想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
iOS 版的 Defender for Endpoint 會使用 VPN 來提供網路保護功能。 這不是一般的 VPN,而是本地/自迴圈的 VPN,不會把流量帶到裝置外。
iOS 版 Defender for Endpoint 的條件存取
適用於端點的 Microsoft Defender on iOS 搭配 Microsoft Intune 和 Microsoft Entra ID,能根據裝置風險分數強制執行裝置合規及條件存取政策。 Defender for Endpoint 是一款行動威脅防禦 (MTD) 解決方案,您可以透過 Intune部署以使用此功能。
欲了解更多如何在 iOS 上使用 Defender for Endpoint 設定條件存取的資訊,請參閱 Defender for Endpoint 與 Intune。
網路防護與 VPN
iOS 版 Defender for Endpoint 預設包含並啟用 網路保護功能,有助於保護裝置免受網路威脅,並保護使用者免受網路釣魚攻擊。 網路防護支援反釣魚及自訂指標 (網址與網域) 。 目前 iOS 不支援基於 IP 的自訂指示器。 目前 Android 和 iOS) (行動平台不支援網頁內容過濾。
iOS 版 Defender for Endpoint 使用 VPN 來提供此功能。 VPN 是本地的,且不像傳統 VPN,網路流量不會傳送到裝置外部。
雖然預設是啟用,但有些情況可能需要你關閉 VPN。 舉例來說,你想執行一些在 VPN 設定後無法運作的應用程式。 在這種情況下,你可以依照以下步驟選擇在裝置上的應用程式中停用 VPN:
在你的 iOS 裝置上,打開 設定 應用程式,選擇 「一般 」,然後選擇 VPN。
選擇 i 鍵以選擇 適用於端點的 Microsoft Defender。
關閉「 隨選連線 」以關閉 VPN。
注意事項
當 VPN 被關閉時,網路保護功能就無法使用。 要重新啟用網路保護,請在裝置上開啟 適用於端點的 Microsoft Defender 應用程式,然後選擇開始 VPN。
關閉網路保護
網頁保護是 Defender for Endpoint 的關鍵功能之一,且需要 VPN 來提供此功能。 所使用的 VPN 是本地/迴圈 VPN,而非傳統 VPN,但有幾個原因讓客戶不喜歡 VPN。 如果你不想設定 VPN,可以關閉網頁保護,並在不使用該功能的情況下部署 Defender for Endpoint。 Defender for Endpoint 的其他功能仍然持續運作。
此配置適用於已註冊 (MDM) 裝置及未註冊 (MAM) 裝置。 對於使用 MDM 的客戶,管理員可以在應用程式設定中透過受管理裝置設定網路保護。對於未註冊的客戶,使用 MAM 管理員可以透過應用程式設定中的受管理應用程式來設定網頁保護。
設定網路保護
使用 MDM 關閉網頁保護
請使用以下步驟來關閉已註冊裝置的網路保護。
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
給這個政策取個名字,叫做 iOS/iPadOS 平台>。
選擇 適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面,選擇 使用設定設計器,然後新增
WebProtection為鍵,並將值類型設為String。- 預設情況下,
WebProtection = true。 管理員必須設定WebProtection = false關閉網路保護。 - Defender for Endpoint 會在使用者開啟應用程式時,將心跳訊號傳送到 Microsoft Defender 入口網站。
- 選擇 「下一步」,然後將此設定檔指派給目標裝置/使用者。
- 預設情況下,
使用 MAM 關閉網頁保護
請使用以下步驟來關閉未註冊裝置的網路保護。
在 Microsoft Intune 管理中心,前往 Apps>App 配置政策>新增>受管理應用程式。
