Configurare Microsoft Defender per Endpoint Web Protection nei dispositivi Android gestiti da Intune

Integrando Microsoft Defender per endpoint con Microsoft Intune, è possibile usare i profili di configurazione dei dispositivi per modificare alcune impostazioni di Defender per endpoint nei dispositivi Android.

Per impostazione predefinita, Microsoft Defender per Endpoint per Android include e abilita la funzionalità di protezione Web di Microsoft Defender per endpoint che consente di proteggere i dispositivi da minacce Web e proteggere gli utenti da attacchi di phishing.

Anche se abilitata per impostazione predefinita, esistono motivi validi per disabilitarla in alcuni dispositivi Android. Ad esempio, è possibile decidere di usare solo la funzionalità di analisi dell'app Defender per endpoint o di impedire alla protezione Web di usare la VPN durante la ricerca di URL dannosi.

Con i criteri di configurazione dei dispositivi di Intune, è possibile disattivare tutta o parte della funzionalità di protezione Web. Il metodo usato e le funzionalità che è possibile disabilitare dipendono dalla modalità di registrazione del dispositivo Android con Intune:

• Profilo di lavoro di proprietà personale di Android Enterprise. Usare un profilo di configurazione dell'app e la finestra di progettazione configurazione per disabilitare la protezione Web. Questo metodo e il tipo di registrazione supportano la disabilitazione di tutte le funzionalità di protezione Web, ma non supportano solo la disabilitazione dell'uso delle VPN. Per informazioni generali sui criteri di configurazione delle app, vedere Usare la finestra di progettazione configurazione.

• Android Enterprise completamente gestito. Usare un profilo di configurazione dell'app e la finestra di progettazione della configurazione per disabilitare l'intera funzionalità di protezione Web o per disabilitare solo l'uso delle VPN.

• Amministratore di dispositivi Android (deprecato). Usare impostazioni URI OMA personalizzate per disabilitare la protezione Web. Per informazioni dettagliate, vedere Disabilitare la protezione Web per l'amministratore di dispositivi Android.

La protezione Web usa una VPN loopback locale per intercettare e valutare il traffico Web. Questa VPN non instrada il traffico all'esterno del dispositivo. È noto che i browser seguenti funzionano con la VPN loopback di Defender:

• Chrome
• Microsoft Edge
• Firefox
• Opera
• Samsung Internet
• Coraggioso
• DuckDuckGo

Un set più piccolo di browser (Chrome, Edge, Opera, Samsung Internet) supporta anche la protezione Web tramite il servizio di accessibilità Android quando la VPN loopback non è in uso.

Per configurare la protezione Web nei dispositivi, usare le procedure seguenti per creare e distribuire la configurazione applicabile.

Disabilitare la protezione Web per il profilo di lavoro di proprietà personale di Android Enterprise

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare AppsManaged apps ConfigurationCreate (Creaconfigurazione>app>> gestite) e quindi Managed devices (Dispositivi gestiti).

3. In Informazioni di base immettere i dettagli seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, la configurazione delle app Android per Microsoft Defender per Endpoint Web Protection.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
   • Piattaforma: selezionare Android Enterprise.
   • Tipo di profilo: selezionare Solo profilo di lavoro di proprietà personale.
   • App di destinazione: selezionare Seleziona app.

4. In App associata individuare e selezionare Defender per endpoint e quindi selezionare OK>Avanti.

5. In Impostazioni, nel formato Impostazioni di configurazione selezionare Usa Progettazione configurazione e quindi selezionare Aggiungi.

6. Trovare e selezionare le chiavi di configurazione Anti-Phishing e VPN e quindi selezionare OK per tornare alla pagina Impostazioni .

7. Per i valori di configurazione di entrambe le chiavi di configurazione (Anti-Phishing e VPN), immettere 0 per disabilitare la protezione Web e immettere 1 per abilitare la protezione Web. Per impostazione predefinita, la protezione Web è abilitata.

   Nota

   I valori per Anti-Phishing e VPN devono corrispondere. Impostare entrambi su 0 per disabilitare o entrambi su 1 da abilitare. Se i valori non corrispondono, entrambe le funzionalità vengono disabilitate automaticamente.

   Selezionare Avanti per continuare.

