Настройка веб-защиты Microsoft Defender для конечной точки на устройствах Android под управлением Intune

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет использовать профили конфигурации устройств для изменения некоторых параметров Defender для конечной точки на устройствах Android.

По умолчанию Microsoft Defender для конечной точки для Android включает и включает функцию веб-защиты, которая помогает защитить устройства от веб-угроз и защитить пользователей от фишинговых атак.

Хотя эта защита включена по умолчанию, существуют возможные причины для ее отключения на некоторых устройствах Android. Например, вы можете использовать только функцию проверки приложений Microsoft Defender для конечной точки или запретить средству защиты от веб-угроз использовать VPN-подключение во время проверки на наличие вредоносных URL-адресов.

С помощью политики конфигурации устройств Intune можно отключить всю или часть функции веб-защиты. Используемый метод и доступные для отключения возможности зависят от того, как устройство Android зарегистрировано в Intune.

• Администратор устройств Android. Используйте профиль конфигурации, чтобы задать настраиваемые параметры OMA-URI на устройстве, отключающие всю защиту от веб-угроз либо только использование VPN. Общие сведения о пользовательских параметрах для устройств Android см. в разделе Пользовательские параметры.

• Android Enterprise — личный рабочий профиль. Используйте профиль конфигурации приложения и конструктор конфигураций, чтобы отключить защиту от веб-угроз. Этот метод и тип регистрации поддерживают отключение всех возможностей защиты от веб-угроз, но не поддерживают отключение только сетей VPN. Общие сведения о политиках конфигурации приложений см. в разделе Использование конструктора конфигурации.

• Полностью управляемый профиль Android Enterprise. Используйте профиль конфигурации приложения и конструктор конфигураций , чтобы отключить всю функцию веб-защиты или отключить только использование VPN.

Чтобы настроить защиту от веб-угроз на устройствах, используйте указанные ниже процедуры для создания и развертывания применимой конфигурации.

Отключение защиты от веб-угроз для администратора устройства Android

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

1. Войдите в Центр администрирования Microsoft Intune.

2. ВыберитеКонфигурация>устройств> На вкладке Политики выберите + Создать.

3. Введите следующие параметры:

   • Платформа: выберите значение Администратор устройства Android.
   • Профиль: выберите Пользовательский.

   Нажмите Создать.

4. В разделе Основные сведения введите следующие данные:

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, настраиваемый профиль Android для веб-защиты Defender для конечной точки.
   • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

5. В разделе Параметры конфигурации нажмите Добавить.

   Укажите параметры конфигурации, которые необходимо развернуть.

   • Отключение защиты от веб-угроз:

     • Имя. Введите уникальное имя для параметра OMA-URI, чтобы его можно было легко найти. Например, Отключение веб-защиты Defender для конечной точки.
     • Описание (необязательно). Введите описание с общими сведениями о параметре и другой важной информацией.
     • OMA-URI: введите ./Vendor/MSFT/DefenderATP/AntiPhishing
     • Тип данных. Выберите целое число в раскрывающемся списке.
     • Значение: чтобы отключить защиту веб-сайта, задайте для параметра Значение0. Чтобы включить защиту веб-сайта, введите значение 1, которое используется по умолчанию.

   • Отключение только использования сетей VPN функцией защиты от веб-угроз:

     • Имя. Введите уникальное имя для параметра OMA-URI, чтобы его можно было легко найти. Например, Отключение VPN для веб-защиты Microsoft Defender для конечной точки.
     • Описание (необязательно). Введите описание с общими сведениями о параметре и другой важной информацией.
     • OMA-URI: введите ./Vendor/MSFT/DefenderATP/Vpn
     • Тип данных. Выберите целое число в раскрывающемся списке.
     • Значение. Чтобы отключить проверку на основе VPN, задайте для параметра Значение0. Чтобы включить проверку на основе VPN, введите значение 1, которое используется по умолчанию.

   Выберите Добавить, чтобы сохранить конфигурацию параметров OMA-URI, а затем нажмите кнопку Далее, чтобы продолжить.

6. В поле Назначения укажите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

7. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Отключение защиты от веб-угроз для личного рабочего профиля Android Enterprise

Примечание.

Вы не сможете отключить защиту от веб-угроз для личного рабочего профиля Android Enterprise, если ранее настроили для зарегистрированных устройств политику конфигурации устройств для автоматической установки постоянного VPN-подключения.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Приложения>Политики конфигурации приложений>Добавить, а затем выберите Управляемые устройства.

3. В разделе Основные сведения введите следующие данные:

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, Конфигурация приложений Android для защиты от веб-угроз в Microsoft Defender для конечной точки.
   • Описание: введите описание профиля Этот параметр является необязательным, но мы рекомендуем его использовать.
   • Платформа: выберите Android Enterprise.
   • Тип профиля. Выберите Только личный рабочий профиль.
   • Целевое приложение. Щелкните Выбрать приложение.

4. В области Связанное приложение найдите и выберите Microsoft Defender для конечной точки, а затем нажмите OK>Далее.

5. В области Параметры в списке Формат параметров конфигурации выберите Использовать конструктор конфигурации, а затем выберите Добавить. Открывается редактор JSON.

6. Найдите и выберите ключи конфигурации Защита от фишинга и VPN, а затем выберите ОК, чтобы вернуться к странице Параметры.

7. Для значений конфигурации обоих ключей конфигурации (защиты от фишинга и VPN) введите 0 , чтобы отключить защиту от веб-сайтов.

   Примечание.

   Ключ конфигурации Защита от веб-угроз устарел. Если раньше вы использовали этот ключ, выполните описанные выше действия, чтобы изменить настройки этого параметра, включив или отключив защиту от веб-угроз с помощью ключей Защита от фишинга и VPN.

   Примечание.

   Введите 1 для обоих значений конфигурации (защита от фишинга и VPN), чтобы включить веб-защиту. Это значение по умолчанию.

   Нажмите кнопку Далее, чтобы продолжить.

8. В поле Назначения укажите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

9. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Отключение защиты от веб-угроз для полностью управляемого профиля Android Enterprise

1. Выполните описанные выше действия по настройке и добавьте ключи конфигурации защиты от фишинга и VPN. Единственное отличие — это значение параметра Тип профиля. Для этого значения выберите Полностью управляемый, Выделенный и Corporate-Owned Только рабочий профиль.

   • Чтобы отключить защиту от веб-угроз, введите значение конфигурации 0 для обоих ключей — Защита от фишинга и VPN.
   • Чтобы отключить только использование VPN для защиты от веб-угроз, введите следующие значения конфигурации:
     • 0 для VPN;
     • 1 для ключа Защита от фишинга.

   Примечание.

   Вы не можете отключить VPN для полностью управляемого профиля Android Enterprise, если настроена автоматическая настройка политики конфигурации VPN-устройств Always-on на зарегистрированных устройствах.

   Примечание.

   Введите 1 для обоих значений конфигурации (защита от фишинга и VPN), чтобы включить веб-защиту. Это значение по умолчанию.

   Нажмите кнопку Далее, чтобы продолжить.

2. В поле Назначения укажите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

3. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Дальнейшие действия

• Мониторинг параметров соответствия для уровней риска

• Использование задач по обеспечению безопасности с управлением уязвимостью Defender для конечной точки для исправления проблем на устройствах

• Дополнительные сведения см. в документации по Microsoft Defender для конечной точки:

  • Условный доступ в Microsoft Defender для конечной точки
  • Панель мониторинга рисков в Microsoft Defender для конечной точки