給與原則一個「名稱」。
在選擇公開應用程式中,選擇適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面的 「一般設定設定」中,將鍵加
WebProtection為鍵,並將其值設為false。- 預設情況下,
WebProtection = true。 管理員可以設定WebProtection = false關閉網路保護。 - Defender for Endpoint 會在使用者開啟應用程式時,將心跳訊號傳送到 Microsoft Defender 入口網站。
- 選擇 「下一步」,然後將此設定檔指派給目標裝置/使用者。
- 預設情況下,
注意事項
WebProtection該金鑰不適用於監督裝置清單中的控制過濾器。 如果你想關閉監控裝置的網路保護,可以移除控制過濾器設定檔。
設定網路保護
Microsoft Defender 端點的網路保護預設已啟用。 管理員可以使用以下步驟來設定網路保護。 此配置可透過 MDM 設定對已註冊裝置使用,未註冊裝置則透過 MAM 設定提供。
注意事項
網路保護只需建立一種政策,無論是透過 MDM 還是 MAM。 網路保護初始化需要使用者只開啟一次應用程式。
使用 MDM 配置網路保護
要使用 MDM 設定為已註冊裝置設置網路保護,請依照以下步驟操作:
在 Microsoft Intune 管理中心,進入應用程式>設定政策>>,新增受管理裝置。
請提供保單名稱和說明。 在 平台選項中,選擇 iOS/iPad。
在目標應用程式中,選擇適用於端點的 Microsoft Defender。
在 設定 頁面,選擇設定設定格式 使用配置設計器。
新增
DefenderNetworkProtectionEnable為設定鍵。 將其值型別設為String,並將值設為false以停用網路保護。 (網路保護預設已啟用。)
對於其他與網路保護相關的配置,請新增以下鍵,選擇對應的值型態與值。
機碼 值類型 預設 (true-enable,false-disable) 描述 DefenderOpenNetworkDetection整數 2 1 - 審計;0 - 失能;2 - 啟用預設 () 。 此設定由 IT 管理員管理,分別用於稽核、停用或啟用開放網路偵測。 在稽核模式下,事件僅傳送至 Microsoft Defender 入口網站,沒有終端使用者體驗。 為了終端使用者體驗,設定為 Enable。DefenderEndUserTrustFlowEnable字串 錯誤 true - 使得 able,false - disable;此設定被 IT 管理員用來啟用或停用終端使用者的應用程式內體驗,以信任或解除不安全且可疑的網路。 DefenderNetworkProtectionAutoRemediation字串 沒錯 true-使得可能;false - 停用。 此設定由 IT 管理員用來啟用或停用當使用者執行修復活動(如切換至更安全的 Wi-Fi 基地台)時所發出的修復警示。 此設定僅適用於警報,不適用於裝置時間軸事件。 所以,這不適用於開放式 Wi-Fi 偵測。 DefenderNetworkProtectionPrivacy字串 沒錯 true-使得可能;false - 停用。 此設定由 IT 管理員管理,用以啟用或停用網路保護中的隱私。 若隱私被停用,則顯示用戶同意分享惡意 Wi-Fi。 若啟用隱私,則不會顯示用戶同意,也不會收集應用程式資料。 在 分配 區塊中,管理員可以選擇包含或排除的使用者群組。
檢視並建立設定政策。
使用 MAM 配置網路保護
請依照以下程序為未註冊裝置設定 MAM 設定以保護網路 (在 iOS 裝置中 MAM 設定) 必須使用 Authenticator 裝置註冊。
在 Microsoft Intune 管理中心,導覽到 Apps>App 配置政策>新增>受管理應用程式>建立新的 App 配置政策。
提供名稱和描述以唯一識別保單。 接著選擇「選擇公開應用程式」,並選擇 Microsoft Defender for Platform iOS/iPadOS。
