Microsoft Defender for Endpointin käyttöönotto iOS:ssä Microsoft Intunen avulla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä ohjeaiheessa kuvataan Defender for Endpointin käyttöönottoa iOS:ssä Microsoft Intune Company Portaliin rekisteröidyissä laitteissa. Lisätietoja Microsoft Intunen laiterekisteröinnistä on kohdassa iOS-/iPadOS-laitteiden rekisteröinti Intuneen.
Alkuvalmistelut
Varmista, että sinulla on microsoft Intunen hallintakeskuksen käyttöoikeus.
Varmista, että iOS-rekisteröinti on tehty käyttäjillesi. Käyttäjillä on oltava Defender for Endpoint -käyttöoikeus määritettynä, jotta he voivat käyttää Defender for Endpointia iOS:ssä. Katso ohjeet käyttöoikeuksien määrittämiseen kohdasta Käyttöoikeuksien määrittäminen käyttäjille .
Varmista, että loppukäyttäjillä on yritysportaalisovellus asennettuna, kirjautuneena ja rekisteröitymisenä valmiina.
Huomautus
Microsoft Defender for Endpoint iOS:ssä on käytettävissä Apple App Storessa.
Tässä osiossa käsitellään:
Käyttöönottovaiheet (soveltuvat sekä valvotuille että valvomattomille laitteille)- Järjestelmänvalvojat voivat ottaa Defender for Endpointin käyttöön iOS:ssä Microsoft Intune Company Portalin kautta. Tätä vaihetta ei tarvita VPP (volyymiosto) -sovelluksissa.
Täydellinen käyttöönotto (vain valvotuille laitteille)- Järjestelmänvalvojat voivat ottaa käyttöön minkä tahansa annetuista profiileista.
- Zero Touch (Silent) Control Filter – Tarjoaa verkkosuojauksen ilman paikallista silmukka-VPN:ää ja mahdollistaa käyttäjille myös hiljaisen perehdyttämisen. Sovellus asennetaan ja aktivoidaan automaattisesti ilman, että käyttäjän tarvitsee avata sovellusta.
- Control Filter – Tarjoaa verkkosuojauksen ilman paikallista vpn-silmukkaa.
Automaattinen perehdyttämisen määritys (vain valvomattomille laitteille) – Järjestelmänvalvojat voivat automatisoida Defender for Endpoint -perehdyttämisen käyttäjille kahdella eri tavalla:
- Nolla kosketusta (hiljainen) perehdytys – Sovellus asennetaan ja aktivoidaan automaattisesti ilman, että käyttäjien tarvitsee avata sovellusta.
- VPN:n automaattinen käyttöönotto – Defender for EndpointIN VPN-profiili määritetään automaattisesti ilman, että käyttäjällä on siihen tehtävää perehdyttämisen aikana. Tätä vaihetta ei suositella kohdassa Nolla kosketusmääritystä.
Käyttäjän rekisteröintiasetukset (vain Intune-käyttäjien rekisteröityjen laitteiden kohdalla) – Järjestelmänvalvojat voivat ottaa käyttöön ja määrittää Defender for Endpoint -sovelluksen myös Intune User Enrolled -laitteissa.
Viimeistele perehdytys ja tarkista tila – Tämä vaihe koskee kaikkia rekisteröintityyppejä sen varmistamiseksi, että sovellus on asennettu laitteeseen, käyttöönotto on valmis ja että laite näkyy Microsoft Defender -portaalissa. Se voidaan ohittaa, kun perehdytys on nolla (hiljainen).
Käyttöönottovaiheet (sovellettavissa sekä valvottuihin että valvomattomiin laitteisiin)
Ota Defender for Endpoint käyttöön iOS:ssä Microsoft Intunen yritysportaalin kautta.
Lisää iOS-kaupan sovellus
Siirry Microsoft Intune -hallintakeskuksessa kohtaan Sovellukset>iOS/iPadOS>Lisää>iOS-kaupan sovellus ja valitse Valitse.
Napsauta Lisää sovellus - sivulla Hae App Storesta ja kirjoita Microsoft Defender hakupalkkiin. Napsauta hakutulosten osiossa Microsoft Defender ja valitse Valitse.
