توزيع Microsoft Defender لنقطة النهاية على iOS باستخدام Microsoft Intune

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يصف هذا الموضوع نشر Defender لنقطة النهاية على iOS على الأجهزة المسجلة في Microsoft Intune Company Portal. لمزيد من المعلومات حول تسجيل جهاز Microsoft Intune، راجع تسجيل أجهزة iOS/iPadOS في Intune.

قبل البدء

• تأكد من أن لديك حق الوصول إلى مركز إدارة Microsoft Intune.

• تأكد من إجراء تسجيل iOS للمستخدمين. يحتاج المستخدمون إلى تعيين ترخيص Defender لنقطة النهاية لاستخدام Defender لنقطة النهاية على iOS. راجع تعيين تراخيص للمستخدمين للحصول على إرشادات حول كيفية تعيين التراخيص.

• تأكد من تثبيت تطبيق مدخل الشركة وتسجيل الدخول والتسجيل للمستخدمين النهائيين.

ملاحظة

يتوفر Microsoft Defender لنقطة النهاية على iOS في Apple App Store.

يغطي هذا القسم ما يلي:

1. خطوات التوزيع (تنطبق على كل من الأجهزة الخاضعة للإشراف وغير الخاضعة للإشراف )- يمكن للمسؤولين نشر Defender لنقطة النهاية على iOS عبر Microsoft Intune Company Portal. هذه الخطوة غير مطلوبة لتطبيقات VPP (شراء وحدة التخزين).

2. النشر الكامل (فقط للأجهزة الخاضعة للإشراف)- يمكن للمسؤولين تحديد لنشر أي من ملفات التعريف المحددة.

   1. عامل تصفية التحكم باللمس الصفري (الصامت) - يوفر حماية الويب دون VPN للتراجع المحلي كما يتيح الإعداد الصامت للمستخدمين. يتم تثبيت التطبيق وتنشيطه تلقائيا دون الحاجة إلى فتح التطبيق من قبل المستخدم.
   2. عامل تصفية التحكم - يوفر حماية ويب دون VPN المحلية للتراجع.

3. الإعداد التلقائي للإلحاق (فقط للأجهزة غير الخاضعة للإشراف ) - يمكن للمسؤولين أتمتة إلحاق Defender for Endpoint للمستخدمين بطريقتين مختلفتين:

   1. الإلحاق باللمس الصفري (الصامت) - يتم تثبيت التطبيق وتنشيطه تلقائيا دون الحاجة إلى فتح التطبيق للمستخدمين.
   2. الإعداد التلقائي ل VPN - يتم إعداد ملف تعريف VPN ل Defender لنقطة النهاية تلقائيا دون أن يضطر المستخدم إلى القيام بذلك أثناء الإعداد. لا يوصى بهذه الخطوة في تكوينات Zero touch.

4. إعداد تسجيل المستخدم (فقط للأجهزة المسجلة من قبل مستخدم Intune) - يمكن للمسؤولين نشر وتكوين تطبيق Defender لنقطة النهاية على الأجهزة المسجلة من Intune User أيضا.

5. إكمال الإعداد والتحقق من الحالة - تنطبق هذه الخطوة على جميع أنواع التسجيل لضمان تثبيت التطبيق على الجهاز، وإكمال الإعداد، ويكون الجهاز مرئيا في مدخل Microsoft Defender. يمكن تخطيه للإلحاق باللمس الصفري (الصامت).

خطوات التوزيع (تنطبق على كل من الأجهزة الخاضعة للإشراف وغير الخاضعة للإشراف)

انشر Defender لنقطة النهاية على iOS عبر Microsoft Intune Company Portal.

إضافة تطبيق متجر iOS

1. في مركز إدارة Microsoft Intune، انتقل إلى تطبيقات>iOS/iPadOS>إضافة>تطبيق متجر iOS وانقر فوق تحديد.

   

2. في صفحة إضافة تطبيق ، انقر فوق البحث في متجر التطبيقات واكتب Microsoft Defender في شريط البحث. في قسم نتائج البحث، انقر فوق Microsoft Defender وانقر فوق تحديد.

3. حدد iOS 15.0 كنظام تشغيل الحد الأدنى. راجع بقية المعلومات حول التطبيق وانقر فوق التالي.

