Bereitstellen von Microsoft Defender für Endpunkt unter Android mit Microsoft Intune

  • Artikel

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Erfahren Sie, wie Sie Defender für Endpunkt unter Android auf Microsoft Intune Unternehmensportal registrierten Geräten bereitstellen. Weitere Informationen zur Microsoft Intune Geräteregistrierung finden Sie unter Registrieren Ihres Geräts.

Hinweis

Defender für Endpunkt für Android ist jetzt auf Google Play verfügbar

Sie können über Microsoft Intune eine Verbindung mit Google Play herstellen, um die Defender für Endpunkt-App in den Registrierungsmodi "Geräteadministrator" und "Android Enterprise" bereitzustellen.

Updates zur App erfolgen automatisch über Google Play.

Bereitstellen auf geräteadministrator registrierten Geräten

Erfahren Sie, wie Sie Defender für Endpunkt unter Android mit Microsoft Intune Unternehmensportal – Geräteadministrator registrierten Geräten bereitstellen.

Als Android Store-App hinzufügen

  1. Navigieren Sie Microsoft Intune Admin Center zu Apps>Android Apps>Android Store-Apphinzufügen>, und wählen Sie Auswählen aus.

    Bereich

  2. Geben Sie auf der Seite App hinzufügen im Abschnitt App-Informationen Folgendes ein:

    Andere Felder sind optional. Wählen Sie Weiter aus.

    Die Seite App hinzufügen mit den Herausgeber- und URL-Informationen der Anwendung im Microsoft Intune Admin Center-Portal

  3. Navigieren Sie im Abschnitt Zuweisungen zum Abschnitt Erforderlich , und wählen Sie Gruppe hinzufügen aus. Anschließend können Sie die Benutzergruppen auswählen, für die Sie Defender für Endpunkt in der Android-App als Ziel verwenden möchten. Wählen Sie Auswählen und dann Weiter aus.

    Hinweis

    Die ausgewählte Benutzergruppe sollte aus Intune registrierten Benutzern bestehen.

    Bereich

  4. Vergewissern Sie sich im Abschnitt Überprüfen+Create, dass alle eingegebenen Informationen korrekt sind, und wählen Sie dann Create aus.

    In wenigen Augenblicken wurde die Defender für Endpunkt-App erfolgreich erstellt, und eine Benachrichtigung wird in der oberen rechten Ecke der Seite angezeigt.

    Bereich status Anwendung im Microsoft Intune Admin Center-Portal

  5. Wählen Sie auf der angezeigten Seite mit den App-Informationen im Abschnitt Überwachen die Option Geräteinstallation status aus, um zu überprüfen, ob die Geräteinstallation erfolgreich abgeschlossen wurde.

    Seite

Durchführen des Onboardings und Überprüfen status

  1. Nachdem Defender für Endpunkt unter Android auf dem Gerät installiert wurde, wird das App-Symbol angezeigt.

    Das Microsoft Defender ATP-Symbol, das im bereich

  2. Tippen Sie auf das Microsoft Defender for Endpoint-App-Symbol, und folgen Sie den Anweisungen auf dem Bildschirm, um das Onboarding der App abzuschließen. Die Details umfassen die Akzeptanz von Android-Berechtigungen durch Endbenutzer, die von Defender für Endpunkt unter Android erforderlich sind.

  3. Nach dem erfolgreichen Onboarding wird das Gerät in der Liste Geräte im Microsoft Defender-Portal angezeigt.

    Ein Gerät im Microsoft Defender for Endpoint-Portal

Bereitstellen auf für Android Enterprise registrierten Geräten

Defender für Endpunkt unter Android unterstützt registrierte Android Enterprise-Geräte.

Weitere Informationen zu den von Microsoft Intune unterstützten Registrierungsoptionen finden Sie unter Registrierungsoptionen.

