Distribuire Microsoft Defender per endpoint in iOS con Microsoft Intune

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questo articolo descrive la distribuzione di Defender per endpoint in iOS (usando l'app Microsoft Defender) con Microsoft Intune Portale aziendale dispositivi registrati. Per altre informazioni sulla registrazione Microsoft Intune dispositivo, vedere Registrare dispositivi iOS/iPadOS in Intune.

Prima di iniziare

• Assicurarsi di avere accesso all'interfaccia di amministrazione Microsoft Intune e al portale di Microsoft Defender.

• Assicurarsi che la registrazione iOS sia eseguita per gli utenti. Gli utenti devono avere una licenza di Defender per endpoint assegnata per usare l'app Microsoft Defender. Per istruzioni su come assegnare licenze, vedere Assegnare licenze agli utenti .

• Assicurarsi che gli utenti finali abbiano installato l'app Portale aziendale, abbiano eseguito l'accesso e completato la registrazione.

Nota

L'app Microsoft Defender è disponibile nella App Store Apple.

In questa sezione vengono trattati i temi seguenti:

1. Passaggi di distribuzione (applicabili sia per i dispositivi con supervisione che per i dispositivi non supervisionati) - Gli amministratori possono distribuire Defender per endpoint in iOS tramite Microsoft Intune Portale aziendale. Questo passaggio non è necessario per le app VPP (volume purchase).

2. Distribuzione completa (solo per i dispositivi con supervisione): gli amministratori possono scegliere di distribuire uno qualsiasi dei profili specificati.

   • Filtro di controllo zero touch (invisibile all'utente): fornisce protezione Web senza la VPN di loopback locale e consente l'onboarding invisibile all'utente. L'app viene installata e attivata automaticamente senza la necessità per gli utenti di aprire l'app.
   • Filtro di controllo : fornisce protezione Web senza la VPN di loopback locale.

3. Configurazione automatica dell'onboarding (solo per i dispositivi non supervisionati ): gli amministratori possono automatizzare l'onboarding di Defender per endpoint per gli utenti in due modi diversi:

   • Onboarding zero touch (invisibile all'utente): l'app Microsoft Defender viene installata e attivata automaticamente senza la necessità per gli utenti di aprire l'app.
   • Onboarding automatico della VPN : il profilo VPN di Defender per endpoint viene configurato automaticamente senza che l'utente lo faccia durante l'onboarding. Questo passaggio non è consigliato nelle configurazioni a tocco zero.

4. Configurazione della registrazione utente (solo per Intune dispositivi registrati dall'utente): gli amministratori possono distribuire e configurare l'app Defender per endpoint anche nei dispositivi registrati dall'utente Intune.

5. Completare l'onboarding e controllare lo stato: questo passaggio è applicabile a tutti i tipi di registrazione per garantire che l'app sia installata nel dispositivo, che l'onboarding sia completato e che il dispositivo sia visibile nel portale di Microsoft Defender. Può essere ignorato per l'onboarding senza tocco (invisibile all'utente).

Passaggi di distribuzione (applicabili sia per i dispositivi con supervisione che per i dispositivi non supervisionati)

Distribuire Defender per endpoint in iOS tramite Microsoft Intune Portale aziendale.

Aggiungere un'app di iOS Store

1. Nell'interfaccia di amministrazione Microsoft Intune passare ad App>iOS/iPadOS>Aggiungi>app iOS Store e selezionare Seleziona.

   

2. Nella pagina Aggiungi app selezionare Cerca nel App Store e digitare Microsoft Defender nella barra di ricerca. Nella sezione risultati della ricerca selezionare Microsoft Defender e selezionare Seleziona.

3. Selezionare iOS 15.0 come sistema operativo minimo. Esaminare le altre informazioni sull'app e selezionare Avanti.

4. Nella sezione Assegnazioni passare alla sezione Obbligatorio e selezionare Aggiungi gruppo. È quindi possibile scegliere i gruppi di utenti che si desidera assegnare a Defender per endpoint nell'app iOS. Selezionare Seleziona e quindi avanti.

