קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

Defender for Endpoint ב- iOS ישתמש ב- VPN כדי לספק את התכונה 'הגנת אינטרנט'. זהו אינו VPN רגיל והוא VPN מקומי/לולאה עצמית שאינו לוקח תעבורה מחוץ למכשיר.

גישה מותנית עם Defender for Endpoint ב- iOS

Microsoft Defender עבור נקודת קצה ב- iOS יחד עם Microsoft Intune ומזהה Microsoft Entra מאפשר לאכוף מדיניות תאימות להתקן וגישה מותנית בהתבסס על ניקוד סיכון המכשיר. Defender for Endpoint הוא פתרון Mobile Threat Defense (MTD) שניתן לפרוס כדי להשתמש ביכולת זו באמצעות Intune.

לקבלת מידע נוסף אודות אופן הגדרת גישה מותנית באמצעות Defender for Endpoint ב- iOS, ראה Defender עבור נקודת קצה ו- Intune.

הגנה על אינטרנט ו- VPN

כברירת מחדל, Defender for Endpoint ב- iOS כולל ומאפשר הגנה באינטרנט, מה שמסייע לאבטח מכשירים מפני איומי אינטרנט ולהגן על משתמשים מפני תקיפות דיוג. מחוונים למניעת דיוג ומחוונים מותאמים אישית (כתובת URL ותחום) נתמכים כחלק מהגנת אינטרנט. מחוונים מותאמים אישית המבוססים על IP אינם נתמכים בשלב זה ב- iOS. סינון תוכן אינטרנט אינו נתמך בשלב זה בפלטפורמות למכשירים ניידים (Android ו- iOS).

Defender for Endpoint ב- iOS משתמש ב- VPN כדי לספק יכולת זו. ה- VPN מקומי, ובניגוד ל- VPN מסורתי, תעבורת הרשת אינה נשלחת מחוץ למכשיר.

כאשר אפשרות זו מופעלת כברירת מחדל, עשויים להיות מקרים מסוימים שדורשים ממך להפוך את ה- VPN ללא זמין. לדוגמה, ברצונך להפעיל יישומים מסוימים שאינם פועלים כאשר התצורה של VPN מוגדרת. במקרים כאלה, באפשרותך לבחור להפוך את ה- VPN ללא זמין מהאפליקציות במכשיר על-ידי ביצוע השלבים הבאים:

1. במכשיר iOS, פתח את האפליקציה 'הגדרות' , בחר כללי ולאחר מכן VPN.

2. בחר בלחצן i עבור Microsoft Defender עבור נקודת קצה.

3. בטל את האפשרות התחבר לפי דרישה כדי להפוך את ה- VPN ללא זמין.

   

הערה

הגנה באינטרנט אינה זמינה כאשר VPN אינו זמין. כדי להפעיל מחדש הגנה באינטרנט, פתח Microsoft Defender עבור נקודת קצה האפליקציה במכשיר ולאחר מכן בחר התחל VPN.

הפוך הגנה באינטרנט ללא זמינה

הגנה באינטרנט היא אחת מהתכונות העיקריות של Defender for Endpoint והיא דורשת VPN כדי לספק יכולת זו. ה- VPN שבו נעשה שימוש הוא VPN מקומי/לולאה חוזרת ולא VPN מסורתי, עם זאת יש כמה סיבות לכך שלקוחות עשויים לא להעדיף את ה- VPN. אם אינך מעוניין להגדיר VPN, באפשרותך להפוך את ההגנה באינטרנט ללא זמינה ולפרוס את Defender עבור נקודת קצה ללא תכונה זו. תכונות אחרות של Defender for Endpoint עדיין פועלות.

תצורה זו זמינה עבור מכשירי (MDM) רשומים ומכשירים לא מבוקרים (MAM). עבור לקוחות בעלי MDM, מנהלי מערכת יכולים לקבוע תצורה של הגנה באינטרנט באמצעות מכשירים מנוהלים בתצורה של היישום. עבור לקוחות ללא הרשמה, באמצעות MAM, מנהלי מערכת יכולים לקבוע את תצורת ההגנה באינטרנט באמצעות יישומים מנוהלים בתצורת היישום.

קביעת תצורה של הגנה באינטרנט

הפיכת הגנה באינטרנט ללא זמינה באמצעות MDM

השתמש בשלבים הבאים כדי להפוך הגנה באינטרנט ללא זמינה עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם, Platform > iOS/iPadOS.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה ולאחר מכן הוסף WebProtection כמפתח והגדר את סוג הערך שלו ל- String.

   • כברירת מחדל, WebProtection = true. מנהל מערכת חייב להגדיר WebProtection = false לבטל את ההגנה באינטרנט.
   • Defender for Endpoint שולח את פעימות הלב לפורטל Microsoft Defender כאשר משתמש פותח את היישום.
   • בחר הבא ולאחר מכן הקצה פרופיל זה למכשירים/משתמשים ייעודיים.

הפיכת הגנה באינטרנט ללא זמינה באמצעות MAM

השתמש בשלבים הבאים כדי להפוך הגנה באינטרנט ללא זמינה עבור מכשירים לא מבוקרים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , תחת הגדרות תצורה כלליות, הוסף WebProtection כמפתח והגדר את הערך שלו ל- false.

   • כברירת מחדל, WebProtection = true. מנהל מערכת יכול להגדיר WebProtection = false לבטל את ההגנה באינטרנט.
   • Defender for Endpoint שולח את פעימות הלב לפורטל Microsoft Defender כאשר משתמש פותח את היישום.
   • בחר הבא ולאחר מכן הקצה פרופיל זה למכשירים/משתמשים ייעודיים.

הערה

המפתח WebProtection אינו ישים עבור מסנן הבקרה ברשימת המכשירים הפיקוחים. אם ברצונך להפוך הגנה באינטרנט ללא זמינה עבור מכשירים פיקוח, באפשרותך להסיר את הפרופיל של מסנן הפקדים.

קביעת תצורה של הגנת רשת

הגנה על Microsoft Defender עבור נקודת קצה מופעלת כברירת מחדל. מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת ההגנה על הרשת. תצורה זו זמינה הן עבור מכשירים רשומים באמצעות תצורת MDM והן עבור מכשירים לא מבוקרים באמצעות תצורת MAM.

הערה

יש ליצור מדיניות אחת בלבד עבור הגנת רשת, באמצעות MDM או MAM. אתחול הגנת רשת דורש ממשתמש הקצה לפתוח את היישום פעם אחת.

קביעת תצורה של הגנת רשת באמצעות MDM

כדי להגדיר הגנת רשת באמצעות תצורת MDM עבור התקנים רשומים, בצע את הפעולות הבאות:

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>מכשירים>מנוהלים.

2. ספק שם ותיאור עבור המדיניות. תחת פלטפורמה, בחר iOS/iPad.

3. באפליקציה הייעדית, בחר Microsoft Defender עבור נקודת קצה.

4. בדף הגדרות , בחר תבנית הגדרות תצורה השתמש במעצב התצורה.

5. הוסף DefenderNetworkProtectionEnable כמפתח התצורה. הגדר את סוג הערך שלו כ String- , והגדר את הערך שלו כדי להפוך false את הגנת הרשת ללא זמינה. (הגנת רשת מופעלת כברירת מחדל.)

   

6. עבור תצורות אחרות הקשורות להגנה על הרשת, הוסף את המפתחות הבאים, בחר את סוג הערך והערך המתאימים.

   מפתח	סוג ערך	ברירת מחדל (true-enable, false-disable)	תיאור
   DefenderOpenNetworkDetection	מספר שלם	2	1 - ביקורת; 0 - הפוך ללא זמין; 2 - הפוך לזמין (ברירת מחדל). הגדרה זו מנוהלת על-ידי צוות IT מרכז הניהול, להפוך ללא זמין או להפוך זיהוי רשת פתוח לזמין, בהתאמה. במצב ביקורת, אירועים נשלחים רק לפורטל Microsoft Defender ללא חוויית משתמש קצה. עבור חוויית משתמש קצה, הגדר אותה ל- Enable.
   DefenderEndUserTrustFlowEnable	מחרוזת	ערך False	true - enable, false - disable; הגדרה זו משמשת את מנהלי ה- IT כדי להפוך את חוויית משתמש הקצה בתוך האפליקציה לזמינה או ללא זמינה כדי לתת אמון ברשתות הלא מאובטחות והחשודות ולא לתת אמון בה.
   DefenderNetworkProtectionAutoRemediation	מחרוזת	נכון	true - enable; false - השבתה. הגדרה זו משמשת את מנהל ה- IT כדי להפוך את התראות התיקון שנשלחות לזמינות או ללא זמינות כאשר משתמש מבצע פעילויות תיקון, כגון מעבר לנקודות גישה Wi-Fi יותר. הגדרה זו חלה רק על התראות ולא על אירועי ציר זמן של מכשיר. לכן, הדבר אינו ישים לפתיחת Wi-Fi שלך.
   DefenderNetworkProtectionPrivacy	מחרוזת	נכון	true - enable; false - השבתה. הגדרה זו מנוהלת על-ידי מנהל IT כדי להפוך פרטיות לזמינה או ללא זמינה בהגנת רשת. אם פרטיות אינה זמינה, מוצגת הסכמה של המשתמש לשתף את Wi-Fi זדוניות. אם פרטיות זמינה, לא מוצגת הסכמה של המשתמש ולא נאספים נתוני אפליקציה.

7. במקטע מטלות , מנהל מערכת יכול לבחור קבוצות של משתמשים שייכללו במדיניות ולא ייכללו בה.

8. סקור וצור את מדיניות התצורה.

קביעת תצורה של הגנת רשת באמצעות MAM

השתמש בהליך הבא כדי להגדיר תצורת MAM עבור התקנים לא מבוקרים להגנה על רשת (נדרש רישום מכשיר Authenticator עבור תצורת MAM) במכשירי iOS.

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת> יישום יישומיםהוסף>> אפליקציותמנוהלות>צור מדיניות תצורה חדשה של יישום.

