Del via


Installér Microsoft Defender for Endpoint på iOS med Microsoft Intune

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I dette emne beskrives, hvordan du installerer Defender for Endpoint på iOS på Microsoft Intune Firmaportal tilmeldte enheder. Du kan få flere oplysninger om Microsoft Intune enhedsregistrering under Tilmeld iOS-/iPadOS-enheder i Intune.

Før du begynder

  • Sørg for, at du har adgang til Microsoft Intune Administration.

  • Sørg for, at iOS-tilmelding er udført for dine brugere. Brugerne skal have tildelt en Licens til Defender for Endpoint for at kunne bruge Defender for Endpoint på iOS. Se Tildel licenser til brugere for at få oplysninger om, hvordan du tildeler licenser.

  • Sørg for, at slutbrugerne har installeret appen Firmaportal, logget på og tilmeldingen fuldført.

Bemærk!

Microsoft Defender for Endpoint på iOS er tilgængelig i Apple App Store.

Dette afsnit omhandler:

  1. Installationstrin (gælder for både overvågede og ikke-overvågede enheder) – Administratorer kan installere Defender for Endpoint på iOS via Microsoft Intune Firmaportal. Dette trin er ikke nødvendigt for VPP-apps (volumenkøb).

  2. Fuldfør udrulningen (kun for overvågede enheder) – Administratorer kan vælge at installere en hvilken som helst af de angivne profiler.

    1. Zero touch (Silent) Control Filter – giver webbeskyttelse uden VPN til lokal tilbagekobling og muliggør også uovervåget onboarding for brugere. Appen installeres og aktiveres automatisk, uden at brugeren skal åbne appen.
    2. Kontrolelementfilter – leverer webbeskyttelse uden VPN til lokal tilbagekobling.
  3. Automatiseret onboardingkonfiguration (kun for ikke-overvågede enheder) – Administratorer kan automatisere onboarding af Defender for Endpoint for brugere på to forskellige måder:

    1. Zero touch (Silent) Onboarding – Appen installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
    2. Automatisk onboarding af VPN – Defender for Endpoint VPN-profilen konfigureres automatisk, uden at brugeren skal gøre det under onboarding. Dette trin anbefales ikke i konfigurationer med nul berøring.
  4. Konfiguration af brugertilmelding (kun for Intune brugertilmeldte enheder) – Administratorer kan installere og konfigurere Defender for Endpoint-appen på de Intune brugertilmeldte enheder.

  5. Komplet onboarding og kontrolstatus – Dette trin gælder for alle tilmeldingstyper for at sikre, at appen er installeret på enheden, at onboarding er fuldført, og at enheden er synlig på Microsoft Defender portalen. Det kan springes over for onboarding uden berøring (lydløs).

Installationstrin (gælder for både overvågede og ikke-overvågede enheder)

Installer Defender for Endpoint på iOS via Microsoft Intune Firmaportal.

Tilføj iOS Store-app

  1. I Microsoft Intune Administration skal du gå til Apps>iOS/iPadOS>Tilføj>iOS Store-app og klikke på Vælg.

    Fanen Tilføj programmer i Microsoft Intune Administration

  2. Klik på Søg App Store på siden Tilføj app, og skriv Microsoft Defender i søgelinjen. Klik på Microsoft Defender i afsnittet søgeresultater, og klik på Vælg.

  3. Vælg iOS 15.0 som minimumoperativsystemet. Gennemse de øvrige oplysninger om appen, og klik på Næste.

  4. I afsnittet Tildelinger skal du gå til sektionen Påkrævet og vælge Tilføj gruppe. Du kan derefter vælge den eller de brugergrupper, du vil målrette mod Defender for Endpoint på iOS-appen. Klik på Vælg og derefter på Næste.

    Bemærk!

    Den valgte brugergruppe skal bestå af Microsoft Intune tilmeldte brugere.

    Fanen Tilføj gruppe i Microsoft Intune Administration

  5. I afsnittet Gennemse + Create skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Create. Om et øjeblik skal Defender for Endpoint-appen oprettes, og der vises en meddelelse i øverste højre hjørne af siden.

  6. På den side med appoplysninger, der vises, skal du i afsnittet Overvåg vælge Status for enhedsinstallation for at kontrollere, at enhedsinstallationen er fuldført.

    Statussiden for enhedsinstallation

Fuldfør udrulning for overvågede enheder

Microsoft Defender for Endpoint på iOS-appen har specialiseret sig i overvågede iOS-/iPadOS-enheder på grund af de øgede administrationsfunktioner, der leveres af platformen på disse typer enheder. Den kan også levere webbeskyttelse uden at konfigurere en lokal VPN-forbindelse på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.

Administratorer kan bruge følgende trin til at konfigurere overvågede enheder.

Konfigurer overvåget tilstand via Microsoft Intune

Konfigurer overvåget tilstand for Defender for Endpoint-app via en appkonfigurationspolitik og en enhedskonfigurationsprofil.

Politik for appkonfiguration

Bemærk!

Denne appkonfigurationspolitik for overvågede enheder gælder kun for administrerede enheder og bør målrettes til ALLE administrerede iOS-enheder som bedste praksis.

  1. Log på Microsoft Intune Administration, og gå til Apps>Appkonfigurationspolitikker>Tilføj. Vælg Administrerede enheder.

    Billede af Microsoft Intune Administration4.

  2. På siden Create appkonfigurationspolitik skal du angive følgende oplysninger:

    • Politiknavn
    • Platform: Vælg iOS/iPadOS
    • Målrettet app: Vælg Microsoft Defender for Endpoint på listen

    Billede af Microsoft Intune Administration5.

  3. På det næste skærmbillede skal du vælge Brug konfigurationsdesigner som format. Angiv følgende egenskaber:

    • Konfigurationsnøgle: issupervised
    • Værditype: Streng
    • Konfigurationsværdi: {{issupervised}}

    Billede af Microsoft Intune Administration6.

  4. Vælg Næste for at åbne siden Områdekoder . Områdekoder er valgfri. Vælg Næste for at fortsætte.

  5. På siden Tildelinger skal du vælge de grupper, der skal modtage denne profil. I dette scenarie er det bedste praksis at målrette alle enheder. Du kan få flere oplysninger om tildeling af profiler under Tildel bruger- og enhedsprofiler.

    Når der udrulles til brugergrupper, skal en bruger logge på en enhed, før politikken gælder.

    Klik på Næste.

  6. På siden Gennemse + opret skal du vælge Create, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Enhedskonfigurationsprofil (kontrolfilter)

Bemærk!

For enheder, der kører iOS/iPadOS (i overvåget tilstand), er der en brugerdefineret .mobileconfig-profil , der kaldes den tilgængelige ControlFilter-profil . Denne profil aktiverer Webbeskyttelse uden at konfigurere VPN til lokal tilbagekobling på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.

ControlFilter-profilen fungerer dog ikke sammen med Always-On VPN (AOVPN) på grund af platformbegrænsninger.

Administratorer installerer en hvilken som helst af de angivne profiler.

  1. Intet touch (uovervåget) kontrolelementfilter – Denne profil muliggør uovervåget onboarding for brugerne. Download konfigurationsprofilen fra ControlFilterZeroTouch

  2. Control Filter – Download konfigurationsprofilen fra ControlFilter.

Når profilen er blevet downloadet, skal du installere den brugerdefinerede profil. Følg nedenstående trin:

  1. Gå til Enheder>iOS/iPadOS-konfigurationsprofiler>>Create Profil.

  2. Vælg Profiltypeskabeloner> og Skabelonnavn>Brugerdefineret.

    Billede af Microsoft Intune Administration7.

  3. Angiv et navn på profilen. Når du bliver bedt om at importere en konfigurationsprofilfil, skal du vælge den fil, der er downloadet fra det forrige trin.

  4. I afsnittet Tildeling skal du vælge den enhedsgruppe, du vil anvende denne profil på. Dette bør som bedste praksis anvendes på alle administrerede iOS-enheder. Vælg Næste.

    Bemærk!

    Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2.

