Nasazení a konfigurace Microsoft Defender for Endpoint v Androidu

Pomocí Microsoft Intune nasaďte a nakonfigurujte Defender for Endpoint na zařízeních s Androidem. Intune se stará o nasazení aplikací a doručování zásad. Po nasazení Microsoft Defender poskytuje na zařízení ochranu před mobilními hrozbami. V Androidu se onboarding řídí aplikací: zařízení se považuje za nasazené, když uživatel otevře aplikaci Defender a dokončí nastavení. Tento článek popisuje přidání aplikace ze spravované služby Google Play, přiřazení a ověření nasazení, vytvoření zásad konfigurace aplikací, nastavení trvalé sítě VPN a volitelné povolení nízkodotykového onboardingu.

Tip

Intune můžete také použít k nasazení Defenderu for Endpoint na zařízení s Androidem, která nejsou zaregistrovaná ve správě mobilních zařízení (MDM) Intune. Tato metoda zahrnuje nespravovaná zařízení a zařízení zaregistrovaná v jiném MDM pomocí správy mobilních aplikací (MAM) Intune. Další informace najdete v tématu Konfigurace Microsoft Defender for Endpoint signálů rizik v zásadách ochrany aplikací (MAM).

Požadavky

• Licence: Přiřaďte uživatelům licenci Intune i licenci defenderu for Endpoint. Podrobnosti o licencování najdete v tématu Microsoft Defender for Endpoint licenčních požadavků.

• Zápisu: Registrace zařízení v Intune pomocí jednoho z následujících typů registrace Androidu Enterprise:

  • Zařízení v osobním vlastnictví s pracovním profilem
  • Zařízení vlastněná společností s pracovním profilem
  • Registrace plně spravovaných uživatelských zařízení vlastněných společností

  Důležité

  Správa správce zařízení s Androidem je zastaralá a už není dostupná pro zařízení s přístupem k Google Mobile Services (GMS). Pokud aktuálně používáte správu da, doporučujeme přepnout na jinou možnost správy Androidu. Dokumentace podpory a nápovědy zůstává k dispozici pro některá zařízení s Androidem 15 a staršími verzemi bez GMS. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

• Verze operačního systému Android: Podporované verze operačního systému najdete v tématu Požadavky na systém pro Defender for Endpoint v Androidu.

• Spravovaný Google Play: Než budete moct přidávat a přiřazovat aplikace pro zařízení s Androidem Enterprise, připojte svého Intune tenanta ke službě Managed Google Play.

• připojení Intune–Defender: Povolte připojení Intune služba-služba s Defenderem for Endpoint. Bez ní není stav onboardingu, rizikové signály zařízení a viditelnost EDR v Intune k dispozici. Další informace najdete v tématu Konfigurace Microsoft Defender for Endpoint pomocí Intune a onboardingu zařízení.

Nasazení Defenderu pro koncový bod v Androidu

Přidání aplikace ze spravované služby Google Play

Přidání aplikace Defender for Endpoint do spravovaného obchodu Google Play a zpřístupnění v Intune:

1. V Centru pro správu Microsoft Intune přejděte na Aplikace (1) a pak výběrem dlaždice Android otevřete stránku aplikace pro Android (2). Vyberte Vytvořit (3) a v části Typ aplikace vyberte Spravovaná aplikace Google Play (4) a pak vyberte Vybrat.

   

   1. Na stránce Managed Google Play vyhledejte Microsoft Defender. Ve výsledcích hledání vyberte Defender: Antivirus , což je název aplikace Defender for Endpoint ve spravovaném obchodě Google Play.

   2. Na stránce aplikací zkontrolujte podrobnosti o aplikaci a pak vyberte Vybrat (1) a pak vyberte Synchronizovat (2) a synchronizujte aplikaci s Intune.

      

      Synchronizace se dokončí za několik minut.

2. Po dokončení synchronizace se vraťte do Centra pro správu Intune a na obrazovce aplikace pro Android vyberte Aktualizovat. Microsoft Defender: Antivirus by se teď měl zobrazit v seznamu aplikací.

   

Zůstaňte na stránce aplikací pro Android pro následující postup.

Přiřazení aplikace

Přiřaďte aplikaci jako požadovanou aplikaci, aby se automaticky nainstalovala do pracovního profilu během další synchronizace zařízení prostřednictvím aplikace Portál společnosti.