   Nota

   Il gruppo di utenti selezionato deve essere costituito da Microsoft Intune utenti registrati.

   

5. Nella sezione Rivedi e crea verificare che tutte le informazioni immesse siano corrette e quindi selezionare Crea. Tra qualche istante, l'app Defender per endpoint deve essere creata correttamente e dovrebbe essere visualizzata una notifica nell'angolo in alto a destra della pagina.

6. Nella pagina delle informazioni sull'app visualizzata selezionare Stato installazione dispositivo nella sezione Monitoraggio per verificare che l'installazione del dispositivo sia stata completata correttamente.

   

Distribuzione completa per i dispositivi con supervisione

L'app Microsoft Defender offre funzionalità avanzate nei dispositivi iOS/iPadOS con supervisione, usando le funzionalità di gestione avanzate della piattaforma. Offre anche protezione Web senza la necessità di una configurazione VPN locale nel dispositivo. In questo modo si garantisce un'esperienza utente senza problemi proteggendosi dal phishing e da altre minacce basate sul Web.

Gli amministratori possono usare la procedura seguente per configurare i dispositivi con supervisione.

Configurare la modalità supervisionata tramite Microsoft Intune

Configurare la modalità di supervisione per l'app Microsoft Defender tramite un criterio di configurazione dell'app e un profilo di configurazione del dispositivo.

Criteri di configurazione dell'app

Nota

Questo criterio di configurazione dell'app per i dispositivi con supervisione è applicabile solo ai dispositivi gestiti e deve essere destinato a TUTTI i dispositivi iOS gestiti come procedura consigliata.

1. Accedere all'interfaccia di amministrazione Microsoft Intune e passare a Criteri diconfigurazione>delle app>Aggiungi. Selezionare Dispositivi gestiti.

   

2. Nella pagina Crea criteri di configurazione dell'app specificare le informazioni seguenti:

   • Nome criterio
   • Piattaforma: selezionare iOS/iPadOS
   • App di destinazione: selezionare Microsoft Defender per endpoint dall'elenco

   

3. Nella schermata successiva selezionare Usa progettazione configurazione come formato. Specificare le proprietà seguenti:

   • Chiave di configurazione: issupervised
   • Tipo di valore: String
   • Valore di configurazione: {{issupervised}}

   

4. Selezionare Successivo per aprire la pagina Tag di ambito. I tag di ambito sono facoltativi. Selezionare Avanti per continuare.

5. Nella pagina Assegnazioni selezionare i gruppi che ricevono questo profilo. Per questo scenario, è consigliabile scegliere Tutti i dispositivi come destinazione. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Quando si esegue la distribuzione nei gruppi di utenti, gli utenti devono accedere ai propri dispositivi prima dell'applicazione dei criteri.

   Seleziona Avanti.

6. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Profilo di configurazione del dispositivo (filtro di controllo)

Nota

Per i dispositivi che eseguono iOS/iPadOS (in modalità supervisionata), è disponibile un profilo personalizzato .mobileconfig , denominato profilo ControlFilter . Questo profilo abilita la protezione Web senza configurare la VPN di loopback locale nel dispositivo. Ciò offre agli utenti finali un'esperienza senza problemi pur continuando a essere protetti dal phishing e da altri attacchi basati sul Web.

Tuttavia, il profilo ControlFilter non funziona con Always-On VPN (AOVPN) a causa di restrizioni della piattaforma.

Gli amministratori distribuiscono uno qualsiasi dei profili specificati.

1. Filtro di controllo zero touch (invisibile all'utente): questo profilo consente l'onboarding invisibile all'utente. Scaricare il profilo di configurazione da ControlFilterZeroTouch.

