Teilen über


Bereitstellen von Microsoft Defender für Endpunkt unter Android mit Microsoft Intune

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Erfahren Sie, wie Sie Defender für Endpunkt unter Android auf Microsoft Intune Unternehmensportal registrierten Geräten bereitstellen. Weitere Informationen zur Microsoft Intune Geräteregistrierung finden Sie unter Registrieren Ihres Geräts.

Hinweis

Defender für Endpunkt für Android ist jetzt auf Google Play verfügbar

Sie können über Microsoft Intune eine Verbindung mit Google Play herstellen, um die Defender für Endpunkt-App in den Registrierungsmodi "Geräteadministrator" und "Android Enterprise" bereitzustellen. Updates zur App erfolgen automatisch über Google Play.

Bereitstellen auf geräteadministrator registrierten Geräten

Erfahren Sie, wie Sie Defender für Endpunkt unter Android mit Microsoft Intune Unternehmensportal – Geräteadministrator registrierten Geräten bereitstellen.

Als Android Store-App hinzufügen

  1. Navigieren Sie Microsoft Intune Admin Center zu Apps>Android Apps>Android Store-Apphinzufügen>, und wählen Sie Auswählen aus.

    Bereich

  2. Geben Sie auf der Seite App hinzufügen im Abschnitt App-Informationen Folgendes ein:

    Andere Felder sind optional. Wählen Sie Weiter aus.

    Die Seite App hinzufügen mit den Herausgeber- und URL-Informationen der Anwendung im Microsoft Intune Admin Center-Portal

  3. Navigieren Sie im Abschnitt Zuweisungen zum Abschnitt Erforderlich , und wählen Sie Gruppe hinzufügen aus. Sie können dann die Benutzergruppe (oder Gruppen) auswählen, die die App Defender für Endpunkt für Android erhalten soll. Wählen Sie Auswählen und dann Weiter aus.

    Hinweis

    Die ausgewählte Benutzergruppe sollte aus Intune registrierten Benutzern bestehen.

    Bereich

  4. Vergewissern Sie sich im Abschnitt Überprüfen+Erstellen , dass alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus.

    In wenigen Augenblicken sollte die Defender für Endpunkt-App erfolgreich erstellt werden, und eine Benachrichtigung sollte in der oberen rechten Ecke des Bildschirms angezeigt werden.

    Bereich status Anwendung im Microsoft Intune Admin Center-Portal

  5. Wählen Sie auf der angezeigten Seite mit den App-Informationen im Abschnitt Überwachen die Option Geräteinstallation status aus, um zu überprüfen, ob die Geräteinstallation erfolgreich abgeschlossen wurde.

    Seite

Durchführen des Onboardings und Überprüfen status

  1. Sobald Defender für Endpunkt unter Android auf dem Gerät installiert wurde, sollte das App-Symbol angezeigt werden.

    Das im Suchbereich aufgeführte Microsoft Defender ATP-Symbol

  2. Tippen Sie auf das Symbol Microsoft Defender for Endpoint App, und folgen Sie den Anweisungen auf dem Bildschirm, um das Onboarding der App abzuschließen. Die Details umfassen die Akzeptanz von Android-Berechtigungen durch Endbenutzer, die von Defender für Endpunkt unter Android erforderlich sind.

  3. Nach erfolgreichem Onboarding wird das Gerät in der Liste der Geräte im Microsoft Defender-Portal angezeigt.

    Ein Gerät im Microsoft Defender for Endpoint-Portal

Bereitstellen auf für Android Enterprise registrierten Geräten

Defender für Endpunkt unter Android unterstützt registrierte Android Enterprise-Geräte.

Weitere Informationen zu den von Microsoft Intune unterstützten Registrierungsoptionen finden Sie unter Registrierungsoptionen.

Derzeit werden persönliche Geräte mit Arbeitsprofil, unternehmenseigene Geräte mit Arbeitsprofil und unternehmenseigene vollständig verwaltete Benutzergeräteregistrierungen in Android Enterprise unterstützt.

Hinzufügen von Microsoft Defender for Endpoint unter Android als verwaltete Google Play-App

Führen Sie die folgenden Schritte aus, um Microsoft Defender for Endpoint App zu Ihrer verwalteten Google Play-Instanz hinzuzufügen.

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>Android Apps>Hinzufügen, und wählen Sie Verwaltete Google Play-App aus.

