アプリ保護ポリシー (MAM) を使用して Android 上の Microsoft Defender for Endpoint を構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
モバイル デバイス管理 (MDM) シナリオでエンタープライズ ユーザーを既に保護している Android 上の Microsoft Defender for Endpoint では、Intune モバイル デバイス管理 (MDM) を使用して登録されていないデバイスの Mobile App Management (MAM) へのサポートが拡張されるようになりました。 また、このサポートは、モバイル アプリケーション管理 (MAM) に Intune を引き続き使用しながら、他のエンタープライズ モビリティ管理ソリューションを使用する顧客にも拡張されます。 この機能を使用すると、アプリケーション内の組織のデータを管理および保護できます。
Android 上の Microsoft Defender for Endpoint の脅威情報は、Intune アプリ保護ポリシーによって適用され、これらのアプリを保護します。 アプリ保護ポリシー (APP) は、組織のデータが安全な状態にあるか、またはマネージド アプリ内に格納されることを保証するルールです。 マネージド アプリケーションにはアプリ保護ポリシーが適用されており、Intune で管理できます。
Android 上の Microsoft Defender for Endpoint では、MAM の両方の構成がサポートされています。
- Intune MDM + MAM: IT 管理者は、Intune モバイル デバイス管理 (MDM) に登録されているデバイスの App Protection ポリシーを使用してのみアプリを管理できます。
- デバイス登録なしの MAM: デバイス登録のない MAM、または MAM-WE を使用すると、IT 管理者は Intune MDM に登録されていないデバイスで App Protection ポリシー を使用してアプリを管理できます。 このプロビジョニングは、サードパーティの EMM プロバイダーに登録されているデバイスで Intune によってアプリを管理できることを意味します。 これらの両方の構成でアプリを管理するには、 Microsoft Intune 管理センターで Intune を使用する必要があります。
この機能を有効にするには、管理者が Microsoft Defender for Endpoint と Intune の間の接続を構成し、アプリ保護ポリシーを作成し、対象のデバイスとアプリケーションにポリシーを適用する必要があります。
エンド ユーザーは、デバイスに Microsoft Defender for Endpoint をインストールし、オンボード フローをアクティブ化する手順を実行する必要もあります。
管理者の前提条件
Microsoft Defender for Endpoint-Intune コネクタが有効になっていることを確認します。
Android コネクタ for App Protection ポリシー (APP) で Microsoft Defender for Endpoint を有効にします。
Microsoft Intune でアプリ保護ポリシー用にコネクタを構成します。
アプリ保護ポリシーを作成します。
アプリ保護ポリシーを作成することで、Microsoft Defender for Endpoint リスクシグナルに基づいてマネージド アプリのアクセスまたはワイプ データをブロックします。
Microsoft Defender for Endpoint は、アプリ保護ポリシー (APP、MAM とも呼ばれます) で使用される脅威シグナルを送信するように構成できます。 この機能を使用すると、Microsoft Defender for Endpoint を使用してマネージド アプリを保護できます。
ポリシーを作成します。
アプリ保護ポリシー (APP) は、組織のデータが安全な状態にあるか、またはマネージド アプリ内に格納されることを保証するルールです。 ポリシーの例としては、ユーザーが "企業" データへのアクセスまたは移動を試みた場合や、アプリ内で禁止または監視されている一連の操作を試みた場合に適用されるルールがあります。
アプリを追加します。
このポリシーをさまざまなデバイス上のアプリに適用する方法を選択します。 次に、少なくとも 1 つのアプリを追加します。
このオプションを使用して、このポリシーが非管理対象デバイスに適用されるかどうかを指定します。 Android では、Android Enterprise、Device Admin、またはアンマネージド デバイスに適用されるポリシーを指定できます。 また、任意の管理状態のデバイス上のアプリをポリシーの対象にすることもできます。
モバイル アプリ管理にはデバイス管理が必要ないため、マネージド デバイスとアンマネージド デバイスの両方で会社データを保護することができます。 管理の中心がユーザー ID になり、デバイスを管理する必要がなくなります。 企業は、MDM の有無にかかわらず、アプリ保護ポリシーを同時に使用できます。 たとえば、会社で支給されたスマートフォンと自分のタブレットの両方を使用する社員がいるとします。 会社のスマートフォンは MDM に登録されたうえでアプリ保護ポリシーによって保護されますが、個人のデバイスはアプリ保護ポリシーのみで保護されます。
[アプリ] を選択します。
管理対象アプリは、アプリ保護ポリシーが適用されたアプリであり、Intune で管理できます。 Intune SDK と統合されているか、Intune アプリ ラッピング ツールによってラップされたアプリは、Intune アプリ保護ポリシーを使用して管理できます。 これらのツールを使用して構築されている一般使用が可能な Microsoft Intune による保護アプリの公式一覧を参照してください。
