Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie Microsoft Intune, um Defender für Endpunkt auf Android-Geräten bereitzustellen und zu konfigurieren. Intune übernimmt die Bereitstellung von Apps und die Richtlinienübermittlung. Nach dem Onboarding bietet Microsoft Defender schutz vor mobilen Bedrohungen auf dem Gerät. Unter Android erfolgt das Onboarding app-gesteuert: Ein Gerät wird als integriert betrachtet, wenn der Benutzer die Defender-App öffnet und das Setup abschließt. In diesem Artikel wird das Hinzufügen der App aus Managed Google Play, das Zuweisen und Überprüfen der Bereitstellung, das Erstellen von App-Konfigurationsrichtlinien, das Einrichten von Always-On-VPN und optional das Aktivieren von Low-Touch-Onboarding behandelt.
Tipp
Sie können auch Intune verwenden, um Defender für Endpunkt auf Android-Geräten bereitzustellen, die nicht bei Intune Mobile Device Management (MDM) registriert sind. Diese Methode umfasst nicht verwaltete Geräte und Geräte, die mithilfe von Intune verwaltung mobiler Anwendungen (MAM) bei einer anderen MDM registriert wurden. Weitere Informationen finden Sie unter Konfigurieren von Microsoft Defender for Endpoint Risikosignalen in der App-Schutzrichtlinie (MAM).
Voraussetzungen
Lizenzen: Weisen Sie Benutzern sowohl eine Intune-Lizenz als auch eine Defender für Endpunkt-Lizenz zu. Weitere Informationen zur Lizenzierung finden Sie unter Microsoft Defender for Endpoint Lizenzierungsanforderungen.
Registrierung: Registrieren Sie Geräte in Intune mit einem der folgenden Android Enterprise-Registrierungstypen:
- Persönliche Geräte mit einem Arbeitsprofil
- Unternehmenseigene Geräte mit einem Arbeitsprofil
- Unternehmenseigene, vollständig verwaltete Benutzergeräteregistrierung
Wichtig
Die Verwaltung von Android-Geräteadministratoren (Android Device Administrator, DA) ist veraltet und für Geräte mit Zugriff auf Google Mobile Services (GMS) nicht mehr verfügbar. Wenn Sie derzeit die DA-Verwaltung verwenden, wird empfohlen, zu einer anderen Android-Verwaltungsoption zu wechseln. Support- und Hilfedokumentationen bleiben für einige Android 15- und frühere Geräte ohne GMS verfügbar. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Android-Betriebssystemversion: Informationen zu unterstützten Betriebssystemversionen finden Sie unter Systemanforderungen für Defender für Endpunkt unter Android.
Verwaltetes Google Play: Bevor Sie Apps für Android Enterprise-Geräte hinzufügen und zuweisen können, verbinden Sie Ihren Intune Mandanten mit Managed Google Play.
Intune-Defender-Verbindung: Aktivieren Sie die Intune Dienst-zu-Dienst-Verbindung mit Defender für Endpunkt. Andernfalls sind onboarding status, Geräterisikosignale und EDR-Sichtbarkeit in Intune nicht verfügbar. Weitere Informationen finden Sie unter Konfigurieren Microsoft Defender for Endpoint mit Intune und Integrieren von Geräten.
Bereitstellen von Defender für Endpunkt unter Android
Hinzufügen der App aus Managed Google Play
So fügen Sie die Defender für Endpunkt-App zu Ihrem verwalteten Google Play Store hinzu und stellen sie in Intune zur Verfügung:
Wechseln Sie im Microsoft Intune Admin Center zu Apps (1), und wählen Sie dann die Kachel Android aus, um die Seite Android-Apps (2) zu öffnen. Wählen Sie Erstellen (3) und für App-Typ die Option Verwaltete Google Play-App (4) und dann Auswählen aus.