    Bereich zum Hinzufügen von Anwendungen im Microsoft Intune Admin Center-Portal

  2. Navigieren Sie auf der verwalteten Google Play-Seite, die geladen wird, zum Suchfeld, und geben Sie ein Microsoft Defender. Ihre Suche sollte die Microsoft Defender for Endpoint-App in Ihrem verwalteten Google Play anzeigen. Wählen Sie in den Suchergebnissen apps die Microsoft Defender for Endpoint App aus.

    Seite

  3. Auf der Seite App-Beschreibung sollten App-Details zur Defender für Endpunkt-App angezeigt werden. Überprüfen Sie die Informationen auf der Seite, und wählen Sie dann Genehmigen aus.

  4. Wenn Sie aufgefordert werden, Berechtigungen für Defender für Endpunkt zu genehmigen, überprüfen Sie seine Informationen, und wählen Sie dann Genehmigen aus.

    Die Genehmigungsseite für Berechtigungen im Microsoft Defender 365-Portal

  5. Überprüfen Sie auf der Seite Genehmigungseinstellungen Ihre Einstellung, um neue App-Berechtigungen zu behandeln, die Defender für Endpunkt unter Android möglicherweise anfragt. Überprüfen Sie die Auswahlmöglichkeiten, und wählen Sie Ihre bevorzugte Option aus. Wählen Sie Fertig aus.

    Standardmäßig wählt das verwaltete Google Play-Element Weiterhin genehmigt aus, wenn die App neue Berechtigungen anfordert.

  6. Nachdem die Berechtigungsbehandlung ausgewählt wurde, wählen Sie Synchronisieren aus, um Microsoft Defender for Endpoint mit Ihrer App-Liste zu synchronisieren.

  7. Die Synchronisierung wird in wenigen Minuten abgeschlossen.

    Der Bereich

  8. Wählen Sie auf dem Bildschirm Android-Apps die Schaltfläche Aktualisieren aus, und Microsoft Defender for Endpoint in der App-Liste angezeigt werden sollte.

    Die Seite, auf der die synchronisierte Anwendung angezeigt wird

  9. Defender für Endpunkt unterstützt App-Konfigurationsrichtlinien für verwaltete Geräte über Microsoft Intune. Diese Funktion kann verwendet werden, um verschiedene Konfigurationen für Defender für Endpunkt auszuwählen.

    1. Navigieren Sie auf der Seite Apps zu Richtlinie>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.

      Bereich

    2. Geben Sie auf der Seite App-Konfigurationsrichtlinie erstellen die folgenden Details ein:

      • Name: Microsoft Defender for Endpoint.
      • Wählen Sie Android Enterprise als Plattform aus.
      • Wählen Sie nur persönliches Arbeitsprofil oder vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil nur als Profiltyp aus.
      • Wählen Sie App auswählen aus, wählen Sie Microsoft Defender aus, klicken Sie auf OK und dann auf Weiter.

       Screenshot des Detailbereichs der zugeordneten App.

    3. Wählen Sie Berechtigungen>Hinzufügen aus. Wählen Sie in der Liste die verfügbaren App-Berechtigungen >OK aus.

    4. Wählen Sie eine Option für jede Berechtigung aus, die mit dieser Richtlinie gewährt werden soll:

      • Aufforderung: Prompts den Benutzer zu akzeptieren oder zu verweigern.
      • Automatische Genehmigung : Genehmigt automatisch, ohne den Benutzer zu benachrichtigen.
      • Automatische Ablehnung : Verweigert automatisch, ohne den Benutzer zu benachrichtigen.
    5. Wechseln Sie zum Abschnitt Konfigurationseinstellungen , und wählen Sie im Konfigurationseinstellungsformat die Option "Konfigurations-Designer verwenden" aus.

      Abbildung der Android-Richtlinie zum Erstellen einer App-Konfiguration.

    6. Wählen Sie Hinzufügen aus, um eine Liste der unterstützten Konfigurationen anzuzeigen. Wählen Sie die erforderliche Konfiguration und dann OK aus.

      Abbildung der Auswahl von Konfigurationsrichtlinien für Android.

    7. Alle ausgewählten Konfigurationen sollten aufgelistet werden. Sie können den Konfigurationswert nach Bedarf ändern und dann Weiter auswählen.

      Abbildung ausgewählter Konfigurationsrichtlinien.

