Nasazení Microsoft Defender for Endpoint v iOSu pomocí správy mobilních aplikací
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Defender for Endpoint v iOSu používá k poskytování funkce Webové ochrany síť VPN. Nejedná se o běžnou síť VPN a jedná se o místní nebo samoobslužnou síť VPN, která nepřebíná provoz mimo zařízení.
Konfigurace Microsoft Defender for Endpoint signálů rizik v zásadách ochrany aplikací (MAM)
Microsoft Defender for Endpoint v iOSu, který už chrání podnikové uživatele ve scénářích mobilních Správa zařízení (MDM), teď rozšiřuje podporu správy mobilních aplikací (MAM) pro zařízení, která nejsou zaregistrovaná pomocí Intune správy mobilních zařízení (MDM). Tuto podporu také rozšiřuje na zákazníky, kteří používají jiná podniková řešení pro správu mobility, a přitom stále používají Intune pro správu mobilních aplikací (MAM). Tato funkce umožňuje spravovat a chránit data vaší organizace v rámci aplikace.
Microsoft Defender for Endpoint informací o hrozbách pro iOS využívají zásady ochrany aplikací Intune k ochraně těchto aplikací. zásady Ochrana aplikací (APP) jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Spravovaná aplikace má použité zásady ochrany aplikací a je možné ji spravovat pomocí Intune.
Microsoft Defender for Endpoint v iOSu podporuje obě konfigurace MAM
- Intune MDM + MAM: Správci IT můžou spravovat aplikace pomocí zásad ochrany aplikací jenom na zařízeních zaregistrovaných ve správě mobilních zařízení (MDM) Intune.
- MAM bez registrace zařízení: MAM bez registrace zařízení nebo MAM-WE umožňuje správcům IT spravovat aplikace pomocí zásad ochrany aplikací na zařízeních, která nejsou zaregistrovaná v Intune MDM. To znamená, že aplikace je možné spravovat pomocí Intune na zařízeních zaregistrovaných u poskytovatelů EMM třetích stran. Ke správě aplikací pomocí obou výše uvedených konfigurací by zákazníci měli používat Intune v Centru pro správu Microsoft Intune.
Aby správce tuto funkci mohl povolit, musí nakonfigurovat připojení mezi Microsoft Defender for Endpoint a Intune, vytvořit zásady ochrany aplikací a použít je na cílových zařízeních a aplikacích.
Koncoví uživatelé také musí podniknout kroky k instalaci Microsoft Defender for Endpoint na své zařízení a aktivaci toku onboardingu.
Předpoklady
- Ověřte, že je na portálu zabezpečení povolený konektor Intune.
Ve sjednocené konzole zabezpečení přejděte na Nastavení>Koncové body>Pokročilé funkce a ujistěte se, že je povolené Microsoft Intune připojení.
- Ověřte, že je na portálu Intune povolený konektor APP.
V Centru pro správu Microsoft Intune přejděte do části Endpoint Security>Microsoft Defender for Endpoint a ujistěte se, že je povolený stav připojení.
Create zásady ochrany aplikací
Blokování přístupu nebo vymazání dat spravované aplikace na základě Microsoft Defender for Endpoint signálů rizik vytvořením zásad ochrany aplikací Microsoft Defender for Endpoint je možné nakonfigurovat tak, aby odesílaly signály hrozeb, které se mají použít v zásadách ochrany aplikací (APP, označované také jako MAM). Díky této funkci můžete k ochraně spravovaných aplikací použít Microsoft Defender for Endpoint.
- Create zásady
zásady Ochrana aplikací (APP) jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Zásadou může být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k podnikovým datům nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když se uživatel nachází v aplikaci.
Přidání aplikací
a. Zvolte, jak chcete tuto zásadu použít u aplikací na různých zařízeních. Pak přidejte aspoň jednu aplikaci.
Tato možnost slouží k určení, jestli se tato zásada vztahuje na nespravovaná zařízení. Můžete se také rozhodnout, že se vaše zásady budou cílit na aplikace na zařízeních libovolného stavu správy. Protože správa mobilních aplikací nevyžaduje správu zařízení, můžete chránit firemní data na spravovaných i nespravovaných zařízeních. Správa se zaměřuje na identitu uživatele, což eliminuje požadavek na správu zařízení. Společnosti můžou současně používat zásady ochrany aplikací s MDM i bez nich. Představte si například zaměstnance, který používá telefon vydaný společností a vlastní osobní tablet. Telefon společnosti je zaregistrovaný v MDM a chráněný zásadami ochrany aplikací, zatímco osobní zařízení je chráněno jenom zásadami ochrany aplikací.b. Vyberte Aplikace.
Spravovaná aplikace je aplikace, která má použité zásady ochrany aplikací a je možné ji spravovat pomocí Intune. Všechny aplikace, které jsou integrované se sadou Intune SDK nebo zabalené Intune App Wrapping Tool, je možné spravovat pomocí zásad ochrany aplikací Intune. Podívejte se na oficiální seznam Microsoft Intune chráněných aplikací vytvořených pomocí těchto nástrojů, které jsou dostupné pro veřejné použití.Příklad: Outlook jako spravovaná aplikace
Vyberte nastavení Platforma, Aplikace, Ochrana dat a Požadavky na přístup , které vaše organizace vyžaduje pro vaši zásadu.
3. Nastavte požadavky na zabezpečení přihlašování pro zásady ochrany.
V části Podmínky podmíněného spuštění > zařízení vyberte Nastavení > maximální povolené úrovně ohrožení zařízení a zadejte hodnotu. To bude potřeba nakonfigurovat na Nízkou, Střední, Vysokou nebo Zabezpečenou. Akce, které máte k dispozici, budou Blokovat přístup nebo Vymazat data. Vyberte Akce: Blokovat přístup. Microsoft Defender for Endpoint v iOSu sdílí tuto úroveň ohrožení zařízení.
4. Přiřaďte skupiny uživatelů, pro které je potřeba zásadu použít.
Vyberte Zahrnuté skupiny. Pak přidejte příslušné skupiny.
Další informace o MAM nebo zásadách ochrany aplikací najdete v tématu Nastavení zásad ochrany aplikací pro iOS.
Nasazení Microsoft Defender for Endpoint pro MAM nebo na nezaregistrovaná zařízení
Microsoft Defender for Endpoint v iOSu umožňuje scénář zásad ochrany aplikací a je k dispozici v App Storu Apple.
Když jsou zásady ochrany aplikací nakonfigurované tak, aby aplikace zahrnovaly rizikové signály zařízení z Microsoft Defender for Endpoint, budou uživatelé při používání takových aplikací přesměrováni na instalaci Microsoft Defender for Endpoint. Uživatelé si také můžou nainstalovat nejnovější verzi aplikace přímo z Obchodu s aplikacemi Apple.
Ujistěte se, že je zařízení zaregistrované ve službě Authenticator se stejným účtem, který se používá k onboardingu v Defenderu pro úspěšnou registraci MAM.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro