Konfigurace funkcí Microsoft Defender for Endpoint v iOSu

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Defender for Endpoint v iOSu by k poskytování funkce Webové ochrany používal síť VPN. Nejedná se o běžnou síť VPN a jedná se o místní nebo samoobslužnou síť VPN, která nepřebíná provoz mimo zařízení.

Podmíněný přístup s defenderem for Endpoint v iOSu

Microsoft Defender for Endpoint v iOSu společně s Microsoft Intune a Microsoft Entra ID umožňují vynucovat dodržování předpisů zařízením a zásady podmíněného přístupu na základě rizikového skóre zařízení. Defender for Endpoint je řešení ochrany před mobilními hrozbami (MTD), které můžete nasadit, abyste mohli tuto funkci používat prostřednictvím Intune.

Další informace o nastavení podmíněného přístupu pomocí Defenderu for Endpoint v iOSu najdete v tématu Defender for Endpoint a Intune.

Webová ochrana a síť VPN

Defender for Endpoint v iOSu ve výchozím nastavení zahrnuje a povoluje webovou ochranu, která pomáhá zabezpečit zařízení před webovými hrozbami a chránit uživatele před phishingovými útoky. Anti-phishing a vlastní indikátory (URL a doména) jsou podporovány jako součást webové ochrany. Vlastní indikátory založené na IP adresách se v iOSu v současné době nepodporují. Filtrování webového obsahu se v současné době nepodporuje na mobilních platformách (Android a iOS).

Defender for Endpoint v iOSu používá k poskytování této funkce síť VPN. Síť VPN je místní a na rozdíl od tradiční sítě VPN se síťový provoz neodesílá mimo zařízení.

I když je tato možnost ve výchozím nastavení povolená, můžou v některých případech vyžadovat zakázání sítě VPN. Chcete například spustit některé aplikace, které nefungují, když je nakonfigurovaná síť VPN. V takových případech se můžete rozhodnout zakázat síť VPN z aplikace v zařízení pomocí následujícího postupu:

  1. Na zařízení s iOSem otevřete aplikaci Nastavení , vyberte Obecné a pak VPN.

  2. Vyberte tlačítko i pro Microsoft Defender for Endpoint.

  3. Vypnutím možnosti Připojit na vyžádání vpn zakážete.

    Přepínací tlačítko pro možnost Připojení na vyžádání ke konfiguraci SÍTĚ VPN

Poznámka

Webová ochrana není k dispozici, pokud je síť VPN zakázaná. Pokud chcete znovu povolit webovou ochranu, otevřete na zařízení aplikaci Microsoft Defender for Endpoint a pak vyberte Spustit síť VPN.

Zakázat webovou ochranu

Webová ochrana je jednou z klíčových funkcí Defenderu for Endpoint a k poskytování této funkce vyžaduje síť VPN. Použitá síť VPN je místní síť VPN, nikoli tradiční síť VPN, existuje však několik důvodů, proč zákazníci nemusí tuto síť VPN upřednostňovat. Pokud nechcete nastavit síť VPN, můžete zakázat webovou ochranu a nasadit Defender for Endpoint bez této funkce. Ostatní funkce Defenderu for Endpoint nadále fungují.

Tato konfigurace je dostupná pro zaregistrovaná zařízení (MDM) i pro nezaregistrovaná zařízení (MAM). Pro zákazníky s MDM můžou správci nakonfigurovat webovou ochranu prostřednictvím spravovaných zařízení v konfiguraci aplikací. Pro zákazníky bez registrace pomocí MAM můžou správci nakonfigurovat webovou ochranu prostřednictvím spravovaných aplikací v konfiguraci aplikací.

Konfigurace webové ochrany

Zakázání webové ochrany pomocí MDM

Pomocí následujícího postupu zakažte webovou ochranu pro zaregistrovaná zařízení.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu Platform > iOS/iPadOS.

  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a pak přidejte WebProtection jako klíč a nastavte jeho typ hodnoty na String.

    • Ve výchozím nastavení . WebProtection = true Správce musí nastavit WebProtection = false vypnutí webové ochrany.
    • Defender for Endpoint odešle prezenčních signálů na portál Microsoft Defender pokaždé, když uživatel aplikaci otevře.
    • Vyberte Další a pak tento profil přiřaďte cílovým zařízením nebo uživatelům.

Zakázání webové ochrany pomocí MAM

Pomocí následujícího postupu zakažte webovou ochranu pro nezaregistrovaná zařízení.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

  2. Pojmenujte zásadu.

  3. V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.

  4. Na stránce Nastavení v části Obecné nastavení konfigurace přidejte WebProtection jako klíč a nastavte jeho hodnotu na false.

    • Ve výchozím nastavení . WebProtection = true Správce může nastavit WebProtection = false vypnutí webové ochrany.
    • Defender for Endpoint odešle prezenčních signálů na portál Microsoft Defender pokaždé, když uživatel aplikaci otevře.
    • Vyberte Další a pak tento profil přiřaďte cílovým zařízením nebo uživatelům.

Poznámka

Klíč WebProtection není použitelný pro filtr ovládacích prvků v seznamu zařízení pod dohledem. Pokud chcete zakázat webovou ochranu pro zařízení pod dohledem, můžete profil filtru ovládacích prvků odebrat.

Konfigurace ochrany sítě

Ochrana sítě v Microsoft Defender pro koncový bod je ve výchozím nastavení povolená. Správci můžou ke konfiguraci ochrany sítě použít následující postup. Tato konfigurace je k dispozici pro zaregistrovaná zařízení prostřednictvím konfigurace MDM i pro nezaregistrovaná zařízení prostřednictvím konfigurace MAM.

Poznámka

Pro ochranu sítě by se měla vytvořit jenom jedna zásada, a to buď prostřednictvím MDM, nebo MAM. Inicializace ochrany sítě vyžaduje, aby koncový uživatel aplikaci jednou otevřel.

Konfigurace ochrany sítě pomocí MDM

Pokud chcete nastavit ochranu sítě pomocí konfigurace MDM pro zaregistrovaná zařízení, postupujte takto:

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Zadejte název a popis zásady. V části Platforma zvolte iOS/iPad.

  3. V cílové aplikaci zvolte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení zvolte formát nastavení konfigurace Použít návrháře konfigurace.

  5. Přidejte DefenderNetworkProtectionEnable jako konfigurační klíč. Nastavte jeho typ hodnoty na Stringa nastavte jeho hodnotu na , false pokud chcete zakázat ochranu sítě. (Ochrana sítě je ve výchozím nastavení povolená.)

    Snímek obrazovky znázorňující zásady konfigurace mdm

  6. Pro další konfigurace související s ochranou sítě přidejte následující klíče a zvolte odpovídající typ hodnoty a hodnotu.

    Klíč Typ hodnoty Výchozí (true-enable, false-disable) Popis
    DefenderOpenNetworkDetection Celé číslo 2 1 – Audit, 0 – Zakázat, 2 – Povolit (výchozí). Toto nastavení spravuje IT Správa auditovat, zakázat nebo povolit detekci otevřené sítě. V režimu auditování se upozornění odesílají jenom na portál Microsoft Defender bez zkušeností koncového uživatele. Pro koncové uživatele ho nastavte na Enable.
    DefenderEndUserTrustFlowEnable String falešný true - enable, false - disable; Toto nastavení používají správci IT k povolení nebo zakázání prostředí koncového uživatele v aplikaci, aby mohli důvěřovat nezabezpečeným a podezřelým sítím a nedůvěřovat jim.
    DefenderNetworkProtectionAutoRemediation String pravdivý true - enable, false - disable; Toto nastavení používá správce IT k povolení nebo zakázání upozornění na nápravu, která se odesílají, když uživatel provádí nápravné činnosti, jako je přepnutí na bezpečnější přístupové body WI-FI.
    DefenderNetworkProtectionPrivacy String pravdivý true - enable, false - disable; Toto nastavení spravuje správce IT, aby mohl povolit nebo zakázat ochranu osobních údajů v síti. Pokud je ochrana osobních údajů zakázaná, zobrazí se souhlas uživatele se sdílením škodlivé wi-fi. Pokud je ochrana osobních údajů povolená, nezobrazí se žádný souhlas uživatele a neshromažďuje se žádná data aplikací.
  7. V části Přiřazení může správce zvolit skupiny uživatelů, které mají zásady zahrnout a vyloučit.

  8. Zkontrolujte a vytvořte zásady konfigurace.

Konfigurace ochrany sítě pomocí MAM

Pomocí následujícího postupu nastavte konfiguraci MAM pro nezaregistrovaná zařízení pro ochranu sítě (pro konfiguraci MAM se vyžaduje registrace zařízení Authenticator) v zařízeních s iOSem.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace>Vytvoření nové zásady konfigurace aplikací.

    Přidejte zásady konfigurace.

  2. Zadejte název a popis pro jednoznačnou identifikaci zásad. Pak vyberte Vybrat veřejné aplikace a zvolte Microsoft Defender pro platformu iOS/iPadOS.

    Pojmenujte konfiguraci.

  3. Na stránce Nastavení jako klíč přidejte DefenderNetworkProtectionEnable a hodnotu pro false zakázání ochrany sítě. (Ochrana sítě je ve výchozím nastavení povolená.)

    Přidejte hodnotu konfigurace.

  4. Pro další konfigurace související s ochranou sítě přidejte následující klíče a odpovídající odpovídající hodnotu.

    Klíč Výchozí (true - enable, false - disable) Popis
    DefenderOpenNetworkDetection 2 1 – Audit, 0 – Zakázat, 2 – Povolit (výchozí). Toto nastavení spravuje správce IT, který umožňuje povolit, auditovat nebo zakázat detekci otevřené sítě. V režimu auditování se výstrahy odesílají jenom na portál ATP bez uživatelského prostředí. Pro uživatelské prostředí nastavte konfiguraci na režim Povolit.
    DefenderEndUserTrustFlowEnable falešný true - enable, false - disable; Toto nastavení používají správci IT k povolení nebo zakázání prostředí koncového uživatele v aplikaci, aby mohli důvěřovat nezabezpečeným a podezřelým sítím a nedůvěřovat jim.
    DefenderNetworkProtectionAutoRemediation pravdivý true - enable, false - disable; Toto nastavení používá správce IT k povolení nebo zakázání upozornění na nápravu, která se odesílají, když uživatel provádí nápravné činnosti, jako je přepnutí na bezpečnější přístupové body WI-FI.
    DefenderNetworkProtectionPrivacy pravdivý true - enable, false - disable; Toto nastavení spravuje správce IT, aby mohl povolit nebo zakázat ochranu osobních údajů v síti. Pokud je ochrana osobních údajů zakázaná, zobrazí se souhlas uživatele se sdílením škodlivé wi-fi. Pokud je ochrana osobních údajů povolená, nezobrazí se žádný souhlas uživatele a neshromažďuje se žádná data aplikací.
  5. V části Přiřazení může správce zvolit skupiny uživatelů, které mají zásady zahrnout a vyloučit.

    Přiřaďte konfiguraci.

  6. Zkontrolujte a vytvořte zásady konfigurace.

Koexistence více profilů VPN

Apple iOS nepodporuje, aby bylo současně aktivních více sítí VPN pro celé zařízení. I když na zařízení může existovat více profilů VPN, může být aktivní jenom jedna síť VPN najednou.

Konfigurace signálu Microsoft Defender for Endpoint rizik v zásadách ochrany aplikací (MAM)

Microsoft Defender for Endpoint v iOSu umožňuje scénář zásad ochrany aplikací. Koncoví uživatelé si můžou nainstalovat nejnovější verzi aplikace přímo z App Storu Apple. Ujistěte se, že je zařízení zaregistrované ve službě Authenticator se stejným účtem, který se používá k onboardingu v Defenderu pro úspěšnou registraci MAM.

Microsoft Defender for Endpoint je možné nakonfigurovat tak, aby odesílaly signály hrozeb, které se mají použít v zásadách ochrany aplikací (APP, označované také jako MAM) v systému iOS/iPadOS. Díky této funkci můžete Microsoft Defender for Endpoint také použít k ochraně přístupu k podnikovým datům z nezaregistrovaných zařízení.

Postupujte podle kroků na následujícím odkazu a nastavte zásady ochrany aplikací pomocí Microsoft Defender for Endpoint Konfigurace signálů rizik Defenderu v zásadách ochrany aplikací (MAM).

Další podrobnosti o MAM nebo zásadách ochrany aplikací najdete v tématu Nastavení zásad ochrany aplikací pro iOS.

