קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

Defender for Endpoint ב- iOS ישתמש ב- VPN כדי לספק את התכונה 'הגנת אינטרנט'. זהו אינו VPN רגיל והוא VPN מקומי/לולאה עצמית שאינו לוקח תעבורה מחוץ למכשיר.

גישה מותנית עם Defender for Endpoint ב- iOS

Microsoft Defender עבור נקודת קצה ב- iOS יחד עם Microsoft Intune ומזהה Microsoft Entra מאפשר לאכוף מדיניות תאימות להתקן וגישה מותנית בהתבסס על ניקוד סיכון המכשיר. Defender for Endpoint הוא פתרון Mobile Threat Defense (MTD) שניתן לפרוס כדי להשתמש ביכולת זו באמצעות Intune.

לקבלת מידע נוסף אודות אופן הגדרת גישה מותנית באמצעות Defender for Endpoint ב- iOS, ראה Defender עבור נקודת קצה ו- Intune.

הגנה על אינטרנט ו- VPN

כברירת מחדל, Defender for Endpoint ב- iOS כולל ומאפשר הגנה באינטרנט, מה שמסייע לאבטח מכשירים מפני איומי אינטרנט ולהגן על משתמשים מפני תקיפות דיוג. מחוונים למניעת דיוג ומחוונים מותאמים אישית (כתובת URL ותחום) נתמכים כחלק מהגנת אינטרנט. מחוונים מותאמים אישית המבוססים על IP אינם נתמכים בשלב זה ב- iOS. סינון תוכן אינטרנט אינו נתמך בשלב זה בפלטפורמות למכשירים ניידים (Android ו- iOS).

Defender for Endpoint ב- iOS משתמש ב- VPN כדי לספק יכולת זו. ה- VPN מקומי, ובניגוד ל- VPN מסורתי, תעבורת הרשת אינה נשלחת מחוץ למכשיר.

כאשר אפשרות זו מופעלת כברירת מחדל, עשויים להיות מקרים מסוימים שדורשים ממך להפוך את ה- VPN ללא זמין. לדוגמה, ברצונך להפעיל יישומים מסוימים שאינם פועלים כאשר התצורה של VPN מוגדרת. במקרים כאלה, באפשרותך לבחור להפוך את ה- VPN ללא זמין מהאפליקציות במכשיר על-ידי ביצוע השלבים הבאים:

1. במכשיר iOS, פתח את האפליקציה 'הגדרות' , בחר כללי ולאחר מכן VPN.

2. בחר בלחצן i עבור Microsoft Defender עבור נקודת קצה.

3. בטל את האפשרות התחבר לפי דרישה כדי להפוך את ה- VPN ללא זמין.

   

הערה

הגנה באינטרנט אינה זמינה כאשר VPN אינו זמין. כדי להפעיל מחדש הגנה באינטרנט, פתח את האפליקציה Microsoft Defender for Endpoint במכשיר ולאחר מכן בחר התחל VPN.

הפוך הגנה באינטרנט ללא זמינה

הגנה באינטרנט היא אחת מהתכונות העיקריות של Defender for Endpoint והיא דורשת VPN כדי לספק יכולת זו. ה- VPN שבו נעשה שימוש הוא VPN מקומי/לולאה חוזרת ולא VPN מסורתי, עם זאת יש כמה סיבות לכך שלקוחות עשויים לא להעדיף את ה- VPN. אם אינך מעוניין להגדיר VPN, באפשרותך להפוך את ההגנה באינטרנט ללא זמינה ולפרוס את Defender עבור נקודת קצה ללא תכונה זו. תכונות אחרות של Defender for Endpoint ימשיכו לפעול.

תצורה זו זמינה עבור מכשירי (MDM) רשומים ומכשירים לא מבוקרים (MAM). עבור לקוחות בעלי MDM, מנהלי מערכת יכולים לקבוע תצורה של הגנה באינטרנט באמצעות מכשירים מנוהלים בתצורה של היישום. עבור לקוחות ללא הרשמה, באמצעות MAM, מנהלי מערכת יכולים לקבוע את תצורת ההגנה באינטרנט באמצעות יישומים מנוהלים בתצורת היישום.

קביעת תצורה של הגנה באינטרנט

הפיכת הגנה באינטרנט ללא זמינה באמצעות MDM

השתמש בשלבים הבאים כדי להפוך הגנה באינטרנט ללא זמינה עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם, Platform > iOS/iPadOS.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה ולאחר מכן הוסף WebProtection כמפתח והגדר את סוג הערך שלו ל- String.

