Partager via

Déployer Microsoft Defender pour point de terminaison sur iOS avec Microsoft Intune

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article décrit le déploiement de Defender pour point de terminaison sur iOS (à l’aide de l’application Microsoft Defender) avec Microsoft Intune Portail d'entreprise appareils inscrits. Pour plus d’informations sur l’inscription des appareils Microsoft Intune, consultez Inscrire des appareils iOS/iPadOS dans Intune.

Avant de commencer

  • Vérifiez que vous avez accès au centre d’administration Microsoft Intune et au portail Microsoft Defender.

  • Vérifiez que l’inscription iOS est effectuée pour vos utilisateurs. Les utilisateurs doivent disposer d’une licence Defender pour point de terminaison pour pouvoir utiliser l’application Microsoft Defender. Reportez-vous à Attribuer des licences aux utilisateurs pour obtenir des instructions sur l’attribution de licences.

  • Vérifiez que les utilisateurs finaux disposent de l’application Portail d'entreprise, qu’ils se sont connectés et qu’ils ont terminé l’inscription.

Remarque

L’application Microsoft Defender est disponible dans le App Store Apple.

Cette section traite des sujets suivants :

  1. Étapes de déploiement (applicables aux appareils supervisés et non supervisés) : les administrateurs peuvent déployer Defender pour point de terminaison sur iOS via Microsoft Intune Portail d'entreprise. Cette étape n’est pas nécessaire pour les applications VPP (achat en volume).

  2. Déploiement complet (uniquement pour les appareils supervisés) : les administrateurs peuvent choisir de déployer l’un des profils donnés.

    • Filtre de contrôle sans contact (silencieux) : fournit une protection web sans le VPN de bouclage local et active l’intégration sans assistance pour les utilisateurs. L’application est automatiquement installée et activée sans que les utilisateurs n’ont besoin d’ouvrir l’application.
    • Filtre de contrôle : fournit une protection web sans le VPN de bouclage local.

  3. Configuration de l’intégration automatisée (uniquement pour les appareils non supervisés ) : les administrateurs peuvent automatiser l’intégration de Defender pour point de terminaison pour les utilisateurs de deux manières différentes :

    • Intégration sans contact (silencieux) : l’application Microsoft Defender est automatiquement installée et activée sans que les utilisateurs n’ont besoin d’ouvrir l’application.
    • Intégration automatique du VPN : le profil VPN Defender pour point de terminaison est automatiquement configuré sans que l’utilisateur le fasse pendant l’intégration. Cette étape n’est pas recommandée dans les configurations Zero touch.

  4. Configuration de l’inscription des utilisateurs (uniquement pour Intune appareils inscrits par l’utilisateur) : les administrateurs peuvent également déployer et configurer l’application Defender pour point de terminaison sur les appareils inscrits par l’utilisateur Intune.

  5. Intégration et case activée status terminées : cette étape s’applique à tous les types d’inscription pour garantir que l’application est installée sur l’appareil, que l’intégration est terminée et que l’appareil est visible dans le portail Microsoft Defender. Il peut être ignoré pour l’intégration sans contact (silencieux).

Étapes de déploiement (applicables aux appareils supervisés et non supervisés)

Déployez Defender pour point de terminaison sur iOS via Microsoft Intune Portail d'entreprise.

Ajouter une application du Store iOS

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications>iOS/iPadOS>Ajouter une>application du Store iOS, puis sélectionnez Sélectionner.

    Onglet Ajouter des applications dans le centre d’administration Microsoft Intune

  2. Dans la page Ajouter une application, sélectionnez Rechercher dans le App Store et tapez Microsoft Defender dans la barre de recherche. Dans la section des résultats de la recherche, sélectionnez Microsoft Defender, puis sélectionnez Sélectionner.

  3. Sélectionnez iOS 15.0 comme Système d’exploitation minimum. Passez en revue le reste des informations sur l’application, puis sélectionnez Suivant.

  4. Dans la section Affectations , accédez à la section Obligatoire et sélectionnez Ajouter un groupe. Vous pouvez ensuite choisir les groupes d’utilisateurs que vous souhaitez cibler Defender pour point de terminaison sur l’application iOS. Sélectionnez Sélectionner, puis Suivant.