Suchen Sie auf der Seite Verwaltetes Google Play nach
Microsoft Defender. Wählen Sie Defender: Antivirus aus den Suchergebnissen aus. Dies ist der Name der Defender für Endpunkt-App im verwalteten Google Play Store.Überprüfen Sie auf der Seite Apps die App-Details, und wählen Sie dann Auswählen (1) und dann Synchronisieren (2) aus, um die App mit Intune zu synchronisieren.
Die Synchronisierung wird in wenigen Minuten abgeschlossen.
Kehren Sie nach Abschluss der Synchronisierung zum Intune Admin Center zurück, und wählen Sie auf dem Bildschirm Android-Apps die Option Aktualisieren aus. Microsoft Defender: Antivirus sollte jetzt in der App-Liste angezeigt werden.
Bleiben Sie auf der Seite Android-Apps , um das folgende Verfahren auszuführen.
Zuweisen der App
Weisen Sie die App als erforderliche App zu, damit sie bei der nächsten Gerätesynchronisierung über die Unternehmensportal-App automatisch im Arbeitsprofil installiert wird.
Wählen Sie auf der Seite Android-Apps im Intune Admin Center in der Liste der Apps Microsoft Defender: Antivirus aus. Wechseln Sie zu Eigenschaften (1), und wählen Sie für Zuweisungendie Option Bearbeiten (2) aus.
Wechseln Sie im Bereich Anwendung bearbeiten zum Abschnitt Erforderlich (1), und wählen Sie Gruppe hinzufügen aus, um den Bereich Gruppen auswählen zu öffnen.
Wählen Sie im Bereich Gruppen auswählen die Gruppen aus, die Sie diese App erhalten möchten, und wählen Sie dann Auswählen aus.
Klicken Sie im Bereich Anwendung bearbeiten unten im Bereich auf Überprüfen + Speichern , und wählen Sie dann Speichern aus, um die Zuweisung zu committen.
Überprüfen der Bereitstellung
Nachdem Sie die Zuweisung gespeichert haben, können Sie die Installation status für Zielgeräte bestätigen, bevor Sie mit der Konfiguration fortfahren.
Wählen Sie auf der Seite Android-Apps im Intune Admin Center in der Liste der Apps Microsoft Defender: Antivirus aus. Auf der Standard-App-Seite Übersicht werden Intune Diagrammkacheln angezeigt, die ein Rollup der Installation status bereitstellen.
Um zu ermitteln, ob die App auf einem bestimmten Gerät installiert wurde, wählen Sie geräteinstallation status oder die Kachel Device status aus. Intune zeigt eine Liste der Zielgeräte mit weiteren Details an.
Vergewissern Sie sich, dass die Zielgeräte einen erfolgreichen Installationsstatus anzeigen, bevor Sie fortfahren.
Konfigurieren von Defender für Endpunkt unter Android
Verwenden Sie nach der Bereitstellung der App Intune Richtlinien, um Defender für Endpunkt auf Android-Geräten zu konfigurieren. Die Konfiguration umfasst das Erstellen einer App-Konfigurationsrichtlinie zum Erteilen von App-Berechtigungen und eines Gerätekonfigurationsprofils zum Einrichten von Always-On-VPN für den Webschutz. Optionale Defender-spezifische Featurekonfigurationen, z. B. Netzwerkschutz- und Datenschutzkontrollen, finden Sie in der Defender-Dokumentation unter Konfigurieren von Microsoft Defender for Endpoint für Android-Features.
Konfigurieren von App-Berechtigungen und Onboardingeinstellungen
Erstellen Sie eine App-Konfigurationsrichtlinie, um Defender die erforderlichen Berechtigungen auf dem Gerät zu gewähren, und aktivieren Sie optional das Low-Touch-Onboarding, um die Schritte zu reduzieren, die Benutzer während des ersten Starts ausführen.
Wechseln Sie im Microsoft Intune Admin Center zu Apps, erweitern Sie Verwaltete Apps, und wählen Sie Konfiguration>Verwaltete Geräteerstellen> aus.
Geben Sie auf der Seite Grundlagen die folgenden Details an:
- Name: Geben Sie einen beschreibenden Namen ein, z. B. Defender für Endpunkt.
