Microsoft Defender for Endpoint käyttöönotto iOS:ssä Microsoft Intune avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä ohjeaiheessa kuvataan Defender for Endpointin käyttöönotto iOS:ssä Microsoft Intune Yritysportaali rekisteröidyissä laitteissa. Lisätietoja laitteen Microsoft Intune rekisteröinnistä on kohdassa iOS-/iPadOS-laitteiden rekisteröinti Intune.

Alkuvalmistelut

• Varmista, että sinulla on käyttöoikeus Microsoft Intune hallintakeskukseen.

• Varmista, että iOS-rekisteröinti on tehty käyttäjillesi. Käyttäjillä on oltava Defender for Endpoint -käyttöoikeus määritettynä, jotta he voivat käyttää Defender for Endpointia iOS:ssä. Katso ohjeet käyttöoikeuksien määrittämiseen kohdasta Käyttöoikeuksien määrittäminen käyttäjille .

• Varmista, että loppukäyttäjillä on yritysportaalisovellus asennettuna, kirjautuneena ja rekisteröitymisenä valmiina.

Huomautus

Microsoft Defender for Endpoint iOS:ssä on saatavilla Apple App Store.

Tässä osiossa käsitellään:

1. Käyttöönottovaiheet (koskee sekä valvottuja että valvomattomia laitteita)- Järjestelmänvalvojat voivat ottaa Defender for Endpointin käyttöön iOS:ssä Microsoft Intune Yritysportaali kautta. Tätä vaihetta ei tarvita VPP (volyymiosto) -sovelluksissa.

2. Täydellinen käyttöönotto (vain valvotuille laitteille)- Järjestelmänvalvojat voivat ottaa käyttöön minkä tahansa annetuista profiileista.

   1. Zero Touch (Silent) Control Filter – Tarjoaa verkkosuojauksen ilman paikallista silmukka-VPN:ää ja mahdollistaa käyttäjille myös hiljaisen perehdyttämisen. Sovellus asennetaan ja aktivoidaan automaattisesti ilman, että käyttäjän tarvitsee avata sovellusta.
   2. Control Filter – Tarjoaa verkkosuojauksen ilman paikallista vpn-silmukkaa.

3. Automaattinen perehdyttämisen määritys (vain valvomattomille laitteille) – Järjestelmänvalvojat voivat automatisoida Defender for Endpoint -perehdyttämisen käyttäjille kahdella eri tavalla:

   1. Nolla kosketusta (hiljainen) perehdytys – Sovellus asennetaan ja aktivoidaan automaattisesti ilman, että käyttäjien tarvitsee avata sovellusta.
   2. VPN:n automaattinen käyttöönotto – Defender for EndpointIN VPN-profiili määritetään automaattisesti ilman, että käyttäjällä on siihen tehtävää perehdyttämisen aikana. Tätä vaihetta ei suositella kohdassa Nolla kosketusmääritystä.

4. Käyttäjän rekisteröintiasetukset (vain Intune käyttäjän rekisteröimälle laitteelle) – järjestelmänvalvojat voivat ottaa käyttöön ja määrittää Defender for Endpoint -sovelluksen myös Intune Käyttäjän rekisteröity -laitteissa.

5. Viimeistele perehdytys ja tarkista tila – Tämä vaihe koskee kaikkia rekisteröintityyppejä sen varmistamiseksi, että sovellus on asennettu laitteeseen, perehdytys on valmis ja että laite näkyy Microsoft Defender portaalissa. Se voidaan ohittaa, kun perehdytys on nolla (hiljainen).

Käyttöönottovaiheet (sovellettavissa sekä valvottuihin että valvomattomiin laitteisiin)

Ota Defender for Endpoint käyttöön iOS:ssä Microsoft Intune Yritysportaali kautta.

Lisää iOS-kaupan sovellus

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellukset>iOS/iPadOS>Lisää>iOS-kaupan sovellus ja valitse Valitse.

   

2. Napsauta Lisää sovellus -sivulla Haku App Store ja kirjoita Microsoft Defender hakupalkkiin. Napsauta hakutulosten osiossa Microsoft Defender ja valitse Valitse.