    Remarque

    Le groupe d’utilisateurs sélectionné doit se composer de Microsoft Intune utilisateurs inscrits.

    Onglet Ajouter un groupe dans le centre d’administration Microsoft Intune

  5. Dans la section Vérifier + créer , vérifiez que toutes les informations entrées sont correctes, puis sélectionnez Créer. Dans quelques instants, l’application Defender pour point de terminaison doit être créée avec succès et une notification doit s’afficher dans le coin supérieur droit de la page.

  6. Dans la page d’informations sur l’application qui s’affiche, dans la section Surveiller, sélectionnez Installation de l’appareil status pour vérifier que l’installation de l’appareil s’est terminée correctement.

    Page status d’installation de l’appareil

Déploiement complet pour les appareils supervisés

L’application Microsoft Defender offre des fonctionnalités améliorées sur les appareils iOS/iPadOS supervisés, à l’aide des fonctionnalités de gestion avancées de la plateforme. Il offre également une protection web sans avoir besoin d’une configuration VPN locale sur l’appareil. Cela garantit une expérience utilisateur transparente tout en protégeant contre l’hameçonnage et d’autres menaces basées sur le web.

Les administrateurs peuvent utiliser les étapes suivantes pour configurer des appareils supervisés.

Configurer le mode supervisé via Microsoft Intune

Configurez le mode supervisé pour l’application Microsoft Defender via une stratégie de configuration d’application et un profil de configuration de l’appareil.

Stratégie de configuration d’application

Remarque

Cette stratégie de configuration d’application pour les appareils supervisés s’applique uniquement aux appareils gérés et doit être ciblée sur tous les appareils iOS gérés en tant que meilleure pratique.

  1. Connectez-vous au Centre d’administration Microsoft Intune et accédez à Applications> Stratégies deconfiguration> d’applicationAjouter. Sélectionnez Appareils gérés.

    Image de Microsoft Intune centre d’administration4.

  2. Dans la page Créer une stratégie de configuration d’application , fournissez les informations suivantes :

    • Nom de la stratégie
    • Plateforme : sélectionnez iOS/iPadOS
    • Application ciblée : sélectionnez Microsoft Defender pour point de terminaison dans la liste

    Image de Microsoft Intune centre d’administration5.

  3. Dans l’écran suivant, sélectionnez Utiliser le concepteur de configuration comme format. Spécifiez les propriétés suivantes :

    • Clé de configuration : issupervised
    • Type de valeur : String
    • Valeur de configuration : {{issupervised}}

    Image de Microsoft Intune centre d’administration6.

  4. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  5. Dans la page Affectations , sélectionnez les groupes qui reçoivent ce profil. Pour ce scénario, il est recommandé de cibler Tous les appareils. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Lors du déploiement sur des groupes d’utilisateurs, les utilisateurs doivent se connecter à leurs appareils avant l’application de la stratégie.

    Sélectionnez Suivant.

  6. Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le nouveau profil s’affiche dans la liste des profils de configuration.

Profil de configuration de l’appareil (filtre de contrôle)

Remarque

Pour les appareils qui exécutent iOS/iPadOS (en mode supervisé), un profil personnalisé .mobileconfig est disponible, appelé profil ControlFilter . Ce profil active la protection web sans configurer le VPN de bouclage local sur l’appareil. Cela offre aux utilisateurs finaux une expérience transparente tout en étant protégés contre le hameçonnage et d’autres attaques web.

Toutefois, le profil ControlFilter ne fonctionne pas avec Always-On VPN (AOVPN) en raison de restrictions de plateforme.

Les administrateurs déploient l’un des profils donnés.

  1. Filtre de contrôle sans contact (silencieux) : ce profil permet l’intégration sans assistance pour les utilisateurs. Téléchargez le profil de configuration à partir de ControlFilterZeroTouch.

  2. Filtre de contrôle : téléchargez le profil de configuration à partir de ControlFilter.

Une fois le profil téléchargé, déployez le profil personnalisé. Procédez comme suit :

  1. Accédez à Appareils Profils> deconfiguration>iOS/iPadOS>Créer un profil.

  2. Sélectionnez Modèles de type> de profiletNom du modèle>Personnalisé.

    Image de Microsoft Intune centre d’administration7.

