverk.
    Hantera identifiering av nätverksskydd för certifikat 2: Aktivera
    1: Granskningsläge
    0: Inaktivera (standard)

    I granskningsläge skickas händelser till SOC-administratörer, men inga slutanvändarmeddelanden visas när Defender identifierar ett felaktigt certifikat. Administratörer kan aktivera fullständiga funktionsfunktioner genom att ange värdet 2. När värdet är 2 skickas slutanvändarmeddelanden till användare och händelser skickas till SOC-administratörer när Defender identifierar ett felaktigt certifikat.

  6. Lägg till de grupper som krävs för vilka principen måste tillämpas. Granska och skapa principen.

Obs!

  • De andra konfigurationsnycklarna för Nätverksskydd fungerar bara om den överordnade nyckeln "Aktivera nätverksskydd i Microsoft Defender" är aktiverad.
  • För att säkerställa ett omfattande skydd mot Wi-Fi hot bör användarna aktivera platsbehörighet och välja alternativet "Tillåt all tid". Den här behörigheten är valfri men rekommenderas starkt, även om appen inte används aktivt. Om platsbehörighet nekas erbjuder Defender för Endpoint endast begränsat skydd mot nätverkshot och skyddar bara användare från otillåtna certifikat.

Viktigt

Från och med den 19 maj 2025 genereras inte längre aviseringar i Microsoft Defender-portalen för mobila enheter som ansluter eller kopplar från ett öppet trådlöst nätverk och för nedladdning/installation/borttagning av självsignerade certifikat. I stället genereras dessa aktiviteter nu som händelser och kan visas i enhetens tidslinje. Här är viktiga ändringar i den här nya upplevelsen:

  • För att ändringarna ska börja gälla måste slutanvändarna uppdatera till den senaste versionen av Defender för Endpoint på Android som är tillgänglig i mitten av maj 2025. Annars finns den tidigare upplevelsen av att generera aviseringar fortfarande på plats. Om nyckeln för automatisk reparation är aktiverad av administratören löses gamla aviseringar automatiskt när ändringarna börjar gälla.
  • När en slutanvändare ansluter eller kopplar från ett öppet trådlöst nätverk flera gånger inom samma 24-timmarsperiod genereras endast en händelse var för anslutningen och frånkopplingen under den 24-timmarsperioden och skickas till enhetens tidslinje.
  • Aktivera användare att lita på nätverk: Efter uppdateringen skickas anslutnings- och frånkopplingshändelser för att öppna trådlösa nätverk, inklusive betrodda nätverk, till enhetens tidslinje som händelser.
  • Tillåtna certifikat för användare: Efter uppdateringen skickas nedladdning/installation/borttagning av självsignerade certifikathändelser, inklusive användarbetrott certifikat, till enhetens tidslinje som händelser.
  • Den tidigare upplevelsen av att generera aviseringar för dessa aktiviteter fortsätter fortfarande att gälla för GCC-klienter.

Sekretesskontroller

Följande sekretesskontroller är tillgängliga för att konfigurera data som skickas av Defender för Endpoint från Android-enheter:

Hotrapport Information
Rapport om skadlig kod Administratörer kan konfigurera sekretesskontroll för rapport om skadlig kod. Om sekretess är aktiverat skickar Defender för Endpoint inte namnet på den skadliga koden och annan appinformation som en del av aviseringsrapporten för skadlig kod.
Nätfiskerapport Administratörer kan konfigurera sekretesskontroll för nätfiskerapporter. Om sekretess är aktiverat skickar Defender för Endpoint inte domännamnet och informationen om den osäkra webbplatsen som en del av rapporten om nätfiskeaviseringar.
Sårbarhetsbedömning av appar Som standard skickas endast information om appar som är installerade i arbetsprofilen för sårbarhetsbedömning. Administratörer kan inaktivera sekretess för att inkludera personliga appar
Nätverksskydd Administratörer kan aktivera eller inaktivera sekretess i nätverksskyddet. Om aktiverad skickar Defender inte nätverksinformation.