    8. Wählen Sie auf der Seite Zuweisungen die Benutzergruppe aus, der diese App-Konfigurationsrichtlinie zugewiesen werden soll. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen , und wählen Sie die entsprechende Gruppe aus, und wählen Sie dann Weiter aus. Die hier ausgewählte Gruppe ist in der Regel dieselbe Gruppe, der Sie Microsoft Defender for Endpoint Android-App zuweisen würden.

      Bereich

    9. Überprüfen Sie auf der seite Überprüfen + erstellen , die als Nächstes angezeigt wird, alle Informationen, und wählen Sie dann Erstellen aus.

      Die App-Konfigurationsrichtlinie für Defender für Endpunkt ist jetzt der ausgewählten Benutzergruppe zugewiesen.

  10. Wählen Sie Microsoft Defender App in der Liste >Eigenschaften>Zuweisungen>bearbeiten aus.

    Die Option

  11. Weisen Sie die App einer Benutzergruppe als Erforderliche App zu. Sie wird während der nächsten Synchronisierung des Geräts über Unternehmensportal App automatisch im Arbeitsprofil installiert. Diese Zuweisung kann erfolgen, indem Sie zum Abschnitt >ErforderlichGruppe hinzufügen navigieren, die entsprechende Benutzergruppe auswählen und dann Auswählen auswählen.

  12. Überprüfen Sie auf der Seite Anwendung bearbeiten alle zuvor eingegebenen Informationen. Wählen Sie dann Überprüfen + Speichern und dann erneut Speichern aus, um die Aufgabe zu beginnen.

Automatische Einrichtung von Always-On-VPN

Defender für Endpunkt unterstützt Gerätekonfigurationsrichtlinien für verwaltete Geräte über Microsoft Intune. Diese Funktion kann für die automatische Einrichtung von Always-On-VPN auf für Android Enterprise registrierten Geräten verwendet werden, sodass der Endbenutzer während des Onboardings keinen VPN-Dienst einrichten muss.

  1. Wählen Sie unter Gerätedie Option Konfigurationsprofile>Profilplattform>>erstellen Android Enterprise aus. Wählen Sie je nach Geräteregistrierungstyp unter einer der folgenden Optionen Geräteeinschränkungen aus:

    • Vollständig verwaltetes, dediziertes und Corporate-Owned Arbeitsprofil
    • Persönliches Arbeitsprofil

    Wählen Sie dann Erstellen aus.

    Menüelement

  2. Konfigurationseinstellungen. Geben Sie einen Namen und eine Beschreibung an, um das Konfigurationsprofil eindeutig zu identifizieren.

    Die Felder Name und Beschreibung des Gerätekonfigurationsprofils im Bereich Grundlagen

  3. Wählen Sie Konnektivität aus, und konfigurieren Sie Ihr VPN:

    • Aktivieren Sie Always-On-VPN. Richten Sie einen VPN-Client im Arbeitsprofil ein, damit nach Möglichkeit automatisch eine Verbindung mit dem VPN hergestellt und wiederhergestellt wird. Es kann nur ein VPN-Client für Always-On-VPN auf einem bestimmten Gerät konfiguriert werden. Stellen Sie daher sicher, dass nicht mehr als eine Always-On-VPN-Richtlinie auf einem einzelnen Gerät bereitgestellt wird.

    • Wählen Sie in der Dropdownliste des VPN-Clients die Option Benutzerdefiniert aus. Benutzerdefiniertes VPN ist in diesem Fall Defender für Endpunkt-VPN, das zum Bereitstellen des Web protection-Features verwendet wird.

      Hinweis

      Microsoft Defender for Endpoint App muss auf dem Gerät des Benutzers installiert werden, damit die automatische Einrichtung dieses VPN funktioniert.

    • Geben Sie die Paket-ID der Microsoft Defender for Endpoint-App im Google Play Store ein. Für die Defender-App-URL lautet com.microsoft.scmxdie Paket-ID .

    • Legen Sie den Sperrmodus auf Nicht konfiguriert (Standard) fest.

      Bereich

  4. Zuweisung. Wählen Sie auf der Seite Zuweisungen die Benutzergruppe aus, der diese App-Konfigurationsrichtlinie zugewiesen werden soll. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen, und wählen Sie die entsprechende Gruppe aus, und wählen Sie dann Weiter aus.

