分享方式:

在 Intune 管理的 Android 裝置上設定 適用於端點的 Microsoft Defender Web 保護

  • 文章

在整合 適用於端點的 Microsoft Defender 與 Microsoft Intune 時,您可以使用裝置組態配置檔來修改 Android 裝置上的某些適用於端點的 Defender 設定。

根據預設,Android 適用於端點的 Microsoft Defender 會包含並啟用 Web 保護功能,以協助保護裝置免於遭受 Web 威脅,並保護使用者免於遭受網路釣魚攻擊。

雖然預設會啟用此保護,但有有效的理由可在某些 Android 裝置上停用它。 例如,您可能決定只使用適用於端點的 Defender 應用程式掃描功能,或防止 Web 保護在掃描有害 URL 時使用您的 VPN。

透過 Intune 裝置設定原則,您可以關閉所有或部分 Web 保護功能。 您使用的方法和您可以停用的功能,取決於如何向 Intune 註冊 Android 裝置:

  • Android 裝置系統管理員。 使用組態配置檔,在停用整個 Web 保護功能或只停用 VPN 的裝置上設定自定義 OMA-URI 設定。 如需 Android 裝置自訂設定的一般資訊,請參閱 自定義設定

  • Android Enterprise 個人擁有的工作配置檔。 使用應用程式組態配置檔和設定設計工具來停用 Web 保護。 此方法和註冊類型支援停用所有 Web 保護功能,但不支援只停用 VPN。 如需應用程式設定原則的一般資訊,請 參閱使用設定設計工具

  • Android Enterprise 完全受控配置檔。 使用應用程式組態配置檔和 設定設計工具 停用整個 Web 保護功能,或只停用 VPN 的使用。

若要在裝置上設定 Web 保護,請使用下列程式來建立和部署適用的組態。

停用 Android 裝置系統管理員的 Web 保護

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援

  1. 登入 Microsoft Intune 系統管理中心

  2. 在 [原則] 索引>標籤上選取 [裝置>設定],選取 [+ 建立]

  3. 輸入下列設定:

    • 平台:選取 [Android 裝置系統管理員]
    • 配置檔:選取 [自定義]

    選取 [建立]

  4. [基本概念] 中,輸入下列詳細數據:

    • 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如, 適用於端點的 Defender Web 保護的 Android 自定義配置檔
    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。

  5. 在 [ 組態設定] 中,選取 [ 新增]

    指定您要部署之組態的設定:

    • 停用 Web 保護

      • 名稱:輸入此 OMA-URI 設定的唯一名稱,讓您可以輕鬆找到它。 例如, 停用適用於端點的Defender Web保護
      • 描述: (選擇性) 輸入描述,提供設定的概觀和任何其他重要詳細數據。
      • OMA-URI:輸入 ./Vendor/MSFT/DefenderATP/AntiPhishing
      • 數據類型:在下拉式清單中選取 [ 數]。
      • :若要停用 Web 保護,請將 [值 ] 設定為 0。 若要啟用 Web 保護,請輸入 1,這是預設值。

    • 僅停用 Web 保護的 VPN 使用

      • 名稱:輸入此 OMA-URI 設定的唯一名稱,讓您可以輕鬆找到它。 例如,停用 適用於端點的 Microsoft Defender Web 保護 VPN
      • 描述: (選擇性) 輸入描述,提供設定的概觀和任何其他重要詳細數據。
      • OMA-URI:輸入 ./Vendor/MSFT/DefenderATP/Vpn
      • 數據類型:在下拉式清單中選取 [ 數]。
      • :若要停用 VPN 型掃描,請將 [值 ] 設定為 0。 若要啟用 VPN 型掃描,請輸入 1,這是預設值。

    取 [新增 ] 以儲存 OMA-URI 設定組態,然後選取 [ 下一步 ] 繼續。

  6. 在 [ 指派] 中,指定將接收配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

  7. 在 [ 檢閱 + 建立] 中,當您完成時,選取 [ 建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

停用 Android Enterprise 個人擁有工作配置檔的 Web 保護

注意事項

如果您已在已註冊的 裝置上設定 Always-on VPN 裝置 設定原則,則無法停用 Android Enterprise 個人擁有工作配置檔的 Web 保護。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [應用程式>應用程式設定原則>][新增],然後選取 [ 受管理的裝置]

  3. [基本概念] 中,輸入下列詳細數據:

    • 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,適用於 適用於端點的 Microsoft Defender Web 保護的 Android 應用程式組態。
    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。
    • 平台:選取 [Android Enterprise]
    • 配置檔類型:選取 [ 僅限個人擁有的工作配置檔]
    • 目標應用程式:按兩下 [選取應用程式]

  4. [相關聯的應用程式] 中,尋找並選 取 [適用於端點的Defender],然後選取 [ 確定>下一步]

  5. 在 [ 設定] 中,以 [ 組態設定格式] 選取 [ 使用組態設計工具],然後選取 [ 新增]。 JSON 編輯器隨即開啟。

  6. 尋找並選取設定金鑰 反網路釣魚VPN,然後選取 [ 確定 ] 傳回 [ 設定] 頁面。

  7. 針對反網路釣魚和 VPN) (組態金鑰的組態,輸入 0 以停用 Web 保護。

    注意事項

    Web 保護組態金鑰已被取代。 如果您過去曾使用過此密鑰,請完成先前的步驟,藉由設定 [ 防網路 釣魚] 和 [VPN ] 密鑰來啟用或停用 Web 保護,以重新設定設定。

    注意事項

    針對反網路釣魚和 VPN) (組態值輸入 1,以啟用 Web 保護。 此設定為預設值。

    選取 [下一步] 繼續。

  8. 在 [ 指派] 中,指定將接收配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

  9. 在 [ 檢閱 + 建立] 中,當您完成時,選取 [ 建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

停用 Android Enterprise 完全受控配置檔的 Web 保護

  1. 完成 先前所述的相同設定步驟,並新增 Web 保護組態密鑰 防網路釣魚VPN。 唯一的差異是 配置檔類型 值。 針對此值,選取 [ 完全受控]、[專用],Corporate-Owned [僅限工作配置檔]

    • 若要停用 Web 保護,請針對設定值反網路釣魚VPN 輸入 0
    • 若只要停用 Web 保護的 VPN 使用,請輸入下列組態值:
      • 0 表示 VPN
      • 1 用於 防網路釣魚

    注意事項

    如果您已在已註冊的裝置上設定 Always-on VPN 裝置設定原則,則無法停用 Android Enterprise 完全受控配置檔的 VPN。

    注意事項

    針對反網路釣魚和 VPN) (組態值輸入 1,以啟用 Web 保護。 此設定為預設值。

    選取 [下一步] 繼續。

  2. 在 [ 指派] 中,指定將接收配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

  3. 在 [ 檢閱 + 建立] 中,當您完成時,選取 [ 建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

後續步驟