Valitse käyttöjärjestelmän vähimmäisarvoksi iOS 15.0 . Tarkista sovelluksen muut tiedot ja valitse Seuraava.
Siirry Määritykset-osiossaPakollinen-osioon ja valitse Lisää ryhmä. Voit sitten valita käyttäjäryhmiä, joiden kohteena on Defender for Endpoint iOS-sovelluksessa. Valitse Valitse ja sitten Seuraava.
Huomautus
Valitun käyttäjäryhmän tulee koostua Microsoft Intunen rekisteröityistä käyttäjistä.
Tarkista + luo -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Luo. Hetken kuluttua Defender for Endpoint -sovellus tulisi luoda onnistuneesti ja ilmoitus pitäisi näkyä sivun oikeassa yläkulmassa.
Valitse näytettävällä sovelluksen tietosivulla Valvonta-osassaLaitteen asennuksen tila varmistaaksesi, että laitteen asennus on valmis.
Valvottujen laitteiden täydellinen käyttöönotto
Microsoft Defender for Endpoint on iOS -sovelluksessa on erityinen kyky valvotuissa iOS/ iPadOS-laitteissa, kun otetaan huomioon ympäristön tarjoamat lisääntyneet hallintaominaisuudet tämäntyyppisissä laitteissa. Se voi myös tarjota verkkosuojauksen määrittämättä laitteelle paikallista VPN:ää. Näin loppukäyttäjät saavat saumattoman käyttökokemuksen samalla, kun he ovat suojassa tietojenkalastelulta ja muilta verkkopohjaisista hyökkäyksiltä.
Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää valvotut laitteet.
Valvotun tilan määrittäminen Microsoft Intunen kautta
Määritä Defender for Endpoint -sovelluksen valvottu tila sovelluksen määrityskäytännön ja laitteen määritysprofiilin avulla.
Sovelluksen määrityskäytäntö
Huomautus
Tämä valvotuissa laitteissa käytettävä sovelluksen määrityskäytäntö koskee vain hallittuja laitteita, ja se tulee kohdistaa kaikkiin hallittuihin iOS-laitteisiin parhaana käytäntönä.
Kirjaudu sisään Microsoft Intune -hallintakeskukseen ja siirry kohtaan Sovellukset Sovelluksen>määrityskäytännöt>Lisää. Valitse Hallitut laitteet.
Anna Luo sovelluksen määrityskäytäntö -sivulla seuraavat tiedot:
- Käytännön nimi
- Ympäristö: Valitse iOS/iPadOS
- Kohdistettu sovellus: Valitse luettelosta Microsoft Defender for Endpoint
Valitse seuraavassa näytössä Käytä muotoiluna määritysten suunnittelutyökalua . Määritä seuraavat ominaisuudet:
- Määritysavain:
issupervised
- Arvotyyppi: Merkkijono
- Kokoonpanon arvo:
{{issupervised}}
- Määritysavain:
Avaa Käyttöaluetunnisteet-sivu valitsemalla Seuraava. Käyttöaluetunnisteet ovat valinnaisia. Jatka valitsemalla Seuraava .
Valitse Määritykset-sivulla ryhmät, joille tämä profiili lähetetään. Tässä skenaariossa on paras käytäntö kohdistaa kohde kaikille laitteille. Lisätietoja profiilien määrittämisestä on kohdassa Käyttäjä- ja laiteprofiilien määrittäminen.
Kun käyttäjä otetaan käyttöön käyttäjäryhmille, käyttäjän on kirjauduttava sisään laitteeseen, ennen kuin käytäntöä sovelletaan.
Valitse Seuraava.
Kun olet valmis, valitse Tarkista + luo -sivulla Luo. Uusi profiili näkyy määritysprofiilien luettelossa.
Laitteen määritysprofiili (ohjausobjektisuodatin)
Huomautus
Laitteissa, joissa on käytössä iOS/iPadOS (valvotussa tilassa), on mukautettu .mobileconfig-profiili , jota kutsutaan ControlFilter-profiiliksi . Tämä profiili ottaa käyttöön WEB Protectionin määrittämättä laitteelle paikallista silmukka-VPN:ää. Näin loppukäyttäjät saavat saumattoman käyttökokemuksen samalla, kun he ovat suojassa tietojenkalastelulta ja muilta verkkopohjaisista hyökkäyksiltä.