Derzeit werden persönliche Geräte mit Arbeitsprofil und unternehmenseigenen vollständig verwalteten Benutzergeräteregistrierungen für die Bereitstellung unterstützt.

Hinzufügen von Microsoft Defender for Endpoint unter Android als verwaltete Google Play-App

Führen Sie die folgenden Schritte aus, um Microsoft Defender for Endpoint App zu Ihrer verwalteten Google Play-Instanz hinzuzufügen.

  1. Wechseln Sie Microsoft Intune Admin Center zu Apps>Android Apps>Hinzufügen, und wählen Sie Verwaltete Google Play-App aus.

    Bereich zum Hinzufügen von Anwendungen im Microsoft Intune Admin Center-Portal

  2. Navigieren Sie auf Der verwalteten Google Play-Seite, die anschließend geladen wird, zum Suchfeld, und geben Sie ein Microsoft Defender. Ihre Suche sollte die Microsoft Defender for Endpoint-App in Ihrem verwalteten Google Play anzeigen. Klicken Sie im Suchergebnis Apps auf die Microsoft Defender for Endpoint-App.

    Seite

  3. Auf der app-Beschreibungsseite, die als Nächstes angezeigt wird, sollten App-Details zu Defender für Endpunkt angezeigt werden. Überprüfen Sie die Informationen auf der Seite, und wählen Sie dann Genehmigen aus.

    Die Seite von Managed Google Play im Microsoft Intune Admin Center-Portal

  4. Ihnen werden die Berechtigungen angezeigt, die Defender für Endpunkt erhält, damit es funktioniert. Überprüfen Sie sie, und wählen Sie dann Genehmigen aus.

    Die Genehmigungsseite für Berechtigungen im Microsoft Defender 365-Portal

  5. Die Seite Genehmigungseinstellungen wird angezeigt. Die Seite bestätigt, dass Sie neue App-Berechtigungen behandeln möchten, die Defender für Endpunkt unter Android möglicherweise anfragt. Überprüfen Sie die Auswahlmöglichkeiten, und wählen Sie Ihre bevorzugte Option aus. Wählen Sie Fertig aus.

    Standardmäßig wählt das verwaltete Google Play-Element Weiterhin genehmigt aus, wenn die App neue Berechtigungen anfordert.

    Die Seite zum Abschließen der Konfiguration der Genehmigungseinstellungen im Microsoft Defender 365-Portal

  6. Nachdem die Berechtigungsbehandlung ausgewählt wurde, wählen Sie Synchronisieren aus, um Microsoft Defender for Endpoint mit Ihrer App-Liste zu synchronisieren.

    Bereich

  7. Die Synchronisierung wird in wenigen Minuten abgeschlossen.

    Der Bereich

  8. Wählen Sie auf dem Bildschirm Android-Apps die Schaltfläche Aktualisieren aus, und Microsoft Defender for Endpoint in der App-Liste angezeigt werden sollte.

    Die Seite, auf der die synchronisierte Anwendung angezeigt wird

  9. Defender für Endpunkt unterstützt App-Konfigurationsrichtlinien für verwaltete Geräte über Microsoft Intune. Diese Funktion kann genutzt werden, um verschiedene Konfigurationen für Defender auszuwählen.

    1. Navigieren Sie auf der Seite Apps zu Richtlinie > App-Konfigurationsrichtlinien > Verwaltete Geräte hinzufügen>.

      Bereich

    2. Geben Sie auf der Seite Create App-Konfigurationsrichtlinie die folgenden Details ein:

      • Name: Microsoft Defender for Endpoint.
      • Wählen Sie Android Enterprise als Plattform aus.
      • Wählen Sie nur persönliches Arbeitsprofil oder vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil nur als Profiltyp aus.
      • Klicken Sie auf App auswählen, wählen Sie Microsoft Defender aus, wählen Sie OK und dann Weiter aus.

      Screenshot des Detailbereichs der zugeordneten App.