  3. Fournissez un nom du profil. Lorsque vous êtes invité à importer un fichier de profil de configuration, sélectionnez celui téléchargé à l’étape précédente.

  4. Dans la section Affectation , sélectionnez le groupe d’appareils auquel vous souhaitez appliquer ce profil. Il est recommandé de l’appliquer à tous les appareils iOS gérés. Sélectionnez Suivant.

    Remarque

    La création d’un groupe d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

  5. Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le nouveau profil s’affiche dans la liste des profils de configuration.

Configuration de l’intégration automatisée (uniquement pour les appareils non supervisés)

Les administrateurs peuvent automatiser l’intégration à Defender pour point de terminaison pour les utilisateurs de deux manières différentes avec l’intégration sans contact (sans assistance) ou l’intégration automatique du VPN.

Intégration sans contact (sans assistance) à Defender pour point de terminaison

Remarque

L’interaction tactile zéro ne peut pas être configurée sur les appareils iOS inscrits sans affinité utilisateur (appareils sans utilisateur ou appareils partagés).

Les administrateurs peuvent configurer Microsoft Defender pour point de terminaison pour le déploiement et l’activation sans assistance. Dans ce processus, l’administrateur crée un profil de déploiement et l’utilisateur est informé de l’installation. Defender pour point de terminaison est ensuite installé automatiquement sans que l’utilisateur ne soit obligé d’ouvrir l’application. Suivez les étapes décrites dans cet article pour configurer le déploiement sans contact ou silencieux de Defender pour point de terminaison sur les appareils iOS inscrits :

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils> Profils >de configurationCréer un profil.

  2. Choisissez Plateforme comme iOS/iPadOS, Type de profil comme Modèles et Nom du modèle comme VPN. Sélectionnez Créer.

  3. Tapez un nom pour le profil, puis sélectionnez Suivant.

  4. Sélectionnez VPN personnalisé pour Type de connexion et, dans la section VPN de base , entrez ce qui suit :

    • Nom de la connexion : Microsoft Defender pour point de terminaison
    • Adresse du serveur VPN : 127.0.0.1
    • Méthode d’authentification : « Nom d’utilisateur et mot de passe »
    • Tunneling fractionné : Disable
    • Identificateur VPN : com.microsoft.scmx
    • Dans les paires clé-valeur, entrez la clé SilentOnboard et définissez la valeur sur True.
    • Type de VPN automatique : On-demand VPN
    • Sélectionnez Ajouter pour Les règles à la demande, puis sélectionnez Je souhaite effectuer les opérations suivantes : Connexion VPN, puis définissez Je veux limiter à : Tous les domaines.

    Page Configuration du profil VPN

    • Pour imposer que le VPN ne peut pas être désactivé dans l’appareil des utilisateurs, les administrateurs peuvent sélectionner Oui dans Empêcher les utilisateurs de désactiver le VPN automatique. Par défaut, il n’est pas configuré et les utilisateurs peuvent désactiver le VPN uniquement dans Paramètres.
    • Pour permettre aux utilisateurs de modifier le bouton bascule VPN à partir de l’application, ajoutez EnableVPNToggleInApp = TRUE, dans les paires clé-valeur. Par défaut, les utilisateurs ne peuvent pas modifier le bouton bascule à partir de l’application.

  5. Sélectionnez Suivant et affectez le profil aux utilisateurs ciblés.

  6. Dans la section Vérifier + créer , vérifiez que toutes les informations entrées sont correctes, puis sélectionnez Créer.

Une fois cette configuration terminée et synchronisée avec l’appareil, les actions suivantes ont lieu sur les appareils iOS ciblés :

  • Defender pour point de terminaison est déployé et intégré en mode silencieux. L’appareil est visible dans le portail Microsoft Defender après son intégration.
  • Une notification provisoire est envoyée à l’appareil de l’utilisateur.
  • La protection web et d’autres fonctionnalités sont activées.

Dans certains cas, pour des raisons de sécurité telles que les modifications de mot de passe, l’authentification multifacteur, etc., l’intégration sans contact peut nécessiter que l’utilisateur final se connecte manuellement à l’application Microsoft Defender. 

R : Pour les scénarios d’intégration pour la première fois, les utilisateurs finaux reçoivent une notification sans assistance.

Capture d’écran montrant la notification MDE sans assistance

Les utilisateurs finaux doivent effectuer les étapes suivantes :

  1. Ouvrez l’application Microsoft Defender ou appuyez sur le message de notification.

  2. Sélectionnez le compte d’entreprise inscrit dans l’écran du sélecteur de compte.

  3. Connexion.

L’appareil est intégré et commence à créer des rapports sur le portail Microsoft Defender.

B : Pour les appareils déjà intégrés, les utilisateurs finaux voient une notification sans assistance.

Capture d’écran montrant la notification silencieuse de l’application MDE

  1. Ouvrez l’application Microsoft Defender ou appuyez sur la notification.  

  2. Lorsque vous y êtes invité par l’application Microsoft Defender, connectez-vous.

Après cela, l’appareil recommence à signaler au portail Microsoft Defender. 

Remarque

  • La configuration sans contact peut prendre jusqu’à 5 minutes en arrière-plan.
  • Pour les appareils supervisés, les administrateurs peuvent configurer l’intégration Zero Touch avec le profil de filtre de contrôle ZeroTouch. Dans ce cas, le profil VPN Defender pour point de terminaison n’est pas installé sur l’appareil, et la protection web est fournie par le profil de filtre de contrôle.

Intégration automatique du profil VPN (intégration simplifiée)

Remarque

Cette étape simplifie le processus d’intégration en configurant le profil VPN. Si vous utilisez Zero touch, vous n’avez pas besoin d’effectuer cette étape.

Pour les appareils non supervisés, un VPN est utilisé pour fournir la fonctionnalité De protection web. Il ne s’agit pas d’un VPN standard et d’un VPN local/auto-bouclage qui ne prend pas le trafic en dehors de l’appareil.

Les administrateurs peuvent configurer l’autosetup du profil VPN. Cela configure automatiquement le profil VPN Defender pour point de terminaison sans que l’utilisateur le fasse lors de l’intégration.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils> Profils >de configurationCréer un profil.

  2. Choisissez Plateforme comme iOS/iPadOS et Type de profil comme VPN. Sélectionnez Créer.

  3. Tapez un nom pour le profil, puis sélectionnez Suivant.

  4. Sélectionnez VPN personnalisé pour Type de connexion et, dans la section VPN de base , entrez ce qui suit :

    • Nom de la connexion : Microsoft Defender pour point de terminaison
    • Adresse du serveur VPN : 127.0.0.1
    • Méthode d’authentification : « Nom d’utilisateur et mot de passe »
    • Tunneling fractionné : Disable
    • Identificateur VPN : com.microsoft.scmx
    • Dans les paires clé-valeur, entrez la clé AutoOnboard et définissez la valeur sur True.
    • Type de VPN automatique : VPN à la demande
    • Sélectionnez Ajouter pour Les règles à la demande , puis sélectionnez Je souhaite effectuer les opérations suivantes : Connexion VPN, Je souhaite restreindre à : Tous les domaines.

    Onglet Paramètres de configuration du profil VPN.

    • Pour vous assurer que le VPN ne peut pas être désactivé sur l’appareil d’un utilisateur, les administrateurs peuvent sélectionner Oui dans Empêcher les utilisateurs de désactiver le VPN automatique. Par défaut, ce paramètre n’est pas configuré et les utilisateurs peuvent désactiver le VPN uniquement dans Paramètres.
    • Pour permettre aux utilisateurs de modifier le bouton bascule VPN à partir de l’application, ajoutez EnableVPNToggleInApp = TRUE, dans les paires clé-valeur. Par défaut, les utilisateurs ne peuvent pas modifier le bouton bascule à partir de l’application.

  5. Sélectionnez Suivant, puis affectez le profil aux utilisateurs ciblés.

  6. Dans la section Vérifier + créer , vérifiez que toutes les informations entrées sont correctes, puis sélectionnez Créer.

Configuration de l’inscription utilisateur (uniquement pour Intune appareils inscrits par l’utilisateur)

Microsoft Defender application peut être déployée sur des appareils iOS avec Intune appareils inscrits par l’utilisateur en procédant comme suit.

Administrateur

  1. Configurez le profil d’inscription utilisateur dans Intune. Intune prend en charge l’inscription des utilisateurs Apple basée sur un compte et l’inscription des utilisateurs Apple avec Portail d'entreprise. En savoir plus sur la comparaison des deux méthodes et en sélectionner une.

  2. Configurez le plug-in d’authentification unique. L’application Authenticator avec l’extension SSO est un prérequis pour l’inscription des utilisateurs sur un appareil iOS.

    • Créez un profil de configuration d’appareil dans Intune. Consultez Plug-in Microsoft Enterprise SSO pour les appareils Apple.
    • Veillez à ajouter ces deux clés dans le profil de configuration de l’appareil :
      • ID d’offre groupée d’applications : incluez l’ID de bundle d’applications Defender dans cette liste com.microsoft.scmx
      • Autre configuration : Clé : device_registration; Type : String; Valeur: {{DEVICEREGISTRATION}}

  3. Configurez la clé MDM pour l’inscription des utilisateurs.

  4. Dans le centre d’administration Intune, accédez à Accéder aux applications> Stratégies de configuration > del’applicationAjouter des>appareils gérés.

  5. Donnez un nom à la stratégie, puis sélectionnez Plateforme>iOS/iPadOS.

  6. Sélectionnez Microsoft Defender pour point de terminaison comme application cible.

  7. Dans la page Paramètres , sélectionnez Utiliser le concepteur de configuration, puis ajoutez UserEnrollmentEnabled comme clé, avec le type de valeur et Stringla valeur définie sur True.

  8. Les administrateurs peuvent envoyer (push) l’application Microsoft Defender en tant qu’application VPP requise à partir de Intune.

Utilisateur final

L’application Microsoft Defender est installée sur les appareils des utilisateurs. Chaque utilisateur se connecte et termine le processus d’intégration. Une fois l’appareil correctement intégré, il est visible dans le portail Microsoft Defender, sous Inventaire des appareils.

Fonctionnalités et limitations prises en charge

  • Prend en charge toutes les fonctionnalités actuelles de Defender pour point de terminaison sur iOS. Ces fonctionnalités incluent la protection web, la protection réseau, la détection de jailbreak, les vulnérabilités dans le système d’exploitation et les applications et la création d’alertes dans le portail Microsoft Defender.
  • Le déploiement sans contact (silencieux) et l’intégration automatique du VPN ne sont pas pris en charge avec l’inscription des utilisateurs, car les administrateurs ne peuvent pas envoyer (push) un profil VPN à l’échelle de l’appareil avec l’inscription de l’utilisateur.
  • Pour la gestion des vulnérabilités des applications, seules les applications du profil professionnel sont visibles.
  • Jusqu’à 10 minutes peuvent être nécessaires pour que les appareils nouvellement intégrés deviennent conformes s’ils sont ciblés par des stratégies de conformité.
  • Pour plus d’informations, consultez Limitations et fonctionnalités de l’inscription des utilisateurs.

Terminer l’intégration et la case activée status

  1. Une fois que Defender pour point de terminaison sur iOS a été installé sur l’appareil, l’icône de l’application s’affiche.

  2. Appuyez sur l’icône de l’application Defender pour point de terminaison (Defender) et suivez les instructions à l’écran pour effectuer les étapes d’intégration. Les détails incluent l’acceptation par les utilisateurs finaux des autorisations iOS requises par l’application Microsoft Defender.

Remarque

Ignorez cette étape si vous configurez l’intégration sans contact (silencieux). Le lancement manuel de l’application n’est pas nécessaire si l’intégration sans interaction tactile (sans assistance) est configurée.

  1. Une fois l’intégration réussie, l’appareil commence à apparaître dans la liste Appareils dans le portail Microsoft Defender.

    Page Inventaire des appareils.

Étapes suivantes

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.