Android 和 iOS 上的Microsoft Defender for Endpoint是我们的移动威胁防御 (MTD) 解决方案。 公司通常主动保护计算机免受漏洞和攻击,但移动设备通常不受监视且不受保护。 尽管移动平台具有一些内置保护 (例如,应用隔离和经过审查的消费者应用商店) ,但这些平台仍然容易受到基于 Web 或其他复杂攻击的攻击。 随着越来越多的人使用设备访问敏感工作信息,公司必须部署 MTD 解决方案来保护设备和资源。
Android 和 iOS 上的Microsoft Defender for Endpoint提供以下关键功能:
| 功能 | 说明 |
|---|---|
| Web 保护 | 防钓鱼、阻止不安全网络连接,并支持 URL 和域的自定义指示器。 当前不支持 (文件和 IP 指示器。) |
| 恶意软件防护 (仅限 Android) | 扫描恶意应用和 APK Files。 |
| 仅 (iOS) 越狱检测 | 检测越狱设备。 |
| Android (根检测 - 预览) | 根设备的检测。 |
| Microsoft Defender 漏洞管理 (MDVM) | 已载入移动设备的漏洞评估。 包括 Android 和 iOS 的 OS 和应用漏洞评估。 有关详细信息,请参阅什么是Microsoft Defender 漏洞管理。 |
| 网络保护 | 防止流氓 Wi-Fi 相关威胁和流氓证书;在Intune中将根 CA 和专用根 CA 证书添加到“允许”列表的功能;与终结点建立信任。 |
| 统一警报 | 来自统一Microsoft Defender门户中所有平台的警报。 |
| 条件访问、条件启动 | 阻止有风险的设备访问公司资源。 还可以将 Defender for Endpoint 风险信号添加到应用保护策略 (MAM) 。 |
| 隐私控件 | 通过控制Microsoft Defender for Endpoint发送的数据,在威胁报告中配置隐私。 隐私控制适用于管理员和最终用户。 它也适用于已注册和未注册的设备。 |
| 与 Microsoft Tunnel 集成 | 与 Microsoft Tunnel 集成,这是一种 VPN 网关解决方案,用于在单个应用中实现安全性和连接性。 在 Android 和 iOS 上均可用。 |
这些功能适用于Microsoft Defender for Endpoint许可证持有者。 有关详细信息,请参阅 许可要求。
有关最新功能和优势的信息,请阅读我们的 公告。
概述和部署
如果订阅包含Microsoft Intune,则可以使用 Intune 在移动设备上部署Microsoft Defender for Endpoint。 观看此视频,快速了解 MTD 功能和部署:
载入已在 Intune 中注册的设备
已在 Microsoft Intune 中注册的设备可以载入到Microsoft Defender for Endpoint,而无需重新注册。 安装 Defender 应用并分配所需的配置文件后,设备将自动完成载入。
已注册 Android (Intune 的设备)
确保设备已根据受支持的 Android Enterprise 方案之一在 Intune 中注册。
通过 Intune 部署 Microsoft Defender for Endpoint 应用。
分配Microsoft Defender for Endpoint配置文件:
- Web 保护
- 网络保护
- 应用保护 ((如果适用))
当 Defender 应用收到配置时,设备会自动加入。
使用条件访问根据需要强制用户加入。
iOS/iPadOS (Intune 注册的设备)
- 确保使用 ADE*、Apple Configurator*、设备注册或用户注册注册设备。
- 通过 Intune 部署Microsoft Defender for Endpoint。
- 为以下项分配 Defender for Endpoint 配置策略:
- Web 保护
- 网络保护
- 受监督设备的零接触载入 ()
* 交付策略后,应用会自动配置和载入设备,而无需用户交互。
注意
无需重新注册现有的Intune注册设备。 在将 Defender 应用和 MTD 配置策略传递到设备后,自动进行载入。
部署
下表总结了如何在 Android 和 iOS 上部署Microsoft Defender for Endpoint。 有关详细文档,请参阅以下文章:
支持的 Android 注册方案
| 应用场景 | 设备上需要公司门户应用? | 保护配置文件/先决条件 | 如何部署 |
|---|---|---|---|
| 使用工作配置文件的 Android Enterprise 个人拥有的设备 | 是 | 仅保护工作配置文件部分。 详细了解工作配置文件 | Microsoft Intune:在 Android 上部署和配置Microsoft Defender for Endpoint |
| 使用个人配置文件的 Android Enterprise 个人拥有的设备 | 是 | 保护个人配置文件。 当客户还具有工作配置文件时,它会保护整个设备。
|
Microsoft Intune:在 Android 上部署和配置Microsoft Defender for Endpoint |
| Android Enterprise 公司拥有的工作配置文件 (COPE) | 是 | 仅保护工作配置文件部分。 公司门户应用和Microsoft Intune应用都将自动安装。 | Microsoft Intune:在 Android 上部署和配置Microsoft Defender for Endpoint |
