Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležitý
Globální klient zabezpečeného přístupu pro iOS je aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžné verze produktu, který může být podstatně změněn před vydáním. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.
Tento článek vysvětluje, jak nastavit a nasadit klientskou aplikaci Global Secure Access na zařízeních s iOSem a iPadOS. Pro zjednodušení se tento článek týká iOS i iPadOS jako iOS.
Upozornění
Spuštění jiných produktů ochrany koncových bodů třetích stran spolu s programem Defender for Endpoint v iOSu pravděpodobně způsobí problémy s výkonem a nepředvídatelné systémové chyby.
Poznámka:
- Globální klient zabezpečeného přístupu se nasadí prostřednictvím programu Microsoft Defender for Endpoint v iOSu.
- Klient globálního zabezpečeného přístupu v iOSu používá síť VPN. Tato síť VPN není běžnou sítí VPN. Místo toho se jedná o místní nebo samoobslužnou smyčku VPN.
Požadavky
- Pokud chcete použít klienta globálního zabezpečeného přístupu pro iOS, nakonfigurujte koncové zařízení s iOSem jako registrované zařízení Microsoft Entra.
- Pokud chcete pro svého tenanta povolit globální zabezpečený přístup, projděte si licenční požadavky. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
- Onboarding tenanta do globálního zabezpečeného přístupu a konfigurace jednoho nebo více profilů předávání přenosů Další informace najdete v tématu Přístup k oblasti globálního zabezpečeného přístupu v Centru pro správu Microsoft Entra.
- Pokud chcete povolit jednotné přihlašování přes Kerberos, vytvořte a nasaďte profil pro rozšíření aplikace jednotného přihlašování pro iOS.
Požadavky
Síťové požadavky
Pro Microsoft Defender for Endpoint v iOSu (k dispozici v Apple App Storu) pro funkci při připojení k síti musíte nakonfigurovat bránu firewall nebo proxy server tak, aby umožňoval přístup k adresám URL služby Microsoft Defender for Endpoint.
Poznámka:
Microsoft Defender pro koncový bod v iOSu se nepodporuje na bezuživatelských nebo sdílených zařízeních.
Systémové požadavky
Zařízení s iOSem (telefon nebo tablet) musí splňovat následující požadavky:
- Zařízení používá iOS 15.0 nebo novější.
- Zařízení má aplikaci Microsoft Authenticator nebo aplikaci Portál společnosti Intune.
- Zařízení je zaregistrované k vynucení zásad dodržování předpisů zařízením v Intune.
Podporované režimy
Globální klient zabezpečeného přístupu pro iOS podporuje instalaci na obou režimech zaregistrovaných zařízení: pod dohledem i bez dohledu.
Známá omezení
Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.
Postup instalace
Nasazení na zařízení zaregistrovaná správcem zařízení v Microsoft Intune
V Centru pro správu Microsoft Intune přejděte na Aplikace>pro iOS/iPadOS>Přidat>aplikaci pro iOS Store a vyberte Vybrat.
Na stránce Přidat aplikaci vyberte Hledat v App Storu a na panelu hledání zadejte Microsoft Defender.
Ve výsledcích hledání vyberte Microsoft Defender a vyberte Vybrat.
Jako minimální operační systém vyberte iOS 15.0 . Zkontrolujte zbývající informace o aplikaci a vyberte Další.
V části Zadání přejděte do části Povinné a vyberte Přidat skupinu.
Zvolte skupiny uživatelů, na které chcete cílit v aplikaci Defender for Endpoint v aplikaci pro iOS.
Poznámka:
Vybraná skupina uživatelů by se měla skládat z zaregistrovaných uživatelů Microsoft Intune.
- Vyberte Výběr a pak Další.
- V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit. Po chvíli se aplikace Defender for Endpoint úspěšně vytvoří a v pravém horním rohu stránky se zobrazí oznámení.
- Na stránce s informacemi o aplikaci v části Monitorování vyberte stav instalace zařízení a ověřte, že se instalace zařízení úspěšně dokončila.
Vytvoření profilu SÍTĚ VPN a konfigurace globálního zabezpečeného přístupu pro Microsoft Defender for Endpoint
V Centru pro správu Microsoft Intune přejděte do Zařízení>Konfigurace>Vytvořit>novou zásadu.
Nastavte platformu na iOS/iPadOS, typ profilu na Šablony a název šablony na VPN.
Vyberte Vytvořit.
Zadejte název profilu a vyberte Další.
Nastavte typ připojení na vlastní síť VPN.
