Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS przy użyciu Microsoft Intune

W tym artykule opisano wdrażanie usługi Defender for Endpoint w systemie iOS (przy użyciu aplikacji Microsoft Defender) z Microsoft Intune Portal firmy zarejestrowanych urządzeń. Aby uzyskać więcej informacji na temat rejestracji urządzeń Microsoft Intune, zobacz Rejestrowanie urządzeń z systemem iOS/iPadOS w Intune.

Przed rozpoczęciem

• Upewnij się, że masz dostęp do centrum administracyjnego Microsoft Intune i portalu Microsoft Defender.

• Upewnij się, że rejestracja w systemie iOS została wykonana dla użytkowników. Aby korzystać z aplikacji Microsoft Defender, użytkownicy muszą mieć przypisaną licencję usługi Defender for Endpoint. Aby uzyskać instrukcje dotyczące przypisywania licencji, zobacz Przypisywanie licencji użytkownikom .

• Upewnij się, że użytkownicy końcowi mają zainstalowaną aplikację Portal firmy, zalogowali się i ukończyli rejestrację.

W tej sekcji omówiono:

1. Kroki wdrażania (dotyczy zarówno urządzeń nadzorowanych, jak i nienadzorowanych) — administratorzy mogą wdrażać usługę Defender for Endpoint w systemie iOS za pośrednictwem Microsoft Intune Portal firmy. Ten krok nie jest wymagany w przypadku aplikacji VPP (zakupów zbiorczych).

2. Pełne wdrożenie (tylko w przypadku urządzeń nadzorowanych) — administratorzy mogą wybrać wdrożenie dowolnego z podanych profilów.

   • Filtr sterowania bez dotyku (dyskretny) — zapewnia ochronę sieci Web bez lokalnej sieci VPN sprzężenia zwrotnego i umożliwia dyskretne dołączanie dla użytkowników. Aplikacja jest automatycznie instalowana i aktywowana bez konieczności otwierania aplikacji przez użytkowników.
   • Filtr sterowania — zapewnia ochronę sieci Web bez lokalnej sieci VPN sprzężenia zwrotnego.

3. Konfiguracja automatycznego dołączania (tylko w przypadku urządzeń bez nadzoru ) — administratorzy mogą zautomatyzować dołączanie usługi Defender for Endpoint dla użytkowników na dwa różne sposoby:

   • Dołączanie bez dotyku (dyskretne) — aplikacja Microsoft Defender jest automatycznie instalowana i aktywowana bez konieczności otwierania aplikacji przez użytkowników.
   • Automatyczne dołączanie sieci VPN — profil sieci VPN usługi Defender for Endpoint jest konfigurowany automatycznie bez konieczności używania tego użytkownika podczas dołączania. Ten krok nie jest zalecany w konfiguracjach Zero touch.

4. Konfiguracja rejestracji użytkowników (tylko w przypadku urządzeń Intune zarejestrowanych przez użytkownika) — administratorzy mogą również wdrażać i konfigurować aplikację Defender for Endpoint na urządzeniach Intune Zarejestrowane przez użytkownika.

5. Zakończ dołączanie i sprawdź stan — ten krok ma zastosowanie do wszystkich typów rejestracji, aby upewnić się, że aplikacja jest zainstalowana na urządzeniu, dołączanie zostało ukończone, a urządzenie jest widoczne w portalu Microsoft Defender. Można go pominąć w przypadku dołączania bez dotyku (w trybie dyskretnym).

Kroki wdrażania (dotyczy zarówno urządzeń nadzorowanych, jak i nienadzorowanych)

Wdróż usługę Defender for Endpoint w systemie iOS za pośrednictwem Microsoft Intune Portal firmy.

Dodawanie aplikacji ze sklepu dla systemu iOS

1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Aplikacje> dla systemuiOS/iPadOS>Dodaj>aplikację ze sklepu dla systemu iOS i wybierz pozycję Wybierz.

   

2. Na stronie Dodawanie aplikacji wybierz pozycję Wyszukaj App Store i wpisz Microsoft Defender na pasku wyszukiwania. W sekcji wyników wyszukiwania wybierz pozycję Microsoft Defender i wybierz pozycję Wybierz.

3. Wybierz system iOS 15.0 jako minimalny system operacyjny. Przejrzyj pozostałe informacje o aplikacji i wybierz pozycję Dalej.

4. W sekcji Przypisania przejdź do sekcji Wymagane i wybierz pozycję Dodaj grupę. Następnie możesz wybrać grupy użytkowników, które mają być przeznaczone dla usługi Defender for Endpoint w aplikacji systemu iOS. Wybierz pozycję Wybierz, a następnie wybierz pozycję Dalej.

   Uwaga

   Wybrana grupa użytkowników powinna składać się z Microsoft Intune zarejestrowanych użytkowników.

   

5. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz. Za kilka chwil aplikacja Defender for Endpoint powinna zostać utworzona pomyślnie, a powiadomienie powinno zostać wyświetlone w prawym górnym rogu strony.

6. Na wyświetlonej stronie informacji o aplikacji w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia , aby sprawdzić, czy instalacja urządzenia zakończyła się pomyślnie.

   

Pełne wdrożenie dla urządzeń nadzorowanych

Aplikacja Microsoft Defender oferuje rozszerzone możliwości na nadzorowanych urządzeniach z systemem iOS/iPadOS przy użyciu zaawansowanych funkcji zarządzania platformy. Zapewnia również ochronę sieci Web bez konieczności konfigurowania lokalnej sieci VPN na urządzeniu. Zapewnia to bezproblemowe środowisko użytkownika przy jednoczesnej ochronie przed wyłudzaniem informacji i innymi zagrożeniami internetowymi.

Administratorzy mogą wykonać następujące kroki, aby skonfigurować urządzenia nadzorowane.

Konfigurowanie trybu nadzorowanego za pośrednictwem Microsoft Intune

Skonfiguruj tryb nadzorowany dla aplikacji Microsoft Defender za pomocą zasad konfiguracji aplikacji i profilu konfiguracji urządzenia.

Zasady konfiguracji aplikacji

1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaruZasady> konfiguracji aplikacji Aplikacje>Dodaj. Wybierz pozycję Urządzenia zarządzane.

   

2. Na stronie Tworzenie zasad konfiguracji aplikacji podaj następujące informacje:

   • Nazwa zasad
   • Platforma: wybierz pozycję iOS/iPadOS
   • Aplikacja docelowa: wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender z listy

   

3. Na następnym ekranie wybierz pozycję Użyj projektanta konfiguracji jako formatu. Określ następujące właściwości:

   • Klucz konfiguracji: issupervised
   • Typ wartości: Ciąg
   • Wartość konfiguracji: {{issupervised}}

   

4. Wybierz pozycję Dalej , aby otworzyć stronę Tagi zakresu . Tagi zakresu są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

5. Na stronie Przypisania wybierz grupy, które otrzymują ten profil. W tym scenariuszu najlepszym rozwiązaniem jest ukierunkowanie na wszystkie urządzenia. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Podczas wdrażania w grupach użytkowników użytkownicy muszą zalogować się do swoich urządzeń przed zastosowaniem zasad.

   Wybierz pozycję Dalej.

6. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście profilów konfiguracji.

Profil konfiguracji urządzenia (filtr sterowania)

Administratorzy wdrażają dowolny z tych profilów.

1. Filtr sterowania bez dotyku (dyskretny) — ten profil umożliwia dołączanie w trybie dyskretnym dla użytkowników. Pobierz profil konfiguracji z pliku ControlFilterZeroTouch.

2. Filtr sterowania — pobierz profil konfiguracji z pliku ControlFilter.

Po pobraniu profilu wdróż profil niestandardowy. Wykonaj następujące czynności:

1. Przejdź do pozycji Urządzenia z>profilami> konfiguracji systemuiOS/iPadOS>Utwórz profil.

2. Wybierz pozycjęSzablony typów>profilui nazwa> szablonuNiestandardowe.

   

3. Podaj nazwę profilu. Po wyświetleniu monitu o zaimportowanie pliku profilu konfiguracji wybierz plik pobrany z poprzedniego kroku.

