設定 Android 上適用於端點的 Microsoft Defender 功能

Android 上的 Defender for Endpoint 條件存取

適用於端點的 Microsoft Defender on Android，結合Microsoft Intune與Microsoft Entra ID，能根據裝置風險等級執行裝置合規性及條件存取政策。 Defender for Endpoint 是一款行動威脅防禦 (MTD) 解決方案，您可以透過 Intune 部署。

欲了解更多如何在 Android 及條件式存取上設定 Defender for Endpoint 的資訊，請參閱 Defender for Endpoint 與 Intune。

設定自訂指示器

Android 版的 Defender for Endpoint 也允許管理員設定自訂指示器以支援 Android 裝置。 欲了解更多如何配置自訂指示器的資訊，請參閱 指示器概覽。

設定網路保護

Android 版的 Defender for Endpoint 允許 IT 管理員設定網路保護功能。 此功能可在 Microsoft Intune 管理中心使用。

網路防護 有助於保護裝置免受網路威脅，並保護用戶免受網路釣魚攻擊。 網路防護支援反釣魚及自訂指標 (網址與 IP 位址) 。 目前行動平台不支援網頁內容過濾功能。

網路保護

此功能提供防範惡意 Wi-Fi 相關威脅及惡意憑證的保護，這些是 Wi-Fi 網路的主要攻擊途徑。 管理員可以在管理中心列出根憑證授權機構 (CA) 及私有根憑證憑證Microsoft Intune並與端點建立信任。 它提供使用者導向的連線體驗，協助連接安全網路，並在偵測到相關威脅時通知用戶。

它包含多項管理控制功能以提供彈性，例如能在 Microsoft Intune 管理中心內設定此功能並新增受信任憑證。 管理員可以啟用 隱私控制 ，以設定從 Android 裝置傳送到 Defender for Endpoint 的資料。

Microsoft Defender 端點的網路保護預設已啟用。 管理員可以使用以下步驟在 Android 裝置中設定網路保護。

在 Microsoft Intune 管理中心，請瀏覽應用程式>設定政策。 建立新的應用程式設定政策。

1. 提供名稱和描述以唯一識別保單。 選擇「Android Enterprise」作為平台，「僅限個人擁有的工作設定檔」作為個人檔案類型，並將「Microsoft Defender」作為目標應用程式。

2. 在設定頁面中，選擇「使用設定設計器」，並將「啟用 Microsoft Defender 中的網路保護」作為鍵，將值設為「0」以停用網路保護。 (網路保護預設已啟用)

3. 如果您的組織使用私有的根憑證憑證，您必須在 MDM 解決方案) 與使用者裝置之間建立明確Intune (信任。 建立信任有助於防止 Defender 將根憑證標記為惡意憑證。

   要建立根憑證的信任，請使用 「受信任的 CA 憑證清單用於網路保護」 作為金鑰。 在數值中加入「SHA 1) 證書指紋 (逗號分隔清單」。

   補充拇指列印格式範例： 50 30 06 09 1d 97 d4 f5 ae 39 f7 cb e7 92 7d 7d 65 2d 34 31, 503006091d97d4f5ae39f7cbe7927d7d652d3431