4. في قسم الواجبات ، انتقل إلى المقطع مطلوب وحدد إضافة مجموعة. يمكنك بعد ذلك اختيار مجموعة (مجموعات) المستخدمين التي ترغب في استهداف Defender لنقطة النهاية على تطبيق iOS. انقر فوق تحديد ثم التالي.

   ملاحظة

   يجب أن تتكون مجموعة المستخدمين المحددة من المستخدمين المسجلين في Microsoft Intune.

   

5. في قسم Review + Create ، تحقق من صحة جميع المعلومات التي تم إدخالها ثم حدد Create. في لحظات قليلة، يجب إنشاء تطبيق Defender لنقطة النهاية بنجاح، ويجب أن يظهر إعلام في الزاوية العلوية اليسرى من الصفحة.

6. في صفحة معلومات التطبيق التي يتم عرضها، في قسم Monitor ، حدد Device install status للتحقق من اكتمال تثبيت الجهاز بنجاح.

   

النشر الكامل للأجهزة الخاضعة للإشراف

يتمتع Microsoft Defender لنقطة النهاية على تطبيق iOS بقدرة متخصصة على أجهزة iOS/iPadOS الخاضعة للإشراف، نظرا لقدرات الإدارة المتزايدة التي يوفرها النظام الأساسي على هذه الأنواع من الأجهزة. كما يمكنه توفير حماية الويب دون إعداد VPN محلي على الجهاز. وهذا يمنح المستخدمين النهائيين تجربة سلسة مع الاستمرار في الحماية من التصيد الاحتيالي والهجمات الأخرى المستندة إلى الويب.

يمكن للمسؤولين استخدام الخطوات التالية لتكوين الأجهزة الخاضعة للإشراف.

تكوين الوضع الخاضع للإشراف عبر Microsoft Intune

قم بتكوين الوضع الخاضع للإشراف لتطبيق Defender لنقطة النهاية من خلال نهج تكوين التطبيق وملف تعريف تكوين الجهاز.

نهج تكوين التطبيق

ملاحظة

لا ينطبق نهج تكوين التطبيق هذا للأجهزة الخاضعة للإشراف إلا على الأجهزة المدارة ويجب استهدافه لجميع أجهزة iOS المدارة كأفضل ممارسة.

1. سجل الدخول إلى مركز إدارة Microsoft Intune وانتقل إلى نهجتكوين>تطبيقات التطبيقات>إضافة. حدد Managed devices.

   

2. في صفحة إنشاء نهج تكوين التطبيق ، قم بتوفير المعلومات التالية:

   • اسم النهج
   • النظام الأساسي: حدد iOS/iPadOS
   • التطبيق المستهدف: حدد Microsoft Defender لنقطة النهاية من القائمة

   

3. في الشاشة التالية، حدد استخدام مصمم التكوين بالتنسيق. حدد الخصائص التالية:

   • مفتاح التكوين: issupervised
   • نوع القيمة: سلسلة
   • قيمة التكوين: {{issupervised}}

   

4. حدد التالي لفتح صفحة علامات النطاق . علامات النطاق اختيارية. حدد التالي للمتابعة.

5. في صفحة الواجبات ، حدد المجموعات التي ستتلقى ملف التعريف هذا. بالنسبة لهذا السيناريو، من أفضل الممارسات استهداف جميع الأجهزة. لمزيد من المعلومات حول تعيين ملفات التعريف، راجع تعيين ملفات تعريف المستخدم والجهاز.

   عند النشر إلى مجموعات المستخدمين، يجب على المستخدم تسجيل الدخول إلى جهاز قبل تطبيق النهج.

   انقر فوق التالي.

6. في صفحة Review + create ، عند الانتهاء، اختر Create. يتم عرض ملف التعريف الجديد في قائمة ملفات تعريف التكوين.

ملف تعريف تكوين الجهاز (عامل تصفية التحكم)

ملاحظة

بالنسبة للأجهزة التي تقوم بتشغيل iOS/iPadOS (في الوضع الخاضع للإشراف)، يوجد ملف تعريف . mobileconfig مخصص، يسمى ملف تعريف ControlFilter المتوفر. يمكن ملف التعريف هذا Web Protection دون إعداد VPN المحلية للتراجع على الجهاز. وهذا يمنح المستخدمين النهائيين تجربة سلسة مع الاستمرار في الحماية من التصيد الاحتيالي والهجمات الأخرى المستندة إلى الويب.

ومع ذلك، لا يعمل ملف تعريف ControlFilter مع Always-On VPN (AOVPN) بسبب قيود النظام الأساسي.

يقوم المسؤولون بتوزيع أي من ملفات التعريف المحددة.

1. عامل تصفية التحكم باللمس الصفري (الصامت) - يتيح ملف التعريف هذا الإعداد الصامت للمستخدمين. تنزيل ملف تعريف التكوين من ControlFilterZeroTouch

2. عامل تصفية التحكم - قم بتنزيل ملف تعريف التكوين من ControlFilter.

بمجرد تنزيل ملف التعريف، انشر ملف التعريف المخصص. اتبع الخطوات أدناه:

1. انتقل إلى ملفاتتعريف> تكوين الأجهزة>iOS/iPadOS>إنشاء ملف تعريف.

2. حددقوالبنوع> ملف التعريف واسم> القالبمخصص.

   

3. أدخل اسما لملف التعريف. عند مطالبتك باستيراد ملف تعريف تكوين، حدد الملف الذي تم تنزيله من الخطوة السابقة.

4. في قسم التعيين ، حدد مجموعة الأجهزة التي تريد تطبيق ملف التعريف هذا عليها. كأفضل ممارسة، يجب تطبيق هذا على جميع أجهزة iOS المدارة. حدد التالي.

   ملاحظة

   يتم دعم إنشاء مجموعة الأجهزة في كل من Defender for Endpoint الخطة 1 والخطة 2.

5. في صفحة Review + create ، عند الانتهاء، اختر Create. يتم عرض ملف التعريف الجديد في قائمة ملفات تعريف التكوين.

إعداد الإعداد التلقائي (فقط للأجهزة غير الخاضعة للإشراف)

يمكن للمسؤولين أتمتة إلحاق Defender للمستخدمين بطريقتين مختلفتين باستخدام إعداد Zero touch(Silent) أو الإلحاق التلقائي ل VPN.

إعداد بدون لمس (صامت) ل Microsoft Defender لنقطة النهاية

ملاحظة

لا يمكن تكوين اللمس الصفري على أجهزة iOS المسجلة دون ترابط المستخدم (أجهزة بدون مستخدم أو أجهزة مشتركة).

يمكن للمسؤولين تكوين Microsoft Defender لنقطة النهاية للنشر والتنشيط بصمت. في هذا التدفق، يقوم المسؤول بإنشاء ملف تعريف نشر ويتم إعلام المستخدم ببساطة بالتركيب. يتم تثبيت Defender لنقطة النهاية تلقائيا دون الحاجة إلى فتح التطبيق من قبل المستخدم. اتبع الخطوات أدناه لإعداد النشر بدون لمس أو صامت ل Defender لنقطة النهاية على أجهزة iOS المسجلة:

1. في مركز إدارة Microsoft Intune، انتقل إلى ملفاتتعريف> تكوين الأجهزة>إنشاء ملف تعريف.

2. اختر النظام الأساسي ك iOS/iPadOS، ونوع ملف التعريفكقوالبواسم القالب ك VPN. حدد إنشاء.

3. اكتب اسما لملف التعريف وحدد التالي.

4. حدد VPN المخصص لنوع الاتصال وفي قسم Base VPN ، أدخل ما يلي:

   • اسم الاتصال = Microsoft Defender لنقطة النهاية
   • عنوان خادم VPN = 127.0.0.1
   • أسلوب المصادقة = "اسم المستخدم وكلمة المرور"
   • تقسيم النفق = تعطيل
   • معرف VPN = com.microsoft.scmx
   • في أزواج قيم المفاتيح، أدخل المفتاح SilentOnboard وقم بتعيين القيمة إلى True.
   • نوع VPN التلقائي = VPN عند الطلب
   • حدد إضافةلقواعد عند الطلب وحدد أريد القيام بما يلي = اتصال VPN، أريد تقييد = جميع المجالات.

   

   • لتفويض أنه لا يمكن تعطيل VPN في جهاز المستخدمين، يمكن للمسؤولين تحديد نعم من حظر المستخدمين من تعطيل VPN التلقائي. بشكل افتراضي، لم يتم تكوينه ويمكن للمستخدمين تعطيل VPN فقط في الإعدادات.
   • للسماح للمستخدمين بتغيير تبديل VPN من داخل التطبيق، أضف EnableVPNToggleInApp = TRUE، في أزواج قيم المفاتيح. بشكل افتراضي، لا يمكن للمستخدمين تغيير التبديل من داخل التطبيق.

