在 Intune 管理的 Android 设备上配置 Microsoft Defender for Endpoint Web 保护

Microsoft Defender for Endpoint 与 Microsoft Intune 集成后,可以使用设备配置文件修改 Android 设备上的某些 Defender for Endpoint 设置。

默认情况下,Microsoft Defender for Endpoint for Android 包括并启用 Microsoft Defender for Endpoint Web 防护 功能,该功能可帮助保护设备免受 Web 威胁并保护用户免受网络钓鱼攻击。

虽然默认启用,但有正当理由在某些 Android 设备上禁用它。 例如,你可以决定仅使用 Defender for Endpoint 应用扫描功能,或在 Web 保护扫描到有害 URL 时阻止使用 VPN。

使用 Intune 设备配置策略,可以关闭全部或部分 Web 保护功能。 你使用的方法和可禁用的功能取决于 Android 设备向 Intune 注册的方式:

  • Android 设备管理员。 使用配置文件在设备上设置自定义 OMA-URI 设置以禁用整个 Web 保护功能或仅禁用对 VPN 的使用。 有关 Android 设备的自定义设置的常规信息,请参阅 在 Microsoft Intune 中使用 Android 设备的自定义设置

  • Android Enterprise 个人拥有的工作配置文件。 使用应用配置文件和配置设计器禁用 Web 保护。 此方法和注册类型支持禁用所有 Web 保护功能,但不支持仅禁用对 VPN 的使用。 有关应用配置策略的常规信息,请参阅使用配置设计器

  • Android Enterprise 完全托管配置文件。 使用应用配置文件和 配置设计器 禁用整个 Web 保护功能或仅禁用 VPN 的使用。

若要在设备上配置 Web 保护,请使用以下过程创建和部署适用的配置。

禁用 Android 设备管理员的 Web 保护

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 设备>管理设备>配置> ”,在“ 策略 ”选项卡上,选择“ + 创建”。

  3. 输入以下设置:

    • 平台:请选择“Android 设备管理员”。
    • 配置文件:选择“自定义”。

    选择“创建”。

  4. 在“基本”中,输入以下详细信息

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如, Defender for Endpoint Web 保护的 Android 自定义配置文件
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
  5. 在“配置设置”中,选择“添加”。

    指定要部署的配置的设置:

    • 禁用 Web 保护

      • 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Defender for Endpoint Web 保护
      • 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
      • OMA-URI:输入 ./Vendor/MSFT/DefenderATP/AntiPhishing
      • 数据类型:从下拉列表选择“整数”
      • :若要禁用 Web 保护,请将 “值” 设置为 0。 若要启用 Web 保护,请输入 1,这是默认值。
    • 通过 Web 保护仅禁用对 VPN 的使用:

      • 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Microsoft Defender for Endpoint Web 保护 VPN
      • 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
      • OMA-URI:输入 ./Vendor/MSFT/DefenderATP/Vpn
      • 数据类型:从下拉列表选择“整数”
      • :若要禁用基于 VPN 的扫描,请将 “值” 设置为 0。 若要启用基于 VPN 的扫描,请输入 1,这是默认值。

    选择“添加”保存 OMA-URI 设置配置,然后选择“下一步”继续。

  6. “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  7. 完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

禁用 Android Enterprise 个人拥有的工作配置文件的 Web 保护

注意

如果在已注册的设备上配置了自动设置 Always-On VPN 设备配置策略,则无法禁用适用于 Android Enterprise 个人拥有的工作配置文件的 Web 保护。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“应用”>“应用配置策略”>“添加”,然后选择“受管理设备”。

  3. 在“基本”中,输入以下详细信息

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,适用于 Microsoft Defender for Endpoint Web 保护的 Android 应用配置
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
    • 平台:选择“Android Enterprise”。
    • 配置文件类型:选择“仅限个人拥有的工作配置文件”
    • 目标应用:单击“选择应用”
  4. 在“关联应用”中,找到并选择“Defender for Endpoint”,然后选择“确定”>“下一步”

  5. 在“设置”的“配置设置格式”中,选择“使用配置设计器”,然后选择“添加”。 此时会打开 JSON 编辑器。

  6. 找到并选择配置密钥“反钓鱼”和“VPN”,然后选择“确定”以返回到“设置”页面

  7. 对于配置密钥 (反钓鱼VPN) 的配置,请输入 0 以禁用 Web 保护。

    注意

    已弃用“Web 保护”配置密钥。 如果以前使用过此密钥,请按照前面的步骤重新配置此设置,方法是设置密钥“反钓鱼”和“VPN”以启用或禁用 Web 保护

    注意

    对于配置值( (防钓鱼VPN) )输入 1 以启用 Web 保护。 此设置为默认设置。

    选择“下一步”以继续。

  8. “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  9. 完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

禁用 Android Enterprise 完全托管配置文件的 Web 保护

  1. 完成 前面所述的相同配置步骤,并添加 Web 保护配置密钥 防钓鱼VPN。 唯一的区别是“配置文件类型”值。 对于此值,请选择“ 完全托管”、“专用”和“仅 Corporate-Owned 工作配置文件”。

    • 若要禁用 Web 保护,请为配置值“反钓鱼”和“VPN”输入“0”
    • 若要通过 Web 保护仅禁用对 VPN 的使用,请输入以下配置值:
      • 为“VPN”输入“0
      • 为“反钓鱼”输入“1”

    注意

    如果在已注册的设备上配置了 Always-on VPN 设备配置策略的自动设置,则无法为 Android Enterprise 完全托管配置文件禁用 VPN。

    注意

    对于配置值( (防钓鱼VPN) )输入 1 以启用 Web 保护。 此设置为默认设置。

    选择“下一步”以继续。

  2. “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  3. 完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

后续步骤