1. Na stránce aplikace pro Android v Centru pro správu Intune vyberte v seznamu aplikací Microsoft Defender: Antivirus. Přejděte na Vlastnosti (1) a v části Přiřazení vyberte Upravit (2).

   

2. V podokně Upravit aplikaci přejděte do části Povinné (1) a výběrem možnosti Přidat skupinu otevřete podokno Vybrat skupiny .

   

3. V podokně Vybrat skupiny vyberte skupiny, které chcete tuto aplikaci přijmout, a pak vyberte Vybrat.

4. Vraťte se do podokna Upravit aplikaci , v dolní části podokna vyberte Zkontrolovat a uložit a pak kliknutím na Uložit potvrďte přiřazení.

Ověření nasazení

Po uložení přiřazení můžete před pokračováním v konfiguraci potvrdit stav instalace cílových zařízení.

1. Na stránce aplikace pro Android v Centru pro správu Intune vyberte v seznamu aplikací Microsoft Defender: Antivirus. Na výchozí stránce aplikace, Přehled, Intune zobrazí dlaždice grafu, které poskytují souhrn stavu instalace.

2. Pokud chcete zjistit, jestli konkrétní zařízení aplikaci nainstalovalo, vyberte Stav instalace zařízení nebo vyberte dlaždici Stav zařízení . Intune zobrazí seznam cílových zařízení s dalšími podrobnostmi.

   

3. Než budete pokračovat, ověřte, že cílová zařízení zobrazují stav úspěšné instalace.

Konfigurace Defenderu pro koncový bod v Androidu

Po nasazení aplikace pomocí zásad Intune nakonfigurujte Defender for Endpoint na zařízeních s Androidem. Konfigurace zahrnuje vytvoření zásady konfigurace aplikace pro udělení oprávnění aplikací a profilu konfigurace zařízení pro nastavení trvalé sítě VPN pro webovou ochranu. Informace o volitelných konfiguracích funkcí specifických pro Defender, jako je ochrana sítě a řízení ochrany osobních údajů, najdete v dokumentaci k tématu Konfigurace Microsoft Defender for Endpoint na funkcích Androidu.

Konfigurace oprávnění aplikace a nastavení onboardingu

Vytvořte zásady konfigurace aplikací, které defenderu udělují oprávnění, která potřebuje k zařízení, a volitelně můžete povolit nízkodotykové onboardingy, abyste snížili počet kroků, které uživatelé dokončí při prvním spuštění.

1. V Centru pro správu Microsoft Intune přejděte na Aplikace, rozbalte Spravované aplikace a vyberte Konfigurace>Vytvořit>spravovaná zařízení.

2. Na stránce Základy zadejte následující podrobnosti:

   • Název: Zadejte popisný název, například Defender for Endpoint.
   • Platforma: Android Enterprise
   • Typ profilu: Vyberte typ, který odpovídá registraci vašeho zařízení:
     • Jenom pracovní profil v osobním vlastnictví
     • Pouze plně spravovaný, vyhrazený a firemní pracovní profil
   • Cílová aplikace: Vyberte Microsoft Defender: Antivirus, vyberte OK a pak vyberte Další.

3. Na stránce Nastavení ponechte prozatím výchozí formát nastavení konfigurace . V části Oprávnění vyberte Přidat. V seznamu Přidat oprávnění vyberte dostupná oprávnění aplikace a pak vyberte OK.

   Defender for Endpoint doporučuje udělit během nasazování následující oprávnění:

   Oprávnění	Doporučený stav	Proč na tom záleží
   Přístup k poloze (jemné)	Automatické udělení	Vyžaduje se pro webovou ochranu a ochranu sítě. Bez něj může Defender chránit pouze proti podvodný certifikát; Wi-Fi detekce hrozeb není k dispozici. Uživatelé také musí vybrat Povolit celou dobu během onboardingu, aby mohli plně Wi-Fi pokrytí hrozeb.
   POST_NOTIFICATIONS	Automatické udělení	Vyžaduje se, aby se upozornění na hrozby dostala k uživateli. Informace o omezeních typu registrace a verze operačního systému najdete v této poznámce.

   Po přidání oprávnění použijte rozevírací seznam Stav oprávnění a nastavte požadované chování pro každé z nich:

   • Výzva: Výzvy, aby uživatel přijal nebo odepřel.
   • Automatické udělení: Automaticky schvaluje bez upozornění uživatele.
   • Automatické odepření: Automaticky se zamítá bez upozornění uživatele.