例: マネージド アプリとしての Outlook
保護ポリシーのサインイン セキュリティ要件を設定します。
[デバイス条件>最大許容デバイス脅威レベルの設定] を選択し、値を入力します。 次に、[ アクション: "アクセスのブロック" を選択します。 Android 上の Microsoft Defender for Endpoint は、このデバイスの脅威レベルを共有します。
ポリシーを適用する必要があるユーザー グループを割り当てます。
[ 含まれるグループ] を選択します。 次に、関連するグループを追加します。
注:
構成ポリシーが登録解除されたデバイス (MAM) を対象とする場合は、管理対象デバイスを使用するのではなく、管理対象アプリに一般的なアプリ構成設定を展開することをお勧めします。
アプリ構成ポリシーをデバイスに展開する場合、複数のポリシーが同じ構成キーに対して異なる値を持ち、同じアプリとユーザーを対象とする場合に問題が発生する可能性があります。 これらの問題は、異なる値を解決するための競合解決メカニズムがないためです。 これらの問題を防ぐには、デバイスに対して 1 つのアプリ構成ポリシーのみが定義され、同じアプリとユーザーを対象としていることを確認します。
エンド ユーザーの前提条件
ブローカー アプリをインストールする必要があります。
- Intune ポータル サイト
ユーザーには、マネージド アプリに必要なライセンスがあり、アプリがインストールされています。
エンド ユーザーのオンボード
マネージド アプリケーション (Outlook など) にサインインします。 デバイスが登録され、アプリケーション保護ポリシーがデバイスに同期されます。 アプリケーション保護ポリシーは、デバイスの正常性状態を認識します。
[続行] を選択します。 Microsoft Defender: ウイルス対策 (モバイル) アプリのダウンロードと設定を推奨する画面が表示されます。
[ダウンロード] を選択します。 アプリ ストア (Google Play) にリダイレクトされます。
Microsoft Defender: ウイルス対策 (モバイル) アプリをインストールし、マネージド アプリのオンボード画面に戻ります。
[ 続行] > [起動] をクリックします。 Microsoft Defender for Endpoint アプリのオンボード/アクティブ化フローが開始されます。 オンボードを完了するには、手順に従います。 管理対象アプリのオンボード画面に自動的にリダイレクトされ、デバイスが正常であることを示します。
[ 続行] を選択してマネージド アプリケーションにログインします。
Web 保護を構成する
Android 上の Defender for Endpoint を使用すると、IT 管理者は Web 保護を構成できます。 Web 保護は、 Microsoft Intune 管理センター内で使用できます。
Web 保護は、Web の脅威からデバイスを保護し、フィッシング攻撃からユーザーを保護するのに役立ちます。 フィッシング対策インジケーターとカスタム インジケーター (URL と IP アドレス) は、Web 保護の一環としてサポートされることに注意してください。 Web コンテンツ フィルタリングは現在、モバイル プラットフォームではサポートされていません。
Microsoft Intune 管理センターで、[ アプリ > アプリ構成ポリシー] > [管理対象アプリ > 追加] に移動します。
ポリシーに名前を付けます。
[ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。
[ 設定] ページの [ 全般構成設定] で、次のキーを追加し、必要に応じて値を設定します。
- アンチフィッシング
- vpn
Web 保護を無効にするには、アンチフィッシングと VPN の値に「0」と入力します。
Web 保護による VPN の使用のみを無効にするには、次の値を入力します。
- vpn の場合は 0
- アンチフィッシング用の 1
DefenderMAMConfigs キーを追加し、値を 1 に設定します。
このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
ポリシーを確認して作成します。
ネットワーク保護の構成
Microsoft Intune 管理センターで、[ アプリ>App 構成ポリシー] に移動します。 新しいアプリ構成ポリシーを作成します。 [マネージド アプリ] をクリックします。
ポリシーを一意に識別するための名前と説明を指定します。 ポリシーを [選択したアプリ] に設定し、 "Microsoft Defender Endpoint for Android" を検索します。 エントリをクリックし、[ 選択 ] をクリックし、[ 次へ] をクリックします。
次の表からキーと値を追加します。 Managed Apps ルートを使用して作成するすべてのポリシーに "DefenderMAMConfigs" キーが存在することを確認します。 マネージド デバイス ルートの場合、このキーは存在しません。 完了したら、[ 次へ] をクリックします。
キー 値の種類 既定値 (1-enable、0-disable) 説明 DefenderNetworkProtectionEnable
整数 1 1 - 有効、0 - 無効。この設定は、IT 管理者が Defender アプリのネットワーク保護機能を有効または無効にするために使用されます。 DefenderAllowlistedCACertificates
String なし None-Disable;この設定は、IT 管理者がルート CA と自己署名証明書の信頼を確立するために使用されます。 DefenderCertificateDetection
