Bereitstellen von Microsoft Defender for Endpoint unter iOS mit Microsoft Intune

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird die Bereitstellung von Defender für Endpunkt unter iOS (mithilfe der Microsoft Defender-App) mit Microsoft Intune Unternehmensportal registrierten Geräten beschrieben. Weitere Informationen zur Microsoft Intune Geräteregistrierung finden Sie unter Registrieren von iOS-/iPadOS-Geräten in Intune.

Bevor Sie beginnen

• Stellen Sie sicher, dass Sie Zugriff auf das Microsoft Intune Admin Center und das Microsoft Defender-Portal haben.

• Stellen Sie sicher, dass die iOS-Registrierung für Ihre Benutzer erfolgt. Benutzern muss eine Defender für Endpunkt-Lizenz zugewiesen sein, um die Microsoft Defender-App verwenden zu können. Anweisungen zum Zuweisen von Lizenzen finden Sie unter Zuweisen von Lizenzen zu Benutzern .

• Stellen Sie sicher, dass die Endbenutzer die Unternehmensportal-App installiert haben, sich angemeldet und die Registrierung abgeschlossen haben.

Hinweis

Die Microsoft Defender-App ist im Apple-App Store verfügbar.

In diesem Abschnitt werden folgende Themen behandelt:

1. Bereitstellungsschritte (gilt für überwachte und nicht überwachte Geräte): Administratoren können Defender für Endpunkt unter iOS über Microsoft Intune Unternehmensportal bereitstellen. Dieser Schritt ist für VPP-Apps (Volumenkauf) nicht erforderlich.

2. Vollständige Bereitstellung (nur für überwachte Geräte): Administratoren können auswählen, eines der angegebenen Profile bereitzustellen.

   • Steuerungsfilter "Zero Touch (Silent)" : Bietet Webschutz ohne lokales Loopback-VPN und ermöglicht das unbeaufsichtigte Onboarding für Benutzer. Die App wird automatisch installiert und aktiviert, ohne dass Benutzer die App öffnen müssen.
   • Steuerungsfilter : Bietet Webschutz ohne das lokale Loopback-VPN.

3. Einrichtung des automatisierten Onboardings (nur für nicht überwachte Geräte): Administratoren können das Defender für Endpunkt-Onboarding für Benutzer auf zwei verschiedene Arten automatisieren:

   • Onboarding ohne Fingereingabe (silent): Die Microsoft Defender-App wird automatisch installiert und aktiviert, ohne dass Benutzer die App öffnen müssen.
   • Automatisches Onboarding von VPN: Das VPN-Profil von Defender für Endpunkt wird automatisch eingerichtet, ohne dass der Benutzer dies während des Onboardings tun muss. Dieser Schritt wird in Zero Touch-Konfigurationen nicht empfohlen.

4. Einrichtung der Benutzerregistrierung (nur für Intune vom Benutzer registrierten Geräte): Administratoren können die Defender für Endpunkt-App auch auf den Intune vom Benutzer registrierten Geräten bereitstellen und konfigurieren.

5. Onboarding abschließen und status überprüfen: Dieser Schritt gilt für alle Registrierungstypen, um sicherzustellen, dass die App auf dem Gerät installiert ist, das Onboarding abgeschlossen ist und das Gerät im Microsoft Defender-Portal angezeigt wird. Sie kann für das Onboarding ohne Toucheingabe (silent) übersprungen werden.

Bereitstellungsschritte (gilt für überwachte und nicht überwachte Geräte)

Bereitstellen von Defender für Endpunkt unter iOS über Microsoft Intune Unternehmensportal.

Hinzufügen einer iOS Store-App

1. Wechseln Sie im Microsoft Intune Admin Center zu Apps>iOS/iPadOS>iOS Store-Apphinzufügen>, und wählen Sie Auswählen aus.

   

2. Wählen Sie auf der Seite App hinzufügendie Option App Store durchsuchen aus, und geben Sie Microsoft Defender in die Suchleiste ein. Wählen Sie im Abschnitt mit den Suchergebnissen Microsoft Defender und dann Auswählen aus.

3. Wählen Sie iOS 15.0 als Mindestbetriebssystem aus. Überprüfen Sie die restlichen Informationen zur App, und wählen Sie Weiter aus.

4. Navigieren Sie im Abschnitt Zuweisungen zum Abschnitt Erforderlich , und wählen Sie Gruppe hinzufügen aus. Anschließend können Sie die Benutzergruppen auswählen, für die Sie Defender für Endpunkt in der iOS-App als Ziel verwenden möchten. Wählen Sie Auswählen und dann Weiter aus.