3. Valitse käyttöjärjestelmän vähimmäisarvoksi iOS 15.0 . Tarkista sovelluksen muut tiedot ja valitse Seuraava.

4. Siirry Määritykset-osiossaPakollinen-osioon ja valitse Lisää ryhmä. Voit sitten valita käyttäjäryhmiä, joiden kohteena on Defender for Endpoint iOS-sovelluksessa. Valitse Valitse ja sitten Seuraava.

   Huomautus

   Valitun käyttäjäryhmän tulee koostua Microsoft Intune rekisteröidyistä käyttäjistä.

   

5. Tarkista + Create -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Create. Hetken kuluttua Defender for Endpoint -sovellus tulisi luoda onnistuneesti ja ilmoitus pitäisi näkyä sivun oikeassa yläkulmassa.

6. Valitse näytettävällä sovelluksen tietosivulla Valvonta-osassaLaitteen asennuksen tila varmistaaksesi, että laitteen asennus on valmis.

   

Valvottujen laitteiden täydellinen käyttöönotto

iOS-sovelluksen Microsoft Defender for Endpoint on erityinen kyky valvotuissa iOS/ iPadOS-laitteissa, kun otetaan huomioon käyttöympäristön tarjoamat lisääntyneet hallintaominaisuudet tämäntyyppisissä laitteissa. Se voi myös tarjota verkkosuojauksen määrittämättä laitteelle paikallista VPN:ää. Näin loppukäyttäjät saavat saumattoman käyttökokemuksen samalla, kun he ovat suojassa tietojenkalastelulta ja muilta verkkopohjaisista hyökkäyksiltä.

Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää valvotut laitteet.

Valvotun tilan määrittäminen Microsoft Intune kautta

Määritä Defender for Endpoint -sovelluksen valvottu tila sovelluksen määrityskäytännön ja laitteen määritysprofiilin avulla.

Sovelluksen määrityskäytäntö

Huomautus

Tämä valvotuissa laitteissa käytettävä sovelluksen määrityskäytäntö koskee vain hallittuja laitteita, ja se tulee kohdistaa kaikkiin hallittuihin iOS-laitteisiin parhaana käytäntönä.

1. Kirjaudu sisään Microsoft Intune hallintakeskukseen ja siirry kohtaan Sovellukset Sovelluksen>määrityskäytännöt>Lisää. Valitse Hallitut laitteet.

   

2. Anna Create sovelluksen määrityskäytäntösivulla seuraavat tiedot:

   • Käytännön nimi
   • Ympäristö: Valitse iOS/iPadOS
   • Kohdistettu sovellus: Valitse luettelosta Microsoft Defender for Endpoint

   

3. Valitse seuraavassa näytössä Käytä muotoiluna määritysten suunnittelutyökalua . Määritä seuraavat ominaisuudet:

   • Määritysavain: issupervised
   • Arvotyyppi: Merkkijono
   • Kokoonpanon arvo: {{issupervised}}

   

4. Avaa Käyttöaluetunnisteet-sivu valitsemalla Seuraava. Käyttöaluetunnisteet ovat valinnaisia. Jatka valitsemalla Seuraava .

5. Valitse Määritykset-sivulla ryhmät, joille tämä profiili lähetetään. Tässä skenaariossa on paras käytäntö kohdistaa kohde kaikille laitteille. Lisätietoja profiilien määrittämisestä on kohdassa Käyttäjä- ja laiteprofiilien määrittäminen.

   Kun käyttäjä otetaan käyttöön käyttäjäryhmille, käyttäjän on kirjauduttava sisään laitteeseen, ennen kuin käytäntöä sovelletaan.

   Valitse Seuraava.

6. Kun olet valmis, valitse Tarkista + luo -sivulla Create. Uusi profiili näkyy määritysprofiilien luettelossa.

Laitteen määritysprofiili (ohjausobjektisuodatin)

Huomautus

Laitteissa, joissa on käytössä iOS/iPadOS (valvotussa tilassa), on mukautettu .mobileconfig-profiili , jota kutsutaan ControlFilter-profiiliksi . Tämä profiili ottaa käyttöön WEB Protectionin määrittämättä laitteelle paikallista silmukka-VPN:ää. Näin loppukäyttäjät saavat saumattoman käyttökokemuksen samalla, kun he ovat suojassa tietojenkalastelulta ja muilta verkkopohjaisista hyökkäyksiltä.

