Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Az iOS-en futó Végponthoz készült Defender VPN-t használna a Web Protection szolgáltatás biztosításához. Ez nem egy hagyományos VPN, és egy helyi/önhurkos VPN, amely nem veszi át a forgalmat az eszközön kívül.

Feltételes hozzáférés a Végponthoz készült Defenderrel iOS rendszeren

Az iOS-en futó Végponthoz készült Microsoft Defender, valamint a Microsoft Intune és a Microsoft Entra ID lehetővé teszi az eszközmegfelelőségi és feltételes hozzáférési szabályzatok kikényszerítését az eszköz kockázati pontszáma alapján. A Végponthoz készült Defender egy Mobile Threat Defense- (MTD-) megoldás, amelyet az Intune-on keresztül üzembe helyezhet a funkció használatához.

A végponthoz készült Defenderrel való feltételes hozzáférés iOS-en való beállításáról további információt a Végponthoz készült Defender és az Intune című témakörben talál.

Webvédelem és VPN

Alapértelmezés szerint az iOS-en futó Végponthoz készült Defender tartalmazza és engedélyezi a webes védelmet, amely segít megvédeni az eszközöket a webes fenyegetésekkel szemben, és megvédeni a felhasználókat az adathalász támadásoktól. Az adathalászat elleni és az egyéni jelzők (URL és tartomány) a webvédelem részeként támogatottak. Az IP-alapú egyéni jelzők jelenleg nem támogatottak iOS rendszeren. A webes tartalomszűrés jelenleg nem támogatott mobilplatformokon (Android és iOS).

Az iOS-en futó Végponthoz készült Defender VPN-t használ a képesség biztosításához. A VPN helyi, és a hagyományos VPN-ektől eltérően a hálózati forgalom nem lesz elküldve az eszközön kívül.

Bár alapértelmezés szerint engedélyezve van, előfordulhat, hogy bizonyos esetekben le kell tiltania a VPN-t. Például olyan alkalmazásokat szeretne futtatni, amelyek nem működnek VPN konfigurálásakor. Ilyen esetekben letilthatja a VPN-t az eszközön található alkalmazásból az alábbi lépésekkel:

1. iOS-eszközén nyissa meg a Beállítások alkalmazást, válassza az Általános , majd a VPN lehetőséget.

2. Válassza a Végponthoz készült Microsoft Defender i gombját.

3. Kapcsolja ki az Igény szerinti csatlakozás beállítást a VPN letiltásához.

   

Megjegyzés:

A webvédelem nem érhető el, ha a VPN le van tiltva. A webvédelem újbóli engedélyezéséhez nyissa meg a Végponthoz készült Microsoft Defender alkalmazást az eszközön, majd válassza a VPN indítása lehetőséget.

Webes védelem letiltása

A webvédelem a Végponthoz készült Defender egyik fő funkciója, és ehhez VPN szükséges. A használt VPN nem hagyományos, hanem helyi/visszacsatolási VPN, azonban több oka is lehet annak, hogy az ügyfelek nem kedvelik a VPN-t. Ha nem szeretne VPN-t beállítani, letilthatja a webes védelmet, és üzembe helyezheti a Végponthoz készült Defendert a funkció nélkül. A Végponthoz készült Defender egyéb funkciói továbbra is működnek.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az MDM-et használó ügyfelek számára a rendszergazdák az alkalmazáskonfigurálásban felügyelt eszközökön keresztül konfigurálhatják a webvédelmet. A regisztrációval nem rendelkező ügyfelek számára a MAM használatával a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják a webvédelmet.

Webvédelem konfigurálása

Webvédelem letiltása az MDM használatával

A regisztrált eszközök webes védelmének letiltásához kövesse az alábbi lépéseket.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot: Platform > iOS/iPadOS.

3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, majd adja hozzá WebProtection kulcsként, és állítsa értéktípusát értékre String.

   • Alapértelmezés szerint: WebProtection = true. A rendszergazdának be kell állítania WebProtection = false , hogy kikapcsolja a webvédelmet.
   • A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
   • Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Webvédelem letiltása a MAM használatával

Az alábbi lépésekkel letilthatja a nem regisztrált eszközök webes védelmét.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

2. Nevezze el a szabályzatot.

3. A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.

4. A Beállítások lap Általános konfigurációs beállítások területén adja hozzá WebProtection a értéket kulcsként, és állítsa az értékét értékre false.

   • Alapértelmezés szerint: WebProtection = true. A rendszergazdák beállíthatják WebProtection = false , hogy kikapcsolják a webvédelmet.
   • A Végponthoz készült Defender minden alkalommal elküldi a szívverést a Microsoft Defender portálnak, amikor egy felhasználó megnyitja az alkalmazást.
   • Válassza a Tovább lehetőséget, majd rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Megjegyzés:

A WebProtection kulcs nem alkalmazható a felügyelt eszközök listájában lévő vezérlőszűrőre. Ha le szeretné tiltani a felügyelt eszközök webes védelmét, eltávolíthatja a Vezérlőszűrő profilt.

Hálózatvédelem konfigurálása

A végponthoz készült Microsoft Defender hálózati védelme alapértelmezés szerint le van tiltva. A rendszergazdák az alábbi lépésekkel konfigurálhatják a hálózatvédelmet. Ez a konfiguráció az MDM-konfiguráción keresztül regisztrált és a nem regisztrált eszközökhöz is elérhető a MAM-konfiguráción keresztül.

Megjegyzés:

A hálózatvédelemhez csak egy szabályzatot kell létrehozni az MDM vagy a MAM használatával. A hálózatvédelem inicializálásához a végfelhasználónak egyszer kell megnyitnia az alkalmazást.

Hálózatvédelem konfigurálása az MDM használatával

A regisztrált eszközök MDM-konfigurációjának használatával történő hálózatvédelem beállításához kövesse az alábbi lépéseket:

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Adja meg a szabályzat nevét és leírását. A Platform területen válassza az iOS/iPad lehetőséget.

3. A megcélzott alkalmazásban válassza a Végponthoz készült Microsoft Defender lehetőséget.

4. A Beállítások lapon válassza a Konfigurációs beállítások formátuma Konfigurációtervező használata lehetőséget.

5. Adja hozzá DefenderNetworkProtectionEnable konfigurációs kulcsként. Állítsa az értéktípusát a értékre, Stringés állítsa az értékét a false hálózatvédelem letiltásához. (A hálózatvédelem alapértelmezés szerint engedélyezve van.)

   

6. A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat, és válassza ki a megfelelő értéktípust és értéket.

   Kulcs	Értéktípus	Alapértelmezett (true-enable, false-disable)	Leírás
   DefenderOpenNetworkDetection	Egész szám	2	1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda felügyeli a nyílt hálózat észlelésének naplózására, letiltására vagy engedélyezésére. Naplózási módban a rendszer csak végfelhasználói élmény nélkül küld riasztásokat a Microsoft Defender portálra. Végfelhasználói élmény esetén állítsa be a következőre: Enable.
   DefenderEndUserTrustFlowEnable	Karakterlánc	téves	true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban.
   DefenderNetworkProtectionAutoRemediation	Karakterlánc	igaz	true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást.
   DefenderNetworkProtectionPrivacy	Karakterlánc	igaz	true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat.

7. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.

8. Tekintse át és hozza létre a konfigurációs szabályzatot.

Hálózatvédelem konfigurálása MAM használatával

Az alábbi eljárással állíthatja be a NEM regisztrált eszközök MAM-konfigurációját a hálózatvédelemhez (a MAM-konfigurációhoz hitelesítő eszközregisztráció szükséges) az iOS-eszközökön.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazások>hozzáadása>Új alkalmazáskonfigurációs szabályzat létrehozása területre.

   

2. Adjon meg egy nevet és egy leírást a szabályzat egyedi azonosításához. Ezután válassza a Nyilvános alkalmazások kiválasztása, majd a Microsoft Defender for Platform iOS/iPadOS lehetőséget.

   

3. A Beállítások lapon adja hozzá a DefenderNetworkProtectionEnable kulcsot és a hálózati védelem letiltásának értékét false . (A hálózatvédelem alapértelmezés szerint engedélyezve van.)

   

4. A hálózatvédelemmel kapcsolatos egyéb konfigurációkhoz adja hozzá a következő kulcsokat és a megfelelő értéket.

   Kulcs	Alapértelmezett (igaz – engedélyezés, hamis – letiltás)	Leírás
   DefenderOpenNetworkDetection	2	1 – Naplózás, 0 – Letiltás, 2 – Engedélyezés (alapértelmezett). Ezt a beállítást egy rendszergazda kezeli a nyílt hálózat észlelésének engedélyezéséhez, naplózásához vagy letiltásához. Naplózási módban a rendszer csak felhasználói felület nélkül küld riasztásokat az ATP-portálnak. A felhasználói élmény érdekében állítsa a konfigurációt "Engedélyezés" módra.
   DefenderEndUserTrustFlowEnable	téves	true - enable, false - disable; Ezt a beállítást a rendszergazdák arra használják, hogy engedélyezhessék vagy letilthassák az alkalmazáson belüli végfelhasználói élményt, hogy megbízzanak a nem biztonságos és gyanús hálózatokban.
   DefenderNetworkProtectionAutoRemediation	igaz	true - enable, false - disable; Ezt a beállítást a rendszergazda használja a szervizelési riasztások engedélyezésére vagy letiltására, amelyek akkor lesznek elküldve, ha a felhasználó szervizelési tevékenységeket végez, például a biztonságosabb WIFI hozzáférési pontokra való váltást.
   DefenderNetworkProtectionPrivacy	igaz	true - enable, false - disable; Ezt a beállítást a rendszergazda felügyeli, hogy engedélyezze vagy tiltsa le az adatvédelmet a hálózatvédelemben. Ha az adatvédelem le van tiltva, akkor megjelenik a felhasználói hozzájárulás a rosszindulatú wifi megosztásához. Ha az adatvédelem engedélyezve van, akkor nem jelenik meg felhasználói hozzájárulás, és nem gyűjt alkalmazásadatokat.

5. A Hozzárendelések szakaszban a rendszergazda kiválaszthatja a szabályzatba felvenni és kizárni kívánt felhasználói csoportokat.

   

6. Tekintse át és hozza létre a konfigurációs szabályzatot.

Több VPN-profil egyidejű használata

Az Apple iOS nem támogatja több eszközszintű VPN egyidejű aktiválását. Bár több VPN-profil is létezhet az eszközön, egyszerre csak egy VPN lehet aktív.

Végponthoz készült Microsoft Defender kockázati jel konfigurálása az alkalmazásvédelmi szabályzatban (MAM)

Az iOS-en futó Végponthoz készült Microsoft Defender lehetővé teszi az alkalmazásvédelmi szabályzat forgatókönyvét. A végfelhasználók közvetlenül az Apple app store-ból telepíthetik az alkalmazás legújabb verzióját. Győződjön meg arról, hogy az eszköz regisztrálva van az Authenticatorban ugyanazzal a fiókkal, amelyet a Sikeres MAM-regisztrációhoz használt a Defenderben való előkészítéshez.

A Végponthoz készült Microsoft Defender konfigurálható úgy, hogy veszélyforrás-jeleket küldjön, amelyeket az alkalmazásvédelmi szabályzatokban (APP, más néven MAM) használnak iOS/iPadOS rendszeren. Ezzel a képességgel a Végponthoz készült Microsoft Defender használatával is megvédheti a vállalati adatokhoz való hozzáférést a nem regisztrált eszközökről.

Az alábbi hivatkozás lépéseit követve alkalmazásvédelmi szabályzatokat állíthat be a Végponthoz készült Microsoft Defenderrel A Defender kockázati jelzéseinek konfigurálása az alkalmazásvédelmi szabályzatban (MAM)

A MAM- vagy alkalmazásvédelmi szabályzattal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi szabályzat beállításai.

Adatvédelmi vezérlők

Az iOS-en futó Végponthoz készült Microsoft Defender adatvédelmi vezérlőket biztosít a rendszergazdák és a végfelhasználók számára is. Ez magában foglalja a regisztrált (MDM) és a nem regisztrált (MAM) eszközök vezérlőinek használatát.

Ha MDM-et használ, a rendszergazdák az alkalmazáskonfigurálás felügyelt eszközein keresztül konfigurálhatják az adatvédelmi vezérlőket. Ha regisztráció nélkül használja a MAM-ot, a rendszergazdák az alkalmazáskonfigurálásban felügyelt alkalmazásokon keresztül konfigurálhatják az adatvédelmi vezérlőket. A végfelhasználók a Microsoft Defender alkalmazásbeállításaiban is konfigurálhatnak adatvédelmi beállításokat.

Adatvédelem konfigurálása adathalász riasztási jelentésben

Az ügyfelek mostantól engedélyezhetik az iOS-en a Végponthoz készült Microsoft Defender által küldött adathalász jelentés adatvédelmi szabályozását, így a tartománynév nem szerepel az adathalászati riasztások részeként, ha a Végponthoz készült Microsoft Defender adathalász webhelyet észlel és blokkol.

Adatvédelmi vezérlők konfigurálása az MDM-ben

Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot( Platform > iOS/iPadOS), majd válassza ki a profil típusát.

3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderExcludeURLInReport kulcsként, és állítsa az értéktípusát logikai értékre.

   • Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket, true és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
   • A kulcskészlettel truerendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.

5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Adatvédelmi vezérlők konfigurálása a MAM-ban

Az alábbi lépésekkel engedélyezheti az adatvédelmet, és nem gyűjthet tartománynevet a nem regisztrált eszközökre vonatkozó adathalász riasztási jelentés részeként.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

2. Nevezze el a szabályzatot.

3. A Nyilvános alkalmazások kiválasztása területen válassza a Végponthoz készült Microsoft Defendert célalkalmazásként.

4. A Beállítások lap Általános konfigurációs beállítások területén adja hozzá DefenderExcludeURLInReport a értéket kulcsként, és állítsa be az értékét a következőként true: .

   • Ha engedélyezni szeretné az adatvédelmet, és nem szeretné összegyűjteni a tartománynevet, adja meg az értéket, true és rendelje hozzá ezt a házirendet a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
   • A kulcskészlettel truerendelkező felhasználók esetében az adathalászati riasztás nem tartalmazza a tartománynév-információkat, ha a Végponthoz készült Defender rosszindulatú webhelyet észlel és blokkol.

5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Végfelhasználói adatvédelmi vezérlők konfigurálása a Microsoft Defender alkalmazásban

Ezek a vezérlők segítenek a végfelhasználónak konfigurálni a szervezettel megosztott információkat.

Felügyelt eszközök esetén a végfelhasználói vezérlők nem láthatók. A rendszergazda dönti el és szabályozza a beállításokat. A nem felügyelt eszközök esetében azonban a vezérlő a Beállítások > adatvédelmi beállításai alatt jelenik meg.

A felhasználók a Nem biztonságos webhelyadatok kapcsolót látják. Ez a kapcsoló csak akkor látható, ha a rendszergazda beállította a beállítást DefenderExcludeURLInReport = true.

Ha egy rendszergazda engedélyezi, a felhasználók megadhatjak, hogy nem biztonságos webhelyadatokat küldjenek-e a szervezetüknek. Alapértelmezés szerint a értékre falsevan állítva, ami azt jelenti, hogy a rendszer nem küldi el a nem biztonságos webhelyadatokat. Ha a felhasználó átváltja a beállítást értékre true, a rendszer nem biztonságos webhelyadatokat küld.

Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.

Megjegyzés:

A konfigurációs profillal rendelkező felügyelt eszközökön a Végponthoz készült Microsoft Defender hozzáférhet a teljes URL-címhez, és ha adathalásznak találják, az le lesz tiltva. A nem felügyelt eszközökön a Végponthoz készült Microsoft Defender csak a tartománynévhez fér hozzá, és ha a tartomány nem adathalász URL-cím, nem lesz letiltva.

Nem kötelező engedélyek

Az iOS-en futó Végponthoz készült Microsoft Defender opcionális engedélyeket engedélyez az előkészítési folyamatban. A Végponthoz készült Defenderhez szükséges engedélyek jelenleg kötelezőek az előkészítési folyamatban. Ezzel a funkcióval a rendszergazdák anélkül helyezhetik üzembe a Végponthoz készült Defendert BYOD-eszközökön, hogy kötelező VPN-engedélyt kényszerítenének az előkészítés során. A végfelhasználók a kötelező engedélyek nélkül is regisztrálhatják az alkalmazást, és később áttekinthetik ezeket az engedélyeket. Ez a funkció jelenleg csak regisztrált eszközökhöz (MDM) érhető el.

Választható engedélyek konfigurálása az MDM használatával

A rendszergazdák az alábbi lépésekkel engedélyezhetik a nem kötelező VPN-engedélyeket a regisztrált eszközökhöz.

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot, majd válassza a Platform > iOS/iPadOS lehetőséget.

3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderOptionalVPN kulcsként, és állítsa be az értéktípusát a következőként Boolean: .

   • A nem kötelező VPN-engedély engedélyezéséhez adja meg az értéket mint értéket true , és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékre falsevan állítva.
   • A kulcskészlettel truerendelkező felhasználók számára a felhasználók a VPN-engedély megadása nélkül is regisztrálhatják az alkalmazást.

5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Nem kötelező engedélyek konfigurálása végfelhasználóként

A végfelhasználók telepítik és megnyitják a Microsoft Defender alkalmazást az előkészítés megkezdéséhez.

• Ha egy rendszergazda opcionális engedélyeket állított be, akkor a felhasználó kihagyhatja a VPN-engedélyt, és befejezheti az előkészítést.
• Még akkor is, ha a felhasználó kihagyta a VPN-t, az eszköz képes a bevezetésre, és szívverést küld.
• Ha a VPN le van tiltva, a webes védelem nem aktív.
• Később a felhasználó engedélyezheti a webvédelmet az alkalmazásban, amely telepíti a VPN-konfigurációt az eszközön.

Megjegyzés:

Az opcionális engedély eltér a Web Protection letiltásától. Az opcionális VPN-engedély csak az előkészítés során segít kihagyni az engedélyt, de a végfelhasználó később áttekintheti és engedélyezheti azt. Bár a Webvédelem letiltása lehetővé teszi a felhasználók számára a Végponthoz készült Defender alkalmazás webes védelem nélküli előkészítését. Később nem engedélyezhető.

Jailbreakelés észlelése

A Végponthoz készült Microsoft Defender képes észlelni a feltört nem felügyelt és felügyelt eszközöket. Ezeket a jailbreak-ellenőrzéseket rendszeres időközönként végezzük. Ha a rendszer jailbreakeltként észlel egy eszközt, a következő események történnek:

• A rendszer magas kockázatú riasztást jelent a Microsoft Defender portálon. Ha az eszközmegfelelőség és a feltételes hozzáférés az eszköz kockázati pontszáma alapján van beállítva, akkor az eszköz nem fér hozzá a vállalati adatokhoz.
• Az alkalmazás felhasználói adatai törlődnek. Amikor a felhasználó jailbreakelés után megnyitja az alkalmazást, a VPN-profil (csak a Végponthoz készült Defender visszacsatolási VPN-profilja) is törlődik, és nem nyújt webes védelmet. Az Intune által biztosított VPN-profilok nem törlődnek.

Megfelelőségi szabályzat konfigurálása feltört eszközökhöz

A vállalati adatok feltört iOS-eszközökön való elérésének védelme érdekében javasoljuk, hogy állítsa be a következő megfelelőségi szabályzatot az Intune-ban.

Megjegyzés:

A jailbreakészlelés a Végponthoz készült Microsoft Defender által biztosított képesség iOS rendszeren. Javasoljuk azonban, hogy ezt a szabályzatot a jailbreak forgatókönyvek elleni további védelmi rétegként állítsa be.

Kövesse az alábbi lépéseket a feltört eszközökre vonatkozó megfelelőségi szabályzat létrehozásához.

1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>megfelelőségi szabályzatai>Házirend létrehozása területre. Platformként válassza az "iOS/iPadOS" lehetőséget, majd válassza a Létrehozás lehetőséget.

   

2. Adja meg a szabályzat nevét, például a Jailbreak megfelelőségi szabályzatát.

3. A megfelelőségi beállítások lapon bontsa ki az Eszközállapot szakaszt, majd válassza Block a Jailbreakelt eszközök mezőben.

   

4. A Meg nem felelési műveletek szakaszban válassza ki a kívánt műveleteket, majd válassza a Tovább gombot.

   

5. A Hozzárendelések szakaszban válassza ki a szabályzathoz felvenni kívánt felhasználói csoportokat, majd válassza a Tovább gombot.

6. A Felülvizsgálat + létrehozás szakaszban ellenőrizze, hogy minden megadott információ helyes-e, majd válassza a Létrehozás lehetőséget.

Egyéni jelzők konfigurálása

Az iOS-en futó Végponthoz készült Defender lehetővé teszi, hogy a rendszergazdák egyéni jelzőket konfiguráljanak iOS-eszközökön is. Az egyéni mutatók konfigurálásával kapcsolatos további információkért lásd: Mutatók kezelése.

