Konfigurieren des Microsoft Defender for Endpoint Webschutzes auf Android-Geräten, die von Intune verwaltet werden

  • Artikel

Wenn Sie Microsoft Defender for Endpoint in Microsoft Intune integrieren, können Sie mithilfe von Gerätekonfigurationsprofilen einige Defender für Endpunkt-Einstellungen auf Android-Geräten ändern.

Standardmäßig enthält und aktiviert Microsoft Defender for Endpoint für Android das Webschutzfeature, mit dem Geräte vor Webbedrohungen geschützt und Benutzer vor Phishingangriffen geschützt werden können.

Obwohl der Webschutz standardmäßig aktiviert ist, es gibt verschiedene Gründe, aus denen er auf manchen Android-Geräten deaktiviert werden sollte. Sie könnten sich beispielsweise dazu entscheiden, nur das Microsoft Defender für Endpunkt-Feature zum Scannen von Apps zu verwenden oder den Webschutz daran zu hindern, Ihr VPN bei der Suche nach schädlichen URLs zu verwenden.

Mit der Intune-Gerätekonfigurationsrichtlinie können Sie das Webschutzfeature ganz oder teilweise deaktivieren. Die Methode, die Sie verwenden, und die Funktionen, die Sie deaktivieren, hängen davon ab, wie das Android-Gerät für Intune registriert wurde:

  • Android-Geräteadministrator: Verwenden Sie ein Konfigurationsprofil, um benutzerdefinierte OMA-URI-Einstellungen auf dem Gerät festzulegen, die das gesamte Webschutz-Feature oder nur die Verwendung von VPNs deaktivieren. Allgemeine Informationen zu benutzerdefinierten Einstellungen auf Android-Geräten finden Sie unter Benutzerdefinierter Einstellungen.

  • Persönliches Android Enterprise-Arbeitsprofil: Verwenden Sie ein App-Konfigurationsprofil und den Konfigurations-Designer, um das Feature „Webschutz“ zu deaktivieren. Diese Methode und dieser Registrierungstyp unterstützen das Deaktivieren aller Funktionen des Webschutz-Features, jedoch nicht das ausschließliche Deaktivieren von VPNs. Allgemeine Informationen zu App-Konfigurationsrichtlinien finden Sie unter Verwenden des Konfigurations-Designers.

  • Vollständig verwaltetes Android Enterprise-Profil: Verwenden Sie ein App-Konfigurationsprofil und den Konfigurations-Designer , um das gesamte Webschutzfeature zu deaktivieren oder nur die Verwendung von VPNs zu deaktivieren.

Zum Konfigurieren des Webschutz-Features auf Geräten verwenden Sie das folgende Vorgehen, um die entsprechende Konfiguration zu erstellen und bereitzustellen.

Deaktivieren des Features „Webschutz“ für Android-Geräteadministratoren

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Gerätekonfiguration>> auf der Registerkarte Richtlinien die Option + Erstellen aus.

  3. Geben Sie die folgenden Einstellungen ein:

    • Platform: Wählen Sie Android-Geräteadministratoraus.
    • Profil: Wählen Sie benutzerdefiniert aus.

    Wählen Sie Erstellen aus.

  4. Machen Sie unter Basiseinstellungen die folgenden Angaben:

    • Name: Geben Sie einen beschreibenden Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Beispiel: Benutzerdefiniertes Android-Profil für Defender für Endpunkt-Webschutz.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  5. Wählen Sie unter Konfigurationseinstellungen die Option Hinzufügen aus.

    Geben Sie die Einstellungen für die Konfiguration an, die Sie bereitstellen möchten:

    • Deaktivieren Webschutzes:

      • Name: Geben Sie einen eindeutigen Namen für diese OMA-URI-Einstellung ein, damit Sie sie leicht wiederfinden können. Wählen Sie beispielsweise einen Namen wie Webschutz in Defender für Endpunkt deaktivieren.
      • Beschreibung: Geben Sie optional eine Beschreibung ein, die einen Überblick über die Einstellung und andere wichtige Details bietet.
      • OMA-URI: Geben Sie ein. ./Vendor/MSFT/DefenderATP/AntiPhishing
      • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
      • Wert: Um den Webschutz zu deaktivieren, legen Sie Wert auf 0 fest. Um den Webschutz zu aktivieren, geben Sie 1 ein. Dies ist die Standardeinstellung.

    • Deaktivieren Sie nur die Verwendung von VPN durch Webschutz:

      • Name: Geben Sie einen eindeutigen Namen für diese OMA-URI-Einstellung ein, damit Sie sie leicht wiederfinden können. Wählen Sie beispielsweise einen Namen wie VPNs für den Webschutz in Microsoft Defender für Endpunkt deaktivieren.
      • Beschreibung: Geben Sie optional eine Beschreibung ein, die einen Überblick über die Einstellung und andere wichtige Details bietet.
      • OMA-URI: Geben Sie ein. ./Vendor/MSFT/DefenderATP/Vpn
      • Datentyp: Wählen Sie Ganze Zahl aus der Dropdownliste aus.
      • Wert: Um die VPN-basierte Überprüfung zu deaktivieren, legen Sie Wert auf 0 fest. Um die VPN-basierte Überprüfung zu aktivieren, geben Sie 1 ein. Dies ist die Standardeinstellung.

