פריסת Microsoft Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

נושא זה מתאר פריסת Defender עבור נקודת קצה ב- iOS במכשירים Microsoft Intune Company Portal רשומים. לקבלת מידע נוסף על Microsoft Intune שלך, ראה רישום מכשירי iOS/iPadOS Intune.

לפני שתתחיל

  • ודא שיש לך גישה למרכז Microsoft Intune הניהול.

  • ודא שהרישום ל- iOS בוצע עבור המשתמשים שלך. המשתמשים צריכים להקצות רשיון של Defender for Endpoint כדי להשתמש ב- Defender for Endpoint ב- iOS. עיין בנושא הקצאת רשיונות למשתמשים לקבלת הוראות להקצאת רשיונות.

  • ודא כי אפליקציית פורטל החברה מותקנת אצל משתמשי הקצה, נכנסת והרישום הושלמו.

הערה

Microsoft Defender עבור נקודת קצה ב- iOS זמין ב- Apple App Store.

סעיף זה מתאר:

  1. שלבי פריסה (רלוונטיים הן עבור מכשירים פיקוחיים והן עבור מכשירים ללא פיקוח)- מנהלי מערכת יכולים לפרוס את Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune Company Portal. אין צורך בשלב זה עבור אפליקציות VPP (רכישה רבת משתמשים).

  2. פריסה מלאה (עבור מכשירים פיקוח בלבד)- מנהלי מערכת יכולים לבחור לפרוס כל אחד מהפרופילים הנתונה.

    1. מסנן בקרה של מגע אפס (שקט) - מספק הגנה באינטרנט ללא VPN הלולאה החוזרת המקומי ומאפשר גם צירוף שקט עבור משתמשים. האפליקציה מותקנת ופעילה באופן אוטומטי ללא צורך שהמשתמש יפתח את האפליקציה.
    2. מסנן פקד - מספק הגנה באינטרנט ללא VPN מקומי של לולאה חוזרת.

  3. הגדרת צירוף אוטומטי (רק עבור מכשירים ללא השגחה) - מנהלי מערכת יכולים להפוך את הצירוף של Defender for Endpoint לאוטומטי עבור משתמשים בשתי דרכים שונות:

    1. צירוף מגע אפס (שקט) - היישום מותקן ומפעיל באופן אוטומטי ללא צורך במשתמשים כדי לפתוח את היישום.
    2. צירוף אוטומטי של VPN - פרופיל ה- VPN של Defender for Endpoint מוגדר באופן אוטומטי ללא צורך שהמשתמש יתבצע זאת במהלך הצירוף. שלב זה אינו מומלץ בתצורה של אפס מגע.

  4. הגדרת הרשמת משתמשים (רק עבור Intune משתמשים רשומים) - מנהלי מערכת יכולים לפרוס ולקבוע את תצורת היישום Defender for Endpoint גם במכשירים הרשומים Intune משתמשים.

  5. מצב קליטת נתונים ובדיקת מידע מלא - שלב זה חל על כל סוגי ההרשמה כדי לוודא כי האפליקציה מותקנת במכשיר, הצירוף הושלם והמכשיר גלוי בפורטל של Microsoft Defender. ניתן לדלג עליו עבור הצירוף של אפס מגע (שקט).

שלבי פריסה (ישים הן עבור מכשירים פיקוח והן עבור מכשירים ללא פיקוח)

פרוס את Defender עבור נקודת קצה ב- iOS באמצעות Microsoft Intune Company Portal.

הוספת אפליקציית חנות iOS

  1. במרכז הניהול של Microsoft Intune, עבור אל Apps>iOS/iPadOS>Add>iOS store app ולחץ על Select.

    הכרטיסיה 'הוספת יישומים' Microsoft Intune הניהול

  2. בדף הוספת יישום, לחץ חיפוש על App Storeוהקלד Microsoft Defender בשורת החיפוש. במקטע תוצאות החיפוש, לחץ על Microsoft Defender ולחץ על בחר.

  3. בחר ב- iOS 15.0 כמערכת ההפעלה המינימלית. סקור את שאר המידע אודות היישום ולחץ על הבא.

  4. במקטע הקצאות , עבור אל המקטע נדרש ובחר הוסף קבוצה. לאחר מכן תוכל לבחור את קבוצות המשתמשים שברצונך לייעד ל- Defender עבור נקודת קצה באפליקציית iOS. לחץ על בחר ולאחר מכן על הבא.

    הערה

    קבוצת המשתמשים שנבחרה צריכה להיות מורכבת Microsoft Intune רשומים.

    הכרטיסיה 'הוסף קבוצה' Microsoft Intune הניהול

  5. במקטע Review + Create, ודא שכל המידע שהוזן נכון ולאחר מכן בחר Create. בעוד כמה רגעים, היישום Defender for Endpoint אמור להיווצר בהצלחה, והודעה אמורה להופיע בפינה השמאלית העליונה של הדף.

  6. בדף פרטי האפליקציה המוצג, במקטע צג, בחר מצב התקנת התקן כדי לוודא שהתקנת המכשיר הושלמה בהצלחה.

    הדף 'מצב התקנת מכשיר'

פריסה מלאה עבור מכשירים פיקוח

האפליקציה Microsoft Defender עבור נקודת קצה ב- iOS כוללת יכולת מיוחדת במכשירי iOS/iPadOS פיקוח, בהינתן יכולות הניהול המוגברות שמספקת הפלטפורמה במכשירים מסוגים אלה. הוא יכול גם לספק הגנה באינטרנט מבלי להגדיר VPN מקומי במכשיר. פעולה זו מעניקה למשתמשי הקצה חוויה חלקה ועדיין מוגנת מפני דיוג ומתקפות מבוססות-אינטרנט אחרות.

מנהלי מערכת יכולים להשתמש בשלבים הבאים כדי לקבוע תצורה של מכשירים פיקוח.

קביעת תצורה של מצב פיקוח באמצעות Microsoft Intune

קבע את תצורת המצב הפיקוח עבור אפליקציית Defender for Endpoint באמצעות מדיניות תצורת אפליקציה ופרופיל תצורת מכשיר.

מדיניות תצורת יישום

הערה

מדיניות תצורת יישום זו עבור מכשירים פיקוח ישימה רק על מכשירים מנוהלים ויש לייעד אותה עבור כל מכשירי iOS המנוהליים כשיישום עבודה מומלץ.

  1. היכנס למרכז הניהול של Microsoft Intune ועבור אל הוספהשל מדיניות >תצורה של יישום יישומים>. בחר מכשירים מנוהלים.

    תמונה של Microsoft Intune הניהול4.

  2. בדף מדיניות Create תצורת היישום, ספק את המידע הבא:

    • שם מדיניות
    • פלטפורמה: בחירת iOS/iPadOS
    • אפליקציה ייעודית: Microsoft Defender עבור נקודת קצה פריטים מהרשימה

    תמונה של Microsoft Intune הניהול5.

  3. במסך הבא, בחר השתמש במעצב התצורה כתבן. ציין את המאפיינים הבאים:

    • מפתח תצורה: issupervised
    • סוג ערך: מחרוזת
    • ערך תצורה: {{issupervised}}

    תמונה של Microsoft Intune הניהול6.

  4. בחר הבא כדי לפתוח את הדף תגיות טווח . תגיות טווח הן אופציונליות. בחר הבא כדי להמשיך.

  5. בדף מטלות , בחר את הקבוצות שיקבלו פרופיל זה. עבור תרחיש זה, מומלץ לייעד את כל המכשירים. לקבלת מידע נוסף אודות הקצאת פרופילים, ראה הקצאת פרופילי משתמשים ומכשירים.

    בעת פריסה בקבוצות משתמשים, משתמש חייב להיכנס למכשיר לפני החלת המדיניות.

    לחץ על הבא.

  6. בדף סקירה + יצירה, לאחר שתסיים, בחר Create. הפרופיל החדש מוצג ברשימת פרופילי התצורה.