4. W sekcji Przypisania wybierz grupę urządzeń, do której chcesz zastosować ten profil. Najlepszym rozwiązaniem jest zastosowanie tego rozwiązania do wszystkich zarządzanych urządzeń z systemem iOS. Wybierz pozycję Dalej.

   Uwaga

   Tworzenie grupy urządzeń jest obsługiwane zarówno w usłudze Defender for Endpoint Plan 1, jak i Plan 2.

5. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście profilów konfiguracji.

Konfiguracja automatycznego dołączania (tylko w przypadku urządzeń bez nadzoru)

Administratorzy mogą zautomatyzować dołączanie do usługi Defender for Endpoint dla użytkowników na dwa różne sposoby, korzystając z dołączania zerodotyku (dyskretnego) lub automatycznego dołączania sieci VPN.

Zero-touch (dyskretne) dołączanie do usługi Defender for Endpoint

Administratorzy mogą skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender do dyskretnego wdrażania i aktywacji. W tym procesie administrator tworzy profil wdrożenia, a użytkownik jest powiadamiany o instalacji. Usługa Defender for Endpoint jest następnie instalowana automatycznie bez konieczności otwierania aplikacji przez użytkownika. Wykonaj kroki opisane w tym artykule, aby skonfigurować wdrożenie usługi Defender for Endpoint bez dotyku lub dyskretne na zarejestrowanych urządzeniach z systemem iOS:

1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiProfile> konfiguracji urządzeń>Utwórz profil.

2. Wybierz pozycję Platforma jako system iOS/iPadOS, typ profilu jako szablony i nazwa szablonu jako sieć VPN. Wybierz pozycję Utwórz.

3. Wpisz nazwę profilu i wybierz pozycję Dalej.

4. Wybierz pozycję Niestandardowa sieć VPN dla pozycji Typ połączenia i w sekcji Podstawowa sieć VPN wprowadź następujące elementy:

   • Nazwa połączenia: Ochrona punktu końcowego w usłudze Microsoft Defender
   • Adres serwera sieci VPN: 127.0.0.1
   • Metoda uwierzytelniania: "Nazwa użytkownika i hasło"
   • Tunelowanie podzielone: Disable
   • Identyfikator sieci VPN: com.microsoft.scmx
   • W parach klucz-wartość wprowadź klucz SilentOnboard i ustaw wartość na True.
   • Typ automatycznej sieci VPN: On-demand VPN
   • Wybierz pozycję Dodaj dla reguł na żądanie, a następnie wybierz pozycję Chcę wykonać następujące czynności: Ustanawianie sieci VPN, a następnie ustaw opcję Chcę ograniczyć do: Wszystkie domeny.

   

   • Aby określić, że nie można wyłączyć sieci VPN na urządzeniu użytkowników, administratorzy mogą wybrać opcję Tak z pozycji Blokuj użytkownikom wyłączanie automatycznej sieci VPN. Domyślnie nie jest ona skonfigurowana, a użytkownicy mogą wyłączyć sieć VPN tylko w obszarze Ustawienia.
   • Aby umożliwić użytkownikom zmianę przełącznika sieci VPN z poziomu aplikacji, dodaj EnableVPNToggleInApp = TRUEwartość w parach klucz-wartość. Domyślnie użytkownicy nie mogą zmieniać przełącznika z poziomu aplikacji.

5. Wybierz pozycję Dalej i przypisz profil do użytkowników docelowych.

6. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

Po zakończeniu tej konfiguracji i zsynchronizowanie jej z urządzeniem na docelowych urządzeniach z systemem iOS są wykonywane następujące akcje:

• Usługa Defender for Endpoint jest wdrażana i dołączana w trybie dyskretnym. Urządzenie jest widoczne w portalu Microsoft Defender po jego dołączeniu.
• Tymczasowe powiadomienie jest wysyłane do urządzenia użytkownika.
• Usługa Web Protection i inne funkcje są aktywowane.