Ovládací prvky ochrany osobních údajů

Microsoft Defender for Endpoint v iOSu umožňuje řízení ochrany osobních údajů pro správce i koncové uživatele. To zahrnuje ovládací prvky pro zaregistrovaná zařízení (MDM) a nezaregistrovaná zařízení (MAM).

Pokud používáte MDM, můžou správci nakonfigurovat řízení ochrany osobních údajů prostřednictvím spravovaných zařízení v konfiguraci aplikací. Pokud používáte MAM bez registrace, můžou správci nakonfigurovat řízení ochrany osobních údajů prostřednictvím spravovaných aplikací v konfiguraci aplikací. Koncoví uživatelé také můžou nakonfigurovat nastavení ochrany osobních údajů v Microsoft Defender nastavení aplikace.

Konfigurace ochrany osobních údajů v sestavě upozornění na phish

Zákazníci teď můžou povolit řízení ochrany osobních údajů pro sestavu phish odesílanou Microsoft Defender for Endpoint v iOSu, aby se název domény nezahrnoval jako součást upozornění na phish pokaždé, když Microsoft Defender for Endpoint zjistí a zablokuje phish web.

Konfigurace řízení ochrany osobních údajů v MDM

Pomocí následujících kroků povolte ochranu osobních údajů a neshromažďujte název domény jako součást sestavy upozornění na phish pro zaregistrovaná zařízení.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu Platform > iOS/iPadOS a vyberte typ profilu.

  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderExcludeURLInReport jako klíč a nastavte jeho typ hodnoty na Boolean.

    • Pokud chcete povolit ochranu osobních údajů a neshromažďovat název domény, zadejte hodnotu true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
    • Pro uživatele, kteří mají nastavený klíč jako true, neobsahuje upozornění na phish informace o názvu domény pokaždé, když Defender for Endpoint zjistí a zablokuje škodlivý web.
  5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Konfigurace řízení ochrany osobních údajů v MAM

Pomocí následujících kroků povolte ochranu osobních údajů a neshromažďujte název domény jako součást sestavy upozornění na phish pro nezaregistrovaná zařízení.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

  2. Pojmenujte zásadu.

  3. V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.

  4. Na stránce Nastavení v části Obecné nastavení konfigurace přidejte DefenderExcludeURLInReport jako klíč a nastavte jeho hodnotu na true.

    • Pokud chcete povolit ochranu osobních údajů a neshromažďovat název domény, zadejte hodnotu true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
    • Pro uživatele, kteří mají nastavený klíč jako true, neobsahuje upozornění na phish informace o názvu domény pokaždé, když Defender for Endpoint zjistí a zablokuje škodlivý web.
  5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Konfigurace ovládacích prvků ochrany osobních údajů koncových uživatelů v aplikaci Microsoft Defender

Tyto ovládací prvky pomáhají koncovému uživateli nakonfigurovat informace sdílené s jeho organizací.

U zařízení pod dohledem nejsou ovládací prvky koncových uživatelů viditelné. O nastavení rozhoduje a řídí váš správce. U zařízení bez dohledu se ale ovládací prvek zobrazí v části Ochrana osobních údajů v nastavení>.

Uživatelům se zobrazí přepínač Informace o nebezpečném webu. Tento přepínač je viditelný jenom v případě, že správce nastavil DefenderExcludeURLInReport = true.

Pokud to správce povolí, můžou uživatelé určit, jestli se mají do organizace odesílat informace o nebezpečných webech. Ve výchozím nastavení je nastavená na falsehodnotu , což znamená, že se neodesílají nebezpečné informace o webu. Pokud ho uživatel přepíná na true, odesílají se podrobnosti o nebezpečném webu.

Zapnutí nebo vypnutí ovládacích prvků ochrany osobních údajů nemá vliv na kontrolu dodržování předpisů zařízením ani na podmíněný přístup.

Poznámka

Na zařízeních pod dohledem s konfiguračním profilem mají Microsoft Defender for Endpoint přístup k celé adrese URL, a pokud se zjistí, že se jedná o útok phishing, zablokuje se. Na zařízení bez dohledu má Microsoft Defender for Endpoint přístup jenom k názvu domény, a pokud doména není adresa URL útoku phishing, nebude blokovaná.