- Plattform: Android Enterprise
-
Profiltyp: Wählen Sie den Typ aus, der Ihrer Geräteregistrierung entspricht:
- Nur persönliches Arbeitsprofil
- Nur vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
- Ziel-App: Wählen Sie Microsoft Defender: Antivirus aus, wählen Sie OK und dann Weiter aus.
Behalten Sie auf der Seite Einstellungen das Format der Konfigurationseinstellungen vorerst bei. Wählen Sie unter Berechtigungen die Option Hinzufügen aus. Wählen Sie in der Liste Berechtigungen hinzufügen die verfügbaren App-Berechtigungen und dann OK aus.
Defender für Endpunkt empfiehlt, während der Bereitstellung die folgenden Berechtigungen zu erteilen:
Permission Empfohlener Zustand Warum dies wichtig ist Standortzugriff (fein) Automatische Genehmigung Erforderlich für Web- und Netzwerkschutz. Ohne sie kann Defender nur vor bösartigen Zertifikaten schützen. Wi-Fi Bedrohungserkennung ist nicht verfügbar. Benutzer müssen auch die Option Alle Zeit während des Onboardings zulassen auswählen, um eine vollständige Wi-Fi Bedrohungsabdeckung zu ermöglichen. POST_NOTIFICATIONS Automatische Genehmigung Erforderlich, damit Bedrohungswarnungen den Benutzer erreichen. Informationen zu Den Einschränkungen für Registrierungstyp und Betriebssystemversion finden Sie im Hinweis. Nachdem Sie die Berechtigungen hinzugefügt haben, verwenden Sie die Dropdownliste Berechtigungsstatus , um jeweils das gewünschte Verhalten festzulegen:
- Eingabeaufforderung: Prompts den Benutzer zu akzeptieren oder zu verweigern.
- Automatische Genehmigung: Genehmigt automatisch, ohne den Benutzer zu benachrichtigen.
- Automatische Ablehnung: Verweigert automatisch, ohne den Benutzer zu benachrichtigen.
Hinweis
Unter Android 12 und höher wird die automatische Genehmigung für bestimmte Berechtigungen auf unternehmenseigenen Arbeitsprofilen und dedizierten Geräten nicht unterstützt. Weitere Informationen finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android Enterprise-Geräte.
(Optional) Aktivieren Sie das Onboarding mit geringer Toucheingabe.
Low-Touch-Onboarding ist standardmäßig deaktiviert. Andernfalls müssen Benutzer, die Defender für Endpunkt zum ersten Mal öffnen, ihre Anmeldeinformationen für ihr Geschäftskonto eingeben und den Setup-Assistenten der App manuell durchlaufen. Im Low-Touch-Onboarding-Modus füllt die Richtlinie die Identität des Benutzers (UPN) vorab auf, sodass Benutzer ihre Anmeldeinformationen beim ersten Start nicht eingeben müssen. In Kombination mit dem always-on-VPN-Profil, das im nächsten Abschnitt behandelt wird, werden die Eingabeaufforderungen und Schritte minimiert, auf die Benutzer während des Onboardings stoßen.
Low-Touch-Onboarding kann für unternehmenseigene, vollständig verwaltete Bereitstellungen nützlich sein, bei denen Sie Benutzerreibung reduzieren möchten. Für persönliche Arbeitsprofilgeräte, bei denen Benutzer möglicherweise eine aktivere Teilnahme an der App-Einrichtung erwarten, kann der Standardflow besser geeignet sein. Wenn Sie diesen Schritt überspringen, funktioniert die Richtlinie als reine Berechtigungsrichtlinie, und Benutzer schließen das Onboarding über den Standardflow ab.
Hinweis
Im Gegensatz zu iOS (überwacht) und Windows unterstützt Android kein vollständig automatisches oder Zero-Touch-Onboarding. Das Android-Berechtigungsmodell erfordert eine explizite Zustimmung des Benutzers für bestimmte Berechtigungen, sodass während des ersten Starts immer ein gewisses Maß an Benutzerinteraktion erforderlich ist. Low-Touch-Onboarding ist die am nächsten verfügbare Option zum Minimieren dieser Interaktion.