    Die auszuwählende Gruppe ist in der Regel dieselbe Gruppe, der Sie Microsoft Defender for Endpoint Android-App zuweisen würden.

    Screenshot des Bereichs

  5. Überprüfen Sie auf der seite Überprüfen + erstellen , die als Nächstes angezeigt wird, alle Informationen, und wählen Sie dann Erstellen aus. Das Gerätekonfigurationsprofil ist jetzt der ausgewählten Benutzergruppe zugewiesen.

    Bereitstellung eines Gerätekonfigurationsprofils für

Überprüfen status und Abschließen des Onboardings

  1. Bestätigen Sie die Installation status von Microsoft Defender for Endpoint unter Android, indem Sie auf den Geräteinstallationsstatus klicken. Vergewissern Sie sich, dass das Gerät hier angezeigt wird.

  2. Auf dem Gerät können Sie die Onboarding-status überprüfen, indem Sie zum Arbeitsprofil wechseln. Vergewissern Sie sich, dass Defender für Endpunkt verfügbar ist und dass Sie für die persönlichen Geräte mit Arbeitsprofil registriert sind. Wenn Sie für ein unternehmenseigenes, vollständig verwaltetes Benutzergerät registriert sind, verfügen Sie über ein einzelnes Profil auf dem Gerät, in dem Sie bestätigen können, dass Defender für Endpunkt verfügbar ist.

    Der Anzeigebereich der Anwendung

  3. Wenn die App installiert ist, öffnen Sie die App, und akzeptieren Sie die Berechtigungen. Anschließend sollte das Onboarding erfolgreich sein.

    Anzeige einer Microsoft Defender for Endpoint-Anwendung auf einem mobilen Gerät

  4. An diesem Punkt wurde das Gerät erfolgreich in Defender für Endpunkt unter Android integriert. Sie können dies im Microsoft Defender-Portal überprüfen, indem Sie zur Seite Gerätebestand navigieren.

    Das Microsoft Defender for Endpoint-Portal

Konfigurieren von Low-Touch-Onboarding

Hinweis

Dieses Feature ist derzeit in der Vorschau. Die Informationen in diesem Abschnitt beziehen sich auf ein Vorabversionsprodukt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Administratoren können Microsoft Defender for Endpoint im Onboardingmodus mit geringer Toucheingabe konfigurieren. In diesem Szenario erstellen Administratoren ein Bereitstellungsprofil, und der Benutzer muss einen reduzierten Satz von Berechtigungen bereitstellen, um das Onboarding abzuschließen.

Das Low-Touch-Onboarding für Android ist standardmäßig deaktiviert. Administratoren können es über App-Konfigurationsrichtlinien auf Intune aktivieren, indem sie die folgenden Schritte ausführen:

  1. Pushen Sie die Defender-App an die Zielgruppe, indem Sie die Schritte im Abschnitt Hinzufügen Microsoft Defender for Endpoint unter Android als verwaltete Google Play-App (in diesem Artikel) ausführen.

  2. Pushen Sie ein VPN-Profil auf das Gerät des Benutzers, indem Sie die Anweisungen im Abschnitt Automatische Einrichtung von Always-On-VPN (in diesem Artikel) befolgen.

  3. Wählen Sie unterAnwendungskonfigurationsrichtlinien für Apps>die Option Verwaltete Geräte aus.

  4. Geben Sie einen Namen an, um die Richtlinie eindeutig zu identifizieren.

    • Wählen Sie unter Plattform die Option aus Android Enterprise.
    • Wählen Sie den erforderlichen Profiltyp aus.
    • Wählen Sie für die Ziel-App aus Microsoft Defender: Antivirus.

    Wählen Sie dann Weiter aus.

  5. Fügen Sie Laufzeitberechtigungen hinzu. Wählen Sie Standortzugriff (fein) aus, POST_NOTIFICATIONS aus, und ändern Sie den Berechtigungsstatus in Auto grant. (Diese Berechtigung wird für Android 13 und höher nicht unterstützt.)

  6. Wählen Sie unter Konfigurationseinstellungen die Option aus Use Configuration designer, und wählen Sie dann Hinzufügen aus.

  7. Wählen Sie Onboarding mit geringer Fingereingabe und Benutzer-UPN aus. Ändern Sie für Benutzer-UPN den Werttyp in Variable, und legen Sie den Konfigurationswert auf fest User Principal Name. Aktivieren Sie das Low-Touch-Onboarding, indem Sie den Konfigurationswert in 1ändern.