פרופיל תצורת מכשיר (מסנן בקרה)

הערה

עבור מכשירים שמפעילים iOS/iPadOS (במצב פיקוח), קיים פרופיל .mobileconfig מותאם אישית, שנקרא פרופיל ControlFilter זמין. פרופיל זה מאפשר הגנה באינטרנט מבלי להגדיר את ה- VPN המקומי של לולאה חוזרת במכשיר. פעולה זו מעניקה למשתמשי הקצה חוויה חלקה ועדיין מוגנת מפני דיוג ומתקפות מבוססות-אינטרנט אחרות.

עם זאת, פרופיל ControlFilter אינו פועל עם Always-On VPN (AOVPN) עקב הגבלות פלטפורמה.

מנהלי מערכת פורסים כל אחד מהפרופילים הנתונה.

  1. מסנן בקרה של מגע אפס (שקט) - פרופיל זה מאפשר צירוף שקט עבור המשתמשים. הורד את פרופיל התצורה מ- ControlFilterZeroTouch

  2. Control Filter - הורד את פרופיל התצורה מ - ControlFilter.

לאחר הורדת הפרופיל, פרוס את הפרופיל המותאם אישית. בצע את השלבים הבאים:

  1. נווט אל פרופילי>תצורת iOS/iPadOS>של מכשירים>Create פרופיל.

  2. בחר תבניות סוג פרופיל>ושםתבנית מותאמים>אישית.

    תמונה של Microsoft Intune הניהול7.

  3. ספק שם של הפרופיל. כאשר תתבקש לייבא קובץ פרופיל תצורה, בחר את הקובץ שהורד מהצעד הקודם.

  4. במקטע מטלה , בחר את קבוצת המכשירים שאליה ברצונך להחיל פרופיל זה. כשיטות עבודה מומלצות, יש להחיל זאת על כל מכשירי iOS המנוהלים. בחר באפשרות הבא.

    הערה

    יצירת קבוצת מכשירים נתמכת הן בתוכנית Defender for Endpoint 1 והן בתוכנית 2.

  5. בדף סקירה + יצירה, לאחר שתסיים, בחר Create. הפרופיל החדש מוצג ברשימת פרופילי התצורה.

הגדרת צירוף אוטומטי (רק עבור מכשירים ללא השגחה)

מנהלי מערכת יכולים להפוך את הצירוף של Defender לאוטומטי עבור משתמשים בשתי דרכים שונות באמצעות צירוף אפס מגע (שקט) או צירוף אוטומטי של VPN.

צירוף מגע אפס (שקט) של Microsoft Defender עבור נקודת קצה

הערה

אין אפשרות לקבוע את התצורה של מגע אפס במכשירי iOS שרשום ללא קירבה של משתמשים (מכשירים ללא משתמשים או מכשירים משותפים).

מנהלי מערכת יכולים לקבוע Microsoft Defender עבור נקודת קצה פריסה והפעלה באופן שקט. בזרימה זו, מנהל המערכת יוצר פרופיל פריסה והמשתמש פשוט יקבל הודעה על ההתקנה. Defender for Endpoint מותקן באופן אוטומטי ללא צורך שהמשתמש יפתח את האפליקציה. בצע את השלבים הבאים כדי להגדיר פריסה עם אפס מגע או פריסה שקטה של Defender עבור נקודת קצה במכשירי iOS רשומים:

  1. במרכז הניהול Microsoft Intune, עבור אל פרופילי תצורה>של מכשירים>Create פרופיל.

  2. בחר Platform as iOS/iPadOS, Profile type as Templates and Template name as VPN. בחר צור.

  3. הקלד שם עבור הפרופיל ובחר הבא.

  4. בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:

    • שם חיבור = Microsoft Defender עבור נקודת קצה
    • כתובת שרת VPN = 127.0.0.1
    • שיטת אימות = "Username and password"
    • פצל מנהרה = הפוך ללא זמין
    • מזהה VPN = com.microsoft.scmx
    • בזוגות ערכי המפתח, הזן את המקש SilentOnboard והגדר את הערך ל- True.
    • סוג VPN אוטומטי = VPN לפי דרישה
    • בחר הוסףלכללי לפי דרישה ובחר ברצוני לבצע את הפעולות הבאות = התחבר אל VPN, ברצוני להגביל ל- = כל התחומים.