在 設定 頁面,將 DefenderNetworkProtectionEnable 作為鍵,並以 DefenderNetworkProtectionEnabled 作為停用網路保護的值
false。 (網路保護預設已啟用。)
對於其他與網路保護相關的配置,請新增以下金鑰及相應的值。
機碼 預設 (true - 啟用,false - 停用) 描述 DefenderOpenNetworkDetection2 1 - 審計;0 - 失能;2 - 啟用預設 () 。 此設定由 IT 管理員管理,用以啟用、稽核或停用開放網路偵測。 在審核模式下,事件僅傳送至 ATP 入口網站,沒有使用者端經驗。 為了使用者體驗,設定設定為「啟用」模式。 DefenderEndUserTrustFlowEnable錯誤 true-使得可能;false - 停用。 此設定被 IT 管理員用來啟用或停用終端使用者的應用程式內體驗,以信任或解除不安全且可疑的網路。 DefenderNetworkProtectionAutoRemediation沒錯 true-使得可能;false - 停用。 此設定由 IT 管理員用來啟用或停用當使用者執行修復活動(如切換至更安全的 Wi-Fi 基地台)時所發出的修復警示。 這個設定只適用於警示,不會用於裝置時間軸事件。 所以,這不適用於開放式 Wi-Fi 偵測。 DefenderNetworkProtectionPrivacy沒錯 true-使得可能;false - 停用。 此設定由 IT 管理員管理,用以啟用或停用網路保護中的隱私。 如果隱私被關閉,則顯示使用者同意分享惡意 Wi-Fi 的情景。 若啟用隱私,則不會顯示用戶同意,也不會收集應用程式資料。 在 分配 區塊中,管理員可以選擇包含或排除的使用者群組。
檢視並建立設定政策。
重要事項
自 2025 年 5 月 19 日起,Microsoft Defender 入口網站中不再在使用者連接開放無線網路時產生警報。 取而代之的是,這些活動現在會產生事件,並可在裝置時間軸中查看。 隨著此變更,安全營運中心 (SOC) 分析師現在可以將與開放無線網路的連接/斷開視為事件。 若啟用自動修復金鑰,變更生效後舊警報會自動解決。
以下是關於這項變動的關鍵點:
- 要生效這些變更,終端用戶必須更新至2025年5月推出的iOS版Defender for Endpoint最新版本。 否則,過去產生警報的經驗仍然存在。 如果管理員啟用自動修復金鑰,變更生效後舊警報會自動解決。
- 當終端使用者在同一 24 小時內多次連接或斷開開放的無線網路時,該 24 小時內只會產生一次連線與斷線事件並傳送到裝置時間軸。
- 啟用使用者信任網路:更新後,開放無線網路(包括使用者受信任網路)的連線與斷線事件會以事件形式傳送至裝置時間軸。
- 這項變更不會影響 GCC 的客戶。 過去在連接開放無線網路時收到警報的經驗仍然適用於他們。
多個 VPN 設定檔的共存
Apple iOS 不支援多個裝置範圍內的 VPN 同時啟用。 雖然裝置上可以存在多個 VPN 設定檔,但同時只能啟用一個 VPN。
在應用程式保護政策中設定適用於端點的 Microsoft Defender風險訊號 (MAM)
iOS 上的 適用於端點的 Microsoft Defender 啟用了應用程式保護政策的情境。 最終用戶可以直接從蘋果應用商店安裝最新版本的應用程式。 確保裝置已註冊到 Authenticator,並且在 Defender 成功註冊 MAM 時,使用相同的帳號來登入。
適用於端點的 Microsoft Defender 可設定為發送威脅訊號,用於應用程式保護政策 (APP,也稱為 iOS/iPadOS 上的 MAM) 。 有了這項功能,你也可以使用 適用於端點的 Microsoft Defender,保護未註冊裝置對企業資料的存取。
請依照以下連結的步驟設定應用程式保護政策適用於端點的 Microsoft Defender 在應用程式保護政策中配置 Defender 風險訊號 (MAM)
欲了解更多關於 MAM 或應用程式保護政策的資訊,請參閱 iOS 應用程式保護政策設定。
