Nasazení Microsoft Defenderu for Endpoint v iOSu pomocí Microsoft Intune
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Toto téma popisuje nasazení Defenderu for Endpoint v iOSu na zařízeních zaregistrovaných v Portálu společnosti Microsoft Intune. Další informace o registraci zařízení v Microsoft Intune najdete v tématu Registrace zařízení s iOS/iPadOS v Intune.
Ujistěte se, že máte přístup k Centru pro správu Microsoft Intune.
Ujistěte se, že se pro vaše uživatele dokončila registrace iOS. Aby mohli uživatelé používat Defender for Endpoint v iOSu, musí mít přiřazenou licenci defenderu for Endpoint. Pokyny k přiřazení licencí najdete v tématu Přiřazení licencí uživatelům .
Ujistěte se, že koncoví uživatelé mají nainstalovanou aplikaci Portál společnosti, přihlásili se a dokončili registraci.
Poznámka
Microsoft Defender for Endpoint pro iOS je k dispozici v Apple App Storu.
Tato část se věnuje:
Postup nasazení (platí pro zařízení pod dohledem i zařízení bez dohledu ) – Správci můžou nasadit Defender for Endpoint v iOSu prostřednictvím Portálu společnosti Microsoft Intune. Tento krok není nutný pro aplikace VPP (multilicenční nákup).
Úplné nasazení (jenom pro zařízení pod dohledem) – Správci můžou vybrat nasazení libovolného z daných profilů.
- Bezdotykový (tichý) ovládací filtr – poskytuje webovou ochranu bez sítě VPN pro zpětné místní smyčky a také umožňuje bezobslužné onboarding pro uživatele. Aplikace se automaticky nainstaluje a aktivuje, aniž by uživatel aplikaci otevíral.
- Filtr ovládacích prvků – poskytuje webovou ochranu bez sítě VPN zpětné smyčky.
Nastavení automatizovaného zprovoznění (jenom pro zařízení bez dohledu ) – Správci můžou automatizovat onboarding Defenderu for Endpoint pro uživatele dvěma různými způsoby:
- Onboarding s nulovým dotykem (bezobslužné ) – Aplikace se automaticky nainstaluje a aktivuje, aniž by uživatelé museli aplikaci otevírat.
- Automatické zprovoznění sítě VPN – Profil SÍTĚ VPN defenderu for Endpoint se nastaví automaticky, aniž by to uživatel musel provést během onboardingu. Tento krok se nedoporučuje v konfiguracích s nulovým dotykovým ovládáním.
Nastavení registrace uživatelů (jenom pro zařízení zaregistrovaná uživatelem v Intune) – Správci můžou nasadit a nakonfigurovat aplikaci Defender for Endpoint také na zařízeních zaregistrovaných uživatelem Intune.
Dokončení onboardingu a kontrola stavu – Tento krok platí pro všechny typy registrace, aby se zajistilo, že je aplikace nainstalovaná na zařízení, onboarding je dokončený a zařízení je viditelné na portálu Microsoft Defenderu. Pro onboarding s nulovým dotykem (bezobslužné) je možné ho přeskočit.
Nasazení Defenderu for Endpoint v iOSu přes Portál společnosti Microsoft Intune
V Centru pro správu Microsoft Intune přejděte na Aplikace> proiOS/iPadOS>Přidat>aplikaci pro iOS Store a klikněte na Vybrat.
Na stránce Přidat aplikaci klikněte na Hledat v App Storu a do vyhledávacího panelu zadejte Microsoft Defender . V části výsledků hledání klikněte na Microsoft Defender a pak na Vybrat.
Jako Minimální operační systém vyberte iOS 15.0 . Zkontrolujte zbývající informace o aplikaci a klikněte na Další.
V části Přiřazení přejděte do části Povinné a vyberte Přidat skupinu. Pak můžete zvolit skupiny uživatelů, na které chcete cílit na Defender for Endpoint v aplikaci pro iOS. Klikněte na Vybrat a pak na Další.
Poznámka
Vybraná skupina uživatelů by měla obsahovat uživatele zaregistrované v Microsoft Intune.
V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit. Za chvíli by se měla úspěšně vytvořit aplikace Defender for Endpoint a v pravém horním rohu stránky by se mělo zobrazit oznámení.
Na zobrazené stránce s informacemi o aplikaci v části Monitorování vyberte Stav instalace zařízení a ověřte, že se instalace zařízení úspěšně dokončila.