Megjegyzés:

Az iOS-en futó Végponthoz készült Defender csak URL-címekhez és tartományokhoz támogatja az egyéni jelzők létrehozását. Az IP-alapú egyéni jelzők nem támogatottak iOS rendszeren.

iOS esetén nem jön létre riasztás a Microsoft Defender XDR-en, ha a mutatóban beállított URL-cím vagy tartomány hozzá van adva.

Alkalmazások sebezhetőségi felmérésének konfigurálása

A kiberkockázat csökkentéséhez átfogó kockázatalapú biztonságirés-kezelésre van szükség a legkritikusabb eszközök legnagyobb biztonsági réseinek azonosításához, értékeléséhez, elhárításához és nyomon követéséhez, mindezt egyetlen megoldásban. Ezen az oldalon többet is megtudhat a Végponthoz készült Microsoft Defender biztonságirés-kezeléséről.

Az iOS-en futó Végponthoz készült Defender támogatja az operációs rendszer és az alkalmazások sebezhetőségi felmérését. Az iOS-verziók sebezhetőségi felmérése a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. Az alkalmazások sebezhetőségi felmérése csak regisztrált (MDM-) eszközökre vonatkozik. A rendszergazdák az alábbi lépésekkel konfigurálhatják az alkalmazások sebezhetőségi felmérését.

Felügyelt eszközön

1. Győződjön meg arról, hogy az eszköz felügyelt módban van konfigurálva.

2. Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.

   

Megjegyzés:

Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, a rendszergazdának engedélyeznie kell a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást az Intune felügyeleti portálján a "Személyes" jelölésű felügyelt eszközök esetében. Az Intune felügyeleti portálján "Vállalati" jelöléssel ellátott felügyelt eszközök esetén a rendszergazdának nem kell engedélyeznie a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.

Nem felügyelt eszközön

1. Ha engedélyezni szeretné a funkciót a Microsoft Intune Felügyeleti központban, lépjen a Végpontbiztonság>>Végponthoz készült Microsoft DefenderAlkalmazásszinkronizálás engedélyezése iOS/iPadOS-eszközökhöz című szakaszra.

   

2. Az összes alkalmazás listájának lekéréséhez, beleértve a nem felügyelt alkalmazásokat is, engedélyezze a Teljes alkalmazásleltár-adatok küldése személyes tulajdonú iOS-/iPadOS-eszközökön beállítást.

   

3. Az adatvédelmi beállítás konfigurálásához kövesse az alábbi lépéseket.

   1. Lépjen az Alkalmazások>Alkalmazáskonfigurációs szabályzatok>Felügyelt eszközökhozzáadása> területre.

   2. Nevezze el a szabályzatot: Platform>iOS/iPadOS.

   3. Célalkalmazásként válassza a Végponthoz készült Microsoft Defender lehetőséget.

   4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DefenderTVMPrivacyMode kulcsként. Állítsa be az értéktípusát a következőre: String.

      • Az adatvédelem letiltásához és a telepített alkalmazások listájának gyűjtéséhez adja meg a értéket , Falsemajd rendelje hozzá ezt a szabályzatot a felhasználókhoz.
      • Alapértelmezés szerint ez az érték nem felügyelt eszközök esetén a értékre True van állítva.
      • A végponthoz készült Defender a kulcskészlettel Falserendelkező felhasználók számára elküldi az eszközön telepített alkalmazások listáját a sebezhetőségi felméréshez.

   5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

   6. Az adatvédelmi vezérlők be- és kikapcsolása nincs hatással az eszköz megfelelőségi ellenőrzésére vagy a feltételes hozzáférésre.

4. A konfiguráció alkalmazása után a végfelhasználóknak meg kell nyitniuk az alkalmazást az adatvédelmi beállítás jóváhagyásához.

   • Az adatvédelmi jóváhagyás képernyője csak nem felügyelt eszközök esetén jelenik meg.
   • Az alkalmazásadatok csak akkor lesznek elküldve a Végponthoz készült Defender konzolra, ha a végfelhasználó jóváhagyja az adatvédelemmel kapcsolatos információkat.

