培训
认证
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用新式管理、共同管理方法和 Microsoft Intune 集成的基本元素规划和执行终结点部署策略。
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
了解如何在已注册Microsoft Intune 公司门户设备上在 Android 上部署 Defender for Endpoint。 有关Microsoft Intune设备注册的详细信息,请参阅注册设备。
备注
Android 上的 Defender for Endpoint 现已在 Google Play 上提供
可以从 Microsoft Intune 连接到 Google Play,以跨设备管理员和 Android Enterprise 注册模式部署 Defender for Endpoint 应用。 汇报应用是通过 Google Play 自动完成的。
了解如何使用设备管理员注册设备的 Microsoft Intune 公司门户在 Android 上部署 Defender for Endpoint。
在 Microsoft Intune 管理中心 中,转到“应用>”“Android 应用”“>添加>Android 应用商店应用”。 然后选择 选择。
在 “添加应用 ”页上的“ 应用信息 ”部分中,指定以下详细信息:
https://play.google.com/store/apps/details?id=com.microsoft.scmx
Google Play Store 中 Defender for Endpoint 应用的 (URL) 其他字段是可选的。 然后选择“下一步”。
在 “作业” 部分中,转到“ 必需 ”部分,然后选择“ 添加组”。 然后,可以选择用户组 (或组) 接收 Android 上的 Defender for Endpoint 应用。 选择 “选择”,然后点击“ 下一步”。
所选用户组应包含Intune注册用户。
在 “查看+创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。
几分钟后,应创建 Defender for Endpoint 应用,并在屏幕右上角显示通知。
在显示的应用信息页的“ 监视 ”部分中,选择“ 设备安装状态 ”,验证设备安装是否已成功完成。
在设备上安装 Android 上的 Defender for Endpoint 后,应会看到应用图标。
点击Microsoft Defender for Endpoint应用图标,然后按照屏幕上的说明完成载入。 详细信息包括最终用户接受 Android 上的 Defender for Endpoint 所需的 Android 权限。
成功载入后,设备将显示在Microsoft Defender门户中的设备列表中。
Android 上的 Defender for Endpoint 支持 Android Enterprise 注册的设备。
有关 Microsoft Intune 支持的注册选项的详细信息,请参阅注册选项。
目前,Android Enterprise 支持具有工作配置文件的个人拥有设备、具有工作配置文件的公司自有设备和公司拥有的完全托管用户设备注册。
按照以下步骤将 Microsoft Defender for Endpoint 应用添加到托管的 Google Play 商店。
在 Microsoft Intune 管理中心 中,转到“应用>”“Android 应用>添加”,然后选择“托管的 Google Play 应用”。
在加载的托管 Google Play 页面上,转到搜索框并键入 Microsoft Defender
。 搜索应在托管 Google Play 商店中显示Microsoft Defender for Endpoint应用。 从搜索结果列表中选择Microsoft Defender for Endpoint应用。
在 “应用说明 ”页中,应能够看到有关 Defender for Endpoint 应用的应用详细信息。 查看页面上的信息,然后选择“ 批准”。
当系统提示你批准 Defender for Endpoint 获取的权限时,请查看信息,然后选择“ 批准”。
在 “审批设置 ”页上,查看处理 Android 上的 Defender for Endpoint 可能要求的新应用权限的首选项。 查看选项,然后选择首选选项。 然后,选择“ 完成”。
默认情况下,托管 Google Play 在 应用请求新权限时选择“保持批准”。
完成权限处理选择后,选择“同步”,将Microsoft Defender for Endpoint同步到应用列表。
同步在几分钟内完成。
在 Android 应用屏幕中选择 “刷新 ”按钮。 Microsoft Defender for Endpoint应在应用列表中可见。
Defender for Endpoint 支持使用 Microsoft Intune 的托管设备的应用配置策略。 此功能可用于为 Defender for Endpoint 选择不同的配置。
在 “应用” 页中,转到 “策略>”“应用配置策略>”“添加>托管设备”。
在 “创建应用配置策略 ”页中,指定以下详细信息:
选择“权限”>“添加”。 从列表中,选择可用的应用权限 >“确定”。
为使用此策略授予的每个权限选择一个选项:
转到 “配置设置” 部分,然后选择“ 使用配置设计器”。
选择“ 添加 ”以查看支持的配置列表。 选择所需的配置,然后选择“ 确定”。
应会看到列出的所有所选配置。 可以根据需要更改配置值,然后选择“ 下一步”。
在 “分配” 页中,选择此应用配置策略将分配到的用户组。 选择“ 选择要包含的组”,选择一个组,然后选择“ 下一步”。 此处选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。
在接下来出现的“ 审阅 + 创建 ”页中,查看所有信息,然后选择“ 创建”。
Defender for Endpoint 的应用配置策略现在已分配给所选用户组。
在“属性分配>编辑”>列表中选择>“Microsoft Defender应用”。
将应用作为所需应用分配给用户组。 在下次通过公司门户应用同步设备时,它会自动安装在工作配置文件中。 导航到“ 必需 ”部分,选择“ 添加组”,选择相应的用户组,然后选择 “选择”。
