Udostępnij za pośrednictwem

Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Dowiedz się, jak wdrożyć usługę Defender for Endpoint w systemie Android na Microsoft Intune Portal firmy zarejestrowanych urządzeniach. Aby uzyskać więcej informacji na temat rejestracji urządzeń Microsoft Intune, zobacz Rejestrowanie urządzenia.

Uwaga

Usługa Defender for Endpoint w systemie Android jest teraz dostępna w sklepie Google Play

Możesz nawiązać połączenie z sklepem Google Play z Microsoft Intune, aby wdrożyć aplikację Defender for Endpoint w trybach rejestracji administratora urządzenia i systemu Android Enterprise. Aktualizacje do aplikacji są automatyczne za pośrednictwem Sklepu Google Play.

Wdrażanie na urządzeniach zarejestrowanych przez administratora urządzeń

Dowiedz się, jak wdrożyć usługę Defender for Endpoint w systemie Android przy użyciu Microsoft Intune Portal firmy dla urządzeń zarejestrowanych przez administratora urządzeń.

Dodaj jako aplikację ze sklepu dla systemu Android

  1. W centrum administracyjnym Microsoft Intune przejdź do obszaru Aplikacjedla systemu Android Aplikacje>>Dodaj>aplikację ze sklepu dla systemu Android. Następnie wybierz pozycję Wybierz.

    Okienko Dodawanie aplikacji ze sklepu dla systemu Android w portalu centrum administracyjnego Microsoft Intune

  2. Na stronie Dodawanie aplikacji w sekcji Informacje o aplikacji określ następujące szczegóły:

    • Nazwa
    • Opis
    • Wydawca jako Microsoft.
    • Adres URL sklepu z aplikacjami jako https://play.google.com/store/apps/details?id=com.microsoft.scmx (adres URL aplikacji Defender for Endpoint w sklepie Google Play)

    Inne pola są opcjonalne. Następnie wybierz pozycję Dalej.

    Strona Dodawanie aplikacji z informacjami o wydawcy i adresie URL aplikacji w portalu centrum administracyjnego Microsoft Intune

  3. W sekcji Przypisania przejdź do sekcji Wymagane i wybierz pozycję Dodaj grupę. Następnie możesz wybrać grupę użytkowników (lub grupy), aby otrzymywać usługę Defender for Endpoint w aplikacji systemu Android. Wybierz pozycję Wybierz, a następnie naciśnij przycisk Dalej.

    Wybrana grupa użytkowników powinna składać się z Intune zarejestrowanych użytkowników.

    Zrzut ekranu przedstawiający okienko Dodawanie grupy na stronie Dodawanie aplikacji w portalu centrum administracyjnego Microsoft Intune.

  4. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

    Za kilka chwil powinna zostać utworzona aplikacja Defender for Endpoint, a w prawym górnym rogu ekranu powinno zostać wyświetlone powiadomienie.

    Okienko stanu aplikacji w portalu centrum administracyjnego Microsoft Intune

  5. Na wyświetlonej stronie informacji o aplikacji w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia , aby sprawdzić, czy instalacja urządzenia zakończyła się pomyślnie.

    Strona Stan instalacji urządzenia w portalu Microsoft Defender

Zakończ dołączanie i sprawdź stan

  1. Po zainstalowaniu usługi Defender for Endpoint w systemie Android na urządzeniu powinna zostać wyświetlona ikona aplikacji.

    Ikona Microsoft Defender ATP wyświetlana w okienku Wyszukiwania

  2. Naciśnij ikonę aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć dołączanie. Szczegóły obejmują akceptację przez użytkownika końcowego uprawnień systemu Android wymaganych przez usługę Defender for Endpoint w systemie Android.

  3. Po pomyślnym dołączeniu urządzenie zostanie wyświetlone na liście urządzeń w portalu Microsoft Defender.

    Urządzenie w portalu Ochrona punktu końcowego w usłudze Microsoft Defender

Wdrażanie na zarejestrowanych urządzeniach z systemem Android Enterprise

Usługa Defender for Endpoint w systemie Android obsługuje urządzenia zarejestrowane w systemie Android Enterprise.

Aby uzyskać więcej informacji na temat opcji rejestracji obsługiwanych przez Microsoft Intune, zobacz Opcje rejestracji.

Obecnie urządzenia osobiste z profilem służbowym, urządzeniami należącymi do firmy z profilem służbowym i w pełni zarządzanymi rejestracjami urządzeń użytkowników należących do firmy są obsługiwane w systemie Android Enterprise.

Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android jako zarządzanej aplikacji Google Play

Wykonaj poniższe kroki, aby dodać aplikację Ochrona punktu końcowego w usłudze Microsoft Defender do zarządzanego sklepu Google Play.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Aplikacje>dla> systemu AndroidDodaj i wybierz pozycję Zarządzana aplikacja Google Play.

    Zrzut ekranu przedstawiający okienko dodawania aplikacji w portalu centrum administracyjnego Microsoft Intune

  2. Na załadowanej stronie zarządzanego sklepu Google Play przejdź do pola wyszukiwania i wpisz Microsoft Defender. Wyszukiwanie powinno wyświetlać aplikację Ochrona punktu końcowego w usłudze Microsoft Defender w zarządzanym sklepie Google Play. Wybierz aplikację Ochrona punktu końcowego w usłudze Microsoft Defender z listy wyników wyszukiwania.

    Strona Zarządzanego sklepu Google Play w portalu centrum administracyjnego Microsoft Intune

  3. Na stronie Opis aplikacji powinny być widoczne szczegółowe informacje o aplikacji Defender for Endpoint. Przejrzyj informacje na stronie, a następnie wybierz pozycję Zatwierdź.

    Strona zarządzanego sklepu Google Play w portalu centrum administracyjnego Microsoft Intune

  4. Po wyświetleniu monitu o zatwierdzenie uprawnień do uzyskiwania usługi Defender for Endpoint przejrzyj informacje, a następnie wybierz pozycję Zatwierdź.

    Strona zatwierdzania uprawnień w portalu Microsoft Defender

  5. Na stronie Ustawienia zatwierdzania sprawdź preferencje obsługi nowych uprawnień aplikacji, o które może poprosić usługa Defender for Endpoint w systemie Android. Przejrzyj wybrane opcje, a następnie wybierz preferowaną opcję. Następnie wybierz pozycję Gotowe.

    Domyślnie zarządzany sklep Google Play wybiera pozycję Zachowaj zatwierdzenie, gdy aplikacja żąda nowych uprawnień.

    Strona uzupełniania konfiguracji ustawień zatwierdzania w portalu Microsoft Defender

  6. Po dokonaniu wyboru obsługi uprawnień wybierz pozycję Synchronizuj, aby zsynchronizować Ochrona punktu końcowego w usłudze Microsoft Defender z listą aplikacji.

    Okienko Synchronizacja w portalu Microsoft Defender

    Synchronizacja zakończy się w ciągu kilku minut.

    Okienko stanu synchronizacji aplikacji na stronie aplikacje systemu Android w portalu Microsoft Defender

  7. Wybierz przycisk Odśwież na ekranie aplikacji systemu Android. Ochrona punktu końcowego w usłudze Microsoft Defender powinny być widoczne na liście aplikacji.

    Strona wyświetlająca zsynchronizowana aplikacja

  8. Usługa Defender for Endpoint obsługuje zasady konfiguracji aplikacji dla urządzeń zarządzanych przy użyciu Microsoft Intune. Ta funkcja może służyć do wybierania różnych konfiguracji dla usługi Defender dla punktu końcowego.

    1. Na stronie Aplikacje przejdź do pozycji Zasady>Zasady Zasady zasady> konfiguracji aplikacjiDodaj>urządzenia zarządzane.

      Okienko Zasady konfiguracji aplikacji w portalu centrum administracyjnego Microsoft Intune

    2. Na stronie Tworzenie zasad konfiguracji aplikacji określ następujące szczegóły:

      • Nazwa: Ochrona punktu końcowego w usłudze Microsoft Defender.

      • Wybierz pozycję Android Enterprise jako platformę.

      • Wybierz tylko profil służbowy należący do użytkownika lub w pełni zarządzany, dedykowany i należący do firmy profil służbowy tylko jako typ profilu.

      • Wybierz pozycję Wybierz aplikację, wybierz pozycję Microsoft Defender, wybierz przycisk OK, a następnie pozycję Dalej.

        Zrzut ekranu przedstawiający okienko Skojarzone szczegóły aplikacji.

    3. Wybierz pozycję Uprawnienia>dodaj. Z listy wybierz dostępne uprawnienia aplikacji>OK.

    4. Wybierz opcję dla każdego uprawnienia do udzielenia za pomocą tych zasad:

      • Monituj — Polecenia użytkownika do zaakceptowania lub odrzucenia.
      • Automatyczne udzielanie — automatycznie zatwierdza bez powiadamiania użytkownika.
      • Automatyczne odmawianie — automatycznie odmawia bez powiadamiania użytkownika.