   Hinweis

   Die ausgewählte Benutzergruppe sollte aus Microsoft Intune registrierten Benutzern bestehen.

   

5. Überprüfen Sie im Abschnitt Überprüfen + erstellen , ob alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus. In wenigen Augenblicken sollte die Defender für Endpunkt-App erfolgreich erstellt werden, und eine Benachrichtigung sollte in der oberen rechten Ecke der Seite angezeigt werden.

6. Wählen Sie auf der angezeigten Seite mit den App-Informationen im Abschnitt Überwachen die Option Geräteinstallation status aus, um zu überprüfen, ob die Geräteinstallation erfolgreich abgeschlossen wurde.

   

Abschließen der Bereitstellung für überwachte Geräte

Die Microsoft Defender-App bietet erweiterte Funktionen auf überwachten iOS-/iPadOS-Geräten mithilfe der erweiterten Verwaltungsfunktionen der Plattform. Außerdem wird Webschutz bereitgestellt, ohne dass ein lokales VPN auf dem Gerät eingerichtet werden muss. Dies gewährleistet eine nahtlose Benutzererfahrung und schützt gleichzeitig vor Phishing und anderen webbasierten Bedrohungen.

Administratoren können die folgenden Schritte ausführen, um überwachte Geräte zu konfigurieren.

Konfigurieren des überwachten Modus über Microsoft Intune

Konfigurieren Sie den überwachten Modus für die Microsoft Defender App über eine App-Konfigurationsrichtlinie und ein Gerätekonfigurationsprofil.

App-Konfigurationsrichtlinie

Hinweis

Diese App-Konfigurationsrichtlinie für überwachte Geräte gilt nur für verwaltete Geräte und sollte als bewährte Methode für ALLE verwalteten iOS-Geräte gelten.

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Apps>App-Konfigurationsrichtlinien>Hinzufügen. Wählen Sie Verwaltete Geräte aus.

   

2. Geben Sie auf der Seite App-Konfigurationsrichtlinie erstellen die folgenden Informationen an:

   • Richtlinienname
   • Plattform: Wählen Sie iOS/iPadOS aus.
   • Ziel-App: Wählen Sie Microsoft Defender for Endpoint aus der Liste aus.

   

3. Wählen Sie auf dem nächsten Bildschirm Konfigurations-Designer als Format verwenden aus. Geben Sie die folgenden Eigenschaften an:

   • Konfigurationsschlüssel: issupervised
   • Werttyp: Zeichenfolge
   • Konfigurationswert: {{issupervised}}

   

4. Wählen Sie Weiter aus, um die Seite Bereichstags zu öffnen. Bereichstags sind optional. Wählen Sie Weiter aus, um fortzufahren.

5. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten. Für dieses Szenario empfiehlt es sich, alle Geräte als Ziel zu verwenden. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

   Bei der Bereitstellung in Benutzergruppen müssen sich Benutzer bei ihren Geräten anmelden, bevor die Richtlinie angewendet wird.

   Wählen Sie Weiter aus.

6. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste der Konfigurationsprofile angezeigt.

Gerätekonfigurationsprofil (Kontrollfilter)

Hinweis

Für Geräte, auf denen iOS/iPadOS (im überwachten Modus) ausgeführt wird, ist ein benutzerdefiniertes .mobileconfig Profil verfügbar, das als ControlFilter-Profil bezeichnet wird. Dieses Profil aktiviert Webschutz , ohne das lokale Loopback-VPN auf dem Gerät einzurichten. Dies bietet Endbenutzern eine nahtlose Erfahrung, während sie weiterhin vor Phishing und anderen webbasierten Angriffen geschützt sind.

Das ControlFilter-Profil funktioniert jedoch aufgrund von Plattformeinschränkungen nicht mit Always-On VPN (AOVPN).

Administratoren stellen eines der angegebenen Profile bereit.

1. Steuerungsfilter ohne Fingereingabe (Silent): Dieses Profil ermöglicht das unbeaufsichtigte Onboarding für Benutzer. Laden Sie das Konfigurationsprofil von ControlFilterZeroTouch herunter.

