Microsoft Intune を使用して iOS に Microsoft Defender for Endpoint を展開する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

このトピックでは、Microsoft Intune ポータル サイトに登録されているデバイスで iOS に Defender for Endpoint を展開する方法について説明します。 Microsoft Intune デバイス登録の詳細については、「 Intune での iOS/iPadOS デバイスの登録」を参照してください。

開始する前に

• Microsoft Intune 管理センターにアクセスできることを確認します。

• iOS 登録がユーザーに対して行われることを確認します。 iOS で Defender for Endpoint を使用するには、Defender for Endpoint ライセンスが割り当てられている必要があります。 ライセンスの 割り当て方法については、「ユーザーにライセンスを 割り当てる」を参照してください。

• エンド ユーザーがポータル サイト アプリをインストールし、サインインし、登録が完了したことを確認します。

注:

iOS 上の Microsoft Defender for Endpoint は、 Apple App Store で利用できます。

このセクションでは、次の手順について説明します。

1. 展開手順 ( 監視 対象デバイスと 教師なし デバイスの両方に適用) - 管理者は、Microsoft Intune ポータル サイトを介して iOS に Defender for Endpoint を展開できます。 この手順は、VPP (ボリューム購入) アプリには必要ありません。

2. 完全な展開 (監視対象デバイスの場合のみ) - 管理者は、指定されたプロファイルのいずれかを展開することを選択できます。

   1. ゼロ タッチ (サイレント) コントロール フィルター - ローカル ループバック VPN を使用せずに Web Protection を提供し、ユーザーのサイレント オンボードも可能にします。 アプリは自動的にインストールされ、ユーザーがアプリを開く必要なくアクティブ化されます。
   2. コントロール フィルター - ローカル ループバック VPN なしで Web 保護を提供します。

3. 自動オンボード設定 ( 教師なし デバイスの場合のみ) - 管理者は、ユーザーの Defender for Endpoint オンボードを 2 つの異なる方法で自動化できます。

   1. ゼロ タッチ (サイレント) オンボーディング - ユーザーがアプリを開く必要なく、アプリが自動的にインストールされ、アクティブ化されます。
   2. VPN の自動オンボード - Defender for Endpoint VPN プロファイルは、オンボード中にユーザーがそうしなくても自動的に設定されます。 この手順は、ゼロ タッチ構成では推奨されません。

4. ユーザー登録のセットアップ (Intune ユーザー登録済みデバイスの場合のみ) - 管理者は、Intune ユーザー登録済みデバイスに Defender for Endpoint アプリを展開して構成することもできます。

5. オンボードの完了と状態の確認 - この手順はすべての登録の種類に適用され、アプリがデバイスにインストールされ、オンボードが完了し、デバイスが Microsoft Defender ポータルに表示されるようにします。 ゼロ タッチ (サイレント) オンボードではスキップできます。

展開手順 (監視対象デバイスと監視対象外デバイスの両方に適用)

Microsoft Intune ポータル サイトを使用して、iOS に Defender for Endpoint を展開します。

iOS ストア アプリを追加する

1. Microsoft Intune 管理センターで、[アプリ>iOS/iPadOS>Add>iOS ストア アプリ] に移動し、[選択] をクリックします。

   

2. [ アプリの追加] ページで、[ App Store の検索 ] をクリックし、検索バーに 「Microsoft Defender 」と入力します。 [検索結果] セクションで、[ Microsoft Defender ] をクリックし、[ 選択] をクリックします。

3. [最小オペレーティング システム] として [ iOS 15.0 ] を選択します。 アプリに関する残りの情報を確認し、[ 次へ] をクリックします。

4. [ 割り当て] セクションで 、[ 必須 ] セクションに移動し、[ グループの追加] を選択します。 その後、iOS アプリで Defender for Endpoint をターゲットにするユーザー グループを選択できます。 [ 選択] をクリックし、[ 次へ] をクリックします。

   注:

   選択したユーザー グループは、Microsoft Intune に登録されているユーザーで構成されている必要があります。

   

5. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。 しばらくすると、Defender for Endpoint アプリが正常に作成され、ページの右上隅に通知が表示されます。

6. 表示されるアプリ情報ページの [ モニター ] セクションで、[ デバイスのインストール状態 ] を選択して、デバイスのインストールが正常に完了したことを確認します。

   