Volitelná oprávnění

Microsoft Defender for Endpoint v iOSu povoluje volitelná oprávnění v toku onboardingu. V současné době jsou v toku onboardingu povinná oprávnění vyžadovaná defenderem for Endpoint. Díky této funkci můžou správci nasadit Defender for Endpoint na zařízeních BYOD bez vynucení povinného oprávnění VPN během onboardingu. Koncoví uživatelé můžou aplikaci onboardovat bez povinných oprávnění a později tato oprávnění zkontrolovat. Tato funkce je aktuálně dostupná jenom pro zaregistrovaná zařízení (MDM).

Konfigurace volitelných oprávnění pomocí MDM

Správci můžou pomocí následujícího postupu povolit volitelná oprávnění VPN pro zaregistrovaná zařízení.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a vyberte Platforma > iOS/iPadOS.

  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderOptionalVPN jako klíč a nastavte jeho typ hodnoty na Boolean.

    • Pokud chcete povolit volitelná oprávnění VPN, zadejte hodnotu jako true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
    • U uživatelů s klíčem nastaveným na true, můžou aplikaci onboardovat bez udělení oprávnění k síti VPN.
  5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Konfigurace volitelných oprávnění jako koncový uživatel

Koncoví uživatelé nainstalují a otevřou aplikaci Microsoft Defender, aby mohli zahájit onboarding.

  • Pokud správce nastavil volitelná oprávnění, může uživatel přeskočit oprávnění VPN a dokončit onboarding.
  • I když uživatel přeskočí síť VPN, zařízení se může připojit a odešle se prezentní signál.
  • Pokud je síť VPN zakázaná, webová ochrana není aktivní.
  • Později může uživatel v aplikaci povolit webovou ochranu, která na zařízení nainstaluje konfiguraci sítě VPN.

Poznámka

Volitelné oprávnění se liší od možnosti Zakázat webovou ochranu. Volitelné oprávnění VPN pomáhá přeskočit oprávnění jenom během onboardingu, ale koncovému uživateli ho může později zkontrolovat a povolit. Zatímco Zakázat webovou ochranu umožňuje uživatelům onboardovat aplikaci Defender for Endpoint bez webové ochrany. Později ji nelze povolit.

Detekce jailbreaků

Microsoft Defender for Endpoint dokáže detekovat nespravovaná a spravovaná zařízení s jailbreakem. Tyto kontroly jailbreaku se provádějí pravidelně. Pokud je zařízení zjištěno jako jailbreak, dojde k těmto událostem:

  • Na portálu Microsoft Defender se nahlásí výstraha s vysokým rizikem. Pokud je dodržování předpisů zařízením a podmíněný přístup nastavené na základě rizikového skóre zařízení, pak se zařízení zablokuje v přístupu k podnikovým datům.
  • Uživatelská data v aplikaci se vymažou. Když uživatel otevře aplikaci po jailbreaku, odstraní se také profil VPN (pouze profil VPN zpětné smyčky Defenderu for Endpoint) a nenabízí se žádná webová ochrana. Profily VPN poskytované Intune se neodeberou.

Konfigurace zásad dodržování předpisů pro zařízení s jailbreakem

Pokud chcete chránit podniková data před přístupem na zařízeních s iOSem s jailbreakem, doporučujeme na Intune nastavit následující zásady dodržování předpisů.

Poznámka

Detekce jailbreaků je funkce, kterou poskytuje Microsoft Defender for Endpoint v iOSu. Doporučujeme ale nastavit tuto zásadu jako další vrstvu ochrany před jailbreakem ve scénářích.

Pomocí následujícího postupu vytvořte zásady dodržování předpisů pro zařízení s jailbreakem.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> dodržování předpisů zařízením>Vytvořit zásadu. Jako platformu vyberte iOS/iPadOS a vyberte Vytvořit.

    Karta Vytvořit zásadu

  2. Zadejte název zásady, například Zásady dodržování předpisů pro jailbreak.

  3. Na stránce nastavení dodržování předpisů rozbalte část Stav zařízení a vyberte Block v poli Zařízení s jailbreakem .

    Karta Nastavení dodržování předpisů

  4. V části Akce při nedodržení předpisů vyberte akce podle vašich požadavků a pak vyberte Další.

    Karta Akce při nedodržení předpisů

  5. V části Přiřazení vyberte skupiny uživatelů, které chcete zahrnout do této zásady, a pak vyberte Další.

  6. V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit.

Konfigurace vlastních indikátorů

Defender for Endpoint v iOSu umožňuje správcům konfigurovat vlastní indikátory také na zařízeních s iOSem. Další informace o tom, jak nakonfigurovat vlastní indikátory, najdete v tématu Přehled indikátorů.