    5. Przejdź do sekcji Ustawienia konfiguracji i wybierz pozycję Użyj projektanta konfiguracji.

      Obraz przedstawiający zasady konfiguracji aplikacji tworzenia aplikacji dla systemu Android.

    6. Wybierz pozycję Dodaj , aby wyświetlić listę obsługiwanych konfiguracji. Wybierz wymaganą konfigurację, a następnie wybierz przycisk OK.

      Obraz przedstawiający wybieranie zasad konfiguracji dla systemu Android.

    7. Powinny zostać wyświetlone wszystkie wybrane konfiguracje na liście. Możesz zmienić wartość konfiguracji zgodnie z potrzebami, a następnie wybrać przycisk Dalej.

      Obraz przedstawiający wybrane zasady konfiguracji.

    8. Na stronie Przypisania wybierz grupę użytkowników, do której zostaną przypisane te zasady konfiguracji aplikacji. Wybierz pozycję Wybierz grupy do uwzględnienia, wybierz grupę, a następnie wybierz pozycję Dalej. Wybrana w tym miejscu grupa jest zwykle tą samą grupą, do której należy przypisać Ochrona punktu końcowego w usłudze Microsoft Defender aplikacji systemu Android.

      Okienko Wybrane grupy

    9. Na następnej stronie Przeglądanie i tworzenie przejrzyj wszystkie informacje, a następnie wybierz pozycję Utwórz.

      Zasady konfiguracji aplikacji dla usługi Defender for Endpoint są teraz przypisywane do wybranej grupy użytkowników.

  9. Wybierz pozycję Microsoft Defender aplikacji na liście >Właściwości>PrzypisaniaEdytuj>.

    Opcja Edytuj na stronie Właściwości

  10. Przypisz aplikację jako wymaganą aplikację do grupy użytkowników. Jest on automatycznie instalowany w profilu służbowym podczas następnej synchronizacji urządzenia za pośrednictwem aplikacji Portal firmy. Przejdź do sekcji Wymagane , wybierz pozycję Dodaj grupę, wybierz odpowiednią grupę użytkowników, a następnie wybierz pozycję Wybierz.

    Strona Edytowanie aplikacji

  11. Na stronie Edytowanie aplikacji przejrzyj wszystkie informacje, które zostały określone wcześniej. Wybierz pozycję Przejrzyj i zapisz, a następnie wybierz pozycję Zapisz , aby rozpocząć przypisywanie.

Automatyczna konfiguracja zawsze włączonej sieci VPN

Usługa Defender for Endpoint obsługuje zasady konfiguracji urządzeń zarządzanych z Microsoft Intune. Ta funkcja umożliwia automatyczne konfigurowanie zawsze włączonej sieci VPN na urządzeniach zarejestrowanych w systemie Android Enterprise, dzięki czemu użytkownik końcowy nie musi konfigurować usługi sieci VPN podczas dołączania.

  1. Na urządzeniach wybierz pozycję Profile konfiguracji> Utwórzplatformę>profilu>Android Enterprise. Wybierz pozycję Ograniczenia urządzenia w ramach jednej z następujących opcji na podstawie typu rejestracji urządzenia:

    • W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
    • Profil służbowy należący do użytkownika

    Następnie wybierz pozycję Utwórz.

    Element menu Profile konfiguracji w okienku Zasady

  2. Ustawienia konfiguracji. Podaj nazwę i opis , aby jednoznacznie zidentyfikować profil konfiguracji.

    Pola Nazwa i opis profilu konfiguracji urządzeń w okienku Podstawy

  3. Wybierz pozycję Łączność, a następnie skonfiguruj sieć VPN.

    1. Włącz zawsze włączoną sieć VPN. Skonfiguruj klienta sieci VPN w profilu służbowym, aby w miarę możliwości automatycznie łączyć się i ponownie łączyć z siecią VPN. Dla zawsze włączonej sieci VPN na danym urządzeniu można skonfigurować tylko jednego klienta sieci VPN, dlatego upewnij się, że na jednym urządzeniu wdrożono nie więcej niż jedną zawsze włączoną zasadę sieci VPN.

    2. Na liście klientów sieci VPN wybierz pozycję Niestandardowe. W tym przypadku niestandardową siecią VPN jest sieć VPN usługi Defender for Endpoint, która zapewnia ochronę sieci Web.

