使用 Microsoft Intune 在 Android 上部署 Microsoft Defender for Endpoint
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
了解如何在已注册Microsoft Intune 公司门户设备上在 Android 上部署 Defender for Endpoint。 有关Microsoft Intune设备注册的详细信息,请参阅注册设备。
注意
Android 上的 Defender for Endpoint 现已在 Google Play 上提供
可以从 Microsoft Intune 连接到 Google Play,以跨设备管理员和 Android Enterprise 注册模式部署 Defender for Endpoint 应用。
汇报应用是通过 Google Play 自动完成的。
在设备管理员注册的设备上部署
了解如何使用 Microsoft Intune 公司门户 - 设备管理员注册的设备在 Android 上部署 Defender for Endpoint。
添加为 Android 应用商店应用
在 Microsoft Intune 管理中心 中,转到“应用>”“Android 应用”“>添加 >Android 应用商店应用”,然后选择“选择”。
在 “添加应用 ”页上,在“ 应用信息 ”部分输入:
- 名称
- 说明
- 发布者 作为 Microsoft。
- 应用商店 URL 作为 https://play.google.com/store/apps/details?id=com.microsoft.scmx (Defender for Endpoint 应用 Google Play Store URL)
其他字段是可选的。 选择“下一步”。
在 “作业” 部分中,转到“ 必需 ”部分,然后选择“ 添加组”。 然后,可以选择要面向 Android 应用上的 Defender for Endpoint 的用户组 () 。 选择 “选择” ,然后选择 “下一步”。
注意
所选用户组应包含Intune注册用户。
在“审阅+Create”部分中,验证输入的所有信息是否正确,然后选择“Create”。
几分钟后,Defender for Endpoint 应用将成功创建,并且页面右上角会显示一条通知。
在显示的应用信息页的 “监视 ”部分中,选择“ 设备安装状态 ”,验证设备安装是否已成功完成。
完成载入和检查状态
在设备上安装 Android 版 Defender for Endpoint 后,你将看到应用图标。
点击Microsoft Defender for Endpoint应用图标,然后按照屏幕上的说明完成应用载入。 详细信息包括最终用户接受 Android 上的 Defender for Endpoint 所需的 Android 权限。
成功载入后,设备将开始显示在Microsoft Defender门户中的“设备”列表中。
在 Android Enterprise 注册设备上部署
Android 上的 Defender for Endpoint 支持 Android Enterprise 注册的设备。
有关 Microsoft Intune 支持的注册选项的详细信息,请参阅注册选项。
目前,支持具有工作配置文件和公司拥有的完全托管用户设备注册的个人拥有的设备进行部署。
在 Android 上添加Microsoft Defender for Endpoint作为托管 Google Play 应用
按照以下步骤将 Microsoft Defender for Endpoint 应用添加到托管的 Google Play 中。
在 Microsoft Intune 管理中心 中,转到“应用>”“Android 应用>添加”,然后选择“托管的 Google Play 应用”。
在随后加载的托管 Google Play 页面上,转到搜索框并输入
Microsoft Defender。 搜索应在托管 Google Play 中显示Microsoft Defender for Endpoint应用。 在“应用”搜索结果中单击“Microsoft Defender for Endpoint”应用。
在接下来出现的“应用说明”页中,应该能够在 Defender for Endpoint 上查看应用详细信息。 查看页面上的信息,然后选择“ 批准”。
你将获得 Defender for Endpoint 为其工作获取的权限。 查看它们,然后选择“ 批准”。
将显示“审批设置”页。 该页确认你倾向于处理 Android 版 Defender for Endpoint 可能要求的新应用权限。 查看选项并选择首选选项。 选择“完成”。
默认情况下,托管 Google Play 在 应用请求新权限时选择“保持批准”。
完成权限处理选择后,选择“同步”,将Microsoft Defender for Endpoint同步到应用列表。
同步将在几分钟内完成。
在 Android 应用屏幕中选择“刷新”按钮,Microsoft Defender for Endpoint应在应用列表中可见。
Defender for Endpoint 通过 Microsoft Intune 支持托管设备的应用配置策略。 可以利用此功能为 Defender 选择不同的配置。
在 “应用” 页中,转到 “策略 > ”“应用配置策略 > ”“添加 > 托管设备”。
在“Create应用配置策略”页中,输入以下详细信息:
- 名称:Microsoft Defender for Endpoint。
- 选择 “Android Enterprise ”作为平台。
- 选择 “仅限个人拥有的工作配置文件” 或 “完全托管、专用和公司拥有的工作配置文件” 作为“配置文件类型”。
- 依次单击“选择应用”、“Microsoft Defender”、“确定”和“下一步”。
选择“添加权限>”。 从列表中,选择可用的应用权限 >“确定”。
为每个要使用此策略授予的权限选择一个选项:
- 提示 - 提示用户接受或拒绝。
- 自动授予 - 在不通知用户的情况下自动批准。
- 自动拒绝 - 在不通知用户的情况下自动拒绝。
转到“配置设置”部分,然后在“配置设置”格式中选择“使用配置设计器”。
单击“ 添加 ”以查看支持的配置列表。 选择所需的配置,然后单击“ 确定”。
应会看到列出的所有所选配置。 可以根据需要更改配置值,然后选择“ 下一步”。
