Настройка веб-защиты Microsoft Defender для конечной точки на устройствах Android под управлением Intune

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет использовать профили конфигурации устройств для изменения некоторых параметров Defender для конечной точки на устройствах Android.

По умолчанию Microsoft Defender для конечной точки для Android включает функцию веб-защиты Microsoft Defender для конечной точки, которая помогает защитить устройства от веб-угроз и защитить пользователей от фишинговых атак.

Хотя он включен по умолчанию, существуют веские причины, чтобы отключить его на некоторых устройствах Android. Например, вы можете использовать только функцию проверки приложений Microsoft Defender для конечной точки или запретить средству защиты от веб-угроз использовать VPN-подключение во время проверки на наличие вредоносных URL-адресов.

С помощью политики конфигурации устройств Intune можно отключить всю или часть функции веб-защиты. Используемый метод и доступные для отключения возможности зависят от того, как устройство Android зарегистрировано в Intune.

  • Android Enterprise — личный рабочий профиль. Используйте профиль конфигурации приложения и конструктор конфигураций, чтобы отключить защиту от веб-угроз. Этот метод и тип регистрации поддерживают отключение всех возможностей защиты от веб-угроз, но не поддерживают отключение только сетей VPN. Общие сведения о политиках конфигурации приложений см. в разделе Использование конструктора конфигурации.

  • Android Enterprise полностью управляемый. Используйте профиль конфигурации приложения и конструктор конфигураций , чтобы отключить всю функцию веб-защиты или отключить только использование VPN.

  • Администратор устройства Android (не рекомендуется). Используйте настраиваемые параметры OMA-URI, чтобы отключить защиту веб-сайта. Дополнительные сведения см. в разделе Отключение веб-защиты для администратора устройств Android.

Для перехвата и оценки веб-трафика защита веб-трафика использует локальный VPN на замыкание на себя. Этот VPN не направляет трафик за пределы устройства. Известно, что следующие браузеры работают с VPN-подключением на себя в Defender:

  • Chrome
  • Microsoft Edge
  • Firefox
  • Opera
  • Samsung Internet
  • Храбрый
  • Duckduckgo

Меньший набор браузеров (Chrome, Edge, Opera, Samsung Internet) также поддерживает веб-защиту с помощью службы специальных возможностей Android, если VPN на себя не используется.

Примечание.

Возможно, этот список не является исчерпывающим. Последние сведения о возможностях веб-защиты в Android см. в статье Настройка веб-защиты в документации По Defender для конечной точки.

Важно!

Сценарии рабочего профиля (личные устройства Android Enterprise, использующие рабочий профиль и корпоративный рабочий профиль Android Enterprise) не поддерживают службу специальных возможностей.

Чтобы настроить защиту от веб-угроз на устройствах, используйте указанные ниже процедуры для создания и развертывания применимой конфигурации.

Отключение защиты от веб-угроз для личного рабочего профиля Android Enterprise

Примечание.

Вы не можете отключить веб-защиту для личного рабочего профиля Android Enterprise, если на зарегистрированных устройствах настроена автоматическая настройка конфигурации VPN-устройств Always-on .

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения,>управляемые приложенияМи, Настройка>приложений>Создать, а затем выберите Управляемые устройства.

  3. В разделе Основные сведения введите следующие данные:

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, Конфигурация приложений Android для защиты от веб-угроз в Microsoft Defender для конечной точки.
    • Описание: введите описание профиля Этот параметр является необязательным, но мы рекомендуем его использовать.
    • Платформа: выберите Android Enterprise.
    • Тип профиля. Выберите Только личный рабочий профиль.
    • Целевое приложение. Выберите приложение.

  4. В области Связанное приложение найдите и выберите Microsoft Defender для конечной точки, а затем нажмите OK>Далее.

  5. В области Параметры в списке Формат параметров конфигурации выберите Использовать конструктор конфигурации, а затем выберите Добавить.

  6. Найдите и выберите ключи конфигурации Защита от фишинга и VPN, а затем выберите ОК, чтобы вернуться к странице Параметры.

  7. Для значений конфигурации обоих ключей конфигурации (защита от фишинга и VPN) введите 0, чтобы отключить веб-защиту, и введите 1, чтобы включить веб-защиту. По умолчанию включена защита веб-сайта.

    Примечание.

    Значения для защиты от фишинга и VPN должны совпадать. Задайте для обоих значение 0 , чтобы отключить, или для обоих — значение 1 , чтобы включить. Если значения не совпадают, обе функции автоматически отключаются.

    Нажмите кнопку Далее, чтобы продолжить.

  8. В разделе Назначения укажите группы, которые получают профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

  9. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Отключение веб-защиты для Android Enterprise с полным управлением

  1. Выполните те же действия по настройке, которые описаны ранее , со следующим отличием: для параметра Тип профиля выберите Полностью управляемый, Выделенный и Corporate-Owned только рабочий профиль.

    • Чтобы отключить веб-защиту, введите 0 для защиты от фишинга и VPN. Чтобы включить защиту веб-сайта, введите значение 1 для обоих значений. По умолчанию включена защита веб-сайта.

    • Чтобы отключить только использование VPN для защиты от веб-угроз, введите следующие значения конфигурации:

      • 0 для VPN;

      • 1 для ключа Защита от фишинга.

    Примечание.

    В сценарии регистрации корпоративного рабочего профиля значения vpn и защиты от фишинга должны совпадать. Задайте для обоих значение 0 , чтобы отключить, или для обоих — значение 1 , чтобы включить. Если значения не совпадают, обе функции автоматически отключаются.

    Для сценария регистрации, полностью управляемого корпоративного (без рабочего профиля) VPN и защиты от фишинга можно настроить независимо. Каждая функция работает отдельно.

    Примечание.

    Вы не можете отключить VPN для полностью управляемых устройств Android Enterprise, если на зарегистрированных устройствах настроена автоматическая настройка конфигурации vpn-устройств Always-on.

    Нажмите кнопку Далее, чтобы продолжить.

  2. В разделе Назначения укажите группы, которые получают профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

  3. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Отключение защиты от веб-угроз для администратора устройства Android

Важно!

Управление администраторами устройств Android (DA) не рекомендуется и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление DA, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств Android 15 и более ранних версий без GMS. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация> на вкладке Политики выберите + Создать.

  3. Введите следующие параметры:

    • Платформа: выберите значение Администратор устройства Android.
    • Профиль: выберите Пользовательский.

    Нажмите Создать.

  4. В разделе Основные сведения введите следующие данные:

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, настраиваемый профиль Android для веб-защиты Defender для конечной точки.
    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

  5. В разделе Параметры конфигурации нажмите Добавить.

    Укажите параметры конфигурации, которые необходимо развернуть.

    • Отключение защиты от веб-угроз:

      • Имя. Введите уникальное имя для параметра OMA-URI, чтобы его можно было легко найти. Например, Отключение веб-защиты Defender для конечной точки.
      • Описание (необязательно). Введите описание с общими сведениями о параметре и другой важной информацией.
      • OMA-URI: введите ./Vendor/MSFT/DefenderATP/AntiPhishing
      • Тип данных. Выберите целое число в раскрывающемся списке.
      • Значение: чтобы отключить защиту веб-сайта, задайте для параметра Значение0. Чтобы включить защиту веб-сайта, введите значение 1, которое используется по умолчанию.

    • Отключение только использования сетей VPN функцией защиты от веб-угроз:

      • Имя. Введите уникальное имя для параметра OMA-URI, чтобы его можно было легко найти. Например, Отключение VPN для веб-защиты Microsoft Defender для конечной точки.
      • Описание (необязательно). Введите описание с общими сведениями о параметре и другой важной информацией.
      • OMA-URI: введите ./Vendor/MSFT/DefenderATP/Vpn
      • Тип данных. Выберите целое число в раскрывающемся списке.
      • Значение. Чтобы отключить проверку на основе VPN, задайте для параметра Значение0. Чтобы включить проверку на основе VPN, введите значение 1, которое используется по умолчанию.

    Выберите Добавить, чтобы сохранить конфигурацию параметров OMA-URI, а затем нажмите кнопку Далее, чтобы продолжить.

  6. В разделе Назначения укажите группы, которые получают профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

  7. На странице Проверка и создание после завершения выберите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Дальнейшие действия

  • Last updated on