W niektórych przypadkach ze względów bezpieczeństwa, takich jak zmiany haseł, uwierzytelnianie wieloskładnikowe itd., dołączanie bezobsługowe może wymagać od użytkownika końcowego ręcznego logowania się do aplikacji Microsoft Defender. 

Odc. Po raz pierwszy użytkownicy końcowi otrzymują dyskretne powiadomienie.

Użytkownicy końcowi powinni wykonać następujące kroki:

1. Otwórz aplikację Microsoft Defender lub naciśnij komunikat z powiadomieniem.

2. Wybierz zarejestrowane konto przedsiębiorstwa na ekranie selektora kont.

3. Rejestrowanie.

Urządzenie jest dołączone i rozpoczyna raportowanie w portalu Microsoft Defender.

B: w przypadku urządzeń już dołączonych użytkownicy końcowi widzą dyskretne powiadomienie.

1. Otwórz aplikację Microsoft Defender lub naciśnij powiadomienie.  

2. Po wyświetleniu monitu przez aplikację Microsoft Defender zaloguj się.

Następnie urządzenie ponownie rozpocznie raportowanie do portalu Microsoft Defender. 

Automatyczne dołączanie profilu sieci VPN (uproszczone dołączanie)

W przypadku nienadzorowanych urządzeń sieć VPN jest używana do udostępniania funkcji ochrony sieci Web. Nie jest to zwykła sieć VPN i jest lokalną/samopętlaną siecią VPN, która nie przyjmuje ruchu poza urządzeniem.

Administratorzy mogą skonfigurować automatyczne konfigurowanie profilu sieci VPN. Spowoduje to automatyczne skonfigurowanie profilu sieci VPN usługi Defender for Endpoint bez konieczności dołączania użytkownika.

1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiProfile> konfiguracji urządzeń>Utwórz profil.

2. Wybierz pozycję Platforma jako system iOS/iPadOS i typ profilu jako sieć VPN. Wybierz pozycję Utwórz.

3. Wpisz nazwę profilu i wybierz pozycję Dalej.

4. Wybierz pozycję Niestandardowa sieć VPN dla pozycji Typ połączenia i w sekcji Podstawowa sieć VPN wprowadź następujące elementy:

   • Nazwa połączenia: Ochrona punktu końcowego w usłudze Microsoft Defender
   • Adres serwera sieci VPN: 127.0.0.1
   • Metoda uwierzytelniania: "Nazwa użytkownika i hasło"
   • Tunelowanie podzielone: Disable
   • Identyfikator sieci VPN: com.microsoft.scmx
   • W parach klucz-wartość wprowadź klucz AutoOnboard i ustaw wartość na True.
   • Typ automatycznej sieci VPN: sieć VPN na żądanie
   • Wybierz pozycję Dodaj dla reguł na żądanie i wybierz pozycję Chcę wykonać następujące czynności: Ustanawianie sieci VPN, do których chcę ograniczyć: Wszystkie domeny.

   

   • Aby upewnić się, że nie można wyłączyć sieci VPN na urządzeniu użytkowników, administratorzy mogą wybrać opcję Tak z pozycji Blokuj użytkownikom wyłączanie automatycznej sieci VPN. Domyślnie to ustawienie nie jest skonfigurowane, a użytkownicy mogą wyłączyć sieć VPN tylko w obszarze Ustawienia.
   • Aby umożliwić użytkownikom zmianę przełącznika sieci VPN z poziomu aplikacji, dodaj EnableVPNToggleInApp = TRUEwartość w parach klucz-wartość. Domyślnie użytkownicy nie mogą zmieniać przełącznika z poziomu aplikacji.

5. Wybierz pozycję Dalej i przypisz profil do użytkowników docelowych.

6. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

Konfiguracja rejestracji użytkownika (tylko w przypadku urządzeń Intune zarejestrowanych przez użytkownika)

Microsoft Defender aplikacji można wdrożyć na urządzeniach z systemem iOS przy użyciu Intune urządzeń zarejestrowanych przez użytkownika, wykonując następujące kroki.