在 “分配” 页中,选择此应用配置策略将分配到的用户组。 单击“ 选择要包含的组 ”,然后选择适用的组,然后选择“ 下一步”。 此处选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。
在接下来出现的“审阅 + Create”页中,查看所有信息,然后选择“Create”。
Defender for Endpoint 的应用配置策略现在已分配给所选用户组。
在“属性分配>编辑”>列表中选择>“Microsoft Defender应用”。
将应用作为 必需 应用分配给用户组。 在下次通过 公司门户 应用同步设备时,它会自动安装在工作配置文件中。 可以通过导航到 “必需 ”部分 >“添加组”, 选择用户组并单击“ 选择”来完成此分配。
在 “编辑应用程序 ”页中,查看上面输入的所有信息。 然后选择“ 查看 + 保存 ”,然后再次 选择“保存” 以开始分配。
Always-On VPN 的自动设置
Defender for Endpoint 通过 Microsoft Intune 支持托管设备的设备配置策略。 此功能可用于在 Android Enterprise 注册设备上 自动设置 Always-on VPN ,因此最终用户无需在载入时设置 VPN 服务。
在“设备”上,选择“配置文件”>Create“配置文件>平台>”“Android Enterprise”
根据设备注册类型,选择以下其中一项下的“设备 限制 ”:
- 完全托管、专用和 Corporate-Owned 工作配置文件
- 个人拥有的工作配置文件
选择“创建”。
配置设置 提供 “名称” 和 “说明” 以唯一标识配置文件。
选择“ 连接” 并配置 VPN:
启用 Always-On VPN
在工作配置文件中设置 VPN 客户端,以便尽可能自动连接和重新连接到 VPN。 在给定设备上只能为一个 VPN 客户端配置始终启用 VPN,因此请确保在单个设备上部署的始终启用 VPN 策略不超过一个。
在 VPN 客户端下拉列表中选择 “自定义 ”
在这种情况下,自定义 VPN 是用于提供 Web 保护功能的 Defender for Endpoint VPN。
注意
Microsoft Defender for Endpoint应用必须安装在用户的设备上,才能运行此 VPN 的自动设置。
在 Google Play 商店中输入 Microsoft Defender for Endpoint 应用的程序包 ID。 对于 Defender 应用 URL https://play.google.com/store/apps/details?id=com.microsoft.scmx,包 ID 为 com.microsoft.scmx
锁定模式 未配置 (默认)
Assignment
在 “分配” 页中,选择此应用配置策略将分配到的用户组。 选择 “选择要 包含的组”,然后选择适用的组,然后选择“ 下一步”。 此处选择的组通常是将Microsoft Defender for Endpoint Android 应用分配到的同一组。
在接下来出现的“审阅 + Create”页中,查看所有信息,然后选择“Create”。 设备配置文件现在已分配给所选用户组。
检查状态并完成载入
单击“设备安装状态”,确认 Android 上Microsoft Defender for Endpoint的安装状态。 验证设备是否在此处显示。
在设备上,可以通过转到 工作配置文件来验证载入状态。 确认 Defender for Endpoint 可用,并且你已注册具有 工作配置文件的个人拥有的设备。 如果注册到 公司拥有的完全托管用户设备,你将在设备上拥有一个配置文件,可在其中确认 Defender for Endpoint 可用。
安装应用后,打开应用并接受权限,然后载入应成功。
在此阶段,设备已成功载入 Android 上的 Defender for Endpoint。 可以通过导航到“设备清单”页,在Microsoft Defender门户上对此进行验证。
在 BYOD 模式下在 Android Enterprise 上的个人配置文件中设置Microsoft Defender
在个人资料中设置Microsoft Defender
管理员可以转到 Microsoft Endpoint Management 管理中心,通过执行以下步骤在个人配置文件中设置和配置Microsoft Defender支持:
转到 “应用”> “应用配置策略 ”,然后单击“ 添加”。 选择“ 托管设备”。
输入 “名称” 和 “说明” 以唯一标识配置策略。 选择平台为“Android Enterprise”,将配置文件类型设置为“仅限个人拥有的工作配置文件”,将目标应用设置为“Microsoft Defender”。
在“设置”页上的 “配置设置格式”中,选择 “使用配置设计器” ,然后单击“ 添加”。 从显示的配置列表中,选择“个人配置文件中的Microsoft Defender”。
将列出所选配置。 将配置值更改为 1 以启用Microsoft Defender支持个人配置文件。 将显示一条通知,通知管理员相同。 单击“ 下一步”。
将配置策略分配给一组用户。 查看并创建 策略。
管理员还可以从Microsoft Intune管理中心设置隐私控制,以控制 Defender 移动客户端可以发送到安全门户的数据。 有关详细信息,请参阅 配置隐私控件。
组织可以与其用户通信,以在其已注册的 BYOD 设备上使用Microsoft Defender保护个人资料。
- 先决条件:Microsoft Defender必须已安装并在工作配置文件中处于活动状态,才能在个人配置文件中启用Microsoft Defender。
完成设备载入
- 使用个人 Google Play 应用商店帐户在个人配置文件中安装 Microsoft Defender 应用程序。
- 在个人配置文件上安装公司门户应用程序。 无需登录。
- 当用户启动应用程序时,他们会看到登录屏幕。 仅使用公司帐户登录。
- 成功登录后,用户将看到以下屏幕:
- EULA 屏幕:仅当用户未在工作配置文件中同意时才显示。
- 通知屏幕:用户需要在此屏幕上提供同意才能继续加入应用程序。 这仅在首次运行应用期间是必需的。
- 提供完成载入所需的权限。
注意
先决条件:
- 需要在个人个人资料上启用公司门户。
- Microsoft Defender需要在工作配置文件中已安装并处于活动状态。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