Android 和 iOS 上的適用於端點的 Microsoft Defender是我們的行動威脅防禦解決方案 (MTD) 。 通常,公司會主動保護 PC 免受漏洞和攻擊,而行動裝置通常不受監控和保護。 在行動平台具有應用程式隔離和經過審查的消費者應用程式商店等內建保護的情況下,這些平台仍然容易受到基於網路或其他複雜攻擊的攻擊。 隨著越來越多的員工使用設備進行工作和訪問敏感信息,公司必須部署 MTD 解決方案來保護設備和您的資源免受對移動設備日益複雜的攻擊。
主要功能
適用於端點的 適用於端點的 Microsoft Defender 在 Android 和 iOS 上提供下列主要功能,如需最新功能和優點的相關資訊,請閱讀我們的公告。
| 功能 | 描述 |
|---|---|
| 網頁保護 | 反網路釣魚、阻止不安全的網路連接,並支援 URL 和網域的自訂指標。 (目前不支援檔案和 IP 指標 ) |
| 惡意軟體防護 (僅限 Android 的) | 掃描惡意應用程式和 APK 檔案。 |
| 越獄偵測 (僅限 iOS 的) | 偵測越獄裝置。 |
| Android (Root Detection - 預覽) | 偵測 root 裝置。 |
| Microsoft Defender 弱點管理 (MDVM) | 已上線行動裝置的弱點評估。 包括適用於 Android 和 iOS 的作業系統和應用程式漏洞評估。 請流覽此頁面,以深入瞭解適用於端點的 Microsoft Defender 中的 Microsoft Defender 弱點管理。 |
| 網路保護 | 防範惡意 Wi-Fi 相關威脅和惡意憑證;能夠將 Intune 中的根 CA 和私人根 CA 憑證新增至「允許」清單;建立與端點的信任。 |
| 統一警報 | 來自統一 Microsoft Defender 入口網站中所有平臺的警示。 |
| 條件式存取、條件式啟動 | 阻止有風險的設備訪問公司資源。 適用於端點的 Defender 風險訊號也可以新增至 MAM) (應用程式保護原則。 |
| 隱私控制 | 透過控制適用於端點的 Microsoft Defender傳送的資料,在威脅報告中設定隱私權。 隱私權控制項可供管理員和使用者使用。 它也適用於已註冊和未註冊的設備。 |
| 與 Microsoft Tunnel 整合 | 與 Microsoft Tunnel 集成,這是一種 VPN 閘道解決方案,可在單一應用程式中實現安全性和連線能力。 適用於 Android 和 iOS。 |
所有這些功能都適用於適用於端點的 Microsoft Defender 授權持有者。 如需詳細資訊,請參閱 授權需求。
概觀和部署
可以在行動裝置上部署適用於端點的 Microsoft Defender,可以透過 Microsoft Intune 完成。 觀看此影片,快速概觀 MTD 功能和部署:
部署
下表摘要說明如何在 Android 和 iOS 上部署適用於端點的 Microsoft Defender。 如需詳細文件,請參閱下列文章:
支援的 Android 註冊案例
| 案例 | 裝置上需要公司入口網站應用程式嗎? | 保護設定檔/必要條件 | 如何部署 |
|---|---|---|---|
| 使用工作配置檔的 Android Enterprise 個人擁有裝置 | 是 | 僅保護工作設定檔區段。 深入瞭解工作設定檔 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| 使用個人設定檔的 Android Enterprise 個人擁有裝置 | 是 | 保護個人資料。 當客戶也有工作設定檔的案例時,它會保護整個裝置。 請注意下列事項:必須在個人配置檔上啟用公司入口網站應用程式,而且 Microsoft Defender 必須已在工作配置檔中安裝並作用中,才能在個人配置檔中啟用 Microsoft Defender。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| Android Enterprise 公司擁有的工作設定檔 (COPE) | 是 | 僅保護工作設定檔區段。 公司入口網站應用程式和 Microsoft Intune 應用程式都會自動安裝。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| Android Enterprise 公司擁有的完全受控 - 沒有工作設定檔 (COBO) | 是 | 保護整個設備。 公司入口網站應用程式和 Microsoft Intune 應用程式都會自動安裝。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| MAM | 是的, (只需要安裝,不需要安裝) | 僅保護已註冊的應用程式。 MAM 支援使用/不使用裝置註冊,或使用非 Microsoft 企業行動管理註冊。 | 使用 MAM) 的應用程式保護原則 (Android 風險訊號設定適用於端點的 Microsoft Defender |
