פריסת Microsoft Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
נושא זה מתאר את פריסת Defender for Endpoint ב- iOS במכשירים הרשומים של Microsoft Intune Company Portal. לקבלת מידע נוסף אודות הרשמה למכשירי Microsoft Intune, ראה רישום מכשירי iOS/iPadOS ב- Intune.
ודא שיש לך גישה למרכז הניהול של Microsoft Intune.
ודא שהרישום ל- iOS בוצע עבור המשתמשים שלך. המשתמשים צריכים להקצות רשיון של Defender for Endpoint כדי להשתמש ב- Defender for Endpoint ב- iOS. עיין בנושא הקצאת רשיונות למשתמשים לקבלת הוראות להקצאת רשיונות.
ודא כי אפליקציית פורטל החברה מותקנת אצל משתמשי הקצה, נכנסת והרישום הושלמו.
הערה
Microsoft Defender עבור נקודת קצה ב- iOS זמין ב- Apple App Store.
סעיף זה מתאר:
שלבי פריסה (רלוונטיים הן עבור מכשירים פיקוחיים והן עבור מכשירים ללא פיקוח)- מנהלי מערכת יכולים לפרוס את Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune Company Portal. אין צורך בשלב זה עבור אפליקציות VPP (רכישה רבת משתמשים).
פריסה מלאה (עבור מכשירים פיקוח בלבד)- מנהלי מערכת יכולים לבחור לפרוס כל אחד מהפרופילים הנתונה.
- מסנן בקרה של מגע אפס (שקט) - מספק הגנה באינטרנט ללא VPN הלולאה החוזרת המקומי ומאפשר גם צירוף שקט עבור משתמשים. האפליקציה מותקנת ופעילה באופן אוטומטי ללא צורך שהמשתמש יפתח את האפליקציה.
- מסנן פקד - מספק הגנה באינטרנט ללא VPN מקומי של לולאה חוזרת.
הגדרת צירוף אוטומטי (רק עבור מכשירים ללא השגחה) - מנהלי מערכת יכולים להפוך את הצירוף של Defender for Endpoint לאוטומטי עבור משתמשים בשתי דרכים שונות:
- צירוף מגע אפס (שקט) - היישום מותקן ומפעיל באופן אוטומטי ללא צורך במשתמשים כדי לפתוח את היישום.
- צירוף אוטומטי של VPN - פרופיל ה- VPN של Defender for Endpoint מוגדר באופן אוטומטי ללא צורך שהמשתמש יתבצע זאת במהלך הצירוף. שלב זה אינו מומלץ בתצורה של אפס מגע.
הגדרת הרשמת משתמשים (רק עבור מכשירים שנרשמו על-ידי משתמש Intune) - מנהלי מערכת יכולים לפרוס ולקבוע את תצורת היישום Defender for Endpoint גם במכשירים שנרשמו על-ידי משתמש Intune.
השלם את מצב הצירוף ובדוק את המצב - שלב זה חל על כל סוגי ההרשמה כדי לוודא כי האפליקציה מותקנת במכשיר, הצירוף הושלם והמכשיר גלוי בפורטל Microsoft Defender. ניתן לדלג עליו עבור הצירוף של אפס מגע (שקט).
פרוס את Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune Company Portal.
במרכז הניהול של Microsoft Intune, עבור > אל AppsiOS/iPadOS>Add>iOS store app ולחץ על Select.
בדף הוספת יישום , לחץ על חפש ב- App Storeוהקלד Microsoft Defender בסרגל החיפוש. במקטע תוצאות החיפוש, לחץ על Microsoft Defender ולחץ על בחר.
בחר ב- iOS 15.0 כמערכת ההפעלה המינימלית. סקור את שאר המידע אודות היישום ולחץ על הבא.
במקטע הקצאות , עבור אל המקטע נדרש ובחר הוסף קבוצה. לאחר מכן תוכל לבחור את קבוצות המשתמשים שברצונך לייעד ל- Defender עבור נקודת קצה באפליקציית iOS. לחץ על בחר ולאחר מכן על הבא.
הערה
קבוצת המשתמשים שנבחרה צריכה להיות מורכבת ממשתמשים רשומים של Microsoft Intune.
במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור. בעוד כמה רגעים, היישום Defender for Endpoint אמור להיווצר בהצלחה, והודעה אמורה להופיע בפינה השמאלית העליונה של הדף.
בדף פרטי האפליקציה המוצג, במקטע צג, בחר מצב התקנת התקן כדי לוודא שהתקנת המכשיר הושלמה בהצלחה.