2. Steuerelementfilter : Laden Sie das Konfigurationsprofil von ControlFilter herunter.

Nachdem das Profil heruntergeladen wurde, stellen Sie das benutzerdefinierte Profil bereit. Gehen Sie folgendermaßen vor:

1. Navigieren Sie zu Geräte>iOS/iPadOS-Konfigurationsprofile>>Profil erstellen.

2. Wählen Sie Profiltypvorlagen> und Vorlagenname>Benutzerdefiniert aus.

   

3. Geben Sie einen Namen des Profils an. Wenn Sie zum Importieren einer Konfigurationsprofildatei aufgefordert werden, wählen Sie die aus dem vorherigen Schritt heruntergeladene Datei aus.

4. Wählen Sie im Abschnitt Zuweisung die Gerätegruppe aus, auf die Sie dieses Profil anwenden möchten. Als bewährte Methode sollte dies auf alle verwalteten iOS-Geräte angewendet werden. Wählen Sie Weiter aus.

   Hinweis

   Die Erstellung von Gerätegruppen wird sowohl in Defender für Endpunkt Plan 1 als auch in Plan 2 unterstützt.

5. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste der Konfigurationsprofile angezeigt.

Automatisiertes Onboarding-Setup (nur für nicht überwachte Geräte)

Administratoren können das Onboarding in Defender für Endpunkt für Benutzer auf zwei verschiedene Arten automatisieren: Onboarding ohne Fingereingabe (Silent) oder Auto Onboarding von VPN.

Zero-Touch-Onboarding (Silent) in Defender für Endpunkt

Hinweis

Zero-Touch kann nicht auf iOS-Geräten konfiguriert werden, die ohne Benutzeraffinität registriert sind (benutzerlose geräte oder freigegebene Geräte).

Administratoren können Microsoft Defender for Endpoint für die automatische Bereitstellung und Aktivierung einrichten. In diesem Prozess erstellt der Administrator ein Bereitstellungsprofil, und der Benutzer wird über die Installation benachrichtigt. Defender für Endpunkt wird dann automatisch installiert, ohne dass der Benutzer die App öffnen muss. Führen Sie die Schritte in diesem Artikel aus, um die Zero-Touch- oder silent-Bereitstellung von Defender für Endpunkt auf registrierten iOS-Geräten zu konfigurieren:

1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen.

2. Wählen Sie Plattform als iOS/iPadOS, Profiltyp als Vorlagen und Vorlagenname als VPN aus. Wählen Sie Erstellen aus.

3. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.

4. Wählen Sie Benutzerdefiniertes VPN als Verbindungstyp aus, und geben Sie im Abschnitt Basis-VPN Folgendes ein:

   • Verbindungsname: Microsoft Defender for Endpoint
   • VPN-Serveradresse: 127.0.0.1
   • Authentifizierungsmethode: "Benutzername und Kennwort"
   • Split Tunneling: Disable
   • VPN-Id: com.microsoft.scmx
   • Geben Sie in den Schlüssel-Wert-Paaren den Schlüssel SilentOnboard ein, und legen Sie den Wert auf fest True.
   • Typ des automatischen VPN: On-demand VPN
   • Wählen Sie Hinzufügen für On-Demand-Regeln aus, und wählen Sie dann Ich möchte die folgenden Aktionen ausführen: VPN verbinden aus, und legen Sie dann I want to restrict to: All domains (Ich möchte einschränken) fest.

   

   • Um festzulegen, dass VPN auf dem Benutzergerät nicht deaktiviert werden kann, können Administratoren unter Benutzer die Deaktivierung des automatischen VPN blockieren die Option Ja auswählen. Standardmäßig ist es nicht konfiguriert, und Benutzer können VPN nur in den Einstellungen deaktivieren.
   • Damit Benutzer den VPN-Umschalter innerhalb der App ändern können, fügen Sie EnableVPNToggleInApp = TRUEin den Schlüssel-Wert-Paaren hinzu. Standardmäßig können Benutzer den Umschalter nicht innerhalb der App ändern.

5. Wählen Sie Weiter aus, und weisen Sie das Profil Zielbenutzern zu.

6. Überprüfen Sie im Abschnitt Überprüfen + erstellen , ob alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus.

Nachdem diese Konfiguration abgeschlossen und mit dem Gerät synchronisiert wurde, werden die folgenden Aktionen auf den iOS-Zielgeräten ausgeführt:

• Defender für Endpunkt wird bereitgestellt und automatisch integriert. Das Gerät wird nach dem Onboarding im Microsoft Defender-Portal angezeigt.
• Eine vorläufige Benachrichtigung wird an das Gerät des Benutzers gesendet.
• Webschutz und andere Features werden aktiviert.