Aplikace Microsoft Defender for Endpoint v iOSu má specializované schopnosti na zařízeních s iOS/iPadOS pod dohledem vzhledem k vyšším možnostem správy, které platforma poskytuje na těchto typech zařízení. Může také poskytovat webovou ochranu bez nastavení místní sítě VPN v zařízení. To poskytuje koncovým uživatelům bezproblémové prostředí a zároveň jsou stále chráněni před útoky phishing a jinými webovými útoky.
Správci můžou ke konfiguraci zařízení pod dohledem použít následující postup.
Nakonfigurujte pro aplikaci Defender for Endpoint režim pod dohledem prostřednictvím zásad konfigurace aplikací a profilu konfigurace zařízení.
Poznámka
Tato zásada konfigurace aplikací pro zařízení pod dohledem se vztahuje jenom na spravovaná zařízení a jako osvědčený postup by se měla zaměřit na VŠECHNA spravovaná zařízení s iOSem.
Přihlaste se do Centra pro správu Microsoft Intune a přejděte naZásady> konfigurace aplikací>Přidat. Vyberte Spravovaná zařízení.
Na stránce Vytvořit zásadu konfigurace aplikace zadejte následující informace:
- Název zásady
- Platforma: Vyberte iOS/iPadOS.
- Cílová aplikace: V seznamu vyberte Microsoft Defender for Endpoint .
Na další obrazovce vyberte Použít jako formát návrháře konfigurace . Zadejte následující vlastnosti:
- Konfigurační klíč:
issupervised
- Typ hodnoty: Řetězec
- Hodnota konfigurace:
{{issupervised}}
- Konfigurační klíč:
Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další .
Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Pro tento scénář je osvědčeným postupem cílit na Všechna zařízení. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.
Při nasazování do skupin uživatelů se uživatel musí přihlásit k zařízení, než se zásady použijí.
Klikněte na tlačítko Další.
Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.
Poznámka
Pro zařízení se systémem iOS/iPadOS (v režimu pod dohledem) je k dispozici vlastní profil .mobileconfig označovaný jako profil ControlFilter . Tento profil umožňuje webovou ochranu bez nastavení sítě VPN zpětné místní smyčky v zařízení. To poskytuje koncovým uživatelům bezproblémové prostředí a zároveň jsou stále chráněni před útoky phishing a jinými webovými útoky.
Profil ControlFilter však nefunguje s Always-On VPN (AOVPN) kvůli omezením platformy.
Správci nasadí libovolný z daných profilů.
Filtr ovládacích prvků nulového dotyku (tichého ovládání) – Tento profil umožňuje uživatelům bezobslužné onboardingování. Stažení konfiguračního profilu z ControlFilterZeroTouch
Filtr ovládacích prvků – stáhněte konfigurační profil z ControlFilteru.
Po stažení profilu nasaďte vlastní profil. Postupujte podle následujících kroků:
Přejděte na Zařízení>s konfiguračními profily>iOS/iPadOS>Vytvořit profil.
Vyberte Šablony typu> profilu aNázev> šablonyVlastní.
Zadejte název profilu. Po zobrazení výzvy k importu souboru konfiguračního profilu vyberte soubor stažený z předchozího kroku.
V části Přiřazení vyberte skupinu zařízení, na kterou chcete tento profil použít. Osvědčeným postupem je použít tento postup pro všechna spravovaná zařízení s iOSem. Vyberte Další.
Poznámka
Vytváření skupin zařízení se podporuje v defenderu for Endpoint Plan 1 i v plánu 2.
Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.
Správci můžou onboarding Defenderu uživatelům automatizovat dvěma různými způsoby pomocí nulového (tichého) onboardingu nebo automatického zprovoznění SÍTĚ VPN.
Poznámka
Na zařízeních s iOSem, která jsou zaregistrovaná bez přidružení uživatele (zařízení bez uživatele nebo sdílená zařízení), není možné nakonfigurovat funkci nulového dotykového ovládání.
Správci můžou nakonfigurovat Microsoft Defender for Endpoint tak, aby nasazoval a aktivoval bezobslužné nasazení. V tomto toku správce vytvoří profil nasazení a uživatel se jednoduše upozorní na instalaci. Defender for Endpoint se nainstaluje automaticky, aniž by uživatel potřeboval aplikaci otevřít. Pomocí následujících kroků nastavte bezobslužné nebo tiché nasazení Defenderu for Endpoint na zaregistrovaných zařízeních s iOSem:
V Centru pro správu Microsoft Intune přejděte do částiVytvoření profilu> konfigurace zařízení>.