    3. Wählen Sie Berechtigungen>Hinzufügen aus. Wählen Sie in der Liste die verfügbaren App-Berechtigungen >OK aus.

    4. Wählen Sie eine Option für jede Berechtigung aus, die mit dieser Richtlinie gewährt werden soll:

      • Eingabeaufforderung : Fordert den Benutzer auf, zu akzeptieren oder zu verweigern.
      • Automatische Genehmigung : Genehmigt automatisch, ohne den Benutzer zu benachrichtigen.
      • Automatische Ablehnung : Verweigert automatisch, ohne den Benutzer zu benachrichtigen.

    5. Wechseln Sie zum Abschnitt Konfigurationseinstellungen , und wählen Sie im Konfigurationseinstellungsformat die Option "Konfigurations-Designer verwenden" aus.

      Abbildung der Android-Richtlinie zum Erstellen einer App-Konfiguration.

    6. Klicken Sie auf Hinzufügen , um eine Liste der unterstützten Konfigurationen anzuzeigen. Wählen Sie die erforderliche Konfiguration aus, und klicken Sie auf OK.

      Abbildung der Auswahl von Konfigurationsrichtlinien für Android.

    7. Alle ausgewählten Konfigurationen sollten aufgelistet werden. Sie können den Konfigurationswert nach Bedarf ändern und dann Weiter auswählen.

      Abbildung ausgewählter Konfigurationsrichtlinien.

    8. Wählen Sie auf der Seite Zuweisungen die Benutzergruppe aus, der diese App-Konfigurationsrichtlinie zugewiesen werden soll. Klicken Sie auf Einzuschließende Gruppen auswählen , wählen Sie die entsprechende Gruppe aus, und wählen Sie dann Weiter aus. Die hier ausgewählte Gruppe ist in der Regel dieselbe Gruppe, der Sie Microsoft Defender for Endpoint Android-App zuweisen würden.

      Bereich

    9. Überprüfen Sie auf der seite Überprüfen + Create, die als Nächstes angezeigt wird, alle Informationen, und wählen Sie dann Create aus.

      Die App-Konfigurationsrichtlinie für Defender für Endpunkt ist jetzt der ausgewählten Benutzergruppe zugewiesen.

  10. Wählen Sie Microsoft Defender App in der Liste >Eigenschaften>Zuweisungen>bearbeiten aus.

    Die Option

  11. Weisen Sie die App einer Benutzergruppe als Erforderliche App zu. Es wird bei der nächsten Synchronisierung des Geräts über Unternehmensportal App automatisch im Arbeitsprofil installiert. Diese Zuweisung kann erfolgen, indem Sie zum Abschnitt >ErforderlichGruppe hinzufügen navigieren, die Benutzergruppe auswählen und auf Auswählen klicken.

    Seite

  12. Überprüfen Sie auf der Seite Anwendung bearbeiten alle oben eingegebenen Informationen. Wählen Sie dann Überprüfen + Speichern und dann erneut Speichern aus, um die Aufgabe zu beginnen.

Automatische Einrichtung von Always-On-VPN

Defender für Endpunkt unterstützt Gerätekonfigurationsrichtlinien für verwaltete Geräte über Microsoft Intune. Diese Funktion kann für die automatische Einrichtung von Always-On-VPN auf android Enterprise-registrierten Geräten genutzt werden, sodass der Endbenutzer während des Onboardings keinen VPN-Dienst einrichten muss.

  1. Wählen Sie unter Gerätedie Option Konfigurationsprofile>Create Profilplattform>>Android Enterprise aus.

    Wählen Sie je nach Geräteregistrierungstyp unter einer der folgenden Optionen Geräteeinschränkungen aus:

    • Vollständig verwaltetes, dediziertes und Corporate-Owned Arbeitsprofil
    • Persönliches Arbeitsprofil

    Wählen Sie Erstellen aus.

    Menüelement

  2. Konfigurationseinstellungen Geben Sie einen Namen und eine Beschreibung an, um das Konfigurationsprofil eindeutig zu identifizieren.

