Installér Microsoft Defender for Endpoint på iOS med Microsoft Intune

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I dette emne beskrives, hvordan du installerer Defender for Endpoint på iOS på tilmeldte enheder i Microsoft Intune-firmaportalen. Du kan få flere oplysninger om tilmelding af Microsoft Intune-enheder under Tilmeld iOS-/iPadOS-enheder i Intune.

Før du begynder

• Sørg for, at du har adgang til Microsoft Intune Administration.

• Sørg for, at iOS-tilmelding er udført for dine brugere. Brugerne skal have tildelt en Licens til Defender for Endpoint for at kunne bruge Defender for Endpoint på iOS. Se Tildel licenser til brugere for at få oplysninger om, hvordan du tildeler licenser.

• Sørg for, at slutbrugerne har installeret appen Firmaportal, logget på og tilmeldingen fuldført.

Bemærk!

Microsoft Defender for Endpoint på iOS er tilgængelig i Apple App Store.

Dette afsnit omhandler:

1. Installationstrin (gælder for både overvågede og ikke-overvågede enheder) – Administratorer kan installere Defender for Endpoint på iOS via Microsoft Intune-firmaportal. Dette trin er ikke nødvendigt for VPP-apps (volumenkøb).

2. Fuldfør udrulningen (kun for overvågede enheder) – Administratorer kan vælge at installere en hvilken som helst af de angivne profiler.

   1. Zero touch (Silent) Control Filter – giver webbeskyttelse uden VPN til lokal tilbagekobling og muliggør også uovervåget onboarding for brugere. Appen installeres og aktiveres automatisk, uden at brugeren skal åbne appen.
   2. Kontrolelementfilter – leverer webbeskyttelse uden VPN til lokal tilbagekobling.

3. Automatiseret onboardingkonfiguration (kun for ikke-overvågede enheder) – Administratorer kan automatisere onboarding af Defender for Endpoint for brugere på to forskellige måder:

   1. Zero touch (Silent) Onboarding – Appen installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
   2. Automatisk onboarding af VPN – Defender for Endpoint VPN-profilen konfigureres automatisk, uden at brugeren skal gøre det under onboarding. Dette trin anbefales ikke i konfigurationer med nul berøring.

4. Konfiguration af brugertilmelding (kun for Intune-brugertilmeldte enheder) – Administratorer kan installere og konfigurere Defender for Endpoint-appen på intune-brugertilmeldte enheder også.

5. Komplet onboarding og kontrolstatus – Dette trin gælder for alle tilmeldingstyper for at sikre, at appen er installeret på enheden, at onboarding er fuldført, og at enheden er synlig på Microsoft Defender-portalen. Det kan springes over for onboarding uden berøring (lydløs).

Installationstrin (gælder for både overvågede og ikke-overvågede enheder)

Installér Defender for Endpoint på iOS via Microsoft Intune-firmaportalen.

Tilføj iOS Store-app

1. I Microsoft Intune Administration skal du gå til Apps>iOS/iPadOS>Tilføj>iOS Store-app og klikke på Vælg.

   

2. På siden Tilføj app skal du klikke på Søg i App Store og skrive Microsoft Defender på søgelinjen. Klik på Microsoft Defender i afsnittet søgeresultater, og klik på Vælg.

3. Vælg iOS 15.0 som minimumoperativsystemet. Gennemse de øvrige oplysninger om appen, og klik på Næste.

4. I afsnittet Tildelinger skal du gå til sektionen Påkrævet og vælge Tilføj gruppe. Du kan derefter vælge den eller de brugergrupper, du vil målrette mod Defender for Endpoint på iOS-appen. Klik på Vælg og derefter på Næste.

   Bemærk!

   Den valgte brugergruppe skal bestå af brugere, der er tilmeldt Microsoft Intune.

   

5. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret. Om et øjeblik skal Defender for Endpoint-appen oprettes, og der vises en meddelelse i øverste højre hjørne af siden.

6. På den side med appoplysninger, der vises, skal du i afsnittet Overvåg vælge Status for enhedsinstallation for at kontrollere, at enhedsinstallationen er fuldført.