ControlFilter-profiili ei kuitenkaan toimi Always-On VPN:n (AOVPN) kanssa alustarajoitusten vuoksi.

Järjestelmänvalvojat ottavat käyttöön minkä tahansa annetuista profiileista.

1. Nollakosketuksen (hiljaisen) ohjausobjektin suodatin – Tämä profiili mahdollistaa käyttäjille hiljaisen perehdyttämisen. Määritysprofiilin lataaminen ControlFilterZeroTouchista

2. Control Filter – Lataa määritysprofiili ControlFilteristä.

Kun profiili on ladattu, ota mukautettu profiili käyttöön. Toimi seuraavasti:

1. Siirry kohtaan Laitteet>iOS/iPadOS-määritysprofiilit>>Create Profiili.

2. Valitse Profiilityyppimallit> ja Mallin nimi>Mukautettu.

   

3. Anna profiilin nimi. Kun sinua kehotetaan tuomaan määritysprofiilitiedosto, valitse edellisessä vaiheessa ladattu tiedosto.

4. Valitse Varaus-osiossa laiteryhmä, jossa haluat käyttää tätä profiilia. Parhaana käytäntönä tätä tulisi soveltaa kaikkiin hallittuihin iOS-laitteisiin. Valitse Seuraava.

   Huomautus

   Laiteryhmän luontia tuetaan sekä Defender for EndpointIn palvelupaketti 1 että palvelupaketti 2.

5. Kun olet valmis, valitse Tarkista + luo -sivulla Create. Uusi profiili näkyy määritysprofiilien luettelossa.

Automaattisen perehdyttämisen määritys (vain valvomattomille laitteille)

Järjestelmänvalvojat voivat automatisoida Defenderin perehdyttämisen käyttäjille kahdella eri tavalla käyttämällä Zero touch(Silent) -perehdytystä tai VPN:n automaattista perehdytystä.

Microsoft Defender for Endpoint (hiljainen) perehdytys

Huomautus

Zero-touchia ei voi määrittää iOS-laitteissa, jotka on rekisteröity ilman käyttäjän affiniteettia (käyttäjättömät laitteet tai jaetut laitteet).

Järjestelmänvalvojat voivat määrittää, Microsoft Defender for Endpoint ottaa käyttöön ja aktivoida taustalla. Tässä työnkulussa järjestelmänvalvoja luo käyttöönottoprofiilin, ja käyttäjälle ilmoitetaan asennuksesta. Defender for Endpoint asennetaan automaattisesti ilman, että käyttäjän tarvitsee avata sovellusta. Määritä Defender for Endpointin hiljainen käyttöönotto rekisteröidyissä iOS-laitteissa noudattamalla seuraavia ohjeita:

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Laitteiden>määritysprofiilit>Create Profiili.

2. Valitse KäyttöympäristöiOS:ksi/iPadOS:ksi, profiilityyppimalleiksi ja mallin nimi VPN-yhteydeksi. Valitse Luo.

3. Kirjoita profiilin nimi ja valitse Seuraava.

4. Valitse Yhteystyypiksi Mukautettu VPN ja kirjoita perus-VPN-osioon seuraavat:

   • Yhteyden nimi = Microsoft Defender for Endpoint
   • VPN-palvelimen osoite = 127.0.0.1
   • Todennusmenetelmä = "Käyttäjänimi ja salasana"
   • Jakotunneli = Poista käytöstä
   • VPN-tunnus = com.microsoft.scmx
   • Kirjoita avain-arvo-pareihin SilentOnboard-näppäin ja määritä sen arvoksi Tosi.
   • Automaattisen VPN:n tyyppi = Tarvittaessa VPN
   • Valitse Lisääpyydettäessä -säännöt ja valitse Haluan tehdä seuraavat = Yhdistä VPN, haluan rajoittaa arvoon = Kaikki toimialueet.

   

   • Jos haluat määrittää, että VPN:ää ei voi poistaa käytöstä käyttäjien laitteessa, järjestelmänvalvojat voivat valita Kylläkohdasta Estä käyttäjiä poistamasta automaattista VPN:ää käytöstä. Oletusarvon mukaan sitä ei ole määritetty, ja käyttäjät voivat poistaa VPN:n käytöstä vain asetuksissa.
   • Jos haluat antaa käyttäjien muuttaa VPN-vaihtokytkintä sovelluksen sisältä, lisää EnableVPNToggleInApp = TRUE avain-arvo-pareihin. Oletusarvon mukaan käyttäjät eivät voi muuttaa valitsinta sovelluksessa.