      Uwaga

      Aby miała miejsce automatyczna konfiguracja sieci VPN, na urządzeniu użytkownika musi być zainstalowana aplikacja Ochrona punktu końcowego w usłudze Microsoft Defender.

    3. Określ identyfikator pakietu aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender w sklepie Google Play. W przypadku adresu URL aplikacji Microsoft Defender identyfikator pakietu to com.microsoft.scmx.

    4. Ustaw opcję Tryb blokady na Wartość Nieskonfigurowane (wartość domyślna).

      Okienko Łączność na karcie Ustawienia konfiguracji

  4. Przypisanie. Na stronie Przypisania wybierz grupę użytkowników, do której zostaną przypisane te zasady konfiguracji aplikacji. Wybierz pozycję Wybierz grupy do uwzględnienia, wybierz odpowiednią grupę, a następnie wybierz pozycję Dalej.

    Grupa do wybrania jest zazwyczaj tą samą grupą, do której należy przypisać Ochrona punktu końcowego w usłudze Microsoft Defender aplikacji systemu Android.

    Zrzut ekranu przedstawiający okienko Przypisania profilu konfiguracji urządzeń w obszarze Ograniczenia urządzenia.

  5. Na następnej stronie Przeglądanie i tworzenie przejrzyj wszystkie informacje, a następnie wybierz pozycję Utwórz. Profil konfiguracji urządzenia jest teraz przypisany do wybranej grupy użytkowników.

    Aprowizowanie profilu konfiguracji urządzeń na potrzeby przeglądania i tworzenia

Sprawdzanie stanu i ukończenie dołączania

  1. Potwierdź stan instalacji Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android, naciskając pozycję Stan instalacji urządzenia. Sprawdź, czy urządzenie jest wyświetlane tutaj.

    Okienko stanu instalacji urządzenia

  2. Na urządzeniu możesz zweryfikować stan dołączania, przechodząc do profilu służbowego. Upewnij się, że usługa Defender dla punktu końcowego jest dostępna i że zarejestrowano Cię przy użyciu urządzeń należących do użytkownika z profilem służbowym. Jeśli zarejestrowano Cię przy użyciu w pełni zarządzanego urządzenia użytkownika należącego do firmy, na urządzeniu znajduje się jeden profil, w którym można potwierdzić, że usługa Defender for Endpoint jest dostępna.

    Okienko wyświetlania aplikacji

  3. Po zainstalowaniu aplikacji otwórz aplikację, a następnie zaakceptuj uprawnienia. Dołączanie powinno zakończyć się pomyślnie.

    Wyświetlanie aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu przenośnym

  4. Sprawdź stan dołączania w portalu Microsoft Defender. Przejdź do strony Spis urządzeń .

    Portal Ochrona punktu końcowego w usłudze Microsoft Defender

Konfigurowanie dołączania przy niskim poziomie dotyku

Uwaga

Android low touch onboarding is now GA (Dołączanie z niskim poziomem dotyku w systemie Android jest teraz ogólnie dostępne).

Administratorzy mogą skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender w trybie dołączania przy użyciu funkcji low-touch. W tym scenariuszu administratorzy tworzą profil wdrożenia, a użytkownik musi zapewnić ograniczony zestaw uprawnień do ukończenia dołączania. Dołączanie do systemu Android z niskim poziomem dotyku jest domyślnie wyłączone. Administratorzy mogą ją włączyć za pośrednictwem zasad konfiguracji aplikacji na Intune, wykonując następujące kroki:

  1. Wypchnij aplikację Microsoft Defender do docelowych grup użytkowników, wykonując kroki opisane w sekcji Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android jako zarządzanej aplikacji Google Play (w tym artykule).

  2. Wypchnij profil sieci VPN na urządzenie użytkownika, postępjąc zgodnie z instrukcjami w sekcji Automatyczna konfiguracja zawsze włączonej sieci VPN (w tym artykule).

  3. W obszarzeZasady konfiguracji aplikacjiaplikacji> wybierz pozycję Urządzenia zarządzane.

  4. Podaj nazwę, aby jednoznacznie zidentyfikować zasady.

    • W obszarze Platforma wybierz pozycję Android Enterprise.
    • Wybierz wymagany typ profilu.
    • Dla aplikacji docelowej wybierz pozycję Microsoft Defender: Antivirus.

    Następnie wybierz pozycję Dalej.