Poznámka

Defender for Endpoint v iOSu podporuje vytváření vlastních indikátorů jenom pro adresy URL a domény. Vlastní indikátory založené na IP adresách se v iOSu nepodporují.

V iOSu se při přístupu k adrese URL nebo doméně nastavené v indikátoru negenerují žádná upozornění na Microsoft Defender XDR.

Konfigurace posouzení ohrožení zabezpečení aplikací

Snížení kybernetického rizika vyžaduje komplexní správu ohrožení zabezpečení na základě rizik, která umožňuje identifikovat, posoudit, napravit a sledovat všechna vaše největší ohrožení zabezpečení u nejdůležitějších prostředků, a to vše v jediném řešení. Další informace o Microsoft Defender Správa zranitelností v Microsoft Defender for Endpoint najdete na této stránce.

Defender for Endpoint v iOSu podporuje posouzení ohrožení zabezpečení operačního systému a aplikací. Posouzení ohrožení zabezpečení verzí iOS je k dispozici pro zaregistrovaná zařízení (MDM) i neregistrovaná zařízení (MAM). Posouzení ohrožení zabezpečení aplikací se týká jenom zaregistrovaných zařízení (MDM). Správci můžou pomocí následujícího postupu nakonfigurovat posouzení ohrožení zabezpečení aplikací.

Na zařízení pod dohledem

  1. Ujistěte se, že je zařízení nakonfigurované v režimu Pod dohledem.

  2. Pokud chcete tuto funkci povolit v Centru pro správu Microsoft Intune, přejděte do části Endpoint Security>Microsoft Defender for Endpoint>Povolit synchronizaci aplikací pro zařízení s iOS/iPadOS.

    Přepínač synchronizace aplikacíSup

Poznámka

Pokud chce správce získat seznam všech aplikací včetně nespravovaných aplikací, musí na portálu Intune Správa povolit nastavení Posílat úplná data inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví pro zařízení pod dohledem označená jako Osobní. U zařízení pod dohledem označených na portálu Intune Správa Portal jako Firemní nemusí správce povolit odesílání úplných dat inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví.

Na zařízení bez dohledu

  1. Pokud chcete tuto funkci povolit v Centru pro správu Microsoft Intune, přejděte do části Endpoint Security>Microsoft Defender for Endpoint>Povolit synchronizaci aplikací pro zařízení s iOS/iPadOS.

    Přepínač synchronizace aplikací

  2. Pokud chcete získat seznam všech aplikací včetně nespravovaných aplikací, povolte přepínač Odesílat úplná data inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví.

    Úplná data aplikace

  3. Pomocí následujícího postupu nakonfigurujte nastavení ochrany osobních údajů.

    1. Přejděte na Zásady>konfigurace aplikací>Přidat>spravovaná zařízení.

    2. Pojmenujte zásadu Platform>iOS/iPadOS.

    3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

    4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderTVMPrivacyMode jako klíč. Nastavte jeho typ hodnoty na String.

      • Pokud chcete zakázat ochranu osobních údajů a shromáždit seznam nainstalovaných aplikací, zadejte hodnotu jako Falsea pak tuto zásadu přiřaďte uživatelům.
      • Ve výchozím nastavení je tato hodnota nastavená na True pro zařízení bez dohledu.
      • Uživatelům, kteří mají klíč nastavený jako False, odešle Defender for Endpoint seznam aplikací nainstalovaných v zařízení pro posouzení ohrožení zabezpečení.
    5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

    6. Zapnutí nebo vypnutí ovládacích prvků ochrany osobních údajů nemá vliv na kontrolu dodržování předpisů zařízením ani na podmíněný přístup.

  4. Po použití konfigurace musí koncoví uživatelé aplikaci otevřít, aby schválili nastavení ochrany osobních údajů.

    • Obrazovka schválení ochrany osobních údajů se zobrazí jenom u zařízení bez dohledu.
    • Pouze pokud koncový uživatel schválí ochranu osobních údajů, odesílají se informace o aplikaci do konzoly Defenderu for Endpoint.