    Die Felder Name und Beschreibung des Gerätekonfigurationsprofils im Bereich Grundlagen

  3. Wählen Sie Konnektivität aus, und konfigurieren Sie VPN:

    • Aktivieren von Always-On-VPN

      Richten Sie einen VPN-Client im Arbeitsprofil ein, damit nach Möglichkeit automatisch eine Verbindung mit dem VPN hergestellt und wiederhergestellt wird. Es kann nur ein VPN-Client für Always-On-VPN auf einem bestimmten Gerät konfiguriert werden. Stellen Sie daher sicher, dass nicht mehr als eine Always-On-VPN-Richtlinie auf einem einzelnen Gerät bereitgestellt wird.

    • Auswählen von Benutzerdefiniert in der Dropdownliste des VPN-Clients

      Benutzerdefiniertes VPN ist in diesem Fall Defender für Endpunkt-VPN, das zum Bereitstellen des Web protection-Features verwendet wird.

      Hinweis

      Microsoft Defender for Endpoint App muss auf dem Gerät des Benutzers installiert werden, damit die automatische Einrichtung dieses VPN funktioniert.

    • Geben Sie die Paket-ID der Microsoft Defender for Endpoint-App im Google Play Store ein. Für die Defender-App-URL https://play.google.com/store/apps/details?id=com.microsoft.scmxlautet die Paket-ID com.microsoft.scmx.

    • Sperrmodus Nicht konfiguriert (Standard)

      Bereich

  4. Assignment

    Wählen Sie auf der Seite Zuweisungen die Benutzergruppe aus, der diese App-Konfigurationsrichtlinie zugewiesen werden soll. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen, und wählen Sie die entsprechende Gruppe aus, und wählen Sie dann Weiter aus. Die hier ausgewählte Gruppe ist in der Regel dieselbe Gruppe, der Sie Microsoft Defender for Endpoint Android-App zuweisen würden.

    Screenshot des Bereichs

  5. Überprüfen Sie auf der seite Überprüfen + Create, die als Nächstes angezeigt wird, alle Informationen, und wählen Sie dann Create aus. Das Gerätekonfigurationsprofil ist jetzt der ausgewählten Benutzergruppe zugewiesen.

    Bereitstellung eines Gerätekonfigurationsprofils für

Überprüfen status und Abschließen des Onboardings

  1. Bestätigen Sie die Installation status von Microsoft Defender for Endpoint unter Android, indem Sie auf den Geräteinstallationsstatus klicken. Vergewissern Sie sich, dass das Gerät hier angezeigt wird.

    Bereich für die Geräteinstallation status

  2. Auf dem Gerät können Sie die Onboarding-status überprüfen, indem Sie zum Arbeitsprofil wechseln. Vergewissern Sie sich, dass Defender für Endpunkt verfügbar ist und sie für die persönlichen Geräte mit Arbeitsprofil registriert sind. Wenn Sie für ein unternehmenseigenes, vollständig verwaltetes Benutzergerät registriert sind, verfügen Sie über ein einzelnes Profil auf dem Gerät, auf dem Sie bestätigen können, dass Defender für Endpunkt verfügbar ist.

    Der Anzeigebereich der Anwendung

  3. Wenn die App installiert ist, öffnen Sie die App, und akzeptieren Sie die Berechtigungen. Anschließend sollte das Onboarding erfolgreich sein.

    Anzeige einer Microsoft Defender for Endpoint-Anwendung auf einem mobilen Gerät

  4. Zu diesem Zeitpunkt wurde das Gerät erfolgreich in Defender für Endpunkt unter Android integriert. Sie können dies im Microsoft Defender-Portal überprüfen, indem Sie zur Seite Gerätebestand navigieren.