隱私權控制
iOS 版的 適用於端點的 Microsoft Defender 為管理員和終端使用者啟用隱私控制。 這包括已註冊 (MDM) 及未註冊 (MAM) 裝置的控制。
如果你使用 MDM,管理員可以透過 App 設定中的受管理裝置設定隱私控制。如果你使用 MAM 但未註冊,管理員可以透過 App 設定中的 Managed 應用程式來設定隱私控制。最終使用者也能在 Microsoft Defender 應用程式設定中設定隱私設定。
在釣魚警報報告中設定隱私
客戶現在可以在 iOS 上啟用 適用於端點的 Microsoft Defender 所發送的釣魚報告的隱私控制,這樣當 適用於端點的 Microsoft Defender 偵測到釣魚網站並封鎖釣魚網站時,該網域名稱就不會被包含在釣魚警報中。
在 MDM 中設定隱私控制
請依照以下步驟啟用隱私,避免將網域名稱作為註冊裝置釣魚警示報告的一部分。
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
給政策命名為 Platform > iOS/iPadOS,選擇設定檔類型。
選擇 適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面,選擇 「使用設定設計器 」並「新增
DefenderExcludeURLInReport」作為鍵,並將值類型設為 布林值。- 為了實現隱私且不收集網域名稱,請輸入該值
true,並將此政策分配給使用者。 預設情況下,此值設為false。 - 對於將金鑰設為
true的使用者,當惡意網站被 Defender for Endpoint 偵測並封鎖時,釣魚警報不會包含網域名稱資訊。
- 為了實現隱私且不收集網域名稱,請輸入該值
選擇 「下一步 」,並將此設定檔指派給目標裝置/使用者。
在 MAM 中設定隱私控制
請依照以下步驟啟用隱私,避免將網域名稱作為未註冊裝置釣魚警示報告的一部分。
在 Microsoft Intune 管理中心,前往 Apps>App 配置政策>新增>受管理應用程式。
給與原則一個「名稱」。
在選擇公開應用程式中,選擇適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面的 一般設定設定下,將 add
DefenderExcludeURLInReport作為鍵,並將其值設為true。- 為了實現隱私且不收集網域名稱,請輸入該值
true,並將此政策分配給使用者。 預設情況下,此值設為false。 - 對於將金鑰設為
true的使用者,當惡意網站被 Defender for Endpoint 偵測並封鎖時,釣魚警報不會包含網域名稱資訊。
- 為了實現隱私且不收集網域名稱,請輸入該值
選擇 「下一步 」,並將此設定檔指派給目標裝置/使用者。
在 Microsoft Defender 應用程式中設定終端使用者隱私控制
這些控制措施幫助最終使用者配置向組織分享的資訊。
對於受監督的裝置,最終使用者的控制是看不到的。 你的管理員決定並控制設定。 不過,對於無監督裝置,控制項會顯示在設定>隱私區。
使用者會看到「 不安全網站資訊」的切換開關。 這個開關只有在管理員設定 DefenderExcludeURLInReport = true時才會顯示。
若由管理員啟用,使用者可指定是否將不安全的網站資訊傳送至組織。 預設 false是 ,這表示不安全的網站資訊不會被傳送。 如果使用者將它切換為 true,就會傳送不安全的網站資訊。
開啟或關閉隱私控制不會影響裝置合規檢查或條件存取。
注意事項
在帶有設定檔的監督裝置上,適用於端點的 Microsoft Defender 可以存取整個網址,若被發現是釣魚攻擊,則會被封鎖。 在非監督裝置上,適用於端點的 Microsoft Defender 只能存取網域名稱,如果網域不是釣魚 URL,就不會被封鎖。
可選權限