    Snímek obrazovky ochrany osobních údajů koncového uživatele

Jakmile se verze klientů nasadí na cílová zařízení s iOSem, spustí se zpracování. Chyby zabezpečení zjištěné na těchto zařízeních se začnou zobrazovat na řídicím panelu Defender Správa zranitelností. Dokončení zpracování může trvat několik hodin (maximálně 24 hodin). Tento časový rámec platí zejména pro celý seznam aplikací, které se zobrazí v inventáři softwaru.

Poznámka

Pokud v zařízení s iOSem používáte řešení kontroly SSL, přidejte názvy securitycenter.windows.com domén (v komerčních prostředích) a securitycenter.windows.us (v prostředích GCC), aby Threat and Vulnerability Management funkce fungovaly.

Zakázat odhlášení

Defender for Endpoint v iOSu podporuje nasazení bez tlačítka odhlášení v aplikaci, aby se uživatelé nemohli z aplikace Defender odhlásit. To je důležité, aby se uživatelům zabránilo v manipulaci se zařízením.

Tato konfigurace je dostupná jak pro zaregistrovaná zařízení (MDM), tak pro nezaregistrovaná zařízení (MAM). Správci můžou pomocí následujícího postupu nakonfigurovat možnost Zakázat odhlášení.

Konfigurace zákazu odhlášení pomocí MDM

Pro zaregistrovaná zařízení (MDM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a pak vyberte Platforma>iOS/iPadOS.

  3. Vyberte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DisableSignOut jako klíč. Nastavte jeho typ hodnoty na String.

    • Ve výchozím nastavení . DisableSignOut = false
    • Správce může nastavit DisableSignOut = true , aby v aplikaci zakázal tlačítko pro odhlášení. Po nasdílení zásad se uživatelům tlačítko pro odhlášení nezobrazí.
  5. Vyberte Další a pak tuto zásadu přiřaďte cílovým zařízením nebo uživatelům.

Konfigurace zákazu odhlášení pomocí MAM

Pro nezaregistrovaná zařízení (MAM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

  2. Pojmenujte zásadu.

  3. V části Vybrat veřejné aplikace vyberte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení přidejte DisableSignOut jako klíč a nastavte jeho hodnotu na true.

    • Ve výchozím nastavení . DisableSignOut = false
    • Správce může nastavit DisableSignOut = true , aby v aplikaci zakázal tlačítko pro odhlášení. Po nasdílení zásad se uživatelům tlačítko pro odhlášení nezobrazí.
  5. Vyberte Další a pak tuto zásadu přiřaďte cílovým zařízením nebo uživatelům.

Označování zařízení

Defender for Endpoint v iOSu umožňuje hromadné označování mobilních zařízení během onboardingu tím, že správcům umožňuje nastavit značky prostřednictvím Intune. Správa můžete nakonfigurovat značky zařízení prostřednictvím Intune prostřednictvím zásad konfigurace a odeslat je do zařízení uživatele. Jakmile uživatel nainstaluje a aktivuje Defender, klientská aplikace předá značky zařízení na portál Microsoft Defender. Značky zařízení se zobrazují na zařízeních v inventáři zařízení.

Tato konfigurace je dostupná jak pro zaregistrovaná zařízení (MDM), tak pro nezaregistrovaná zařízení (MAM). Správci můžou ke konfiguraci značek zařízení použít následující postup.

Konfigurace značek zařízení pomocí MDM

Pro zaregistrovaná zařízení (MDM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a pak vyberte Platforma>iOS/iPadOS.

  3. Vyberte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderDeviceTag jako klíč. Nastavte jeho typ hodnoty na String.

    • Správce může přiřadit novou značku tak, že přidá klíč DefenderDeviceTag a nastaví hodnotu značky zařízení.
    • Správce může upravit existující značku úpravou hodnoty klíče DefenderDeviceTag.
    • Správce může odstranit existující značku odebráním klíče DefenderDeviceTag.
  5. Vyberte Další a pak tuto zásadu přiřaďte cílovým zařízením nebo uživatelům.

