Del via


Installér Microsoft Defender for Endpoint på iOS med Microsoft Intune

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives, hvordan du installerer Defender for Endpoint på iOS (ved hjælp af appen Microsoft Defender) med Microsoft Intune Firmaportal tilmeldte enheder. Du kan få flere oplysninger om Microsoft Intune enhedsregistrering under Tilmeld iOS-/iPadOS-enheder i Intune.

Før du begynder

  • Sørg for, at du har adgang til Microsoft Intune Administration og Microsoft Defender-portalen.

  • Sørg for, at iOS-tilmelding er udført for dine brugere. Brugerne skal have tildelt en Licens til Defender for Endpoint for at kunne bruge appen Microsoft Defender. Se Tildel licenser til brugere for at få oplysninger om, hvordan du tildeler licenser.

  • Sørg for, at slutbrugerne har Firmaportal-appen installeret, at de er logget på, og at tilmeldingen er fuldført.

Bemærk!

Appen Microsoft Defender er tilgængelig i Apple App Store.

Dette afsnit omhandler:

  1. Installationstrin (gælder for både overvågede og ikke-overvågede enheder) – administratorer kan installere Defender for Endpoint på iOS via Microsoft Intune Firmaportal. Dette trin er ikke nødvendigt for VPP-apps (volumenkøb).

  2. Fuldfør installationen (kun for overvågede enheder) – Administratorer kan vælge at installere en hvilken som helst af de angivne profiler.

    • Zero touch (Silent) Control Filter – giver webbeskyttelse uden VPN til lokal tilbagekobling og muliggør uovervåget onboarding for brugere. Appen installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
    • Kontrolelementfilter – leverer webbeskyttelse uden VPN til lokal tilbagekobling.
  3. Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder) – administratorer kan automatisere onboarding af Defender for Endpoint for brugere på to forskellige måder:

    • Zero touch (Silent) Onboarding – Appen Microsoft Defender installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
    • Automatisk onboarding af VPN – Defender for Endpoint VPN-profilen konfigureres automatisk, uden at brugeren skal gøre det under onboarding. Dette trin anbefales ikke i konfigurationer med nul berøring.
  4. Konfiguration af brugerregistrering (kun for Intune brugertilmeldte enheder) – Administratorer kan installere og konfigurere Defender for Endpoint-appen på de Intune brugertilmeldte enheder.

  5. Komplet onboarding og kontrolstatus – Dette trin gælder for alle tilmeldingstyper for at sikre, at appen er installeret på enheden, at onboarding er fuldført, og at enheden er synlig på Microsoft Defender portalen. Det kan springes over for onboarding uden berøring (lydløs).

Installationstrin (gælder for både overvågede og ikke-overvågede enheder)

Installer Defender for Endpoint på iOS via Microsoft Intune Firmaportal.

Tilføj iOS Store-app

  1. I Microsoft Intune Administration skal du gå til Apps>iOS/iPadOS>Tilføj>iOS Store-app og vælge Vælg.

    Fanen Tilføj programmer i Microsoft Intune Administration

  2. På siden Tilføj app skal du vælge Søg i App Store og skrive Microsoft Defender i søgelinjen. I afsnittet Søgeresultater skal du vælge Microsoft Defender og vælge Vælg.

  3. Vælg iOS 15.0 som minimumoperativsystemet. Gennemse de øvrige oplysninger om appen, og vælg Næste.

  4. I afsnittet Tildelinger skal du gå til sektionen Påkrævet og vælge Tilføj gruppe. Du kan derefter vælge de brugergrupper, du vil målrette mod Defender for Endpoint i iOS-appen. Vælg Vælg, og vælg derefter Næste.

    Bemærk!

    Den valgte brugergruppe skal bestå af Microsoft Intune tilmeldte brugere.

    Fanen Tilføj gruppe i Microsoft Intune Administration

  5. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret. Om et øjeblik skal Defender for Endpoint-appen oprettes, og der vises en meddelelse i øverste højre hjørne af siden.

  6. På siden med appoplysninger, der vises, skal du i afsnittet Overvåg vælge Status for enhedsinstallation for at bekræfte, at enhedsinstallationen blev fuldført.

    Statussiden for enhedsinstallation

Fuldfør udrulning for overvågede enheder

Appen Microsoft Defender tilbyder forbedrede funktioner på overvågede iOS-/iPadOS-enheder ved hjælp af platformens avancerede administrationsfunktioner. Den leverer også webbeskyttelse uden behov for en lokal VPN-konfiguration på enheden. Dette sikrer en problemfri brugeroplevelse, samtidig med at du sikrer dig mod phishing og andre webbaserede trusler.