   • כברירת מחדל, WebProtection = true. מנהל מערכת חייב להגדיר WebProtection = false לבטל את ההגנה באינטרנט.
   • Defender for Endpoint שולח את פעימות הלב לפורטל Microsoft Defender בכל פעם שמשתמש פותח את האפליקציה.
   • בחר הבא ולאחר מכן הקצה פרופיל זה למכשירים/משתמשים ייעודיים.

הפיכת הגנה באינטרנט ללא זמינה באמצעות MAM

השתמש בשלבים הבאים כדי להפוך הגנה באינטרנט ללא זמינה עבור מכשירים לא מבוקרים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר אפליקציות ציבוריות, בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , תחת הגדרות תצורה כלליות, הוסף WebProtection כמפתח והגדר את הערך שלו ל- false.

   • כברירת מחדל, WebProtection = true. מנהל מערכת יכול להגדיר WebProtection = false לבטל את ההגנה באינטרנט.
   • Defender for Endpoint שולח את פעימות הלב לפורטל Microsoft Defender בכל פעם שמשתמש פותח את האפליקציה.
   • בחר הבא ולאחר מכן הקצה פרופיל זה למכשירים/משתמשים ייעודיים.

הערה

המפתח WebProtection אינו ישים עבור מסנן הבקרה ברשימת המכשירים הפיקוחים. אם ברצונך להפוך הגנה באינטרנט ללא זמינה עבור מכשירים פיקוח, באפשרותך להסיר את הפרופיל של מסנן הפקדים.

קביעת תצורה של הגנת רשת

הגנת רשת ב- Microsoft Defender עבור נקודת קצה אינה זמינה כברירת מחדל. מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת ההגנה על הרשת. תצורה זו זמינה הן עבור מכשירים רשומים באמצעות תצורת MDM והן עבור מכשירים לא מבוקרים באמצעות תצורת MAM.

הערה

יש ליצור מדיניות אחת בלבד עבור הגנת רשת, באמצעות MDM או MAM. אתחול הגנת רשת דורש ממשתמש הקצה לפתוח את היישום פעם אחת.

קביעת תצורה של הגנת רשת באמצעות MDM

כדי להגדיר הגנת רשת באמצעות תצורת MDM עבור התקנים רשומים, בצע את הפעולות הבאות:

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>מכשירים>מנוהלים.

2. ספק שם ותיאור עבור המדיניות. תחת פלטפורמה, בחר iOS/iPad.

3. באפליקציה הייעדית, בחר Microsoft Defender for Endpoint.

4. בדף הגדרות , בחר תבנית הגדרות תצורה השתמש במעצב התצורה.

5. הוסף DefenderNetworkProtectionEnable כמפתח התצורה. הגדר את סוג הערך שלו כ String- , והגדר את הערך שלו כדי להפוך false את הגנת הרשת ללא זמינה. (הגנת רשת מופעלת כברירת מחדל.)

   

6. עבור תצורות אחרות הקשורות להגנה על הרשת, הוסף את המפתחות הבאים, בחר את סוג הערך והערך המתאימים.

   מפתח	סוג ערך	ברירת מחדל (true-enable, false-disable)	תיאור
   DefenderOpenNetworkDetection	מספר שלם	2	1 - ביקורת, 0 - הפוך ללא זמין, 2 - הפוך לזמין (ברירת מחדל). הגדרה זו מנוהלת על-ידי מנהל IT כדי לבצע ביקורת, להפוך ללא זמין או להפוך זיהוי רשת פתוח לזמין, בהתאמה. במצב ביקורת, התראות נשלחות רק לפורטל Microsoft Defender ללא חוויית משתמש קצה. עבור חוויית משתמש קצה, הגדר אותה ל- Enable.
   DefenderEndUserTrustFlowEnable	מחרוזת	ערך False	true - enable, false - disable; הגדרה זו משמשת את מנהלי ה- IT כדי להפוך את חוויית משתמש הקצה בתוך האפליקציה לזמינה או ללא זמינה כדי לתת אמון ברשתות הלא מאובטחות והחשודות ולא לתת אמון בה.
   DefenderNetworkProtectionAutoRemediation	מחרוזת	נכון	true - enable, false - disable; הגדרה זו משמשת את מנהל ה- IT כדי להפוך את התראות התיקון שנשלחות לזמינות או ללא זמינות כאשר משתמש מבצע פעילויות תיקון כגון מעבר לנקודות גישה בטוחות יותר של WIFI.
   DefenderNetworkProtectionPrivacy	מחרוזת	נכון	true - enable, false - disable; הגדרה זו מנוהלת על-ידי מנהל IT כדי להפוך פרטיות לזמינה או ללא זמינה בהגנת רשת. אם פרטיות אינה זמינה, מוצגת הסכמה של המשתמש לשתף את ה- WiFi הזדון. אם פרטיות זמינה, לא מוצגת הסכמה של המשתמש ולא נאספים נתוני אפליקציה.

