Defender for Endpoint を Android にインストールする

Defender for Endpoint (以前は Defender ATP と呼ばれていた ) を個人の Android 端末にインストールした際の手順やポイントなどを紹介します。

前提条件

Defender for Endpoint は Enterprise 向けのセキュリティソリューションとなり、ライセンスや MDM などのいくつかの前提条件を満たす必要があります。

ライセンス

Microsoft Docs に記載の通りですが、以下のライセンスを所有している必要があります。

  • Windows 10 Enterprise E5
  • Windows 10 Education A5
  • Windows 10 Enterprise E5 を含む Microsoft 365 E5 (M365 E5)
  • Microsoft 365 A5 (M365 A5)
  • Microsoft 365 E5 Security
  • Microsoft 365 A5 Security
  • Microsoft Defender for Endpoint

私は個人で Microsoft 365 E5 を所有しているため、上記のライセンス条件を満たしています。 Microsoft 365 E5 は月に7000円弱の課金が必要となるため今回の Defender for Endpoint だけを利用したい場合は割りに合わないと思います。

Android の前提条件

こちらも Microsoft Docs にかなり詳細が記載されていますが、以下の通り、Android 6.0 以上であること位です。また、2行目にあるとおり Intune でデバイス登録している必要があります。 今回インストールする Xperia 5 II は Android 11 です。 Intune のデバイス登録は未実施でしたが、今回あわせて実行していきます。

  • Android 6.0 以上を実行している Android デバイス。
  • Intune ポータル サイト アプリは 、Google Play からダウンロードして インストールされます。 Intune デバイス コンプライアンス ポリシーを適用するには、デバイスの登録が必要です。

Android への Defender for Endpoint のインストール

インストールの流れは以下の通りです。

  1. Intune ポータルサイトのインストール
  2. Intune のデバイス登録
  3. Defender for Endpoint のインストール
  4. Defender for Endpoint の権限設定

Intune ポータルサイトのインストールとデバイス登録

まずは Android の Google Paly から Intune ポータルサイト をインストールします。

インストールが終わりました。 アプリを開きます。

Android の Intune デバイス登録

Intune ポータルサイトを開き、サインインをクリックします。

Intune で利用するアカウントでサインインします。

途中、以下の画面で処理の状態を待ちます。

この画面まで来ればデバイス登録が完了しています。

Defender for Endpoint のインストール

Google Paly から Microsoft Defender Endpoint をインストールします。

インストールが完了しました。 開くをクリックします。

Defender for Endpoint の権限設定

はじめにをクリックします。

サインインが求められるので、Defender for Endpoint を利用する資格がある(ライセンスを持つ)アカウントでサインインします。

参考までに、事前に Intune デバイス登録を行っていないとここから先に進めなくなります。以下の画面のとおり、Intune デバイス登録を行い、組織的に管理されているデバイスとなっている必要があります。

途中でのデバイス登録が求められるので登録をクリックします。

SMSによる2要素認証を進めます。

ここから権限の設定を行います。 元々の Android やその構成状態により実施手順は多少変動します。

まずはストレージへのアクセスを許可します。

次は VPN のセットアップの許可です。

次は他のアプリを介しての表示。 まず、許可をクリックします。

インストールされているアプリについて、許可しないがある場合は許可にすべて手動で変更します。

次はアクセシビリティの設定です。 有効にするをクリックします。 画面キャプチャを取り忘れたのですが、この後開く設定画面で Defender for Endpoint を有効化します。

最後に永続的な保護を有効にします。

上記まで終えると、自動的に Android デバイスのスキャンが開始されます。

デバイスは安全です、と表示されれば Defender for Endpoint のインストールは完了です。

Microsoft Defender Security Center での状態確認

Microsoft Defender Security Center の Device 画面から Android デバイスとして登録されたことを確認可能です。

エントリをクリックすることで詳細情報を確認していくことも可能です。

今日はやりませんが、時間を見つけてマルウェアを意図的にインストールした時の挙動、フィッシングサイトへアクセスしたときの挙動なども今度やってみようと思います。

以上