Administratorer kan bruge følgende trin til at konfigurere overvågede enheder.

Konfigurer overvåget tilstand via Microsoft Intune

Konfigurer overvåget tilstand for Microsoft Defender app via en appkonfigurationspolitik og en enhedskonfigurationsprofil.

Politik for appkonfiguration

Bemærk!

Denne appkonfigurationspolitik for overvågede enheder gælder kun for administrerede enheder og bør målrettes til ALLE administrerede iOS-enheder som bedste praksis.

  1. Log på Microsoft Intune Administration, og gå til Apps>Appkonfigurationspolitikker>Tilføj. Vælg Administrerede enheder.

    Billede af Microsoft Intune Administration4.

  2. Angiv følgende oplysninger på siden Opret appkonfigurationspolitik :

    • Politiknavn
    • Platform: Vælg iOS/iPadOS
    • Målrettet app: Vælg Microsoft Defender for Endpoint på listen

    Billede af Microsoft Intune Administration5.

  3. På det næste skærmbillede skal du vælge Brug konfigurationsdesigner som format. Angiv følgende egenskaber:

    • Konfigurationsnøgle: issupervised
    • Værditype: Streng
    • Konfigurationsværdi: {{issupervised}}

    Billede af Microsoft Intune Administration6.

  4. Vælg Næste for at åbne siden Områdekoder . Områdekoder er valgfri. Vælg Næste for at fortsætte.

  5. På siden Tildelinger skal du vælge de grupper, der modtager denne profil. I dette scenarie er det bedste praksis at målrette alle enheder. Du kan få flere oplysninger om tildeling af profiler under Tildel bruger- og enhedsprofiler.

    Når brugerne udruller til brugergrupper, skal de logge på deres enheder, før politikken anvendes.

    Vælg Næste.

  6. På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Enhedskonfigurationsprofil (kontrolfilter)

Bemærk!

For enheder, der kører iOS/iPadOS (i overvåget tilstand), er der en brugerdefineret .mobileconfig profil tilgængelig, kaldet ControlFilter-profilen . Denne profil aktiverer Webbeskyttelse uden at konfigurere VPN til lokal tilbagekobling på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.

ControlFilter-profilen fungerer dog ikke sammen med Always-On VPN (AOVPN) på grund af platformbegrænsninger.

Administratorer installerer en hvilken som helst af de angivne profiler.

  1. Intet touch (uovervåget) kontrolelementfilter – Denne profil muliggør uovervåget onboarding for brugerne. Download konfigurationsprofilen fra ControlFilterZeroTouch.

  2. Control Filter – Download konfigurationsprofilen fra ControlFilter.

Når profilen er downloadet, skal du installere den brugerdefinerede profil. Følg disse trin:

  1. Gå til Enheder>iOS/iPadOS-konfigurationsprofiler>>Opret profil.

  2. Vælg Profiltypeskabeloner> og Skabelonnavn>Brugerdefineret.

    Billede af Microsoft Intune Administration7.

  3. Angiv et navn på profilen. Når du bliver bedt om at importere en konfigurationsprofilfil, skal du vælge den fil, der er downloadet fra det forrige trin.

  4. I afsnittet Tildeling skal du vælge den enhedsgruppe, du vil anvende denne profil på. Dette bør som bedste praksis anvendes på alle administrerede iOS-enheder. Vælg Næste.

    Bemærk!

    Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2.

  5. På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.

Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder)

Administratorer kan automatisere onboarding til Defender for Endpoint for brugere på to forskellige måder med Zero touch (Silent) Onboarding eller Automatisk onboarding af VPN.

Zero-touch (Silent) onboarding til Defender for Endpoint

Bemærk!

Zero-touch kan ikke konfigureres på iOS-enheder, der er tilmeldt uden brugertilhør (brugerfri enheder eller delte enheder).

Administratorer kan konfigurere Microsoft Defender for Endpoint til uovervåget udrulning og aktivering. I denne proces opretter administratoren en installationsprofil, og brugeren får besked om installationen. Defender for Endpoint installeres derefter automatisk, uden at brugeren skal åbne appen. Følg trinnene i denne artikel for at konfigurere zero-touch eller uovervåget udrulning af Defender for Endpoint på tilmeldte iOS-enheder:

  1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.