V části Základní síť VPN zadejte následující:
- Název připojení: Microsoft Defender for Endpoint
- Adresa serveru VPN: 127.0.0.1
- Metoda ověřování: Uživatelské jméno a heslo
- Rozdělené tunelování: Zakázání
- Identifikátor SÍTĚ VPN: com.microsoft.scmx
V polích párů klíč-hodnota:
Přidejte klíč SilentOnboard a nastavte hodnotu True.
Přidejte klíč EnableGSA a nastavte odpovídající hodnotu z následující tabulky:
Klíč Hodnota Detaily PovolitGSA Žádná hodnota Globální zabezpečený přístup není povolený a dlaždice není viditelná. 0 Globální zabezpečený přístup není povolený a dlaždice není viditelná. 0 Panel Globálního zabezpečeného přístupu je viditelný a ve výchozím nastavení má vypnutý stav. Uživatel může povolit nebo zakázat použití přepínače. 2 Globální dlaždice zabezpečeného přístupu je viditelná a výchozí hodnota je povolená. Uživatel může povolit nebo zakázat použití přepínače z aplikace. 3 Globální dlaždice zabezpečeného přístupu je viditelná a výchozí hodnota je povolená. Uživatel nemůže zakázat globální zabezpečený přístup. Podle potřeby přidejte další páry klíč-hodnota (volitelné):
Klíč Hodnota Detaily ZapnoutGSASoukromýKanál Žádná hodnota Použijte možnost EnableGSA nakonfigurovanou. 0 Privátní přístup není povolený a možnost přepínacího tlačítka není viditelná pro uživatele. 0 Přepínač Privátní přístup je viditelný a ve výchozím nastavení je zakázaný stav. Uživatel může povolit nebo zakázat. 2 Přepínač Privátní přístup je viditelný a ve výchozím nastavení je povolený stav. Uživatel může povolit nebo zakázat. 3 Přepínač Privátní přístup je viditelný, ale zobrazený šedě a ve výchozím nastavení je povolený stav. Uživatel nemůže zakázat privátní přístup.
Pokračujte v vyplňování formuláře VPN:
- Typ automatické sítě VPN: SÍŤ VPN na vyžádání
-
Pravidla na vyžádání: vyberte Přidat a pak:
- Nastavte následující postup pro připojení VPN.
- Nastavte možnost Omezit navšechny domény.
Pokud chcete koncovým uživatelům zabránit v zakázání sítě VPN, nastavte možnost Blokovat uživatelům zakázání automatické sítě VPN na Ano. Ve výchozím nastavení není toto nastavení nakonfigurované a uživatelé můžou vpn zakázat jenom v nastavení.
Vyberte Další a přiřaďte profil cílovým uživatelům.
V části Zkontrolovat a vytvořit ověřte, že jsou všechny informace správné, a pak vyberte Vytvořit.
Po dokončení a synchronizaci konfigurace se zařízením se na cílových zařízeních s iOSem provádějí následující akce:
- Microsoft Defender for Endpoint je nasazený a bezobslužně onboardovaný.
- Zařízení je uvedené na portálu Defender for Endpoint Portal.
- Do zařízení uživatele se odešle prozatímní oznámení.
- Aktivují se globální funkce zabezpečeného přístupu a dalších funkcí nakonfigurovaných v programu Microsoft Defender for Endpoint (MDE).
Potvrzení, že se v aplikaci Defender zobrazí globální zabezpečený přístup
Vzhledem k tomu, že klient globálního zabezpečeného přístupu pro iOS je integrovaný s Microsoft Defenderem for Endpoint, je užitečné porozumět prostředí koncového uživatele. Po onboardingu do globálního zabezpečeného přístupu se klient zobrazí na řídicím panelu Defenderu.
Klienta globálního zabezpečeného přístupu pro iOS můžete povolit nebo zakázat nastavením klíče EnableGSA v profilu SÍTĚ VPN. Koncoví uživatelé můžou povolit nebo zakázat jednotlivé služby nebo samotného klienta na základě nastavení konfigurace pomocí příslušných přepínačů.
Pokud se klient nemůže připojit, zobrazí se přepínač, který službu zakáže. Uživatelé se můžou později vrátit a zkusit klienta povolit.
Řešení problému
- Dlaždice Globální zabezpečený přístup se po onboardingu tenanta nezobrazuje v aplikaci Defender:
- Vynuťte zastavení aplikace Defender a znovu ji spusťte.
- Přístup k aplikaci Privátní přístup zobrazuje chybu vypršení časového limitu připojení po úspěšném interaktivním přihlášení.
- Znovu načtěte aplikaci (nebo aktualizujte webový prohlížeč).