5. Valitse Seuraava ja määritä profiili kohdennetuille käyttäjille.

6. Tarkista + Create -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Create.

Kun edellä oleva määritys on tehty ja synkronoitu laitteen kanssa, seuraavat toimet suoritetaan kohdennetuissa iOS-laitteissa:

• Microsoft Defender for Endpoint otetaan käyttöön ja otetaan taustalla käyttöön, ja laite näkyy Defender for Endpoint -portaalissa.
• Väliaikainen ilmoitus lähetetään käyttäjän laitteeseen.
• Verkkosuojaus ja muut ominaisuudet aktivoidaan.

Huomautus

Valvotuissa laitteissa järjestelmänvalvojat voivat määrittää nollakosketuksen käyttöönoton uudella ZeroTouch-ohjausobjektin suodatinprofiililla.

Defender for Endpoint VPN Profilea ei asenneta laitteeseen, ja verkkosuojauksen tarjoaa ohjausobjektin suodatinprofiili.

VPN-profiilin automaattinen käyttöönotto (yksinkertaistettu perehdytys)

Huomautus

Tämä vaihe yksinkertaistaa perehdytysprosessia määrittämällä VPN-profiilin. Jos käytössäsi on Nolla kosketus, sinun ei tarvitse suorittaa tätä vaihetta.

Ilman valvontaa käyttävissä laitteissa KÄYTETÄÄN VPN:ää Web Protection -ominaisuuden tarjoamiseen. Tämä ei ole tavallinen VPN, ja se on paikallinen/itsesilmukainen VPN, joka ei vie liikennettä laitteen ulkopuolelle.

Järjestelmänvalvojat voivat määrittää VPN-profiilin automaattisen määrityksen. Tämä määrittää automaattisesti Defender for Endpoint VPN -profiilin ilman, että käyttäjä tarvitsee sitä perehdyttämisen aikana.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Laitteiden>määritysprofiilit>Create Profiili.

2. Valitse KäyttöympäristöiOS/iPadOS-tyypiksi ja Profiilityyppi VPN-tyypiksi. Valitse Create.

3. Kirjoita profiilin nimi ja valitse Seuraava.

4. Valitse Yhteystyypiksi Mukautettu VPN ja kirjoita perus-VPN-osioon seuraavat:

   • Yhteyden nimi = Microsoft Defender for Endpoint

   • VPN-palvelimen osoite = 127.0.0.1

   • Todennusmenetelmä = "Käyttäjänimi ja salasana"

   • Jakotunneli = Poista käytöstä

   • VPN-tunnus = com.microsoft.scmx

   • Anna avain-arvo-pareissa automaattinen ja määritä arvoksi Tosi.

   • Automaattisen VPN:n tyyppi = Tarvittaessa VPN

   • Valitse Lisääpyydettäessä -säännöt ja valitse Haluan tehdä seuraavat = Yhdistä VPN, haluan rajoittaa arvoon = Kaikki toimialueet.

     

   • Jos haluat edellyttää, että VPN:ää ei voi poistaa käytöstä käyttäjien laitteessa, järjestelmänvalvojat voivat valita Kylläestä käyttäjiä automaattisen VPN:n käytöstä poistamisesta. Oletusarvoisesti tätä asetusta ei ole määritetty, ja käyttäjät voivat poistaa VPN:n käytöstä vain Asetuksissa.

   • Jos haluat antaa käyttäjien muuttaa VPN-vaihtokytkintä sovelluksen sisältä, lisää EnableVPNToggleInApp = TRUE avain-arvo-pareihin. Oletusarvon mukaan käyttäjät eivät voi muuttaa valitsinta sovelluksen sisältä.

5. Valitse Seuraava ja määritä profiili kohdennetuille käyttäjille.

6. Tarkista + Create -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Create.

Käyttäjän rekisteröintiasetukset (vain Intune käyttäjäksi rekisteröidyille laitteille)

Tärkeää

Käyttäjän rekisteröinti Microsoft Defender iOS:ssä on julkisessa esikatselussa. Seuraavat tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Microsoft Defender iOS-sovellus voidaan ottaa käyttöön Intune Käyttäjärekisteröityissä laitteissa seuraavasti.