| 裝置管理員 (2024 年 12 月 31 日淘汰) | 是 | Intune 和適用於端點的 Defender 將於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 裝置上 Android 裝置系統管理員管理的支援。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
不支援的 Android 註冊案例
目前不支援下列案例:
- Android Enterprise 公司擁有的個人設定檔
- Android Enterprise 公司擁有的專用裝置 (COSU) (Kiosk/共用)
- Android Open-Source Project (AOSP)
支援的 iOS 註冊案例
| 案例 | 裝置上需要公司入口網站應用程式嗎? | 保護設定檔/必要條件 | 如何部署 |
|---|---|---|---|
| ADE 和 Apple Configurator 註冊 (受監督的裝置 | 是 | 保護整個設備。 針對 ADE,如果使用 Just in Time (JIT) 註冊的使用者,則不需要公司入口網站應用程式,因為應用程式會連線到 Intune 伺服器來自動註冊裝置 | 使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Defender Microsoft Intune |
| 不受監督的裝置 (裝置註冊) | 是 | 保護整個設備。 針對 Web 型裝置註冊,不需要公司入口網站應用程式,因為在受控應用程式登入之後,應用程式會直接下載設定原則,而不是公司入口網站應用程式 | 使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Defender Microsoft Intune |
| 使用者註冊) (不受監督的裝置 | 是 | 保護整個裝置,但 TVM 功能除外,其中只有系統管理員推送的工作應用程式受到保護。 Web 保護在設備級別工作並掃描來自所有應用程序的網絡流量。 | 使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Defender Microsoft Intune |
| MAM | 否 | 僅保護已註冊的應用程式。 VPN 可以訪問整個設備並可以掃描所有應用程序流量 | 使用行動應用程式管理在 iOS 上部署適用於端點的 Microsoft Defender |
不支援的 iOS 註冊案例
不支援 iOS 專用/共用/Kiosk 裝置註冊。
Android 低觸控上線支援案例
- 使用工作配置檔的 Android Enterprise 個人擁有裝置
- Android Enterprise 公司擁有的工作設定檔 (COPE)
- Android Enterprise 公司擁有的完全受控 - 沒有工作設定檔 (COBO)
iOS 零接觸上線支援案例
- 受監督的裝置 (ADE 和 Apple Configurator 註冊)
- 不受監督的裝置 (裝置註冊)
使用者上線
設定 iOS 註冊裝置的零接觸上線:系統管理員可以設定零接觸安裝,以無訊息方式在已註冊的 iOS 裝置上適用於端點的 Microsoft Defender 上線,而不需要使用者開啟應用程式。
設定條件式存取以強制執行使用者上線:這可以套用來確保終端使用者在部署之後上線適用於端點的 Microsoft Defender 應用程式。 觀看這段影片,以取得使用適用於端點的 Defender 風險訊號設定條件式存取的快速示範。
簡化入職流程
試點評估
使用 適用於端點的 Microsoft Defender 評估行動威脅防禦時,您可以先驗證是否符合特定條件,然後再繼續將服務部署到更大的裝置集。 您可以定義結束準則,並確保在廣泛部署之前滿足它們。
這有助於減少推出服務時可能出現的潛在問題。 以下是一些可能有幫助的測試和退出標準:
- 裝置會顯示在裝置清查清單中:在行動裝置上成功上線適用於端點的 Defender 之後,請確認裝置已列在 Microsoft Defender 入口網站的裝置清查中。
執行網路釣魚測試:流覽至
https://smartscreentestratings2.net並確認它遭適用於端點的 Microsoft Defender 封鎖。 在具有工作配置檔的 Android Enterprise 上,僅支援工作配置檔。警示會出現在儀錶板中:確認稍早提及的偵測測試警示會出現在 Microsoft Defender 入口網站中。
需要在 Android & iOS 上部署或設定適用於端點的 Defender 的協助嗎? 如果您至少有 150 個產品授權,請使用 FastTrack 權益。 在 Microsoft FastTrack 上深入瞭解 FastTrack。
設定
資源
- Android 上適用於端點的 Microsoft Defender
- iOS 上適用於端點的 Microsoft Defender
- 閱讀我們的 公告,隨時了解即將發布的版本。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。