Administrator

1. Skonfiguruj profil rejestracji użytkownika w Intune. Intune obsługuje rejestrację użytkowników firmy Apple opartą na kontach i rejestrację użytkowników firmy Apple przy użyciu Portal firmy. Przeczytaj więcej na temat porównania tych dwóch metod i wybierz jedną z nich.

   • Konfigurowanie rejestracji użytkowników przy użyciu Portal firmy
   • Konfigurowanie rejestracji użytkowników opartej na kontach

2. Skonfiguruj wtyczkę logowania jednokrotnego. Aplikacja Authenticator z rozszerzeniem logowania jednokrotnego jest warunkiem wstępnym rejestracji użytkowników na urządzeniu z systemem iOS.

   • Utwórz profil konfiguracji urządzenia w Intune. Zobacz wtyczkę logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.
   • Upewnij się, że dodano te dwa klucze w profilu konfiguracji urządzenia:
     • Identyfikator pakietu aplikacji: uwzględnij identyfikator pakietu aplikacji Defender na tej liście com.microsoft.scmx
     • Inna konfiguracja: Klucz: device_registration; Typ: String; Wartość: {{DEVICEREGISTRATION}}

3. Skonfiguruj klucz MDM na potrzeby rejestracji użytkowników.

   1. W centrum administracyjnym Intune przejdź do pozycji Przejdźdopozycji Zasady>> konfiguracji aplikacjiDodaj>zarządzane urządzenia.

   2. Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma>iOS/iPadOS.

   3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

   4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj UserEnrollmentEnabled jako klucz z typem wartości jako Stringi wartością ustawioną na True.

4. Administratorzy mogą wypychać aplikację Microsoft Defender jako wymaganą aplikację VPP z Intune.

Użytkownik końcowy

Aplikacja Microsoft Defender jest instalowana na urządzeniach użytkowników. Każdy użytkownik loguje się i kończy proces dołączania. Po pomyślnym dołączeniu urządzenia jest ono widoczne w portalu Microsoft Defender w obszarze Spis urządzeń.

Obsługiwane funkcje i ograniczenia

• Obsługuje wszystkie bieżące możliwości usługi Defender for Endpoint w systemie iOS. Te funkcje obejmują ochronę sieci Web, ochronę sieci, wykrywanie jailbreaków, luki w zabezpieczeniach systemu operacyjnego i aplikacje oraz alerty w portalu Microsoft Defender.
• Wdrażanie bez dotyku (dyskretne) i automatyczne dołączanie sieci VPN nie są obsługiwane w przypadku rejestracji użytkowników, ponieważ administratorzy nie mogą wypychać profilu sieci VPN na całym urządzeniu przy użyciu rejestracji użytkowników.
• W przypadku zarządzania lukami w zabezpieczeniach aplikacji widoczne są tylko aplikacje w profilu służbowym.
• Zgodność nowo dołączonych urządzeń może potrwać do 10 minut, jeśli zostaną objęte zasadami zgodności.
• Aby uzyskać więcej informacji, zobacz Ograniczenia i możliwości rejestracji użytkowników.

Zakończ dołączanie i sprawdź stan

1. Po zainstalowaniu usługi Defender for Endpoint w systemie iOS na urządzeniu zostanie wyświetlona ikona aplikacji.

   

2. Naciśnij ikonę aplikacji Defender for Endpoint (Defender) i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby wykonać kroki dołączania. Szczegóły obejmują akceptację przez użytkowników końcowych uprawnień systemu iOS wymaganych przez aplikację Microsoft Defender.

   Uwaga

   Pomiń ten krok, jeśli skonfigurujesz dołączanie zero touch (dyskretne). Ręczne uruchamianie aplikacji nie jest konieczne, jeśli skonfigurowano dołączanie zero touch (dyskretne).

3. Po pomyślnym dołączeniu urządzenie zostanie uruchomione na liście Urządzenia w portalu Microsoft Defender.

   

Następne kroki

• Konfigurowanie zasad ochrony aplikacji w celu uwzględnienia sygnałów ryzyka usługi Defender for Endpoint (MAM)
• Konfigurowanie usługi Defender dla punktu końcowego w funkcjach systemu iOS