   

Fuldfør udrulning for overvågede enheder

Microsoft Defender for Endpoint på iOS-appen har specialiseret sig i overvågede iOS-/iPadOS-enheder på grund af de øgede administrationsfunktioner, der leveres af platformen på disse typer enheder. Den kan også levere webbeskyttelse uden at konfigurere en lokal VPN-forbindelse på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.

Administratorer kan bruge følgende trin til at konfigurere overvågede enheder.

Konfigurer overvåget tilstand via Microsoft Intune

Konfigurer overvåget tilstand for Defender for Endpoint-app via en appkonfigurationspolitik og en enhedskonfigurationsprofil.

Politik for appkonfiguration

Bemærk!

Denne appkonfigurationspolitik for overvågede enheder gælder kun for administrerede enheder og bør målrettes til ALLE administrerede iOS-enheder som bedste praksis.

1. Log på Microsoft Intune Administration , og gå til Apps>Appkonfigurationspolitikker>Tilføj. Vælg Administrerede enheder.

   

2. Angiv følgende oplysninger på siden Opret appkonfigurationspolitik :

   • Politiknavn
   • Platform: Vælg iOS/iPadOS
   • Målrettet app: Vælg Microsoft Defender for Slutpunkt på listen

   

3. På det næste skærmbillede skal du vælge Brug konfigurationsdesigner som format. Angiv følgende egenskaber:

   • Konfigurationsnøgle: issupervised
   • Værditype: Streng
   • Konfigurationsværdi: {{issupervised}}

   

4. Vælg Næste for at åbne siden Områdekoder . Områdekoder er valgfri. Vælg Næste for at fortsætte.

5. På siden Tildelinger skal du vælge de grupper, der skal modtage denne profil. I dette scenarie er det bedste praksis at målrette alle enheder. Du kan få flere oplysninger om tildeling af profiler under Tildel bruger- og enhedsprofiler.

   Når der udrulles til brugergrupper, skal en bruger logge på en enhed, før politikken gælder.

   Klik på Næste.

6. På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Enhedskonfigurationsprofil (kontrolfilter)

Bemærk!

For enheder, der kører iOS/iPadOS (i overvåget tilstand), er der en brugerdefineret .mobileconfig-profil , der kaldes den tilgængelige ControlFilter-profil . Denne profil aktiverer Webbeskyttelse uden at konfigurere VPN til lokal tilbagekobling på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.

ControlFilter-profilen fungerer dog ikke sammen med Always-On VPN (AOVPN) på grund af platformbegrænsninger.

Administratorer installerer en hvilken som helst af de angivne profiler.

1. Intet touch (uovervåget) kontrolelementfilter – Denne profil muliggør uovervåget onboarding for brugerne. Download konfigurationsprofilen fra ControlFilterZeroTouch

2. Control Filter – Download konfigurationsprofilen fra ControlFilter.

Når profilen er blevet downloadet, skal du installere den brugerdefinerede profil. Følg nedenstående trin:

1. Gå til Enheder>iOS/iPadOS-konfigurationsprofiler>>Opret profil.

2. Vælg Profiltypeskabeloner> og Skabelonnavn>Brugerdefineret.

   

3. Angiv et navn på profilen. Når du bliver bedt om at importere en konfigurationsprofilfil, skal du vælge den fil, der er downloadet fra det forrige trin.

4. I afsnittet Tildeling skal du vælge den enhedsgruppe, du vil anvende denne profil på. Dette bør som bedste praksis anvendes på alle administrerede iOS-enheder. Vælg Næste.

   Bemærk!

   Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2.

5. På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder)

Administratorer kan automatisere onboarding af Defender for brugere på to forskellige måder med Zero touch(Silent) Onboarding eller Automatisk onboarding af VPN.

Zero-touch (Silent) onboarding af Microsoft Defender for Endpoint

Bemærk!

Zero-touch kan ikke konfigureres på iOS-enheder, der er tilmeldt uden brugertilhør (brugerfri enheder eller delte enheder).

