在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

瞭解如何在已註冊 Intune 公司入口網站的裝置上，於 Android 上部署適用於端點的 Defender Microsoft。 如需Microsoft Intune 裝置註冊的詳細資訊，請參閱 註冊您的裝置。

注意事項

適用於 Android 上的適用於端點的 Defender 現在可在 Google Play 上使用

您可以從 Microsoft Intune 連線到 Google Play，以跨裝置系統管理員和 Android Enterprise 註冊模式部署適用於端點的 Defender 應用程式。 應用程式的更新會透過Google Play自動進行。

在裝置系統管理員註冊的裝置上部署

瞭解如何使用 Microsoft Intune 公司入口網站 - 裝置系統管理員註冊的裝置，在 Android 上部署適用於端點的 Defender。

新增為 Android 市集應用程式

1. 在 Microsoft Intune 系統管理中心 中，移至 [應用程式>] [Android 應用程式>] [新增>Android 市集應用程式] ，然後選擇 [ 選取]。

   

2. 在 [ 新增應用程式] 頁面上，在 [ 應用程式資訊 ] 區段中輸入：

   • 名稱
   • 描述
   • 發行 者為Microsoft。
   • (適用於端點的Defender應用程式Google Play商店URLhttps://play.google.com/store/apps/details?id=com.microsoft.scmx 的App Store URL)

   其他欄位是選擇性的。 選取 [下一步]。

   

3. 在 [ 指派] 區 段中，移至 [ 必要] 區段，然後選取 [ 新增群組]。 然後，您可以選擇使用者群組 (或群組，) 在 Android 應用程式上接收適用於端點的 Defender。 選擇 [選取 ]，然後選擇 [ 下一步]。

   注意事項

   選取的使用者群組應包含已註冊 Intune 的使用者。

   

4. 在 [ 檢閱+建立] 區段中，確認輸入的所有資訊都正確無誤，然後選取 [ 建立]。

   幾分鐘后，應該會成功建立適用於端點的Defender應用程式，而且應該會在畫面右上角顯示通知。

   

5. 在顯示的應用程式資訊頁面中，於 [ 監視] 區段中選取 [ 裝置安裝狀態 ]，以確認裝置安裝已順利完成。

   

完成上線並檢查狀態

1. 在裝置上安裝適用於端點的 Defender 之後，您應該會看到應用程式圖示。

   

2. 點選 Microsoft Defender for Endpoint 應用程式圖示，並遵循畫面上的指示完成應用程式上線。 詳細數據包括使用者接受 Android 上適用於端點的 Defender 所需的 Android 許可權。

3. 成功上線時，裝置會顯示在 Microsoft Defender 入口網站的裝置清單中。

   

在Android Enterprise 註冊的裝置上部署

Android 上適用於端點的 Defender 支援已註冊 Android Enterprise 的裝置。

如需 Microsoft Intune 所支援註冊選項的詳細資訊，請參閱 註冊選項。

目前支援使用工作配置檔的個人擁有裝置，以及公司擁有且完全受控的使用者裝置註冊來進行部署。

將 Android 上適用於端點的 Microsoft Defender 新增為受控 Google Play 應用程式

請遵循下列步驟，將適用於端點的 Microsoft Defender 應用程式新增至受控 Google Play。

1. 在 Microsoft Intune 系統管理中心 中，移至 [應用程式>Android 應用程式>新增 ]，然後選取 [ 受控 Google Play 應用程式]。

   

2. 在載入的受控 Google Play 頁面上，移至搜尋方塊，然後輸入 Microsoft Defender。 您的搜尋應該會在受控 Google Play 中顯示適用於端點的 Microsoft Defender 應用程式。 從 [應用程式] 搜尋結果中選取 [適用於端點的 Microsoft Defender] 應用程式。

   

3. 在 [應用程式描述 ] 頁面中，您應該能夠看到適用於端點的 Defender 應用程式的應用程式詳細數據。 檢閱頁面上的信息，然後選取 [ 核准]。

   

4. 當系統提示您核准適用於端點的 Defender 取得的許可權時，請檢閱他的資訊，然後選取 [ 核准]。

   

5. 在 [ 核准設定] 頁面上，檢閱您的喜好設定，以處理適用於Android上適用於端點的Defender可能會要求的新應用程式許可權。 檢閱選項，然後選取您慣用的選項。 選取 [完成]。

   根據預設，受控 Google Play 會在 應用程式要求新許可權時選取 [保持核准]。

   

6. 在選取權限處理選項之後，選取 [ 同步 處理]，Microsoft適用於端點的Defender同步至您的應用程式清單。

   

7. 同步處理會在幾分鐘內完成。

   

8. 選取 [Android 應用程式] 畫面中的 [ 重新 整理] 按鈕，Microsoft應用程式清單中應該會顯示適用於端點的 Defender。

   

9. 適用於端點的Defender透過 Microsoft Intune 支援受控裝置的應用程式設定原則。 此功能可用來選取適用於端點的Defender的不同設定。

   1. 在 [ 應用程式] 頁面中，移至 [ 原則>應用程式設定原則>] [新增>受控裝置]。

      

