Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Az iOS-en futó Végponthoz készült Defender VPN-t használna a Web Protection szolgáltatás biztosításához. Ez nem egy hagyományos VPN, és egy helyi/önhurkos VPN, amely nem veszi át a forgalmat az eszközön kívül.
Feltételes hozzáférés a Végponthoz készült Defenderrel iOS rendszeren
Az iOS-en futó Végponthoz készült Microsoft Defender, valamint a Microsoft Intune és a Microsoft Entra ID lehetővé teszi az eszközmegfelelőségi és feltételes hozzáférési szabályzatok kikényszerítését az eszköz kockázati pontszáma alapján. A Végponthoz készült Defender egy Mobile Threat Defense- (MTD-) megoldás, amelyet az Intune-on keresztül üzembe helyezhet a funkció használatához.
A végponthoz készült Defenderrel való feltételes hozzáférés iOS-en való beállításáról további információt a Végponthoz készült Defender és az Intune című témakörben talál.
Webvédelem és VPN
Alapértelmezés szerint az iOS-en futó Végponthoz készült Defender tartalmazza és engedélyezi a webes védelmet, amely segít megvédeni az eszközöket a webes fenyegetésekkel szemben, és megvédeni a felhasználókat az adathalász támadásoktól. Az adathalászat elleni és az egyéni jelzők (URL és tartomány) a webvédelem részeként támogatottak. Az IP-alapú egyéni jelzők jelenleg nem támogatottak iOS rendszeren. A webes tartalomszűrés jelenleg nem támogatott mobilplatformokon (Android és iOS).
Az iOS-en futó Végponthoz készült Defender VPN-t használ a képesség biztosításához. A VPN helyi, és a hagyományos VPN-ektől eltérően a hálózati forgalom nem lesz elküldve az eszközön kívül.
Bár alapértelmezés szerint engedélyezve van, előfordulhat, hogy bizonyos esetekben le kell tiltania a VPN-t. Például olyan alkalmazásokat szeretne futtatni, amelyek nem működnek VPN konfigurálásakor. Ilyen esetekben letilthatja a VPN-t az eszközön található alkalmazásból az alábbi lépésekkel:
iOS-eszközén nyissa meg a Beállítások alkalmazást, válassza az Általános , majd a VPN lehetőséget.
Válassza a Végponthoz készült Microsoft Defender i gombját.
Kapcsolja ki az Igény szerinti csatlakozás beállítást a VPN letiltásához.
Megjegyzés:
A webvédelem nem érhető el, ha a VPN le van tiltva. A webvédelem újbóli engedélyezéséhez nyissa meg a Végponthoz készült Microsoft Defender alkalmazást az eszközön, majd válassza a VPN indítása lehetőséget.
Webes védelem letiltása
A webvédelem a Végponthoz készült Defender egyik fő funkciója, és ehhez VPN szükséges. A használt VPN nem hagyományos, hanem helyi/visszacsatolási VPN, azonban több oka is lehet annak, hogy az ügyfelek nem kedvelik a VPN-t. Ha nem szeretne VPN-t beállítani, letilthatja a webes védelmet, és üzembe helyezheti a Végponthoz készült Defendert a funkció nélkül. A Végponthoz készült Defender egyéb funkciói továbbra is működnek.
Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az MDM-et használó ügyfelek számára a rendszergazdák az alkalmazáskonfigurálásban felügyelt eszközökön keresztül konfigurálhatják a webvédelmet. A regisztrációval nem rendelkező ügyfelek számára a MAM használatával a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják a webvédelmet.
Webvédelem konfigurálása
Webvédelem letiltása az MDM használatával
A regisztrált eszközök webes védelmének letiltásához kövesse az alábbi lépéseket.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot: Platform > iOS/iPadOS.
Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.
