在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender

瞭解如何在 Microsoft Intune 公司入口網站註冊裝置上的 Android 上部署適用於端點的 Defender。 如需 Microsoft Intune 裝置註冊的詳細資訊，請參閱 註冊您的裝置。

在 Android Enterprise 已註冊的裝置上部署

適用於端點的 Android 上的 Defender 支援 Android Enterprise 註冊的裝置。

如需 Microsoft Intune 支援之註冊選項的詳細資訊，請參閱 註冊選項。

目前，Android Enterprise 支援具有工作配置檔的個人擁有裝置、具有工作配置檔的公司擁有裝置，以及公司擁有的完全受控使用者裝置註冊。

在 Android 上將適用於端點的 Microsoft Defender新增為受管理的 Google Play 應用程式

若要將適用於端點的 Microsoft Defender 應用程式新增至受控 Google Play 商店，請遵循下列步驟：

1. 在 Microsoft Intune 系統管理中心 中，移至 [應用程式>Android 應用程式>新增]，然後選取 [受控 Google Play 應用程式]。

   

2. 在載入的受管理 Google Play 頁面上，前往搜尋方塊並輸入 Microsoft Defender。 您的搜尋應該會在受控 Google Play 市集中顯示適用於端點的 Microsoft Defender 應用程式。 從搜尋結果清單中選取適用於端點的 Microsoft Defender 應用程式。

   

3. 在 [ 應用程式描述 ] 頁面中，您應該能夠看到適用於端點的 Defender 應用程式的應用程式詳細數據。 檢閱頁面上的資訊，點選 [ 選取 ] 以選取應用程式，然後選取刀鋒視窗頂端的 [同步處理] 以同步處理應用程式。

   

   同步會在幾分鐘內完成。

4. 選取 Android 應用程式畫面中的 [重新整理] 按鈕。 適用於端點的 Microsoft Defender 應該會顯示在應用程式清單中。

   

5. 適用於端點的 Defender 支援使用 Microsoft Intune 的受控裝置應用程式設定原則。 這項功能可用來選取適用於端點的 Defender 的不同設定。

   1. 在 [應用程式] 頁面中，移至 [原則>應用程式設定原則>>] 新增受控裝置。

      

   2. 在 [ 建立應用程式設定原則 ] 頁面中，指定下列詳細資料：

      • 名稱：適用於端點的 Microsoft Defender。

      • 選擇 Android Enterprise 作為平台。

      • 選擇 [僅限個人擁有的工作設定檔] 或 [僅限完全受控、專用和公司擁有的工作設定檔 ] 作為 [設定檔類型]。

      • 選取 [選取應用程式]，選擇 [Microsoft Defender]，選取 [確定]，然後選取 [下一步]。

        

   3. 選取 [權限]>[新增]。 從清單中，選取可用的應用程式權限 >[確定]。

   4. 針對要使用此原則授與的每個權限選取一個選項:

      • 提示 - 提示使用者接受或拒絕。
      • 自動授與 - 自動核准，而不通知使用者。
      • 自動拒絕 - 自動拒絕而不通知使用者。

   5. 移至 [組態設定 ] 區段，然後選擇 [ 使用組態設計工具]。

      

   6. 選取 [ 新增 ] 以檢視支援的組態清單。 選取必要的設定，然後選取確定。

      

   7. 您應該會看到列出的所有選取的組態。 您可以視需要變更組態值，然後選取 [ 下一步]。

      

   8. 在 [指派 ] 頁面中，選取要指派此應用程式設定原則的使用者群組。 選取要 包含的群組，選取群組，然後選取 下一步。 此處選取的群組通常是您要指派適用於端點的 Microsoft Defender Android 應用程式的相同群組。

      

   9. 在接下來出現的 [檢閱 + 建立] 頁面中，檢閱所有資訊，然後選取 [建立]。

      適用於端點的 Defender 的應用程式設定原則現在已指派給選取的使用者群組。

6. 在清單>中選取 Microsoft Defender 應用程式 屬性>指派>編輯。

   