7. במקטע מטלות , מנהל מערכת יכול לבחור קבוצות של משתמשים שייכללו במדיניות ולא ייכללו בה.

8. סקור וצור את מדיניות התצורה.

קביעת תצורה של הגנת רשת באמצעות MAM

השתמש בהליך הבא כדי להגדיר תצורת MAM עבור התקנים לא מבוקרים להגנה על רשת (נדרש רישום מכשיר Authenticator עבור תצורת MAM) במכשירי iOS.

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת> יישום יישומיםהוסף>> אפליקציותמנוהלות>צור מדיניות תצורה חדשה של יישום.

   

2. ספק שם ותיאור כדי לזהות באופן ייחודי את המדיניות. לאחר מכן בחר באפשרות בחר אפליקציות ציבוריות ובחר Microsoft Defender עבור הפלטפורמה iOS/iPadOS.

   

3. בדף הגדרות , הוסף את DefenderNetworkProtectionEnable כמפתח ואת הערך כדי להפוך את false הגנת הרשת ללא זמינה. (הגנת רשת מופעלת כברירת מחדל.)

   

4. עבור תצורות אחרות הקשורות להגנה על הרשת, הוסף את המפתחות הבאים ואת הערך המתאים.

   מפתח	ברירת מחדל (true - enable, false - disable)	תיאור
   DefenderOpenNetworkDetection	2	1 - ביקורת, 0 - הפוך ללא זמין, 2 - הפוך לזמין (ברירת מחדל). הגדרה זו מנוהלת על-ידי מנהל IT כדי לאפשר, לבצע ביקורת או לבטל זיהוי רשת פתוח. במצב ביקורת, התראות נשלחות רק לפורטל ATP ללא חוויה מצד המשתמש. עבור חוויית המשתמש, הגדר את התצורה למצב "הפוך לזמין".
   DefenderEndUserTrustFlowEnable	ערך False	true - enable, false - disable; הגדרה זו משמשת את מנהלי ה- IT כדי להפוך את חוויית משתמש הקצה בתוך האפליקציה לזמינה או ללא זמינה כדי לתת אמון ברשתות הלא מאובטחות והחשודות ולא לתת אמון בה.
   DefenderNetworkProtectionAutoRemediation	נכון	true - enable, false - disable; הגדרה זו משמשת את מנהל ה- IT כדי להפוך את התראות התיקון שנשלחות לזמינות או ללא זמינות כאשר משתמש מבצע פעילויות תיקון כגון מעבר לנקודות גישה בטוחות יותר של WIFI.
   DefenderNetworkProtectionPrivacy	נכון	true - enable, false - disable; הגדרה זו מנוהלת על-ידי מנהל IT כדי להפוך פרטיות לזמינה או ללא זמינה בהגנת רשת. אם פרטיות אינה זמינה, מוצגת הסכמה של המשתמש לשתף את ה- WiFi הזדון. אם פרטיות זמינה, לא מוצגת הסכמה של המשתמש ולא נאספים נתוני אפליקציה.

5. במקטע מטלות , מנהל מערכת יכול לבחור קבוצות של משתמשים שייכללו במדיניות ולא ייכללו בה.

   

6. סקור וצור את מדיניות התצורה.

דו-קיום של פרופילי VPN מרובים

Apple iOS אינו תומך במספר VPN של מכשירים כדי להיות פעילים בו-זמנית. בעוד שפרופילי VPN מרובים יכולים להתקיים במכשיר, רק VPN אחד יכול להיות פעיל בכל פעם.

קביעת תצורה של Microsoft Defender עבור סימן סיכון של נקודת קצה במדיניות ההגנה על אפליקציות (MAM)

Microsoft Defender עבור נקודת קצה ב- iOS מאפשר את תרחיש מדיניות ההגנה על יישומים. משתמשי קצה יכולים להתקין את הגירסה העדכנית ביותר של האפליקציה ישירות מ- Apple App Store. ודא שהמכשיר רשום ל- Authenticator באמצעות אותו חשבון המשמש לצירוף ב- Defender לצורך רישום מוצלח של MAM.

