共用方式為

在 iOS 上部署 適用於端點的 Microsoft Defender Microsoft Intune

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本文說明如何在 iOS 上部署 Defender for Endpoint, (使用 Microsoft Defender 應用程式) 搭配Microsoft Intune 公司入口網站已註冊的裝置。 欲了解更多關於 Microsoft Intune 裝置註冊的資訊,請參閱 Enroll iOS/iPadOS 裝置於 Intune

開始之前

注意事項

Microsoft Defender 應用程式可在 Apple App Store 取得。

本節涵蓋:

  1. 部署步驟 (適用於監督與非監督裝置) 管理員可透過 Microsoft Intune 公司入口網站 部署 iOS 上的 Defender for Endpoint。 這個步驟對於 VPP (大量購買應用程式) 來說並不必要。

  2. 僅對受監督設備 (完整部署) - 管理員可選擇部署任一指定配置檔。

    • 零點接觸 (靜音) 控制過濾器 -提供網頁保護,無需本地迴圈 VPN,並為使用者啟用靜默新人。 該應用程式會自動安裝並啟用,使用者無需自行開啟應用程式。
    • 控制過濾器 - 提供網路保護,無需本地迴圈 VPN。

  3. 自動啟動設定 (僅限於 非監督 裝置) - 管理員可以透過兩種不同方式自動化 Defender for Endpoint 使用者的導入:

    • 零觸控 (靜音) 入職——Microsoft Defender 應用程式會自動安裝並啟用,使用者無需開啟應用程式。
    • VPN 自動上線 - Defender for Endpoint VPN 設定檔會在使用者啟動時自動設定。 此步驟不建議在零觸控配置中使用。

  4. 使用者註冊設定 (僅限Intune使用者註冊裝置) ——管理員也能在Intune用戶註冊裝置上部署及設定 Defender for Endpoint 應用程式。

  5. 完成入職與檢查狀態 - 此步驟適用於所有註冊類型,確保應用程式已安裝於裝置上、入職完成,且裝置在 Microsoft Defender 入口網站中可見。 為了零點觸控 (靜音) 入職流程,可以跳過這個流程。

部署步驟 (適用於監督與非監督裝置)

透過 Microsoft Intune 公司入口網站 部署 iOS 上的 Defender for Endpoint。

新增 iOS 商店應用程式

  1. Microsoft Intune 管理中心,選擇 >iOS/iPadOS>新增>iOS 商店應用程式,然後選擇選擇。

    Microsoft Intune 管理中心的新增應用程式標籤

  2. 新增應用程式頁面,選擇搜尋 App Store,並在搜尋欄輸入 Microsoft Defender。 在搜尋結果區塊中,選擇 Microsoft Defender 並選擇 Select

  3. 選擇 iOS 15.0 作為最低作業系統。 查看應用程式的其他資訊,然後選擇 「下一步」。

  4. 作業 區塊,請前往 必修 區塊並選擇 新增群組。 接著你可以選擇想要在 iOS 版 Defender for Endpoint 上鎖定的使用者群組。 選擇 「選擇」,然後選擇 「下一步」。

    注意事項

    所選使用者群組應由 Microsoft Intune 註冊用戶組成。

    Microsoft Intune 管理中心的新增群組標籤

  5. 「審查+建立 」區塊,確認所有輸入的資訊正確,然後選擇 「建立」。 再過幾分鐘,Defender for Endpoint 應用程式應該會成功建立,頁面右上角會顯示通知。

  6. 在顯示的應用程式資訊頁面中,在 「監控 器」區塊中,選擇 裝置安裝狀態 以確認裝置安裝是否成功完成。

    裝置安裝狀態頁面

監督設備的完整部署

Microsoft Defender 應用程式在受監督的 iOS/iPadOS 裝置上,利用平台的進階管理功能,提供更強大的功能。 它也能提供網路保護,無需裝置設置本地 VPN。 這確保了使用者體驗順暢,同時防範網路釣魚及其他網路威脅。

管理員可使用以下步驟配置監督裝置。

透過 Microsoft Intune 設定監督模式

透過應用程式設定政策和裝置設定檔,為 Microsoft Defender 應用程式設定監督模式。

應用程式設定原則

注意事項

這個針對受監督裝置的應用程式設定政策僅適用於受管理裝置,且應針對所有受管理的 iOS 裝置作為最佳實務。

  1. 登入 Microsoft Intune 管理中心,然後前往 Apps>App 設定政策>的新增。 選擇 受管理裝置

    Microsoft Intune 管理中心圖片4.

  2. 「建立應用程式設定政策 」頁面,請提供以下資訊:

    • 原則名稱
    • 平台:選擇 iOS/iPadOS
    • 目標應用程式:從列表中選擇 適用於端點的 Microsoft Defender

    Microsoft Intune 管理中心圖片5。

  3. 在下一個畫面,選擇 「使用設定設計器 」作為格式。 請指定以下特性:

    • 配置說明: issupervised
    • 值類型:字串
    • 配置值: {{issupervised}}

    Microsoft Intune 管理中心圖片6。

  4. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

  5. 分配 頁面,選擇收到此資料的團體。 在這種情況下,最佳做法是針對 所有裝置。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    部署到使用者群組時,使用者必須先登入裝置,才能套用該政策。

    選取 [下一步]

  6. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

裝置配置檔 (控制過濾器)

注意事項

對於以監督模式) 運行 iOS/iPadOS (的裝置,有一個自訂 .mobileconfig 設定檔稱為 ControlFilter 設定檔。 此設定檔啟用網路保護 ,無需在裝置上設定本地迴圈 VPN。 這讓終端用戶能無縫體驗,同時受到網路釣魚及其他網路攻擊的保護。

不過, ControlFilter 設定檔因平台限制無法支援 Always-On VPN (AOVPN) 。

管理員可部署任一指定設定檔。

  1. 零觸控 (靜音) 控制過濾器 - 此設定檔允許使用者靜默上線。 從 ControlFilterZeroTouch 下載 設定檔。

  2. Control Filter - 從 ControlFilter 下載 設定檔。

設定檔下載完成後,部署自訂設定檔。 依照下列步驟執行:

  1. 前往 裝置>iOS/iPadOS>設定檔>建立設定檔

  2. 選擇個人檔案類型>範本範本名稱>自訂。

    Microsoft Intune 管理中心圖片7.

  3. 提供個人檔案名稱。 當被要求匯入設定檔時,選擇從前一步下載的檔案。

  4. 指派 區塊中,選擇你想套用此設定檔的裝置群組。 作為最佳實務,這應該適用於所有受管理的 iOS 裝置。 選取 [下一步]

    注意事項

    裝置群組建立在 Defender for Endpoint Plan 1 與 Plan 2 中皆有支援。

  5. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

自動啟動設定 (僅限於非監督裝置)

管理員可以透過兩種方式自動化使用者使用 Defender for Endpoint,分別是零觸控 (靜默) 入職或 VPN 自動啟動。

零觸控 (靜音) 導入 Defender for Endpoint

注意事項

零觸控無法在未註冊的 iOS 裝置上設定,且沒有用戶對無使用者裝置或共享裝置 () 。

管理員可以設定 適用於端點的 Microsoft Defender 進行靜默部署與啟用。 在此過程中,管理員建立部署設定檔,並通知使用者安裝進度。 Defender for Endpoint 會自動安裝,使用者無需開啟應用程式。 請依照本文步驟在註冊的 iOS 裝置上配置 Defender for Endpoint 的零觸控或靜音部署:

  1. Microsoft Intune 管理中心,請前往裝置>設定檔>建立設定檔

  2. 選擇 平台iOS/iPadOS設定檔類型範本範本名稱VPN。 選取 [建立]

  3. 輸入個人檔案名稱並選擇 「下一步」。

  4. 選擇 「自訂 VPN 」以設定連線類型,並在 基礎 VPN 區塊輸入以下內容:

    • Connection Name: 適用於端點的 Microsoft Defender
    • VPN 伺服器地址: 127.0.0.1
    • 認證方法:「使用者名稱與密碼」
    • 分割隧道: Disable
    • VPN 識別碼: com.microsoft.scmx
    • 在鍵值對中,輸入鍵 SilentOnboard 並將值設為 True
    • 自動VPN類型: On-demand VPN
    • 選擇 「新增選規則」,然後選擇 「我想做以下事:建立 VPN」,然後設定 「我想限制為:所有網域」。

    VPN 設定檔設定頁面

    • 為了強制使用者裝置中無法關閉 VPN,管理員可以從「阻止使用者停用自動 VPN」中選擇「是」。 預設情況下,它沒有設定,使用者只能在 設定中關閉 VPN。
    • 若要讓使用者在應用程式內更改 VPN 切換,請在鍵值對中加入 EnableVPNToggleInApp = TRUE。 預設情況下,使用者無法在應用程式內更改開關。

  5. 選擇 「下一步 」,並將個人檔案指派給目標使用者。

  6. 「審查+建立 」區塊,確認所有輸入的資訊正確,然後選擇 「建立」。

完成此設定並與裝置同步後,目標 iOS 裝置會執行以下操作:

  • Defender for Endpoint 已部署並靜默上線。 裝置在上線後會在 Microsoft Defender 入口網站中顯示。
  • 會向使用者的裝置發送臨時通知。
  • 網頁保護及其他功能已啟用。

在某些情況下,出於安全考量,如密碼變更、多重驗證等,零觸控入門可能需要終端使用者手動登入 Microsoft Defender 應用程式。 

答:對於首次入職情境,最終用戶會收到靜默通知

顯示 MDE 靜音通知的截圖

最終使用者應採取以下步驟:

  1. 打開 Microsoft Defender 應用程式或點擊通知訊息。

  2. 從帳戶選擇畫面選擇已註冊的企業帳戶。

  3. 登入。

裝置已完成上線並開始向 Microsoft Defender 入口網站回報。

B:對於已上線的裝置,終端使用者會看到靜默通知

顯示 MDE 應用程式靜音通知的截圖

  1. 打開 Microsoft Defender 應用程式,或點擊通知。  

  2. 當 Microsoft Defender 應用程式提示時,請登入。

之後,裝置會再次向 Microsoft Defender 入口網站回報。 

注意事項

  • 零觸控設定在背景完成可能需要長達5分鐘。
  • 對於受監督的裝置,管理員可使用 ZeroTouch 控制過濾設定檔設定零觸控入門。 在這種情況下,裝置上並未安裝 Defender for Endpoint VPN 設定檔,網頁保護則由控制過濾設定檔提供。

VPN 設定檔自動上線 (簡化上線)

注意事項

此步驟透過設定 VPN 設定檔,簡化了入門流程。 如果你使用零觸控,就不需要執行這個步驟。

對於無監督裝置,VPN 會提供網路保護功能。 這不是一般的 VPN,而是本地/自迴圈的 VPN,不會把流量帶到裝置外。

管理員可以設定 VPN 設定檔的自動設定。 這會自動設定 Defender for Endpoint VPN 設定檔,使用者在導入時不需要自己設定。

  1. Microsoft Intune 管理中心,請前往裝置>設定檔>建立設定檔

  2. 選擇 iOS/iPadOS 選擇平台設定檔類型VPN。 選取 [建立]

  3. 輸入個人檔案名稱並選擇 「下一步」。

  4. 選擇 「自訂 VPN 」以設定連線類型,並在 基礎 VPN 區塊輸入以下內容:

    • Connection Name: 適用於端點的 Microsoft Defender
    • VPN 伺服器地址: 127.0.0.1
    • 認證方法:「使用者名稱與密碼」
    • 分割隧道: Disable
    • VPN 識別碼: com.microsoft.scmx
    • 在鍵值對中,輸入鍵 AutoOnboard 並將值設為 True
    • 自動 VPN 類型:隨選 VPN
    • 選擇 「新增選規則 」,並選擇 「我想做以下事:建立 VPN我想限制為:所有網域」。