Administratorer kan konfigurere Microsoft Defender for Endpoint til at installere og aktivere uovervåget. I dette flow opretter administratoren en installationsprofil, og brugeren får ganske enkelt besked om installationen. Defender for Endpoint installeres automatisk, uden at brugeren skal åbne appen. Følg nedenstående trin for at konfigurere zero-touch eller uovervåget installation af Defender for Endpoint på tilmeldte iOS-enheder:

1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.

2. Vælg Platform som iOS/iPadOS, Profiltype som skabeloner og Skabelonnavn som VPN. Vælg Opret.

3. Skriv et navn til profilen, og vælg Næste.

4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

   • Forbindelsesnavn = Microsoft Defender for Endpoint
   • VPN-serveradresse = 127.0.0.1
   • Auth-metode = "Brugernavn og adgangskode"
   • Opdel tunnelføring = Deaktiver
   • VPN-id = com.microsoft.scmx
   • I nøgleværdipar skal du angive nøglen SilentOnboard og angive værdien til True.
   • Type af automatisk VPN = On-demand VPN
   • Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende = Opret forbindelse til VPN, jeg vil begrænse til = Alle domæner.

   

   • Hvis administratorer vil give tilladelse til, at VPN ikke kan deaktiveres på brugernes enhed, kan de vælge Ja fra Bloker brugere fra at deaktivere automatisk VPN. Som standard er den ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
   • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen inde fra appen, skal du tilføje EnableVPNToggleInApp = TRUE i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.

5. Vælg Næste , og tildel profilen til målrettede brugere.

6. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.

Når ovenstående konfiguration er fuldført og synkroniseret med enheden, udføres følgende handlinger på de målrettede iOS-enheder:

• Microsoft Defender for Endpoint installeres og onboardes uovervåget, og enheden kan ses på Defender for Endpoint-portalen.
• Der sendes en foreløbig meddelelse til brugerenheden.
• Webbeskyttelse og andre funktioner aktiveres.

Bemærk!

• Det kan tage op til 5 minutter at fuldføre nul touchkonfiguration i baggrunden.
• For overvågede enheder kan administratorer konfigurere onboarding uden berøring med ZeroTouch-kontrolfilterprofilen. Defender for Endpoint VPN-profilen installeres ikke på enheden, og webbeskyttelse leveres af kontrolfilterprofilen.

Automatisk onboarding af VPN-profil (forenklet onboarding)

Bemærk!

Dette trin forenkler onboardingprocessen ved at konfigurere VPN-profilen. Hvis du bruger Zero touch, behøver du ikke at udføre dette trin.

For enheder, der ikke er overvåget, bruges der en VPN-forbindelse til at levere webbeskyttelsesfunktionen. Dette er ikke en almindelig VPN- og er en lokal/selv-løkke-VPN, der ikke tager trafik uden for enheden.

Administratorer kan konfigurere automatisk konfiguration af VPN-profilen. Dette konfigurerer automatisk VPN-profilen Defender for Endpoint, uden at brugeren skal gøre det under onboarding.

1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.

2. Vælg Platform som iOS/iPadOS og Profiltype som VPN. Klik på Opret.

3. Skriv et navn til profilen, og klik på Næste.

4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

   • Forbindelsesnavn = Microsoft Defender for Endpoint

   • VPN-serveradresse = 127.0.0.1

   • Auth-metode = "Brugernavn og adgangskode"

   • Opdel tunnelføring = Deaktiver

   • VPN-id = com.microsoft.scmx

   • I nøgleværdipar skal du angive nøglen AutoOnboard og angive værdien til Sand.

   • Type af automatisk VPN = On-demand VPN

   • Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende = Opret forbindelse til VPN, jeg vil begrænse til = Alle domæner.

     

   • Hvis administratorer vil kræve, at VPN ikke kan deaktiveres på en brugers enhed, kan de vælge Ja fra Bloker brugere fra at deaktivere automatisk VPN. Denne indstilling er som standard ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.

   • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen inde fra appen, skal du tilføje EnableVPNToggleInApp = TRUE i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.

5. Klik på Næste , og tildel profilen til målrettede brugere.

6. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.

Konfiguration af brugertilmelding (kun for Intune-brugertilmeldte enheder)

Microsoft Defender iOS-appen kan installeres på intune-brugertilmeldte enheder ved hjælp af følgende trin.

Admin

1. Konfigurer brugerregistreringsprofilen i Intune. Intune understøtter kontodrevet Apple-brugertilmelding og Apple-brugertilmelding med Firmaportal. Læs mere om sammenligningen af de to metoder, og vælg en.

   • Konfigurer brugertilmelding med Firmaportal
   • Konfigurer kontodrevet brugertilmelding

2. Konfigurer SSO-plug-in. Godkenderapp med SSO-udvidelse er en forudsætning for brugertilmelding på en iOS-enhed.

   • Opret er enhedskonfigurationsprofil i Intune– Konfigurer iOS/iPadOS Enterprise SSO-plug-in med MDM | Microsoft Learn.
   • Sørg for at tilføje disse to nøgler i ovenstående konfiguration:
   • Appbundt-id: Medtag Defender App bundle-id'et på denne liste com.microsoft.scmx
   • Yderligere konfiguration: Nøgle – device_registration ; Type - Streng ; Value- {{DEVICEREGISTRATION}}

3. Konfigurer MDM-nøglen til brugerregistrering.

   • I Intune skal du gå til Gå til Apps > Appkonfigurationspolitikker > Tilføj > administrerede enheder
   • Giv politikken et navn, vælg Platform > iOS/iPadOS,
   • Vælg Microsoft Defender for Endpoint som destinationsapp.
   • På siden Indstillinger skal du vælge Brug konfigurationsdesigner og tilføje UserEnrolmentEnabled som nøgle, værditype som Streng, værdi som Sand.

4. Administratoren kan pushe Defender som en påkrævet VPP-app fra Intune.

Slutbruger

Defender-appen er installeret på brugerens enhed. Brugeren logger på og fuldfører onboarding. Når enheden er onboardet, er den synlig på Defender Security Portal under Enhedslager.

Understøttede funktioner og begrænsninger

1. Understøtter alle de aktuelle funktioner i Defender for Endpoint iOS, f.eks. webbeskyttelse, netværksbeskyttelse, registrering af jailbreak, sikkerhedsrisici i operativsystemet og apps, besked i Defender Security Portal og politikker for overholdelse af angivne standarder.
2. Installation uden berøring (uovervåget) og automatisk onboarding af VPN understøttes ikke med brugertilmelding, da administratorer ikke kan pushe en VPN-profil, der dækker hele enheden, med brugertilmelding.
3. I forbindelse med administration af sårbarheder i apps er det kun apps i arbejdsprofilen, der er synlige.
4. Det kan tage op til 10 minutter, før nyligt onboardede enheder overholder angivne standarder, hvis de er målrettet af politikker for overholdelse af angivne standarder.
5. Læs mere om begrænsninger og egenskaber for brugertilmelding.

Fuldfør onboarding, og kontrollér status

1. Når Defender for Endpoint på iOS er installeret på enheden, får du vist appikonet.

   

2. Tryk på ikonet for Appen Defender for Endpoint (MSDefender), og følg vejledningen på skærmen for at fuldføre onboardingtrinnene. Oplysningerne omfatter slutbrugeraccept af iOS-tilladelser, der kræves af Defender for Endpoint på iOS.

Bemærk!

Spring dette trin over, hvis du konfigurerer onboarding uden berøring (uovervåget). Det er ikke nødvendigt at starte programmet manuelt, hvis onboarding uden berøring (uovervåget) er konfigureret.

3. Når onboarding er fuldført, vises enheden på listen Enheder på Microsoft Defender-portalen.

   

Næste trin

• Konfigurer beskyttelsespolitikken for apps, så den omfatter Defender for Endpoint-risikosignaler (MAM)
• Konfigurer Defender for Endpoint på iOS-funktioner

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.