在 Intune 管理的 Android 设备上配置 Microsoft Defender for Endpoint

集成 Microsoft Intune 和 Microsoft Defender for Endpoint 时,可以使用设备配置文件来修改 Android 设备上 Defender for Endpoint 的某些设置。

在开始之前,必须成功地在 Intune 中配置 Microsoft Defender for Endpoint,并将 Android 设备载入 Defender for Endpoint。

在运行 Android 的设备上配置 Web 保护

默认情况下,适用于 Android 的 Microsoft Defender for Endpoint 包含并启用了 Web 保护功能。 Web 保护有助于保护设备免受 Web 威胁,并保护用户免受钓鱼网站攻击。

虽然默认情况下已启用此保护,但在某些 Android 设备上有正当的理由禁用此保护。 例如,你可以决定仅使用 Defender for Endpoint 应用扫描功能,或在 Web 保护扫描到有害 URL 时阻止使用 VPN。

通过 Intune 可以禁用全部或部分 Web 保护功能。 你使用的方法和可禁用的功能取决于 Android 设备向 Intune 注册的方式:

  • Android 设备管理员。 使用配置文件在设备上设置自定义 OMA-URI 设置以禁用整个 Web 保护功能或仅禁用对 VPN 的使用。 有关 Android 设备自定义设置的常规信息,请参阅自定义设置

  • Android Enterprise 个人拥有的工作配置文件。 使用应用配置文件和配置设计器禁用 Web 保护。 此方法和注册类型支持禁用所有 Web 保护功能,但不支持仅禁用对 VPN 的使用。 有关应用配置策略的常规信息,请参阅使用配置设计器

  • Android Enterprise 完全托管配置文件。 使用应用配置文件和 配置设计器 设置以禁用整个 Web 保护功能或仅禁用对 VPN 的使用。

若要在设备上配置 Web 保护,请使用以下过程创建和部署适用的配置。

禁用 Android 设备管理员的 Web 保护

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“设备” > “配置文件” > “创建配置文件”。

  3. 输入以下设置:

    • 平台:选择“Android 设备管理员”。
    • 配置文件:选择“自定义”。

    选择“创建”。

  4. 在“基本”中,输入以下详细信息:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,适用于 Defender for Endpoint Web 保护的 Android 自定义配置文件。
    • 描述:输入配置文件的说明。 此设置是可选的,但建议设置。
  5. 在“配置设置”中,选择“添加” 。

    指定要部署的配置的设置:

    • 禁用 Web 保护

      • 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Defender for Endpoint Web 保护。
      • 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
      • OMA-URI:输入“./Vendor/MSFT/DefenderATP/AntiPhishing”。
      • 数据类型:从下拉列表选择“整数”。
      • :输入“0”以禁用 Web 保护,包括基于 VPN 的扫描。

        备注

        输入“1”以启用 Web 保护。 此设置为默认设置。

    • 通过 Web 保护仅禁用对 VPN 的使用:

      • 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Microsoft Defender for Endpoint Web 保护 VPN。
      • 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
      • OMA-URI:输入“./Vendor/MSFT/DefenderATP/Vpn”。
      • 数据类型:从下拉列表选择“整数”。
      • :输入“0”以禁用基于 VPN 的扫描。

        备注

        输入“1”以启用 Web 保护。 此设置为默认设置。

    选择“添加”保存 OMA-URI 设置配置,然后选择“下一步”继续 。

  6. 在“分配”中,指定将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  7. 完成后,在“查看 + 创建”中,选择“创建” 。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

禁用 Android Enterprise 个人拥有的工作配置文件的 Web 保护

备注

如果在已注册的设备上配置了自动设置 Always-On VPN 设备配置策略,则无法禁用适用于 Android Enterprise 个人拥有的工作配置文件的 Web 保护。

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“应用” > “应用配置策略” > “添加”,然后选择“受管理设备” 。

  3. 在“基本”中,输入以下详细信息:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,适用于 Microsoft Defender for Endpoint Web 保护的 Android 应用配置。
    • 描述:输入配置文件的说明。 此设置是可选的,但建议设置。
    • 平台:选择“Android Enterprise”。
    • 配置文件类型:选择“仅限个人拥有的工作配置文件”。
    • 目标应用:单击“选择应用”。
  4. 在“关联应用”中,找到并选择“Defender for Endpoint”,然后选择“确定” > “下一步” 。

  5. 在“设置”的“配置设置格式”中,选择“使用配置设计器”,然后选择“添加” 。 此时会打开 JSON 编辑器。

  6. 找到并选择配置密钥“反钓鱼”和“VPN”,然后选择“确定”以返回到“设置”页面 。

  7. 对于这两个配置密钥(“反钓鱼”和“VPN”)的“配置值”,输入“0”以禁用 Web 保护 ****  ****  。

    备注

    已弃用“Web 保护”配置密钥。 如果以前使用过此密钥,请按照前面的步骤重新配置此设置,方法是设置密钥“反钓鱼”和“VPN”以启用或禁用 Web 保护 。

    备注

    为配置值(“反钓鱼”和“VPN”)输入“1”以启用 Web 保护 **** 。 此设置为默认设置。

    选择“下一步”继续。

  8. 在“分配”中,指定将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  9. 完成后,在“查看 + 创建”中,选择“创建” 。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

禁用 Android Enterprise 完全托管配置文件的 Web 保护

  1. 完成前面所述相同的配置步骤,并添加 Web 保护配置密钥“反钓鱼”和“VPN” 。 唯一的区别是“配置文件类型”值。 对于此值,请选择“仅限公司拥有的完全托管式专用工作配置文件” **** 。

    • 若要禁用 Web 保护,请为配置值“反钓鱼”和“VPN”输入“0” 。
    • 若要通过 Web 保护仅禁用对 VPN 的使用,请输入以下配置值:
      • 为“VPN”输入“0”
      • 为“反钓鱼”输入“1”

    备注

    如果在已注册的设备上配置了“自动设置 Always-On VPN 设备配置策略”,则无法禁用适用于 Android Enterprise 完全托管配置文件的 VPN。

    备注

    为配置值(“反钓鱼”和“VPN”)输入“1”以启用 Web 保护 **** 。 此设置为默认设置。

    选择“下一步” ****  以继续。

  2. 在“分配”中,指定将接收此配置文件的组 **** 。 有关如何分配配置文件的详细信息,请参阅 分配用户和设备配置文件

  3. 完成后,在“查看 + 创建”中,选择“创建” **** 。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

后续步骤