configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Defender pour point de terminaison sur iOS utilise un VPN afin de fournir la fonctionnalité Web Protection. Il ne s’agit pas d’un VPN standard et d’un VPN local/auto-bouclage qui ne prend pas le trafic en dehors de l’appareil.

Accès conditionnel avec Defender pour point de terminaison sur iOS

Microsoft Defender pour point de terminaison sur iOS avec Microsoft Intune et Azure Active Directory permet d’appliquer des stratégies de conformité des appareils et d’accès conditionnel en fonction du score de risque de l’appareil. Defender pour point de terminaison est une solution de défense contre les menaces mobiles (MTD) que vous pouvez déployer pour tirer parti de cette fonctionnalité via Intune.

Pour plus d’informations sur la configuration de l’accès conditionnel avec Defender pour point de terminaison sur iOS, consultez Defender pour point de terminaison et Intune.

Protection web et VPN

Par défaut, Defender pour point de terminaison sur iOS inclut et active la fonctionnalité de protection web. La protection web permet de sécuriser les appareils contre les menaces web et de protéger les utilisateurs contre les attaques par hameçonnage. Notez que les indicateurs anti-hameçonnage et personnalisés (URL et domaine) sont pris en charge dans le cadre de la protection web. Les indicateurs personnalisés basés sur IP ne sont actuellement pas pris en charge sur iOS. Le filtrage de contenu web n’est actuellement pas pris en charge sur les plateformes mobiles (Android et iOS).

Defender pour point de terminaison sur iOS utilise un VPN pour fournir cette fonctionnalité. Notez qu’il s’agit d’un VPN local et, contrairement au VPN traditionnel, le trafic réseau n’est pas envoyé en dehors de l’appareil.

Bien qu’activé par défaut, il peut arriver que vous deviez désactiver le VPN dans certains cas. Par exemple, vous souhaitez exécuter certaines applications qui ne fonctionnent pas lorsqu’un VPN est configuré. Dans ce cas, vous pouvez choisir de désactiver le VPN à partir de l’application sur l’appareil en suivant les étapes ci-dessous :

  1. Sur votre appareil iOS, ouvrez l’application Paramètres , cliquez ou appuyez sur Général , puis VPN.

  2. Cliquez ou appuyez sur le bouton « i » pour Microsoft Defender pour point de terminaison.

  3. Désactivez la connexion à la demande pour désactiver le VPN.

    Bouton bascule pour l’option connexion à la demande de configuration VPN

Remarque

La protection web n’est pas disponible lorsque le VPN est désactivé. Pour réactiver la protection web, ouvrez l’application Microsoft Defender pour point de terminaison sur l’appareil, puis cliquez ou appuyez sur Démarrer le VPN.

Désactiver la protection web

La protection web est l’une des principales fonctionnalités de Defender pour point de terminaison et nécessite un VPN pour fournir cette fonctionnalité. Le VPN utilisé est un VPN local/de bouclage et non un VPN traditionnel, mais il existe plusieurs raisons pour lesquelles les clients peuvent ne pas préférer le VPN. Pour les clients qui ne souhaitent pas configurer de VPN, il existe une option permettant de désactiver la protection web et de déployer Defender pour point de terminaison sans cette fonctionnalité. Les autres fonctionnalités de Defender pour point de terminaison continueront de fonctionner.

Cette configuration est disponible pour les appareils inscrits (MDM) ainsi que pour les appareils non inscrits (GAM). Pour les clients disposant de mdm, les administrateurs peuvent configurer la protection web via des appareils gérés dans la configuration de l’application. Pour les clients sans inscription, à l’aide de gam, les administrateurs peuvent configurer la protection web via des applications managées dans la configuration de l’application.

Configurer la protection web

  1. Désactiver la protection web (MDM) Procédez comme suit pour désactiver la protection web pour les appareils inscrits.

    • Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> d’applicationAjouter des>appareils gérés.
    • Donnez un nom à la stratégie, Plateforme > iOS/iPadOS.
    • Sélectionnez Microsoft Defender pour point de terminaison comme application cible.
    • Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez WebProtection comme clé et type de valeur en tant que Chaîne.
      • Par défaut, WebProtection= true.
      • Administration devez définir WebProtection = false pour désactiver la protection web.
      • Defender envoie la pulsation au portail Microsoft 365 Defender chaque fois que l’utilisateur ouvre l’application.
      • Cliquez sur Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

  2. Désactiver la protection web (MAM) Procédez comme suit pour désactiver la protection web pour les appareils non inscrits.

    • Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> des applicationsAjouter des>applications gérées.
    • Donner à la stratégie un nom.
    • Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.
    • Dans la page Paramètres, sous Paramètres de configuration généraux, ajoutez WebProtection comme clé et la valeur false.
      • Par défaut, WebProtection= true.
      • Administration devez définir WebProtection = false pour désactiver la protection web.
      • Defender envoie la pulsation au portail Microsoft 365 Defender chaque fois que l’utilisateur ouvre l’application.
      • Cliquez sur Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

Configurer la protection réseau

La protection réseau dans Microsoft Defender pour point de terminaison est désactivée par défaut. Les administrateurs peuvent utiliser les étapes suivantes pour configurer la protection réseau. Cette configuration est disponible à la fois pour les appareils inscrits via la configuration MDM et pour les appareils non inscrits via la configuration GAM.

Remarque

Une seule stratégie doit être créée pour la protection réseau, GPM ou GAM.

Pour les appareils inscrits (GPM) :

Suivez les étapes ci-dessous pour configurer la configuration MDM pour les appareils inscrits pour la protection réseau.

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> des applicationsAjouter des>appareils gérés.

  2. Indiquez le nom et la description de la stratégie. Dans Plateforme, choisissez iOS/iPad.

  3. Dans l’application ciblée, choisissez Microsoft Defender pour point de terminaison.

  4. Dans la page Paramètres, choisissez le format des paramètres de configuration Utiliser le concepteur de configuration.

  5. Ajoutez « DefenderNetworkProtectionEnable » comme clé de configuration, le type de valeur « String » et la valeur « true » pour activer la protection réseau. (La protection réseau est désactivée par défaut.) Capture d’écran montrant l’ajout d’une stratégie de configuration mdm.

  6. Pour les autres configurations liées à la protection du réseau, ajoutez les clés suivantes, choisissez le type de valeur et la valeur correspondants.

    Clé Type de valeur Par défaut (true-enable, false-disable) Description
    DefenderOpenNetworkDetection Entier 0 1 - activer, 0 - désactiver ; Ce paramètre est géré par les Administration informatiques pour activer ou désactiver les alertes d’information de détection de réseau ouvertes sans expérience de détection de l’utilisateur final.
    DefenderEndUserTrustFlowEnable Chaîne false true - enable, false - disable; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver l’expérience de l’utilisateur final dans l’application pour approuver et ne pas se fier aux réseaux non sécurisés et suspects.
    DefenderNetworkProtectionAutoRemediation Chaîne true true - enable, false - disable; Ce paramètre est utilisé par l’administrateur informatique pour activer ou désactiver les alertes de correction qui sont envoyées lorsqu’un utilisateur effectue des activités de correction telles que le passage à des points d’accès WIFI plus sûrs ou la suppression de certificats suspects détectés par Defender.
    DefenderNetworkProtectionPrivacy Chaîne true true - enable, false - disable; Ce paramètre est géré par l’administrateur informatique pour activer ou désactiver la confidentialité dans la protection réseau.

  7. Dans la section Affectations, l’administrateur peut choisir des groupes d’utilisateurs à inclure et à exclure de la stratégie.

  8. Passez en revue et créez la stratégie de configuration.

Pour les appareils non inscrits (MAM) :

Suivez les étapes ci-dessous pour configurer la gestion des applications mobiles pour les appareils non inscrits pour la protection du réseau (l’inscription de l’appareil Authenticator est requise pour la configuration MAM) sur les appareils iOS. L’initialisation de la protection réseau nécessite que l’utilisateur final ouvre l’application une seule fois.

  1. Dans le centre d’administration Microsoft Intune, accédez à Stratégies deconfiguration> des applications>Ajouter des>applications> géréesCréer une stratégie de configuration d’application.

    Ajouter une stratégie de configuration.

  2. Fournissez un nom et une description pour identifier la stratégie de manière unique. Sélectionnez ensuite Sélectionner les applications publiques, puis choisissez Microsoft Defender pour Plateforme iOS/iPadOS. Nommez la configuration.

  3. Dans la page Paramètres, ajoutez DefenderNetworkProtectionEnable comme clé et la valeur pour true activer la protection réseau. (La protection réseau est désactivée par défaut.)

    Ajoutez une valeur de configuration.

  4. Pour les autres configurations liées à la protection réseau, ajoutez les clés suivantes et la valeur correspondante appropriée.

    Clé Par défaut (true - enable, false - disable) Description
    DefenderOpenNetworkDetection 0 1 - activer, 0 - désactiver ; Ce paramètre est géré par les Administration informatiques pour activer ou désactiver les alertes d’information de détection de réseau ouvertes sans expérience de détection de l’utilisateur final.
    DefenderEndUserTrustFlowEnable false true - enable, false - disable; Ce paramètre est utilisé par les administrateurs informatiques pour activer ou désactiver l’expérience de l’utilisateur final dans l’application pour approuver et ne pas se fier aux réseaux non sécurisés et suspects.
    DefenderNetworkProtectionAutoRemediation true true - enable, false - disable; Ce paramètre est utilisé par l’administrateur informatique pour activer ou désactiver les alertes de correction qui sont envoyées lorsqu’un utilisateur effectue des activités de correction telles que le passage à des points d’accès WIFI plus sûrs ou la suppression de certificats suspects détectés par Defender.
    DefenderNetworkProtectionPrivacy true true - enable, false - disable; Ce paramètre est géré par l’administrateur informatique pour activer ou désactiver la confidentialité dans la protection réseau.

  5. Dans la section Affectations , un administrateur peut choisir des groupes d’utilisateurs à inclure et à exclure de la stratégie.

    Attribuer une configuration.

  6. Passez en revue et créez la stratégie de configuration.

Coexistence de plusieurs profils VPN

Apple iOS ne prend pas en charge plusieurs VPN à l’échelle de l’appareil pour être actifs simultanément. Bien que plusieurs profils VPN puissent exister sur l’appareil, un seul VPN peut être actif à la fois.

Configurer Microsoft Defender pour point de terminaison signal de risque dans la stratégie de protection des applications (GAM)

Microsoft Defender pour point de terminaison sur iOS active le scénario de stratégie de protection des applications. Les utilisateurs finaux peuvent installer la dernière version de l’application directement à partir de l’App Store d’Apple. Vérifiez que l’appareil est inscrit auprès d’Authenticator avec le même compte utilisé pour l’intégration dans Defender pour une inscription GAM réussie.

Microsoft Defender pour point de terminaison pouvez être configuré pour envoyer des signaux de menace à utiliser dans les stratégies de protection des applications (APP, également appelée MAM) sur iOS/iPadOS. Avec cette fonctionnalité, vous pouvez également utiliser Microsoft Defender pour point de terminaison pour protéger l’accès aux données d’entreprise à partir d’appareils non inscrits.

Suivez les étapes indiquées dans le lien ci-dessous pour configurer des stratégies de protection des applications avec Microsoft Defender pour point de terminaison Configurer les signaux de risque Defender dans la stratégie de protection des applications (GAM)

Pour plus d’informations sur la gestion des applications mobiles ou la stratégie de protection des applications, consultez Paramètres de stratégie de protection des applications iOS.

Contrôles de confidentialité

Microsoft Defender pour point de terminaison sur iOS active les contrôles de confidentialité pour les administrateurs et les utilisateurs finaux. Cela inclut les contrôles pour les appareils inscrits (MDM) et non inscrits (GAM).

Pour les clients avec mdm, les administrateurs peuvent configurer les contrôles de confidentialité via des appareils gérés dans la configuration de l’application. Pour les clients sans inscription, à l’aide de GAM, les administrateurs peuvent configurer les contrôles de confidentialité via des applications gérées dans la configuration de l’application. Les utilisateurs finaux auront également la possibilité de configurer les paramètres de confidentialité à partir des paramètres de l’application Defender.

Configurer la confidentialité dans le rapport d’alerte d’hameçonnage

Les clients peuvent désormais activer le contrôle de confidentialité pour le rapport d’hameçonnage envoyé par Microsoft Defender pour point de terminaison sur iOS. Cela permet de s’assurer que le nom de domaine n’est pas envoyé dans le cadre de l’alerte d’hameçonnage chaque fois qu’un site web de hameçonnage est détecté et bloqué par Microsoft Defender pour point de terminaison.

  1. Administration contrôles de confidentialité (GPM) Suivez les étapes ci-dessous pour activer la confidentialité et ne pas collecter le nom de domaine dans le cadre du rapport d’alerte de hameçonnage pour les appareils inscrits.

    • Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> d’applicationAjouter des>appareils gérés.

    • Donnez un nom à la stratégie , Plateforme > iOS/iPadOS, puis sélectionnez le type de profil.

    • Sélectionnez Microsoft Defender pour point de terminaison comme application cible.

    • Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DefenderExcludeURLInReport comme clé et type de valeur booléen.

      • Pour activer la confidentialité et ne pas collecter le nom de domaine, entrez la valeur et true affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.

      • Pour les utilisateurs dont la clé est définie sur true, l’alerte d’hameçonnage ne contient pas les informations de nom de domaine chaque fois qu’un site malveillant est détecté et bloqué par Defender pour point de terminaison.

    • Sélectionnez Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

  2. Administration contrôles de confidentialité (GAM) Utilisez les étapes suivantes pour activer la confidentialité et ne pas collecter le nom de domaine dans le cadre du rapport d’alerte de hameçonnage pour les appareils non inscrits.

    • Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> des applicationsAjouter des>applications gérées.

    • Donner à la stratégie un nom.

    • Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.

    • Dans la page Paramètres, sous Paramètres de configuration générale, ajoutez DefenderExcludeURLInReport en tant que clé et valeur en tant que true.

      • Pour activer la confidentialité et ne pas collecter le nom de domaine, entrez la valeur et true affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.

      • Pour les utilisateurs dont la clé est définie sur true, l’alerte d’hameçonnage ne contient pas les informations de nom de domaine chaque fois qu’un site malveillant est détecté et bloqué par Defender pour point de terminaison.

    • Sélectionnez Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

  3. Contrôles de confidentialité des utilisateurs finaux Ces contrôles aident l’utilisateur final à configurer les informations partagées sur son organization.

    • Pour les appareils supervisés, les contrôles utilisateur final ne sont pas visibles. Administration décidera et contrôlera les paramètres.
    • Toutefois, pour les appareils non supervisés, le contrôle s’affiche sous Paramètres > Confidentialité.
      • Les utilisateurs voient un bouton bascule pour Les informations sur les sites non sécurisés.
      • Ce bouton bascule n’est visible que si Administration a défini DefenderExcludeURLInReport = true.
      • S’il est activé par Administration, les utilisateurs peuvent décider s’ils souhaitent envoyer les informations de site non sécurisées à leur organisation ou non.
      • Par défaut, il est défini sur false. Les informations de site non sécurisées ne seront pas envoyées.
      • Si l’utilisateur bascule vers true, les détails du site non sécurisé sont envoyés.

L’activation ou la désactivation des contrôles de confidentialité ci-dessus n’affecte pas la case activée de conformité de l’appareil ou l’accès conditionnel.

Remarque

Sur les appareils supervisés avec le profil de configuration, Microsoft Defender pour point de terminaison pouvez accéder à l’URL entière et, s’il s’agit d’un hameçonnage, elle sera bloquée. Sur un appareil non supervisé, Microsoft Defender pour point de terminaison a accès uniquement au nom de domaine, et si le domaine n’est pas une URL d’hameçonnage, il ne sera pas bloqué.

Autorisations facultatives

Microsoft Defender pour point de terminaison sur iOS active les autorisations facultatives dans le flux d’intégration. Actuellement, les autorisations requises par Defender pour point de terminaison sont obligatoires dans le flux d’intégration. Avec cette fonctionnalité, les administrateurs peuvent déployer Defender pour point de terminaison sur des appareils BYOD sans appliquer l’autorisation VPN obligatoire lors de l’intégration. Les utilisateurs finaux peuvent intégrer l’application sans les autorisations obligatoires et peuvent passer en revue ces autorisations ultérieurement. Cette fonctionnalité est actuellement présente uniquement pour les appareils inscrits (GPM).

Configurer l’autorisation facultative

  1. Administration flux (GPM) Suivez les étapes ci-dessous pour activer l’autorisation VPN facultative pour les appareils inscrits.

    • Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> d’applicationAjouter des>appareils gérés.

    • Donnez un nom à la stratégie, sélectionnez Plateforme > iOS/iPadOS.

    • Sélectionnez Microsoft Defender pour point de terminaison comme application cible.

    • Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DefenderOptionalVPN comme clé et type de valeur booléen.

      • Pour activer l’autorisation VPN facultative, entrez la valeur et true affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur false.
      • Pour les utilisateurs dont la clé est définie sur true, les utilisateurs pourront intégrer l’application sans accorder l’autorisation VPN.

    • Sélectionnez Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

  2. Flux de l’utilisateur final : l’utilisateur installe et ouvre l’application pour démarrer l’intégration.

    • Si un administrateur a configuré des autorisations facultatives, l’utilisateur peut ignorer l’autorisation VPN et terminer l’intégration.
    • Même si l’utilisateur a ignoré le VPN, l’appareil sera en mesure de l’intégrer et une pulsation sera envoyée.
    • Si le VPN est désactivé, la protection web n’est pas active.
    • Plus tard, l’utilisateur peut activer la protection web à partir de l’application. Cette opération installe la configuration VPN sur l’appareil.

Remarque

L’autorisation facultative est différente de Désactiver la protection web. L’autorisation VPN facultative permet uniquement d’ignorer l’autorisation lors de l’intégration, mais elle est disponible pour que l’utilisateur final puisse l’examiner et l’activer ultérieurement. La fonctionnalité Désactiver la protection web permet aux utilisateurs d’intégrer l’application Defender pour point de terminaison sans la protection web. Il ne peut pas être activé ultérieurement.

Détection de jailbreak

Microsoft Defender pour point de terminaison a la capacité de détecter les appareils non gérés et gérés qui sont jailbreakés. Ces vérifications de jailbreak sont effectuées régulièrement. Si un appareil est détecté comme étant jailbreaké,

  1. Une alerte à haut risque est signalée au portail Microsoft 365 Defender. Si la conformité de l’appareil et l’accès conditionnel sont configurés en fonction du score de risque de l’appareil, l’appareil ne peut pas accéder aux données d’entreprise.
  2. Les données utilisateur sur l’application seront effacées. Lorsque l’utilisateur ouvre l’application après avoir jailbreaké le profil VPN est également supprimé et aucune protection web n’est proposée.

Configurer la stratégie de conformité sur les appareils jailbreakés

Pour empêcher l’accès aux données d’entreprise sur les appareils iOS jailbreakés, nous vous recommandons de configurer la stratégie de conformité suivante sur Intune.

Remarque

La détection de jailbreak est une fonctionnalité fournie par Microsoft Defender pour point de terminaison sur iOS. Toutefois, nous vous recommandons de configurer cette stratégie comme couche supplémentaire de défense contre les scénarios de jailbreak.

Suivez les étapes ci-dessous pour créer une stratégie de conformité sur les appareils jailbreakés.

  1. Dans le centre d’administration Microsoft Intune, accédez à Stratégiesde conformité>des appareils>Créer une stratégie. Sélectionnez « iOS/iPadOS » comme plateforme, puis cliquez sur Créer.

    Onglet Créer une stratégie

  2. Spécifiez un nom de la stratégie, par exemple « Stratégie de conformité pour Jailbreak ».

  3. Dans la page des paramètres de conformité, cliquez pour développer la section Intégrité de l’appareil , puis cliquez sur Bloquer pour les appareils jailbreakés .

    Onglet Paramètres de conformité

  4. Dans la section Actions en cas de non-conformité , sélectionnez les actions en fonction de vos besoins, puis sélectionnez Suivant.

    Onglet Actions en cas de non-conformité

  5. Dans la section Affectations , sélectionnez les groupes d’utilisateurs que vous souhaitez inclure pour cette stratégie, puis sélectionnez Suivant.

  6. Dans la section Vérifier+créer , vérifiez que toutes les informations entrées sont correctes, puis sélectionnez Créer.

Configurer des indicateurs personnalisés

Defender pour point de terminaison sur iOS permet également aux administrateurs de configurer des indicateurs personnalisés sur les appareils iOS. Pour plus d’informations sur la configuration des indicateurs personnalisés, consultez Gérer les indicateurs.

Remarque

Defender pour point de terminaison sur iOS prend en charge la création d’indicateurs personnalisés uniquement pour les URL et les domaines. Les indicateurs personnalisés basés sur IP ne sont pas pris en charge sur iOS.

Pour iOS, aucune alerte n’est générée sur Microsoft 365 Defender lorsque l’URL ou le domaine défini dans l’indicateur est accessible.

Configurer l’évaluation des vulnérabilités des applications

La réduction des cyber-risques nécessite une gestion complète des vulnérabilités basée sur les risques pour identifier, évaluer, corriger et suivre toutes vos vulnérabilités les plus importantes sur vos ressources les plus critiques, le tout dans une seule solution. Visitez cette page pour en savoir plus sur Gestion des vulnérabilités Microsoft Defender dans Microsoft Defender pour point de terminaison.

Defender pour point de terminaison sur iOS prend en charge les évaluations des vulnérabilités des applications uniquement pour les appareils inscrits (GPM). Les administrateurs peuvent utiliser les étapes suivantes pour configurer l’évaluation des vulnérabilités des applications.

Sur un appareil supervisé

  1. Vérifiez que l’appareil est configuré en mode Supervisé.

  2. Pour activer la fonctionnalité dans le centre d’administration Microsoft Intune, accédez à Sécurité> des points de terminaison Microsoft Defender pour point de terminaison>Activer la synchronisation des applications pour les appareils iOS/iPadOS.

    ToggleSup de synchronisation d’application

Remarque

Pour obtenir la liste de toutes les applications, y compris les applications non managées, l’administrateur doit activer Envoyer des données d’inventaire d’applications complètes sur les appareils iOS/iPadOS appartenant à l’utilisateur dans le portail Intune Administration pour les appareils supervisés marqués comme « Personnels ». Pour les appareils supervisés marqués comme « Entreprise » dans le portail Intune Administration, l’administrateur n’a pas besoin d’activer Envoyer des données d’inventaire d’applications complètes sur les appareils iOS/iPadOS appartenant à l’utilisateur.

Sur un appareil non supervisé

  1. Pour activer la fonctionnalité dans le centre d’administration Microsoft Intune, accédez à Sécurité> des points de terminaison Microsoft Defender pour point de terminaison>Activer la synchronisation des applications pour les appareils iOS/iPadOS.

    Bouton bascule de synchronisation d’application

  2. Pour obtenir la liste de toutes les applications, y compris les applications non managées, activez le bouton bascule Envoyer des données d’inventaire d’applications complètes sur les appareils iOS/iPadOS appartenant à l’utilisateur.

    Données d’application complètes

  3. Procédez comme suit pour configurer le paramètre de confidentialité.

    • Accédez à Applications Stratégies>de configuration> d’applicationAjouter des>appareils gérés.
    • Donnez un nom à la stratégie, Plateforme>iOS/iPadOS.
    • Sélectionnez Microsoft Defender pour point de terminaison comme application cible.
    • Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DefenderTVMPrivacyMode comme clé et type de valeur comme Chaîne.
      • Pour désactiver la confidentialité et collecter la liste des applications installées, entrez la valeur et False affectez cette stratégie aux utilisateurs.
      • Par défaut, cette valeur est définie sur True pour les appareils non supervisés.
      • Pour les utilisateurs dont la clé est définie sur False, Defender pour point de terminaison envoie la liste des applications installées sur l’appareil à des fins d’évaluation des vulnérabilités.
    • Cliquez sur Suivant et affectez ce profil aux appareils/utilisateurs ciblés.
    • L’activation ou la désactivation des contrôles de confidentialité ci-dessus n’affecte pas la case activée de conformité de l’appareil ou l’accès conditionnel.

  4. Une fois la configuration appliquée, l’utilisateur final doit ouvrir l’application pour Approuver le paramètre de confidentialité.

    • L’écran d’approbation de la confidentialité s’affiche uniquement pour les appareils non supervisés.

    • Seulement si l’utilisateur final approuve la confidentialité, les informations de l’application sont envoyées à la console Defender pour point de terminaison.

      Capture d’écran de l’écran de confidentialité de l’utilisateur final.

Une fois que les versions clientes sont déployées sur des appareils iOS cibles, le traitement démarre. Les vulnérabilités détectées sur ces appareils commencent à s’afficher dans le tableau de bord Gestion des vulnérabilités Defender. Le traitement peut prendre quelques heures (24 heures maximum). En particulier pour la liste complète des applications à afficher dans l’inventaire logiciel.

Remarque

Si vous utilisez une solution d’inspection SSL sur votre appareil iOS, veuillez autoriser la liste de ces noms de domaine securitycenter.windows.com (dans l’environnement commercial) et securitycenter.windows.us (dans l’environnement GCC) pour que la fonctionnalité TVM fonctionne.

Désactiver la déconnexion

Defender pour point de terminaison sur iOS prend en charge le déploiement sans bouton de déconnexion dans l’application pour empêcher les utilisateurs de se déconnecter de l’application Defender. Cela est important pour empêcher les utilisateurs de falsifier l’appareil.

Cette configuration est disponible pour les appareils inscrits (MDM) ainsi que pour les appareils non inscrits (GAM). Les administrateurs peuvent utiliser les étapes suivantes pour configurer la désactivation de la déconnexion

Configurer désactiver la déconnexion

Pour les appareils inscrits (MDM)

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies > de configuration > des applications Ajouter des > appareils gérés.
  2. Donnez un nom à la stratégie, sélectionnez Plateforme > iOS/iPadOS
  3. Sélectionnez Microsoft Defender pour point de terminaison comme application cible.
  4. Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DisableSignOut comme clé et type de valeur comme Chaîne.
  5. Par défaut, DisableSignOut = false.
  6. Administration devez définir DisableSignOut = true pour désactiver le bouton de déconnexion dans l’application. Les utilisateurs ne verront pas le bouton de déconnexion une fois la stratégie poussée.
  7. Cliquez sur Suivant et affectez cette stratégie aux appareils/utilisateurs ciblés.

Pour les appareils non inscrits (GAM)

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies > de configuration > des applications Ajouter des > applications gérées.
  2. Donner à la stratégie un nom.
  3. Sous Sélectionner des applications publiques, choisissez Microsoft Defender pour point de terminaison comme application cible.
  4. Dans la page Paramètres, ajoutez DisableSignOut comme clé et la valeur true, sous paramètres de configuration généraux.
  5. Par défaut, DisableSignOut = false.
  6. Administration devez définir DisableSignOut = true pour désactiver le bouton de déconnexion dans l’application. Les utilisateurs ne verront pas le bouton de déconnexion une fois la stratégie poussée.
  7. Cliquez sur Suivant et affectez cette stratégie aux appareils/utilisateurs ciblés.

Configurer l’option pour envoyer des commentaires dans l’application

Les clients ont désormais la possibilité de configurer la possibilité d’envoyer des données de commentaires à Microsoft dans l’application Defender pour point de terminaison. Les données de commentaires aident Microsoft à améliorer les produits et à résoudre les problèmes.

Remarque

Pour les clients cloud du gouvernement des États-Unis, la collecte de données de commentaires est désactivée par défaut.

Procédez comme suit pour configurer l’option permettant d’envoyer des données de commentaires à Microsoft :

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications Stratégies> deconfiguration> d’applicationAjouter des>appareils gérés.

  2. Donnez un nom à la stratégie, puis sélectionnez Plateforme > iOS/iPadOS comme type de profil.

  3. Sélectionnez Microsoft Defender pour point de terminaison comme application cible.

  4. Dans la page Paramètres, sélectionnez Utiliser le concepteur de configuration et ajoutez DefenderSendFeedback comme clé et type de valeur booléen.

    • Pour supprimer la possibilité pour les utilisateurs finaux de fournir des commentaires, définissez la valeur sur false et affectez cette stratégie aux utilisateurs. Par défaut, cette valeur est définie sur true. Pour les clients du gouvernement des États-Unis, la valeur par défaut est définie sur « false ».

    • Pour les utilisateurs dont la clé est définie sur true, il existe une option permettant d’envoyer des données de commentaires à Microsoft dans l’application (Menu>Aide & Commentaires>Envoyer des commentaires à Microsoft).

  5. Sélectionnez Suivant et affectez ce profil aux appareils/utilisateurs ciblés.

Signaler un site non sécurisé

Les sites web de hameçonnage empruntent l’identité de sites web dignes de confiance dans le but d’obtenir vos informations personnelles ou financières. Visitez la page Fournir des commentaires sur la protection réseau pour signaler un site web qui pourrait être un site d’hameçonnage.