  2. Vælg Platform som iOS/iPadOS, Profiltype som skabeloner og Skabelonnavn som VPN. Vælg Opret.

  3. Skriv et navn til profilen, og vælg Næste.

  4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

    • Forbindelsesnavn: Microsoft Defender for Endpoint
    • VPN-serveradresse: 127.0.0.1
    • Godkendelsesmetode: "Brugernavn og adgangskode"
    • Opdelt tunnelføring: Disable
    • VPN-id: com.microsoft.scmx
    • I nøgleværdipar skal du angive nøglen SilentOnboard og angive værdien til True.
    • Type af automatisk VPN: On-demand VPN
    • Vælg Tilføj for Regler efter behov, og vælg derefter Jeg vil gøre følgende: Opret forbindelse til VPN, og angiv derefter Jeg vil begrænse til: Alle domæner.

    Siden Konfiguration af VPN-profil

    • Administratorer kan vælge Ja fra Bloker brugere fra deaktivering af automatisk VPN for at give tilladelse til, at VPN ikke kan deaktiveres på brugernes enhed. Som standard er den ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
    • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen fra appen, skal du tilføje EnableVPNToggleInApp = TRUEi nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.
  5. Vælg Næste , og tildel profilen til målrettede brugere.

  6. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.

Når denne konfiguration er fuldført og synkroniseret med enheden, udføres følgende handlinger på de målrettede iOS-enheder:

  • Defender for Endpoint installeres og onboardes automatisk. Enheden er synlig på Microsoft Defender-portalen, når den er onboardet.
  • Der sendes en foreløbig meddelelse til brugerens enhed.
  • Webbeskyttelse og andre funktioner aktiveres.

I nogle tilfælde kan det af sikkerhedsmæssige årsager, f.eks. ændringer af adgangskoden, multifaktorgodkendelse osv. kræve, at slutbrugeren manuelt logger på Microsoft Defender-appen. 

Svar: For første gang at onboarde scenarier modtager slutbrugerne en uovervåget meddelelse.

Skærmbillede, der viser MDE uovervåget meddelelse

Slutbrugerne skal udføre følgende trin:

  1. Åbn appen Microsoft Defender, eller tryk på meddelelsesmeddelelsen.

  2. Vælg den tilmeldte virksomhedskonto på skærmbilledet kontovælger.

  3. Log på.

Enheden er onboardet og starter rapportering til Microsoft Defender-portalen.

B: For enheder, der allerede er onboardet, får slutbrugerne vist en uovervåget meddelelse.

Skærmbillede, der viser den uovervåget meddelelse om MDE app

  1. Åbn appen Microsoft Defender, eller tryk på meddelelsen.  

  2. Når du bliver bedt om det af appen Microsoft Defender, skal du logge på.

Derefter begynder enheden at rapportere til Microsoft Defender-portalen igen. 

Bemærk!

  • Det kan tage op til 5 minutter at fuldføre nul touchkonfiguration i baggrunden.
  • Administratorer kan konfigurere onboarding uden berøring med ZeroTouch-kontrolfilterprofilen for overvågede enheder. I dette tilfælde er Defender for Endpoint VPN-profilen ikke installeret på enheden, og webbeskyttelse leveres af kontrolfilterprofilen.

Automatisk onboarding af VPN-profil (forenklet onboarding)

Bemærk!

Dette trin forenkler onboardingprocessen ved at konfigurere VPN-profilen. Hvis du bruger Zero touch, behøver du ikke at udføre dette trin.

For enheder, der ikke er overvåget, bruges der en VPN-forbindelse til at levere webbeskyttelsesfunktionen. Dette er ikke en almindelig VPN- og er en lokal/selv-løkke-VPN, der ikke tager trafik uden for enheden.

Administratorer kan konfigurere automatisk konfiguration af VPN-profil. Dette konfigurerer automatisk Defender for Endpoint VPN-profilen, uden at brugeren skal gøre det under onboarding.

  1. I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.

  2. Vælg Platform som iOS/iPadOS og Profiltype som VPN. Vælg Opret.

  3. Skriv et navn til profilen, og vælg Næste.

  4. Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :

    • Forbindelsesnavn: Microsoft Defender for Endpoint
    • VPN-serveradresse: 127.0.0.1
    • Godkendelsesmetode: "Brugernavn og adgangskode"
    • Opdelt tunnelføring: Disable
    • VPN-id: com.microsoft.scmx
    • I nøgleværdipar skal du angive nøglen AutoOnboard og angive værdien til True.
    • Type af automatisk VPN: On-demand VPN
    • Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende: Opret forbindelse til VPN, jeg vil begrænse til: Alle domæner.