   2. 在 [ 建立應用程式設定原則 ] 頁面中，輸入下列詳細數據：

      • 名稱： Microsoft適用於端點的Defender。
      • 選擇 [Android Enterprise ] 作為平臺。
      • 選擇 [僅限個人擁有的工作配置檔 ] 或 [ 完全受控]、[專用] 和 [公司擁有的工作配置檔] 作為 [配置檔類型]。
      • 選 取 [選取應用程式]，選擇 [Microsoft Defender]，選取 [ 確定 ]，然後選取 [ 下一步]。

      

   3. 選取 [權限]>[新增]。 從清單中，選取可用的應用程式權限 >[確定]。

   4. 針對要使用此原則授與的每個權限選取一個選項:

      • 提示 - 提示使用者接受或拒絕。
      • 自動授與 - 自動核准而不通知使用者。
      • 自動拒絕 - 自動拒絕而不通知使用者。

   5. 移至 [ 組態設定] 區 段，然後選擇 [組態設定格式] 中的 [ 使用 組態設計工具]。

      

   6. 選取 [新增 ] 以檢視支援的組態清單。 選取必要的設定，然後選取 [ 確定]。

      

   7. 您應該會看到列出所有選取的組態。 您可以視需要變更組態值，然後選取 [ 下一步]。

      

   8. 在 [ 指派] 頁面中，選取要指派此應用程式設定原則的使用者群組。 選 取 [選取要包含的群組 ]，然後選取適用的群組，然後選取 [ 下一步]。 此處選取的群組通常是您要指派Microsoft適用於端點的Defender Android應用程式的相同群組。

      

   9. 在接下來出現的 [ 檢閱 + 建立] 頁面中，檢閱所有資訊，然後選取 [ 建立]。

      適用於端點的Defender應用程式設定原則現在會指派給選取的使用者群組。

10. 在 [屬性>指派編輯] 列表>中選取 [Microsoft Defender> 應用程式]。

    

11. 將應用程式指派為 必要的 應用程式給使用者群組。 在裝置的下一次同步期間，它會透過公司入口網站應用程式自動安裝在 工作配置檔 中。 您可以流覽至 [必要] 區段 > [新增群組]，選取適當的使用者群組，然後選擇 [選取]，以完成此指派。

    

12. 在 [ 編輯應用程式] 頁面中，檢閱先前輸入的所有資訊。 然後選取 [檢閱 + 儲存]，然後再次儲存以開始指派。

Always-on VPN 的自動設定

適用於端點的Defender透過 Microsoft Intune 支援受控裝置的裝置設定原則。 這項功能可用來在已註冊 Android Enterprise 的裝置上自動設定 Always-on VPN ，因此終端使用者不需要在上線時設定 VPN 服務。

1. 在 [裝置] 上，選取 [ 組態配置檔>] [建立配置文件>平臺>Android Enterprise]。 根據您的裝置註冊類型，選取下列其中一項下的 [裝置 限制 ]：

   • 完全受控、專用和 Corporate-Owned 工作配置檔
   • 個人擁有的工作配置檔

   然後，選取 [ 建立]。

   

2. 組態設定。 提供 [名稱 ] 和 [ 描述 ]，以唯一識別組態配置檔。

   

3. 選取 [連線] 並設定您的 VPN：

   • 啟用 Always-on VPN。 在工作配置檔中設定 VPN 用戶端，以盡可能自動連線並重新連線至 VPN。 在指定的裝置上，只有一個 VPN 用戶端可以設定為一律開啟 VPN，因此請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。

   • 選取 [VPN 用戶端] 下拉式清單中的 [自定義 ]。 在此情況下，自定義 VPN 是適用於端點的 Defender VPN，可用來提供 Web 保護功能。

     注意事項

     Microsoft適用於端點的 Defender 應用程式必須安裝在使用者的裝置上，才能執行此 VPN 的自動設定。

   • 在Google Play商店中輸入適用於端點的 Microsoft Defender 應用程式套件 識別 碼。 針對 Defender 應用程式 URL，套件識別碼為 com.microsoft.scmx。

   • 將 [鎖定模式 ] 設定為 [ 未設定 (預設) 。

     

4. 工作分派。 在 [ 指派] 頁面上，選取要指派此應用程式設定原則的使用者群組。 選擇 [選取 要包含的群組]，然後選取適用的群組，然後選取 [ 下一步]。

   要選取的群組通常是您要指派Microsoft適用於端點的Defender Android 應用程式的相同群組。

   

5. 在接下來出現的 [ 檢閱 + 建立] 頁面中，檢閱所有資訊，然後選取 [ 建立]。 裝置組態配置檔現在已指派給選取的使用者群組。

   

檢查狀態並完成上線

1. 單擊 [裝置安裝狀態]，確認Android上適用於端點Microsoft Defender 的安裝狀態。 確認裝置顯示於此處。

   

2. 在裝置上，您可以移至 工作配置檔來驗證上線狀態。 確認適用於端點的 Defender 可供使用，且您已向 具有工作配置檔的個人擁有裝置註冊。 如果您已註冊 公司擁有且完全受控的用戶裝置，則裝置上會有單一配置檔，您可以在其中確認適用於端點的 Defender 可供使用。