   

2. ספק שם ותיאור כדי לזהות באופן ייחודי את המדיניות. לאחר מכן בחר באפשרות בחר אפליקציות ציבוריות ובחר Microsoft Defender עבור Platform iOS/iPadOS.

   

3. בדף הגדרות , הוסף את DefenderNetworkProtectionEnable כמפתח ואת הערך כדי להפוך את false הגנת הרשת ללא זמינה. (הגנת רשת מופעלת כברירת מחדל.)

   

4. עבור תצורות אחרות הקשורות להגנה על הרשת, הוסף את המפתחות הבאים ואת הערך המתאים.

   מפתח	ברירת מחדל (true - enable, false - disable)	תיאור
   DefenderOpenNetworkDetection	2	1 - ביקורת; 0 - הפוך ללא זמין; 2 - הפוך לזמין (ברירת מחדל). הגדרה זו מנוהלת על-ידי מנהל IT כדי לאפשר, לבצע ביקורת או לבטל זיהוי רשת פתוח. במצב ביקורת, אירועים נשלחים רק לפורטל ATP ללא חוויה מצד המשתמש. עבור חוויית המשתמש, הגדר את התצורה למצב "הפוך לזמין".
   DefenderEndUserTrustFlowEnable	ערך False	true - enable; false - השבתה. הגדרה זו משמשת את מנהלי ה- IT כדי להפוך את חוויית משתמש הקצה בתוך האפליקציה לזמינה או ללא זמינה כדי לתת אמון ברשתות הלא מאובטחות והחשודות ולא לתת אמון בה.
   DefenderNetworkProtectionAutoRemediation	נכון	true - enable; false - השבתה. הגדרה זו משמשת את מנהל ה- IT כדי להפוך את התראות התיקון שנשלחות לזמינות או ללא זמינות כאשר משתמש מבצע פעילויות תיקון, כגון מעבר לנקודות גישה Wi-Fi יותר. הגדרה זו חלה רק על התראות ולא על אירועי ציר הזמן של המכשיר. לכן, הדבר אינו ישים לפתיחת Wi-Fi שלך.
   DefenderNetworkProtectionPrivacy	נכון	true - enable; false - השבתה. הגדרה זו מנוהלת על-ידי מנהל IT כדי להפוך פרטיות לזמינה או ללא זמינה בהגנת רשת. אם פרטיות אינה זמינה, מוצגת הסכמה של המשתמש לשתף את ה- WiFi הזדון. אם פרטיות זמינה, לא מוצגת הסכמה של המשתמש ולא נאספים נתוני אפליקציה.

5. במקטע מטלות , מנהל מערכת יכול לבחור קבוצות של משתמשים שייכללו במדיניות ולא ייכללו בה.

   

6. סקור וצור את מדיניות התצורה.

חשוב

החל מ- 19 במאי 2025, התראות בפורטל Microsoft Defender לא נוצרות עוד כאשר משתמשים מתחברים לרשת אלחוטית פתוחה. במקום זאת, פעילות זו יוצרת כעת אירועים וניתן להציגם בציר הזמן של המכשיר. עם שינוי זה, אנליסטים של מרכז פעולות האבטחה (SOC) יכולים כעת להציג חיבור/ניתוק כדי לפתוח רשתות אלחוטיות כאירועים. אם מפתח תיקון אוטומטי זמין, התראות קיימות נפתרות באופן אוטומטי לאחר שהשינויים ייכנסו לתוקף.

להלן נקודות עיקריות לגבי שינוי זה:

• כדי ששינויים אלה ייכנסו לתוקף, משתמשי הקצה חייבים לעדכן לגירסה העדכנית ביותר של Defender for Endpoint ב- iOS הזמינה במאי 2025. אחרת, החוויה הקודמת של יצירת התראות עדיין קיימת. אם מנהל המערכת הפך את מפתח התיקון האוטומטי לזמין, התראות קיימות ייפתרו באופן אוטומטי לאחר שהשינויים ייכנסו לתוקף.
  
• כאשר משתמש קצה מתחבר לרשת אלחוטית פתוחה או מתנתק אליה כמה פעמים במהלך אותה תקופה של 24 שעות, נוצר רק אירוע אחד עבור החיבור וההתנתקות באותה תקופה של 24 שעות ונשלח לציר הזמן של המכשיר.
  
• אפשר למשתמשים לתת אמון ברשתות: לאחר העדכון, אירועי החיבור וההתנתקות כדי לפתוח רשתות אלחוטיות, כולל רשתות מהימנות של משתמשים, נשלחים לציר הזמן של המכשיר כאירועים.
  
• שינוי זה אינו משפיע על לקוחות GCC. החוויה הקודמת של קבלת התראות בעת התחברות לרשתות אלחוטיות פתוחות עדיין חלה עליהם.

דו-קיום של פרופילי VPN מרובים

Apple iOS אינו תומך במספר VPN של מכשירים כדי להיות פעילים בו-זמנית. בעוד שפרופילי VPN מרובים יכולים להתקיים במכשיר, רק VPN אחד יכול להיות פעיל בכל פעם.