Zvolte Platform as iOS/iPadOS, Profile type (Typ profilu) jako Templates (Šablony) a Template name (Název šablony) jako VPN. Vyberte Vytvořit.
Zadejte název profilu a vyberte Další.
Jako Typ připojení vyberte Vlastní SÍŤ VPN a v části Základní síť VPN zadejte následující:
- Název připojení = Microsoft Defender for Endpoint
- Adresa serveru VPN = 127.0.0.1
- Metoda ověřování = "Uživatelské jméno a heslo"
- Rozdělit tunelování = Zakázat
- Identifikátor SÍTĚ VPN = com.microsoft.scmx
- Ve dvojicích klíč-hodnota zadejte klíč SilentOnboard a nastavte hodnotu na True.
- Typ automatické sítě VPN = VPN na vyžádání
- V části Pravidla na vyžádání vyberte Přidat a vyberte Chci provést následující příkaz = Připojit SÍŤ VPN, chci omezit na = Všechny domény.
- Aby správci nemohli zakázat síť VPN v zařízení uživatelů, můžou v části Blokovat uživatelům zakázat automatickou síť VPN vybrat Ano. Ve výchozím nastavení není nakonfigurovaná a uživatelé můžou vpn zakázat jenom v Nastavení.
- Pokud chcete uživatelům povolit změnu přepínače VPN z aplikace, přidejte do párů klíč-hodnota enableVPNToggleInApp = PRAVDA. Ve výchozím nastavení nemůžou uživatelé změnit přepínač z aplikace.
Vyberte Další a přiřaďte profil cílovým uživatelům.
V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit.
Jakmile se výše uvedená konfigurace provede a synchronizuje se zařízením, provedou se na cílových zařízeních s iOSem následující akce:
- Microsoft Defender for Endpoint se nasadí a bezobslužně nasadí a zařízení se zobrazí na portálu Defenderu for Endpoint.
- Zařízení uživatele bude odesláno předběžné oznámení.
- Aktivuje se webová ochrana a další funkce.
Poznámka
- Dokončení nastavení nulového dotykového ovládání na pozadí může trvat až 5 minut.
- U zařízení pod dohledem můžou správci nastavit onboarding s nulovým dotykovým ovládáním pomocí profilu filtru ovládacího prvku ZeroTouch. Profil sítě VPN Defender for Endpoint se na zařízení nenainstaluje a profil filtru ovládacích prvků zajistí webovou ochranu.
Poznámka
Tento krok zjednodušuje proces onboardingu nastavením profilu SÍTĚ VPN. Pokud používáte funkci Nulové dotykové ovládání, nemusíte tento krok provádět.
Pro zařízení bez dohledu se k poskytování funkce webové ochrany používá síť VPN. Nejedná se o běžnou síť VPN a jedná se o místní nebo samoobslužnou síť VPN, která nepřebíná provoz mimo zařízení.
Správci můžou nakonfigurovat automatické nastavení profilu SÍTĚ VPN. Tím se automaticky nastaví profil SÍTĚ VPN Defender for Endpoint, aniž by to uživatel musel při onboardingu provést.
V Centru pro správu Microsoft Intune přejděte do částiVytvoření profilu> konfigurace zařízení>.
Jako iOS/iPadOS zvolte Platform (Platforma) a profile type (Typ profilu) jako VPN. Klikněte na Vytvořit.
Zadejte název profilu a klikněte na Další.
Jako Typ připojení vyberte Vlastní SÍŤ VPN a v části Základní síť VPN zadejte následující:
Název připojení = Microsoft Defender for Endpoint
Adresa serveru VPN = 127.0.0.1
Metoda ověřování = "Uživatelské jméno a heslo"
Rozdělit tunelování = Zakázat
Identifikátor SÍTĚ VPN = com.microsoft.scmx
Ve dvojicích klíč-hodnota zadejte klíč AutoOnboard a nastavte hodnotu na True.
Typ automatické sítě VPN = VPN na vyžádání
V části Pravidla na vyžádání vyberte Přidat a vyberte Chci provést následující příkaz = Připojit SÍŤ VPN, chci omezit na = Všechny domény.
