共用方式為

使用行動應用程式管理在 iOS 上部署適用於端點的 Microsoft Defender

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

注意事項

iOS 上的適用於端點的 Defender 會使用 VPN 來提供網頁保護功能。 這不是常規 VPN,而是本地/自循環 VPN,不會將流量傳輸到設備外部。

在 MAM) (應用程式保護原則中設定適用於端點的 Microsoft Defender風險訊號

iOS 上的 適用於端點的 Microsoft Defender 已經保護行動裝置管理 (MDM) 案例上的企業使用者,現在將支援延伸至行動應用程式管理 (MAM) ,適用於未使用 Intune 行動裝置管理 (MDM) 註冊的裝置。 它也會將此支援延伸至使用其他企業行動管理解決方案的客戶,同時仍使用 Intune 進行行動應用程式管理 (MAM) 。 此功能可讓您在應用程式內管理和保護組織的資料。

適用於端點的 Microsoft Defender 在 iOS 上的威脅資訊會由 Intune 應用程式保護原則套用來保護這些應用程式。 應用程式防護政策 (APP) 是確保組織資料保持安全或包含在受管理應用程式中的規則。 受控應用程式已套用應用程式保護原則,而且可以由 Intune 管理。

iOS 上的適用於端點的 Microsoft Defender 支援 MAM 的兩種設定

  • Intune MDM + MAM:IT 系統管理員只能在向 MDM) 註冊 Intune 行動裝置管理 (裝置上使用應用程式保護原則來管理應用程式。
  • 沒有裝置註冊的 MAM:沒有裝置註冊的 MAM 或 MAM-WE 可讓 IT 系統管理員在未向 Intune MDM 註冊的裝置上使用 應用程式保護原則 來管理應用程式。 這表示 Intune 可以在向非 Microsoft EMM 提供者註冊的裝置上管理應用程式。 若要在上述兩個設定中管理應用程式,客戶應該在 Microsoft Intune 系統管理中心使用 Intune

若要啟用這項功能,系統管理員必須設定適用於端點的 Microsoft Defender 與 Intune 之間的連線、建立應用程式保護原則,並在目標裝置和應用程式上套用原則。

終端使用者也必須採取步驟,在其裝置上安裝適用於端點的 Microsoft Defender,並啟用上線流程。

必要條件

  1. 確認已在資訊安全入口網站中啟用 Intune 連接器
    Microsoft Defender 入口網站中,移至 [設定>] [端點]> 進階功能,並確定已啟用 Microsoft Intune 連線

    適用於端點的 Defender - Intune 連接器。

  2. 確認已在 Intune 入口網站中啟用 APP 連接器
    Microsoft Intune 系統管理中心中,移至 端點安全性>適用於端點的 Microsoft Defender,並確定 [連線] 狀態已啟用。

    應用程式設定。

建立應用程式防護原則

建立應用程式保護原則,根據適用於端點的 Microsoft Defender風險訊號封鎖受控應用程式的存取或抹除資料。 適用於端點的 Microsoft Defender 可以設定為傳送威脅訊號,以用於應用程式保護原則 (APP,也稱為 MAM) 。 透過這項功能,您可以使用適用於端點的 Microsoft Defender 來保護受控應用程式。

  1. 建立原則
    應用程式防護政策 (APP) 是確保組織資料保持安全或包含在受管理應用程式中的規則。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則,或當使用者位於應用程式內時所禁止或監視的一組動作。

    [應用程式防護原則] 功能表項目上的 [建立原則] 索引標籤。

  2. 新增應用程式
    a. 選擇您要如何將此原則套用至不同裝置上的應用程式。 然後添加至少一個應用程序。
    使用此選項可指定此原則是否適用於非受管理裝置。 您也可以選擇將原則鎖定任何管理狀態裝置上的應用程式。 因為行動裝置應用程式管理不需要裝置管理,所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心,這會對移除裝置管理的需求。 公司可以同時使用具有或不具有 MDM 的應用程式保護原則。 例如,假設有員工同時使用公司所簽發的電話,以及自己的個人平板電腦。 公司電話已在 MDM 中註冊,並且受到應用程式防護原則保護,而個人裝置僅受應用程式防護原則保護。

    b. 選取 [應用程式]。
    受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。 任何與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式都可以使用 Intune 應用程式保護原則來管理。 請參閱使用這些工具建置且可供公開使用的 Microsoft Intune 受保護應用程式 的官方清單。

    範例:Outlook 作為受控應用程式

    左側導覽窗格上的 Microsoft Outlook 功能表項目。

    選取貴組織原則所需的 [平臺]、[應用程式]、[資料保護]、[存取需求] 設定。

  3. 設定保護原則的登入安全性需求。
    條件式啟動>裝置條件中選取設定>允許的最大裝置威脅層級,然後輸入值。 這需要配置為低、中、高或安全。 您可以使用的動作包括 封鎖存取抹除資料。 選取動作:「封鎖存取」。 iOS 上的適用於端點的 Microsoft Defender 會共用此裝置威脅層級。

    [裝置條件] 窗格。

  4. 指派需要套用原則的使用者群組。
    選取 [包含的群組]。 然後新增相關群組。

    如需 MAM 或應用程式保護原則的詳細資訊,請參閱 iOS 應用程式保護原則設定

部署適用於端點的 Microsoft Defender for MAM 或在未註冊的裝置上部署

iOS 上的適用於端點的 Microsoft Defender 會啟用應用程式保護原則案例,並可在 Apple 應用程式市集中使用。

當應用程式保護原則設定為包含來自適用於端點的 Microsoft Defender 的裝置風險訊號時,使用者會在使用這類應用程式時重新導向為安裝適用於端點的 Microsoft Defender。 或者,用戶也可以直接從 Apple 應用商店安裝最新版本的應用程序。

請確定裝置已註冊至 Authenticator,其帳戶是用來在 Defender 中上線,以成功註冊 MAM。

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on