קביעת Microsoft Defender עבור נקודת קצה של אותות סיכון במדיניות ההגנה על אפליקציות (MAM)

Microsoft Defender עבור נקודת קצה ב- iOS מאפשרת את תרחיש מדיניות ההגנה על היישום. משתמשי קצה יכולים להתקין את הגירסה העדכנית ביותר של האפליקציה ישירות מ- Apple App Store. ודא שהמכשיר רשום ל- Authenticator באמצעות אותו חשבון המשמש לצירוף ב- Defender לצורך רישום מוצלח של MAM.

Microsoft Defender עבור נקודת קצה להגדיר אותות איומים שישמשו במדיניות הגנת אפליקציות (APP, המכונה גם MAM) ב- iOS/iPadOS. עם יכולת זו, באפשרותך להשתמש ב- Microsoft Defender עבור נקודת קצה כדי להגן על גישה לנתונים ארגוניים גם ממכשירים לא מבוקרים.

בצע את השלבים בקישור הבא כדי להגדיר מדיניות הגנה על אפליקציות באמצעות Microsoft Defender עבור נקודת קצה קביעת תצורה של אותות סיכונים של Defender במדיניות הגנה על אפליקציות (MAM)

לקבלת מידע נוסף על מדיניות MAM או הגנה על אפליקציות, ראה הגדרות מדיניות הגנה של אפליקציית iOS.

בקרות פרטיות

Microsoft Defender עבור נקודת קצה ב- iOS מאפשר בקרות פרטיות הן עבור מנהלי מערכת והן עבור משתמשי קצה. הדבר כולל את הפקדים עבור מכשירים רשומים (MDM) והתקנים לא מבוקרים (MAM).

אם אתה משתמש ב- MDM, מנהלי המערכת שלך יכולים לקבוע את התצורה של בקרות פרטיות באמצעות מכשירים מנוהלים בתצורת היישום. אם אתה משתמש ב- MAM ללא הרשמה, מנהלי המערכת שלך יכולים לקבוע את התצורה של בקרות פרטיות באמצעות אפליקציות מנוהלות בתצורת היישום. משתמשי קצה יכולים גם לקבוע את התצורה של הגדרות Microsoft Defender הגדרות האפליקציה.

קביעת תצורה של פרטיות בדוח התראת דיוג

כעת לקוחות יכולים להפוך בקרת פרטיות לזמינה עבור דוח דיוג שנשלח על-ידי Microsoft Defender עבור נקודת קצה ב- iOS כך לשם התחום לא להיכלל כחלק מהתראת דיוג בכל פעם שאתר אינטרנט של דיוג מזוהה ונחסם על-ידי Microsoft Defender עבור נקודת קצה.

קביעת תצורה של בקרות פרטיות ב- MDM

השתמש בשלבים הבאים כדי לאפשר פרטיות ולא לאסוף את שם התחום כחלק מדוח התראת דיוג עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם, Platform > iOS/iPadOS, בחר את סוג הפרופיל.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderExcludeURLInReport כמפתח והגדר את סוג הערך שלו לבוליאני.

   • כדי להפוך פרטיות לזמינה ולא לאסוף את שם התחום, הזן את הערך בתור והקצה true מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי ערכת מפתח כ true- , התראת דיוג אינה מכילה את פרטי שם התחום בכל פעם שאתר זדוני מזוהה ונחסם על-ידי Defender for Endpoint.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של בקרות פרטיות ב- MAM

השתמש בשלבים הבאים כדי לאפשר פרטיות ולא לאסוף את שם התחום כחלק מדוח התראת דיוג עבור מכשירים לא מבוקרים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , תחת הגדרות תצורה כלליות, הוסף כמפתח DefenderExcludeURLInReport והגדר את הערך שלו כ- true.

   • כדי להפוך פרטיות לזמינה ולא לאסוף את שם התחום, הזן את הערך בתור והקצה true מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי ערכת מפתח כ true- , התראת דיוג אינה מכילה את פרטי שם התחום בכל פעם שאתר זדוני מזוהה ונחסם על-ידי Defender for Endpoint.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של בקרות פרטיות של משתמשי קצה Microsoft Defender האפליקציה

פקדים אלה עוזרים למשתמש הקצה לקבוע את התצורה של המידע המשותף לארגון שלו.

עבור מכשירים פיקוח, פקדי משתמש הקצה אינם גלויים. מנהל המערכת שלך מחליט ו קובע את ההגדרות. עם זאת, עבור מכשירים ללא השגחה, הפקד מוצג תחת 'פרטיות הגדרות > '.

המשתמשים רואים לחצן דו-מצבי עבור פרטי אתר לא בטוחים. לחצן דו-מצבי זה גלוי רק אם מנהל המערכת הגדיר DefenderExcludeURLInReport = true.

אם מנהל מערכת הפך אפשרות זו לזמינה, המשתמשים יכולים לציין אם לשלוח פרטי אתר לא בטוחים לארגון שלהם. כברירת מחדל, היא מוגדרת ל false- , כלומר מידע לא בטוח על האתר אינו נשלח. אם המשתמש מחליף את מצבו ל true- , פרטי אתר לא בטוחים נשלחים.

הפעלה או ביטול של פקדי פרטיות אינה משפיעה על בדיקת התאימות של המכשיר או על הגישה המותנה.

הערה

במכשירים פיקוח עם פרופיל התצורה, Microsoft Defender עבור נקודת קצה יכול לגשת אל כתובת ה- URL כולה ואם נמצא שהיא דיוג, היא חסומה. במכשיר ללא השגחה, Microsoft Defender עבור נקודת קצה לגשת רק לשם התחום, ואם התחום אינו כתובת URL של דיוג, הוא לא ייחסם.

הרשאות אופציונליות

Microsoft Defender עבור נקודת קצה ב- iOS מאפשר הרשאות אופציונליות בזרימת הצירוף. נכון לעכשיו, ההרשאות הנדרשות על-ידי Defender for Endpoint הן הכרחיות בזרימת הצירוף. באמצעות תכונה זו, מנהלי מערכת יכולים לפרוס את Defender for Endpoint במכשירי BYOD מבלי לאכוף את הרשאת ה- VPN הכרחית במהלך הצירוף. משתמשי קצה יכולים לקלוט את היישום ללא ההרשאות ההכרחיות ולעיין בהרשאות אלה מאוחר יותר. תכונה זו קיימת כעת רק עבור מכשירים רשומים (MDM).

קביעת תצורה של הרשאות אופציונליות באמצעות MDM

מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי להפוך הרשאת VPN אופציונלית לזמינה עבור מכשירים רשומים.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן שם למדיניות, בחר פלטפורמה > iOS/iPadOS.

3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderOptionalVPN כמפתח והגדר את סוג הערך שלו כ- Boolean.

   • כדי להפוך הרשאת VPN אופציונלית לזמינה, הזן ערך true בתור והקצה מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- false.
   • עבור משתמשים בעלי מפתח מוגדר כ true- , המשתמשים יכולים לקלוט את היישום מבלי להעניק את הרשאת ה- VPN.

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

קביעת תצורה של הרשאות אופציונליות כמשתמש קצה

משתמשי קצה מתקיים ופתח את Microsoft Defender כדי להתחיל בצירוף.

• אם מנהל מערכת הגדיר הרשאות אופציונליות, המשתמש יכול לדלג על הרשאת VPN ולהשלים את הצירוף.
• גם אם המשתמש דילג על VPN, המכשיר יכול להצטרף ונשלחת פעימה.
• אם VPN אינו זמין, הגנת האינטרנט אינה פעילה.
• מאוחר יותר, המשתמש יכול להפוך הגנה לאינטרנט לזמינה מתוך האפליקציה, אשר מתקינים את תצורת ה- VPN במכשיר.

הערה

הרשאה אופציונלית שונה מהפיכת הגנה באינטרנט ללא זמינה. הרשאת VPN אופציונלית רק מסייעת לדלג על ההרשאה במהלך הצירוף, אך היא זמינה למשתמש הקצה לסקירה מאוחרת יותר ולאפשר אותה. למרות שהאפשרות הפוך הגנה באינטרנט ללא זמינה מאפשרת למשתמשים לקלוט את אפליקציית נקודות הקצה של Defender עבור ללא הגנת האינטרנט. לא ניתן להפוך אותו לזמין מאוחר יותר.

זיהוי פריצה לכלא

Microsoft Defender עבור נקודת קצה יש את היכולת של זיהוי מכשירים מנוהלים ולא מנוהלים שנפרצו. ההבדקות האלה של Jailbreak מתבצעות מעת לעת. אם מכשיר מזוהה כ- jailbroken, מתרחשים אירועים אלה:

• התראה בסיכון גבוה מדווחת לפורטל Microsoft Defender שלך. אם תאימות המכשיר וגישה מותנית מוגדרות בהתבסס על ניקוד סיכון המכשיר, הגישה למכשיר לנתוני החברה נחסמת.
• נתוני המשתמש ביישום נוקו. כאשר משתמש פותח את היישום לאחר jailbreaking, פרופיל ה- VPN (רק Defender for Endpoint loopback VPN Profile) נמחק גם הוא, ולא מוצעת הגנה באינטרנט. פרופילי VPN שנמסרו על-ידי Intune אינם מוסרים.

קביעת תצורה של מדיניות תאימות מול מכשירים שנפרצו

כדי להגן על נתוני החברה מפני גישה במכשירי iOS שנפרצו, מומלץ להגדיר את מדיניות התאימות הבאה ב- Intune.

הערה

זיהוי Jailbreak היא יכולת שסופקה על-ידי Microsoft Defender עבור נקודת קצה ב- iOS. עם זאת, מומלץ להגדיר מדיניות זו כשכבה נוספת של הגנה נגד תרחישי jailbreak.

בצע את השלבים הבאים כדי ליצור מדיניות תאימות מול מכשירים שנפרצו.