ניתן לקבוע את התצורה של Microsoft Defender עבור נקודת קצה לשליחת אותות איומים לשימוש במדיניות הגנה על אפליקציות (אפליקציה, המכונה גם MAM) ב- iOS/iPadOS. יכולת זו מאפשרת לך להשתמש ב- Microsoft Defender for Endpoint כדי להגן על הגישה לנתונים ארגוניים גם ממכשירים לא מבוקרים.

בצע את השלבים בקישור הבא כדי להגדיר מדיניות הגנה על אפליקציות באמצעות Microsoft Defender for Endpoint קביעת תצורה של אותות סיכונים של Defender במדיניות הגנה על אפליקציות (MAM)

לקבלת פרטים נוספים על מדיניות MAM או הגנה על אפליקציות, ראה הגדרות מדיניות הגנה של אפליקציית iOS.

בקרות פרטיות

Microsoft Defender עבור נקודת קצה ב- iOS מאפשר בקרות פרטיות הן עבור מנהלי מערכת והן עבור משתמשי קצה. הדבר כולל את הפקדים עבור מכשירים רשומים (MDM) והתקנים לא מבוקרים (MAM).

אם אתה משתמש ב- MDM, מנהלי המערכת שלך יכולים לקבוע את התצורה של בקרות פרטיות באמצעות מכשירים מנוהלים בתצורת היישום. אם אתה משתמש ב- MAM ללא הרשמה, מנהלי המערכת שלך יכולים לקבוע את התצורה של בקרות פרטיות באמצעות אפליקציות מנוהלות בתצורת היישום. משתמשי קצה יכולים גם לקבוע את תצורת הגדרות הפרטיות בהגדרות האפליקציה של Microsoft Defender.

קביעת תצורה של פרטיות בדוח התראת דיוג

כעת לקוחות יכולים להפוך בקרת פרטיות לזמינה עבור דוח דיוג שנשלח על-ידי Microsoft Defender for Endpoint ב- iOS כך לשם התחום לא להיכלל כחלק מהתראת דיוג בכל פעם שאתר אינטרנט של דיוג מזוהה ונחסם על-ידי Microsoft Defender for Endpoint.

קביעת תצורה של בקרות פרטיות ב- MDM

השתמש בשלבים הבאים כדי לאפשר פרטיות ולא לאסוף את שם התחום כחלק מדוח התראת דיוג עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם, Platform > iOS/iPadOS, בחר את סוג הפרופיל.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderExcludeURLInReport כמפתח והגדר את סוג הערך שלו לבוליאני.

   • כדי להפוך פרטיות לזמינה ולא לאסוף את שם התחום, הזן את הערך בתור והקצה true מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי ערכת מפתח כ true- , התראת דיוג אינה מכילה את פרטי שם התחום בכל פעם שאתר זדוני מזוהה ונחסם על-ידי Defender for Endpoint.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של בקרות פרטיות ב- MAM

השתמש בשלבים הבאים כדי לאפשר פרטיות ולא לאסוף את שם התחום כחלק מדוח התראת דיוג עבור מכשירים לא מבוקרים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר אפליקציות ציבוריות, בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , תחת הגדרות תצורה כלליות, הוסף כמפתח DefenderExcludeURLInReport והגדר את הערך שלו כ- true.

   • כדי להפוך פרטיות לזמינה ולא לאסוף את שם התחום, הזן את הערך בתור והקצה true מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי ערכת מפתח כ true- , התראת דיוג אינה מכילה את פרטי שם התחום בכל פעם שאתר זדוני מזוהה ונחסם על-ידי Defender for Endpoint.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של בקרות פרטיות של משתמשי קצה באפליקציית Microsoft Defender

פקדים אלה עוזרים למשתמש הקצה לקבוע את התצורה של המידע המשותף לארגון שלו.

עבור מכשירים פיקוח, פקדי משתמש הקצה אינם גלויים. מנהל המערכת שלך מחליט ו קובע את ההגדרות. עם זאת, עבור מכשירים ללא השגחה, הפקד מוצג תחת 'פרטיות הגדרות > '.

המשתמשים רואים לחצן דו-מצבי עבור פרטי אתר לא בטוחים. לחצן דו-מצבי זה גלוי רק אם מנהל המערכת הגדיר DefenderExcludeURLInReport = true.