Microsoft Defender עבור נקודת קצה באפליקציית iOS מציע יכולת מיוחדת במכשירי iOS/iPadOS משויכים, בהינתן יכולות הניהול המוגדלות שמספקת הפלטפורמה במכשירים מסוגים אלה. הוא יכול גם לספק הגנה באינטרנט מבלי להגדיר VPN מקומי במכשיר. פעולה זו מעניקה למשתמשי הקצה חוויה חלקה ועדיין מוגנת מפני דיוג ומתקפות מבוססות-אינטרנט אחרות.
מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע תצורה של מכשירים פיקוח.
קבע את תצורת המצב הפיקוח עבור אפליקציית Defender for Endpoint באמצעות מדיניות תצורת אפליקציה ופרופיל תצורת מכשיר.
הערה
מדיניות תצורת יישום זו עבור מכשירים פיקוח ישימה רק על מכשירים מנוהלים ויש לייעד אותה עבור כל מכשירי iOS המנוהליים כשיישום עבודה מומלץ.
היכנס למרכז הניהול של Microsoft Intune ועבור אל מדיניות תצורה של יישום>יישומים הוסף>. בחר מכשירים מנוהלים.
בדף יצירת מדיניות תצורה של יישום , ספק את המידע הבא:
- שם מדיניות
- פלטפורמה: בחירת iOS/iPadOS
- אפליקציה ייעודית: בחר Microsoft Defender עבור נקודת קצה מהרשימה
במסך הבא, בחר השתמש במעצב התצורה כתבן. ציין את המאפיינים הבאים:
- מפתח תצורה:
issupervised
- סוג ערך: מחרוזת
- ערך תצורה:
{{issupervised}}
- מפתח תצורה:
בחר הבא כדי לפתוח את הדף תגיות טווח . תגיות טווח הן אופציונליות. בחר הבא כדי להמשיך.
בדף מטלות , בחר את הקבוצות שיקבלו פרופיל זה. עבור תרחיש זה, מומלץ לייעד את כל המכשירים. לקבלת מידע נוסף אודות הקצאת פרופילים, ראה הקצאת פרופילי משתמשים ומכשירים.
בעת פריסה בקבוצות משתמשים, משתמש חייב להיכנס למכשיר לפני החלת המדיניות.
לחץ על הבא.
בדף סקירה + יצירה , לאחר שתסיים, בחר צור. הפרופיל החדש מוצג ברשימת פרופילי התצורה.
הערה
עבור מכשירים שמפעילים iOS/iPadOS (במצב פיקוח), קיים פרופיל .mobileconfig מותאם אישית, שנקרא פרופיל ControlFilter זמין. פרופיל זה מאפשר הגנה באינטרנט מבלי להגדיר את ה- VPN המקומי של לולאה חוזרת במכשיר. פעולה זו מעניקה למשתמשי הקצה חוויה חלקה ועדיין מוגנת מפני דיוג ומתקפות מבוססות-אינטרנט אחרות.
עם זאת, פרופיל ControlFilter אינו פועל עם Always-On VPN (AOVPN) עקב הגבלות פלטפורמה.
מנהלי מערכת פורסים כל אחד מהפרופילים הנתונה.
מסנן בקרה של מגע אפס (שקט) - פרופיל זה מאפשר צירוף שקט עבור המשתמשים. הורד את פרופיל התצורה מ- ControlFilterZeroTouch
Control Filter - הורד את פרופיל התצורה מ - ControlFilter.
לאחר הורדת הפרופיל, פרוס את הפרופיל המותאם אישית. בצע את השלבים הבאים:
נווט אל פרופילי>תצורת iOS/iPadOS>של מכשירים>ליצירת פרופיל.
בחר תבניות סוג פרופיל>ושםתבנית מותאמים>אישית.
ספק שם של הפרופיל. כאשר תתבקש לייבא קובץ פרופיל תצורה, בחר את הקובץ שהורד מהצעד הקודם.
במקטע מטלה , בחר את קבוצת המכשירים שאליה ברצונך להחיל פרופיל זה. כשיטות עבודה מומלצות, יש להחיל זאת על כל מכשירי iOS המנוהלים. בחר באפשרות הבא.
הערה
יצירת קבוצת מכשירים נתמכת הן בתוכנית Defender for Endpoint 1 והן בתוכנית 2.
בדף סקירה + יצירה , לאחר שתסיים, בחר צור. הפרופיל החדש מוצג ברשימת פרופילי התצורה.