iOS 版的 適用於端點的 Microsoft Defender 在導入流程中啟用了可選的權限。 目前 Defender for Endpoint 所需的權限在導入流程中是強制的。 透過此功能,管理員可以在 BYOD 裝置上部署 Defender for Endpoint,而無需在導入時強制執行 VPN 權限。 最終用戶可以在沒有強制權限的情況下直接啟動應用程式,之後還能檢視這些權限。 此功能目前僅適用於註冊的 MDM) 裝置 (。
使用 MDM 設定可選權限
管理員可依以下步驟為已註冊裝置啟用可選 VPN 權限。
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
給政策命名,選擇 iOS/iPadOS 平台>。
選擇 適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面,選擇 「使用配置設計器 」並「新增
DefenderOptionalVPN」作為鍵,並將值類型設為Boolean。- 要啟用可選的 VPN 權限,請輸入 值為
true,並將此政策指派給使用者。 預設情況下,此值設為false。 - 對於將金鑰設為
true的使用者,可以在不授權 VPN 的情況下直接啟動應用程式。
- 要啟用可選的 VPN 權限,請輸入 值為
選擇 「下一步 」,並將此設定檔指派給目標裝置/使用者。
作為終端使用者設定可選權限
終端使用者安裝並開啟 Microsoft Defender 應用程式以開始新手操作。
- 如果管理員設定了可選權限,使用者可以跳過 VPN 權限並完成新成員啟動。
- 即使使用者跳過 VPN,裝置仍能上線並傳送心跳訊號。
- 如果 VPN 被關閉,網頁保護就不會啟動。
- 之後,使用者可以在應用程式內啟用網路保護,並安裝 VPN 設定。
注意事項
可選權限與停用網頁保護不同。 可選的 VPN 權限只幫助在新手啟動時跳過該權限,但最終使用者可以之後檢視並啟用。 而 Disable Web Protection 則允許用戶在沒有 Web Protection 的情況下啟動 Defender for Endpoint 應用程式。 之後無法啟用。
越獄偵測
適用於端點的 Microsoft Defender 具備偵測未受管理及受管理越獄裝置的能力。 這些越獄檢查會定期進行。 若裝置被偵測為越獄,將發生以下事件:
- 高風險警示會被回報至 Microsoft Defender 入口網站。 如果裝置合規與條件存取是根據裝置風險分數設定,則該裝置將被阻擋存取企業資料。
- 應用程式上的使用者資料已被清除。 越獄後使用者開啟應用程式時,VPN 設定檔 (Defender for Endpoint 迴圈 VPN 設定檔) 也會被刪除,且不會提供網頁保護。 Intune 提供的 VPN 設定檔不會被移除。
針對越獄裝置設定合規政策
為了防止企業資料在越獄的 iOS 裝置上被存取,我們建議您在 Intune 上建立以下合規政策。
注意事項
越獄偵測是 iOS 版 適用於端點的 Microsoft Defender 提供的一項功能。 不過,我們建議您將此政策作為防範越獄情境的額外防護層。
請依照以下步驟制定針對越獄裝置的合規政策。
在 Microsoft Intune 管理中心,請前往裝置>合規政策>建立政策。 選擇「iOS/iPadOS」作為平台,然後選擇 建立。
請指定政策名稱,例如「越獄合規政策」。
在合規設定頁面中,選擇展開裝置健康區塊,並在越獄裝置欄位中選擇
Block。
在「 違規行動 」區塊中,依照你的需求選擇行動,然後選擇 下一步。
在 分配 區塊中,選擇你想納入此政策的使用者群組,然後選擇 「下一步」。
在 「審查+建立 」區塊,確認所有輸入的資訊正確,然後選擇 「建立」。
設定自訂指示器
iOS 版的 Defender for Endpoint 也允許管理員在 iOS 裝置上設定自訂指示器。 欲了解更多如何配置自訂指示器的資訊,請參閱 指示器概覽。
注意事項
iOS 版 Defender for Endpoint 支援僅為 URL 和網域建立自訂指標。 iOS 不支援基於 IP 的自訂指示器。
IP