   重要事項

   憑證 SHA-1 拇指指紋字元應有空白分隔或非分隔。

   此格式無效： 50:30:06:09:1d:97:d4:f5:ae:39:f7:cb:e7:92:7d:7d:65:2d:34:31

   其他分離字元無效。

4. 對於其他與網路保護相關的配置，請新增以下鍵及相應的值。

   配置鍵	描述
   網路保護可信憑證清單	安全管理員管理此設定以建立根憑證授權中心與自簽憑證的信任。
   啟用 Microsoft Defender 的網路保護	1 - 啟用 (預設) ,0- 停用。 這個設定由 IT 管理員用來啟用或停用 Defender 應用程式中的網路保護功能。
   啟用網路保護隱私	1 - 啟用 (預設) ,0 - 停用。 安全管理員會管理此設定，以啟用或關閉網路保護中的隱私。
   讓使用者能夠信任網路與憑證	1 - 啟用，0 - 停用預設 () 。 安全管理員管理此設定，以啟用或停用終端使用者在應用程式內的體驗，以信任與不信任不安全且可疑的網路與惡意憑證。
   網路保護警報的自動修復	1 - 啟用 (預設) ,0 - 停用。 資安管理員會管理此設定，以啟用或停用使用者執行修復活動時發出的補救警示，例如切換到較安全的 Wi-Fi 基地台或刪除 Defender 偵測到的可疑憑證。 此設定僅適用於警示，不影響裝置時間軸事件。 因此，它不會影響開放 Wi-Fi 網路或自簽憑證。
   管理開放網路的網路保護偵測	2- 啟用預設 () ,1- 稽核模式，0 - 停用。 安全管理員負責管理此設定，分別啟用、稽核或停用開放網路偵測。 在「審核」模式下，事件僅傳送至 ATP 入口網站，沒有終端使用者體驗。 為了使用者體驗，設定應該設為「啟用」模式。
   管理憑證的網路保護偵測	2- 啟用，1- 稽核模式，0 - 停用預設 () 。 在稽核模式下，事件會傳送給 SOC 管理員，但當 Defender 偵測到憑證錯誤時，不會向使用者顯示任何終端用戶通知。 管理員可透過設定 2 作為值來啟用完整功能功能。 當該功能啟用時值為 2，當 Defender 偵測到錯誤憑證時，最終用戶會收到通知給使用者，事件也會傳送給 SOC 管理員。

5. 再加上必須適用該政策的群體。 審查並制定保單。

   配置鍵	描述
   啟用 Microsoft Defender 的網路保護	1：啟用 (預設) 0：失效 這個設定由 IT 管理員用來啟用或停用 Defender 應用程式中的網路保護功能。
   啟用網路保護隱私	1：啟用 (預設) 0：失效 安全管理員會管理此設定，以啟用或關閉網路保護中的隱私。
   讓使用者能夠信任網路與憑證	1：啟用 0：停用預設 () 此設定被 IT 管理員用來啟用或停用終端使用者的應用程式內體驗，以信任或不信任不安全且可疑的網路與惡意憑證。
   網路保護警報的自動修復	1：啟用 (預設) 0：失效 此設定由 IT 管理員用來啟用或停用使用者執行修復活動時發送的修復警報。 例如，使用者切換到更安全的 Wi-Fi 基地台，或刪除 Defender 偵測到的可疑憑證。 此設定僅適用於警報，不影響裝置時間軸事件。 因此，它不適用於偵測開放 Wi-Fi 網路或自簽憑證
   開放網路偵測	2：啟用 (預設) 1：稽核模式 0：失效 資安管理員會管理此設定以啟用或關閉網路開啟偵測。
   管理憑證的網路保護偵測	2：啟用 1：稽核模式 0：停用預設 () 在稽核模式下，事件會傳送給 SOC 管理員，但當 Defender 偵測到錯誤憑證時，不會顯示任何終端用戶通知。 管理員可以透過設定 2. 當值為 2 時，Defender 偵測到錯誤憑證時，會向使用者發送通知，事件也會傳給 SOC 管理員。

6. 再加上必須適用該政策的群體。 審查並制定保單。

• 這些變更生效，終端用戶必須於 2025 年 5 月中旬更新至 Android 版的 Defender for Endpoint 最新版本。 否則，過去產生警報的經驗仍會存在。 如果管理員啟用自動修復金鑰，變更生效後舊警報會自動解決。
• 當終端使用者在同一 24 小時內多次連接或斷開開放的無線網路時，該 24 小時內只會產生一次連線與斷線事件並傳送到裝置時間軸。
• 讓使用者信任網路：更新後，開放無線網路（包括受信任網路）的連線與斷線事件會以事件形式傳送到裝置時間軸。
• 使用者允許清單憑證：更新後，下載/安裝/刪除自簽憑證事件，包括使用者信任憑證，會以事件形式傳送到裝置時間軸。
• 過去產生這些活動警示的經驗，仍然適用於GCC租戶。

隱私控制

以下隱私控制措施可用於配置 Defender for Endpoint 從 Android 裝置傳送的資料：

根偵測

適用於端點的 Microsoft Defender 具備偵測 root 的未受管理及受管理裝置的能力。 這些根檢定會定期進行。 若裝置被偵測為 root 時，會發生以下事件：