2. Filtro di controllo : scaricare il profilo di configurazione da ControlFilter.

Dopo aver scaricato il profilo, distribuire il profilo personalizzato. attenersi alla seguente procedura:

1. Passare a Dispositivi> profili diconfigurazione>iOS/iPadOS>Crea profilo.

2. Selezionare Modelli di tipo profilo> eNome> modelloPersonalizzato.

   

3. Specificare un nome del profilo. Quando viene richiesto di importare un file di profilo di configurazione, selezionare quello scaricato dal passaggio precedente.

4. Nella sezione Assegnazione selezionare il gruppo di dispositivi a cui si vuole applicare questo profilo. Come procedura consigliata, questa operazione deve essere applicata a tutti i dispositivi iOS gestiti. Seleziona Avanti.

   Nota

   La creazione del gruppo di dispositivi è supportata sia in Defender per endpoint piano 1 che in piano 2.

5. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo appena creato viene visualizzato nell'elenco dei profili.

Configurazione automatica dell'onboarding (solo per i dispositivi non supervisionati)

Gli amministratori possono automatizzare l'onboarding in Defender per endpoint per gli utenti in due modi diversi con l'onboarding zero touch (invisibile all'utente) o l'onboarding automatico della VPN.

Onboarding zero-touch (invisibile all'utente) in Defender per endpoint

Nota

Il tocco zero non può essere configurato nei dispositivi iOS registrati senza affinità utente (dispositivi senza utente o dispositivi condivisi).

Gli amministratori possono configurare Microsoft Defender per endpoint per la distribuzione e l'attivazione invisibile all'utente. In questo processo l'amministratore crea un profilo di distribuzione e l'utente riceve una notifica dell'installazione. Defender per endpoint viene quindi installato automaticamente senza richiedere all'utente di aprire l'app. Seguire la procedura descritta in questo articolo per configurare la distribuzione senza tocco o invisibile all'utente di Defender per endpoint nei dispositivi iOS registrati:

1. Nell'interfaccia di amministrazione Microsoft Intune passare aProfili> di configurazione dei dispositivi>Crea profilo.

2. Scegliere Piattaforma come iOS/iPadOS, Tipo di profilo come Modelli e Nome modello come VPN. Selezionare Crea.

3. Digitare un nome per il profilo e selezionare Avanti.

4. Selezionare VPN personalizzata per Tipo di connessione e nella sezione VPN di base immettere quanto segue:

   • Nome connessione: Microsoft Defender per endpoint
   • Indirizzo del server VPN: 127.0.0.1
   • Metodo di autenticazione: "Nome utente e password"
   • Suddivisione del tunneling: Disable
   • Identificatore VPN: com.microsoft.scmx
   • Nelle coppie chiave-valore immettere la chiave SilentOnboard e impostare il valore su True.
   • Tipo di VPN automatica: On-demand VPN
   • Selezionare Aggiungi per Regole su richiesta, quindi selezionare Si vuole eseguire le operazioni seguenti: Connettere VPN e quindi impostare Limitare a: Tutti i domini.

   

   • Per imporre che la VPN non possa essere disabilitata nel dispositivo degli utenti, gli amministratori possono selezionare Sì da Blocca agli utenti di disabilitare la VPN automatica. Per impostazione predefinita, non è configurato e gli utenti possono disabilitare la VPN solo in Impostazioni.
   • Per consentire agli utenti di modificare l'interruttore VPN dall'interno dell'app, aggiungere EnableVPNToggleInApp = TRUE, nelle coppie chiave-valore. Per impostazione predefinita, gli utenti non possono modificare l'interruttore dall'interno dell'app.

5. Selezionare Avanti e assegnare il profilo agli utenti di destinazione.

6. Nella sezione Rivedi e crea verificare che tutte le informazioni immesse siano corrette e quindi selezionare Crea.

Dopo aver completato questa configurazione e aver eseguito la sincronizzazione con il dispositivo, nei dispositivi iOS di destinazione vengono eseguite le azioni seguenti:

• Defender per endpoint viene distribuito e sottoposto a onboarding invisibile all'utente. Il dispositivo è visibile nel portale di Microsoft Defender dopo l'onboarding.
• Viene inviata una notifica provvisoria al dispositivo dell'utente.
• Protezione Web e altre funzionalità sono attivate.

