使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

了解如何在已注册Microsoft Intune 公司门户设备上在 Android 上部署 Defender for Endpoint。 有关Microsoft Intune设备注册的详细信息,请参阅注册设备

备注

Android 上的 Defender for Endpoint 现已在 Google Play 上提供

可以从 Microsoft Intune 连接到 Google Play,以跨设备管理员和 Android Enterprise 注册模式部署 Defender for Endpoint 应用。 汇报应用是通过 Google Play 自动完成的。

在设备管理员注册的设备上部署

了解如何使用设备管理员注册设备的 Microsoft Intune 公司门户在 Android 上部署 Defender for Endpoint。

添加为 Android 应用商店应用

  1. Microsoft Intune 管理中心 中,转到“应用>”“Android 应用”“>添加>Android 应用商店应用”。 然后选择 选择

    Microsoft Intune管理中心门户中的“添加 Android 应用商店应用程序”窗格

  2. “添加应用 ”页上的“ 应用信息 ”部分中,指定以下详细信息:

    • 名称
    • 说明
    • 发布者 作为Microsoft。
    • 应用商店 URL 作为 https://play.google.com/store/apps/details?id=com.microsoft.scmx Google Play Store 中 Defender for Endpoint 应用的 (URL)

    其他字段是可选的。 然后选择“下一步”。

    在Microsoft Intune管理中心门户中显示应用程序的发布者和 URL 信息的“添加应用”页

  3. “作业” 部分中,转到“ 必需 ”部分,然后选择“ 添加组”。 然后,可以选择用户组 (或组) 接收 Android 上的 Defender for Endpoint 应用。 选择 “选择”,然后点击“ 下一步”。

    所选用户组应包含Intune注册用户。

    显示Microsoft Intune管理中心门户的“添加应用”页中的“添加组”窗格的屏幕截图。

  4. “查看+创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。

    几分钟后,应创建 Defender for Endpoint 应用,并在屏幕右上角显示通知。

    Microsoft Intune管理中心门户中的应用程序状态窗格

  5. 在显示的应用信息页的“ 监视 ”部分中,选择“ 设备安装状态 ”,验证设备安装是否已成功完成。

    Microsoft Defender门户中的“设备安装状态”页

完成载入和检查状态

  1. 在设备上安装 Android 上的 Defender for Endpoint 后,应会看到应用图标。

    “搜索”窗格中列出的Microsoft Defender ATP 图标

  2. 点击Microsoft Defender for Endpoint应用图标,然后按照屏幕上的说明完成载入。 详细信息包括最终用户接受 Android 上的 Defender for Endpoint 所需的 Android 权限。

  3. 成功载入后,设备将显示在Microsoft Defender门户中的设备列表中。

    Microsoft Defender for Endpoint门户中的设备

在 Android Enterprise 注册设备上部署

Android 上的 Defender for Endpoint 支持 Android Enterprise 注册的设备。

有关 Microsoft Intune 支持的注册选项的详细信息,请参阅注册选项

目前,Android Enterprise 支持具有工作配置文件的个人拥有设备、具有工作配置文件的公司自有设备和公司拥有的完全托管用户设备注册。

在 Android 上添加Microsoft Defender for Endpoint作为托管 Google Play 应用

按照以下步骤将 Microsoft Defender for Endpoint 应用添加到托管的 Google Play 商店。

  1. Microsoft Intune 管理中心 中,转到“应用>”“Android 应用>添加”,然后选择“托管的 Google Play 应用”。

    显示Microsoft Intune管理中心门户中的应用程序添加窗格的屏幕截图

  2. 在加载的托管 Google Play 页面上,转到搜索框并键入 Microsoft Defender。 搜索应在托管 Google Play 商店中显示Microsoft Defender for Endpoint应用。 从搜索结果列表中选择Microsoft Defender for Endpoint应用。

    Microsoft Intune管理中心门户中的托管 Google Play 页

  3. “应用说明 ”页中,应能够看到有关 Defender for Endpoint 应用的应用详细信息。 查看页面上的信息,然后选择“ 批准”。

    Microsoft Intune管理中心门户中托管的 Google Play 页面

  4. 当系统提示你批准 Defender for Endpoint 获取的权限时,请查看信息,然后选择“ 批准”。

    Microsoft Defender门户中的权限审批页

  5. “审批设置 ”页上,查看处理 Android 上的 Defender for Endpoint 可能要求的新应用权限的首选项。 查看选项,然后选择首选选项。 然后,选择“ 完成”。