In einigen Fällen kann es aus Sicherheitsgründen wie Kennwortänderungen, mehrstufige Authentifizierung usw. erforderlich sein, dass sich endbenutzer bei der Microsoft Defender-App manuell anmelden müssen. 

A: Für das erstmalige Onboarding erhalten Endbenutzer eine unbeaufsichtigte Benachrichtigung.

Endbenutzer sollten die folgenden Schritte ausführen:

1. Öffnen Sie die Microsoft Defender-App, oder tippen Sie auf die Benachrichtigung.

2. Wählen Sie auf dem Kontoauswahlbildschirm den registrierten Enterprise-Konto aus.

3. Anmelden.

Das Gerät ist integriert und beginnt mit der Berichterstellung an das Microsoft Defender-Portal.

B: Für bereits integrierte Geräte wird Endbenutzern eine automatische Benachrichtigung angezeigt.

1. Öffnen Sie die Microsoft Defender-App, oder tippen Sie auf die Benachrichtigung.  

2. Wenn Sie von der Microsoft Defender-App dazu aufgefordert werden, melden Sie sich an.

Danach beginnt das Gerät erneut mit der Meldung an das Microsoft Defender-Portal. 

Hinweis

• Die Einrichtung ohne Fingereingabe kann bis zu 5 Minuten im Hintergrund dauern.
• Für überwachte Geräte können Administratoren zero touch onboarding mit dem ZeroTouch Control Filter Profile einrichten. In diesem Fall ist das VPN-Profil von Defender für Endpunkt nicht auf dem Gerät installiert, und der Webschutz wird durch das Steuerelementfilterprofil bereitgestellt.

Automatisches Onboarding des VPN-Profils (vereinfachtes Onboarding)

Hinweis

Dieser Schritt vereinfacht den Onboardingprozess, indem das VPN-Profil eingerichtet wird. Wenn Sie zero touch verwenden, müssen Sie diesen Schritt nicht ausführen.

Für nicht überwachte Geräte wird ein VPN verwendet, um das Webschutzfeature bereitzustellen. Dies ist kein reguläres VPN und ein lokales/Selbstschleifen-VPN, das keinen Datenverkehr außerhalb des Geräts annimmt.

Administratoren können die automatische Einrichtung des VPN-Profils konfigurieren. Dadurch wird das VPN-Profil von Defender für Endpunkt automatisch eingerichtet, ohne dass der Benutzer dies während des Onboardings tun muss.

1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen.

2. Wählen Sie Plattform als iOS/iPadOS und Profiltyp als VPN aus. Wählen Sie Erstellen aus.

3. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.

4. Wählen Sie Benutzerdefiniertes VPN als Verbindungstyp aus, und geben Sie im Abschnitt Basis-VPN Folgendes ein:

   • Verbindungsname: Microsoft Defender for Endpoint
   • VPN-Serveradresse: 127.0.0.1
   • Authentifizierungsmethode: "Benutzername und Kennwort"
   • Split Tunneling: Disable
   • VPN-Id: com.microsoft.scmx
   • Geben Sie in den Schlüssel-Wert-Paaren den Schlüssel AutoOnboard ein, und legen Sie den Wert auf fest True.
   • Typ des automatischen VPN: Bedarfsgesteuertes VPN
   • Wählen Sie Hinzufügen für On-Demand-Regeln und dann Ich möchte die folgenden Aktionen ausführen: Vpn verbinden, ich möchte auf: Alle Domänen beschränken.

   

   • Um sicherzustellen, dass das VPN nicht auf dem Gerät eines Benutzers deaktiviert werden kann, können Administratoren unter Benutzer die Deaktivierung des automatischen VPN blockieren die Option Ja auswählen. Standardmäßig ist diese Einstellung nicht konfiguriert, und Benutzer können VPN nur in den Einstellungen deaktivieren.
   • Damit Benutzer den VPN-Umschalter innerhalb der App ändern können, fügen Sie EnableVPNToggleInApp = TRUEin den Schlüssel-Wert-Paaren hinzu. Standardmäßig können Benutzer den Umschalter nicht innerhalb der App ändern.

5. Wählen Sie Weiter aus, und weisen Sie das Profil Zielbenutzern zu.

6. Überprüfen Sie im Abschnitt Überprüfen + erstellen , ob alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus.

Einrichtung der Benutzerregistrierung (nur für Intune geräte mit Benutzerregistrierung)

Microsoft Defender-App kann mithilfe der folgenden Schritte auf iOS-Geräten mit Intune vom Benutzer registrierten Geräten bereitgestellt werden.