7. 將應用程式作為必要應用程式指派給使用者群組。 它會在下次透過公司入口網站應用程式同步處理裝置時自動安裝在工作配置檔中。 流覽至 [必要 ] 區段，選取 [ 新增群組]，選取適當的使用者群組，然後選擇 [選取]。

   

8. 在 「編輯應用程式」 頁面中，檢閱先前指定的所有資訊。 選取 檢閱 + 儲存，然後選取 儲存以 開始指派。

自動設定永遠在線的 VPN

適用於端點的 Defender 支援具有 Microsoft Intune 的受控裝置裝置設定原則。 這項功能可讓您在 Android Enterprise 註冊的裝置上自動設定永遠開啟的 VPN，因此使用者不需要在上線時設定 VPN 服務。

1. 在裝置上，選取 [組態設定檔>] [建立設定檔平臺>] [>Android Enterprise]。 根據您的裝置註冊類型，選取下列其中一項下的 裝置限制 ：

   • 完全託管、專用且 Corporate-Owned 的工作設定檔
   • 個人擁有的工作設定檔

   然後，選取 [建立]。

   

2. 組態設定。 提供 名稱 和 描述 以唯一識別組態設定檔。

   

3. 選取 [連線]，然後設定您的 VPN。

   1. 啟用 永遠在線的 VPN。 在工作設定檔中設定 VPN 用戶端，以盡可能自動連線和重新連線到 VPN。 在給定裝置上只能為永遠開啟的 VPN 設定一個 VPN 用戶端，因此請確保將不超過一個永遠開啟的 VPN 原則部署到單一裝置。

   2. 在 VPN 用戶端清單中，選取自訂。 在此情況下，自定義 VPN 是適用於端點的 Defender VPN，可提供 Web 保護。

      注意事項

      使用者的裝置上必須安裝適用於端點的 Microsoft Defender 應用程式，才能進行自動 VPN 設定。

   3. 在Google Play商店中指定適用於端點的 Microsoft Defender應用程式的套件ID。 針對 Microsoft Defender 應用程式 URL，套件識別碼為 com.microsoft.scmx。

   4. 將 鎖定模式設定 為 未設定 (預設) 。

      

4. 分配。 在 [指派 ] 頁面上，選取要指派此應用程式設定原則的使用者群組。 選擇 [ 選取 要包含的群組]，選取適用的群組，然後選取 [ 下一步]。

   要選取的群組通常是您要指派適用於端點的 Microsoft Defender Android 應用程式的相同群組。

   

5. 在接下來出現的 [檢閱 + 建立] 頁面中，檢閱所有資訊，然後選取 [建立]。 裝置組態設定檔現在已指派給選取的使用者群組。

   

檢查狀態並完成入職

1. 點選 [裝置安裝狀態]，確認 Android 上適用於端點的 Microsoft Defender 的安裝狀態。 確認裝置是否顯示在此處。

   

2. 在裝置上，您可以移至工作設定檔來驗證上線狀態。 確認適用於端點的 Defender 可供使用，而且您已使用具有 工作配置檔的個人擁有裝置進行註冊。 如果您使用 公司擁有的完全受控使用者裝置進行註冊，裝置上就會有單一配置檔，您可以在其中確認適用於端點的 Defender 可供使用。

   

3. 安裝應用程式後，請開啟應用程式，然後接受權限。 上線應該已成功完成。

   

4. 在 Microsoft Defender 入口網站中確認上線狀態。 導航到 裝置清單 頁面。

   

設定低接觸上線

系統管理員可以在低接觸上線模式中設定適用於端點的 Microsoft Defender。 在此案例中，系統管理員會建立部署設定檔，而使用者必須提供一組減少的權限才能完成上線。 Android 低接觸入門預設為停用。 系統管理員可以遵循下列步驟，透過 Intune 上的應用程式設定原則來啟用它：