אם מנהל מערכת הפך אפשרות זו לזמינה, המשתמשים יכולים לציין אם לשלוח פרטי אתר לא בטוחים לארגון שלהם. כברירת מחדל, היא מוגדרת ל false- , כלומר מידע לא בטוח על האתר אינו נשלח. אם המשתמש מחליף את מצבו ל true- , פרטי אתר לא בטוחים נשלחים.

הפעלה או ביטול של בקרות פרטיות אינה משפיעה על בדיקת התאימות של המכשיר או על הגישה המותנה.

הערה

במכשירים פיקוח עם פרופיל התצורה, Microsoft Defender for Endpoint יכול לגשת אל כתובת ה- URL כולה ואם נמצא כי הוא דיוג, הוא חסום. במכשיר ללא השגחה, ל- Microsoft Defender for Endpoint יש גישה רק לשם התחום, ואם התחום אינו כתובת URL של דיוג, הוא לא ייחסם.

הרשאות אופציונליות

Microsoft Defender עבור נקודת קצה ב- iOS מאפשר הרשאות אופציונליות בזרימת הצירוף. נכון לעכשיו, ההרשאות הנדרשות על-ידי Defender for Endpoint הן הכרחיות בזרימת הצירוף. באמצעות תכונה זו, מנהלי מערכת יכולים לפרוס את Defender for Endpoint במכשירי BYOD מבלי לאכוף את הרשאת ה- VPN הכרחית במהלך הצירוף. משתמשי קצה יכולים לקלוט את היישום ללא ההרשאות ההכרחיות ולעיין בהרשאות אלה מאוחר יותר. תכונה זו קיימת כעת רק עבור מכשירים רשומים (MDM).

קביעת תצורה של הרשאות אופציונליות באמצעות MDM

מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי להפוך הרשאת VPN אופציונלית לזמינה עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן שם למדיניות, בחר פלטפורמה > iOS/iPadOS.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderOptionalVPN כמפתח והגדר את סוג הערך שלו כ- Boolean.

   • כדי להפוך הרשאת VPN אופציונלית לזמינה, הזן ערך true בתור והקצה מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי מפתח מוגדר כ true- , המשתמשים יכולים לקלוט את היישום מבלי להעניק את הרשאת ה- VPN.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של הרשאות אופציונליות כמשתמש קצה

משתמשי קצה מתקיים ופתח את אפליקציית Microsoft Defender כדי להתחיל בצירוף.

• אם מנהל מערכת הגדיר הרשאות אופציונליות, המשתמש יכול לדלג על הרשאת VPN ולהשלים את הצירוף.
• גם אם המשתמש דילג על VPN, המכשיר יכול להצטרף ונשלחת פעימה.
• אם VPN אינו זמין, הגנת האינטרנט אינה פעילה.
• מאוחר יותר, המשתמש יכול להפוך הגנה לאינטרנט לזמינה מתוך האפליקציה, אשר מתקינים את תצורת ה- VPN במכשיר.

הערה

הרשאה אופציונלית שונה מהפיכת הגנה באינטרנט ללא זמינה. הרשאת VPN אופציונלית רק מסייעת לדלג על ההרשאה במהלך הצירוף, אך היא זמינה למשתמש הקצה לסקירה מאוחרת יותר ולאפשר אותה. למרות שהאפשרות הפוך הגנה באינטרנט ללא זמינה מאפשרת למשתמשים לקלוט את אפליקציית נקודות הקצה של Defender עבור ללא הגנת האינטרנט. אין אפשרות להפוך אותו לזמין מאוחר יותר.

זיהוי פריצה לכלא

Microsoft Defender for Endpoint כולל את היכולת לזהות מכשירים לא מנוהלים ומנוהליים שנפרצו. ההבדקות האלה של Jailbreak מתבצעות מעת לעת. אם מכשיר מזוהה כ- jailbroken, מתרחשים אירועים אלה:

• התראה בסיכון גבוה מדווחת לפורטל Microsoft Defender. אם 'תאימות מכשירים' ו'גישה מותנית' מוגדרים בהתבסס על ניקוד סיכון המכשיר, המכשיר חסום בגישה לנתוני החברה.
• נתוני המשתמש ביישום נוקו. כאשר משתמש פותח את היישום לאחר jailbreaking, פרופיל ה- VPN (רק Defender for Endpoint loopback VPN Profile) נמחק גם הוא, ולא מוצעת הגנה באינטרנט. פרופילי VPN שנמסרו על-ידי Intune אינם מוסרים.