Um das Onboarding mit geringer Fingereingabe zu aktivieren, legen Sie auf der Seite Einstellungen die Dropdownliste Konfigurationseinstellungenformat auf Konfigurations-Designer verwenden fest, wählen Sie Hinzufügen aus, und konfigurieren Sie dann die folgenden Schlüssel:
Schlüssel Werttyp Konfigurationswert Onboarding mit geringer Fingereingabe Integer 1Benutzer-UPN Variable User Principal Name (UPN)Wählen Sie beide Schlüssel aus der Liste aus, und wählen Sie OK aus, und legen Sie dann den Werttyp und den Konfigurationswert für jeden fest, wie in der Tabelle dargestellt.
Weisen Sie diese Richtlinie auf der Seite Zuweisungen den gleichen Benutzergruppen zu, die Sie beim Bereitstellen der Microsoft Defender: Antivirus-App verwendet haben.
Bestätigen Sie unter Überprüfen + erstellen Ihre Auswahl, und wählen Sie dann Erstellen aus.
Einrichten von Always-On-VPN
Verwenden Sie ein Gerätekonfigurationsprofil, um den Webschutztunnel von Defender über Intune Richtlinie für registrierte Geräte bereitzustellen, sodass Benutzer während des Onboardings kein VPN manuell konfigurieren müssen.
Wechseln Sie im Microsoft Intune Admin Center zu Geräte (1), erweitern Sie Geräte verwalten, und wählen Sie Konfiguration (2) aus. Wählen Sie auf der Registerkarte Richtlinien (3) die Option Erstellen (4) >Neue Richtlinie aus. Legen Sie im Bereich Profil erstellen die Option Plattform auf Android Enterprise und Profiltyp auf Vorlagen (5) fest, und wählen Sie dann Geräteeinschränkungen (6) für einen der folgenden Vorlagentypen basierend auf Ihrem Geräteregistrierungstyp aus:
- Vollständig verwaltetes, dediziertes und Corporate-Owned Arbeitsprofil
- Persönliches Arbeitsprofil
Wählen Sie dann Erstellen aus, um den Konfigurationsworkflow für Geräteeinschränkungenrichtlinien zu öffnen.
Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung an, um das Konfigurationsprofil eindeutig zu identifizieren.
Erweitern Sie für KonfigurationseinstellungenKonnektivität, und konfigurieren Sie dann Ihr VPN:
Aktivieren Sie Always-On-VPN (Arbeitsprofilebene). Richten Sie einen VPN-Client im Arbeitsprofil ein, damit nach Möglichkeit automatisch eine Verbindung mit dem VPN hergestellt und wiederhergestellt wird. Es kann nur ein VPN-Client für Always-On-VPN auf einem bestimmten Gerät konfiguriert werden. Stellen Sie daher sicher, dass Sie nicht mehr als eine Always-On-VPN-Richtlinie auf einem Gerät bereitstellen.
Verwenden Sie die Dropdownliste VPN-Client , um Benutzerdefiniert auszuwählen. In diesem Fall ist das benutzerdefinierte VPN das Defender für Endpunkt-VPN, das Webschutz bereitstellt.
Hinweis
Die Defender für Endpunkt-App muss auf dem Gerät des Benutzers installiert sein, damit die automatische VPN-Einrichtung erfolgen kann.
Geben Sie unter Paket-ID die ID der Microsoft Defender: Antivirus-App aus dem verwalteten Google Play Store an. Für die Microsoft Defender-App-URL lautet
com.microsoft.scmxdie Paket-ID .Legen Sie den Sperrmodus auf Nicht konfiguriert fest, was die Standardeinstellung ist.