5. حدد التالي وقم بتعيين ملف التعريف للمستخدمين المستهدفين.

6. في قسم Review + Create ، تحقق من صحة جميع المعلومات التي تم إدخالها ثم حدد Create.

بمجرد الانتهاء من التكوين أعلاه ومزامنته مع الجهاز، تحدث الإجراءات التالية على جهاز (أجهزة) iOS المستهدفة:

• سيتم نشر Microsoft Defender لنقطة النهاية وإلحاقه بصمت وسيشاهد الجهاز في مدخل Defender لنقطة النهاية.
• سيتم إرسال إعلام مؤقت إلى جهاز المستخدم.
• سيتم تنشيط حماية الويب والميزات الأخرى.

ملاحظة

• قد يستغرق إعداد اللمس الصفري ما يصل إلى 5 دقائق لإكماله في الخلفية.
• بالنسبة للأجهزة الخاضعة للإشراف، يمكن للمسؤولين إعداد الإعداد باللمس الصفري باستخدام ملف تعريف عامل تصفية التحكم ZeroTouch. لن يتم تثبيت ملف تعريف Defender for Endpoint VPN على الجهاز وسيتم توفير حماية الويب بواسطة ملف تعريف عامل تصفية التحكم.

الإلحاق التلقائي لملف تعريف VPN (الإلحاق المبسط)

ملاحظة

تبسط هذه الخطوة عملية الإعداد عن طريق إعداد ملف تعريف VPN. إذا كنت تستخدم Zero touch، فلن تحتاج إلى تنفيذ هذه الخطوة.

بالنسبة للأجهزة غير الخاضعة للإشراف، يتم استخدام VPN لتوفير ميزة حماية الويب. هذه ليست شبكة ظاهرية خاصة عادية وهي شبكة ظاهرية خاصة محلية/ذاتية التكرار لا تأخذ نسبة استخدام الشبكة خارج الجهاز.

يمكن للمسؤولين تكوين الإعداد التلقائي لملف تعريف VPN. سيؤدي ذلك تلقائيا إلى إعداد ملف تعريف Defender for Endpoint VPN دون أن يضطر المستخدم إلى القيام بذلك أثناء الإعداد.

1. في مركز إدارة Microsoft Intune، انتقل إلى ملفاتتعريف> تكوين الأجهزة>إنشاء ملف تعريف.

2. اختر النظام الأساسي ك iOS/iPadOSونوع ملف التعريف ك VPN. انقر فوق إنشاء.

3. اكتب اسما لملف التعريف وانقر فوق التالي.

4. حدد VPN المخصص لنوع الاتصال وفي قسم Base VPN ، أدخل ما يلي:

   • اسم الاتصال = Microsoft Defender لنقطة النهاية

   • عنوان خادم VPN = 127.0.0.1

   • أسلوب المصادقة = "اسم المستخدم وكلمة المرور"

   • تقسيم النفق = تعطيل

   • معرف VPN = com.microsoft.scmx

   • في أزواج قيم المفاتيح، أدخل لوحة المفاتيح تلقائيا وقم بتعيين القيمة إلى True.

   • نوع VPN التلقائي = VPN عند الطلب

   • حدد إضافةلقواعد عند الطلب وحدد أريد القيام بما يلي = اتصال VPN، أريد تقييد = جميع المجالات.

     

   • لطلب عدم تعطيل VPN على جهاز المستخدمين، يمكن للمسؤولين تحديد نعم من حظر المستخدمين من تعطيل VPN التلقائي. بشكل افتراضي، لم يتم تكوين هذا الإعداد ويمكن للمستخدمين تعطيل VPN فقط في الإعدادات.

   • للسماح للمستخدمين بتغيير تبديل VPN من داخل التطبيق، أضف EnableVPNToggleInApp = TRUE، في أزواج قيم المفاتيح. بشكل افتراضي، لا يمكن للمستخدمين تغيير التبديل من داخل التطبيق.

5. انقر فوق التالي وقم بتعيين ملف التعريف للمستخدمين المستهدفين.

6. في قسم Review + Create ، تحقق من صحة جميع المعلومات التي تم إدخالها ثم حدد Create.

إعداد تسجيل المستخدم (فقط للأجهزة المسجلة من قبل مستخدم Intune)

يمكن نشر تطبيق Microsoft Defender iOS على أجهزة Intune User المسجلة باستخدام الخطوات التالية.