整数 0 2-Enable、1 - 監査モード、0 - 無効。この機能が 2 の値で有効になっている場合、Defender が無効な証明書を検出すると、エンド ユーザー通知がユーザーに送信されます。 アラートは SOC 管理者にも送信されます。 監査モード (1) では、通知アラートは SOC 管理者に送信されますが、Defender が無効な証明書を検出すると、エンド ユーザーの通知はユーザーに表示されません。 管理者は、値として 0 を指定してこの検出を無効にし、値として 2 を設定することで完全な機能を有効にすることができます。 DefenderOpenNetworkDetection
整数 2 2-Enable、1 - 監査モード、0 - 無効。この設定は、開いているネットワーク検出を有効または無効にするために IT 管理者によって使用されます。 値 1 で監査モードに切り替えた場合、通知アラートは SOC 管理者に送信されますが、Defender が開いているネットワークを検出したときにエンド ユーザー通知はユーザーに表示されません。 値 2 で有効になっている場合は、エンド ユーザー通知が表示され、SOC 管理者へのアラートも送信されます。 DefenderEndUserTrustFlowEnable
整数 0 1 - 有効、0 - 無効。この設定は、セキュリティで保護されていない疑わしいネットワークを信頼および信頼するために、エンド ユーザーのアプリ内エクスペリエンスを有効または無効にするために IT 管理者によって使用されます。 DefenderNetworkProtectionAutoRemediation
整数 1 1 - 有効、0 - 無効。この設定は、IT 管理者が、ユーザーがより安全な Wi-Fi アクセス ポイントへの切り替えや Defender によって検出された疑わしい証明書の削除などの修復アクティビティを実行したときに送信される修復アラートを有効または無効にするために使用されます。 DefenderNetworkProtectionPrivacy
整数 1 1 - 有効、0 - 無効。この設定は、ネットワーク保護でプライバシーを有効または無効にするために IT 管理者によって使用されます。 値 0 でプライバシーが無効になっている場合は、悪意のある Wifi または証明書のデータを共有するためにユーザーの同意が表示されます。 値 1 が有効になっている状態の場合、ユーザーの同意は表示されません。アプリ データは収集されません。 ポリシーを適用するグループを含めるか除外します。 ポリシーの確認と送信に進みます。
注:
- Network Protection の他の構成キーは、親キー 'DefenderNetworkProtectionEnable' が有効になっている場合にのみ機能します。
- ユーザーは場所のアクセス許可 (省略可能なアクセス許可) を有効にする必要があり、アプリがアクティブに使用されていない場合でも、Wi-Fi 脅威に対する保護を確保するために "常に許可する" アクセス許可を付与する必要があります。 場所のアクセス許可がユーザーによって拒否された場合、Defender for Endpoint はネットワークの脅威に対する限定的な保護のみを提供でき、不正な証明書からユーザーのみを保護します。
プライバシー制御を構成する
管理者は、次の手順を使用してプライバシーを有効にし、対応する脅威のアラート レポートの一部としてドメイン名、アプリの詳細、ネットワーク情報を収集することはできません。
- Microsoft Intune 管理センターで、[ アプリ > アプリ構成ポリシー] > [管理対象アプリ > 追加] に移動します。
- ポリシーに名前を付けます。
- [パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。
- [設定] ページの [全般構成設定] で、 DefenderExcludeURLInReport と DefenderExcludeAppInReport をキーと値として 1 として追加します。
- DefenderMAMConfigs キーを追加し、値を 1 に設定します。
- このポリシーをユーザーに割り当てます。 既定では、この値は 0 に設定されます。
- [設定] ページの [全般構成設定] で、 DefenderExcludeURLInReport、 DefenderExcludeAppInReport をキーとして追加し、値を true として追加します。
- DefenderMAMConfigs キーを追加し、値を 1 に設定します。
- このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
- ポリシーを確認して作成します。
オプションのアクセス許可
Android 上の Microsoft Defender for Endpoint では、オンボード フローでオプションのアクセス許可が有効になります。 現在、MDE に必要なアクセス許可はオンボード フローで必須です。 この機能を使用すると、管理者は、オンボード中に必須の VPN とアクセシビリティのアクセス許可を適用することなく、MAM ポリシーを使用して Android デバイスに MDE をデプロイできます。 エンド ユーザーは、必須のアクセス許可なしでアプリをオンボードでき、後でこれらのアクセス許可を確認できます。
オプションのアクセス許可を構成する
次の手順を使用して、デバイスのオプションのアクセス許可を有効にします。
Microsoft Intune 管理センターで、[ アプリ > アプリ構成ポリシー] > [管理対象アプリ > 追加] に移動します。
ポリシーに名前を付けます。
パブリック アプリで [Microsoft Defender for Endpoint] を選択します 。
[設定] ページで、[ 構成デザイナー と DefenderOptionalVPN または DefenderOptionalAccessibility またはその 両方 をキーとして使用する] を選択します。