קביעת תצורה של מדיניות תאימות מול מכשירים שנפרצו

כדי להגן על נתוני החברה מפני גישה במכשירי iOS שנפרצו, מומלץ להגדיר את מדיניות התאימות הבאה ב- Intune.

הערה

זיהוי Jailbreak הוא יכולת שסופקה על-ידי Microsoft Defender עבור נקודת קצה ב- iOS. עם זאת, מומלץ להגדיר מדיניות זו כשכבה נוספת של הגנה מפני תרחישים jailbreak.

בצע את השלבים הבאים כדי ליצור מדיניות תאימות מול מכשירים שנפרצו.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניותתאימות >מכשירים צור>מדיניות. בחר "iOS/iPadOS" כפלטפורמה ובחר צור.

   

2. ציין שם של המדיניות, כגון מדיניות תאימות עבור Jailbreak.

3. בדף הגדרות התאימות, בחר כדי להרחיב את המקטע תקינות המכשיר ובחר Block בשדה מכשירים שנפרצו .

   

4. במקטע פעולות עבור אי-תואם , בחר את הפעולות בהתאם לדרישות שלך ולאחר מכן בחר הבא.

   

5. במקטע מטלות , בחר את קבוצות המשתמשים שברצונך לכלול עבור מדיניות זו ולאחר מכן בחר הבא.

6. במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.

קביעת תצורה של מחוונים מותאמים אישית

Defender for Endpoint ב- iOS מאפשר למנהלי מערכת לקבוע תצורה של מחוונים מותאמים אישית גם במכשירי iOS. לקבלת מידע נוסף אודות אופן קביעת התצורה של מחוונים מותאמים אישית, ראה ניהול מחוונים.

הערה

Defender for Endpoint ב- iOS תומך ביצירת מחוונים מותאמים אישית רק עבור כתובות URL ותחום. מחוונים מותאמים אישית המבוססים על IP אינם נתמכים ב- iOS.

עבור iOS, לא נוצרות התראות ב- XDR של Microsoft Defender כאשר הגישה אל כתובת ה- URL או התחום המוגדרים מחוון.

קביעת תצורה של הערכת פגיעות של אפליקציות

הפחתת סיכון סייבר דורשת ניהול פגיעויות מקיף מבוסס סיכונים כדי לזהות, להעריך, לתקנו ולעקוב אחר כל הפגיעויות הגדולות ביותר שלך בכל הנכסים הקריטיים ביותר, הכל בפתרון יחיד. בקר בדף זה לקבלת מידע נוסף על ניהול פגיעויות של Microsoft Defender ב- Microsoft Defender for Endpoint.

Defender for Endpoint ב- iOS תומך בהערכות פגיעויות של מערכת ההפעלה והאפליקציות. הערכת פגיעות של גירסאות iOS זמינה הן עבור מכשירים רשומים (MDM) והן עבור מכשירים לא מבוקרים (MAM). הערכת פגיעות של אפליקציות מיועדת רק למכשירים רשומים (MDM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את התצורה של הערכת הפגיעות של אפליקציות.

במכשיר פיקוח

1. ודא שהמכשיר מוגדר במצב פיקוח.

2. כדי להפוך את התכונה לזמינה במרכז הניהול של Microsoft Intune, > עבור אל אבטחת נקודת קצהשל Microsoft Defender עבור> נקודת קצה אפשר סינכרון אפליקציות עבורמכשירי iOS/iPadOS.

   

הערה

כדי לקבל את רשימת כל האפליקציות, כולל אפליקציות לא מנוהלות, מנהל המערכת צריך להפעיל את ההגדרה שלח נתוני מלאי יישומים מלאים במכשירי iOS/iPadOS שבבעלותך באופן אישי בפורטל הניהול של Intune עבור המכשירים הפיקוח המסומנים כ"אישי". עבור המכשירים המנוהלים המסומנים כ"חברה" בפורטל הניהול של Intune, מנהל המערכת אינו צריך לאפשר שליחת נתוני מלאי יישומים מלאים במכשירי iOS/iPadOS שבבעלותם באופן אישי.

במכשיר ללא השגחה

1. כדי להפוך את התכונה לזמינה במרכז הניהול של Microsoft Intune, > עבור אל אבטחת נקודת קצהשל Microsoft Defender עבור> נקודת קצה אפשר סינכרון אפליקציות עבורמכשירי iOS/iPadOS.

   

2. כדי לקבל את הרשימה של כל האפליקציות, כולל אפליקציות לא מנוהלות, הפעל את הלחצן הדו-מצבי שלח נתוני מלאי אפליקציות מלאים במכשירי iOS/iPadOS שבבעלותך באופן אישי.