在 “编辑应用程序 ”页中,查看之前指定的所有信息。 选择“ 查看 + 保存”,然后选择“ 保存” 以开始分配。
Defender for Endpoint 支持具有Microsoft Intune的托管设备的设备配置策略。 此功能使你能够在 Android Enterprise 注册的设备上使用 Always-On VPN 的自动设置,因此最终用户无需在载入时设置 VPN 服务。
在 “设备”上,选择“ 配置文件>创建配置文件>平台>Android Enterprise”。 根据设备注册类型,选择以下其中一项下的“设备 限制 ”:
然后,选择“ 创建 ”。
配置设置。 提供 “名称” 和 “说明” 以唯一标识配置文件。
选择“ 连接”,然后配置 VPN。
启用 Always-On VPN。 在工作配置文件中设置 VPN 客户端,以便尽可能自动连接和重新连接到 VPN。 在给定设备上只能为一个 VPN 客户端配置始终启用 VPN,因此请确保在单个设备上部署的始终启用 VPN 策略不超过一个。
在 VPN 客户端 列表中,选择“ 自定义”。 在这种情况下,自定义 VPN 是 Defender for Endpoint VPN,它提供 Web 保护。
备注
必须在用户的设备上安装Microsoft Defender for Endpoint应用,才能进行自动 VPN 设置。
指定 Google Play 商店中Microsoft Defender for Endpoint应用的包 ID。 对于Microsoft Defender应用 URL,包 ID 为 com.microsoft.scmx
。
将 “锁定模式 ”设置为 “未配置” (“默认) ”。
工作分配。 在 “分配” 页上,选择此应用配置策略将分配到的用户组。 选择 “选择要 包含的组”,选择适用的组,然后选择“ 下一步”。
要选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。
在接下来出现的“ 审阅 + 创建 ”页中,查看所有信息,然后选择“ 创建”。 设备配置文件现在已分配给所选用户组。
通过点击“设备安装状态”,确认 Android 上Microsoft Defender for Endpoint的安装状态。 验证设备是否在此处显示。
在设备上,可以通过转到工作配置文件来验证载入状态。 确认 Defender for Endpoint 可用,并且你已使用 具有工作配置文件的个人拥有设备进行注册。 如果使用 公司拥有的完全托管用户设备进行注册,则设备上有一个配置文件,可在其中确认 Defender for Endpoint 可用。
安装应用后,打开应用,然后接受权限。 载入应成功完成。
在Microsoft Defender门户中验证载入状态。 导航到 “设备清单 ”页。
备注
Android 低接触载入现已正式推出。
管理员可以在低接触载入模式下配置Microsoft Defender for Endpoint。 在此方案中,管理员创建一个部署配置文件,并且用户需要提供一组减少的权限才能完成载入。 默认情况下,Android 低接触载入处于禁用状态。 管理员可以按照以下步骤通过Intune上的应用配置策略来启用它:
按照本文) 在 Android 上添加Microsoft Defender for Endpoint作为托管 Google Play 应用 (部分中的步骤,将Microsoft Defender应用推送到目标用户组。
按照本文“ 自动设置始终启用 VPN () ”部分中的说明,将 VPN 配置文件推送到用户的设备。
在 “应用>”“应用程序配置策略”中,选择“ 托管设备”。
提供用于唯一标识策略的名称。
Android Enterprise
Microsoft Defender: Antivirus
。然后选择“下一步”。
添加运行时权限。
选择“位置访问 (精细) ,POST_NOTIFICATIONS并将”权限“状态更改为 Auto grant
。 (Android 13 及更高版本不支持此权限。)
在 “配置设置”下,选择 , Use Configuration designer
然后选择“ 添加”。
选择“ 低触摸载入”和“用户 UPN”。 对于“用户 UPN”,将值类型更改为 Variable
,并将配置值设置为 User Principal Name
。 通过将低接触载入的配置值更改为 1
来启用低接触载入。
创建策略后,这些值类型显示为字符串值。
将策略分配给目标用户组。
查看并创建策略。
管理员可以通过执行以下步骤,使用 Microsoft Intune 管理中心在个人配置文件中设置和配置Microsoft Defender支持:
转到 “应用”>“应用配置策略”,然后选择“ 添加”。 选择“ 托管设备”。
在“设置”页上的“ 配置设置格式”中,选择“ 使用配置设计器”,然后选择“ 添加”。 从显示的配置列表中,选择“个人配置文件”中的“Microsoft Defender”。
将列出所选配置。 将配置值更改为 1
以启用Microsoft Defender支持个人配置文件。 此时会显示通知以通知管理员。 选择 下一步。
将配置策略分配给一组用户。 查看并创建策略。
管理员还可以在Microsoft Intune管理中心设置隐私控制,以控制Microsoft Defender应用发送到Microsoft Defender门户的数据。 有关详细信息,请参阅 配置隐私控件。
组织可以在其已注册的 BYOD 设备上使用 Microsoft Defender 应用,与用户通信以保护其个人资料。 必须使用其工作配置文件安装并激活Microsoft Defender应用,才能在个人配置文件中启用Microsoft Defender。
使用个人 Google Play 应用商店帐户在个人配置文件中安装 Microsoft Defender 应用程序。
在个人配置文件上安装公司门户应用程序。 无需登录。
当用户启动应用程序时,他们会看到登录屏幕。 仅使用公司帐户登录。
成功登录后,用户会看到以下屏幕:
提供完成载入所需的权限。
备注
先决条件:
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。
培训
认证
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用新式管理、共同管理方法和 Microsoft Intune 集成的基本元素规划和执行终结点部署策略。