Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
I denne artikel beskrives, hvordan du installerer Defender for Endpoint på iOS (ved hjælp af appen Microsoft Defender) med Microsoft Intune Firmaportal tilmeldte enheder. Du kan få flere oplysninger om Microsoft Intune enhedsregistrering under Tilmeld iOS-/iPadOS-enheder i Intune.
Før du begynder
Sørg for, at du har adgang til Microsoft Intune Administration og Microsoft Defender-portalen.
Sørg for, at iOS-tilmelding er udført for dine brugere. Brugerne skal have tildelt en Licens til Defender for Endpoint for at kunne bruge appen Microsoft Defender. Se Tildel licenser til brugere for at få oplysninger om, hvordan du tildeler licenser.
Sørg for, at slutbrugerne har Firmaportal-appen installeret, at de er logget på, og at tilmeldingen er fuldført.
Bemærk!
Appen Microsoft Defender er tilgængelig i Apple App Store.
Dette afsnit omhandler:
Installationstrin (gælder for både overvågede og ikke-overvågede enheder) – administratorer kan installere Defender for Endpoint på iOS via Microsoft Intune Firmaportal. Dette trin er ikke nødvendigt for VPP-apps (volumenkøb).
Fuldfør installationen (kun for overvågede enheder) – Administratorer kan vælge at installere en hvilken som helst af de angivne profiler.
- Zero touch (Silent) Control Filter – giver webbeskyttelse uden VPN til lokal tilbagekobling og muliggør uovervåget onboarding for brugere. Appen installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
- Kontrolelementfilter – leverer webbeskyttelse uden VPN til lokal tilbagekobling.
Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder) – administratorer kan automatisere onboarding af Defender for Endpoint for brugere på to forskellige måder:
- Zero touch (Silent) Onboarding – Appen Microsoft Defender installeres og aktiveres automatisk, uden at brugerne skal åbne appen.
- Automatisk onboarding af VPN – Defender for Endpoint VPN-profilen konfigureres automatisk, uden at brugeren skal gøre det under onboarding. Dette trin anbefales ikke i konfigurationer med nul berøring.
Konfiguration af brugerregistrering (kun for Intune brugertilmeldte enheder) – Administratorer kan installere og konfigurere Defender for Endpoint-appen på de Intune brugertilmeldte enheder.
Komplet onboarding og kontrolstatus – Dette trin gælder for alle tilmeldingstyper for at sikre, at appen er installeret på enheden, at onboarding er fuldført, og at enheden er synlig på Microsoft Defender portalen. Det kan springes over for onboarding uden berøring (lydløs).
Installationstrin (gælder for både overvågede og ikke-overvågede enheder)
Installer Defender for Endpoint på iOS via Microsoft Intune Firmaportal.
Tilføj iOS Store-app
I Microsoft Intune Administration skal du gå til Apps>iOS/iPadOS>Tilføj>iOS Store-app og vælge Vælg.
På siden Tilføj app skal du vælge Søg i App Store og skrive Microsoft Defender i søgelinjen. I afsnittet Søgeresultater skal du vælge Microsoft Defender og vælge Vælg.
Vælg iOS 15.0 som minimumoperativsystemet. Gennemse de øvrige oplysninger om appen, og vælg Næste.
I afsnittet Tildelinger skal du gå til sektionen Påkrævet og vælge Tilføj gruppe. Du kan derefter vælge de brugergrupper, du vil målrette mod Defender for Endpoint i iOS-appen. Vælg Vælg, og vælg derefter Næste.
Bemærk!
Den valgte brugergruppe skal bestå af Microsoft Intune tilmeldte brugere.
I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret. Om et øjeblik skal Defender for Endpoint-appen oprettes, og der vises en meddelelse i øverste højre hjørne af siden.
På siden med appoplysninger, der vises, skal du i afsnittet Overvåg vælge Status for enhedsinstallation for at bekræfte, at enhedsinstallationen blev fuldført.
Fuldfør udrulning for overvågede enheder
Appen Microsoft Defender tilbyder forbedrede funktioner på overvågede iOS-/iPadOS-enheder ved hjælp af platformens avancerede administrationsfunktioner. Den leverer også webbeskyttelse uden behov for en lokal VPN-konfiguration på enheden. Dette sikrer en problemfri brugeroplevelse, samtidig med at du sikrer dig mod phishing og andre webbaserede trusler.
Administratorer kan bruge følgende trin til at konfigurere overvågede enheder.
Konfigurer overvåget tilstand via Microsoft Intune
Konfigurer overvåget tilstand for Microsoft Defender app via en appkonfigurationspolitik og en enhedskonfigurationsprofil.
Politik for appkonfiguration
Bemærk!
Denne appkonfigurationspolitik for overvågede enheder gælder kun for administrerede enheder og bør målrettes til ALLE administrerede iOS-enheder som bedste praksis.
Log på Microsoft Intune Administration, og gå til Apps>Appkonfigurationspolitikker>Tilføj. Vælg Administrerede enheder.
Angiv følgende oplysninger på siden Opret appkonfigurationspolitik :
- Politiknavn
- Platform: Vælg iOS/iPadOS
- Målrettet app: Vælg Microsoft Defender for Endpoint på listen
På det næste skærmbillede skal du vælge Brug konfigurationsdesigner som format. Angiv følgende egenskaber:
- Konfigurationsnøgle:
issupervised
- Værditype: Streng
- Konfigurationsværdi:
{{issupervised}}
- Konfigurationsnøgle:
Vælg Næste for at åbne siden Områdekoder . Områdekoder er valgfri. Vælg Næste for at fortsætte.
På siden Tildelinger skal du vælge de grupper, der modtager denne profil. I dette scenarie er det bedste praksis at målrette alle enheder. Du kan få flere oplysninger om tildeling af profiler under Tildel bruger- og enhedsprofiler.
Når brugerne udruller til brugergrupper, skal de logge på deres enheder, før politikken anvendes.
Vælg Næste.
På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.
Enhedskonfigurationsprofil (kontrolfilter)
Bemærk!
For enheder, der kører iOS/iPadOS (i overvåget tilstand), er der en brugerdefineret .mobileconfig
profil tilgængelig, kaldet ControlFilter-profilen . Denne profil aktiverer Webbeskyttelse uden at konfigurere VPN til lokal tilbagekobling på enheden. Dette giver slutbrugerne en problemfri oplevelse, mens de stadig er beskyttet mod phishing og andre webbaserede angreb.
ControlFilter-profilen fungerer dog ikke sammen med Always-On VPN (AOVPN) på grund af platformbegrænsninger.
Administratorer installerer en hvilken som helst af de angivne profiler.
Intet touch (uovervåget) kontrolelementfilter – Denne profil muliggør uovervåget onboarding for brugerne. Download konfigurationsprofilen fra ControlFilterZeroTouch.
Control Filter – Download konfigurationsprofilen fra ControlFilter.
Når profilen er downloadet, skal du installere den brugerdefinerede profil. Følg disse trin:
Gå til Enheder>iOS/iPadOS-konfigurationsprofiler>>Opret profil.
Vælg Profiltypeskabeloner> og Skabelonnavn>Brugerdefineret.
Angiv et navn på profilen. Når du bliver bedt om at importere en konfigurationsprofilfil, skal du vælge den fil, der er downloadet fra det forrige trin.
I afsnittet Tildeling skal du vælge den enhedsgruppe, du vil anvende denne profil på. Dette bør som bedste praksis anvendes på alle administrerede iOS-enheder. Vælg Næste.
Bemærk!
Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2.
På siden Gennemse + opret skal du vælge Opret, når du er færdig. Den nye profil vises på listen over konfigurationsprofiler.
Automatiseret onboarding-konfiguration (kun for ikke-overvågede enheder)
Administratorer kan automatisere onboarding til Defender for Endpoint for brugere på to forskellige måder med Zero touch (Silent) Onboarding eller Automatisk onboarding af VPN.
Zero-touch (Silent) onboarding til Defender for Endpoint
Bemærk!
Zero-touch kan ikke konfigureres på iOS-enheder, der er tilmeldt uden brugertilhør (brugerfri enheder eller delte enheder).
Administratorer kan konfigurere Microsoft Defender for Endpoint til uovervåget udrulning og aktivering. I denne proces opretter administratoren en installationsprofil, og brugeren får besked om installationen. Defender for Endpoint installeres derefter automatisk, uden at brugeren skal åbne appen. Følg trinnene i denne artikel for at konfigurere zero-touch eller uovervåget udrulning af Defender for Endpoint på tilmeldte iOS-enheder:
I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.
Vælg Platform som iOS/iPadOS, Profiltype som skabeloner og Skabelonnavn som VPN. Vælg Opret.
Skriv et navn til profilen, og vælg Næste.
Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :
- Forbindelsesnavn: Microsoft Defender for Endpoint
- VPN-serveradresse:
127.0.0.1
- Godkendelsesmetode: "Brugernavn og adgangskode"
- Opdelt tunnelføring:
Disable
- VPN-id:
com.microsoft.scmx
- I nøgleværdipar skal du angive nøglen
SilentOnboard
og angive værdien tilTrue
. - Type af automatisk VPN:
On-demand VPN
- Vælg Tilføj for Regler efter behov, og vælg derefter Jeg vil gøre følgende: Opret forbindelse til VPN, og angiv derefter Jeg vil begrænse til: Alle domæner.
- Administratorer kan vælge Ja fra Bloker brugere fra deaktivering af automatisk VPN for at give tilladelse til, at VPN ikke kan deaktiveres på brugernes enhed. Som standard er den ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
- Hvis du vil tillade brugere at ændre VPN-til/fra-knappen fra appen, skal du tilføje
EnableVPNToggleInApp = TRUE
i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.
Vælg Næste , og tildel profilen til målrettede brugere.
I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.
Når denne konfiguration er fuldført og synkroniseret med enheden, udføres følgende handlinger på de målrettede iOS-enheder:
- Defender for Endpoint installeres og onboardes automatisk. Enheden er synlig på Microsoft Defender-portalen, når den er onboardet.
- Der sendes en foreløbig meddelelse til brugerens enhed.
- Webbeskyttelse og andre funktioner aktiveres.
I nogle tilfælde kan det af sikkerhedsmæssige årsager, f.eks. ændringer af adgangskoden, multifaktorgodkendelse osv. kræve, at slutbrugeren manuelt logger på Microsoft Defender-appen.
Svar: For første gang at onboarde scenarier modtager slutbrugerne en uovervåget meddelelse.
Slutbrugerne skal udføre følgende trin:
Åbn appen Microsoft Defender, eller tryk på meddelelsesmeddelelsen.
Vælg den tilmeldte virksomhedskonto på skærmbilledet kontovælger.
Log på.
Enheden er onboardet og starter rapportering til Microsoft Defender-portalen.
B: For enheder, der allerede er onboardet, får slutbrugerne vist en uovervåget meddelelse.
Åbn appen Microsoft Defender, eller tryk på meddelelsen.
Når du bliver bedt om det af appen Microsoft Defender, skal du logge på.
Derefter begynder enheden at rapportere til Microsoft Defender-portalen igen.
Bemærk!
- Det kan tage op til 5 minutter at fuldføre nul touchkonfiguration i baggrunden.
- Administratorer kan konfigurere onboarding uden berøring med ZeroTouch-kontrolfilterprofilen for overvågede enheder. I dette tilfælde er Defender for Endpoint VPN-profilen ikke installeret på enheden, og webbeskyttelse leveres af kontrolfilterprofilen.
Automatisk onboarding af VPN-profil (forenklet onboarding)
Bemærk!
Dette trin forenkler onboardingprocessen ved at konfigurere VPN-profilen. Hvis du bruger Zero touch, behøver du ikke at udføre dette trin.
For enheder, der ikke er overvåget, bruges der en VPN-forbindelse til at levere webbeskyttelsesfunktionen. Dette er ikke en almindelig VPN- og er en lokal/selv-løkke-VPN, der ikke tager trafik uden for enheden.
Administratorer kan konfigurere automatisk konfiguration af VPN-profil. Dette konfigurerer automatisk Defender for Endpoint VPN-profilen, uden at brugeren skal gøre det under onboarding.
I Microsoft Intune Administration skal du gå tilEnhedskonfigurationsprofiler>>Opret profil.
Vælg Platform som iOS/iPadOS og Profiltype som VPN. Vælg Opret.
Skriv et navn til profilen, og vælg Næste.
Vælg Brugerdefineret VPN som forbindelsestype, og angiv følgende i afsnittet Basis-VPN :
- Forbindelsesnavn: Microsoft Defender for Endpoint
- VPN-serveradresse:
127.0.0.1
- Godkendelsesmetode: "Brugernavn og adgangskode"
- Opdelt tunnelføring:
Disable
- VPN-id:
com.microsoft.scmx
- I nøgleværdipar skal du angive nøglen
AutoOnboard
og angive værdien tilTrue
. - Type af automatisk VPN: On-demand VPN
- Vælg Tilføj for Regler efter behov, og vælg Jeg vil gøre følgende: Opret forbindelse til VPN, jeg vil begrænse til: Alle domæner.
- Administratorer kan vælge Ja fra Bloker brugere fra deaktivering af automatisk VPN for at sikre, at VPN ikke kan deaktiveres på en brugers enhed. Denne indstilling er som standard ikke konfigureret, og brugerne kan kun deaktivere VPN i Indstillinger.
- Hvis du vil tillade brugere at ændre VPN-til/fra-knappen fra appen, skal du tilføje
EnableVPNToggleInApp = TRUE
i nøgleværdiparrene. Brugerne kan som standard ikke ændre til/fra-knappen fra appen.
Vælg Næste, og tildel profilen til målrettede brugere.
I afsnittet Gennemse + Opret skal du kontrollere, at alle de angivne oplysninger er korrekte, og derefter vælge Opret.
Konfiguration af brugerregistrering (kun for Intune brugertilmeldte enheder)
Microsoft Defender app kan installeres på iOS-enheder med Intune brugertilmeldte enheder ved hjælp af følgende trin.
Administration
Konfigurer brugerregistreringsprofilen i Intune. Intune understøtter kontodrevet Apple-brugertilmelding og Apple-brugertilmelding med Firmaportal. Læs mere om sammenligningen af de to metoder, og vælg en.
Konfigurer SSO-plug-in. Godkenderapp med SSO-udvidelse er en forudsætning for brugertilmelding på en iOS-enhed.
- Opret en enhedskonfigurationsprofil i Intune. Se Microsoft Enterprise SSO-plug-in til Apple-enheder.
- Sørg for at tilføje disse to nøgler i enhedskonfigurationsprofilen:
- Appbundt-id: Medtag Defender-appbundt-id'et på denne liste
com.microsoft.scmx
- En anden konfiguration: Nøgle:
device_registration
; Type:String
; Værdi:{{DEVICEREGISTRATION}}
- Appbundt-id: Medtag Defender-appbundt-id'et på denne liste
Konfigurer MDM-nøglen til brugerregistrering.
I Intune Administration skal du gå til Gå til Apps>Appkonfigurationspolitikker>Tilføj>administrerede enheder.
Giv politikken et navn, og vælg derefter Platform>iOS/iPadOS.
Vælg Microsoft Defender for Endpoint som destinationsapp.
På siden Indstillinger skal du vælge Brug konfigurationsdesigner og tilføje
UserEnrollmentEnabled
som nøglen med værditypen somString
, og værdien er angivet tilTrue
.Administratorer kan overføre Microsoft Defender-appen som en påkrævet VPP-app fra Intune.
Slutbruger
Appen Microsoft Defender installeres på brugernes enheder. Hver bruger logger på og fuldfører onboardingprocessen. Når enheden er onboardet korrekt, er den synlig på Microsoft Defender-portalen under Enhedslager.
Understøttede funktioner og begrænsninger
- Understøtter alle de aktuelle funktioner i Defender for Endpoint på iOS. Disse funktioner omfatter webbeskyttelse, netværksbeskyttelse, registrering af jailbreak, sikkerhedsrisici i operativsystemet og apps og beskeder på Microsoft Defender-portalen.
- Installation uden berøring (uovervåget) og automatisk onboarding af VPN understøttes ikke med brugertilmelding, da administratorer ikke kan pushe en VPN-profil, der dækker hele enheden, med brugertilmelding.
- I forbindelse med administration af sårbarheder i apps er det kun apps i arbejdsprofilen, der er synlige.
- Det kan tage op til 10 minutter, før nyligt onboardede enheder overholder angivne standarder, hvis de er målrettet af politikker for overholdelse af angivne standarder.
- Du kan få flere oplysninger under Begrænsninger og egenskaber for brugerregistrering.
Fuldfør onboarding, og kontrollér status
Når Defender for Endpoint på iOS er installeret på enheden, får du vist appikonet.
Tryk på ikonet for appen Defender for Endpoint (Defender), og følg vejledningen på skærmen for at fuldføre onboardingtrinnene. Oplysningerne omfatter slutbrugernes accept af iOS-tilladelser, der kræves af Microsoft Defender-appen.
Bemærk!
Spring dette trin over, hvis du konfigurerer onboarding uden berøring (uovervåget). Det er ikke nødvendigt at starte programmet manuelt, hvis onboarding med nul touch (uovervåget) er konfigureret.
Næste trin
- Konfigurer beskyttelsespolitikken for apps, så den omfatter Defender for Endpoint-risikosignaler (MAM)
- Konfigurer Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.