在由 Intune 管理的 Android 设备上配置Microsoft Defender for Endpoint Web 保护
将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成后,可以使用设备配置文件修改 Android 设备上的某些 Defender for Endpoint 设置。
默认情况下,适用于 Android 的Microsoft Defender for Endpoint包括并启用Microsoft Defender for Endpoint Web 保护功能,该功能可帮助保护设备免受 Web 威胁并保护用户免受网络钓鱼攻击。
虽然默认启用,但有正当理由在某些 Android 设备上禁用它。 例如,你可以决定仅使用 Defender for Endpoint 应用扫描功能,或在 Web 保护扫描到有害 URL 时阻止使用 VPN。
使用Intune设备配置策略,可以关闭全部或部分 Web 保护功能。 你使用的方法和可禁用的功能取决于 Android 设备向 Intune 注册的方式:
Android 设备管理员。 使用配置文件在设备上设置自定义 OMA-URI 设置以禁用整个 Web 保护功能或仅禁用对 VPN 的使用。 有关 Android 设备的自定义设置的常规信息,请参阅在 Microsoft Intune 中使用 Android 设备的自定义设置。
Android Enterprise 个人拥有的工作配置文件。 使用应用配置文件和配置设计器禁用 Web 保护。 此方法和注册类型支持禁用所有 Web 保护功能,但不支持仅禁用对 VPN 的使用。 有关应用配置策略的常规信息,请参阅使用配置设计器。
Android Enterprise 完全托管配置文件。 使用应用配置文件和 配置设计器 禁用整个 Web 保护功能或仅禁用 VPN 的使用。
Defender 环回 VPN 支持以下浏览器:
- 铬-
- Microsoft Edge
- Opera
- Samsung Internet
- Firefox
- 勇敢
- Tor
- Browser Leopard
- DuckDuckGo
- 海豚
不支持 Defender 环回 VPN 的辅助功能服务支持以下浏览器:
- Chrome
- Microsoft Edge
- Opera
- Samsung Internet
重要
工作配置文件方案 (Android Enterprise 个人拥有的设备使用工作配置文件,Android Enterprise 公司拥有的工作配置文件) 不支持辅助功能服务。
若要在设备上配置 Web 保护,请使用以下过程创建和部署适用的配置。
禁用 Android 设备管理员的 Web 保护
重要
Android 设备管理员管理已弃用,不再可用于有权访问 Google 移动服务 (GMS) 的设备。 如果当前使用设备管理员管理,建议切换到另一个 Android 管理选项。 对于运行 Android 15 及更早版本的某些没有 GMS 的设备,支持和帮助文档仍然可用。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
选择“ 设备>管理设备>配置> ”,在“ 策略 ”选项卡上,选择“ + 创建”。
输入以下设置:
- 平台:请选择“Android 设备管理员”。
- 配置文件:选择“自定义”。
选择“创建”。
在“基本”中,输入以下详细信息:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如, Defender for Endpoint Web 保护的 Android 自定义配置文件。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在“配置设置”中,选择“添加”。
指定要部署的配置的设置:
禁用 Web 保护:
- 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Defender for Endpoint Web 保护。
- 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
-
OMA-URI:输入
./Vendor/MSFT/DefenderATP/AntiPhishing - 数据类型:从下拉列表选择“整数”。
- 值:若要禁用 Web 保护,请将 “值” 设置为 0。 若要启用 Web 保护,请输入 1,这是默认值。
通过 Web 保护仅禁用对 VPN 的使用:
- 名称:输入 OMA-URI 设置的唯一名称,便于轻松查找。 例如,禁用 Microsoft Defender for Endpoint Web 保护 VPN。
- 描述:(可选)输入包含设置概述以及其他任何重要详细信息的说明。
-
OMA-URI:输入
./Vendor/MSFT/DefenderATP/Vpn - 数据类型:从下拉列表选择“整数”。
- 值:若要禁用基于 VPN 的扫描,请将 “值” 设置为 0。 若要启用基于 VPN 的扫描,请输入 1,这是默认值。
选择“添加”保存 OMA-URI 设置配置,然后选择“下一步”继续。
在 “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
禁用 Android Enterprise 个人拥有的工作配置文件的 Web 保护
注意
如果在已注册的设备上配置了自动设置 Always-On VPN 设备配置策略,则无法禁用适用于 Android Enterprise 个人拥有的工作配置文件的 Web 保护。
选择“应用”>“应用配置策略”>“添加”,然后选择“受管理设备”。
在“基本”中,输入以下详细信息:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,适用于 Microsoft Defender for Endpoint Web 保护的 Android 应用配置。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
- 平台:选择“Android Enterprise”。
- 配置文件类型:选择“仅限个人拥有的工作配置文件”。
- 目标应用:单击“选择应用”。
在“关联应用”中,找到并选择“Defender for Endpoint”,然后选择“确定”>“下一步”。
在“设置”的“配置设置格式”中,选择“使用配置设计器”,然后选择“添加”。 此时会打开 JSON 编辑器。
找到并选择配置密钥“反钓鱼”和“VPN”,然后选择“确定”以返回到“设置”页面。
对于配置密钥 (防钓鱼和 VPN) 的配置值,请输入 0 以禁用 Web 防护,输入 1 以启用 Web 保护。 默认情况下,Web 保护处于启用状态。
注意
反网络钓鱼和 VPN 的值应相同,为 0 以禁用或 1 启用,否则将自动禁用这两项功能。
注意
已弃用“Web 保护”配置密钥。 如果以前使用过此密钥,请按照前面的步骤重新配置此设置,方法是设置密钥“反钓鱼”和“VPN”以启用或禁用 Web 保护。
选择“下一步”以继续。
在 “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
禁用 Android Enterprise 完全托管配置文件的 Web 保护
完成 前面所述的相同配置步骤,并添加 Web 保护配置密钥 防钓鱼 和 VPN。 唯一的区别是“配置文件类型”值。 对于此值,请选择“ 完全托管”、“专用”和“仅 Corporate-Owned 工作配置文件”。
若要禁用 Web 保护 ,请为 配置值 “防钓鱼 ”和 “VPN ”输入 0,为配置值输入 1 , (“防钓鱼 ”和 “VPN) ”以启用 Web 防护。 默认情况下,Web 保护处于启用状态。
若要通过 Web 保护仅禁用对 VPN 的使用,请输入以下配置值:
为“VPN”输入“0”
为“反钓鱼”输入“1”
注意
对于“Android Enterprise 公司拥有的工作配置文件”,VPN 和反钓鱼的注册方案值应为 0 禁用或 1 以启用,否则这两个功能将自动禁用,但对于“Android Enterprise 公司拥有的完全托管 - 无工作配置文件”注册方案,VPN 和防钓鱼不需要具有相同的值, 每个功能都可以单独工作。
注意
如果在已注册的设备上配置了 Always-on VPN 设备配置策略的自动设置,则无法为 Android Enterprise 完全托管配置文件禁用 VPN。
选择“下一步”以继续。
在 “分配”中,指定接收配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
完成后,在“查看 + 创建”中,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
后续步骤
从 Microsoft Defender for Endpoint 文档中了解详细信息: