Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Az iOS-en futó Végponthoz készült Defender VPN-t használna a Web Protection szolgáltatás biztosításához. Ez nem egy hagyományos VPN, és egy helyi/önhurkos VPN, amely nem veszi át a forgalmat az eszközön kívül.

Feltételes hozzáférés a Végponthoz készült Defenderrel iOS rendszeren

Az iOS-en futó Végponthoz készült Microsoft Defender, valamint a Microsoft Intune és a Microsoft Entra ID lehetővé teszi az eszközmegfelelőségi és feltételes hozzáférési szabályzatok kikényszerítését az eszköz kockázati pontszáma alapján. A Végponthoz készült Defender egy Mobile Threat Defense- (MTD-) megoldás, amelyet az Intune-on keresztül üzembe helyezhet a funkció használatához.

A végponthoz készült Defenderrel való feltételes hozzáférés iOS-en való beállításáról további információt a Végponthoz készült Defender és az Intune című témakörben talál.

Webvédelem és VPN

Alapértelmezés szerint az iOS-en futó Végponthoz készült Defender tartalmazza és engedélyezi a webes védelmet, amely segít megvédeni az eszközöket a webes fenyegetésekkel szemben, és megvédeni a felhasználókat az adathalász támadásoktól. Az adathalászat elleni és az egyéni jelzők (URL és tartomány) a webvédelem részeként támogatottak. Az IP-alapú egyéni jelzők jelenleg nem támogatottak iOS rendszeren. A webes tartalomszűrés jelenleg nem támogatott mobilplatformokon (Android és iOS).

Az iOS-en futó Végponthoz készült Defender VPN-t használ a képesség biztosításához. A VPN helyi, és a hagyományos VPN-ektől eltérően a hálózati forgalom nem lesz elküldve az eszközön kívül.

Bár alapértelmezés szerint engedélyezve van, előfordulhat, hogy bizonyos esetekben le kell tiltania a VPN-t. Például olyan alkalmazásokat szeretne futtatni, amelyek nem működnek VPN konfigurálásakor. Ilyen esetekben letilthatja a VPN-t az eszközön található alkalmazásból az alábbi lépésekkel:

  1. iOS-eszközén nyissa meg a Beállítások alkalmazást, válassza az Általános , majd a VPN lehetőséget.

  2. Válassza a Végponthoz készült Microsoft Defender i gombját.

  3. Kapcsolja ki az Igény szerinti csatlakozás beállítást a VPN letiltásához.

    A VPN config Connect on demand (Igény szerinti csatlakozás) beállítás kapcsológombja

Megjegyzés:

A webvédelem nem érhető el, ha a VPN le van tiltva. A webvédelem újbóli engedélyezéséhez nyissa meg a Végponthoz készült Microsoft Defender alkalmazást az eszközön, majd válassza a VPN indítása lehetőséget.

Webes védelem letiltása

A webvédelem a Végponthoz készült Defender egyik fő funkciója, és ehhez VPN szükséges. A használt VPN nem hagyományos, hanem helyi/visszacsatolási VPN, azonban több oka is lehet annak, hogy az ügyfelek nem kedvelik a VPN-t. Ha nem szeretne VPN-t beállítani, letilthatja a webes védelmet, és üzembe helyezheti a Végponthoz készült Defendert a funkció nélkül. A Végponthoz készült Defender egyéb funkciói továbbra is működnek.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az MDM-et használó ügyfelek számára a rendszergazdák az alkalmazáskonfigurálásban felügyelt eszközökön keresztül konfigurálhatják a webvédelmet. A regisztrációval nem rendelkező ügyfelek számára a MAM használatával a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják a webvédelmet.

Webvédelem konfigurálása

Webvédelem letiltása az MDM használatával

A regisztrált eszközök webes védelmének letiltásához kövesse az alábbi lépéseket.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot: Platform > iOS/iPadOS.

  3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, majd adja hozzá WebProtection kulcsként, és állítsa értéktípusát értékre String.

    • Alapértelmezés szerint: WebProtection = true. A rendszergazdának be kell állítania WebProtection = false , hogy kikapcsolja a webvédelmet.
    • A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
    • Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Webvédelem letiltása a MAM használatával

Az alábbi lépésekkel letilthatja a nem regisztrált eszközök webes védelmét.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

  2. Nevezze el a szabályzatot.

  3. A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.

  4. A Beállítások lap Általános konfigurációs beállítások területén adja hozzá WebProtection a értéket kulcsként, és állítsa az értékét értékre false.

