פריסת Microsoft Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

מאמר זה מתאר את פריסת נקודת הקצה של Defender עבור ב- iOS (באמצעות האפליקציה Microsoft Defender) עם Microsoft Intune Company Portal רשומים. לקבלת מידע נוסף על Microsoft Intune שלך, ראה רישום מכשירי iOS ו- iPadOS Microsoft Intune.

לפני שתתחיל

  • ודא שיש לך גישה למרכז Microsoft Intune ולפורטלMicrosoft Defender שלך.

  • ודא שהרישום ל- iOS בוצע עבור המשתמשים שלך. המשתמשים צריכים להקצות רשיון של Defender for Endpoint כדי להשתמש ביישום Microsoft Defender שלך. עיין בנושא הקצאת רשיונות למשתמשים לקבלת הוראות להקצאת רשיונות.

  • ודא כי למשתמשי הקצה Company Portal אפליקציית הקצה מותקנת, נכנסת והשלמת את ההרשמה.

הערה

האפליקציה Microsoft Defender זמינה ב- Apple App Store.

סעיף זה מתאר:

  1. שלבי פריסה (רלוונטיים הן עבור מכשירים פיקוחיים והן עבור מכשירים ללא פיקוח)- מנהלי מערכת יכולים לפרוס את Defender for Endpoint ב- iOS באמצעות Microsoft Intune Company Portal. שלב זה אינו דרוש עבור אפליקציות VPP (רכישה רבת משתמשים).

  2. פריסה מלאה (עבור מכשירים פיקוח בלבד)- מנהלי מערכת יכולים לבחור לפרוס כל אחד מהפרופילים הנתונה.

    • מסנן בקרה של מגע אפס (שקט) - מספק הגנה באינטרנט ללא VPN הלולאה החוזרת המקומי ומאפשר צירוף שקט עבור משתמשים. האפליקציה מותקנת ומפעילה באופן אוטומטי ללא צורך שמשתמשים יפתחו את היישום.
    • מסנן פקד - מספק הגנה באינטרנט ללא VPN מקומי של לולאה חוזרת.

  3. הגדרת צירוף אוטומטי (עבור מכשירים ללא השגחה בלבד) - מנהלי מערכת יכולים להפוך את הצירוף של Defender for Endpoint לאוטומטי עבור משתמשים בשתי דרכים שונות:

    • צירוף מגע אפסי (שקט) - Microsoft Defender היישום מותקן ופעיל באופן אוטומטי ללא צורך שמשתמשים יפתחו את היישום.
    • צירוף אוטומטי של VPN - פרופיל ה- VPN של Defender for Endpoint מוגדר באופן אוטומטי ללא צורך שהמשתמש יתבצע זאת במהלך הצירוף. שלב זה אינו מומלץ בתצורה של אפס מגע.

  4. הגדרת הרשמת משתמשים (רק עבור Intune משתמשים רשומים) - מנהלי מערכת יכולים לפרוס ולקבוע את תצורת היישום Defender for Endpoint גם במכשירים Intune משתמשים רשומים.

  5. מצב צירוף ובדיקת מידע מלא - שלב זה ישים עבור כל סוגי ההרשמה כדי לוודא שהתקנת אפליקציה במכשיר, הצירוף הושלם והמכשיר גלוי בפורטל של Microsoft Defender. ניתן לדלג עליו עבור הצירוף של אפס מגע (שקט).

שלבי פריסה (ישים הן עבור מכשירים פיקוח והן עבור מכשירים ללא פיקוח)

פרוס את Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune Company Portal.

הוספת אפליקציית חנות iOS

  1. במרכז הניהול של Microsoft Intune, עבור אל אפליקציות>iOS/iPadOS>הוסף אפליקציית>חנות iOS ובחר בחר.

    הכרטיסיה 'הוספת יישומים' Microsoft Intune הניהול

  2. בדף הוספת יישום, בחר חפש App Store ולאחר מכן Microsoft Defender בשורת החיפוש. במקטע תוצאות החיפוש, בחר Microsoft Defender ובחרבחר.

  3. בחר ב- iOS 15.0 כמערכת ההפעלה המינימלית. סקור את שאר המידע אודות האפליקציה ובחר הבא.