מנהלי מערכת יכולים להפוך את הצירוף של Defender לאוטומטי עבור משתמשים בשתי דרכים שונות באמצעות צירוף אפס מגע (שקט) או צירוף אוטומטי של VPN.
הערה
אין אפשרות לקבוע את התצורה של מגע אפס במכשירי iOS שרשום ללא קירבה של משתמשים (מכשירים ללא משתמשים או מכשירים משותפים).
מנהלי מערכת יכולים לקבוע את התצורה של Microsoft Defender עבור נקודת קצה כדי לפרוס ולהפעיל בצורה שקטה. בזרימה זו, מנהל המערכת יוצר פרופיל פריסה והמשתמש פשוט יקבל הודעה על ההתקנה. Defender for Endpoint מותקן באופן אוטומטי ללא צורך שהמשתמש יפתח את האפליקציה. בצע את השלבים הבאים כדי להגדיר פריסה עם אפס מגע או פריסה שקטה של Defender עבור נקודת קצה במכשירי iOS רשומים:
במרכז הניהול של Microsoft Intune, עבור אל פרופילי תצורה>של מכשירים>צור פרופיל.
בחר Platform as iOS/iPadOS, Profile type as Templates and Template name as VPN. בחר צור.
הקלד שם עבור הפרופיל ובחר הבא.
בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:
- שם חיבור = Microsoft Defender עבור נקודת קצה
- כתובת שרת VPN = 127.0.0.1
- שיטת אימות = "Username and password"
- פצל מנהרה = הפוך ללא זמין
- מזהה VPN = com.microsoft.scmx
- בזוגות ערכי המפתח, הזן את המקש SilentOnboard והגדר את הערך ל- True.
- סוג VPN אוטומטי = VPN לפי דרישה
- בחר הוסףלכללי לפי דרישה ובחר ברצוני לבצע את הפעולות הבאות = התחבר אל VPN, ברצוני להגביל ל- = כל התחומים.
- כדי לא לאפשר השבתה של VPN במכשיר המשתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, תצורתה לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק בהגדרות.
- כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, הוסף את EnableVPNToggleInApp = TRUE, בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך האפליקציה.
בחר הבא והקצה את הפרופיל למשתמשים ייעודיים.
במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.
לאחר סיום התצורה שלעיל וסינכרון המכשיר, הפעולות הבאות מתבצעות במכשירי iOS הייעדיים:
- Microsoft Defender for Endpoint ייפרס ויכלל בצורה שקטה, והמכשיר יוצג בפורטל Defender for Endpoint.
- הודעה על הקצאת משאבים תישלח למכשיר המשתמש.
- הגנת אינטרנט ותכונות אחרות יופעלו.
הערה
- הגדרת מגע אפס עשויה להימשך עד 5 דקות ברקע.
- עבור מכשירים פיקוח, מנהלי מערכת יכולים להגדיר צירוף מגע אפס באמצעות פרופיל מסנן בקרת ZeroTouch. פרופיל ה- VPN של Defender for Endpoint לא יותקן במכשיר, והגנת האינטרנט תמסופק על-ידי פרופיל מסנן הבקרה.
הערה
שלב זה מפשט את תהליך הצירוף על-ידי הגדרת פרופיל ה- VPN. אם אתה משתמש במגע עם אפס, אין צורך לבצע שלב זה.
עבור מכשירים ללא השגחה, VPN משמש כדי לספק את התכונה 'הגנת אינטרנט'. זהו אינו VPN רגיל והוא VPN מקומי/לולאה עצמית שאינו לוקח תעבורה מחוץ למכשיר.
מנהלי מערכת יכולים לקבוע תצורה של הגדרה אוטומטית של פרופיל VPN. פעולה זו תגדיר באופן אוטומטי את פרופיל ה- VPN של Defender for Endpoint מבלי שהמשתמש יסיים לעשות זאת בעת הצירוף.
במרכז הניהול של Microsoft Intune, עבור אל פרופילי תצורה>של מכשירים>צור פרופיל.
בחר Platform as iOS/iPadOS and Profile type as VPN. לחץ על צור.
הקלד שם עבור הפרופיל ולחץ על הבא.
בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:
שם חיבור = Microsoft Defender עבור נקודת קצה
כתובת שרת VPN = 127.0.0.1
שיטת אימות = "Username and password"
פצל מנהרה = הפוך ללא זמין
מזהה VPN = com.microsoft.scmx
בזוגות ערכי המפתח, הזן את המקש AutoOnboard והגדר את הערך ל- True.
סוג VPN אוטומטי = VPN לפי דרישה
בחר הוסףלכללי לפי דרישה ובחר ברצוני לבצע את הפעולות הבאות = התחבר אל VPN, ברצוני להגביל ל- = כל התחומים.
כדי לדרוש שלא ניתן להפוך את ה- VPN ללא זמין במכשיר של משתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, הגדרה זו לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק בהגדרות.
כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, הוסף את EnableVPNToggleInApp = TRUE, בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך היישום.
לחץ על הבא והקצה את הפרופיל למשתמשים ייעודיים.
במקטע סקירה + יצירה , ודא שכל המידע שהוזן נכון ולאחר מכן בחר צור.
ניתן לפרוס את אפליקציית Microsoft Defender iOS במכשירי Intune User Enrolled באמצעות השלבים הבאים.
הגדר פרופיל הרשמת משתמשים ב- Intune. Intune תומך ב- Apple User Enrollment ו- Apple User Enrollment with Company Portal. קרא עוד אודות ההשוואה של שתי השיטות ובחר אחת.
הגדר תוסף SSO. אפליקציית Authenticator עם הרחבת SSO היא דרישה מוקדמת להרשמה של משתמשים במכשיר iOS.
- Create is Device configuration Profile in Intune- Configure iOS/iPadOS Enterprise SSO plug-in with MDM | Microsoft Learn.
- הקפד להוסיף שני מפתחות אלה בתצורה שלעיל:
- מזהה חבילת אפליקציות: כלול את מזהה החבילה של אפליקציית Defender ב- list com.microsoft.scmx זה
- תצורה נוספת: מפתח - device_registration ; Type - מחרוזת ; Value- {{DEVICEREGISTRATION}}
הגדר את מפתח MDM להרשמה למשתמש.
- In Intune, go to Go to Apps App > configuration policies > Add Managed > devices
- תן שם למדיניות, בחר פלטפורמה > iOS/iPadOS,
- בחר Microsoft Defender עבור נקודת קצה כיישום היעד.
- בדף הגדרות, בחר השתמש במעצב התצורה והוסף את UserEnrolmentEnabledכמפתח, הקלד ערך כמחרוזת, ערך כ- True.
מנהל מערכת יכול לדחוף את Defender כיישום VPP נדרש מ- Intune.
אפליקציית Defender מותקנת במכשיר של המשתמש. המשתמש נכנס ומשלים את הצירוף. לאחר שהמכשיר יוכנס בהצלחה, הוא יהיה גלוי בפורטל האבטחה של Defender תחת מלאי מכשירים.
- תומך בכל היכולות הנוכחיות של Defender עבור נקודת קצה של iOS כמו – הגנה באינטרנט, הגנת רשת, זיהוי Jailbreak, פגיעויות ב- OS ואפליקציות, התראה בפורטל האבטחה של Defender ומדיניות תאימות.
- פריסה עם מגע אפס (שקט) וצירוף אוטומטי של VPN אינם נתמכים עם הרשמת משתמשים מאחר שמנהלי מערכת אינם יכולים לדחוף פרופיל VPN רחב של מכשיר עם הרשמת משתמשים.
- עבור ניהול פגיעויות של אפליקציות, רק אפליקציות בפרופיל העבודה יהיו גלויות.
- ייתכן שידרשו עד 10 דקות עד שהמכשירים החדשים שקלוט יהיו תואמים אם הם ייעודיים לפי מדיניות תאימות.
- קרא עוד על המגבלות והיכולות של הרשמת משתמשים.
לאחר התקנת Defender for Endpoint ב- iOS במכשיר, תראה את סמל האפליקציה.
הקש על סמל האפליקציה Defender for Endpoint (MSDefender) ובצע את ההוראות שעל המסך כדי להשלים את שלבי הצירוף. הפרטים כוללים קבלה של משתמשי קצה של הרשאות iOS הנדרשות על-ידי Defender for Endpoint ב- iOS.
הערה
דלג על שלב זה אם תגדיר צירוף של אפס מגע (שקט). אין צורך להפעיל יישום באופן ידני אם הוגדר צירוף של אפס מגע (שקט).
- קביעת תצורה של מדיניות הגנה על אפליקציות כך שתכלול אותות סיכון של Defender for Endpoint (MAM)
- קביעת תצורה של Defender עבור נקודת קצה בתכונות iOS
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.