    • Alapértelmezés szerint: WebProtection = true. A rendszergazdák beállíthatják WebProtection = false , hogy kikapcsolják a webvédelmet.
    • A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
    • Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Megjegyzés:

A WebProtection kulcs nem alkalmazható a felügyelt eszközök listájában lévő vezérlőszűrőre. Ha le szeretné tiltani a felügyelt eszközök webes védelmét, eltávolíthatja a Vezérlőszűrő profilt.

Hálózatvédelem konfigurálása

A végponthoz készült Microsoft Defender hálózati védelme alapértelmezés szerint le van tiltva. A rendszergazdák az alábbi lépésekkel konfigurálhatják a hálózatvédelmet. Ez a konfiguráció az MDM-konfiguráción keresztül regisztrált és a nem regisztrált eszközökhöz is elérhető a MAM-konfiguráción keresztül.

Megjegyzés:

A hálózatvédelemhez csak egy szabályzatot kell létrehozni az MDM vagy a MAM használatával. A hálózatvédelem inicializálásához a végfelhasználónak egyszer kell megnyitnia az alkalmazást.

Hálózatvédelem konfigurálása az MDM használatával

A regisztrált eszközök MDM-konfigurációjának használatával történő hálózatvédelem beállításához kövesse az alábbi lépéseket:

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Adja meg a szabályzat nevét és leírását. A Platform területen válassza az iOS/iPad lehetőséget.

  3. A megcélzott alkalmazásban válassza a Végponthoz készült Microsoft Defender lehetőséget.

  4. A Beállítások lapon válassza a Konfigurációs beállítások formátuma Konfigurációtervező használata lehetőséget.

  5. Adja hozzá DefenderNetworkProtectionEnable konfigurációs kulcsként. Állítsa az értéktípusát a értékre, Stringés állítsa az értékét a false hálózatvédelem letiltásához. (A hálózatvédelem alapértelmezés szerint engedélyezve van.)

    Képernyőkép az mdm konfigurációs szabályzatról.

  6. A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat, és válassza ki a megfelelő értéktípust és értéket.

    Kulcs Értéktípus Alapértelmezett (true-enable, false-disable) Leírás
    DefenderOpenNetworkDetection Egész szám 2 1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda felügyeli a nyílt hálózat észlelésének naplózására, letiltására vagy engedélyezésére. Naplózási módban a rendszer csak végfelhasználói élmény nélkül küld riasztásokat a Microsoft Defender portálra. Végfelhasználói élmény esetén állítsa be a következőre: Enable.
    DefenderEndUserTrustFlowEnable Karakterlánc téves true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban.
    DefenderNetworkProtectionAutoRemediation Karakterlánc igaz true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást.
    DefenderNetworkProtectionPrivacy Karakterlánc igaz true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat.

  7. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.

  8. Tekintse át és hozza létre a konfigurációs szabályzatot.

Hálózatvédelem konfigurálása MAM használatával

Az alábbi eljárással állíthatja be a NEM regisztrált eszközök MAM-konfigurációját a hálózatvédelemhez (a MAM-konfigurációhoz hitelesítő eszközregisztráció szükséges) az iOS-eszközökön.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazások>hozzáadása>Új alkalmazáskonfigurációs szabályzat létrehozása területre.

    Konfigurációs szabályzat hozzáadása.

  2. Adjon meg egy nevet és egy leírást a szabályzat egyedi azonosításához. Ezután válassza a Nyilvános alkalmazások kiválasztása, majd a Microsoft Defender for Platform iOS/iPadOS lehetőséget.

    Nevezze el a konfigurációt.

  3. A Beállítások lapon adja hozzá a DefenderNetworkProtectionEnable kulcsot és a hálózati védelem letiltásának értékét false . (A hálózatvédelem alapértelmezés szerint engedélyezve van.)

    Adja hozzá a konfigurációs értéket.

  4. A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat és a megfelelő értéket.

    Kulcs Alapértelmezett (igaz – engedélyezés, hamis – letiltás) Leírás
    DefenderOpenNetworkDetection 2 1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda kezeli a nyílt hálózat észlelésének engedélyezéséhez, naplózásához vagy letiltásához. Naplózási módban a rendszer csak felhasználói felület nélkül küld riasztásokat az ATP-portálnak. A felhasználói élmény érdekében állítsa a konfigurációt "Engedélyezés" módra.
    DefenderEndUserTrustFlowEnable téves true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban.
    DefenderNetworkProtectionAutoRemediation igaz true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást.
    DefenderNetworkProtectionPrivacy igaz true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat.