   

3. השתמש בשלבים הבאים כדי לקבוע את תצורת הגדרת הפרטיות.

   1. עבור אל מדיניות תצורת יישום>יישומים הוסף>מכשירים>מנוהלים.

   2. תן למדיניות שם, Platform>iOS/iPadOS.

   3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

   4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderTVMPrivacyMode אותו כמפתח. הגדר את סוג הערך שלו כ- String.

      • כדי להפוך את הפרטיות ללא זמינה ולאסוף את רשימת האפליקציות המותקנות, Falseציין את הערך כ- ולאחר מכן הקצה מדיניות זו למשתמשים.
      • כברירת מחדל, ערך זה מוגדר True כ עבור מכשירים ללא השגחה.
      • עבור משתמשים בעלי מפתח מוגדר כ- False, Defender for Endpoint שולח את רשימת האפליקציות המותקנות במכשיר להערכה על פגיעות.

   5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

   6. הפעלה או ביטול של בקרות פרטיות אינה משפיעה על בדיקת התאימות של המכשיר או על הגישה המותנה.

4. לאחר החלת התצורה, משתמשי קצה חייבים לפתוח את היישום כדי לאשר את הגדרת הפרטיות.

   • מסך אישור הפרטיות מופיע רק עבור מכשירים ללא השגחה.
   • רק אם משתמש קצה מאשר את הפרטיות, פרטי האפליקציה נשלחים למסוף Defender for Endpoint.

   

לאחר שגרסאות הלקוח נפרסות במכשירי iOS המשמשים כיעד, העיבוד מתחיל. פגיעויות שנמצאו במכשירים אלה מתחילות להופיע בלוח המחוונים של Defender Vulnerability Management. ייתכן שיחלפו כמה שעות עד להשלמת העיבוד (24 שעות לכל היותר). מסגרת זמן זו נכונה במיוחד עבור הרשימה המלאה של האפליקציות להופיע במלאי התוכנה.

הערה

אם אתה משתמש בפתרון בדיקת SSL בתוך מכשיר iOS, securitycenter.windows.com הוסף את שמות התחומים (בסביבות מסחריות) ואת (בסביבות GCC) securitycenter.windows.us כדי שתכונות ניהול האיומים והפגיעות יפעלו.

הפוך יציאה ללא זמינה

Defender for Endpoint ב- iOS תומך בפריסה ללא לחצן יציאה באפליקציה כדי למנוע ממשתמשים לצאת מהישום Defender. הדבר חשוב כדי למנוע ממשתמשים לטפל שלא כדין במכשיר.

תצורה זו זמינה הן עבור מכשירי MDM הרשום והן עבור מכשירי לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת הכניסה ללא זמינה

קביעת תצורה של יציאה ללא זמינה באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן למדיניות שם ולאחר מכן בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DisableSignOut אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • כברירת מחדל, DisableSignOut = false.
   • מנהל מערכת יכול להגדיר DisableSignOut = true להפוך את לחצן הכניסה ללא זמין באפליקציה. המשתמשים אינם רואים את לחצן הכניסה לאחר שהמדיניות נדחפת.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת תצורה של יציאה ללא זמינה באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמפתח DisableSignOut והגדר את הערך שלו כ- true.

   • כברירת מחדל, DisableSignOut = false.
   • מנהל מערכת יכול להגדיר DisableSignOut = true להפוך את לחצן הכניסה ללא זמין באפליקציה. המשתמשים אינם רואים את לחצן הכניסה לאחר שהמדיניות נדחפת.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

תיוג מכשיר

Defender for Endpoint ב- iOS מאפשר תיוג בצובר של המכשירים הניידים במהלך הצירוף על-ידי מתן אפשרות למנהלי המערכת להגדיר תגיות באמצעות Intune. מנהל מערכת יכול לקבוע את תצורת תגיות המכשיר באמצעות Intune באמצעות מדיניות תצורה ודחף אותן למכשירים של המשתמש. לאחר שהמשתמש מתקין ומפעיל את Defender, אפליקציית הלקוח מעבירה את תגיות המכשיר לפורטל Microsoft Defender. תגיות המכשיר מופיעות מול המכשירים ב'מלאי המכשירים'.

תצורה זו זמינה הן עבור מכשירי MDM הרשום והן עבור מכשירי לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת תגיות המכשיר.