    默认情况下,托管 Google Play 在 应用请求新权限时选择“保持批准”。

    Microsoft Defender门户中的 审批设置配置完成页

  6. 完成权限处理选择后,选择“同步”,将Microsoft Defender for Endpoint同步到应用列表。

    Microsoft Defender门户中的“同步”窗格

    同步在几分钟内完成。

    Microsoft Defender门户的 Android 应用页中的应用程序同步状态窗格

  7. 在 Android 应用屏幕中选择 “刷新 ”按钮。 Microsoft Defender for Endpoint应在应用列表中可见。

    显示已同步应用程序的页面

  8. Defender for Endpoint 支持使用 Microsoft Intune 的托管设备的应用配置策略。 此功能可用于为 Defender for Endpoint 选择不同的配置。

    1. “应用” 页中,转到 “策略>”“应用配置策略>”“添加>托管设备”。

      Microsoft Intune管理中心门户中的“应用配置策略”窗格

    2. “创建应用配置策略 ”页中,指定以下详细信息:

      • 名称:Microsoft Defender for Endpoint

      • 选择 “Android Enterprise ”作为平台。

      • 选择 “仅限个人拥有的工作配置文件”“完全托管、专用和公司拥有的工作配置文件” 作为“配置文件类型”。

      • 依次选择“选择应用”、“Microsoft Defender”、“确定”和“下一步”。

         “关联应用详细信息”窗格的屏幕截图。

    3. 选择“权限”>“添加”。 从列表中,选择可用的应用权限 >“确定”。

    4. 为使用此策略授予的每个权限选择一个选项:

      • 提示 - 提示用户接受或拒绝。
      • 自动授予 - 在不通知用户的情况下自动批准。
      • 自动拒绝 - 在不通知用户的情况下自动拒绝。
    5. 转到 “配置设置” 部分,然后选择“ 使用配置设计器”。

      android 创建应用配置策略的图像。

    6. 选择“ 添加 ”以查看支持的配置列表。 选择所需的配置,然后选择“ 确定”。

      为 Android 选择配置策略的图像。

    7. 应会看到列出的所有所选配置。 可以根据需要更改配置值,然后选择“ 下一步”。

      所选配置策略的图像。

    8. “分配” 页中,选择此应用配置策略将分配到的用户组。 选择“ 选择要包含的组”,选择一个组,然后选择“ 下一步”。 此处选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。

      “所选组”窗格

    9. 在接下来出现的“ 审阅 + 创建 ”页中,查看所有信息,然后选择“ 创建”。

      Defender for Endpoint 的应用配置策略现在已分配给所选用户组。

  9. “属性分配>编辑”>列表中选择>“Microsoft Defender应用”。

    “属性”页上的“编辑”选项

  10. 将应用作为所需应用分配给用户组。 在下次通过公司门户应用同步设备时,它会自动安装在工作配置文件中。 导航到“ 必需 ”部分,选择“ 添加组”,选择相应的用户组,然后选择 “选择”。

    “编辑应用程序”页

  11. “编辑应用程序 ”页中,查看之前指定的所有信息。 选择“ 查看 + 保存”,然后选择“ 保存” 以开始分配。

始终启用 VPN 的自动设置

Defender for Endpoint 支持具有Microsoft Intune的托管设备的设备配置策略。 此功能使你能够在 Android Enterprise 注册的设备上使用 Always-On VPN 的自动设置,因此最终用户无需在载入时设置 VPN 服务。

  1. “设备”上,选择“ 配置文件>创建配置文件>平台>Android Enterprise”。 根据设备注册类型,选择以下其中一项下的“设备 限制 ”:

    • 完全托管、专用和 Corporate-Owned 工作配置文件
    • 个人拥有的工作配置文件

    然后,选择“ 创建 ”。

    “策略”窗格中的“配置文件”菜单项

  2. 配置设置。 提供 “名称”“说明” 以唯一标识配置文件。

    “基本信息”窗格中的设备配置文件“名称”和“说明”字段

  3. 选择“ 连接”,然后配置 VPN。

    1. 启用 Always-On VPN。 在工作配置文件中设置 VPN 客户端,以便尽可能自动连接和重新连接到 VPN。 在给定设备上只能为一个 VPN 客户端配置始终启用 VPN,因此请确保在单个设备上部署的始终启用 VPN 策略不超过一个。

    2. VPN 客户端 列表中,选择“ 自定义”。 在这种情况下,自定义 VPN 是 Defender for Endpoint VPN,它提供 Web 保护。

      备注

      必须在用户的设备上安装Microsoft Defender for Endpoint应用,才能进行自动 VPN 设置。

    3. 指定 Google Play 商店中Microsoft Defender for Endpoint应用的包 ID。 对于Microsoft Defender应用 URL,包 ID 为 com.microsoft.scmx

    4. “锁定模式 ”设置为 “未配置” (“默认) ”。

      “配置设置”选项卡下的“连接”窗格

  4. 工作分配。 在 “分配” 页上,选择此应用配置策略将分配到的用户组。 选择 “选择要 包含的组”,选择适用的组,然后选择“ 下一步”。

    要选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。

    “设备限制”中“设备配置文件分配”窗格的屏幕截图。

  5. 在接下来出现的“ 审阅 + 创建 ”页中,查看所有信息,然后选择“ 创建”。 设备配置文件现在已分配给所选用户组。

    设备配置文件的“查看 + 创建”预配

检查状态并完成载入

  1. 通过点击“设备安装状态”,确认 Android 上Microsoft Defender for Endpoint的安装状态。 验证设备是否在此处显示。

    设备安装状态窗格

  2. 在设备上,可以通过转到工作配置文件来验证载入状态。 确认 Defender for Endpoint 可用,并且你已使用 具有工作配置文件的个人拥有设备进行注册。 如果使用 公司拥有的完全托管用户设备进行注册,则设备上有一个配置文件,可在其中确认 Defender for Endpoint 可用。