Pokud chcete vyžadovat, aby síť VPN nebylo možné zakázat na zařízení uživatele, můžou správci vybrat Ano v části Blokovat uživatelům zakázání automatické sítě VPN. Ve výchozím nastavení není toto nastavení nakonfigurované a uživatelé můžou vpn zakázat jenom v Nastavení.
Pokud chcete uživatelům povolit změnu přepínače VPN z aplikace, přidejte do párů klíč-hodnota enableVPNToggleInApp = PRAVDA. Ve výchozím nastavení nemůžou uživatelé změnit přepínač z aplikace.
Klikněte na Další a přiřaďte profil cílovým uživatelům.
V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit.
Aplikaci Microsoft Defender pro iOS je možné nasadit na zařízeních zaregistrovaných uživatelem v Intune pomocí následujícího postupu.
Nastavte profil registrace uživatele v Intune. Intune podporuje registraci uživatelů Apple řízenou účtem a registraci uživatelů Apple pomocí Portálu společnosti. Přečtěte si další informace o porovnání těchto dvou metod a vyberte jednu z nich.
Nastavte modul plug-in jednotného přihlašování. Aplikace Authenticator s rozšířením jednotného přihlašování je předpokladem pro registraci uživatelů v zařízení s iOSem.
- Vytvoření je profil konfigurace zařízení v Intune – Konfigurace modulu plug-in pro iOS/iPadOS Podnikové jednotné přihlašování pomocí MDM | Microsoft Learn.
- Ujistěte se, že jste do výše uvedené konfigurace přidali tyto dva klíče:
- ID sady aplikací: V tomto seznamu com.microsoft.scmx uveďte ID sady aplikací Defender.
- Další konfigurace: Klíč - device_registration ; Type - String ; Hodnota– {{DEVICEREGISTRATION}}
Nastavte klíč MDM pro registraci uživatelů.
- V Intune přejděte na Přejít na Zásady > konfigurace aplikací > Přidat > spravovaná zařízení.
- Pojmenujte zásadu, vyberte Platforma > iOS/iPadOS.
- Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.
- Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte userEnrolmentEnabled jako klíč, typ hodnoty jako Řetězec a hodnotu jako True.
Správce může v Intune nasdílit defender jako požadovanou aplikaci VPP.
Aplikace Defender se nainstaluje do zařízení uživatele. Uživatel se přihlásí a dokončí onboarding. Po úspěšném nasazení se zařízení zobrazí na portálu zabezpečení defenderu v části Inventář zařízení.
- Podporuje všechny aktuální funkce Defenderu for Endpoint iOS, jako jsou ochrana webu, ochrana sítě, detekce jailbreaků, ohrožení zabezpečení v operačním systému a aplikacích, upozorňování na portálu zabezpečení defenderu a zásady dodržování předpisů.
- Nasazení bez dotykového ovládání (bezobslužné) a automatické zprovoznění sítě VPN se při registraci uživatelů nepodporuje, protože správci nemůžou nabízet profil SÍTĚ VPN pro celé zařízení s registrací uživatelů.
- Pro správu ohrožení zabezpečení aplikací budou viditelné jenom aplikace v pracovním profilu.
- Pokud jsou cílem zásad dodržování předpisů, může to trvat až 10 minut, než se nově nasazená zařízení stanou kompatibilními.
- Přečtěte si další informace o omezeních a možnostech registrace uživatelů.
Po instalaci Defenderu for Endpoint v iOSu na zařízení se zobrazí ikona aplikace.
Klepněte na ikonu aplikace Defender for Endpoint (MSDefender) a postupujte podle pokynů na obrazovce a dokončete kroky onboardingu. Podrobnosti zahrnují souhlas koncových uživatelů s oprávněními k iOSu vyžadovanými defenderem for Endpoint v iOSu.
Poznámka
Tento krok přeskočte, pokud nakonfigurujete onboarding bez dotykového ovládání (bezobslužné). Ruční spuštění aplikace není nutné, pokud je nakonfigurováno nulové dotykové (tiché) onboarding.
Po úspěšném zprovoznění se zařízení začne zobrazovat v seznamu Zařízení na portálu Microsoft Defender.
- Konfigurace zásad ochrany aplikací tak, aby zahrnovaly rizikové signály Defenderu for Endpoint (MAM)
- Konfigurace funkcí Defenderu for Endpoint v iOSu
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.