  4. במקטע הקצאות , עבור אל המקטע נדרש ובחר הוסף קבוצה. לאחר מכן תוכל לבחור את קבוצות המשתמשים שברצונך לייעד ל- Defender עבור נקודת קצה באפליקציית iOS. בחר בחר ולאחר מכן בחר הבא.

    הערה

    קבוצת המשתמשים שנבחרה צריכה להיות מורכבת Microsoft Intune רשומים.

    הכרטיסיה 'הוסף קבוצה' Microsoft Intune הניהול

  5. במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור. בעוד כמה רגעים, היישום Defender for Endpoint אמור להיווצר בהצלחה, והודעה אמורה להופיע בפינה השמאלית העליונה של הדף.

  6. בדף פרטי האפליקציה המוצג, במקטע צג, בחר מצב התקנת התקן כדי לוודא שהתקנת המכשיר הושלמה בהצלחה.

    הדף 'מצב התקנת מכשיר'

פריסה מלאה עבור מכשירים פיקוח

האפליקציה Microsoft Defender מציעה יכולות משופרות במכשירי iOS/iPadOS פיקוח, תוך שימוש בתכונות הניהול המתקדמות של הפלטפורמה. הוא גם מספק הגנה באינטרנט ללא צורך בהגדרת VPN מקומית במכשיר. פעולה זו מבטיחה חוויית משתמש חלקה תוך הגנה מפני דיוג ואיומים מבוססי-אינטרנט אחרים.

מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע תצורה של מכשירים פיקוח.

קביעת תצורה של מצב פיקוח באמצעות Microsoft Intune

קבע תצורה של מצב פיקוח עבור Microsoft Defender אפליקציה באמצעות מדיניות תצורה של אפליקציה ופרופיל תצורת מכשיר.

מדיניות תצורה של אפליקציה

הערה

מדיניות תצורת יישום זו עבור מכשירים פיקוח ישימה רק על מכשירים מנוהלים ויש לייעד אותה עבור כל מכשירי iOS המנוהליים כשיישום עבודה מומלץ.

  1. היכנס למרכז הניהול של Microsoft Intune ועבור אל הוספהשל מדיניות >תצורה של יישום יישומים>. בחר מכשירים מנוהלים.

    תמונה של Microsoft Intune הניהול4.

  2. בדף יצירת מדיניות תצורה של יישום , ספק את המידע הבא:

    • שם מדיניות
    • פלטפורמה: בחירת iOS/iPadOS
    • אפליקציה ייעודית: Microsoft Defender עבור נקודת קצה פריטים מהרשימה

    תמונה של Microsoft Intune הניהול5.

  3. במסך הבא, בחר השתמש במעצב התצורה כתבן. ציין את המאפיינים הבאים:

    • מפתח תצורה: issupervised
    • סוג ערך: מחרוזת
    • ערך תצורה: {{issupervised}}

    תמונה של Microsoft Intune הניהול6.

  4. בחר הבא כדי לפתוח את הדף תגיות טווח . תגיות טווח הן אופציונליות. בחר הבא כדי להמשיך.

  5. בדף מטלות , בחר את הקבוצות המקבלות פרופיל זה. עבור תרחיש זה, מומלץ לייעד את כל המכשירים. לקבלת מידע נוסף אודות הקצאת פרופילים, ראה הקצאת פרופילי משתמשים ומכשירים.

    בעת פריסה בקבוצות משתמשים, המשתמשים חייבים להיכנס למכשירים שלהם לפני החלת המדיניות.

    בחר באפשרות הבא.

  6. בדף סקירה + יצירה , לאחר שתסיים, בחר צור. הפרופיל החדש מוצג ברשימת פרופילי התצורה.

פרופיל תצורת מכשיר (מסנן בקרה)

הערה

עבור מכשירים פועלים iOS/iPadOS (במצב פיקוח), .mobileconfig קיים פרופיל מותאם אישית זמין, שנקרא פרופיל ControlFilter . פרופיל זה מאפשר הגנה באינטרנט מבלי להגדיר את ה- VPN המקומי של לולאה חוזרת במכשיר. פעולה זו מעניקה למשתמשי קצה חוויה חלקה תוך שמירה על הגנה מפני דיוג ומתקפות מבוססות-אינטרנט אחרות.