المشرف

1. إعداد ملف تعريف تسجيل المستخدم في Intune. يدعم Intune تسجيل مستخدم Apple المدفوع بالحساب وتسجيل مستخدم Apple مع Company Portal. اقرأ المزيد حول مقارنة الطريقتين وحدد واحدة.

   • إعداد تسجيل المستخدم باستخدام Company Portal
   • إعداد تسجيل المستخدم المستند إلى الحساب

2. إعداد SSO Plugin. تطبيق Authenticator مع ملحق SSO هو شرط مسبق لتسجيل المستخدم في جهاز iOS.

   • إنشاء هو ملف تعريف تكوين الجهاز في Intune - تكوين المكون الإضافي iOS/iPadOS Enterprise SSO باستخدام MDM | Microsoft Learn.
   • تأكد من إضافة هذين المفتاحين في التكوين أعلاه:
   • معرف مجموعة التطبيقات: قم بتضمين معرف مجموعة تطبيقات Defender في هذه القائمة com.microsoft.scmx
   • تكوين إضافي: مفتاح - device_registration ؛ النوع - سلسلة ؛ القيمة - {{DEVICEREGISTRATION}}

3. إعداد مفتاح MDM لتسجيل المستخدم.

   • في Intune، انتقل إلى الانتقال إلى نهج > تكوين تطبيقات التطبيقات > إضافة > أجهزة مدارة
   • امنح النهج اسما، وحدد النظام الأساسي > iOS/iPadOS،
   • حدد Microsoft Defender لنقطة النهاية كتطبيق مستهدف.
   • في صفحة الإعدادات، حدد استخدام مصمم التكوين وأضف UserEnrolmentEnabled كمفتاح، ونوع القيمة كسلسلة، والقيمة على أنها True.

4. يمكن للمسؤول دفع Defender كتطبيق VPP مطلوب من Intune.

المستخدم النهائي

تم تثبيت تطبيق Defender على جهاز المستخدم. يقوم المستخدم بتسجيل الدخول وإكمال الإعداد. بمجرد إلحاق الجهاز بنجاح، سيكون مرئيا في Defender Security Portal ضمن Device Inventory.

الميزات والقيود المدعومة

1. يدعم جميع الإمكانات الحالية ل Defender لنقطة النهاية iOS مثل - حماية الويب وحماية الشبكة واكتشاف الهروب من السجن والثغرات الأمنية في نظام التشغيل والتطبيقات والتنبيه في مدخل أمان Defender وسياسات التوافق.
2. لا يتم دعم النشر الصفري (الصامت) والإلحاق التلقائي ل VPN مع تسجيل المستخدم حيث لا يمكن للمسؤولين دفع ملف تعريف VPN على مستوى الجهاز باستخدام تسجيل المستخدم.
3. لإدارة الثغرات الأمنية للتطبيقات، ستكون التطبيقات الموجودة في ملف تعريف العمل فقط مرئية.
4. قد يستغرق الأمر ما يصل إلى 10 دقائق حتى تصبح الأجهزة المإلحاقة حديثا متوافقة إذا تم استهدافها بواسطة نهج التوافق.
5. اقرأ المزيد حول قيود تسجيل المستخدم وقدراته.

إكمال الإعداد والتحقق من الحالة

1. بمجرد تثبيت Defender لنقطة النهاية على iOS على الجهاز، سترى أيقونة التطبيق.

   

2. اضغط على أيقونة تطبيق Defender for Endpoint (MSDefender) واتبع الإرشادات التي تظهر على الشاشة لإكمال خطوات الإلحاق. تتضمن التفاصيل قبول المستخدم النهائي لأذونات iOS المطلوبة من قبل Defender لنقطة النهاية على iOS.

ملاحظة

تخطي هذه الخطوة إذا قمت بتكوين الإعداد باللمس الصفري (الصامت). تشغيل التطبيق يدويا ليس ضروريا إذا تم تكوين إعداد اللمس الصفري (الصامت).

3. عند الإلحاق الناجح، سيبدأ الجهاز في الظهور على قائمة الأجهزة في مدخل Microsoft Defender.

   

الخطوات التالية

• تكوين نهج حماية التطبيق لتضمين إشارات مخاطر Defender لنقطة النهاية (MAM)
• تكوين Defender لنقطة النهاية على ميزات iOS

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.