   Poznámka

   V Androidu 12 a novějších verzích se automatické udělení nepodporuje pro určitá oprávnění na pracovním profilu a vyhrazených zařízeních vlastněných společností. Podrobnosti najdete v tématu Přidání zásad konfigurace aplikací pro spravovaná zařízení s Androidem Enterprise.

4. (Volitelné) Povolte onboarding bez dotykového ovládání.

   Onboarding s nízkým dotykovým ovládáním je ve výchozím nastavení zakázaný. Bez něj musí uživatelé, kteří Defender for Endpoint poprvé otevřou, zadat přihlašovací údaje k pracovnímu účtu a ručně procházet průvodce nastavením aplikace. V režimu snadného zprovoznění zásada předem naplní identitu uživatele (UPN), takže uživatelé nemusí při prvním spuštění zadávat přihlašovací údaje. V kombinaci s trvale zapnutým profilem VPN, který je popsaný v další části, se tím minimalizují výzvy a kroky, se kterými se uživatelé při onboardingu setkají.

   Nízkodotykové zprovoznění může být užitečné pro plně spravovaná nasazení vlastněná společností, kde chcete omezit uživatelské třecí plochy. Pro zařízení s osobním profilem, kde uživatelé můžou očekávat aktivnější účast při nastavování aplikace, může být vhodnější standardní tok. Pokud tento krok přeskočíte, bude zásada fungovat jako zásada jenom pro oprávnění a uživatelé dokončí onboarding prostřednictvím standardního toku.

   Poznámka

   Na rozdíl od iOSu (pod dohledem) a Windows android nepodporuje plně tiché nebo bezdotykové onboarding. Model oprávnění Androidu vyžaduje pro určitá oprávnění explicitní souhlas uživatele, takže se vždy vyžaduje určitá míra interakce uživatele při prvním spuštění. Onboarding s nízkým dotykovým ovládáním je nejbližší dostupnou možností pro minimalizaci této interakce.

   Pokud chcete povolit nízkodotykové zprovoznění, na stránce Nastavení nastavte rozevírací seznam Formát nastavení konfigurace na Použít návrháře konfigurace, vyberte Přidat a pak nakonfigurujte následující klíče:

   Klíč	Typ hodnoty	Hodnota konfigurace
   Onboarding s nízkým dotykovým ovládáním	Celé číslo	1
   Hlavní název uživatele (UPN)	Proměnná	User Principal Name (UPN)

   V seznamu vyberte oba klíče, vyberte OK a pak pro každý z nich nastavte typ hodnoty a hodnotu Konfigurace , jak je znázorněno v tabulce.

5. Na stránce Přiřazení přiřaďte tuto zásadu stejným skupinám uživatelů, které jste použili při nasazování Microsoft Defender: Antivirová aplikace.

6. V části Zkontrolovat a vytvořit potvrďte své volby a pak vyberte Vytvořit.

Nastavení sítě VPN always-on

Profil konfigurace zařízení použijte k doručování tunelu webové ochrany Defenderu zaregistrovaným zařízením prostřednictvím zásad Intune, aby uživatelé nemuseli ručně konfigurovat síť VPN během onboardingu.

1. V Centru pro správu Microsoft Intune přejděte na Zařízení (1), rozbalte Spravovat zařízení a vyberte Konfigurace (2). Na kartě Zásady (3) vyberte Vytvořit (4) >Nové zásady. V podokně Vytvořit profil nastavte Platformu na Android Enterprise a Typ profilu na Šablony (5) a pak vyberte Omezení zařízení (6) pro jeden z následujících typů šablon v závislosti na typu registrace zařízení:

   • Plně spravovaný, vyhrazený a Corporate-Owned pracovní profil
   • Pracovní profil v osobním vlastnictví

   Pak vyberte Vytvořit a otevřete pracovní postup konfigurace zásad omezení zařízení.

   

2. Na stránce Základy zadejte Název a Popis , které jednoznačně identifikují konfigurační profil.

   

3. V části Nastavení konfigurace rozbalte položku Připojení a pak nakonfigurujte síť VPN:

   1. Povolte síť VPN always-on (na úrovni pracovního profilu). Nastavte klienta VPN v pracovním profilu tak, aby se k síti VPN automaticky připojil a znovu se k němu připojil, kdykoli je to možné. Na daném zařízení je možné nakonfigurovat pouze jednoho klienta VPN pro trvale zapnutou síť VPN, proto se ujistěte, že do zařízení nenasazujete více než jednu zásadu sítě VPN always-on.