Konfigurace značek zařízení pomocí MAM

Pro nezaregistrovaná zařízení (MAM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

  2. Pojmenujte zásadu.

  3. V části Vybrat veřejné aplikace zvolte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení přidejte DefenderDeviceTag jako klíč (v části Obecné nastavení konfigurace).

    • Správce může přiřadit novou značku tak, že přidá klíč DefenderDeviceTag a nastaví hodnotu pro značku zařízení.
    • Správce může upravit existující značku úpravou hodnoty klíče DefenderDeviceTag.
    • Správce může odstranit existující značku odebráním klíče DefenderDeviceTag.
  5. Vyberte Další a pak tuto zásadu přiřaďte cílovým zařízením nebo uživatelům.

Poznámka

Aplikace Microsoft Defender musí být otevřená, aby se značky synchronizovaly s Intune a předávaly na portál Microsoft Defender. Může trvat až 18 hodin, než se značky na portálu projeví.

Potlačení oznámení o aktualizacích operačního systému

Pro zákazníky je k dispozici konfigurace, která potlačí oznámení o aktualizacích operačního systému v Defenderu for Endpoint v iOSu. Jakmile je konfigurační klíč nastavený v zásadách konfigurace aplikace Intune, Defender for Endpoint nebude do zařízení odesílat žádná oznámení o aktualizacích operačního systému. Když ale otevřete aplikaci Microsoft Defender, karta Stav zařízení se zobrazí a zobrazí stav vašeho operačního systému.

Tato konfigurace je dostupná jak pro zaregistrovaná zařízení (MDM), tak pro nezaregistrovaná zařízení (MAM). Správci můžou pomocí následujícího postupu potlačit oznámení o aktualizaci operačního systému.

Konfigurace oznámení o aktualizacích operačního systému pomocí MDM

Pro zaregistrovaná zařízení (MDM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a vyberte Platforma>iOS/iPadOS.

  3. Vyberte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte SuppressOSUpdateNotification jako klíč. Nastavte jeho typ hodnoty na String.

    • Ve výchozím nastavení . SuppressOSUpdateNotification = false
    • Správce může nastavit SuppressOSUpdateNotification = true potlačování oznámení o aktualizacích operačního systému.
    • Vyberte Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Konfigurace oznámení o aktualizacích operačního systému pomocí MAM

Pro nezaregistrovaná zařízení (MAM)

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

  2. Pojmenujte zásadu.

  3. V části Vybrat veřejné aplikace zvolte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení přidejte SuppressOSUpdateNotification jako klíč (v části Obecné nastavení konfigurace).

    • Ve výchozím nastavení . SuppressOSUpdateNotification = false
    • Správce může nastavit SuppressOSUpdateNotification = true potlačování oznámení o aktualizacích operačního systému.
  5. Vyberte Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Konfigurace možnosti odesílání zpětné vazby v aplikaci

Zákazníci teď mají možnost nakonfigurovat možnost odesílat data zpětné vazby do Microsoftu v rámci aplikace Defender for Endpoint. Data zpětné vazby pomáhají Microsoftu vylepšovat produkty a řešit problémy.

Poznámka

Pro zákazníky cloudu pro státní správu USA je shromažďování dat zpětné vazby ve výchozím nastavení zakázané.

Pomocí následujícího postupu nakonfigurujte možnost odesílání dat zpětné vazby do Microsoftu:

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a jako typ profilu vyberte Platform > iOS/iPadOS .

  3. Vyberte Microsoft Defender for Endpoint jako cílovou aplikaci.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderFeedbackData jako klíč a nastavte jeho typ hodnoty na Boolean.

    • Pokud chcete koncovým uživatelům odebrat možnost poskytovat zpětnou vazbu, nastavte hodnotu jako false a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na true. Pro zákazníky státní správy USA je výchozí hodnota nastavená na false.
    • Pro uživatele, kteří mají nastavený klíč jako true, je k dispozici možnost posílat microsoftu data zpětné vazby v rámci aplikace (nabídka>Nápověda & odeslání zpětné vazby>do Microsoftu).
  5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Nahlásit nebezpečné weby

Phishingové weby zosobní důvěryhodné weby za účelem získání vašich osobních nebo finančních údajů. Navštivte stránku Poskytnout zpětnou vazbu k ochraně sítě a nahlaste web, který by mohl být webem útoku phishing.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.