| Android Enterprise 公司拥有的完全托管 - 没有工作配置文件 (COBO) | 是 | 保护整个设备。 公司门户应用和Microsoft Intune应用都将自动安装。 | Microsoft Intune:在 Android 上部署和配置Microsoft Defender for Endpoint |
| MAM | 安装 (是;不需要安装程序) | 仅保护已注册的应用。 MAM 支持使用/不使用设备注册或使用非Microsoft企业移动性管理进行注册。 | 使用应用保护策略 (MAM) 在 Android 风险信号上配置Microsoft Defender for Endpoint |
| 设备管理员 (已于 2024 年 12 月 31 日弃用) | 是 | Intune 和 Defender for Endpoint 于 2024 年 12 月终止了对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理的支持。 | Microsoft Intune:在 Android 上部署和配置Microsoft Defender for Endpoint |
不支持的 Android 注册方案
目前不支持以下方案:
- Android Enterprise 公司拥有的个人配置文件
- Android Enterprise 公司拥有的专用设备 (COSU) (展台/共享)
- Android Open-Source Project (AOSP)
Android 低接触载入支持的方案
- 使用工作配置文件的 Android Enterprise 个人拥有的设备。
- Android Enterprise 公司拥有的工作配置文件 (COPE) 。
- Android Enterprise 公司拥有的完全托管 - 没有 COBO) (工作配置文件。
支持的 iOS 注册方案
| 应用场景 | 设备上需要公司门户应用? | 保护配置文件/先决条件 | 如何部署 |
|---|---|---|---|
| 受监督设备 (ADE 和 Apple Configurator 注册) | 是 | 保护整个设备。 对于 ADE,如果使用实时 (JIT) 注册的用户,则不需要公司门户应用,因为应用通过连接到Intune服务器自动注册设备 | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| 非监督设备 (设备注册) | 是 | 保护整个设备。 对于基于 Web 的设备注册,不需要公司门户应用,因为在托管应用登录后,应用会直接下载配置策略,而不是公司门户应用 | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| 非监督设备 (用户注册) | 是 | 保护整个设备。 TVM 功能例外,其中仅保护管理员推送的工作应用。 Web 保护在设备级别工作,并扫描来自所有应用的网络流量。 | 使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint |
| MAM | 否 | 仅保护已注册的应用。 VPN 可以访问整个设备,并且可以扫描所有应用流量 | 使用移动应用程序管理在 iOS 上部署Microsoft Defender for Endpoint |
不支持的 iOS 注册方案
不支持 iOS 专用/共享/展台设备注册。
iOS 零接触载入支持的方案
- (ADE 和 Apple Configurator 注册的受监督设备)
- 非监督设备 (设备注册)
最终用户加入
为 iOS 注册设备配置零接触载入:管理员可以配置零接触安装,以在已注册的 iOS 设备上静默载入Microsoft Defender for Endpoint,而无需用户打开应用。
配置条件访问以强制实施用户加入:可以应用条件访问,确保用户在部署后加入到 Microsoft Defender for Endpoint 应用。 观看此视频,获取有关使用 Defender for Endpoint 风险信号配置条件访问的快速演示。
简化载入
试点评估
使用 Microsoft Defender for Endpoint 评估移动威胁防御时,可以在继续将服务部署到更大的设备集之前验证是否满足某些条件。 可以定义退出条件,并确保在广泛部署之前满足这些条件。
此方法有助于减少在推出服务时可能出现的潜在问题。 下面是一些可能有所帮助的测试和退出条件:
- 设备显示在设备清单列表中:在移动设备上成功载入 Defender for Endpoint 后,验证设备是否已在Microsoft Defender门户中的“设备清单”中列出。
运行网络钓鱼测试:浏览到
https://smartscreentestratings2.net并验证它是否被Microsoft Defender for Endpoint阻止。 在具有工作配置文件的 Android Enterprise 上,仅支持工作配置文件。警报显示在仪表板中:验证前面提到的检测测试的警报是否显示在Microsoft Defender门户中。
需要有关在 Android & iOS 上部署或配置 Defender for Endpoint 的帮助? 如果产品至少有 150 个许可证,请使用 FastTrack 权益。 若要详细了解 FastTrack,请参阅 Microsoft FastTrack。
配置
资源
- Android 上的 Microsoft Defender for Endpoint
- iOS 上的 Microsoft Defender for Endpoint
- 阅读我们的 公告,随时了解即将发布的版本。