245.245.0.1是 Defender 內部的 IP,客戶不應該將它納入自訂指示器,以避免功能問題。 對於 iOS 來說,當 Microsoft Defender 入口網站存取指示器中設定的 URL 或網域時,不會產生警報。
MDE 入口網站的時間軸不會顯示非監督裝置自訂 URL 指示區塊的網址,而是標記為隱藏以保護隱私。
配置應用程式的漏洞評估
降低網路風險需要全面的風險基礎漏洞管理,以識別、評估、修復並追蹤你最關鍵資產中所有最大漏洞,全部集中於單一解決方案中。 請造訪此頁面,了解更多關於 Microsoft Defender 弱點管理在 適用於端點的 Microsoft Defender 中的漏洞管理。
iOS 版 Defender for Endpoint 支援作業系統與應用程式的漏洞評估。 iOS 版本的漏洞評估功能適用於已註冊的 MDM) (及未註冊的 (MAM) 裝置。 應用程式的漏洞評估僅限於註冊 (MDM) 裝置。 管理員可依照以下步驟設定應用程式的漏洞評估。
在有監督的裝置上
確保裝置設定為 監督模式。
要在 Microsoft Intune 管理中心啟用此功能,請前往端點安全>適用於端點的 Microsoft Defender>啟用 iOS/iPadOS 裝置應用程式同步。
注意事項
要取得所有應用程式清單,包括未管理的應用程式,管理員必須在 Intune 管理員 入口網站中啟用「傳送完整應用程式庫存資料」,該設定是針對標示為「個人」的受監督裝置。 對於Intune 管理員入口網站中標記為「企業」的受監督裝置,管理員不必啟用「傳送完整應用程式清單資料」的個人 iOS/iPadOS 裝置。
在無監督裝置上
要在 Microsoft Intune 管理中心啟用此功能,請前往端點安全>適用於端點的 Microsoft Defender>啟用 iOS/iPadOS 裝置應用程式同步。
要取得所有應用程式清單,包括未管理的應用程式,請啟用「 在個人擁有的 iOS/iPadOS 裝置上傳送完整應用程式清單資料」的切換功能。
請依照以下步驟設定隱私設定。
前往 應用程式>App 設定政策>新增>受管理裝置。
給這個政策取個名字,叫做iOS/iPadOS平台>。
選擇 適用於端點的 Microsoft Defender 作為目標應用程式。
在 設定 頁面,選擇使用設定設計器,並新增
DefenderTVMPrivacyMode為金鑰。 將其值型別設為String。- 若要關閉隱私並收集已安裝的應用程式清單,請將值指定為
False,然後將此政策指派給使用者。 - 預設情況下,這個值會設定為非
True監督裝置。 - 對於將金鑰設為
False的使用者,Defender for Endpoint 會傳送裝置上安裝的應用程式清單以進行漏洞評估。
- 若要關閉隱私並收集已安裝的應用程式清單,請將值指定為
選擇 「下一步 」,並將此設定檔指派給目標裝置/使用者。
開啟或關閉隱私控制不會影響裝置合規檢查或條件存取。
設定套用後,終端使用者必須開啟應用程式以核准隱私設定。
隱私審核畫面僅在無監督裝置時出現。
只有當最終使用者核准隱私權時,應用程式資訊才會被傳送到Defender for Endpoint主控台。
一旦客戶端版本部署到目標 iOS 裝置,處理就會開始。 這些裝置上的漏洞會開始顯示在 Defender 弱點管理儀表板中。 處理過程可能需要幾小時 (最多24小時) 完成。 這個時間點對於整個應用程式清單出現在軟體庫存中尤其重要。
注意事項
如果你在 iOS 裝置中使用 SSL 檢測方案,請在商業環境中) securitycenter.windows.us (網域名稱securitycenter.windows.com,並在 GCC 環境中 () 威脅與弱點管理功能。
TVM 隱私權限審核畫面只會顯示在啟用無監督且非零觸控的裝置上。 即使是非零觸控裝置,也僅在有監督且金鑰已設定的裝置上,issupervised批准也不需要
停用登出
iOS 版 Defender for Endpoint 支援應用程式中的部署無需登出按鈕,以防止使用者登出 Defender 應用程式。 這對於防止使用者竄改裝置非常重要。