   

Miután telepítette az ügyfélverziókat az iOS-eszközök megcélzására, megkezdődik a feldolgozás. Az eszközökön talált biztonsági rések megjelennek a Defender biztonságirés-kezelés irányítópultján. A feldolgozás néhány órát (legfeljebb 24 órát) is igénybe vehet. Ez az időkeret különösen igaz arra, hogy az alkalmazások teljes listája megjelenik a szoftverleltárban.

Megjegyzés:

Ha ssl-ellenőrzési megoldást használ az iOS-eszközön, adja hozzá a tartományneveket securitycenter.windows.com (kereskedelmi környezetekben) és securitycenter.windows.us (GCC-környezetekben) a fenyegetés- és biztonságirés-kezelési funkciók működéséhez.

Kijelentkezés letiltása

Az iOS-en futó Végponthoz készült Defender támogatja az üzembe helyezést kijelentkezés nélkül gomb az alkalmazásban, hogy a felhasználók ne jelentkezzenek ki a Defender alkalmazásból. Ez azért fontos, hogy a felhasználók ne módosítják az eszközt.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják a kijelentkezés letiltását

Kijelentkezés letiltása az MDM használatával

Regisztrált eszközök (MDM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DisableSignOut kulcsként. Állítsa be az értéktípusát a következőre: String.

   • Alapértelmezés szerint: DisableSignOut = false.
   • A rendszergazda beállíthatja DisableSignOut = true , hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.

5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Kijelentkezés letiltása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

2. Nevezze el a szabályzatot.

3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

4. A Beállítások lapon adja hozzá DisableSignOut a értéket kulcsként, és állítsa az értékét értékként true.

   • Alapértelmezés szerint: DisableSignOut = false.
   • A rendszergazda beállíthatja DisableSignOut = true , hogy letiltsa a kijelentkezés gombot az alkalmazásban. A felhasználók nem látják a kijelentkezés gombot a szabályzat leküldése után.

5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Eszközcímkézés

Az iOS-en futó Végponthoz készült Defender lehetővé teszi a mobileszközök tömeges címkézését az előkészítés során, mivel lehetővé teszi, hogy a rendszergazdák címkéket állítsanak be az Intune-on keresztül. A rendszergazda konfigurálhatja az eszközcímkéket az Intune-on keresztül konfigurációs szabályzatokkal, és leküldheti őket a felhasználó eszközeire. Miután a felhasználó telepítette és aktiválta a Defendert, az ügyfélalkalmazás átadja az eszközcímkéket a Microsoft Defender portálnak. Az eszközcímkék az eszközleltárban lévő eszközökön jelennek meg.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel konfigurálhatják az eszközcímkéket.

Eszközcímkék konfigurálása az MDM használatával

Regisztrált eszközök (MDM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá DefenderDeviceTag kulcsként. Állítsa be az értéktípusát a következőre: String.

   • A rendszergazdák új címkét rendelhetnek hozzá a kulcs DefenderDeviceTag hozzáadásával és az eszközcímke értékének beállításával.
   • A rendszergazdák a kulcs DefenderDeviceTagértékének módosításával szerkeszthetik a meglévő címkéket.
   • A rendszergazdák törölhetik a meglévő címkéket a kulcs DefenderDeviceTageltávolításával.

5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Eszközcímkék konfigurálása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

2. Nevezze el a szabályzatot.

3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

4. A Beállítások lapon adja hozzá DefenderDeviceTag a elemet kulcsként (az Általános konfigurációs beállítások területen).

   • A rendszergazdák új címkét rendelhetnek hozzá a kulcs DefenderDeviceTag hozzáadásával és az eszközcímke értékének beállításával.
   • A rendszergazdák a kulcs DefenderDeviceTagértékének módosításával szerkeszthetik a meglévő címkéket.
   • A rendszergazdák törölhetik a meglévő címkéket a kulcs DefenderDeviceTageltávolításával.

5. Válassza a Tovább gombot, majd rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Megjegyzés:

A Microsoft Defender alkalmazást meg kell nyitni ahhoz, hogy a címkék szinkronizálva legyenek az Intune-nal, és át legyenek adva a Microsoft Defender portálnak. Akár 18 órába is telhet, hogy a címkék megjelenjenek a portálon.

Operációsrendszer-frissítési értesítések mellőzése

Az ügyfelek számára elérhető egy konfiguráció, amely letiltja az operációs rendszer frissítési értesítését az iOS-en futó Végponthoz készült Defenderben. Ha a konfigurációs kulcs be van állítva az Intune alkalmazáskonfigurációs szabályzataiban, a Végponthoz készült Defender nem küld értesítéseket az eszközön az operációs rendszer frissítéseiről. A Microsoft Defender alkalmazás megnyitásakor azonban az Eszközállapot kártya látható, és megjeleníti az operációs rendszer állapotát.

Ez a konfiguráció a regisztrált (MDM) és a nem regisztrált (MAM) eszközökhöz is elérhető. A rendszergazdák az alábbi lépésekkel letilthatják az operációs rendszer frissítéséről szóló értesítést.

Operációsrendszer-frissítési értesítések konfigurálása az MDM használatával

Regisztrált eszközök (MDM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Nevezze el a szabályzatot, majd válassza a Platform>iOS/iPadOS lehetőséget.

3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, és adja hozzá SuppressOSUpdateNotification kulcsként. Állítsa be az értéktípusát a következőre: String.

   • Alapértelmezés szerint: SuppressOSUpdateNotification = false.
   • A rendszergazda beállíthatja SuppressOSUpdateNotification = true , hogy letiltsa az operációs rendszer frissítési értesítéseit.
   • Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Operációsrendszer-frissítési értesítések konfigurálása a MAM használatával

Nem regisztrált eszközök (MAM) esetén

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt alkalmazásokhozzáadása> területre.

2. Nevezze el a szabályzatot.

3. A Nyilvános alkalmazások kiválasztása területen válassza ki Microsoft Defender for Endpoint a célalkalmazást.

4. A Beállítások lapon adja hozzá SuppressOSUpdateNotification a elemet kulcsként (az Általános konfigurációs beállítások területen).

   • Alapértelmezés szerint: SuppressOSUpdateNotification = false.
   • A rendszergazda beállíthatja SuppressOSUpdateNotification = true , hogy letiltsa az operációs rendszer frissítési értesítéseit.

5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a szabályzatot a megcélzott eszközökhöz/felhasználókhoz.

Az alkalmazáson belüli visszajelzés küldésére vonatkozó beállítás konfigurálása

Az ügyfelek mostantól konfigurálhatják, hogy visszajelzési adatokat küldjenek a Microsoftnak a Végponthoz készült Defender alkalmazásban. A visszajelzési adatok segítenek a Microsoftnak a termékek fejlesztésében és a problémák elhárításában.

Megjegyzés:

Az USA kormányzati felhőszolgáltatásának ügyfelei számára a visszajelzési adatgyűjtés alapértelmezés szerint le van tiltva.

Az alábbi lépésekkel konfigurálhatja a visszajelzési adatok Microsoftnak való küldésének lehetőségét:

1. A Microsoft Intune Felügyeleti központban lépjen az AlkalmazásokAlkalmazáskonfigurációs szabályzatok>>Felügyelt eszközökhozzáadása> területre.

2. Adjon nevet a szabályzatnak, és válassza a Platform > iOS/iPadOS profiltípust.

3. Válassza a lehetőséget Microsoft Defender for Endpoint célalkalmazásként.

4. A Beállítások lapon válassza a Konfigurációtervező használata lehetőséget, adja hozzá DefenderFeedbackData kulcsként, és állítsa be az értéktípusát a következőként Boolean: .

   • Ha meg szeretné szüntetni a végfelhasználók visszajelzésre való képességét, állítsa be az értéket értékként false , és rendelje hozzá ezt a szabályzatot a felhasználókhoz. Ez az érték alapértelmezés szerint értékre truevan állítva. Az USA kormányzati ügyfelei esetében az alapértelmezett érték "false" (hamis).
   • A kulcskészlettel truerendelkező felhasználók számára az alkalmazásban lehetősége van visszajelzési adatokat küldeni a Microsoftnak (Menü>súgója & Visszajelzés>küldése a Microsoftnak).

5. Válassza a Tovább lehetőséget, és rendelje hozzá ezt a profilt a megcélzott eszközökhöz/felhasználókhoz.

Nem biztonságos webhelyek jelentése

Az adathalász webhelyek személyes vagy pénzügyi adatainak megszerzése céljából megbízható webhelyeket személyesnek minősítenek. Látogasson el a Visszajelzés küldése a hálózatvédelemről lapra egy adathalász webhelyet tartalmazó webhely bejelentéséhez.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.