Järjestelmänvalvoja

1. Määritä käyttäjän rekisteröintiprofiili Intune. Intune tukee tilipohjaista Apple User Enrollmentia ja Apple User Enrollmentia Yritysportaali kanssa. Lue lisää kahden menetelmän vertailusta ja valitse yksi.

   • Määritä käyttäjien rekisteröinti Yritysportaali
   • Määritä tiliin perustuvan käyttäjän rekisteröinti

2. Määritä kertakirjautumislaajennus. Todentajasovellus, jossa on kertakirjautumislaajennus, on edellytys käyttäjien rekisteröinnille iOS-laitteessa.

   • Create on laitteen määritysprofiili Intune - iOS/iPadOS Enterprise SSO -laajennuksen määrittäminen MDM:llä | Microsoft Learn.
   • Varmista, että lisäät nämä kaksi avainta yllä olevaan määritykseen:
   • Sovelluspaketin tunnus: Sisällytä Defender-sovelluspaketin tunnus tähän luetteloon com.microsoft.scmx
   • Lisämääritykset: Avain - device_registration ; Type – Merkkijono ; Arvo- {{DEVICEREGISTRATION}}

3. Määritä käyttäjien rekisteröinnin MDM-avain.

   • Siirry Intune kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallitut laitteet
   • Anna käytännölle nimi, valitse Käyttöympäristö > iOS/iPadOS,
   • Valitse kohdesovellukseksi Microsoft Defender for Endpoint.
   • Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää UserEnrolmentEnabled avaimeksi, arvotyypiksi Merkkijono, arvoksi Tosi.

4. Hallinta voi lähettää Defenderin pakollisena VPP-sovelluksena Intune.

Loppukäyttäjä

Defender-sovellus asennetaan käyttäjän laitteeseen. Käyttäjä kirjautuu sisään ja viimeistelee perehdytyksen. Kun laite on onnistuneesti otettu käyttöön, se näkyy Defenderin tietoturvaportaalissa kohdassa Laiteluettelo.

Tuetut ominaisuudet ja rajoitukset

1. Tuetaan kaikkia MDE iOS:n nykyisiä ominaisuuksia, kuten verkkosuojausta, verkon suojausta, vankilamurtojen havaitsemista, käyttöjärjestelmän ja sovellusten haavoittuvuuksia, Defenderin suojausportaalin hälytyksiä ja yhteensopivuuskäytäntöjä.
2. Käyttäjän rekisteröinti ei tue nollakosketuksen (hiljaisen) käyttöönottoa ja VPN:n automaattista käyttöönottoa, koska järjestelmänvalvojat eivät voi lähettää laitteen laajuista VPN-profiilia käyttäjän rekisteröinnillä.
3. Sovellusten haavoittuvuuden hallinnassa vain työprofiilin sovellukset ovat näkyvissä.
4. Lue lisää käyttäjän rekisteröintirajoituksista ja -ominaisuuksista.

Viimeistele perehdytys ja tarkista tila

1. Kun iOS:n Defender for Endpoint on asennettu laitteeseen, näkyviin tulee sovelluksen kuvake.

   

2. Napauta Defender for Endpoint -sovelluksen kuvaketta (MSDefender) ja suorita käyttöönottovaiheet noudattamalla näytön ohjeita. Tiedot sisältävät käyttäjän hyväksynnän iOS-käyttöoikeuksille, joita Defender edellyttää iOS-päätepisteelle.

Huomautus

Ohita tämä vaihe, jos määrität nollakosketuksen (hiljaisen) perehdytystoiminnon. Manuaalisesti käynnistettäessä sovellusta ei tarvita, jos perehdytys ei ole hiljainen.

3. Kun perehdytys onnistuu, laite alkaa näkyä laitteet-luettelossa Microsoft Defender-portaalissa.

   

Seuraavat vaiheet

• Sovelluksen suojauskäytännön määrittäminen sisältämään Defender for Endpoint -riskisignaalit (MAM)
• Defenderin määrittäminen päätepisteelle iOS-ominaisuuksille

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.