Rotidentifiering (förhandsversion)

Microsoft Defender för Endpoint kan identifiera ohanterade och hanterade enheter som är rotade. Dessa rotidentifieringskontroller utförs regelbundet. Om en enhet identifieras som rotad inträffar följande händelser:

  • En varning med hög risk rapporteras till Microsoft Defender-portalen. Om enhetsefterlevnad och villkorsstyrd åtkomst har konfigurerats baserat på enhetens riskpoäng blockeras enheten från att komma åt företagsdata.

  • Användardata i appen rensas när enheten har identifierats som rotad. Funktionen är aktiverad som standard. ingen åtgärd krävs från administratör eller användare.

Förutsättning

  • Företagsportalen måste vara installerad och versionen måste vara >=5.0.6621.0

Konfigurera sekretessaviseringsrapport

Administratörer kan nu aktivera sekretesskontroll för nätfiskerapporten, rapporten om skadlig kod och nätverksrapporten som skickas av Microsoft Defender för Endpoint på Android. Den här konfigurationen säkerställer att domännamn, appinformation respektive nätverksinformation inte skickas som en del av aviseringen när ett motsvarande hot identifieras.

Admin Privacy Controls (MDM) Använd följande steg för att aktivera sekretess.

  1. I administrationscentret för Microsoft Intune går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.

  2. Ge principen ett namn, Plattform > Android enterprise, välj profiltyp.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och sedan Lägg till.

  5. Välj den sekretessinställning som krävs

    • Dölj URL:er i rapporten
    • Dölj URL:er i rapporten för personlig profil
    • Dölj appinformation i rapporten
    • Dölj appinformation i rapporten för personlig profil
    • Aktivera sekretess för nätverksskydd

  6. Om du vill aktivera sekretess anger du heltalsvärdet 1 och tilldelar den här principen till användare. Som standard är det här värdet inställt på 0 för MDE i arbetsprofilen och 1 för MDE för personlig profil.

  7. Granska och tilldela profilen till målenheter/användare.

Sekretesskontroller för slutanvändare

Dessa kontroller hjälper slutanvändaren att konfigurera den information som delas till organisationen.

  1. För Android Enterprise-arbetsprofilen visas inte slutanvändarkontroller. Administratörer styr de här inställningarna.
  2. För personlig Android Enterprise-profil visas kontrollen under Sekretess för inställningar>.
  3. Användarna ser en växlingsknapp för osäker webbplatsinformation, skadligt program och nätverksskydd.

Dessa reglage visas bara om de aktiveras av administratören. Användarna kan bestämma om de vill skicka informationen till organisationen eller inte.

Aktivering/inaktivering av sekretesskontrollerna ovan påverkar inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.

Konfigurera sårbarhetsbedömning av appar för BYOD-enheter

Från version 1.0.3425.0303 av Microsoft Defender för Endpoint på Android kan du köra sårbarhetsbedömningar av operativsystemet och appar som är installerade på de registrerade mobila enheterna.

Obs!

Sårbarhetsbedömning är en del av Microsoft Defender – hantering av säkerhetsrisker i Microsoft Defender för Endpoint.

Information om sekretess som rör appar från personliga enheter (BYOD):

  • För Android Enterprise med en arbetsprofil stöds endast appar som är installerade på arbetsprofilen.
  • För andra BYOD-lägen aktiveras som standard inte sårbarhetsbedömning av appar. Men när enheten är i administratörsläge kan administratörer uttryckligen aktivera den här funktionen via Microsoft Intune för att hämta listan över appar som är installerade på enheten. Mer information finns i informationen nedan.

Konfigurera sekretess för Android Enterprise-arbetsprofil

Defender för Endpoint stöder sårbarhetsbedömning av appar i arbetsprofilen. Men om du vill inaktivera den här funktionen för målanvändare kan du använda följande steg:

  1. I administrationscentret för Microsoft Intune går du tillAppkonfigurationsprinciper för appar> \>Lägg till>hanterade enheter.
  2. Ge principen ett namn. Plattform > Android Enterprise; välj profiltyp.
  3. Välj Microsoft Defender för Endpoint som målapp.
  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till Aktivera TVM-sekretess som nyckel- och värdetyp som Heltal
  • Om du vill inaktivera sårbarhet för appar i arbetsprofilen anger du värdet som 1 och tilldelar den här principen till användare. Som standard är det här värdet inställt på 0.
    • För användare med nyckeluppsättning som 0skickar Defender för Endpoint listan över appar från arbetsprofilen till serverdelstjänsten för sårbarhetsbedömning.
  1. Välj Nästa och tilldela profilen till målenheter/användare.

Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.

Konfigurera sekretess för aviseringsrapport för nätfiske

Sekretesskontroll för nätfiskerapport kan användas för att inaktivera insamling av domännamns- eller webbplatsinformation i nätfiskehotrapporten. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in domännamnet när en skadlig webbplats eller nätfiskewebbplats identifieras och blockeras av Defender för Endpoint.

Konfigurera sekretess för phishing-aviseringsrapport i Android Enterprise-arbetsprofil

Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:

  1. I administrationscentret för Microsoft Intune och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.

  2. Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeURLInReport som nyckel- och värdetyp som Heltal.

    Ange 1 för att aktivera sekretess. Standardvärdet är 0.

  5. Välj Nästa och tilldela profilen till målenheter/användare.

Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte kontrollen av enhetsefterlevnad eller villkorlig åtkomst.

Konfigurera sekretess för hotrapport om skadlig kod

Sekretesskontroll för hotrapport för skadlig kod kan användas för att inaktivera insamling av appinformation (namn och paketinformation) från hotrapporten om skadlig kod. Den här inställningen ger organisationer flexibilitet att välja om de vill samla in appnamnet när en skadlig app identifieras.

Konfigurera sekretess för varningsrapport för skadlig kod i Android Enterprise-arbetsprofil

Använd följande steg för att aktivera sekretess för målanvändare i arbetsprofilen:

  1. I administrationscentret för Microsoft Intune och gå tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.

  2. Ge principen ett namn, Plattform > Android Enterprise, välj profiltyp.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeAppInReport som nyckel- och värdetyp som Heltal

    Ange 1 för att aktivera sekretess. Standardvärdet är 0.

  5. Välj Nästa och tilldela profilen till målenheter/användare.

Om du använder den här sekretesskontrollen påverkas inte enhetsefterlevnadskontrollen eller den villkorliga åtkomsten. Till exempel har enheter med en skadlig app alltid risknivån "Medel".

Inaktivera utloggning

Defender för Endpoint stöder distribution utan utloggningsknappen i appen för att förhindra användare från att logga ut från Defender-appen. Detta är viktigt för att förhindra att användare manipulerar enheten. Använd följande steg för att konfigurera Inaktivera utloggning:

  1. I administrationscentret för Microsoft Intune går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.

  2. Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till Inaktivera utloggning som nyckel och Heltal som värdetyp.

    • Som standard inaktiverar du Logga ut = 1 för Personligt ägda Android Enterprise-arbetsprofiler, fullständigt hanterade, företagsägda personligt aktiverade profiler.

    • Administratörer måste göra Inaktivera utloggning = 0 för att aktivera utloggningsknappen i appen. Användarna kan se utloggningsknappen när principen har push-överförts.

  5. Välj Nästa och tilldela profilen till målenheter och användare.

Enhetstaggning

Defender för Endpoint på Android möjliggör masstaggning av mobila enheter under registrering genom att tillåta administratörer att konfigurera taggar via Intune. Admin kan konfigurera enhetstaggar via Intune via konfigurationsprinciper och skicka dem till användarens enheter. När användaren har installerat och aktiverat Defender skickar klientappen enhetstaggar till säkerhetsportalen. Enhetstaggar visas mot enheterna i enhetsinventeringen.

Använd följande steg för att konfigurera enhetstaggar:

  1. I administrationscentret för Microsoft Intune går du tillAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter.

  2. Ge principen ett namn, välj Plattform > Android Enterprise och välj profiltypen.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderDeviceTag som nyckel- och värdetyp som Sträng.

    • Admin kan tilldela en ny tagg genom att lägga till nyckeln DefenderDeviceTag och ange ett värde för enhetstaggen.
    • Admin kan redigera en befintlig tagg genom att ändra värdet för nyckeln DefenderDeviceTag.
    • Admin kan ta bort en befintlig tagg genom att ta bort nyckeln DefenderDeviceTag.

  5. Välj Nästa och tilldela den här principen till målenheter och användare.

Obs!

Defender-appen måste öppnas för att taggar ska synkroniseras med Intune och skickas till säkerhetsportalen. Det kan ta upp till 18 timmar innan taggar visas i portalen.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.