  5. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.

    Konfiguráció hozzárendelése.

  6. Tekintse át és hozza létre a konfigurációs szabályzatot.

Több VPN-profil egyidejű használata

Az Apple iOS nem támogatja több eszközszintű VPN egyidejű aktiválását. Bár több VPN-profil is létezhet az eszközön, egyszerre csak egy VPN lehet aktív.

Végponthoz készült Microsoft Defender kockázati jel konfigurálása az alkalmazásvédelmi szabályzatban (MAM)

Az iOS-en futó Végponthoz készült Microsoft Defender lehetővé teszi az alkalmazásvédelmi szabályzat forgatókönyvét. A végfelhasználók közvetlenül az Apple app store-ból telepíthetik az alkalmazás legújabb verzióját. Győződjön meg arról, hogy az eszköz regisztrálva van az Authenticatorban ugyanazzal a fiókkal, amelyet a Sikeres MAM-regisztrációhoz használt a Defenderben való előkészítéshez.

A Végponthoz készült Microsoft Defender konfigurálható úgy, hogy veszélyforrás-jeleket küldjön, amelyeket az alkalmazásvédelmi szabályzatokban (APP, más néven MAM) használnak iOS/iPadOS rendszeren. Ezzel a képességgel a Végponthoz készült Microsoft Defender használatával is megvédheti a vállalati adatokhoz való hozzáférést a nem regisztrált eszközökről.

Az alábbi hivatkozás lépéseit követve alkalmazásvédelmi szabályzatokat állíthat be a Végponthoz készült Microsoft Defenderrel A Defender kockázati jelzéseinek konfigurálása az alkalmazásvédelmi szabályzatban (MAM)

A MAM- vagy alkalmazásvédelmi szabályzattal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi szabályzat beállításai.

Adatvédelmi vezérlők

Az iOS-en futó Végponthoz készült Microsoft Defender adatvédelmi vezérlőket biztosít a rendszergazdák és a végfelhasználók számára is. Ez magában foglalja a regisztrált (MDM) és a nem regisztrált (MAM) eszközök vezérlőinek használatát.

Ha MDM-et használ, a rendszergazdák az alkalmazáskonfigurálás felügyelt eszközein keresztül konfigurálhatják az adatvédelmi vezérlőket. Ha regisztráció nélkül használja a MAM-ot, a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják az adatvédelmi vezérlőket. A végfelhasználók a Microsoft Defender alkalmazásbeállításaiban is konfigurálhatnak adatvédelmi beállításokat.

Adatvédelem konfigurálása adathalász riasztási jelentésben

Az ügyfelek mostantól engedélyezhetik az iOS-en a Végponthoz készült Microsoft Defender által küldött adathalász jelentés adatvédelmi szabályozását, így a tartománynév nem szerepel az adathalászati riasztások részeként, ha a Végponthoz készült Microsoft Defender adathalász webhelyet észlel és blokkol.

Adatvédelmi vezérlők konfigurálása az MDM-ben

Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot( Platform > iOS/iPadOS), majd válassza ki a profil típusát.

  3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderExcludeURLInReport kulcsként, és állítsa az értéktípusát logikai értékre.

    • Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket, true és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
    • A kulcskészlettel truerendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.

  5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Adatvédelmi vezérlők konfigurálása a MAM-ban

Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a nem regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

  2. Nevezze el a szabályzatot.

  3. A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.

  4. A Beállítások lap Általános konfigurációs beállítások területén adja hozzá DefenderExcludeURLInReport a értéket kulcsként, és állítsa be az értékét a következőként true: .

    • Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket, true és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
    • A kulcskészlettel truerendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.

  5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Végfelhasználói adatvédelmi vezérlők konfigurálása a Microsoft Defender alkalmazásban

Ezek a vezérlők segítenek a végfelhasználónak konfigurálni a szervezettel megosztott információkat.

Felügyelt eszközök esetén a végfelhasználói vezérlők nem láthatók. A rendszergazda dönti el és szabályozza a beállításokat. A nem felügyelt eszközök esetében azonban a vezérlő a Beállítások > adatvédelmi beállításai alatt jelenik meg.