• 高風險警示會被回報至 Microsoft Defender 入口網站。 如果裝置合規與條件存取是根據裝置風險分數設定，則該裝置將被封鎖存取企業資料。

• 裝置被偵測為 root 後，應用程式上的使用者資料會被清除。 此功能預設為啟用;管理員或使用者不需要採取任何行動。

先決條件

• 必須安裝公司入口網站，且版本必須為 >=5.0.6621.0

設定隱私警示報告

管理員現在可以啟用網路釣魚報告、惡意軟體報告及網路報告的隱私控制，這些內容由 Android 適用於端點的 Microsoft Defender 發送。 此配置確保當偵測到相應威脅時，網域名稱、應用程式細節與網路資訊不會作為警報的一部分被傳送。

管理員 MDM (隱私控制) 請使用以下步驟來啟用隱私。

1. 在 Microsoft Intune 管理中心，點選 Apps > App 配置政策 > 新增>受管理裝置。

2. 給政策 命名為 Platform > Android enterprise，選擇設定檔類型。

3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

4. 在設定頁面，選擇 使用設定設計器 ，然後選擇 新增。

5. 選擇所需的隱私設定

   • 在報表中隱藏網址
   • 在個人檔案報告中隱藏網址
   • 在報告中隱藏應用程式細節
   • 在個人檔案報告中隱藏應用程式細節
   • 啟用網路保護隱私

6. 為了啟用隱私，請輸入整數值為 1，並將此政策指派給使用者。 預設情況下，工作設定檔中的 MDE 值設為 0，個人設定檔的 MDE 設為 1。

7. 請檢視並將此設定檔指派給目標裝置/使用者。

終端使用者隱私控制

這些控制措施幫助最終使用者配置向組織分享的資訊。

1. 對於 Android Enterprise 工作設定檔，終端使用者的控制項不會顯示。 這些設定由管理員控制。
2. 對於 Android 企業個人個人設定檔，控制權會顯示在 設定> 隱私中。
3. 使用者會看到一個切換選項，分別是不安全網站資訊、惡意應用程式和網路保護。

這些切換只有管理員啟用時才會顯示。使用者可以決定是否要將資訊傳送給組織。

啟用或停用上述隱私控制不會影響裝置合規檢查或條件存取。

為 BYOD 裝置配置應用程式的漏洞評估

從 Android 上 適用於端點的 Microsoft Defender 1.0.3425.0303 版本開始，你可以對安裝在內建行動裝置上的作業系統和應用程式進行漏洞評估。

關於個人裝置應用程式隱私的備註 (BYOD) ：

• 對於有工作設定檔的 Android Enterprise，只有安裝在工作設定檔上的應用程式才會被支援。
• 對於其他 BYOD 模式，預設 不會 啟用應用程式的漏洞評估。 然而，當裝置處於管理員模式時，管理員可以透過 Microsoft Intune 明確啟用此功能，以取得裝置上安裝的應用程式清單。 欲了解更多資訊，請參閱下方細節。

為 Android Enterprise 工作設定檔設定隱私

Defender for Endpoint 支援工作設定檔中應用程式的漏洞評估。 不過，如果你想關閉目標用戶的此功能，可以採取以下步驟：

1. 在 Microsoft Intune 管理中心，點到 Apps>App 配置政策 \>新增>受管理裝置。
2. 給保單一個名字; 平台 > Android 企業版;選擇設定檔類型。
3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。
4. 在設定頁面，選擇 使用設定設計器 ，並將啟用 TVM 隱私 作為鍵，值類型為 整數

• 若要在工作設定檔中停用應用程式的漏洞，請輸入 值為 並將 1 此政策指派給使用者。 預設情況下，此值設為 0。
  • 對於將金鑰設定為 0的使用者，Defender for Endpoint 會將工作設定檔的應用程式清單傳送至後端服務進行漏洞評估。

5. 選擇 「下一步 」，並將此設定檔指派給目標裝置/使用者。

開啟或關閉上述隱私控制不會影響裝置合規檢查或條件存取。

設定釣魚警報報告的隱私

釣魚報告的隱私控制可用來停用釣魚威脅報告中對網域名稱或網站資訊的收集。 此設定讓組織能靈活選擇是否在惡意或釣魚網站被 Defender for Endpoint 偵測並封鎖時收集該網域名稱。