    Klicken Sie auf Hinzufügen, um die OMA-URI-Einstellungskonfiguration zu speichern, und klicken Sie dann zum Fortfahren auf Weiter.

  6. Geben Sie auf der Seite Zuweisungen die Gruppen an, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

  7. Wenn Sie fertig sind, klicken Sie unter Überprüfen und erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Deaktivieren des Webschutzes für persönliche Android Enterprise-Arbeitsprofile

Hinweis

Wenn Sie die Gerätekonfigurationsrichtlinie für die automatische Einrichtung eines Always On-VPN auf den registrierten Geräten konfiguriert haben, können Sie den Webschutz für das persönliche Android Enterprise-Arbeitsprofil nicht deaktivieren.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Apps>App-Konfigurationsrichtlinien>Hinzufügen, und klicken Sie dann auf Verwaltete Geräte.

  3. Machen Sie unter Basiseinstellungen die folgenden Angaben:

    • Name: Geben Sie einen beschreibenden Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Wählen Sie beispielsweise einen Namen wie Android-App-Konfiguration für das Feature „Webschutz“ in Microsoft Defender für Endpunkt aus.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
    • Plattform: Wählen Sie Android Enterprise aus.
    • Profiltyp: Wählen Sie Personally-Owned Work Profile Only (Nur persönliches Arbeitsprofil) aus.
    • Ziel-App: Klicken Sie auf App auswählen.

  4. Suchen Sie unter Zugeordnete App die Option Defender for Endpoint (Microsoft Defender für Endpunkt), und klicken Sie auf OK>Weiter.

  5. Klicken Sie unter Einstellungen unter Format der Konfigurationseinstellungen auf Konfigurations-Designer verwenden und dann auf Hinzufügen. Der JSON-Editor wird geöffnet.

  6. Suchen Sie die Konfigurationsschlüssel Anti-Phishing (Antiphishing) und VPN, und klicken Sie auf OK, um zur Seite Einstellungen zurückzukehren.

  7. Geben Sie für die Konfigurationswerte beider Konfigurationsschlüssel (Anti-Phishing und VPN) 0 ein, um den Webschutz zu deaktivieren.

    Hinweis

    Der Konfigurationsschlüssel Webschutz ist veraltet. Wenn Sie diesen Schlüssel in der Vergangenheit konfiguriert haben, führen Sie die vorherigen Schritte aus, um die Einstellung neu zu konfigurieren. Legen Sie dazu die Schlüssel Anti-Phishing und VPN fest, um den Webschutz zu aktivieren oder zu deaktivieren.

    Hinweis

    Geben Sie 1 für beide Konfigurationswerte (Anti-Phishing und VPN) ein, um den Webschutz zu aktivieren. Dies ist die Standardeinstellung.

    Wählen Sie Weiter aus, um fortzufahren.

  8. Geben Sie auf der Seite Zuweisungen die Gruppen an, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

  9. Wenn Sie fertig sind, klicken Sie unter Überprüfen und erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Deaktivieren des Webschutzes für das vollständig verwaltete Android Enterprise-Profil

  1. Führen Sie die gleichen Konfigurationsschritte aus, die zuvor beschrieben wurden, und fügen Sie Webschutz-Konfigurationsschlüssel Antiphishing und VPN hinzu. Der einzige Unterschied ist der Wert unter Profiltyp. Wählen Sie für diesen Wert Vollständig verwaltet, Dediziert und Corporate-Owned Nur Arbeitsprofil aus.

    • Geben Sie für die Konfigurationswerte Anti-Phishing und VPN die Zahl 0 ein, um den Webschutz zu deaktivieren.
    • Wenn Sie lediglich die Verwendung von VPNs für den Webschutz deaktivieren möchten, geben Sie folgende Konfigurationswerte ein:
      • 0 für VPN
      • 1 für Anti-Phishing

    Hinweis

    Sie können vpn für das vollständig verwaltete Android Enterprise-Profil nicht deaktivieren, wenn Sie die Automatische Einrichtung der Always-On-VPN-Gerätekonfigurationsrichtlinie auf den registrierten Geräten konfiguriert haben.

    Hinweis

    Geben Sie 1 für beide Konfigurationswerte (Anti-Phishing und VPN) ein, um den Webschutz zu aktivieren. Dies ist die Standardeinstellung.

    Wählen Sie Weiter aus, um fortzufahren.

  2. Geben Sie auf der Seite Zuweisungen die Gruppen an, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

  3. Wenn Sie fertig sind, klicken Sie unter Überprüfen und erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Nächste Schritte