A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, majd adja hozzá
WebProtection
kulcsként, és állítsa értéktípusát értékreString
.- Alapértelmezés szerint:
WebProtection = true
. A rendszergazdának be kell állítaniaWebProtection = false
, hogy kikapcsolja a webvédelmet. - A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
- Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
- Alapértelmezés szerint:
Webvédelem letiltása a MAM használatával
Az alábbi lépésekkel letilthatja a nem regisztrált eszközök webes védelmét.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.
Nevezze el a szabályzatot.
A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.
A Beállítások lap Általános konfigurációs beállítások területén adja hozzá
WebProtection
a értéket kulcsként, és állítsa az értékét értékrefalse
.- Alapértelmezés szerint:
WebProtection = true
. A rendszergazdák beállíthatjákWebProtection = false
, hogy kikapcsolják a webvédelmet. - A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
- Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
- Alapértelmezés szerint:
Megjegyzés:
A WebProtection
kulcs nem alkalmazható a felügyelt eszközök listájában lévő vezérlőszűrőre. Ha le szeretné tiltani a felügyelt eszközök webes védelmét, eltávolíthatja a Vezérlőszűrő profilt.
Hálózatvédelem konfigurálása
A végponthoz készült Microsoft Defender hálózati védelme alapértelmezés szerint le van tiltva. A rendszergazdák az alábbi lépésekkel konfigurálhatják a hálózatvédelmet. Ez a konfiguráció az MDM-konfiguráción keresztül regisztrált és a nem regisztrált eszközökhöz is elérhető a MAM-konfiguráción keresztül.
Megjegyzés:
A hálózatvédelemhez csak egy szabályzatot kell létrehozni az MDM vagy a MAM használatával. A hálózatvédelem inicializálásához a végfelhasználónak egyszer kell megnyitnia az alkalmazást.
Hálózatvédelem konfigurálása az MDM használatával
A regisztrált eszközök MDM-konfigurációjának használatával történő hálózatvédelem beállításához kövesse az alábbi lépéseket:
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Adja meg a szabályzat nevét és leírását. A Platform területen válassza az iOS/iPad lehetőséget.
A megcélzott alkalmazásban válassza a Végponthoz készült Microsoft Defender lehetőséget.
A Beállítások lapon válassza a Konfigurációs beállítások formátuma Konfigurációtervező használata lehetőséget.
Adja hozzá
DefenderNetworkProtectionEnable
konfigurációs kulcsként. Állítsa az értéktípusát a értékre,String
és állítsa az értékét afalse
hálózatvédelem letiltásához. (A hálózatvédelem alapértelmezés szerint engedélyezve van.)A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat, és válassza ki a megfelelő értéktípust és értéket.
Kulcs Értéktípus Alapértelmezett (true-enable, false-disable) Leírás DefenderOpenNetworkDetection
Egész szám 2 1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda felügyeli a nyílt hálózat észlelésének naplózására, letiltására vagy engedélyezésére. Naplózási módban a rendszer csak végfelhasználói élmény nélkül küld riasztásokat a Microsoft Defender portálra. Végfelhasználói élmény esetén állítsa be a következőre: Enable
.DefenderEndUserTrustFlowEnable
Karakterlánc téves true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban. DefenderNetworkProtectionAutoRemediation
Karakterlánc igaz true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást. DefenderNetworkProtectionPrivacy
Karakterlánc igaz true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.
Tekintse át és hozza létre a konfigurációs szabályzatot.
Hálózatvédelem konfigurálása MAM használatával
Az alábbi eljárással állíthatja be a NEM regisztrált eszközök MAM-konfigurációját a hálózatvédelemhez (a MAM-konfigurációhoz hitelesítő eszközregisztráció szükséges) az iOS-eszközökön.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazások>hozzáadása>Új alkalmazáskonfigurációs szabályzat létrehozása területre.
Adjon meg egy nevet és egy leírást a szabályzat egyedi azonosításához. Ezután válassza a Nyilvános alkalmazások kiválasztása, majd a Microsoft Defender for Platform iOS/iPadOS lehetőséget.
A Beállítások lapon adja hozzá a DefenderNetworkProtectionEnable kulcsot és a hálózati védelem letiltásának értékét
false
. (A hálózatvédelem alapértelmezés szerint engedélyezve van.)A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat és a megfelelő értéket.
Kulcs Alapértelmezett (igaz – engedélyezés, hamis – letiltás) Leírás DefenderOpenNetworkDetection
2 1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda kezeli a nyílt hálózat észlelésének engedélyezéséhez, naplózásához vagy letiltásához. Naplózási módban a rendszer csak felhasználói felület nélkül küld riasztásokat az ATP-portálnak. A felhasználói élmény érdekében állítsa a konfigurációt "Engedélyezés" módra. DefenderEndUserTrustFlowEnable
téves true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban. DefenderNetworkProtectionAutoRemediation
igaz true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást. DefenderNetworkProtectionPrivacy
igaz true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.
Tekintse át és hozza létre a konfigurációs szabályzatot.
Több VPN-profil egyidejű használata
Az Apple iOS nem támogatja több eszközszintű VPN egyidejű aktiválását. Bár több VPN-profil is létezhet az eszközön, egyszerre csak egy VPN lehet aktív.
Végponthoz készült Microsoft Defender kockázati jel konfigurálása az alkalmazásvédelmi szabályzatban (MAM)
Az iOS-en futó Végponthoz készült Microsoft Defender lehetővé teszi az alkalmazásvédelmi szabályzat forgatókönyvét. A végfelhasználók közvetlenül az Apple app store-ból telepíthetik az alkalmazás legújabb verzióját. Győződjön meg arról, hogy az eszköz regisztrálva van az Authenticatorban ugyanazzal a fiókkal, amelyet a Sikeres MAM-regisztrációhoz használt a Defenderben való előkészítéshez.
A Végponthoz készült Microsoft Defender konfigurálható úgy, hogy veszélyforrás-jeleket küldjön, amelyeket az alkalmazásvédelmi szabályzatokban (APP, más néven MAM) használnak iOS/iPadOS rendszeren. Ezzel a képességgel a Végponthoz készült Microsoft Defender használatával is megvédheti a vállalati adatokhoz való hozzáférést a nem regisztrált eszközökről.
Az alábbi hivatkozás lépéseit követve alkalmazásvédelmi szabályzatokat állíthat be a Végponthoz készült Microsoft Defenderrel A Defender kockázati jelzéseinek konfigurálása az alkalmazásvédelmi szabályzatban (MAM)
A MAM- vagy alkalmazásvédelmi szabályzattal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi szabályzat beállításai.
Adatvédelmi vezérlők
Az iOS-en futó Végponthoz készült Microsoft Defender adatvédelmi vezérlőket biztosít a rendszergazdák és a végfelhasználók számára is. Ez magában foglalja a regisztrált (MDM) és a nem regisztrált (MAM) eszközök vezérlőinek használatát.
Ha MDM-et használ, a rendszergazdák az alkalmazáskonfigurálás felügyelt eszközein keresztül konfigurálhatják az adatvédelmi vezérlőket. Ha regisztráció nélkül használja a MAM-ot, a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják az adatvédelmi vezérlőket. A végfelhasználók a Microsoft Defender alkalmazásbeállításaiban is konfigurálhatnak adatvédelmi beállításokat.
Adatvédelem konfigurálása adathalász riasztási jelentésben
Az ügyfelek mostantól engedélyezhetik az iOS-en a Végponthoz készült Microsoft Defender által küldött adathalász jelentés adatvédelmi szabályozását, így a tartománynév nem szerepel az adathalászati riasztások részeként, ha a Végponthoz készült Microsoft Defender adathalász webhelyet észlel és blokkol.
Adatvédelmi vezérlők konfigurálása az MDM-ben
Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot( Platform > iOS/iPadOS), majd válassza ki a profil típusát.
Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.
A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá
DefenderExcludeURLInReport
kulcsként, és állítsa az értéktípusát logikai értékre.- Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket,
true
és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékrefalse
van állítva. - A kulcskészlettel
true
rendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.
- Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket,
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
Adatvédelmi vezérlők konfigurálása a MAM-ban
Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a nem regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.
Nevezze el a szabályzatot.
A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.
A Beállítások lap Általános konfigurációs beállítások területén adja hozzá
DefenderExcludeURLInReport
a értéket kulcsként, és állítsa be az értékét a következőkénttrue
: .- Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket,
true
és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékrefalse
van állítva. - A kulcskészlettel
true
rendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.
- Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket,
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
Végfelhasználói adatvédelmi vezérlők konfigurálása a Microsoft Defender alkalmazásban
Ezek a vezérlők segítenek a végfelhasználónak konfigurálni a szervezettel megosztott információkat.
Felügyelt eszközök esetén a végfelhasználói vezérlők nem láthatók. A rendszergazda dönti el és szabályozza a beállításokat. A nem felügyelt eszközök esetében azonban a vezérlő a Beállítások > adatvédelmi beállításai alatt jelenik meg.
A felhasználók a Nem biztonságos webhelyadatok kapcsolót látják. Ez a kapcsoló csak akkor látható, ha a rendszergazda beállította a beállítást DefenderExcludeURLInReport = true
.
Ha egy rendszergazda engedélyezi, a felhasználók megadhatjak, hogy nem biztonságos webhelyadatokat küldjenek-e a szervezetüknek. Alapértelmezés szerint a értékre false
van állítva, ami azt jelenti, hogy a rendszer nem küldi el a nem biztonságos webhelyadatokat. Ha a felhasználó átváltja a beállítást értékre true
, a rendszer nem biztonságos webhelyadatokat küld.
Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.
Megjegyzés:
A konfigurációs profillal rendelkező felügyelt eszközökön a Végponthoz készült Microsoft Defender hozzáférhet a teljes URL-címhez, és ha adathalásznak találják, az le lesz tiltva. A nem felügyelt eszközökön a Végponthoz készült Microsoft Defender csak a tartománynévhez fér hozzá, és ha a tartomány nem adathalász URL-cím, nem lesz letiltva.
Nem kötelező engedélyek
Az iOS-en futó Végponthoz készült Microsoft Defender opcionális engedélyeket engedélyez az előkészítési folyamatban. A Végponthoz készült Defenderhez szükséges engedélyek jelenleg kötelezőek az előkészítési folyamatban. Ezzel a funkcióval a rendszergazdák anélkül helyezhetik üzembe a Végponthoz készült Defendert BYOD-eszközökön, hogy kötelező VPN-engedélyt kényszerítenének az előkészítés során. A végfelhasználók a kötelező engedélyek nélkül is regisztrálhatják az alkalmazást, és később áttekinthetik ezeket az engedélyeket. Ez a funkció jelenleg csak regisztrált eszközökhöz (MDM) érhető el.
Választható engedélyek konfigurálása az MDM használatával
A rendszergazdák az alábbi lépésekkel engedélyezhetik a nem kötelező VPN-engedélyeket a regisztrált eszközökhöz.
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot, majd válassza a Platform > iOS/iPadOS lehetőséget.
Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.
A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá
DefenderOptionalVPN
kulcsként, és állítsa be az értéktípusát a következőkéntBoolean
: .- A nem kötelező VPN-engedély engedélyezéséhez adja meg az értéket mint értéket
true
, és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékrefalse
van állítva. - A kulcskészlettel
true
rendelkező felhasználók számára a felhasználók a VPN-engedély megadása nélkül is regisztrálhatják az alkalmazást.
- A nem kötelező VPN-engedély engedélyezéséhez adja meg az értéket mint értéket
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
Nem kötelező engedélyek konfigurálása végfelhasználóként
A végfelhasználók telepítik és megnyitják a Microsoft Defender alkalmazást az előkészítés megkezdéséhez.
- Ha egy rendszergazda opcionális engedélyeket állított be, akkor a felhasználó kihagyhatja a VPN-engedélyt, és befejezheti az előkészítést.
- Még akkor is, ha a felhasználó kihagyta a VPN-t, az eszköz képes a bevezetésre, és szívverést küld.
- Ha a VPN le van tiltva, a webes védelem nem aktív.
- Később a felhasználó engedélyezheti a webvédelmet az alkalmazásban, amely telepíti a VPN-konfigurációt az eszközön.
Megjegyzés:
Az opcionális engedély eltér a Web Protection letiltásától. Az opcionális VPN-engedély csak az előkészítés során segít kihagyni az engedélyt, de a végfelhasználó később áttekintheti és engedélyezheti azt. Bár a Webvédelem letiltása lehetővé teszi a felhasználók számára a Végponthoz készült Defender alkalmazás webes védelem nélküli előkészítését. Később nem engedélyezhető.
Jailbreakelés észlelése
A Végponthoz készült Microsoft Defender képes észlelni a feltört nem felügyelt és felügyelt eszközöket. Ezeket a jailbreak-ellenőrzéseket rendszeres időközönként végezzük. Ha a rendszer jailbreakeltként észlel egy eszközt, a következő események történnek:
- A rendszer magas kockázatú riasztást jelent a Microsoft Defender portálon. Ha az eszközmegfelelőség és a feltételes hozzáférés az eszköz kockázati pontszáma alapján van beállítva, akkor az eszköz nem fér hozzá a vállalati adatokhoz.
- Az alkalmazás felhasználói adatai törlődnek. Amikor a felhasználó jailbreakelés után megnyitja az alkalmazást, a VPN-profil (csak a Végponthoz készült Defender visszacsatolási VPN-profilja) is törlődik, és nem nyújt webes védelmet. Az Intune által biztosított VPN-profilok nem törlődnek.
Megfelelőségi szabályzat konfigurálása feltört eszközökhöz
A vállalati adatok feltört iOS-eszközökön való elérésének védelme érdekében javasoljuk, hogy állítsa be a következő megfelelőségi szabályzatot az Intune-ban.
Megjegyzés:
A jailbreakészlelés a Végponthoz készült Microsoft Defender által biztosított képesség iOS rendszeren. Javasoljuk azonban, hogy ezt a szabályzatot a jailbreak forgatókönyvek elleni további védelmi rétegként állítsa be.
Kövesse az alábbi lépéseket a feltört eszközökre vonatkozó megfelelőségi szabályzat létrehozásához.
A Microsoft Intune Felügyeleti központban lépjen az Eszközök>megfelelőségi szabályzatai>Házirend létrehozása területre. Platformként válassza az "iOS/iPadOS" lehetőséget, majd válassza a Létrehozás lehetőséget.
Adja meg a szabályzat nevét, például a Jailbreak megfelelőségi szabályzatát.
A megfelelőségi beállítások lapon bontsa ki az Eszközállapot szakaszt, majd válassza
Block
a Jailbreakelt eszközök mezőben.A Meg nem felelési műveletek szakaszban válassza ki a kívánt műveleteket, majd válassza a Tovább gombot.
A Hozzárendelések szakaszban válassza ki a szabályzathoz felvenni kívánt felhasználói csoportokat, majd válassza a Tovább gombot.
A Felülvizsgálat + létrehozás szakaszban ellenőrizze, hogy minden megadott információ helyes-e, majd válassza a Létrehozás lehetőséget.
Egyéni jelzők konfigurálása
Az iOS-en futó Végponthoz készült Defender lehetővé teszi, hogy a rendszergazdák egyéni jelzőket konfiguráljanak iOS-eszközökön is. Az egyéni mutatók konfigurálásával kapcsolatos további információkért lásd: Mutatók kezelése.
Megjegyzés:
Az iOS-en futó Végponthoz készült Defender csak URL-címekhez és tartományokhoz támogatja az egyéni jelzők létrehozását. Az IP-alapú egyéni jelzők nem támogatottak iOS rendszeren.
iOS esetén nem jön létre riasztás a Microsoft Defender XDR-en, ha a mutatóban beállított URL-cím vagy tartomány hozzá van adva.
Alkalmazások sebezhetőségi felmérésének konfigurálása
A kiberkockázat csökkentéséhez átfogó kockázatalapú biztonságirés-kezelésre van szükség a legkritikusabb eszközök legnagyobb biztonsági réseinek azonosításához, értékeléséhez, elhárításához és nyomon követéséhez, mindezt egyetlen megoldásban. Ezen az oldalon többet is megtudhat a Végponthoz készült Microsoft Defender biztonságirés-kezeléséről.
Az iOS-en futó Végponthoz készült Defender támogatja az operációs rendszer és az alkalmazások sebezhetőségi felmérését. Az iOS-verziók sebezhetőségi felmérése a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az alkalmazások sebezhetőségi felmérése csak regisztrált (MDM-) eszközökre vonatkozik. A rendszergazdák az alábbi lépésekkel konfigurálhatják az alkalmazások sebezhetőségi felmérését.
Felügyelt eszközön
Győződjön meg arról, hogy az eszköz felügyelt módban van konfigurálva.
Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.
Megjegyzés:
Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, a rendszergazdának engedélyeznie kell a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást az Intune felügyeleti portálján a "Személyes" jelölésű felügyelt eszközök esetében. Az Intune felügyeleti portálján "Vállalati" jelöléssel ellátott felügyelt eszközök esetén a rendszergazdának nem kell engedélyeznie a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.
Nem felügyelt eszközön
Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.
Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, engedélyezze a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.
Az adatvédelmi beállítás konfigurálásához kövesse az alábbi lépéseket.
Lépjen az Alkalmazások>Alkalmazáskonfigurációs szabályzatok>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot: Platform>iOS/iPadOS.
Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.
A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá
DefenderTVMPrivacyMode
kulcsként. Állítsa be az értéktípusát a következőre:String
.- Az adatvédelem letiltásához és a telepített alkalmazások listájának gyűjtéséhez adja meg a értéket ,
False
majd rendelje hozzá ezt a szabályzatot a felhasználókhoz. - Alapértelmezés szerint ez az érték nem felügyelt eszközök esetén a értékre
True
van állítva. - A végponthoz készült Defender a kulcskészlettel
False
rendelkező felhasználók számára elküldi az eszközön telepített alkalmazások listáját a sebezhetőségi felméréshez.
- Az adatvédelem letiltásához és a telepített alkalmazások listájának gyűjtéséhez adja meg a értéket ,
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.
A konfiguráció alkalmazása után a végfelhasználóknak meg kell nyitniuk az alkalmazást az adatvédelmi beállítás jóváhagyásához.
- Az adatvédelmi jóváhagyás képernyője csak nem felügyelt eszközök esetén jelenik meg.
- Az alkalmazásadatok csak akkor lesznek elküldve a Végponthoz készült Defender konzolra, ha a végfelhasználó jóváhagyja az adatvédelemmel kapcsolatos információkat.
Miután telepítette az ügyfélverziókat az iOS-eszközök megcélzására, megkezdődik a feldolgozás. Az eszközökön talált biztonsági rések megjelennek a Defender biztonságirés-kezelés irányítópultján. A feldolgozás néhány órát (legfeljebb 24 órát) is igénybe vehet. Ez az időkeret különösen igaz arra, hogy az alkalmazások teljes listája megjelenik a szoftverleltárban.
Megjegyzés:
Ha ssl-ellenőrzési megoldást használ az iOS-eszközön, adja hozzá a tartományneveket securitycenter.windows.com
(kereskedelmi környezetekben) és securitycenter.windows.us
(GCC-környezetekben) a fenyegetés- és biztonságirés-kezelési funkciók működéséhez.
Kijelentkezés letiltása
Az iOS-en futó Végponthoz készült Defender támogatja az üzembe helyezést kijelentkezés nélkül gomb az alkalmazásban, hogy a felhasználók ne jelentkezzenek ki a Defender alkalmazásból. Ez azért fontos, hogy a felhasználók ne módosítják az eszközt.
Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják a kijelentkezés letiltását
Kijelentkezés letiltása az MDM használatával
Regisztrált eszközök (MDM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.
Válassza a lehetőséget
Microsoft Defender for Endpoint
célalkalmazásként.A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá
DisableSignOut
kulcsként. Állítsa be az értéktípusát a következőre:String
.- Alapértelmezés szerint:
DisableSignOut = false
. - A rendszergazda beállíthatja
DisableSignOut = true
, hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.
- Alapértelmezés szerint:
Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
Kijelentkezés letiltása a MAM használatával
Nem regisztrált eszközök (MAM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.
Nevezze el a szabályzatot.
A Nyilvános alkalmazások kiválasztása területen válassza ki
Microsoft Defender for Endpoint
a célalkalmazást.A Beállítások lapon adja hozzá
DisableSignOut
a értéket kulcsként, és állítsa az értékét értékkénttrue
.- Alapértelmezés szerint:
DisableSignOut = false
. - A rendszergazda beállíthatja
DisableSignOut = true
, hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.
- Alapértelmezés szerint:
Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
Eszközcímkézés
Az iOS-en futó Végponthoz készült Defender lehetővé teszi a mobileszközök tömeges címkézését az előkészítés során, mivel lehetővé teszi, hogy a rendszergazdák címkéket állítsanak be az Intune-on keresztül. A rendszergazda konfigurálhatja az eszközcímkéket az Intune-on keresztül konfigurációs szabályzatokkal, és leküldheti őket a felhasználó eszközeire. Miután a felhasználó telepítette és aktiválta a Defendert, az ügyfélalkalmazás átadja az eszközcímkéket a Microsoft Defender portálnak. Az eszközcímkék az eszközleltárban lévő eszközökön jelennek meg.
Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják az eszközcímkéket.
Eszközcímkék konfigurálása az MDM használatával
Regisztrált eszközök (MDM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.
Válassza a lehetőséget
Microsoft Defender for Endpoint
célalkalmazásként.A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá
DefenderDeviceTag
kulcsként. Állítsa be az értéktípusát a következőre:String
.- A rendszergazdák új címkét rendelhetnek hozzá a kulcs
DefenderDeviceTag
hozzáadásával és az eszközcímke értékének beállításával. - A rendszergazdák a kulcs
DefenderDeviceTag
értékének módosításával szerkeszthetik a meglévő címkéket. - A rendszergazdák törölhetik a meglévő címkéket a kulcs
DefenderDeviceTag
eltávolításával.
- A rendszergazdák új címkét rendelhetnek hozzá a kulcs
Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
Eszközcímkék konfigurálása a MAM használatával
Nem regisztrált eszközök (MAM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.
Nevezze el a szabályzatot.
A Nyilvános alkalmazások kiválasztása területen válassza ki
Microsoft Defender for Endpoint
a célalkalmazást.A Beállítások lapon adja hozzá
DefenderDeviceTag
a elemet kulcsként (az Általános konfigurációs beállítások területen).- A rendszergazdák új címkét rendelhetnek hozzá a kulcs
DefenderDeviceTag
hozzáadásával és az eszközcímke értékének beállításával. - A rendszergazdák a kulcs
DefenderDeviceTag
értékének módosításával szerkeszthetik a meglévő címkéket. - A rendszergazdák törölhetik a meglévő címkéket a kulcs
DefenderDeviceTag
eltávolításával.
- A rendszergazdák új címkét rendelhetnek hozzá a kulcs
Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
Megjegyzés:
A Microsoft Defender alkalmazást meg kell nyitni ahhoz, hogy a címkék szinkronizálva legyenek az Intune-nal, és át legyenek adva a Microsoft Defender portálnak. Akár 18 órába is telhet, hogy a címkék megjelenjenek a portálon.
Operációsrendszer-frissítési értesítések mellőzése
Az ügyfelek számára elérhető egy konfiguráció, amely letiltja az operációs rendszer frissítési értesítését az iOS-en futó Végponthoz készült Defenderben. Ha a konfigurációs kulcs be van állítva az Intune alkalmazáskonfigurációs szabályzataiban, a Végponthoz készült Defender nem küld értesítéseket az eszközön az operációs rendszer frissítéseiről. A Microsoft Defender alkalmazás megnyitásakor azonban az Eszközállapot kártya látható, és megjeleníti az operációs rendszer állapotát.
Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel letilthatják az operációs rendszer frissítéséről szóló értesítést.
Operációsrendszer-frissítési értesítések konfigurálása az MDM használatával
Regisztrált eszközök (MDM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.
Válassza a lehetőséget
Microsoft Defender for Endpoint
célalkalmazásként.A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá
SuppressOSUpdateNotification
kulcsként. Állítsa be az értéktípusát a következőre:String
.- Alapértelmezés szerint:
SuppressOSUpdateNotification = false
. - A rendszergazda beállíthatja
SuppressOSUpdateNotification = true
, hogy letiltsa az operációs rendszer frissítési értesítéseit. - Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
- Alapértelmezés szerint:
Operációsrendszer-frissítési értesítések konfigurálása a MAM használatával
Nem regisztrált eszközök (MAM) esetén
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.
Nevezze el a szabályzatot.
A Nyilvános alkalmazások kiválasztása területen válassza ki
Microsoft Defender for Endpoint
a célalkalmazást.A Beállítások lapon adja hozzá
SuppressOSUpdateNotification
a elemet kulcsként (az Általános konfigurációs beállítások területen).- Alapértelmezés szerint:
SuppressOSUpdateNotification = false
. - A rendszergazda beállíthatja
SuppressOSUpdateNotification = true
, hogy letiltsa az operációs rendszer frissítési értesítéseit.
- Alapértelmezés szerint:
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.
Az alkalmazáson belüli visszajelzés küldésére vonatkozó beállítás konfigurálása
Az ügyfelek mostantól konfigurálhatják, hogy visszajelzési adatokat küldjenek a Microsoftnak a Végponthoz készült Defender alkalmazásban. A visszajelzési adatok segítenek a Microsoftnak a termékek fejlesztésében és a problémák elhárításában.
Megjegyzés:
Az USA kormányzati felhőszolgáltatásának ügyfelei számára a visszajelzési adatgyűjtés alapértelmezés szerint le van tiltva.
Az alábbi lépésekkel konfigurálhatja a visszajelzési adatok Microsoftnak való küldésének lehetőségét:
A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.
Adjon nevet a szabályzatnak, és válassza a Platform > iOS/iPadOS profiltípust.
Válassza a lehetőséget
Microsoft Defender for Endpoint
célalkalmazásként.A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá
DefenderFeedbackData
kulcsként, és állítsa be az értéktípusát a következőkéntBoolean
: .- Ha meg szeretné szüntetni a végfelhasználók visszajelzésre való képességét, állítsa be az értéket értékként
false
, és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékretrue
van állítva. Az USA kormányzati ügyfelei esetében az alapértelmezett érték "false" (hamis). - A kulcskészlettel
true
rendelkező felhasználók számára az alkalmazásban lehetősége van visszajelzési adatokat küldeni a Microsoftnak (Menü>súgója & Visszajelzés>küldése a Microsoftnak).
- Ha meg szeretné szüntetni a végfelhasználók visszajelzésre való képességét, állítsa be az értéket értékként
Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.
Nem biztonságos webhelyek jelentése
Az adathalász webhelyek személyes vagy pénzügyi adatainak megszerzése céljából megbízható webhelyeket személyesnek minősítenek. Látogasson el a Visszajelzés küldése a hálózatvédelemről lapra egy adathalász webhelyet tartalmazó webhely bejelentéséhez.
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.