DefenderMAMConfigs キーを追加し、値を 1 に設定します。
オプションのアクセス許可を有効にするには、 値を 1 と入力し、このポリシーをユーザーに割り当てます。 既定では、この値は 0 に設定されます。
キーが 1 に設定されているユーザーは、これらのアクセス許可を付与せずにアプリをオンボードできます。
[設定] ページで、[ 構成デザイナー と DefenderOptionalVPN または DefenderOptionalAccessibility またはその 両方 をキーと値の種類としてブール値として使用する] を選択します。
DefenderMAMConfigs キーを追加し、値を 1 に設定します。
オプションのアクセス許可を有効にするには、 値を true と入力し、このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
キーが true に設定されているユーザーの場合、ユーザーはこれらのアクセス許可を付与せずにアプリをオンボードできます。
[ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。
ユーザー フロー
ユーザーはアプリをインストールして開き、オンボード プロセスを開始できます。
管理者がオプションのアクセス許可を設定している場合、ユーザーは VPN またはアクセシビリティのアクセス許可をスキップするか、両方をスキップしてオンボードを完了することを選択できます。
ユーザーがこれらのアクセス許可をスキップした場合でも、デバイスはオンボードでき、ハートビートが送信されます。
アクセス許可が無効になっているため、Web 保護はアクティブになりません。 いずれかのアクセス許可が付与されている場合、部分的にアクティブになります。
後で、ユーザーはアプリ内から Web 保護を有効にすることができます。 これにより、デバイスに VPN 構成がインストールされます。
注:
[オプションのアクセス許可] 設定は、[Web 保護を無効にする] 設定とは異なります。 オプションのアクセス許可はオンボード中にアクセス許可をスキップするのに役立ちますが、エンド ユーザーは後で確認して有効にすることができますが、Web 保護を無効にすると、ユーザーは Web 保護なしで Microsoft Defender for Endpoint アプリをオンボードできます。 後で有効にすることはできません。
サインアウトを無効にする
Defender for Endpoint を使用すると、アプリをデプロイし、サインアウト ボタンを無効にできます。 サインアウト ボタンを非表示にすると、ユーザーは Defender アプリからサインアウトできなくなります。 このアクションは、Defender for Endpoint が実行されていない場合のデバイスの改ざんを防ぐのに役立ちます。
[サインアウトを無効にする] を構成するには、次の手順に従います。
Microsoft Intune 管理センターで、[ アプリ > アプリ構成ポリシー] > [管理対象アプリ > 追加] に移動します。
ポリシーに名前を指定 します。
[ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。
[ 設定] ページの [ 全般構成設定] で、キーとして DisableSignOut を追加し、値を 1 に設定します。
- 既定では、[サインアウトを無効にする] = 0 です。
- 管理者は、アプリのサインアウト ボタンを無効にするには、サインアウトを無効にする = 1 にする必要があります。 ポリシーがデバイスにプッシュされると、サインアウト ボタンは表示されません。
[ 次へ ] を選択し、対象のデバイスとユーザーにこのプロファイルを割り当てます。
デバイスのタグ付け
Android 上の Defender for Endpoint では、管理者が Intune を介してタグを設定できるようにすることで、オンボード中にモバイル デバイスに一括タグを付けることができるようにします。 管理者は、構成ポリシーを使用して Intune を介してデバイス タグを構成し、ユーザーのデバイスにプッシュできます。 ユーザーが Defender をインストールしてアクティブ化すると、クライアント アプリはデバイス タグをセキュリティ ポータルに渡します。 デバイス インベントリ内のデバイスに対してデバイス タグが表示されます。
デバイス タグを構成するには、次の手順に従います。
Microsoft Intune 管理センターで、[ アプリ > アプリ構成ポリシー] > [管理対象アプリ > 追加] に移動します。
ポリシーに名前を指定 します。
[ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。
[設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として DefenderDeviceTagを String として追加します。
- 管理者は、キー DefenderDeviceTag を追加し、デバイス タグの値を設定することで、新しいタグを割り当てることができます。
- 管理者は、キー DefenderDeviceTag の値を変更することで、既存のタグを編集できます。
- 管理者は、キー DefenderDeviceTag を削除することで、既存のタグを削除できます。
[次へ] をクリックし、対象のデバイスとユーザーにこのポリシーを割り当てます。
注:
タグを Intune と同期し、セキュリティ ポータルに渡すには、Defender アプリを開く必要があります。 ポータルにタグが反映されるまでに最大で 18 時間かかる場合があります。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。