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניותתאימות >מכשירים צור>מדיניות. בחר "iOS/iPadOS" כפלטפורמה ובחר צור.

   

2. ציין שם של המדיניות, כגון מדיניות תאימות עבור Jailbreak.

3. בדף הגדרות התאימות, בחר כדי להרחיב את המקטע תקינות המכשיר ובחר Block בשדה מכשירים שנפרצו .

   

4. במקטע פעולות עבור אי-תואם , בחר את הפעולות בהתאם לדרישות שלך ולאחר מכן בחר הבא.

   

5. במקטע מטלות , בחר את קבוצות המשתמשים שברצונך לכלול עבור מדיניות זו ולאחר מכן בחר הבא.

6. במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.

קביעת תצורה של מחוונים מותאמים אישית

Defender for Endpoint ב- iOS מאפשר למנהלי מערכת לקבוע תצורה של מחוונים מותאמים אישית גם במכשירי iOS. לקבלת מידע נוסף אודות אופן קביעת התצורה של מחוונים מותאמים אישית, ראה מבט כולל על מחוונים.

הערה

Defender for Endpoint ב- iOS תומך ביצירת מחוונים מותאמים אישית רק עבור כתובות URL ותחום. מחוונים מותאמים אישית מבוססי IP אינם נתמכים ב- iOS.

IP 245.245.0.1 הוא IP פנימי של Defender ואין לכלול אותו במחוונים מותאמים אישית על-ידי לקוחות כדי להימנע מבעיות פונקציונליות. עבור iOS, לא נוצרות התראות בפורטל Microsoft Defender בעת גישה אל כתובת ה- URL או התחום המוגדרים במחוון.

ציר הזמן של פורטל MDE אינו מציג את כתובת ה- URL עבור בלוקים מותאמים אישית של מחוונים של כתובת URL עבור התקנים ללא השגחה, במקום זאת הוא מסמן מוסתר עבור פרטיות.

קביעת תצורה של הערכת פגיעות של אפליקציות

הפחתת סיכון סייבר דורשת ניהול פגיעויות מקיף מבוסס סיכונים כדי לזהות, להעריך, לתקנו ולעקוב אחר כל הפגיעויות הגדולות ביותר שלך בכל הנכסים הקריטיים ביותר, הכל בפתרון יחיד. בקר בדף זה לקבלת מידע נוסף על ניהול פגיעויות של Microsoft Defender ב- Microsoft Defender עבור נקודת קצה.

Defender for Endpoint ב- iOS תומך בהערכות פגיעויות של מערכת ההפעלה והאפליקציות. הערכת פגיעות של גירסאות iOS זמינה הן עבור מכשירים רשומים (MDM) והן עבור מכשירים לא מבוקרים (MAM). הערכת פגיעות של אפליקציות מיועדת רק למכשירים רשומים (MDM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את התצורה של הערכת הפגיעות של אפליקציות.

במכשיר פיקוח

1. ודא שהמכשיר מוגדר במצב פיקוח.

2. כדי להפוך את התכונה לזמינה> במרכז הניהול של Microsoft Intune, > עבור אל אבטחת נקודת קצה Microsoft Defender עבור נקודת קצה האפשר סינכרון יישומים עבור מכשירי iOS/iPadOS.

   

הערה

כדי לקבל את רשימת כל האפליקציות, כולל אפליקציות לא מנוהלות, מנהל המערכת צריך להפעיל את ההגדרה שלח נתוני מלאי יישומים מלאים במכשירי iOS/iPadOS בבעלותך באופן אישי בפורטל Intune מרכז הניהול עבור המכשירים הפיקוח המסומנים כ"אישי". עבור המכשירים המנוהלים המסומנים כ"חברה" בפורטל Intune מרכז הניהול, מנהל המערכת אינו צריך לאפשר שליחת נתוני מלאי יישומים מלאים במכשירי iOS/iPadOS שבבעלותם באופן אישי.

במכשיר ללא השגחה

1. כדי להפוך את התכונה לזמינה> במרכז הניהול של Microsoft Intune, > עבור אל אבטחת נקודת קצה Microsoft Defender עבור נקודת קצה האפשר סינכרון יישומים עבור מכשירי iOS/iPadOS.

   

2. כדי לקבל את הרשימה של כל האפליקציות, כולל אפליקציות לא מנוהלות, הפעל את הלחצן הדו-מצבי שלח נתוני מלאי אפליקציות מלאים במכשירי iOS/iPadOS שבבעלותך באופן אישי.

   

3. השתמש בשלבים הבאים כדי לקבוע את תצורת הגדרת הפרטיות.

   1. עבור אל מדיניות תצורת יישום>יישומים הוסף>מכשירים>מנוהלים.

   2. תן למדיניות שם, Platform>iOS/iPadOS.

   3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

   4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderTVMPrivacyMode אותו כמפתח. הגדר את סוג הערך שלו כ- String.