A felhasználók a Nem biztonságos webhelyadatok kapcsolót látják. Ez a kapcsoló csak akkor látható, ha a rendszergazda beállította a beállítást DefenderExcludeURLInReport = true.

Ha egy rendszergazda engedélyezi, a felhasználók megadhatjak, hogy nem biztonságos webhelyadatokat küldjenek-e a szervezetüknek. Alapértelmezés szerint a értékre falsevan állítva, ami azt jelenti, hogy a rendszer nem küldi el a nem biztonságos webhelyadatokat. Ha a felhasználó átváltja a beállítást értékre true, a rendszer nem biztonságos webhelyadatokat küld.

Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.

Megjegyzés:

A konfigurációs profillal rendelkező felügyelt eszközökön a Végponthoz készült Microsoft Defender hozzáférhet a teljes URL-címhez, és ha adathalásznak találják, az le lesz tiltva. A nem felügyelt eszközökön a Végponthoz készült Microsoft Defender csak a tartománynévhez fér hozzá, és ha a tartomány nem adathalász URL-cím, nem lesz letiltva.

Nem kötelező engedélyek

Az iOS-en futó Végponthoz készült Microsoft Defender opcionális engedélyeket engedélyez az előkészítési folyamatban. A Végponthoz készült Defenderhez szükséges engedélyek jelenleg kötelezőek az előkészítési folyamatban. Ezzel a funkcióval a rendszergazdák anélkül helyezhetik üzembe a Végponthoz készült Defendert BYOD-eszközökön, hogy kötelező VPN-engedélyt kényszerítenének az előkészítés során. A végfelhasználók a kötelező engedélyek nélkül is regisztrálhatják az alkalmazást, és később áttekinthetik ezeket az engedélyeket. Ez a funkció jelenleg csak regisztrált eszközökhöz (MDM) érhető el.

Választható engedélyek konfigurálása az MDM használatával

A rendszergazdák az alábbi lépésekkel engedélyezhetik a nem kötelező VPN-engedélyeket a regisztrált eszközökhöz.

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot, majd válassza a Platform > iOS/iPadOS lehetőséget.

  3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderOptionalVPN kulcsként, és állítsa be az értéktípusát a következőként Boolean: .

    • A nem kötelező VPN-engedély engedélyezéséhez adja meg az értéket mint értéket true , és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
    • A kulcskészlettel truerendelkező felhasználók számára a felhasználók a VPN-engedély megadása nélkül is regisztrálhatják az alkalmazást.

  5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Nem kötelező engedélyek konfigurálása végfelhasználóként

A végfelhasználók telepítik és megnyitják a Microsoft Defender alkalmazást az előkészítés megkezdéséhez.

  • Ha egy rendszergazda opcionális engedélyeket állított be, akkor a felhasználó kihagyhatja a VPN-engedélyt, és befejezheti az előkészítést.
  • Még akkor is, ha a felhasználó kihagyta a VPN-t, az eszköz képes a bevezetésre, és szívverést küld.
  • Ha a VPN le van tiltva, a webes védelem nem aktív.
  • Később a felhasználó engedélyezheti a webvédelmet az alkalmazásban, amely telepíti a VPN-konfigurációt az eszközön.

Megjegyzés:

Az opcionális engedély eltér a Web Protection letiltásától. Az opcionális VPN-engedély csak az előkészítés során segít kihagyni az engedélyt, de a végfelhasználó később áttekintheti és engedélyezheti azt. Bár a Webvédelem letiltása lehetővé teszi a felhasználók számára a Végponthoz készült Defender alkalmazás webes védelem nélküli előkészítését. Később nem engedélyezhető.

Jailbreakelés észlelése

A Végponthoz készült Microsoft Defender képes észlelni a feltört nem felügyelt és felügyelt eszközöket. Ezeket a jailbreak-ellenőrzéseket rendszeres időközönként végezzük. Ha a rendszer jailbreakeltként észlel egy eszközt, a következő események történnek:

  • A rendszer magas kockázatú riasztást jelent a Microsoft Defender portálon. Ha az eszközmegfelelőség és a feltételes hozzáférés az eszköz kockázati pontszáma alapján van beállítva, akkor az eszköz nem fér hozzá a vállalati adatokhoz.
  • Az alkalmazás felhasználói adatai törlődnek. Amikor a felhasználó jailbreakelés után megnyitja az alkalmazást, a VPN-profil (csak a Végponthoz készült Defender visszacsatolási VPN-profilja) is törlődik, és nem nyújt webes védelmet. Az Intune által biztosított VPN-profilok nem törlődnek.

Megfelelőségi szabályzat konfigurálása feltört eszközökhöz

A vállalati adatok feltört iOS-eszközökön való elérésének védelme érdekében javasoljuk, hogy állítsa be a következő megfelelőségi szabályzatot az Intune-ban.

Megjegyzés:

A jailbreakészlelés a Végponthoz készült Microsoft Defender által biztosított képesség iOS rendszeren. Javasoljuk azonban, hogy ezt a szabályzatot a jailbreak forgatókönyvek elleni további védelmi rétegként állítsa be.

Kövesse az alábbi lépéseket a feltört eszközökre vonatkozó megfelelőségi szabályzat létrehozásához.

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>megfelelőségi szabályzatai>Házirend létrehozása területre. Platformként válassza az "iOS/iPadOS" lehetőséget, majd válassza a Létrehozás lehetőséget.

    A Házirend létrehozása lap

  2. Adja meg a szabályzat nevét, például a Jailbreak megfelelőségi szabályzatát.

  3. A megfelelőségi beállítások lapon bontsa ki az Eszközállapot szakaszt, majd válassza Block a Jailbreakelt eszközök mezőben.

    A Megfelelőségi beállítások lap

  4. A Meg nem felelési műveletek szakaszban válassza ki a kívánt műveleteket, majd válassza a Tovább gombot.

    A Meg nem felelési műveletek lap

  5. A Hozzárendelések szakaszban válassza ki a szabályzathoz felvenni kívánt felhasználói csoportokat, majd válassza a Tovább gombot.

  6. A Felülvizsgálat + létrehozás szakaszban ellenőrizze, hogy minden megadott információ helyes-e, majd válassza a Létrehozás lehetőséget.

Egyéni jelzők konfigurálása

Az iOS-en futó Végponthoz készült Defender lehetővé teszi, hogy a rendszergazdák egyéni jelzőket konfiguráljanak iOS-eszközökön is. Az egyéni mutatók konfigurálásával kapcsolatos további információkért lásd: Mutatók kezelése.

Megjegyzés:

Az iOS-en futó Végponthoz készült Defender csak URL-címekhez és tartományokhoz támogatja az egyéni jelzők létrehozását. Az IP-alapú egyéni jelzők nem támogatottak iOS rendszeren.

iOS esetén nem jön létre riasztás a Microsoft Defender XDR-en, ha a mutatóban beállított URL-cím vagy tartomány hozzá van adva.

Alkalmazások sebezhetőségi felmérésének konfigurálása

A kiberkockázat csökkentéséhez átfogó kockázatalapú biztonságirés-kezelésre van szükség a legkritikusabb eszközök legnagyobb biztonsági réseinek azonosításához, értékeléséhez, elhárításához és nyomon követéséhez, mindezt egyetlen megoldásban. Ezen az oldalon többet is megtudhat a Végponthoz készült Microsoft Defender biztonságirés-kezeléséről.

Az iOS-en futó Végponthoz készült Defender támogatja az operációs rendszer és az alkalmazások sebezhetőségi felmérését. Az iOS-verziók sebezhetőségi felmérése a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az alkalmazások sebezhetőségi felmérése csak regisztrált (MDM-) eszközökre vonatkozik. A rendszergazdák az alábbi lépésekkel konfigurálhatják az alkalmazások sebezhetőségi felmérését.

Felügyelt eszközön

  1. Győződjön meg arról, hogy az eszköz felügyelt módban van konfigurálva.

  2. Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.

    Alkalmazásszinkronizálási kapcsolóSup

Megjegyzés:

Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, a rendszergazdának engedélyeznie kell a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást az Intune felügyeleti portálján a "Személyes" jelölésű felügyelt eszközök esetében. Az Intune felügyeleti portálján "Vállalati" jelöléssel ellátott felügyelt eszközök esetén a rendszergazdának nem kell engedélyeznie a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.

Nem felügyelt eszközön

  1. Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.

    Alkalmazásszinkronizálás váltógombja

  2. Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, engedélyezze a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.

    Teljes alkalmazásadatok

  3. Az adatvédelmi beállítás konfigurálásához kövesse az alábbi lépéseket.

    1. Lépjen az Alkalmazások>Alkalmazáskonfigurációs szabályzatok>Felügyelt eszközökhozzáadása> területre.

    2. Nevezze el a szabályzatot: Platform>iOS/iPadOS.

    3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

    4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DefenderTVMPrivacyMode kulcsként. Állítsa be az értéktípusát a következőre: String.

      • Az adatvédelem letiltásához és a telepített alkalmazások listájának gyűjtéséhez adja meg a értéket , Falsemajd rendelje hozzá ezt a szabályzatot a felhasználókhoz.
      • Alapértelmezés szerint ez az érték nem felügyelt eszközök esetén a értékre True van állítva.
      • A végponthoz készült Defender a kulcskészlettel Falserendelkező felhasználók számára elküldi az eszközön telepített alkalmazások listáját a sebezhetőségi felméréshez.

    5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

    6. Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.

  4. A konfiguráció alkalmazása után a végfelhasználóknak meg kell nyitniuk az alkalmazást az adatvédelmi beállítás jóváhagyásához.

    • Az adatvédelmi jóváhagyás képernyője csak nem felügyelt eszközök esetén jelenik meg.
    • Az alkalmazásadatok csak akkor lesznek elküldve a Végponthoz készült Defender konzolra, ha a végfelhasználó jóváhagyja az adatvédelemmel kapcsolatos információkat.

    A végfelhasználó adatvédelmi képernyőjének képernyőképe.

Miután telepítette az ügyfélverziókat az iOS-eszközök megcélzására, megkezdődik a feldolgozás. Az eszközökön talált biztonsági rések megjelennek a Defender biztonságirés-kezelés irányítópultján. A feldolgozás néhány órát (legfeljebb 24 órát) is igénybe vehet. Ez az időkeret különösen igaz arra, hogy az alkalmazások teljes listája megjelenik a szoftverleltárban.

Megjegyzés:

Ha ssl-ellenőrzési megoldást használ az iOS-eszközön, adja hozzá a tartományneveket securitycenter.windows.com (kereskedelmi környezetekben) és securitycenter.windows.us (GCC-környezetekben) a fenyegetés- és biztonságirés-kezelési funkciók működéséhez.

Kijelentkezés letiltása

Az iOS-en futó Végponthoz készült Defender támogatja az üzembe helyezést kijelentkezés nélkül gomb az alkalmazásban, hogy a felhasználók ne jelentkezzenek ki a Defender alkalmazásból. Ez azért fontos, hogy a felhasználók ne módosítják az eszközt.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják a kijelentkezés letiltását

Kijelentkezés letiltása az MDM használatával

Regisztrált eszközök (MDM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

  3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DisableSignOut kulcsként. Állítsa be az értéktípusát a következőre: String.

    • Alapértelmezés szerint: DisableSignOut = false.
    • A rendszergazda beállíthatja DisableSignOut = true , hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.

  5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Kijelentkezés letiltása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

  2. Nevezze el a szabályzatot.

  3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

  4. A Beállítások lapon adja hozzá DisableSignOut a értéket kulcsként, és állítsa az értékét értékként true.

    • Alapértelmezés szerint: DisableSignOut = false.
    • A rendszergazda beállíthatja DisableSignOut = true , hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.

  5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Eszközcímkézés

Az iOS-en futó Végponthoz készült Defender lehetővé teszi a mobileszközök tömeges címkézését az előkészítés során, mivel lehetővé teszi, hogy a rendszergazdák címkéket állítsanak be az Intune-on keresztül. A rendszergazda konfigurálhatja az eszközcímkéket az Intune-on keresztül konfigurációs szabályzatokkal, és leküldheti őket a felhasználó eszközeire. Miután a felhasználó telepítette és aktiválta a Defendert, az ügyfélalkalmazás átadja az eszközcímkéket a Microsoft Defender portálnak. Az eszközcímkék az eszközleltárban lévő eszközökön jelennek meg.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják az eszközcímkéket.

Eszközcímkék konfigurálása az MDM használatával

Regisztrált eszközök (MDM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

  3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DefenderDeviceTag kulcsként. Állítsa be az értéktípusát a következőre: String.

    • A rendszergazdák új címkét rendelhetnek hozzá a kulcs DefenderDeviceTag hozzáadásával és az eszközcímke értékének beállításával.
    • A rendszergazdák a kulcs DefenderDeviceTagértékének módosításával szerkeszthetik a meglévő címkéket.
    • A rendszergazdák törölhetik a meglévő címkéket a kulcs DefenderDeviceTageltávolításával.

  5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Eszközcímkék konfigurálása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

  2. Nevezze el a szabályzatot.

  3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

  4. A Beállítások lapon adja hozzá DefenderDeviceTag a elemet kulcsként (az Általános konfigurációs beállítások területen).

    • A rendszergazdák új címkét rendelhetnek hozzá a kulcs DefenderDeviceTag hozzáadásával és az eszközcímke értékének beállításával.
    • A rendszergazdák a kulcs DefenderDeviceTagértékének módosításával szerkeszthetik a meglévő címkéket.
    • A rendszergazdák törölhetik a meglévő címkéket a kulcs DefenderDeviceTageltávolításával.

  5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Megjegyzés:

A Microsoft Defender alkalmazást meg kell nyitni ahhoz, hogy a címkék szinkronizálva legyenek az Intune-nal, és át legyenek adva a Microsoft Defender portálnak. Akár 18 órába is telhet, hogy a címkék megjelenjenek a portálon.

Operációsrendszer-frissítési értesítések mellőzése

Az ügyfelek számára elérhető egy konfiguráció, amely letiltja az operációs rendszer frissítési értesítését az iOS-en futó Végponthoz készült Defenderben. Ha a konfigurációs kulcs be van állítva az Intune alkalmazáskonfigurációs szabályzataiban, a Végponthoz készült Defender nem küld értesítéseket az eszközön az operációs rendszer frissítéseiről. A Microsoft Defender alkalmazás megnyitásakor azonban az Eszközállapot kártya látható, és megjeleníti az operációs rendszer állapotát.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel letilthatják az operációs rendszer frissítéséről szóló értesítést.

Operációsrendszer-frissítési értesítések konfigurálása az MDM használatával

Regisztrált eszközök (MDM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

  3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá SuppressOSUpdateNotification kulcsként. Állítsa be az értéktípusát a következőre: String.

    • Alapértelmezés szerint: SuppressOSUpdateNotification = false.
    • A rendszergazda beállíthatja SuppressOSUpdateNotification = true , hogy letiltsa az operációs rendszer frissítési értesítéseit.
    • Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Operációsrendszer-frissítési értesítések konfigurálása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

  2. Nevezze el a szabályzatot.

  3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

  4. A Beállítások lapon adja hozzá SuppressOSUpdateNotification a elemet kulcsként (az Általános konfigurációs beállítások területen).

    • Alapértelmezés szerint: SuppressOSUpdateNotification = false.
    • A rendszergazda beállíthatja SuppressOSUpdateNotification = true , hogy letiltsa az operációs rendszer frissítési értesítéseit.

  5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Az alkalmazáson belüli visszajelzés küldésére vonatkozó beállítás konfigurálása

Az ügyfelek mostantól konfigurálhatják, hogy visszajelzési adatokat küldjenek a Microsoftnak a Végponthoz készült Defender alkalmazásban. A visszajelzési adatok segítenek a Microsoftnak a termékek fejlesztésében és a problémák elhárításában.

Megjegyzés:

Az USA kormányzati felhőszolgáltatásának ügyfelei számára a visszajelzési adatgyűjtés alapértelmezés szerint le van tiltva.

Az alábbi lépésekkel konfigurálhatja a visszajelzési adatok Microsoftnak való küldésének lehetőségét:

  1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

  2. Adjon nevet a szabályzatnak, és válassza a Platform > iOS/iPadOS profiltípust.

  3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

  4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderFeedbackData kulcsként, és állítsa be az értéktípusát a következőként Boolean: .

    • Ha meg szeretné szüntetni a végfelhasználók visszajelzésre való képességét, állítsa be az értéket értékként false , és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékre truevan állítva. Az USA kormányzati ügyfelei esetében az alapértelmezett érték "false" (hamis).
    • A kulcskészlettel truerendelkező felhasználók számára az alkalmazásban lehetősége van visszajelzési adatokat küldeni a Microsoftnak (Menü>súgója & Visszajelzés>küldése a Microsoftnak).

  5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Nem biztonságos webhelyek jelentése

Az adathalász webhelyek személyes vagy pénzügyi adatainak megszerzése céljából megbízható webhelyeket személyesnek minősítenek. Látogasson el a Visszajelzés küldése a hálózatvédelemről lapra egy adathalász webhelyet tartalmazó webhely bejelentéséhez.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.