8. In Assegnazioni specificare i gruppi che ricevono il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

9. Al termine, in Rivedi e crea selezionare Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Disabilitare la protezione Web per Android Enterprise completamente gestito

1. Completare gli stessi passaggi di configurazione descritti in precedenza con la differenza seguente: per Tipo di profilo selezionare Completamente gestito, Dedicato e Corporate-Owned Solo profilo di lavoro.

   • Per disabilitare la protezione Web, immettere 0 sia per Anti-Phishing che per VPN. Per abilitare la protezione Web, immettere 1 per entrambi i valori. Per impostazione predefinita, la protezione Web è abilitata.

   • Per disabilitare solo l'uso della VPN da parte della protezione Web, immettere questi valori di configurazione:

     • 0 per VPN

     • 1 per anti-phishing

   Nota

   Per lo scenario di registrazione del profilo di lavoro di proprietà dell'azienda , i valori per VPN e Anti-Phishing devono corrispondere. Impostare entrambi su 0 per disabilitare o entrambi su 1 da abilitare. Se i valori non corrispondono, entrambe le funzionalità vengono disabilitate automaticamente.

   Per lo scenario di registrazione completamente gestito (nessun profilo di lavoro) di proprietà dell'azienda , è possibile impostare vpn e anti-phishing in modo indipendente. Ogni funzionalità funziona da sola.

   Nota

   Non è possibile disabilitare la VPN per i dispositivi Android Enterprise completamente gestiti se è stato configurato il criterio di configurazione del dispositivo VPN Always-On nei dispositivi registrati.

   Selezionare Avanti per continuare.

2. In Assegnazioni specificare i gruppi che ricevono il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

3. Al termine, in Rivedi e crea selezionare Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Disabilitare la protezione Web per l'amministratore di dispositivi Android

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi> Gestisciconfigurazione>dispositivi> Nella scheda Criteri selezionare + Crea.

3. Immettere queste impostazioni:

   • Piattaforma selezionare Amministratore di dispositivi Android.
   • Profilo: selezionare Personalizzato.

   Selezionare Crea.

4. In Informazioni di base immettere i dettagli seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, profilo personalizzato Android per Defender per Endpoint Web Protection.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

5. In Impostazioni di configurazione selezionare Aggiungi.

   Specificare le impostazioni per la configurazione da distribuire:

   • Disabilitare la protezione Web:

     • Nome: immettere un nome univoco per questa impostazione URI OMA in modo da poterlo trovare facilmente. Ad esempio, Disabilitare La protezione Web di Defender per endpoint.
     • Descrizione: (Facoltativo) Immettere una descrizione che fornisce una panoramica dell'impostazione e altri dettagli importanti.
     • URI OMA: immettere ./Vendor/MSFT/DefenderATP/AntiPhishing
     • Tipo di dati: selezionare Integer nell'elenco a discesa.
     • Valore: per disabilitare la protezione Web, impostare Valore su 0. Per abilitare la protezione Web, immettere 1, che è l'impostazione predefinita.

   • Disabilitare solo l'uso della VPN da parte della protezione Web:

     • Nome: immettere un nome univoco per questa impostazione URI OMA in modo da poterlo trovare facilmente. Ad esempio, disabilitare la VPN di protezione Web di Microsoft Defender per endpoint.
     • Descrizione: (Facoltativo) Immettere una descrizione che fornisce una panoramica dell'impostazione e altri dettagli importanti.
     • URI OMA: immettere ./Vendor/MSFT/DefenderATP/Vpn
     • Tipo di dati: selezionare Integer nell'elenco a discesa.
     • Valore: per disabilitare l'analisi basata su VPN, impostare Valore su 0. Per abilitare l'analisi basata su VPN, immettere 1, che è l'impostazione predefinita.

   Selezionare Aggiungi per salvare la configurazione delle impostazioni URI OMA e quindi selezionare Avanti per continuare.

6. In Assegnazioni specificare i gruppi che ricevono il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

7. Al termine, in Rivedi e crea selezionare Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Passaggi successivi

• Monitorare lo stato di conformità del dispositivo per i livelli di rischio

• Usare le attività di sicurezza con Gestione vulnerabilità di Defender per endpoint per correggere i problemi nei dispositivi

• Per altre informazioni, vedere la documentazione di Microsoft Defender per endpoint:

  • Accesso condizionale di Microsoft Defender per endpoint

  • Dashboard dei rischi di Microsoft Defender per endpoint