      • כדי להפוך את הפרטיות ללא זמינה ולאסוף את רשימת האפליקציות המותקנות, Falseציין את הערך כ- ולאחר מכן הקצה מדיניות זו למשתמשים.
      • כברירת מחדל, ערך זה מוגדר True כ עבור מכשירים ללא השגחה.
      • עבור משתמשים בעלי מפתח מוגדר כ- False, Defender for Endpoint שולח את רשימת האפליקציות המותקנות במכשיר להערכה על פגיעות.

   5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

   6. הפעלה או ביטול של בקרות פרטיות אינה משפיעה על בדיקת התאימות של המכשיר או על הגישה המותנה.

4. לאחר החלת התצורה, משתמשי קצה חייבים לפתוח את היישום כדי לאשר את הגדרת הפרטיות.

   • מסך אישור הפרטיות מופיע רק עבור מכשירים ללא השגחה.

   • רק אם משתמש קצה מאשר את הפרטיות, פרטי האפליקציה נשלחים למסוף Defender for Endpoint.

     

לאחר שגרסאות הלקוח נפרסות במכשירי iOS המשמשים כיעד, העיבוד מתחיל. פגיעויות שנמצאו במכשירים אלה מתחילות להופיע בלוח המחוונים ניהול פגיעויות של Defender שלך. ייתכן שיחלפו כמה שעות עד להשלמת העיבוד (24 שעות לכל היותר). מסגרת זמן זו נכונה במיוחד עבור הרשימה המלאה של האפליקציות להופיע במלאי התוכנה.

הערה

אם אתה משתמש בפתרון בדיקת SSL בתוך מכשיר iOS, securitycenter.windows.com הוסף את שמות התחומים (בסביבות מסחריות) ואת (בסביבות GCC) securitycenter.windows.us כדי Threat and Vulnerability Management אלה יפעלו.

מסך אישור ההרשאה של פרטיות TVM יופיע רק עבור מכשירים התומכים במגע ללא השגחה ומגע ללא אפס. גם עבור אישור מכשירים המותאמים למגע ללא אפס אינו נדרש רק במכשירים פיקוח issupervised שבהם המפתח מוגדר

הפוך יציאה ללא זמינה

Defender for Endpoint ב- iOS תומך בפריסה ללא לחצן יציאה באפליקציה כדי למנוע ממשתמשים לצאת מהישום Defender. הדבר חשוב כדי למנוע ממשתמשים לטפל שלא כדין במכשיר.

תצורה זו זמינה עבור מכשירי (MDM) רשומים ומכשירים לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת הכניסה ללא זמינה

קביעת תצורה של יציאה ללא זמינה באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן למדיניות שם ולאחר מכן בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DisableSignOut אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • כברירת מחדל, DisableSignOut = false.
   • מנהל מערכת יכול להגדיר DisableSignOut = true להפוך את לחצן 'יציאה' ללא זמין באפליקציה. המשתמשים אינם רואים את לחצן הכניסה לאחר שהמדיניות נדחפת.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת תצורה של יציאה ללא זמינה באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמפתח DisableSignOut והגדר את הערך שלו כ- true.

   • כברירת מחדל, DisableSignOut = false.
   • מנהל מערכת יכול להגדיר DisableSignOut = true להפוך את לחצן 'יציאה' ללא זמין באפליקציה. המשתמשים אינם רואים את לחצן הכניסה לאחר שהמדיניות נדחפת.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

תיוג מכשיר

Defender for Endpoint ב- iOS מאפשר תיוג בצובר של המכשירים הניידים במהלך הצירוף על-ידי מתן אפשרות למנהלי המערכת להגדיר תגיות באמצעות Intune. מרכז הניהול לקבוע את תצורת תגיות המכשיר באמצעות Intune באמצעות מדיניות תצורה ודחף אותן למכשירים של המשתמש. לאחר שהמשתמש מתקין ומפעיל את Defender, אפליקציית הלקוח מעבירה את תגי המכשיר Microsoft Defender הפורטל. תגיות המכשיר מופיעות מול המכשירים ב'מלאי המכשירים'.

תצורה זו זמינה עבור מכשירי (MDM) רשומים ומכשירים לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע את תצורת תגיות המכשיר.

הערה

קביעת התצורה של יותר מ תגי מכשיר אחד מ- Intune אינה נתמכת, כפי שתגית מכשיר אחת בלבד משקפת בעת קביעת התצורה. עם זאת, ניתן להוסיף תגיות מרובות של מכשירים באופן ידני לפורטל XDR.

קביעת תצורה של תגי מכשיר באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן למדיניות שם ולאחר מכן בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderDeviceTag אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • מנהל מערכת יכול להקצות תגית חדשה על-ידי הוספת המפתח DefenderDeviceTag והגדרת ערך עבור תג המכשיר.
   • מנהל מערכת יכול לערוך תגית קיימת על-ידי שינוי הערך של המפתח DefenderDeviceTag.
   • מנהל מערכת יכול למחוק תגית קיימת על-ידי הסרת המפתח DefenderDeviceTag.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת תצורה של תגי מכשיר באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמקש DefenderDeviceTag (תחת הגדרות תצורה כלליות).