    הדף 'קביעת תצורה של פרופיל VPN'

    • כדי לא לאפשר השבתה של VPN במכשיר המשתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, תצורתה לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק בהגדרות.
    • כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, הוסף את EnableVPNToggleInApp = TRUE, בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך האפליקציה.

  5. בחר הבא והקצה את הפרופיל למשתמשים ייעודיים.

  6. במקטע Review + Create, ודא שכל המידע שהוזן נכון ולאחר מכן בחר Create.

לאחר סיום התצורה שלעיל וסינכרון המכשיר, הפעולות הבאות מתבצעות במכשירי iOS הייעדיים:

  • Microsoft Defender עבור נקודת קצה תיפרס ותתיכנס באופן שקט, והמכשיר יוצג בפורטל Defender for Endpoint.
  • הודעה על הקצאת משאבים תישלח למכשיר המשתמש.
  • הגנת אינטרנט ותכונות אחרות יופעלו.

הערה

עבור מכשירים פיקוח, מנהלי מערכת יכולים להגדיר צירוף מגע אפס עם פרופיל מסנן בקרת ZeroTouch החדש.

פרופיל ה- VPN של Defender for Endpoint לא יותקן במכשיר, והגנת האינטרנט תמסופק על-ידי פרופיל מסנן הבקרה.

צירוף אוטומטי של פרופיל VPN (צירוף פשוט)

הערה

שלב זה מפשט את תהליך הצירוף על-ידי הגדרת פרופיל ה- VPN. אם אתה משתמש במגע עם אפס, אין צורך לבצע שלב זה.

עבור מכשירים ללא השגחה, VPN משמש כדי לספק את התכונה 'הגנת אינטרנט'. זהו אינו VPN רגיל והוא VPN מקומי/לולאה עצמית שאינו לוקח תעבורה מחוץ למכשיר.

מנהלי מערכת יכולים לקבוע תצורה של הגדרה אוטומטית של פרופיל VPN. פעולה זו תגדיר באופן אוטומטי את פרופיל ה- VPN של Defender for Endpoint מבלי שהמשתמש יסיים לעשות זאת בעת הצירוף.

  1. במרכז הניהול Microsoft Intune, עבור אל פרופילי תצורה>של מכשירים>Create פרופיל.

  2. בחר Platform as iOS/iPadOS and Profile type as VPN. לחץ על Create.

  3. הקלד שם עבור הפרופיל ולחץ על הבא.

  4. בחר VPN מותאם אישית עבור סוג חיבור ובסעיף VPN בסיסי , הזן את האפשרויות הבאות:

    • שם חיבור = Microsoft Defender עבור נקודת קצה

    • כתובת שרת VPN = 127.0.0.1

    • שיטת אימות = "Username and password"

    • פצל מנהרה = הפוך ללא זמין

    • מזהה VPN = com.microsoft.scmx

    • בזוגות ערכי המפתח, הזן את המקש AutoOnboard והגדר את הערך ל- True.

    • סוג VPN אוטומטי = VPN לפי דרישה

    • בחר הוסףלכללי לפי דרישה ובחר ברצוני לבצע את הפעולות הבאות = התחבר אל VPN, ברצוני להגביל ל- = כל התחומים.

      הכרטיסיה הגדרות תצורה של פרופיל VPN.

    • כדי לדרוש שלא ניתן להפוך את ה- VPN ללא זמין במכשיר של משתמשים, מנהלי מערכת יכולים לבחור כן מתוך חסימת משתמשים מהשבתת VPN אוטומטי. כברירת מחדל, הגדרה זו לא נקבעה והמשתמשים יכולים להפוך את ה- VPN ללא זמין רק בהגדרות.

    • כדי לאפשר למשתמשים לשנות את הלחצן הדו-מצבי VPN מתוך היישום, הוסף את EnableVPNToggleInApp = TRUE, בזוגות ערכי המפתח. כברירת מחדל, משתמשים אינם יכולים לשנות את הלחצן הדו-מצבי מתוך היישום.

  5. לחץ על הבא והקצה את הפרופיל למשתמשים ייעודיים.

  6. במקטע Review + Create, ודא שכל המידע שהוזן נכון ולאחר מכן בחר Create.

הגדרת הרשמת משתמשים (רק עבור Intune משתמשים רשומים)

חשוב

הרשמת משתמשים עבור Microsoft Defender- iOS נמצאת בתצוגה מקדימה ציבורית. המידע הבא מתייחס למוצר שהופץ מראש וייתכן שהוא השתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

Microsoft Defender ניתן לפרוס את אפליקציית iOS במכשירים Intune משתמשים רשומים באמצעות השלבים הבאים.

ניהול

  1. הגדר פרופיל הרשמת משתמשים ב- Intune. Intune תומכת ב- Apple User Enrollment ו- Apple User Enrollment עם Company Portal. קרא עוד אודות ההשוואה של שתי השיטות ובחר אחת.

  2. הגדר תוסף SSO. אפליקציית Authenticator עם הרחבת SSO היא דרישה מוקדמת להרשמה של משתמשים במכשיר iOS.

    • Create הוא פרופיל תצורת המכשיר ב- Intune- קביעת תצורה של תוסף SSO ארגוני של iOS/iPadOS עם MDM | Microsoft Learn.
    • הקפד להוסיף שני מפתחות אלה בתצורה שלעיל:
    • מזהה חבילת אפליקציות: כלול את מזהה החבילה של אפליקציית Defender ב- list com.microsoft.scmx זה
    • תצורה נוספת: מפתח - device_registration ; Type - מחרוזת ; Value- {{DEVICEREGISTRATION}}

  3. הגדר את מפתח MDM להרשמה למשתמש.

    • ב- Intune, עבור אל מדיניות תצורת יישום > עבור אל הוספת מכשירים >> מנוהלים
    • תן שם למדיניות, בחר פלטפורמה > iOS/iPadOS,
    • בחר Microsoft Defender עבור נקודת קצה כיישום היעד.
    • בדף הגדרות, בחר השתמש במעצב התצורה והוסף את UserEnrolmentEnabledכמפתח, הקלד ערך כמחרוזת, ערך כ- True.

  4. מרכז הניהול לדחוף את Defender כיישום VPP נדרש Intune.

משתמש קצה

אפליקציית Defender מותקנת במכשיר של המשתמש. המשתמש נכנס ומשלים את הצירוף. לאחר שהמכשיר יוכנס בהצלחה, הוא יהיה גלוי בפורטל האבטחה של Defender תחת מלאי מכשירים.

תכונות ומגבלות נתמכות

  1. נתמך בכל היכולות הנוכחיות של MDE iOS כמו – הגנה באינטרנט, הגנת רשת, זיהוי Jailbreak, פגיעויות ב- OS ואפליקציות, התראה בפורטל האבטחה של Defender ומדיניות תאימות.
  2. פריסה עם מגע אפס (שקט) וצירוף אוטומטי של VPN אינם נתמכים עם הרשמת משתמשים מאחר שמנהלי מערכת אינם יכולים לדחוף פרופיל VPN רחב של מכשיר עם הרשמת משתמשים.
  3. עבור ניהול פגיעויות של אפליקציות, רק אפליקציות בפרופיל העבודה יהיו גלויות.
  4. קרא עוד על המגבלות והיכולות של הרשמת משתמשים.

השלם את הצירוף ובדוק את המצב

  1. לאחר התקנת Defender for Endpoint ב- iOS במכשיר, תראה את סמל האפליקציה.

  2. הקש על סמל האפליקציה Defender for Endpoint (MSDefender) ובצע את ההוראות שעל המסך כדי להשלים את שלבי הצירוף. הפרטים כוללים קבלה של משתמשי קצה של הרשאות iOS הנדרשות על-ידי Defender for Endpoint ב- iOS.

הערה

דלג על שלב זה אם תגדיר צירוף של אפס מגע (שקט). אין צורך להפעיל יישום באופן ידני אם הוגדר צירוף של אפס מגע (שקט).

  1. לאחר צירוף מוצלח, המכשיר יתחיל להופיע ברשימה מכשירים בפורטל Microsoft Defender.

    דף מלאי המכשירים.

השלבים הבאים

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.