    Screenshot: Konfigurationsrichtlinie für das Low-Touch-Onboarding

Hinweis

Sobald die Richtlinie erstellt wurde, werden diese Werttypen als Zeichenfolge angezeigt.

  1. Weisen Sie die Richtlinie der Zielbenutzergruppe zu.

  2. Überprüfen und erstellen Sie die Richtlinie.

Einrichten Microsoft Defender im persönlichen Profil unter Android Enterprise im BYOD-Modus

Einrichten von Microsoft Defender im persönlichen Profil

Administratoren können das Microsoft Endpoint Management Admin Center aufrufen, um Microsoft Defender Support in persönlichen Profilen einzurichten und zu konfigurieren, indem sie die folgenden Schritte ausführen:

  1. Wechseln Sie zu App-Konfigurationsrichtlinien für Apps>, und klicken Sie auf Hinzufügen. Wählen Sie Verwaltete Geräte aus.

    Abbildung des Hinzufügens einer App-Konfigurationsrichtlinie.

  2. Geben Sie Name und Beschreibung ein, um die Konfigurationsrichtlinie eindeutig zu identifizieren. Wählen Sie plattform als "Android Enterprise", Profiltyp "Nur persönliches Arbeitsprofil" und Ziel-App als "Microsoft Defender" aus.

    Abbildung der Benennungskonfigurationsrichtlinie.

  3. Wählen Sie auf der Seite "Einstellungen " in "Konfigurationseinstellungsformat"die Option "Konfigurations-Designer verwenden" aus, und klicken Sie auf Hinzufügen. Wählen Sie in der Liste der angezeigten Konfigurationen "Microsoft Defender im persönlichen Profil" aus.

    Abbildung der Konfiguration eines persönlichen Profils.

  4. Die ausgewählte Konfiguration wird aufgelistet. Ändern Sie den Konfigurationswert in 1, um Microsoft Defender persönliche Profile zu unterstützen. Es wird eine Benachrichtigung angezeigt, in der der Administrator darüber informiert wird. Klicken Sie auf Weiter.

    Abbildung: Ändern des Konfigurationswerts.

  5. Weisen Sie die Konfigurationsrichtlinie einer Gruppe von Benutzern zu. Überprüfen und erstellen Sie die Richtlinie.

    Abbildung des Überprüfens und Erstellens einer Richtlinie.

Administratoren können auch Datenschutzkontrollen über das Microsoft Intune Admin Center einrichten, um zu steuern, welche Daten vom mobilen Defender-Client an das Sicherheitsportal gesendet werden können. Weitere Informationen finden Sie unter Konfigurieren von Datenschutzsteuerelementen.

Organisationen können mit ihren Benutzern kommunizieren, um persönliche Profile mit Microsoft Defender auf ihren registrierten BYOD-Geräten zu schützen.

  • Voraussetzung: Microsoft Defender müssen bereits installiert und im Arbeitsprofil aktiv sein, um Microsoft Defender in persönlichen Profilen zu aktivieren.

Abschließen des Onboardings eines Geräts

  1. Installieren Sie die Microsoft Defender-Anwendung in einem persönlichen Profil mit einem persönlichen Google Play Store-Konto.

  2. Installieren Sie die Unternehmensportalanwendung im persönlichen Profil. Es ist keine Anmeldung erforderlich.

  3. Wenn ein Benutzer die Anwendung startet, wird der Anmeldebildschirm angezeigt. Melden Sie sich nur mit dem Unternehmenskonto an.

  4. Nach erfolgreicher Anmeldung werden benutzern die folgenden Bildschirme angezeigt:

    1. EuLA-Bildschirm: Wird nur angezeigt, wenn der Benutzer nicht bereits im Arbeitsprofil zugestimmt hat.
    2. Hinweisbildschirm: Benutzer müssen auf diesem Bildschirm ihre Zustimmung erteilen, um mit dem Onboarding der Anwendung fortzufahren. Dies ist nur während der ersten Ausführung der App erforderlich.
  5. Stellen Sie die erforderlichen Berechtigungen bereit, um das Onboarding abzuschließen.

    Hinweis

    Voraussetzungen:

    1. Das Unternehmensportal muss für ein persönliches Profil aktiviert werden.
    2. Microsoft Defender muss bereits installiert und im Arbeitsprofil aktiv sein.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.