ControlFilter-profiili ei kuitenkaan toimi Always-On VPN:n (AOVPN) kanssa alustarajoitusten vuoksi.
Järjestelmänvalvojat ottavat käyttöön minkä tahansa annetuista profiileista.
Nollakosketuksen (hiljaisen) ohjausobjektin suodatin – Tämä profiili mahdollistaa käyttäjille hiljaisen perehdyttämisen. Määritysprofiilin lataaminen ControlFilterZeroTouchista
Control Filter – Lataa määritysprofiili ControlFilteristä.
Kun profiili on ladattu, ota mukautettu profiili käyttöön. Toimi seuraavasti:
Siirry kohtaan Laitteet>iOS/iPadOS-määritysprofiilit>>Luo profiili.
Valitse Profiilityyppimallit> ja Mallin nimi>Mukautettu.
Anna profiilin nimi. Kun sinua kehotetaan tuomaan määritysprofiilitiedosto, valitse edellisessä vaiheessa ladattu tiedosto.
Valitse Varaus-osiossa laiteryhmä, jossa haluat käyttää tätä profiilia. Parhaana käytäntönä tätä tulisi soveltaa kaikkiin hallittuihin iOS-laitteisiin. Valitse Seuraava.
Huomautus
Laiteryhmän luontia tuetaan sekä Defender for EndpointIn palvelupaketti 1 että palvelupaketti 2.
Kun olet valmis, valitse Tarkista + luo -sivulla Luo. Uusi profiili näkyy määritysprofiilien luettelossa.
Automaattisen perehdyttämisen määritys (vain valvomattomille laitteille)
Järjestelmänvalvojat voivat automatisoida Defenderin perehdyttämisen käyttäjille kahdella eri tavalla käyttämällä Zero touch(Silent) -perehdytystä tai VPN:n automaattista perehdytystä.
Microsoft Defender for Endpointin nollakosketus (hiljainen) perehdytys
Huomautus
Zero-touchia ei voi määrittää iOS-laitteissa, jotka on rekisteröity ilman käyttäjän affiniteettia (käyttäjättömät laitteet tai jaetut laitteet).
Järjestelmänvalvojat voivat määrittää Microsoft Defender for Endpointin ottamaan käyttöön ja aktivoimaan taustalla. Tässä työnkulussa järjestelmänvalvoja luo käyttöönottoprofiilin, ja käyttäjälle ilmoitetaan asennuksesta. Defender for Endpoint asennetaan automaattisesti ilman, että käyttäjän tarvitsee avata sovellusta. Määritä Defender for Endpointin hiljainen käyttöönotto rekisteröidyissä iOS-laitteissa noudattamalla seuraavia ohjeita:
Siirry Microsoft Intune -hallintakeskuksessa kohtaan Laitteiden>määritysprofiilit>Luo profiili.
Valitse KäyttöympäristöiOS:ksi/iPadOS:ksi, profiilityyppimalleiksi ja mallin nimi VPN-yhteydeksi. Valitse Luo.
Kirjoita profiilin nimi ja valitse Seuraava.
Valitse Yhteystyypiksi Mukautettu VPN ja kirjoita perus-VPN-osioon seuraavat:
- Yhteyden nimi = Microsoft Defender päätepisteelle
- VPN-palvelimen osoite = 127.0.0.1
- Todennusmenetelmä = "Käyttäjänimi ja salasana"
- Jakotunneli = Poista käytöstä
- VPN-tunnus = com.microsoft.scmx
- Kirjoita avain-arvo-pareihin SilentOnboard-näppäin ja määritä sen arvoksi Tosi.
- Automaattisen VPN:n tyyppi = Tarvittaessa VPN
- Valitse Lisääpyydettäessä -säännöt ja valitse Haluan tehdä seuraavat = Yhdistä VPN, haluan rajoittaa arvoon = Kaikki toimialueet.
- Jos haluat määrittää, että VPN:ää ei voi poistaa käytöstä käyttäjien laitteessa, järjestelmänvalvojat voivat valita Kylläkohdasta Estä käyttäjiä poistamasta automaattista VPN:ää käytöstä. Oletusarvon mukaan sitä ei ole määritetty, ja käyttäjät voivat poistaa VPN:n käytöstä vain asetuksissa.