  5. På siden Gennemse + opret skal du vælge Create, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder)

Administratorer kan automatisere onboarding af Defender for brugere på to forskellige måder med Zero touch(Silent) Onboarding eller Automatisk onboarding af VPN.

Onboarding uden berøring (silent) af Microsoft Defender for Endpoint

Bemærk!

Zero-touch kan ikke konfigureres på iOS-enheder, der er tilmeldt uden brugertilhør (brugerfri enheder eller delte enheder).

Administratorer kan konfigurere Microsoft Defender for Endpoint til at installere og aktivere uovervåget. I dette flow opretter administratoren en installationsprofil, og brugeren får ganske enkelt besked om installationen. Defender for Endpoint installeres automatisk, uden at brugeren skal åbne appen. Følg nedenstående trin for at konfigurere zero-touch eller uovervåget installation af Defender for Endpoint på tilmeldte iOS-enheder:

  1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Create Profil.

  2. Vælg Platform som iOS/iPadOS, Profiltype som skabeloner og Skabelonnavn som VPN. Vælg Create.

  3. Skriv et navn til profilen, og vælg Næste.

  4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

    • Forbindelsesnavn = Microsoft Defender for Endpoint
    • VPN-serveradresse = 127.0.0.1
    • Auth-metode = "Brugernavn og adgangskode"
    • Opdel tunnelføring = Deaktiver
    • VPN-id = com.microsoft.scmx
    • I nøgleværdipar skal du angive nøglen SilentOnboard og angive værdien til True.
    • Type af automatisk VPN = On-demand VPN
    • Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende = Opret forbindelse til VPN, jeg vil begrænse til = Alle domæner.

    Siden Konfiguration af VPN-profil

    • Hvis administratorer vil give tilladelse til, at VPN ikke kan deaktiveres på brugernes enhed, kan de vælge Ja fra Bloker brugere fra at deaktivere automatisk VPN. Som standard er den ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
    • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen inde fra appen, skal du tilføje EnableVPNToggleInApp = TRUE i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.
  5. Vælg Næste , og tildel profilen til målrettede brugere.

  6. I afsnittet Gennemse + Create skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Create.

Når ovenstående konfiguration er fuldført og synkroniseret med enheden, udføres følgende handlinger på de målrettede iOS-enheder:

  • Microsoft Defender for Endpoint installeres og onboardes uovervåget, og enheden kan ses på Defender for Endpoint-portalen.
  • Der sendes en foreløbig meddelelse til brugerenheden.
  • Webbeskyttelse og andre funktioner aktiveres.

Bemærk!

For overvågede enheder kan administratorer konfigurere Zero touch onboarding med den nye ZeroTouch Control Filter Profile.

Defender for Endpoint VPN-profilen installeres ikke på enheden, og webbeskyttelse leveres af kontrolfilterprofilen.

Automatisk onboarding af VPN-profil (forenklet onboarding)

Bemærk!

Dette trin forenkler onboardingprocessen ved at konfigurere VPN-profilen. Hvis du bruger Zero touch, behøver du ikke at udføre dette trin.

For enheder, der ikke er overvåget, bruges der en VPN-forbindelse til at levere webbeskyttelsesfunktionen. Dette er ikke en almindelig VPN- og er en lokal/selv-løkke-VPN, der ikke tager trafik uden for enheden.

Administratorer kan konfigurere automatisk konfiguration af VPN-profilen. Dette konfigurerer automatisk VPN-profilen Defender for Endpoint, uden at brugeren skal gøre det under onboarding.

  1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Create Profil.

  2. Vælg Platform som iOS/iPadOS og Profiltype som VPN. Klik på Create.

  3. Skriv et navn til profilen, og klik på Næste.

  4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

    • Forbindelsesnavn = Microsoft Defender for Endpoint

    • VPN-serveradresse = 127.0.0.1

    • Auth-metode = "Brugernavn og adgangskode"

    • Opdel tunnelføring = Deaktiver

    • VPN-id = com.microsoft.scmx

    • I nøgleværdipar skal du angive nøglen AutoOnboard og angive værdien til Sand.

    • Type af automatisk VPN = On-demand VPN

    • Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende = Opret forbindelse til VPN, jeg vil begrænse til = Alle domæner.