קביעת תצורה של תגי מכשיר באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן למדיניות שם ולאחר מכן בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderDeviceTag אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • מנהל מערכת יכול להקצות תגית חדשה על-ידי הוספת המפתח DefenderDeviceTag והגדרת ערך עבור תג המכשיר.
   • מנהל מערכת יכול לערוך תגית קיימת על-ידי שינוי הערך של המפתח DefenderDeviceTag.
   • מנהל מערכת יכול למחוק תגית קיימת על-ידי הסרת המפתח DefenderDeviceTag.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת תצורה של תגי מכשיר באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמקש DefenderDeviceTag (תחת הגדרות תצורה כלליות).

   • מנהל מערכת יכול להקצות תגית חדשה על-ידי הוספת המפתח DefenderDeviceTag והגדרת ערך עבור תגית מכשיר.
   • מנהל מערכת יכול לערוך תגית קיימת על-ידי שינוי הערך של המפתח DefenderDeviceTag.
   • מנהל מערכת יכול למחוק תגית קיימת על-ידי הסרת המפתח DefenderDeviceTag.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

הערה

יש לפתוח את האפליקציה Microsoft Defender כדי שניתן יהיה לסנכרן תגיות עם Intune ולהעברתה לפורטל Microsoft Defender. ייתכן שיחלפו עד 18 שעות עד שתגיות ישקפו בפורטל.

העלם הודעות עדכון של מערכת ההפעלה

תצורה זמינה ללקוחות להעלים הודעה על עדכון מערכת ההפעלה ב- Defender עבור נקודת קצה ב- iOS. לאחר הגדרת מפתח התצורה במדיניות התצורה של אפליקציית Intune, Defender for Endpoint לא ישלח הודעות במכשיר עבור עדכוני מערכת ההפעלה. עם זאת, בעת פתיחת האפליקציה Microsoft Defender, כרטיס תקינות המכשיר גלוי ומציג את מצב מערכת ההפעלה שלך.

תצורה זו זמינה הן עבור מכשירי MDM הרשום והן עבור מכשירי לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי להעלים את הודעת עדכון מערכת ההפעלה.

קביעת התצורה של הודעות עדכון מערכת ההפעלה באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן שם למדיניות, בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף SuppressOSUpdateNotification אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • כברירת מחדל, SuppressOSUpdateNotification = false.
   • מנהל מערכת יכול להגדיר להעלים SuppressOSUpdateNotification = true את הודעות עדכון מערכת ההפעלה.
   • בחר הבא והקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת התצורה של הודעות עדכון מערכת ההפעלה באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמקש SuppressOSUpdateNotification (תחת הגדרות תצורה כלליות).

   • כברירת מחדל, SuppressOSUpdateNotification = false.
   • מנהל מערכת יכול להגדיר להעלים SuppressOSUpdateNotification = true את הודעות עדכון מערכת ההפעלה.

5. בחר הבא והקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת התצורה של האפשרות לשלוח משוב בתוך האפליקציה

ללקוחות יש כעת אפשרות לקבוע את התצורה של היכולת לשלוח נתוני משוב ל- Microsoft בתוך אפליקציית Defender for Endpoint. נתוני משוב עוזרים ל- Microsoft לשפר מוצרים ולפתור בעיות.

הערה

עבור לקוחות ענן של ממשלת ארה"ב, איסוף נתוני המשוב אינו זמין כברירת מחדל.

השתמש בשלבים הבאים כדי לקבוע את התצורה של האפשרות לשלוח נתוני משוב ל- Microsoft:

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם ובחר פלטפורמה > iOS/iPadOS כסוג הפרופיל.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderFeedbackData כמפתח והגדר את סוג הערך שלו כ- Boolean.

   • כדי להסיר את היכולת של משתמשי קצה לספק משוב, הגדר את הערך כ- false והקצה מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- true. עבור לקוחות של ממשלת ארה"ב, ערך ברירת המחדל מוגדר כ- 'false'.
   • עבור משתמשים בעלי ערכת מפתח כtrue- , קיימת אפשרות לשלוח נתוני משוב ל- Microsoft בתוך האפליקציה (>תפריט עזרה &משוב>שלח משוב ל- Microsoft).

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

דווח על אתרים לא בטוחים

אתרי דיוג מתחזים לאתרי אינטרנט מהימנים למטרת השגת המידע האישי או הפיננסי שלך. בקר בדף ספק משוב אודות הגנת רשת כדי לדווח על אתר אינטרנט שעשוי להיות אתר דיוג.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.