עם זאת, פרופיל ControlFilter אינו פועל עם Always-On VPN (AOVPN) עקב הגבלות פלטפורמה.

מנהלי מערכת פורסים כל אחד מהפרופילים הנתונה.

  1. מסנן בקרה של מגע אפס (שקט) - פרופיל זה מאפשר צירוף שקט עבור המשתמשים. הורד את פרופיל התצורה מ- ControlFilterZeroTouch.

  2. Control Filter - הורד את פרופיל התצורה מ - ControlFilter.

לאחר הורדת הפרופיל, פרוס את הפרופיל המותאם אישית. בצע שלבים אלה:

  1. נווט אל פרופילי>תצורת iOS/iPadOS>של מכשירים>ליצירת פרופיל.

  2. בחר תבניות סוג פרופיל>ושםתבנית מותאמים>אישית.

    תמונה של Microsoft Intune הניהול7.

  3. ספק שם של הפרופיל. כאשר תתבקש לייבא קובץ פרופיל תצורה, בחר את הקובץ שהורד מהצעד הקודם.

  4. במקטע מטלה , בחר את קבוצת המכשירים שאליה ברצונך להחיל פרופיל זה. כשיטות עבודה מומלצות, יש להחיל זאת על כל מכשירי iOS המנוהלים. בחר באפשרות הבא.

    הערה

    יצירת קבוצת מכשירים נתמכת הן בתוכנית Defender for Endpoint 1 והן בתוכנית 2.

  5. בדף סקירה + יצירה , לאחר שתסיים, בחר צור. הפרופיל החדש מוצג ברשימת פרופילי התצורה.

הגדרת צירוף אוטומטי (רק עבור מכשירים ללא השגחה)

מנהלי מערכת יכולים להפוך את הצירוף ל- Defender for Endpoint לאוטומטי עבור משתמשים בשתי דרכים שונות באמצעות צירוף אפס מגע (שקט) או צירוף אוטומטי של VPN.

קליטת אפס מגע (שקט) ב- Defender עבור נקודת קצה

הערה

לא ניתן לקבוע את התצורה של מגע אפס במכשירי iOS שרשום ללא קירבה של משתמשים (מכשירים ללא משתמשים או מכשירים משותפים).

מנהלי מערכת יכולים להגדיר Microsoft Defender עבור נקודת קצה עבור פריסה והפעלה שקטות. בתהליך זה, מנהל המערכת יוצר פרופיל פריסה, והמשתמש יקבל הודעה על ההתקנה. לאחר מכן, Defender for Endpoint מותקן באופן אוטומטי מבלי לדרוש מהמשתמש לפתוח את האפליקציה. בצע את השלבים המפורטים במאמר זה כדי לקבוע תצורה של פריסה ללא מגע או שקטה של Defender for Endpoint במכשירי iOS רשומים:

  1. במרכז הניהול של Microsoft Intune, עבוראל מכשיריםניהול> מכשירים מדיניות >>תצורה יצירת>>מדיניות חדשה.

  2. בחר Platform as iOS/iPadOS, Profile type as Templates and Template name as VPN. בחר צור.

  3. הקלד שם עבור הפרופיל ובחר הבא.

  4. בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:

    • שם חיבור: Microsoft Defender עבור נקודת קצה
    • כתובת שרת VPN: 127.0.0.1
    • שיטת אימות: "שם משתמש וסיסמה"
    • קיבוץ במנהרה מפוצלת: Disable
    • מזהה VPN: com.microsoft.scmx
    • בזוגות ערכי המפתח, הזן את המפתח והגדר SilentOnboard את הערך ל- True.
    • סוג VPN אוטומטי: On-demand VPN
    • בחר הוסףלכללי לפי דרישה ולאחר מכן בחר ברצוני לבצע את הפעולות הבאות : חבר VPN ולאחר מכן הגדר את ברצוני להגביל ל : כל התחומים.

    הדף 'קביעת תצורה של פרופיל VPN'

    • כדי לוודא שלא ניתן להפוך את ה- VPN ללא זמין במכשיר המשתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, תצורתה לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק ב'הגדרות'.
    • כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, EnableVPNToggleInApp = TRUEהוסף את , בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך האפליקציה.

  5. בחר הבא והקצה את הפרופיל למשתמשים ייעודיים.

  6. במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.