    Das Microsoft Defender for Endpoint-Portal

Einrichten Microsoft Defender im persönlichen Profil unter Android Enterprise im BYOD-Modus

Einrichten von Microsoft Defender im persönlichen Profil

Administratoren können das Microsoft Endpoint Management Admin Center aufrufen, um Microsoft Defender Support in persönlichen Profilen einzurichten und zu konfigurieren, indem sie die folgenden Schritte ausführen:

  1. Wechseln Sie zu App-Konfigurationsrichtlinien für Apps>, und klicken Sie auf Hinzufügen. Wählen Sie Verwaltete Geräte aus.

    Abbildung des Hinzufügens einer App-Konfigurationsrichtlinie.

  2. Geben Sie Name und Beschreibung ein, um die Konfigurationsrichtlinie eindeutig zu identifizieren. Wählen Sie plattform als "Android Enterprise", Profiltyp "Nur persönliches Arbeitsprofil" und Ziel-App als "Microsoft Defender" aus.

    Abbildung der Benennungskonfigurationsrichtlinie.

  3. Wählen Sie auf der Seite "Einstellungen " in "Konfigurationseinstellungsformat"die Option "Konfigurations-Designer verwenden" aus, und klicken Sie auf Hinzufügen. Wählen Sie in der Liste der angezeigten Konfigurationen "Microsoft Defender im persönlichen Profil" aus.

    Abbildung der Konfiguration eines persönlichen Profils.

  4. Die ausgewählte Konfiguration wird aufgelistet. Ändern Sie den Konfigurationswert in 1, um Microsoft Defender persönliche Profile zu unterstützen. Es wird eine Benachrichtigung angezeigt, in der der Administrator darüber informiert wird. Klicken Sie auf Weiter.

    Abbildung: Ändern des Konfigurationswerts.

  5. Weisen Sie die Konfigurationsrichtlinie einer Gruppe von Benutzern zu. Überprüfen und erstellen Sie die Richtlinie.

    Abbildung des Überprüfens und Erstellens einer Richtlinie.

Administratoren können auch Datenschutzkontrollen über das Microsoft Intune Admin Center einrichten, um zu steuern, welche Daten vom mobilen Defender-Client an das Sicherheitsportal gesendet werden können. Weitere Informationen finden Sie unter Konfigurieren von Datenschutzsteuerelementen.

Organisationen können mit ihren Benutzern kommunizieren, um persönliche Profile mit Microsoft Defender auf ihren registrierten BYOD-Geräten zu schützen.

  • Voraussetzung: Microsoft Defender müssen bereits installiert und im Arbeitsprofil aktiv sein, um Microsoft Defender in persönlichen Profilen zu aktivieren.

So schließen Sie das Onboarding eines Geräts ab

  1. Installieren Sie die Microsoft Defender-Anwendung in einem persönlichen Profil mit einem persönlichen Google Play Store-Konto.
  2. Installieren Sie die Unternehmensportalanwendung im persönlichen Profil. Es ist keine Anmeldung erforderlich.
  3. Wenn ein Benutzer die Anwendung startet, wird der Anmeldebildschirm angezeigt. Melden Sie sich nur mit dem Unternehmenskonto an.
  4. Bei einer erfolgreichen Anmeldung werden benutzern die folgenden Bildschirme angezeigt:
    1. EuLA-Bildschirm: Wird nur angezeigt, wenn der Benutzer nicht bereits im Arbeitsprofil zugestimmt hat.
    2. Hinweisbildschirm: Benutzer müssen auf diesem Bildschirm ihre Zustimmung erteilen, um mit dem Onboarding der Anwendung fortzufahren. Dies ist nur während der ersten Ausführung der App erforderlich.
  5. Stellen Sie die erforderlichen Berechtigungen bereit, um das Onboarding abzuschließen.

Hinweis

Voraussetzung:

  1. Das Unternehmensportal muss für ein persönliches Profil aktiviert werden.
  2. Microsoft Defender muss bereits installiert und im Arbeitsprofil aktiv sein.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.