Wählen Sie auf der Seite Zuweisungen die Benutzergruppe aus, der Sie dieses Gerätekonfigurationsprofil zuweisen möchten. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen, wählen Sie die entsprechende Gruppe aus, und wählen Sie dann Weiter aus.
Die auszuwählende Gruppe ist in der Regel dieselbe Gruppe, der Sie die Defender für Endpunkt-Android-App zuweisen.
Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus.
Vollständiges Onboarding des Geräts
Nachdem Sie Richtlinien per Push an Geräte übertragen haben, schließen Die Benutzer das Onboarding auf dem Gerät ab. Auf persönlichen Geräten mit einem Arbeitsprofil wird Defender im Arbeitsprofil angezeigt. Auf vollständig verwalteten Unternehmensgeräten wird Defender im Profil eines einzelnen Geräts angezeigt.
Benutzer öffnen die Defender für Endpunkt-App und akzeptieren die Berechtigungen zum Abschließen des Onboardings.
Tipp
Weisen Sie Benutzer an, während der App-Einrichtung immer zulassen auszuwählen, wenn Sie zum Zugriff auf den Standort aufgefordert werden. Diese Wahl ermöglicht eine vollständige Wi-Fi Bedrohungserkennung über Den Netzwerkschutz. Wenn Benutzer Während der Verwendung der App auswählen oder die Berechtigung verweigern, kann Defender weiterhin vor nicht autorisierten Zertifikaten schützen, aber keine Bedrohungen in offenen oder verdächtigen Wi-Fi Netzwerken erkennen. Es gibt keine Administratorkonfiguration, die diese Wahl erzwingt. Hierfür ist die Zustimmung des Benutzers auf Betriebssystemebene erforderlich.
Überprüfen des onboarding-status
Vergewissern Sie sich nach Abschluss des Onboardings, dass geräte erfolgreich gemeldet werden.
So überprüfen Sie dies im Intune Admin Center:
- Wechseln Sie zu Endpunktsicherheit>Endpunkterkennung und -antwort.
- Wählen Sie die Registerkarte EDR Onboarding Status aus, und überprüfen Sie die Onboarding-status für Ihre Android-Geräte. Geräte, für die das Onboarding erfolgreich durchgeführt wurde, zeigen die status Erfolgreich integriert an.
So überprüfen Sie das Defender-Portal:
- Navigieren Sie im Microsoft Defender-Portal zu Endpunkte>Gerätebestand, und vergewissern Sie sich, dass Ihre Android-Geräte dort angezeigt werden.
Weitere Informationen zur Verwendung von Intune zur plattformübergreifenden Überwachung des Onboardings status finden Sie unter Überwachen des Geräte-Onboardings status.
Wenn Geräte nicht wie erwartet angezeigt werden, überprüfen Sie, ob die folgenden Bedingungen erfüllt sind:
- App nicht installiert: Vergewissern Sie sich, dass die App-Konfigurationsrichtlinie und die App-Zuweisung erfolgreich bereitgestellt wurden, indem Sie die Schritte unter Überprüfen der Bereitstellung ausführen.
- Der Benutzer hat das Onboarding nicht abgeschlossen: Das Gerät wird erst angezeigt, wenn der Benutzer die App öffnet und das Setup abgeschlossen hat.
- Intune-Defender-Connector inaktiv: Überprüfen Sie, ob die Dienst-zu-Dienst-Verbindung aktiviert ist. Weitere Informationen finden Sie unter Konfigurieren von Microsoft Defender for Endpoint mit Intune.
- Anmelde- oder Berechtigungsfehler: Lösungen für häufige Onboardingfehler finden Sie unter Problembehandlung bei Microsoft Defender for Endpoint unter Android.
Nächste Schritte
- Konfigurieren Microsoft Defender for Endpoint Webschutzeinstellungen für Android: Verwalten von Webschutzeinstellungen über Intune nach Registrierungstyp.
- Konfigurieren von Microsoft Defender for Endpoint unter Android-Features: Konfigurieren Sie Datenschutzsteuerelemente und andere Android-spezifische Defender-Features.