לאחר שתצורה זו תסונכרן עם המכשיר ותסתנכרן איתו, הפעולות הבאות מתבצעות במכשירי iOS הייעדיים:

  • Defender for Endpoint נפרס ורשום באופן שקט. המכשיר גלוי בפורטל Microsoft Defender לאחר שהוא מחובר.
  • הודעת הקצאה נשלחת למכשיר של המשתמש.
  • הגנה על האינטרנט ותכונות אחרות מופעלות.

במקרים מסוימים, מסיבות אבטחה כגון שינויי סיסמה, אימות רב גורמי וכן הלאה, קליטת אפס מגע עשויה לדרוש ממשתמש קצה להיכנס באופן ידני לאפליקציה Microsoft Defender. 

ת: בפעם הראשונה תרחישי צירוף, משתמשי קצה מקבלים הודעה שקטה.

צילום מסך המציג MDE שקטה

משתמשי קצה צריכים לבצע את השלבים הבאים:

  1. פתח את Microsoft Defender האפליקציה או הקש על הודעת ההודעה.

  2. בחר את חשבון הארגון הרשום ממסך בורר חשבון.

  3. הירשם.

המכשיר מחובר ומתחיל לדווח לפורטל Microsoft Defender שלך.

ב: עבור מכשירים שכבר מחוברים, משתמשי קצה רואים הודעה שקטה.

צילום מסך המציג את MDE האפליקציה השקטה

  1. פתח את Microsoft Defender האפליקציה, או הקש על ההודעה.  

  2. כאשר תתבקש על-ידי Microsoft Defender, היכנס.

לאחר מכן, המכשיר מתחיל לדווח לפורטל Microsoft Defender שוב. 

הערה

  • הגדרת מגע אפס עשויה להימשך עד 5 דקות ברקע.
  • עבור מכשירים פיקוח, מנהלי מערכת יכולים להגדיר צירוף מגע אפס באמצעות פרופיל מסנן בקרת ZeroTouch. במקרה זה, פרופיל ה- VPN של Defender for Endpoint אינו מותקן במכשיר, וההגנה על האינטרנט מסופקת על-ידי פרופיל מסנן הפקדים.

צירוף אוטומטי של פרופיל VPN (צירוף פשוט)

הערה

שלב זה מפשט את תהליך הצירוף על-ידי הגדרת פרופיל ה- VPN. אם אתה משתמש באפס מגע, אינך צריך לבצע שלב זה.

עבור מכשירים ללא השגחה, VPN משמש כדי לספק את התכונה 'הגנת אינטרנט'. זהו אינו VPN רגיל והוא VPN מקומי/לולאה עצמית שאינו לוקח תעבורה מחוץ למכשיר.

מנהלי מערכת יכולים לקבוע תצורה של תצורה של תצורה של פרופיל VPN. פעולה זו מגדירה באופן אוטומטי את פרופיל ה- VPN של Defender for Endpoint מבלי שהמשתמש יסיים לעשות זאת בעת הצירוף.

  1. במרכז הניהול של Microsoft Intune, עבור אל פרופילי תצורה>של מכשירים>צור פרופיל.

  2. בחר Platform as iOS/iPadOS and Profile type as VPN. בחר צור.

  3. הקלד שם עבור הפרופיל ובחר הבא.

  4. בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:

    • שם חיבור: Microsoft Defender עבור נקודת קצה
    • כתובת שרת VPN: 127.0.0.1
    • שיטת אימות: "שם משתמש וסיסמה"
    • קיבוץ במנהרה מפוצלת: Disable
    • מזהה VPN: com.microsoft.scmx
    • בזוגות ערכי המפתח, הזן את המפתח והגדר AutoOnboard את הערך ל- True.
    • סוג VPN אוטומטי: VPN לפי דרישה
    • בחר הוסףלכללי לפי דרישה ובחר ברצוני לבצע את הפעולות הבאות: יצירת VPN, ברצוני להגביל ל: כל התחומים.

    הכרטיסיה הגדרות תצורה של פרופיל VPN.

    • כדי להבטיח שלא ניתן להפוך את ה- VPN ללא זמין במכשיר של משתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, הגדרה זו לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק ב'הגדרות'.
    • כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, EnableVPNToggleInApp = TRUEהוסף את , בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך האפליקציה.