  5. Dodaj uprawnienia środowiska uruchomieniowego. Wybierz pozycję Dostęp do lokalizacji (w porządku),POST_NOTIFICATIONS i zmień stan uprawnienia na Auto grant. (To uprawnienie nie jest obsługiwane w systemie Android 13 lub nowszym).

  6. W obszarze Ustawienia konfiguracji wybierz pozycję Use Configuration designer, a następnie wybierz pozycję Dodaj.

  7. Wybierz pozycję Low touch onboarding (Niski poziom dołączania dotykowego) i User UPN (Nazwa UPN użytkownika). W przypadku nazwy UPN użytkownika zmień typ wartości na Variablei ustaw wartość konfiguracji na User Principal Name. Włącz dołączanie przy użyciu funkcji low-touch, zmieniając jego wartość konfiguracji na 1.

    Po utworzeniu zasad te typy wartości są wyświetlane jako wartości ciągu.

  8. Przypisz zasady do docelowej grupy użytkowników.

  9. Przejrzyj i utwórz zasady.

Konfigurowanie Microsoft Defender w profilu osobistym w systemie Android Enterprise w trybie BYOD

Konfigurowanie Microsoft Defender w profilu osobistym

Administratorzy mogą skonfigurować i skonfigurować obsługę Microsoft Defender w profilach osobistych za pomocą centrum administracyjnego Microsoft Intune, wykonując następujące kroki:

  1. Przejdź do pozycji Aplikacje>Zasady konfiguracji aplikacji, a następnie wybierz pozycję Dodaj. Wybierz pozycję Urządzenia zarządzane.

    • Określ nazwę i opis, aby jednoznacznie zidentyfikować zasady konfiguracji.
    • W obszarze Platforma wybierz platformę jako Android Enterprise
    • W polu Typ profilu wybierz pozycję Tylko profil służbowy należący do użytkownika
    • W obszarze Aplikacja docelowa wybierz pozycję Microsoft Defender.

  2. Na stronie ustawień w formacie ustawienia konfiguracji wybierz pozycję Użyj projektanta konfiguracji, a następnie wybierz pozycję Dodaj. Z wyświetlonej listy konfiguracji wybierz pozycję Microsoft Defender w obszarze Profil osobisty.

  3. Wybrana konfiguracja jest wyświetlana na liście. Zmień wartość konfiguracji, aby 1 włączyć Microsoft Defender obsługę profilów osobistych. Zostanie wyświetlone powiadomienie informujące administratora. Wybierz pozycję Dalej.

  4. Przypisz zasady konfiguracji do grupy użytkowników. Przejrzyj i utwórz zasady.

Administratorzy mogą również skonfigurować mechanizmy kontroli prywatności w centrum administracyjnym Microsoft Intune, aby kontrolować, jakie dane są wysyłane przez aplikację Microsoft Defender do portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Konfigurowanie mechanizmów kontroli prywatności.

Organizacje mogą komunikować się ze swoimi użytkownikami w celu ochrony profilu osobistego przy użyciu aplikacji Microsoft Defender na zarejestrowanych urządzeniach BYOD. Aplikacja Microsoft Defender musi być zainstalowana i aktywna przy użyciu profilu służbowego, aby Microsoft Defender była włączona w profilach osobistych.

Zakończ dołączanie urządzenia

  1. Zainstaluj aplikację Microsoft Defender w profilu osobistym przy użyciu osobistego konta sklepu Google Play.

  2. Zainstaluj aplikację Portal firmy w profilu osobistym. Logowanie nie jest wymagane.

  3. Po uruchomieniu aplikacji przez użytkownika zostanie wyświetlony ekran logowania. Zaloguj się tylko przy użyciu konta firmowego.

  4. Po pomyślnym zalogowaniu użytkownicy zobaczą następujące ekrany:

    • Ekran umowy EULA: prezentowany tylko wtedy, gdy użytkownik nie wyraził jeszcze zgody w swoim profilu służbowym.
    • Ekran powiadomienia: użytkownicy muszą wyrazić zgodę na tym ekranie, aby kontynuować dołączanie aplikacji. Jest to wymagane tylko podczas pierwszego uruchomienia aplikacji.

  5. Podaj wymagane uprawnienia do ukończenia dołączania.

    Uwaga

    Wymagania wstępne:

    1. Portal firmy musi być włączony w profilu osobistym.
    2. Microsoft Defender musi być już zainstalowany i aktywny w profilu służbowym.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.