In alcuni casi, per motivi di sicurezza come le modifiche delle password, l'autenticazione a più fattori e così via, l'onboarding senza tocco potrebbe richiedere all'utente finale di accedere manualmente all'app Microsoft Defender. 

R: Per gli scenari di onboarding per la prima volta, gli utenti finali ricevono una notifica invisibile all'utente.

Gli utenti finali devono seguire questa procedura:

1. Aprire l'app Microsoft Defender o toccare il messaggio di notifica.

2. Selezionare l'account aziendale registrato nella schermata di selezione account.

3. Accedi.

Viene eseguito l'onboarding del dispositivo e viene avviata la creazione di report nel portale di Microsoft Defender.

B: Per i dispositivi già caricati, gli utenti finali visualizzano una notifica invisibile all'utente.

1. Aprire l'app Microsoft Defender o toccare la notifica.  

2. Quando richiesto dall'app Microsoft Defender, accedere.

Successivamente, il dispositivo avvia di nuovo la creazione di report nel portale di Microsoft Defender. 

Nota

• Il completamento della configurazione con tocco zero può richiedere fino a 5 minuti in background.
• Per i dispositivi con supervisione, gli amministratori possono configurare l'onboarding zero touch con il profilo di filtro del controllo ZeroTouch. In questo caso, il profilo VPN di Defender per endpoint non è installato nel dispositivo e la protezione Web viene fornita dal profilo filtro di controllo.

Onboarding automatico del profilo VPN (onboarding semplificato)

Nota

Questo passaggio semplifica il processo di onboarding configurando il profilo VPN. Se si usa Zero touch, non è necessario eseguire questo passaggio.

Per i dispositivi non supervisionati, viene usata una VPN per fornire la funzionalità protezione Web. Questa non è una normale VPN ed è una VPN locale/self-loop che non accetta il traffico all'esterno del dispositivo.

Gli amministratori possono configurare l'installazione automatica del profilo VPN. In questo modo viene configurato automaticamente il profilo VPN di Defender per endpoint senza che l'utente lo faccia durante l'onboarding.

1. Nell'interfaccia di amministrazione Microsoft Intune passare aProfili> di configurazione dei dispositivi>Crea profilo.

2. Scegliere Piattaforma come iOS/iPadOS e Tipo di profilo come VPN. Selezionare Crea.

3. Digitare un nome per il profilo e selezionare Avanti.

4. Selezionare VPN personalizzata per Tipo di connessione e nella sezione VPN di base immettere quanto segue:

   • Nome connessione: Microsoft Defender per endpoint
   • Indirizzo del server VPN: 127.0.0.1
   • Metodo di autenticazione: "Nome utente e password"
   • Suddivisione del tunneling: Disable
   • Identificatore VPN: com.microsoft.scmx
   • Nelle coppie chiave-valore immettere la chiave AutoOnboard e impostare il valore su True.
   • Tipo di VPN automatica: VPN su richiesta
   • Selezionare Aggiungi per Regole su richiesta e selezionare Si vuole eseguire le operazioni seguenti: Connect VPN, I want to restrict to: All domains( Tutti i domini).

   

   • Per assicurarsi che la VPN non possa essere disabilitata nel dispositivo di un utente, gli amministratori possono selezionare Sì da Blocca agli utenti di disabilitare la VPN automatica. Per impostazione predefinita, questa impostazione non è configurata e gli utenti possono disabilitare la VPN solo in Impostazioni.
   • Per consentire agli utenti di modificare l'interruttore VPN dall'interno dell'app, aggiungere EnableVPNToggleInApp = TRUE, nelle coppie chiave-valore. Per impostazione predefinita, gli utenti non possono modificare l'interruttore dall'interno dell'app.