   2. Pomocí rozevíracího seznamu klienta VPN vyberte Vlastní. V tomto případě je vlastní VPN síť VPN Defender for Endpoint, která poskytuje webovou ochranu.

      Poznámka

      Aby mohlo dojít k automatickému nastavení SÍTĚ VPN, musí být na zařízení uživatele nainstalovaná aplikace Defender for Endpoint.

   3. Jako ID balíčku zadejte ID Microsoft Defender: Antivirová aplikace ze spravovaného obchodu Google Play. Pro Microsoft Defender adresu URL aplikace je com.microsoft.scmxID balíčku .

   4. Nastavte režim uzamčení na Nenakonfigurováno, což je výchozí nastavení.

      

4. Na stránce Přiřazení vyberte skupinu uživatelů, ke které chcete přiřadit tento konfigurační profil zařízení. Zvolte Vybrat skupiny , které chcete zahrnout, vyberte příslušnou skupinu a pak vyberte Další.

   Skupina, kterou chcete vybrat, je obvykle stejná skupina, ke které přiřadíte aplikaci Defender for Endpoint pro Android.

5. Na stránce Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

Dokončení onboardingu zařízení

Po nasdílení zásad do zařízení dokončí uživatelé onboarding ze zařízení. Na zařízeních v osobním vlastnictví s pracovním profilem se Defender zobrazí v pracovním profilu. Na plně spravovaných zařízeních vlastněných společností se Defender zobrazí v profilu jednoho zařízení.

1. Uživatelé otevřou aplikaci Defender for Endpoint a přijmou oprávnění k dokončení onboardingu.

   Tip

   Požádejte uživatele, aby při nastavování aplikace při zobrazení výzvy k přístupu k poloze vybrali možnost Povolit po celou dobu . Tato volba umožňuje úplnou Wi-Fi detekci hrozeb prostřednictvím služby Network Protection. Pokud uživatelé vyberou možnost Při používání aplikace nebo odepření oprávnění, může Defender i nadále chránit před neoprávněnými certifikáty, ale nemůže detekovat hrozby v otevřených nebo podezřelých Wi-Fi sítích. Neexistuje žádná konfigurace správce, která by tuto volbu vynucuje. vyžaduje souhlas uživatele na úrovni operačního systému.

   

Ověření stavu onboardingu

Po dokončení onboardingu uživatelů ověřte, že se zařízení úspěšně hlásí.

Ověření v Centru pro správu Intune:

1. Přejděte dočásti Zjišťování a reakce koncového bodu zabezpečení > koncového bodu.
2. Vyberte kartu Stav onboardingu EDR a zkontrolujte stav onboardingu pro vaše zařízení s Androidem. Zařízení, která úspěšně nasadí, se zobrazí ve stavu Úspěšně nasazeno.

Ověření na portálu Defender:

1. Na portálu Microsoft Defender přejděte na Koncové body>Inventář zařízení a ověřte, že se tam zobrazují vaše zařízení s Androidem.

Další podrobnosti o monitorování stavu onboardingu na různých platformách pomocí Intune najdete v tématu Monitorování stavu onboardingu zařízení.

Pokud se zařízení nezobrazují podle očekávání, zkontrolujte následující podmínky:

• Aplikace není nainstalovaná: Pomocí kroků v části Ověření nasazení potvrďte úspěšné nasazení zásad konfigurace aplikace a přiřazení aplikace.
• Uživatel nedokončil onboarding: Zařízení se zobrazí, dokud uživatel aplikaci neotevře a nedokončí nastavení.
• neaktivní konektor Intune Defender: Ověřte, že je povolené připojení mezi službami. Viz Konfigurace Microsoft Defender for Endpoint pomocí Intune.
• Chyby přihlášení nebo oprávnění: Řešení běžných chyb při připojování najdete v tématu Řešení potíží s Microsoft Defender for Endpoint v Androidu.

Další kroky

• Konfigurace nastavení Microsoft Defender for Endpoint webové ochrany pro Android: Spravovat nastavení webové ochrany z Intune podle typu registrace.
• Konfigurace Microsoft Defender for Endpoint na funkcích Androidu: Nakonfigurujte řízení ochrany osobních údajů a další funkce Defenderu specifické pro Android.