此配置適用於已註冊 (MDM) 裝置及未註冊 (MAM) 裝置。 管理員可以依照以下步驟設定「停用登出」
設定使用 MDM 停用登出
註冊裝置 (MDM)
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
先給政策命名,然後選擇iOS/iPadOS平台>。
選擇
Microsoft Defender for Endpoint為目標應用程式。在 設定 頁面,選擇 使用設定設計器,並新增
DisableSignOut為金鑰。 將其值型別設為String。- 預設情況下,
DisableSignOut = false。 - 管理員可以在應用程式中設定
DisableSignOut = true停用登出按鈕。 用戶在政策按下後不會看到登出按鈕。
- 預設情況下,
選擇 「下一步」,然後將此政策指派給目標裝置/使用者。
設定使用 MAM 停用登出
對於未註冊的裝置 (MAM)
在 Microsoft Intune 管理中心,前往應用程式>、應用程式設定政策>、新增>受管理應用程式。
給與原則一個「名稱」。
在 「選擇公開應用程式」中,選擇
Microsoft Defender for Endpoint為目標應用程式。在 設定 頁面,新增
DisableSignOut為鍵,並將其值設為true。- 預設情況下,
DisableSignOut = false。 - 管理員可以在應用程式中設定
DisableSignOut = true停用登出按鈕。 用戶在政策按下後不會看到登出按鈕。
- 預設情況下,
選擇 「下一步」,然後將此政策指派給目標裝置/使用者。
裝置標籤
iOS 版的 Defender for Endpoint 允許管理員透過 Intune 設定標籤,讓行動裝置在入職時批量標籤。 管理員可以透過 Intune 的設定政策設定裝置標籤,並將標籤推送到使用者的裝置上。 使用者安裝並啟用 Defender 後,客戶端應用程式會將裝置標籤傳遞給 Microsoft Defender 入口網站。 裝置標籤會顯示在裝置清單中的裝置中。
此配置適用於已註冊 (MDM) 裝置及未註冊 (MAM) 裝置。 管理員可使用以下步驟來設定裝置標籤。
注意事項
Intune 不支援設定多個裝置標籤,因為設定後只會反映一個裝置標籤。 不過,可以在 Microsoft Defender 入口網站手動新增多個裝置標籤。
使用 MDM 設定裝置標籤
註冊裝置 (MDM)
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
先給政策命名,然後選擇iOS/iPadOS平台>。
選擇
Microsoft Defender for Endpoint為目標應用程式。在 設定 頁面,選擇 使用設定設計器,並新增
DefenderDeviceTag為金鑰。 將其值型別設為String。- 管理員可以透過新增金鑰
DefenderDeviceTag並為裝置標籤設定值來指派新標籤。 - 管理員可以透過修改鍵
DefenderDeviceTag值來編輯現有標籤。 - 管理員可以透過移除金鑰
DefenderDeviceTag來刪除現有標籤。
- 管理員可以透過新增金鑰
選擇 「下一步」,然後將此政策指派給目標裝置/使用者。
使用 MAM 配置裝置標籤
對於未註冊的裝置 (MAM)
在 Microsoft Intune 管理中心,前往 Apps>App 配置政策>新增>受管理應用程式。
給與原則一個「名稱」。
在 「選擇公開應用程式」中,選擇
Microsoft Defender for Endpoint為目標應用程式。在設定頁面,將「一般設定設定) 」下的 (加
DefenderDeviceTag為鍵。- 管理員可以透過新增金鑰
DefenderDeviceTag並設定裝置標籤值來指派新標籤。 - 管理員可以透過修改鍵
DefenderDeviceTag值來編輯現有標籤。 - 管理員可以透過移除金鑰
DefenderDeviceTag來刪除現有標籤。
- 管理員可以透過新增金鑰
選擇 「下一步」,然後將此政策指派給目標裝置/使用者。