    Fanen Konfigurationsindstillinger for VPN-profil.

    • Administratorer kan vælge Ja fra Bloker brugere fra deaktivering af automatisk VPN for at sikre, at VPN ikke kan deaktiveres på en brugers enhed. Denne indstilling er som standard ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
    • Hvis du vil tillade brugere at ændre VPN-til/fra-knappen fra appen, skal du tilføje EnableVPNToggleInApp = TRUEi nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.
  5. Vælg Næste, og tildel profilen til målrettede brugere.

  6. I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.

Konfiguration af brugerregistrering (kun for Intune brugertilmeldte enheder)

Microsoft Defender app kan installeres på iOS-enheder med Intune brugertilmeldte enheder ved hjælp af følgende trin.

Administration

  1. Konfigurer brugerregistreringsprofilen i Intune. Intune understøtter kontodrevet Apple-brugertilmelding og Apple-brugertilmelding med Firmaportal. Læs mere om sammenligningen af de to metoder, og vælg en.

  2. Konfigurer SSO-plug-in. Godkenderapp med SSO-udvidelse er en forudsætning for brugertilmelding på en iOS-enhed.

    • Opret en enhedskonfigurationsprofil i Intune. Se Microsoft Enterprise SSO-plug-in til Apple-enheder.
    • Sørg for at tilføje disse to nøgler i enhedskonfigurationsprofilen:
      • Appbundt-id: Medtag Defender-appbundt-id'et på denne liste com.microsoft.scmx
      • En anden konfiguration: Nøgle: device_registration; Type: String; Værdi: {{DEVICEREGISTRATION}}
  3. Konfigurer MDM-nøglen til brugerregistrering.

  4. I Intune Administration skal du gå til Gå til Apps>Appkonfigurationspolitikker>Tilføj>administrerede enheder.

  5. Giv politikken et navn, og vælg derefter Platform>iOS/iPadOS.

  6. Vælg Microsoft Defender for Endpoint som destinationsapp.

  7. På siden Indstillinger skal du vælge Brug konfigurationsdesigner og tilføje UserEnrollmentEnabled som nøglen med værditypen som String, og værdien er angivet til True.

  8. Administratorer kan overføre Microsoft Defender-appen som en påkrævet VPP-app fra Intune.

Slutbruger

Appen Microsoft Defender installeres på brugernes enheder. Hver bruger logger på og fuldfører onboardingprocessen. Når enheden er onboardet korrekt, er den synlig på Microsoft Defender-portalen under Enhedslager.

Understøttede funktioner og begrænsninger

  • Understøtter alle de aktuelle funktioner i Defender for Endpoint på iOS. Disse funktioner omfatter webbeskyttelse, netværksbeskyttelse, registrering af jailbreak, sikkerhedsrisici i operativsystemet og apps og beskeder på Microsoft Defender-portalen.
  • Installation uden berøring (uovervåget) og automatisk onboarding af VPN understøttes ikke med brugertilmelding, da administratorer ikke kan pushe en VPN-profil, der dækker hele enheden, med brugertilmelding.
  • I forbindelse med administration af sårbarheder i apps er det kun apps i arbejdsprofilen, der er synlige.
  • Det kan tage op til 10 minutter, før nyligt onboardede enheder overholder angivne standarder, hvis de er målrettet af politikker for overholdelse af angivne standarder.
  • Du kan få flere oplysninger under Begrænsninger og egenskaber for brugerregistrering.

Fuldfør onboarding, og kontrollér status

  1. Når Defender for Endpoint på iOS er installeret på enheden, får du vist appikonet.

  2. Tryk på ikonet for appen Defender for Endpoint (Defender), og følg vejledningen på skærmen for at fuldføre onboardingtrinnene. Oplysningerne omfatter slutbrugernes accept af iOS-tilladelser, der kræves af Microsoft Defender-appen.

Bemærk!

Spring dette trin over, hvis du konfigurerer onboarding uden berøring (uovervåget). Det er ikke nødvendigt at starte programmet manuelt, hvis onboarding med nul touch (uovervåget) er konfigureret.

  1. Når onboarding er fuldført, vises enheden på listen Enheder på portalen Microsoft Defender.

    Siden Enhedslager.

Næste trin

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.