- Jos haluat antaa käyttäjien muuttaa VPN-vaihtokytkintä sovelluksen sisältä, lisää EnableVPNToggleInApp = TRUE avain-arvo-pareihin. Oletusarvon mukaan käyttäjät eivät voi muuttaa valitsinta sovelluksessa.
Valitse Seuraava ja määritä profiili kohdennetuille käyttäjille.
Tarkista + luo -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Luo.
Kun edellä oleva määritys on tehty ja synkronoitu laitteen kanssa, seuraavat toimet suoritetaan kohdennetuissa iOS-laitteissa:
- Microsoft Defender for Endpoint otetaan käyttöön ja otetaan taustalla käyttöön, ja laite näkyy Defender for Endpoint -portaalissa.
- Väliaikainen ilmoitus lähetetään käyttäjän laitteeseen.
- Verkkosuojaus ja muut ominaisuudet aktivoidaan.
Huomautus
- Kosketuksen nolla-määrityksen valmistuminen taustalla voi kestää jopa 5 minuuttia.
- Valvotuissa laitteissa järjestelmänvalvojat voivat määrittää zero touch -käyttöönoton ZeroTouch-ohjausobjektin suodatinprofiililla. Defender for Endpoint VPN Profilea ei asenneta laitteeseen, ja verkkosuojauksen tarjoaa ohjausobjektin suodatinprofiili.
VPN-profiilin automaattinen käyttöönotto (yksinkertaistettu perehdytys)
Huomautus
Tämä vaihe yksinkertaistaa perehdytysprosessia määrittämällä VPN-profiilin. Jos käytössäsi on Nolla kosketus, sinun ei tarvitse suorittaa tätä vaihetta.
Ilman valvontaa käyttävissä laitteissa KÄYTETÄÄN VPN:ää Web Protection -ominaisuuden tarjoamiseen. Tämä ei ole tavallinen VPN, ja se on paikallinen/itsesilmukainen VPN, joka ei vie liikennettä laitteen ulkopuolelle.
Järjestelmänvalvojat voivat määrittää VPN-profiilin automaattisen määrityksen. Tämä määrittää automaattisesti Defender for Endpoint VPN -profiilin ilman, että käyttäjä tarvitsee sitä perehdyttämisen aikana.
Siirry Microsoft Intune -hallintakeskuksessa kohtaan Laitteiden>määritysprofiilit>Luo profiili.
Valitse KäyttöympäristöiOS/iPadOS-tyypiksi ja Profiilityyppi VPN-tyypiksi. Valitse Luo.
Kirjoita profiilin nimi ja valitse Seuraava.
Valitse Yhteystyypiksi Mukautettu VPN ja kirjoita perus-VPN-osioon seuraavat:
Yhteyden nimi = Microsoft Defender päätepisteelle
VPN-palvelimen osoite = 127.0.0.1
Todennusmenetelmä = "Käyttäjänimi ja salasana"
Jakotunneli = Poista käytöstä
VPN-tunnus = com.microsoft.scmx
Anna avain-arvo-pareissa automaattinen ja määritä arvoksi Tosi.
Automaattisen VPN:n tyyppi = Tarvittaessa VPN
Valitse Lisääpyydettäessä -säännöt ja valitse Haluan tehdä seuraavat = Yhdistä VPN, haluan rajoittaa arvoon = Kaikki toimialueet.
Jos haluat edellyttää, että VPN:ää ei voi poistaa käytöstä käyttäjien laitteessa, järjestelmänvalvojat voivat valita Kylläestä käyttäjiä automaattisen VPN:n käytöstä poistamisesta. Oletusarvoisesti tätä asetusta ei ole määritetty, ja käyttäjät voivat poistaa VPN:n käytöstä vain Asetuksissa.
Jos haluat antaa käyttäjien muuttaa VPN-vaihtokytkintä sovelluksen sisältä, lisää EnableVPNToggleInApp = TRUE avain-arvo-pareihin. Oletusarvon mukaan käyttäjät eivät voi muuttaa valitsinta sovelluksen sisältä.
Valitse Seuraava ja määritä profiili kohdennetuille käyttäjille.