1. 依照本文) 中的「在 Android 上新增適用於端點的 Microsoft Defender作為受控 Google Play 應用程式 (」一節中的步驟，將 Microsoft Defender 應用程式推送至目標使用者群組。

2. 請遵循本文) 中自動 設定永遠開啟 VPN (一節中的指示，將 VPN 設定檔推送至使用者的裝置。

3. 在應用程式>應用程式設定原則中，選取受控裝置。

4. 提供名稱以唯一識別原則。

   • 針對 平台，選取 Android Enterprise。
   • 選取所需的設定檔類型。
   • 針對目標應用程式，選取 Microsoft Defender: Antivirus。

   然後選取 [下一步]。

5. 新增執行階段權限。 選取位置存取 (精細) ，POST_NOTIFICATIONS，並將 權限狀態變更為 Auto grant。 (Android 13 以上版本不支援這項權限 )

6. 在 組態設定 底下，選取 ，然後Use Configuration designer選取 [新增]。

7. 選取 [低接觸上線] 和 [使用者 UPN]。 針對 [使用者 UPN]，將值類型變更為 Variable，並將組態值設定為 User Principal Name。 透過將設定值變更為 1來啟用低接觸上線。

   建立原則之後，這些值類型會顯示為字串值。

8. 將原則指派給目標使用者群組。

9. 檢閱並建立原則。

在 BYOD 模式的 Android Enterprise 上的個人配置檔中設定 Microsoft Defender

在個人設定檔中設定 Microsoft Defender

系統管理員可以使用 Microsoft Intune 系統管理中心，遵循下列步驟，在個人配置檔中設定和設定 Microsoft Defender 支援：

1. 移至 [應用程式>應用程式設定原則]，然後選取 [新增]。 選取 受管理裝置。

   • 指定名稱和說明，以唯一識別組態原則。
   • 針對 [平台]，選取 [平台] 作為 Android Enterprise
   • 針對 [設定檔類型]，選取 [僅限個人擁有的工作設定檔]
   • 針對 [目標應用程式]，選取 [Microsoft Defender]。

2. 在設定頁面的 [設定設定格式] 中，選取 [使用設定設計工具]，然後選取 [新增]。 從顯示的設定清單中，選取 [個人配置檔] 中的 [Microsoft Defender]。

3. 所選組態隨即列出。 將設定值變更為 1 ，以啟用 Microsoft Defender 支援個人設定檔。 系統會顯示通知系統管理員。 選取 [下一步]。

4. 將組態原則指派給使用者群組。 檢閱並建立原則。

系統管理員也可以在 Microsoft Intune 系統管理中心中設定隱私權控制，以控制 Microsoft Defender 應用程式傳送至 Microsoft Defender 入口網站的資料。 如需詳細資訊，請參閱 設定隱私權控制。

組織可以在其已註冊的 BYOD 裝置上使用 Microsoft Defender 應用程式，與其使用者通訊以保護其個人設定檔。 Microsoft Defender 應用程式必須安裝並處於作用中狀態，使用其工作配置檔，才能在個人配置檔中啟用 Microsoft Defender。

完成裝置上線

1. 使用個人 Google Play 市集帳戶在個人設定檔中安裝 Microsoft Defender 應用程式。

2. 在個人資料上安裝公司入口網站應用程式。 無需登錄。

3. 當使用者啟動應用程式時，他們會看到登入畫面。 僅使用公司帳戶登錄。

4. 成功登入後，使用者會看到下列畫面：

   • EULA 畫面：只有在使用者尚未在其工作設定檔中同意時才顯示。
   • 通知畫面：使用者必須在此畫面上提供同意，才能繼續上線應用程式。 只有在應用程式首次執行期間才需要這樣做。

5. 提供完成上線所需的許可權。

   注意事項

   先決條件：

   1. 公司入口網站必須在個人設定檔上啟用。
   2. Microsoft Defender 必須已在工作配置檔中安裝並處於作用中狀態。

相關文章

• Android 上適用於端點的 Microsoft Defender 概觀
• 在 Android 上設定適用於端點的 Microsoft Defender 功能