   

3. 安裝應用程式時，請開啟應用程式並接受許可權，然後您的上線應該會成功。

   

4. 此時，裝置已成功上線至 Android 上的適用於端點的 Defender。 您可以流覽至 [裝置清查] 頁面，在 Microsoft Defender 入口網站上確認這一點。

   

設定低觸控上線

注意事項

此功能目前處於預覽。 本節中的資訊與發行前版本產品相關，可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

系統管理員可以在低觸控式上線模式中設定適用於端點的 Microsoft Defender。 在此案例中，系統管理員會建立部署配置檔，而且用戶必須提供一組減少的許可權，才能完成上線。

預設會停用Android低觸控上線。 系統管理員可以遵循下列步驟，透過 Intune 上的應用程式設定原則加以啟用：

1. 依照本文) 將 Android 上適用於端點的 Microsoft Defender 新增為受控 Google Play 應用程式 (一節中的步驟，將 Defender 應用程式推送至目標使用者群組。

2. 依照本文中的自動 設定 Always-on VPN (一節中的指示，將 VPN 配置檔推送至使用者的裝置) 。

3. 在 [應用程式>應用程式設定原則] 中，選取 [ 受控裝置]。

4. 提供名稱以唯一識別原則。

   • 針對 [平臺]，選取 Android Enterprise。
   • 選取必要的配置檔類型。
   • 針對目標應用程式，選取 Microsoft Defender: Antivirus。

   然後選取 [下一步]。

5. 新增運行時間許可權。 選 取 [位置存取 () ] ， POST_NOTIFICATIONS ，然後將 [ 許可權] 狀態 變更為 Auto grant。 (Android 13 和更新版本不支援此許可權。)

6. 在 [ 組態設定] 底下，選取 Use Configuration designer，然後選取 [ 新增]。

7. 選取 [低觸控上線] 和 [使用者 UPN]。 針對[使用者 UPN]，將值類型變更為 Variable，並將組態值設定為 User Principal Name。 將其組態值 1變更為 ，以啟用低觸控上線。

   

8. 將原則指派給目標使用者群組。

9. 檢閱並建立原則。

在 BYOD 模式的 Android Enterprise 上，於個人配置文件中設定 Microsoft Defender

在個人配置文件中設定 Microsoft Defender

系統管理員可以前往 Microsoft端點管理系統管理中心 ，以遵循下列步驟，在個人配置檔中設定 Microsoft Defender 支援：

1. 移至 [應用程式> 應用程式設定原則] ，然後按兩下 [ 新增]。 選 取 [受控裝置]。

   

2. 輸入 [名稱 ] 和 [描述 ] 以唯一識別設定原則。 選取 [平臺] 作為 [Android Enterprise]，將 [配置檔類型] 選取為 [僅限個人擁有的工作配置檔] ，並將目標應用程式選取為 [Microsoft Defender]。

   

3. 在 [設定] 頁面上，以 [組態設定格式] 選取 [使用組態設計工具] ，然後按兩下 [ 新增]。 從顯示的組態清單中，選 取 [Microsoft個人配置檔中的Defender]。

   

4. 將會列出選取的組態。 將 組態值變更為 1 ，以啟用 Microsoft Defender 支援個人配置檔。 隨即會出現通知，通知系統管理員有關相同的情況。 按兩下 [ 下一步]。

   

5. 將設定原則指派給一組使用者。 檢閱並建立 原則。

   

系統管理員也可以從 Microsoft Intune 系統管理中心設定 隱私權控制 ，以控制 Defender 行動用戶端可將哪些數據傳送至安全性入口網站。 如需詳細資訊，請 參閱設定隱私權控制。

組織可以與其用戶通訊，以在其註冊的 BYOD 裝置上使用 Microsoft Defender 來保護個人配置檔。

• 必要條件：Microsoft必須已在工作配置檔中安裝並啟用 Defender，才能在個人配置檔中啟用 Microsoft Defender。

完成裝置上線

1. 使用個人 Google Play 商店帳戶，在個人配置檔中安裝 Microsoft Defender 應用程式。

2. 在個人配置檔上安裝公司入口網站應用程式。 不需要登入。

3. 當使用者啟動應用程式時，他們會看到登入畫面。 僅使用公司帳戶登入。

4. 成功登入之後，使用者會看到下列畫面：

   1. EULA 畫面：只有在使用者尚未在工作配置檔中同意時才會顯示。
   2. 注意畫面：用戶必須在此畫面上提供同意，才能繼續將應用程式上線。 只有在第一次執行應用程式時，才需要這麼做。

5. 提供完成上線所需的許可權。

   注意事項

   必要條件：

   1. 公司入口網站必須在個人配置檔上啟用。
   2. Microsoft必須已在工作配置檔中安裝並啟用 Defender。

相關文章

• Android 上適用於端點的 Microsoft Defender 概觀
• 在 Android 上設定適用於端點的 Microsoft Defender 功能

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft適用於端點的Defender技術社群。