Administrator

1. Richten Sie das Benutzerregistrierungsprofil in Intune ein. Intune unterstützt die kontogesteuerte Apple-Benutzerregistrierung und die Apple-Benutzerregistrierung mit Unternehmensportal. Lesen Sie mehr über den Vergleich der beiden Methoden, und wählen Sie eine aus.

   • Einrichten der Benutzerregistrierung mit Unternehmensportal
   • Einrichten der kontogesteuerten Benutzerregistrierung

2. Richten Sie das SSO-Plug-In ein. Die Authentifikator-App mit der SSO-Erweiterung ist eine Voraussetzung für die Benutzerregistrierung auf einem iOS-Gerät.

   • Erstellen Sie ein Gerätekonfigurationsprofil in Intune. Weitere Informationen finden Sie unter Microsoft Enterprise SSO-Plug-In für Apple-Geräte.
   • Stellen Sie sicher, dass Sie diese beiden Schlüssel im Gerätekonfigurationsprofil hinzufügen:
     • App-Bündel-ID: Fügen Sie die Bündel-ID der Defender-App in diese Liste ein. com.microsoft.scmx
     • Eine andere Konfiguration: Schlüssel: device_registration; Typ: String; Wert: {{DEVICEREGISTRATION}}

3. Richten Sie den MDM-Schlüssel für die Benutzerregistrierung ein.

4. Wechseln Sie im Intune Admin Center zu Zu Apps>wechseln App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen>.

5. Geben Sie der Richtlinie einen Namen, und wählen Sie dann Plattform>iOS/iPadOS aus.

6. Wählen Sie Microsoft Defender for Endpoint als Ziel-App aus.

7. Wählen Sie auf der Seite Einstellungen die Option Konfigurations-Designer verwenden aus, und fügen Sie als Schlüssel hinzu UserEnrollmentEnabled , wobei der Werttyp als Stringund der Wert auf Truefestgelegt ist.

8. Administratoren können die Microsoft Defender-App als erforderliche VPP-App aus Intune pushen.

Endbenutzer

Die Microsoft Defender-App wird auf den Geräten der Benutzer installiert. Jeder Benutzer meldet sich an und schließt den Onboardingprozess ab. Nachdem das Gerät erfolgreich integriert wurde, wird es im Microsoft Defender-Portal unter Gerätebestand angezeigt.

Unterstützte Features und Einschränkungen

• Unterstützt alle aktuellen Funktionen von Defender für Endpunkt unter iOS. Zu diesen Funktionen gehören Webschutz, Netzwerkschutz, Jailbreak-Erkennung, Sicherheitsrisiken in Betriebssystem und Apps und Warnungen im Microsoft Defender-Portal.
• Die Bereitstellung ohne Fingereingabe (im Hintergrund) und das automatische Onboarding von VPN wird bei der Benutzerregistrierung nicht unterstützt, da Administratoren ein geräteweites VPN-Profil nicht mit der Benutzerregistrierung pushen können.
• Für die Verwaltung von Sicherheitsrisiken von Apps sind nur Apps im Arbeitsprofil sichtbar.
• Es kann bis zu 10 Minuten dauern, bis neu integrierte Geräte konform sind, wenn sie von Konformitätsrichtlinien betroffen sind.
• Weitere Informationen finden Sie unter Einschränkungen und Funktionen für die Benutzerregistrierung.

Durchführen des Onboardings und Überprüfen status

1. Nachdem Defender für Endpunkt unter iOS auf dem Gerät installiert wurde, wird das App-Symbol angezeigt.

   

2. Tippen Sie auf das Symbol für die Defender für Endpunkt-App (Defender), und folgen Sie den Anweisungen auf dem Bildschirm, um die Onboardingschritte auszuführen. Die Details umfassen die Zustimmung der Endbenutzer zu iOS-Berechtigungen, die für die Microsoft Defender-App erforderlich sind.

Hinweis

Überspringen Sie diesen Schritt, wenn Sie das Onboarding ohne Toucheingabe (silent) konfigurieren. Das manuelle Starten der Anwendung ist nicht erforderlich, wenn das Onboarding ohne Toucheingabe (silent) konfiguriert ist.

3. Nach erfolgreichem Onboarding wird das Gerät in der Liste Geräte im Microsoft Defender-Portal angezeigt.

   

Nächste Schritte

• Konfigurieren der App-Schutzrichtlinie zum Einschließen von Defender für Endpunkt-Risikosignalen (MAM)
• Konfigurieren von Defender für Endpunkt unter iOS-Features

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.