  5. בחר הבא והקצה את הפרופיל למשתמשים ייעודיים.

  6. במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.

הגדרת הרשמת משתמשים (רק עבור Intune משתמשים רשומים)

Microsoft Defender ניתן לפרוס את האפליקציה במכשירי iOS עם Intune משתמשים רשומים באמצעות השלבים הבאים.

ניהול

  1. הגדר פרופיל הרשמת משתמשים ב- Intune. Intune תומכת ב- Apple User Enrollment ו- Apple User Enrollment עם Company Portal. קרא עוד אודות ההשוואה של שתי השיטות ובחר אחת.

  2. הגדר תוסף SSO. אפליקציית Authenticator עם הרחבת SSO היא דרישה מוקדמת להרשמה של משתמשים במכשיר iOS.

    • צור פרופיל תצורת מכשיר ב- Intune. ראה תוסף SSO של Microsoft Enterprise עבור מכשירי Apple.
    • הקפד להוסיף שני מקשים אלה בפרופיל תצורת המכשיר:
      • מזהה חבילת אפליקציות: כלול את מזהה חבילת האפליקציות של Defender ברשימה זו com.microsoft.scmx
      • תצורה אחרת: מפתח: device_registration; סוג: String; ערך: {{DEVICEREGISTRATION}}

  3. הגדר את מפתח MDM להרשמה למשתמש.

    1. במרכז הניהול של Intune, עבור אל מדיניות התצורה של האפליקציה > 'עבורליישומים' הוסף>מכשירים>מנוהלים.

    2. תן למדיניות שם ולאחר מכן בחר פלטפורמה>iOS/iPadOS.

    3. בחר Microsoft Defender עבור נקודת קצה כיישום היעד.

    4. בדף הגדרות, בחר השתמש במעצב התצורה והוסף UserEnrollmentEnabled כמפתח, כאשר סוג הערך הוא String, והערך מוגדר ל True- .

  4. מנהלי מערכת יכולים לדחוף את Microsoft Defender של האפליקציה בתור אפליקציית VPP נדרשת Intune.

משתמש קצה

האפליקציה Microsoft Defender מותקנת במכשירים של המשתמשים. כל משתמש נכנס ומשלים את תהליך הצירוף. לאחר שהמכשיר הותקן בהצלחה, הוא גלוי בפורטל של Microsoft Defender, תחת מלאי מכשירים.

תכונות ומגבלות נתמכות

  • תומך בכל היכולות הנוכחיות של Defender for Endpoint ב- iOS. יכולות אלה כוללות הגנה על האינטרנט, הגנת רשת, זיהוי Jailbreak, פגיעויות ב- OS ובאפליקציות והתראות בפורטל Microsoft Defender.
  • פריסה עם מגע אפס (שקט) וצירוף אוטומטי של VPN אינם נתמכים עם הרשמת משתמשים מאחר שמנהלים אינם יכולים לדחוף פרופיל VPN רחב של מכשיר עם הרשמת משתמשים.
  • לניהול פגיעויות של אפליקציות, רק אפליקציות בפרופיל העבודה גלויות.
  • ייתכן שידרשו עד 10 דקות עד שהמכשירים החדשים שקלוט יהיו תואמים אם הם ייעודיים לפי מדיניות תאימות.
  • לקבלת מידע נוסף, ראה מגבלות ויכולות הרשמה של משתמשים.

השלם את הצירוף ובדוק את המצב

  1. לאחר התקנת Defender for Endpoint ב- iOS במכשיר, תראה את סמל האפליקציה.

  2. הקש על סמל האפליקציה Defender for Endpoint (Defender) ובצע את ההוראות שעל המסך כדי להשלים את שלבי הצירוף. הפרטים כוללים קבלה של משתמשי קצה של הרשאות iOS הנדרשות על-ידי Microsoft Defender היישום.

    הערה

    דלג על שלב זה אם תגדיר צירוף של אפס מגע (שקט). אין צורך להפעיל את היישום באופן ידני אם הוגדר צירוף של אפס מגע (שקט).

  3. לאחר צירוף מוצלח, המכשיר מתחיל להופיע ברשימה מכשירים בפורטל Microsoft Defender.

    דף מלאי המכשירים.

השלבים הבאים

  • Last updated on