在 Android 企業工作設定檔設定釣魚警報報告的隱私

請使用以下步驟，在工作個人檔案中開啟目標用戶的隱私：

1. 在 Microsoft Intune 管理中心，然後點到 Apps>App 配置政策>，新增>受管理裝置。

2. 給政策命名為 Platform > Android Enterprise，選擇設定檔類型。

3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

4. 在設定頁面，選擇 使用設定設計器 ，並將 DefenderExcludeURLInReport 作為鍵，值類型為 整數。

   輸入 1 即可啟用隱私。 預設值為 0。

5. 選擇 「下一步 」，並將此設定檔指派給目標裝置/使用者。

開啟或關閉上述隱私控制不會影響裝置合規檢查或條件存取。

為惡意軟體威脅報告設定隱私權

惡意軟體威脅報告的隱私控制可用來停用惡意軟體威脅報告中) 的應用程式細節 (名稱與套件資訊的收集。 此設定讓組織能靈活選擇是否在偵測到惡意應用程式時收集該應用程式名稱。

在 Android 企業工作設定檔設定惡意軟體警報報告的隱私權

請使用以下步驟，在工作個人檔案中開啟目標用戶的隱私：

1. 在 Microsoft Intune 管理中心，然後點到 Apps>App 配置政策>，新增>受管理裝置。

2. 給政策命名為 Platform > Android Enterprise，選擇設定檔類型。

3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

4. 在設定頁面選擇 使用設定設計器 ，並將 DefenderExcludeAppInReport 作為鍵，值型別設為 整數

   輸入 1 即可啟用隱私。 預設值為 0。

5. 選擇 「下一步 」，並將此設定檔指派給目標裝置/使用者。

使用此隱私控制不會影響裝置合規檢查或條件存取。 例如，帶有惡意應用程式的裝置風險等級永遠是「中等」。

停用登出

Defender for Endpoint 支援部署，無需在應用程式中登出按鈕，以防止使用者登出 Defender 應用程式。 這對於防止使用者對裝置進行竄改非常重要。 請使用以下步驟來設定停用出站符號：

1. 在 Microsoft Intune 管理中心，點選 Apps>App 配置政策>新增>受管理裝置。

2. 為政策命名，選擇 Android Enterprise 平台>，並選擇設定檔類型。

3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

4. 在設定頁面，選擇 使用設定設計器 ，並將「 停用登出 」作為鍵，並將整 數 作為值類型。

   • 預設情況下，Android 企業個人擁有的工作設定檔、完全管理的公司擁有的個人啟用設定檔，設定為 Disable Sign Out = 1。

   • 管理員需要將 Disable Sign Out = 0 設為 Disable Sign Out = 0，才能在應用程式中啟用登出按鈕。 使用者在按下政策後，可以看到登出按鈕。

5. 選擇 「下一步 」，並將此設定檔指派給目標裝置與使用者。

裝置標籤

Android 版 Defender for Endpoint 允許管理員透過 Intune 設定標籤，讓行動裝置在入職時批量標籤。 管理員可以透過 Intune 的設定政策設定裝置標籤，並將標籤推送到使用者的裝置上。 使用者安裝並啟用 Defender 後，客戶端應用程式會將裝置標籤傳給安全入口網站。 裝置標籤會顯示在裝置清單中的裝置中。

請依照以下步驟設定裝置標籤：

1. 在 Microsoft Intune 管理中心，點選 Apps>App 配置政策>新增>受管理裝置。

2. 為政策命名，選擇 Android Enterprise 平台>，並選擇設定檔類型。

3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

4. 在設定頁面，選擇使用設定設計器，並新增 DefenderDeviceTag 作為鍵，值型別設 為字串。

   • 管理員可以透過新增 DefenderDeviceTag 金鑰並設定裝置標籤值來指派新標籤。
   • 管理員可以透過修改金鑰 DefenderDeviceTag 的值來編輯現有標籤。
   • 管理員可以透過移除金鑰 DefenderDeviceTag 來刪除現有標籤。

5. 選擇「下一步」，並將此政策指派給目標裝置和使用者。

相關文章

• Android 上適用於端點的 Microsoft Defender 概觀

• 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender