Android 上の Microsoft Defender for Endpoint の新機能

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

ネットワーク保護

Microsoft Defender for Endpoint のネットワーク保護が利用可能になりました。 ネットワーク保護は、不正な Wi-Fi 関連する脅威、パイナップル デバイスなどの不正なハードウェア、不正な証明書に対する保護を提供します。 関連する脅威が検出された場合にユーザーに通知します。 また、セキュリティで保護されたネットワークに接続し、セキュリティで保護されていない接続に接続したときにネットワークを変更するためのガイド付きエクスペリエンスも表示されます。

重要

ネットワーク保護機能は、すべてのユーザーに対して既定ですぐに有効になります。 更新プログラムは段階的にロールアウトされます。 その結果、ユーザーは、Defender for Endpoint アプリのネットワーク保護カードと、App Protection と Web Protection を表示できるようになります。 ユーザーは、セットアップを完了するために場所のアクセス許可を指定する必要もあります。 管理者は、Intune アプリ構成ポリシーを使用しない場合に、ネットワーク保護の既定値を変更できます。 また、Android デバイスから Defender for Endpoint によって送信されるデータを構成するためのプライバシー制御など、柔軟性を提供する管理コントロールがいくつかあります。 詳細については、「 ネットワーク保護」を参照してください。

デバイスのタグ付け

モバイル デバイスのタグ付けが一般公開されました。 この機能を使用すると、管理者が Intune を介してタグを設定できるようにすることで、モバイル デバイスの一括タグ付けが可能になります。 管理者は、構成ポリシーを使用して Intune を介してデバイス タグを構成し、ユーザーのデバイスにプッシュできます。 ユーザーが Defender をインストールしてアクティブ化すると、クライアント アプリはデバイス タグをセキュリティ ポータルに渡します。 デバイス インベントリ内のデバイスに対してデバイス タグが表示されます。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 詳細については、「 デバイスのタグ付け (MDM)」 と「 デバイスのタグ付け (MAM)」を参照してください。

会社所有の個人用に有効なデバイス上の Microsoft Defender for Endpoint

Defender for Endpoint が AE COPE デバイスで一般提供されるようになりました。 企業は、COPE モードでデバイスをオンボードし、 Microsoft Intune 管理センターを通じて Defender for Endpoint をユーザーのデバイスにプッシュできます。 このサポートにより、Android Enterprise COPE デバイスは、Android で提供される次のような完全な機能を利用できます。

  • フィッシングと Web 保護。
  • マルウェアスキャン。
  • ネットワーク保護 (プレビュー)。
  • Microsoft Intune と条件付きアクセスとの統合による追加の侵害防止。

お知らせ はこちらからお読みください。

プライバシーコントロール

Android 上の Microsoft Defender for Endpoint では、管理者とエンド ユーザーの両方に対してプライバシー制御が有効になります。 これには、登録済み (MDM) デバイスと登録解除 (MAM) デバイスのコントロールが含まれます。 管理者はアラート レポートでプライバシーを構成でき、エンド ユーザーは組織に共有される情報を構成できます。 詳細については、 プライバシー制御 (MDM)プライバシー制御 (MAM) に関するページを参照してください。

オプションのアクセス許可と Web 保護の無効化

Android 上の Microsoft Defender for Endpoint では、オンボード フローで オプションのアクセス許可 が有効になります。 現在、Defender for Endpoint に必要なアクセス許可は、オンボード フローで必須です。 この機能を使用すると、管理者はオンボード中に 必須の VPNアクセシビリティ のアクセス許可を適用することなく、デバイスに Defender for Endpoint を展開できます。 エンド ユーザーは、必須のアクセス許可なしでアプリをオンボードでき、後でこれらのアクセス許可を確認できます。 この機能は現在、登録されていないデバイス (MAM) にのみ存在します。 詳細については、オプションの アクセス許可に関するページを参照してください。

Microsoft Defender on Android Enterprise BYOD 個人用プロファイル

Microsoft Defender for Endpoint は、マルウェア スキャン、フィッシング リンクからの保護、ネットワーク保護、脆弱性管理など、すべての主要な機能を備えた Android Enterprise 個人用プロファイル (BYOD のみ) でサポートされるようになりました。 このサポートは、個人プロファイルでユーザーのプライバシーを確保するための プライバシー制御 と組み合わせて提供されます。 詳細については、 お知らせデプロイ ガイドを参照してください。

Android アプリの Microsoft Defender の更新プログラム

Microsoft Defender は、バージョン 1.0.3011.0302 以前ではサポートされなくなりました。 ユーザーは、デバイスをセキュリティで保護するために、最新バージョンにアップグレードする必要があります。

更新するには、ユーザーは次の手順を使用できます。

  1. 仕事用プロファイルで、[マネージド プレイ ストア] に移動します。

  2. 右上隅にあるプロファイル アイコンをタップし、[ アプリとデバイスの管理] を選択します。

  3. [使用可能な更新プログラム] で Defender for Endpoint を見つけて、[ 更新] を選択します。

問題が発生した場合は、 アプリ内フィードバックを送信してください

Microsoft Defender for Endpoint が Play ストアの Microsoft Defender になりました

Microsoft Defender for Endpoint は、プレイ ストアで Microsoft Defender として使用できるようになりました。 この更新プログラムでは、 アプリは米国リージョンのコンシューマーのプレビューとして利用できます。 職場または個人アカウントでアプリにログインする方法に基づいて、Microsoft Defender for Endpoint または個人向け Microsoft Defender の機能にアクセスできます。 詳細については、このブログを参照してください。

脆弱性管理

2022 年 1 月 25 日、Android と iOS での脆弱性管理の一般提供を発表しました。 詳細については、 こちらの techcommunity 投稿を参照してください

Android 11 以降を実行している Microsoft Defender for Endpoint の今後のアクセス許可の変更 (2021 年 11 月)

リリース ビルド: 1.0.3501.0301 リリース月: 2021 年 11 月 Microsoft Defender for Endpoint は、Android API 30 にアップグレードするために Google が必要とするこの更新プログラムをリリースしました。 この変更により、Android 11 以降を実行しているデバイスに対して、 新しいストレージアクセス許可へのアクセスを求めるメッセージが表示されます。 ユーザーは、リリース ビルド 1.0.3501.0301 以降で Defender アプリを更新したら、この新しいストレージアクセス許可を受け入れる必要があります。 この更新プログラムにより、Defender for Endpoint のアプリ セキュリティ機能が中断されることなく機能することが保証されます。 詳細については、次のセクションを参照してください。

これは組織にどのような影響を与えますか。 これらの変更は、Android 11 以降を実行しているデバイスで Microsoft Defender for Endpoint を使用し、ビルド 1.0.3501.0301 以降をリリースするように Defender for Endpoint を更新した場合に有効になります。

注:

管理者が Microsoft Intune を介して自動承認するように新しいストレージのアクセス許可を構成することはできません。 ユーザーは、このアクセス許可へのアクセスを提供するためのアクションを実行する必要があります。

  • ユーザー エクスペリエンス: ユーザーは、アプリのセキュリティに対するアクセス許可が不足したことを示す通知を受け取ります。 ユーザーがこのアクセス許可を拒否すると、デバイスでアプリのセキュリティ機能がオフになります。 ユーザーがアクセス許可を承諾または拒否しない場合は、承認されるまで、デバイスのロックを解除するか、アプリを開くときにプロンプトを受け取り続けます。

注:

組織が改ざん防止機能をプレビューしていて、最新バージョンに更新してから 7 日以内に新しいストレージアクセス許可がユーザーに付与されていない場合、ユーザーは企業リソースにアクセスできなくなる可能性があります。

準備に必要な事柄:

Defender for Endpoint を更新して 1.0.3501.0301 以降のバージョンをビルドするように求められたら、ユーザーとヘルプデスクに新しいアクセス許可を受け入れる必要があることを通知します (該当する場合)。 アクセス許可を受け入れるには、ユーザーは次の手順を実行する必要があります。

  1. Defender for Endpoint のアプリ内通知をタップするか、Defender for Endpoint アプリを開きます。 ユーザーには、必要なアクセス許可の一覧が表示される画面が表示されます。 [ストレージ] アクセス許可の横に緑色のチェック マークがありません。

  2. [ 開始] をタップします。

  3. [ アクセスを許可] のトグルをタップして、すべてのファイルを管理します。

  4. デバイスが保護されるようになりました。

注:

このアクセス許可により、Microsoft Defender for Endpoint はユーザーのデバイス上のストレージにアクセスできます。これにより、悪意のあるアプリや不要なアプリを検出して削除するのに役立ちます。 Microsoft Defender for Endpoint は、Android アプリ パッケージ ファイル (.apk) にのみアクセス/スキャンします。 仕事用プロファイルを持つデバイスでは、Defender for Endpoint は仕事に関連するファイルのみをスキャンします。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。