Tarkista + luo -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Luo.
Käyttäjän rekisteröintiasetukset (vain Intune-käyttäjien rekisteröityjen laitteiden kohdalla)
Microsoft Defender iOS -sovellus voidaan ottaa käyttöön Intune User Enrolled -laitteissa seuraavien vaiheiden avulla.
Järjestelmänvalvoja
Määritä käyttäjän rekisteröintiprofiili Intunessa. Intune tukee tilipohjaista Apple User Enrollmentia ja Apple User Enrollmentia yritysportaalin avulla. Lue lisää kahden menetelmän vertailusta ja valitse yksi.
Määritä kertakirjautumislaajennus. Todentajasovellus, jossa on kertakirjautumislaajennus, on edellytys käyttäjien rekisteröinnille iOS-laitteessa.
- Luo on Laitteen määritysprofiili Intunessa - Määritä iOS/iPadOS Enterprise SSO -laajennus MDM:llä | Microsoft Learn.
- Varmista, että lisäät nämä kaksi avainta yllä olevaan määritykseen:
- Sovelluspaketin tunnus: Sisällytä Defender-sovelluspaketin tunnus tähän luetteloon com.microsoft.scmx
- Lisämääritykset: Avain - device_registration ; Type – Merkkijono ; Arvo- {{DEVICEREGISTRATION}}
Määritä käyttäjien rekisteröinnin MDM-avain.
- Siirry Intunessa kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallitut laitteet
- Anna käytännölle nimi, valitse Käyttöympäristö > iOS/iPadOS,
- Valitse kohdesovellukseksi Microsoft Defender for Endpoint.
- Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää UserEnrolmentEnabled avaimeksi, arvotyypiksi Merkkijono, arvoksi Tosi.
Järjestelmänvalvoja voi lähettää Defenderin pakollisena VPP-sovelluksena Intunesta.
Loppukäyttäjä
Defender-sovellus asennetaan käyttäjän laitteeseen. Käyttäjä kirjautuu sisään ja viimeistelee perehdytyksen. Kun laite on onnistuneesti otettu käyttöön, se näkyy Defenderin tietoturvaportaalissa kohdassa Laiteluettelo.
Tuetut ominaisuudet ja rajoitukset
- Tukee kaikkia Defender for Endpointin iOS:n nykyisiä ominaisuuksia, kuten verkkosuojausta, verkon suojausta, vankilamurtojen havaitsemista, käyttöjärjestelmän ja sovellusten haavoittuvuuksia, Defenderin suojausportaalin hälytyksiä ja yhteensopivuuskäytäntöjä.
- Käyttäjän rekisteröinti ei tue nollakosketuksen (hiljaisen) käyttöönottoa ja VPN:n automaattista käyttöönottoa, koska järjestelmänvalvojat eivät voi lähettää laitteen laajuista VPN-profiilia käyttäjän rekisteröinnillä.
- Sovellusten haavoittuvuuden hallinnassa vain työprofiilin sovellukset ovat näkyvissä.
- Uusien laitteiden vaatimustenmukaisuus voi kestää jopa 10 minuuttia, jos se on vaatimustenmukaisuuskäytäntöjen kohteena.
- Lue lisää käyttäjän rekisteröintirajoituksista ja -ominaisuuksista.
Viimeistele perehdytys ja tarkista tila
Kun iOS:n Defender for Endpoint on asennettu laitteeseen, näkyviin tulee sovelluksen kuvake.
Napauta Defender for Endpoint -sovelluksen kuvaketta (MSDefender) ja suorita käyttöönottovaiheet noudattamalla näytön ohjeita. Tiedot sisältävät käyttäjän hyväksynnän iOS-käyttöoikeuksille, joita Defender edellyttää iOS-päätepisteelle.
Huomautus
Ohita tämä vaihe, jos määrität nollakosketuksen (hiljaisen) perehdytystoiminnon. Manuaalisesti käynnistettäessä sovellusta ei tarvita, jos perehdytys ei ole hiljainen.
Seuraavat vaiheet
- Sovelluksen suojauskäytännön määrittäminen sisältämään Defender for Endpoint -riskisignaalit (MAM)
- Defenderin määrittäminen päätepisteelle iOS-ominaisuuksille
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.