5. Selezionare Avanti e assegnare il profilo agli utenti di destinazione.

6. Nella sezione Rivedi e crea verificare che tutte le informazioni immesse siano corrette e quindi selezionare Crea.

Configurazione della registrazione utente (solo per Intune dispositivi registrati dall'utente)

Microsoft Defender'app può essere distribuita in dispositivi iOS con Intune dispositivi registrati dall'utente seguendo questa procedura.

Amministratore

1. Configurare il profilo di registrazione utente in Intune. Intune supporta la registrazione utenti Apple basata su account e la registrazione utenti Apple con Portale aziendale. Altre informazioni sul confronto dei due metodi e selezionarne uno.

   • Configurare la registrazione utente con Portale aziendale
   • Configurare la registrazione utente guidata dall'account

2. Configurare il plug-in SSO. L'app Authenticator con estensione SSO è un prerequisito per la registrazione utente in un dispositivo iOS.

   • Creare un profilo di configurazione del dispositivo in Intune. Vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.
   • Assicurarsi di aggiungere queste due chiavi nel profilo di configurazione del dispositivo:
     • ID bundle dell'app: includere l'ID bundle dell'app Defender in questo elenco com.microsoft.scmx
     • Un'altra configurazione: Chiave: device_registration; Tipo: String; Valore: {{DEVICEREGISTRATION}}

3. Configurare la chiave MDM per la registrazione utente.

4. Nell'interfaccia di amministrazione Intune passare a Vai a Criteri diconfigurazione>app>Aggiungere>dispositivi gestiti.

5. Assegnare un nome al criterio e quindi selezionare Piattaforma>iOS/iPadOS.

6. Selezionare Microsoft Defender per endpoint come app di destinazione.

7. Nella pagina Impostazioni selezionare Usa Progettazione configurazione e aggiungere UserEnrollmentEnabled come chiave, con il tipo di valore come Stringe il valore impostato su True.

8. Gli amministratori possono eseguire il push dell'app Microsoft Defender come app VPP necessaria da Intune.

Utente finale

L'app Microsoft Defender viene installata nei dispositivi degli utenti. Ogni utente accede e completa il processo di onboarding. Dopo aver eseguito correttamente l'onboarding del dispositivo, è visibile nel portale di Microsoft Defender in Inventario dispositivi.

Funzionalità e limitazioni supportate

• Supporta tutte le funzionalità correnti di Defender per endpoint in iOS. Queste funzionalità includono protezione Web, protezione di rete, rilevamento jailbreak, vulnerabilità nel sistema operativo e nelle app e avvisi nel portale di Microsoft Defender.
• La distribuzione senza tocco (invisibile all'utente) e l'onboarding automatico della VPN non sono supportati con la registrazione utente perché gli amministratori non possono eseguire il push di un profilo VPN a livello di dispositivo con la registrazione utente.
• Per la gestione delle vulnerabilità delle app, saranno visibili solo le app nel profilo di lavoro.
• Possono essere necessari fino a 10 minuti perché i dispositivi appena caricati diventino conformi se sono interessati dai criteri di conformità.
• Per altre informazioni, vedere Funzionalità e limitazioni della registrazione utente.

Completare l'onboarding e controllare lo stato

1. Dopo aver installato Defender per endpoint in iOS nel dispositivo, viene visualizzata l'icona dell'app.

   

2. Toccare l'icona dell'app Defender per endpoint (Defender) e seguire le istruzioni visualizzate per completare i passaggi di onboarding. I dettagli includono l'accettazione da parte degli utenti finali delle autorizzazioni iOS richieste dall'app Microsoft Defender.

Nota

Ignorare questo passaggio se si configura l'onboarding senza tocco (invisibile all'utente). L'avvio manuale dell'applicazione non è necessario se è configurato l'onboarding senza tocco (invisibile all'utente).

3. Al termine dell'onboarding, il dispositivo inizia a essere visualizzato nell'elenco Dispositivi nel portale di Microsoft Defender.

   

Operazioni successive

• Configurare i criteri di protezione delle app per includere i segnali di rischio di Defender per endpoint (MAM)
• Configurare Defender per endpoint nelle funzionalità di iOS

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.