   • מנהל מערכת יכול להקצות תגית חדשה על-ידי הוספת המפתח DefenderDeviceTag והגדרת ערך עבור תגית מכשיר.
   • מנהל מערכת יכול לערוך תגית קיימת על-ידי שינוי הערך של המפתח DefenderDeviceTag.
   • מנהל מערכת יכול למחוק תגית קיימת על-ידי הסרת המפתח DefenderDeviceTag.

5. בחר הבא ולאחר מכן הקצה מדיניות זו למכשירים/משתמשים ייעודיים.

הערה

יש לפתוח Microsoft Defender היישום כדי שניתן יהיה לסנכרן תגיות עם Intune ולהעברתו לפורטל Microsoft Defender. ייתכן שיחלפו עד 18 שעות עד שתגיות ישקפו בפורטל.

העלם הודעות עדכון של מערכת ההפעלה

תצורה זמינה ללקוחות להעלים הודעה על עדכון מערכת ההפעלה ב- Defender עבור נקודת קצה ב- iOS. לאחר הגדרת מפתח התצורה במדיניות התצורה של אפליקציית Intune, Defender for Endpoint לא ישלח הודעות במכשיר עבור עדכוני מערכת ההפעלה. עם זאת, בעת פתיחת האפליקציה Microsoft Defender, כרטיס תקינות המכשיר גלוי ומציג את מצב מערכת ההפעלה שלך.

תצורה זו זמינה עבור מכשירי (MDM) רשומים ומכשירים לא מבוקרים (MAM). מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי להעלים את הודעת עדכון מערכת ההפעלה.

קביעת התצורה של הודעות עדכון מערכת ההפעלה באמצעות MDM

עבור מכשירים רשומים (MDM)

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסףמכשירים>>מנוהלים.

2. תן שם למדיניות, בחר פלטפורמה>iOS/iPadOS.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף SuppressOSUpdateNotification אותו כמפתח. הגדר את סוג הערך שלו כ- String.

   • כברירת מחדל, SuppressOSUpdateNotification = false.
   • מנהל מערכת יכול להגדיר להעלים SuppressOSUpdateNotification = true את הודעות עדכון מערכת ההפעלה.
   • בחר הבא והקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת התצורה של הודעות עדכון מערכת ההפעלה באמצעות MAM

עבור מכשירים לא מבוקרים (MAM)

1. במרכז הניהול של Microsoft Intune, נווט אל מדיניות תצורת יישום> יישומיםהוסף>יישומים>מנוהלים.

2. תן למדיניות שם.

3. תחת בחר יישומים ציבוריים, בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , הוסף כמקש SuppressOSUpdateNotification (תחת הגדרות תצורה כלליות).

   • כברירת מחדל, SuppressOSUpdateNotification = false.
   • מנהל מערכת יכול להגדיר להעלים SuppressOSUpdateNotification = true את הודעות עדכון מערכת ההפעלה.

5. בחר הבא והקצה מדיניות זו למכשירים/משתמשים ייעודיים.

קביעת התצורה של האפשרות לשלוח משוב בתוך האפליקציה

ללקוחות יש כעת אפשרות לקבוע את התצורה של היכולת לשלוח נתוני משוב ל- Microsoft בתוך אפליקציית Defender for Endpoint. נתוני משוב עוזרים ל- Microsoft לשפר מוצרים ולפתור בעיות.

הערה

עבור לקוחות ענן של ממשלת ארה"ב, איסוף נתוני המשוב אינו זמין כברירת מחדל.

השתמש בשלבים הבאים כדי לקבוע את התצורה של האפשרות לשלוח נתוני משוב ל- Microsoft:

1. במרכז הניהול של Microsoft Intune, עבור אל מדיניות תצורת יישום> יישומיםהוסף מכשירים>>מנוהלים.

2. תן למדיניות שם ובחר פלטפורמה > iOS/iPadOS כסוג הפרופיל.

3. בחר Microsoft Defender for Endpoint כיישום היעד.

4. בדף הגדרות , בחר השתמש במעצב התצורה והוסף DefenderFeedbackData כמפתח והגדר את סוג הערך שלו כ- Boolean.

   • כדי להסיר את היכולת של משתמשי קצה לספק משוב, הגדר את הערך כ- false והקצה מדיניות זו למשתמשים. כברירת מחדל, ערך זה מוגדר ל- true. עבור לקוחות של ממשלת ארה"ב, ערך ברירת המחדל מוגדר כ- 'false'.
   • עבור משתמשים בעלי ערכת מפתח כtrue- , קיימת אפשרות לשלוח נתוני משוב ל- Microsoft בתוך האפליקציה (>תפריטעזרה> &משוב אל Microsoft).

5. בחר הבא והקצה פרופיל זה למכשירים/משתמשים ייעודיים.

דווח על אתרים לא בטוחים

אתרי דיוג מתחזים לאתרי אינטרנט מהימנים על-ידי השגת המידע האישי או הפיננסי שלך. בקר בדף ספק משוב אודות הגנת רשת כדי לדווח על אתר אינטרנט שעשוי להיות אתר דיוג.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.