      Fanen Konfigurationsindstillinger for VPN-profil.

    • Hvis administratorer vil kræve, at VPN ikke kan deaktiveres på en brugers enhed, kan de vælge Ja fra Bloker brugere fra at deaktivere automatisk VPN. Denne indstilling er som standard ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.

    • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen inde fra appen, skal du tilføje EnableVPNToggleInApp = TRUE i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.

  5. Klik på Næste , og tildel profilen til målrettede brugere.

  6. I afsnittet Gennemse + Create skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Create.

Konfiguration af brugerregistrering (kun for Intune brugertilmeldte enheder)

Vigtigt!

Brugertilmelding til Microsoft Defender på iOS er en offentlig prøveversion. Følgende oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Microsoft Defender iOS-app kan installeres på de Intune brugertilmeldte enheder ved hjælp af følgende trin.

Administration

  1. Konfigurer brugerregistreringsprofilen i Intune. Intune understøtter kontodrevet Apple-brugertilmelding og Apple-brugertilmelding med Firmaportal. Læs mere om sammenligningen af de to metoder, og vælg en.

  2. Konfigurer SSO-plug-in. Godkenderapp med SSO-udvidelse er en forudsætning for brugertilmelding på en iOS-enhed.

    • Create er enhedskonfigurationsprofil i Intune- Konfigurer iOS-/iPadOS Enterprise SSO-plug-in med MDM | Microsoft Learn.
    • Sørg for at tilføje disse to nøgler i ovenstående konfiguration:
    • Appbundt-id: Medtag Defender App bundle-id'et på denne liste com.microsoft.scmx
    • Yderligere konfiguration: Nøgle – device_registration ; Type - Streng ; Value- {{DEVICEREGISTRATION}}
  3. Konfigurer MDM-nøglen til brugerregistrering.

    • I Intune skal du gå til Gå til Apps > Appkonfigurationspolitikker > Tilføj > administrerede enheder
    • Giv politikken et navn, vælg Platform > iOS/iPadOS,
    • Vælg Microsoft Defender for Endpoint som destinationsapp.
    • På siden Indstillinger skal du vælge Brug konfigurationsdesigner og tilføje UserEnrolmentEnabled som nøgle, værditype som Streng, værdi som Sand.
  4. Administration kan pushe Defender som en påkrævet VPP-app fra Intune.

Slutbruger

Defender-appen er installeret på brugerens enhed. Brugeren logger på og fuldfører onboarding. Når enheden er onboardet, er den synlig på Defender Security Portal under Enhedslager.

Understøttede funktioner og begrænsninger

  1. Alle de aktuelle funktioner i MDE iOS, f.eks. webbeskyttelse, netværksbeskyttelse, registrering af jailbreak, sårbarheder i operativsystemet og apps, advarsler i Defender Security Portal og politikker for overholdelse af angivne standarder.
  2. Installation uden berøring (uovervåget) og automatisk onboarding af VPN understøttes ikke med brugertilmelding, da administratorer ikke kan pushe en VPN-profil, der dækker hele enheden, med brugertilmelding.
  3. I forbindelse med administration af sårbarheder i apps er det kun apps i arbejdsprofilen, der er synlige.
  4. Læs mere om begrænsninger og egenskaber for brugertilmelding.

Fuldfør onboarding, og kontrollér status

  1. Når Defender for Endpoint på iOS er installeret på enheden, får du vist appikonet.

  2. Tryk på ikonet for Appen Defender for Endpoint (MSDefender), og følg vejledningen på skærmen for at fuldføre onboardingtrinnene. Oplysningerne omfatter slutbrugeraccept af iOS-tilladelser, der kræves af Defender for Endpoint på iOS.

Bemærk!

Spring dette trin over, hvis du konfigurerer onboarding uden berøring (uovervåget). Det er ikke nødvendigt at starte programmet manuelt, hvis onboarding uden berøring (uovervåget) er konfigureret.

  1. Ved vellykket onboarding vises enheden på listen Enheder på Microsoft Defender-portalen.

    Siden Enhedslager.

Næste trin

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.