    VPN 設定檔的設定標籤。

    • 為了確保使用者裝置無法關閉 VPN,管理員可以從「阻止使用者停用自動 VPN」中選擇「是」。 預設情況下,這個設定未被設定,使用者只能在 設定中關閉 VPN。
    • 若要讓使用者在應用程式內更改 VPN 切換,請在鍵值對中加入 EnableVPNToggleInApp = TRUE。 預設情況下,使用者無法在應用程式內更改開關。

  5. 選擇 「下一步」,並將設定檔指派給目標使用者。

  6. 「審查+建立 」區塊,確認所有輸入的資訊正確,然後選擇 「建立」。

使用者註冊設定 (僅限Intune使用者註冊裝置)

Microsoft Defender 應用程式可透過以下步驟部署至 iOS 裝置,並搭配 Intune User Enrolled 裝置。

系統管理員

  1. 在 Intune 中設定使用者註冊檔案。 Intune 支援以帳戶驅動的 Apple 用戶註冊以及 Apple 用戶註冊與公司入口網站。 閱讀更多關於兩種 方法比較的 資訊,並選擇其中一種。

  2. 設定 SSO 插件。 使用 Authenticator 應用程式搭配 SSO 擴充功能是使用者註冊 iOS 裝置的前提條件。

    • 在 Intune 建立裝置設定檔。 請參考 Microsoft Enterprise 的 Apple 裝置 SSO 外掛
    • 請務必在裝置設定檔中加入這兩個鍵:
      • App Bundle ID:請將 Defender App Bundle ID 納入此清單 com.microsoft.scmx
      • 另一種配置:註: device_registration;類型: String;價值: {{DEVICEREGISTRATION}}

  3. 設定 MDM 金鑰用於使用者註冊。

    1. Intune 管理中心,選擇「前往應用程式>、應用程式設定、政策>」「新增>受管理裝置」。

    2. 先給政策命名,然後選擇iOS/iPadOS平台>。

    3. 選擇 適用於端點的 Microsoft Defender 作為目標應用程式。

    4. 設定 頁面,選擇 使用配置設計器,並將鍵加為 UserEnrollmentEnabled ,值類型為 String,值設為 True

  4. 管理員可以將 Microsoft Defender 應用程式推送為 Intune 的必備 VPP 應用程式。

終端使用者

Microsoft Defender 應用程式已安裝在使用者的裝置中。 每位使用者登入並完成入職流程。 一旦裝置成功上線,就會在 Microsoft Defender 入口網站的裝置庫存中看到。

支援的功能與限制

  • 支援 iOS 上 Defender for Endpoint 的所有現有功能。 這些功能包括網頁防護、網路防護、越獄偵測、作業系統與應用程式的漏洞,以及 Microsoft Defender 入口網站的警報。
  • 零觸控 (靜默) 部署及 VPN 自動上線在使用者註冊中不被支援,因為管理員無法透過使用者註冊推送裝置範圍的 VPN 設定檔。
  • 在應用程式的漏洞管理方面,只有工作設定檔中的應用程式會被看到。
  • 若符合法規政策,新入職裝置可能需要長達10分鐘才能達到合規狀態。
  • 欲了解更多資訊,請參閱 使用者註冊限制與功能

完整的入職與檢查狀態

  1. 當 iOS 版 Defender for Endpoint 安裝在裝置上後,你會看到應用程式圖示。

  2. 點擊Defender for Endpoint應用程式圖示 (Defender) ,並依照螢幕指示完成入職步驟。 細節包括最終用戶是否接受 Microsoft Defender 應用程式所需的 iOS 權限。

    注意事項

    如果你設定零觸碰 (靜音) 入職,可以跳過這個步驟。 如果設定了零觸控 (靜音) 入職,手動啟動應用程式就不一定必要。

  3. 成功啟用後,該裝置會開始顯示在 Microsoft Defender 入口網站的裝置清單中。

    裝置庫存頁面。

後續步驟

提示

想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群

  • Last updated on