    应用程序显示窗格

  3. 安装应用后,打开应用,然后接受权限。 载入应成功完成。

    在移动设备上显示Microsoft Defender for Endpoint应用程序

  4. Microsoft Defender门户中验证载入状态。 导航到 “设备清单 ”页。

    Microsoft Defender for Endpoint门户

配置低接触载入

备注

Android 低接触载入现已正式推出。

管理员可以在低接触载入模式下配置Microsoft Defender for Endpoint。 在此方案中,管理员创建一个部署配置文件,并且用户需要提供一组减少的权限才能完成载入。 默认情况下,Android 低接触载入处于禁用状态。 管理员可以按照以下步骤通过Intune上的应用配置策略来启用它:

  1. 按照本文) 在 Android 上添加Microsoft Defender for Endpoint作为托管 Google Play 应用 (部分中的步骤,将Microsoft Defender应用推送到目标用户组。

  2. 按照本文“ 自动设置始终启用 VPN () ”部分中的说明,将 VPN 配置文件推送到用户的设备。

  3. “应用>”“应用程序配置策略”中,选择“ 托管设备”。

  4. 提供用于唯一标识策略的名称。

    • 对于“平台”,请选择 。Android Enterprise
    • 选择所需的配置文件类型。
    • 对于目标应用,请选择 Microsoft Defender: Antivirus

    然后选择“下一步”。

  5. 添加运行时权限。 选择“位置访问 (精细) POST_NOTIFICATIONS并将”权限“状态更改为 Auto grant。 (Android 13 及更高版本不支持此权限。)

  6. “配置设置”下,选择 , Use Configuration designer然后选择“ 添加”。

  7. 选择“ 低触摸载入”和“用户 UPN”。 对于“用户 UPN”,将值类型更改为 Variable,并将配置值设置为 User Principal Name。 通过将低接触载入的配置值更改为 1来启用低接触载入。

    创建策略后,这些值类型显示为字符串值。

  8. 将策略分配给目标用户组。

  9. 查看并创建策略。

在 BYOD 模式下在 Android Enterprise 上的个人配置文件中设置Microsoft Defender

在个人资料中设置Microsoft Defender

管理员可以通过执行以下步骤,使用 Microsoft Intune 管理中心在个人配置文件中设置和配置Microsoft Defender支持:

  1. 转到 “应用”>“应用配置策略”,然后选择“ 添加”。 选择“ 托管设备”。

    • 指定名称和说明以唯一标识配置策略。
    • 对于 “平台”,请选择“平台”作为 Android Enterprise
    • 对于“配置文件类型”,请选择“仅限个人拥有的工作配置文件
    • 对于“目标应用”,请选择“Microsoft Defender”。
  2. 在“设置”页上的“ 配置设置格式”中,选择“ 使用配置设计器”,然后选择“ 添加”。 从显示的配置列表中,选择“个人配置文件”中的“Microsoft Defender”。

  3. 将列出所选配置。 将配置值更改为 1 以启用Microsoft Defender支持个人配置文件。 此时会显示通知以通知管理员。 选择 下一步

  4. 将配置策略分配给一组用户。 查看并创建策略。

管理员还可以在Microsoft Intune管理中心设置隐私控制,以控制Microsoft Defender应用发送到Microsoft Defender门户的数据。 有关详细信息,请参阅 配置隐私控件

组织可以在其已注册的 BYOD 设备上使用 Microsoft Defender 应用,与用户通信以保护其个人资料。 必须使用其工作配置文件安装并激活Microsoft Defender应用,才能在个人配置文件中启用Microsoft Defender。

完成设备载入

  1. 使用个人 Google Play 应用商店帐户在个人配置文件中安装 Microsoft Defender 应用程序。

  2. 在个人配置文件上安装公司门户应用程序。 无需登录。

  3. 当用户启动应用程序时,他们会看到登录屏幕。 仅使用公司帐户登录

  4. 成功登录后,用户会看到以下屏幕:

    • EULA 屏幕:仅当用户未在其工作配置文件中同意时才显示。
    • 通知屏幕:用户必须在此屏幕上提供同意才能继续加入应用程序。 这仅在首次运行应用期间是必需的。
  5. 提供完成载入所需的权限。

    备注

    先决条件

    1. 需要在个人个人资料上启用公司门户。
    2. Microsoft Defender需要在工作配置文件中已安装并处于活动状态。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区