注意事項
Microsoft Defender 應用程式必須先開啟,標籤才能與 Intune 同步並傳送至 Microsoft Defender 入口網站。 標籤在入口網站上的顯示可能需要長達18小時。
抑制作業系統更新通知
客戶可在 iOS 版 Defender for Endpoint 中設定抑制作業系統更新通知。 一旦設定金鑰在 Intune App 的設定政策中設定好,Defender for Endpoint 就不會在裝置上發送任何作業系統更新通知。 不過,當你打開 Microsoft Defender 應用程式時,裝置健康卡會顯示並顯示作業系統的狀態。
此配置適用於已註冊 (MDM) 裝置及未註冊 (MAM) 裝置。 管理員可以使用以下步驟來抑制作業系統更新通知。
使用 MDM 設定作業系統更新通知
註冊裝置 (MDM)
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
給政策命名,選擇iOS/iPadOS平台>。
選擇
Microsoft Defender for Endpoint為目標應用程式。在 設定 頁面,選擇 使用設定設計器,並新增
SuppressOSUpdateNotification為金鑰。 將其值型別設為String。- 預設情況下,
SuppressOSUpdateNotification = false。 - 管理員可以設定
SuppressOSUpdateNotification = true抑制作業系統更新通知。 - 選擇 「下一步 」,並將此政策指派給目標裝置/使用者。
- 預設情況下,
使用 MAM 設定作業系統更新通知
對於未註冊的裝置 (MAM)
在 Microsoft Intune 管理中心,前往應用程式>、應用程式設定政策>、新增>受管理應用程式。
給與原則一個「名稱」。
在 「選擇公開應用程式」中,選擇
Microsoft Defender for Endpoint為目標應用程式。在設定頁面,將「一般設定設定) 」下的 (加
SuppressOSUpdateNotification為鍵。- 預設情況下,
SuppressOSUpdateNotification = false。 - 管理員可以設定
SuppressOSUpdateNotification = true抑制作業系統更新通知。
- 預設情況下,
選擇 「下一步 」,並將此政策指派給目標裝置/使用者。
設定發送應用程式內回饋的選項
客戶現在可以在 Defender for Endpoint 應用程式中設定將回饋資料傳送給 Microsoft 的功能。 回饋資料幫助 Microsoft 改進產品並排除問題。
注意事項
對於美國政府雲端客戶,回饋資料收集預設是關閉的。
請使用以下步驟設定將回饋資料傳送給 Microsoft 的選項:
在 Microsoft Intune 管理中心,點選 Apps>App 配置政策>新增>受管理裝置。
給政策命名,並選擇 iOS/iPadOS 平台>作為設定檔類型。
選擇
Microsoft Defender for Endpoint為目標應用程式。在 設定 頁面,選擇 「使用配置設計器 」並「新增
DefenderFeedbackData」作為鍵,並將值類型設為Boolean。- 為了消除終端使用者提供回饋的能力,請將值設為 ,
false並將此政策指派給使用者。 預設情況下,此值設為true。 對美國政府客戶,預設值設為「false」。 - 對於將按鍵設定為
true的用戶,在應用程式內有一個選項可以將回饋資料傳送給Microsoft (選單>說明 & 回饋> 將回饋傳送到Microsoft) 。
- 為了消除終端使用者提供回饋的能力,請將值設為 ,
選擇 「下一步 」,並將此設定檔指派給目標裝置/使用者。
舉報不安全的網站
釣魚網站冒充可信網站,透過取得您的個人或財務資訊。 請造訪 「提供網路保護回饋 」頁面,舉報可能成為釣魚網站的網站。
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。