監視対象デバイスの完全な展開

iOS アプリ上の Microsoft Defender for Endpoint には、これらの種類のデバイスでプラットフォームによって提供される管理機能が強化された、監視対象の iOS/iPadOS デバイスに特化した機能があります。 また、デバイスでローカル VPN を設定せずに Web Protection を提供することもできます。 これにより、エンド ユーザーは、フィッシングやその他の Web ベースの攻撃から保護しながら、シームレスなエクスペリエンスを実現できます。

管理者は、次の手順を使用して監視対象デバイスを構成できます。

Microsoft Intune を使用して監視モードを構成する

アプリ構成ポリシーとデバイス構成プロファイルを使用して、Defender for Endpoint アプリの監視モードを構成します。

アプリ構成ポリシー

注:

監視対象デバイスのこのアプリ構成ポリシーは、管理対象デバイスにのみ適用され、ベスト プラクティスとしてすべての管理対象 iOS デバイスを対象とする必要があります。

1. Microsoft Intune 管理センターにサインインし、[アプリ>アプリ構成ポリシー>追加] に移動します。 [ 管理対象デバイス] を選択します。

   

2. [ アプリ構成ポリシーの作成 ] ページで、次の情報を指定します。

   • ポリシー名
   • プラットフォーム: [iOS/iPadOS] を選択します
   • 対象アプリ: 一覧から [Microsoft Defender for Endpoint ] を選択します

   

3. 次の画面で、[ 構成デザイナーを 形式として使用する] を選択します。 次のプロパティを指定します。

   • 構成キー: issupervised
   • 値の型:String
   • 構成値: {{issupervised}}

   

4. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

5. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 このシナリオでは、 すべてのデバイスをターゲットにすることをお勧めします。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

   ユーザー グループに展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。

   [次へ] をクリックします。

6. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

デバイス構成プロファイル (コントロール フィルター)

注:

iOS/iPadOS を実行するデバイス (監視モード) には、ControlFilter プロファイルと呼ばれるカスタム .mobileconfig プロファイルがあります。 このプロファイルでは、 デバイスでローカル ループバック VPN を設定せずに Web Protection を有効にします。 これにより、エンド ユーザーは、フィッシングやその他の Web ベースの攻撃から保護しながら、シームレスなエクスペリエンスを実現できます。

ただし、 ControlFilter プロファイルは、プラットフォームの制限のため、Always-On VPN (AOVPN) では機能しません。

管理者は、指定されたプロファイルのいずれかをデプロイします。

1. ゼロ タッチ (サイレント) コントロール フィルター - このプロファイルを使用すると、ユーザーのサイレント オンボーディングが有効になります。 ControlFilterZeroTouch から構成プロファイルをダウンロードする

2. コントロール フィルター - ControlFilter から構成プロファイルをダウンロードします。

プロファイルがダウンロードされたら、カスタム プロファイルをデプロイします。 次の手順に従います。

1. [デバイス>iOS/iPadOS>Configuration プロファイル>プロファイルの作成] に移動します。

2. [プロファイルの種類>テンプレートとテンプレート名>Custom] を選択します。

   

3. プロファイルの名前を指定します。 構成プロファイル ファイルのインポートを求められたら、前の手順からダウンロードしたファイルを選択します。

4. [ 割り当て ] セクションで、このプロファイルを適用するデバイス グループを選択します。 ベスト プラクティスとして、これはすべての管理対象 iOS デバイスに適用する必要があります。 [次へ] を選択します。

   注:

   デバイス グループの作成は、Defender for Endpoint Plan 1 とプラン 2 の両方でサポートされています。

5. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

自動オンボード設定 (教師なしデバイスの場合のみ)

管理者は、ゼロ タッチ (サイレント) オンボーディングまたは VPN の自動オンボードを使用して、2 つの異なる方法でユーザーの Defender オンボードを自動化できます。

Microsoft Defender for Endpoint のゼロタッチ (サイレント) オンボード

注:

ユーザー アフィニティ (ユーザーレス デバイスまたは共有デバイス) なしで登録されている iOS デバイスでは、ゼロタッチを構成できません。

管理者は、Microsoft Defender for Endpoint を構成して、サイレント モードで展開およびアクティブ化できます。 このフローでは、管理者がデプロイ プロファイルを作成し、ユーザーにインストールの通知を受け取るだけです。 Defender for Endpoint は、ユーザーがアプリを開く必要なく自動的にインストールされます。 登録されている iOS デバイスで Defender for Endpoint のゼロタッチまたはサイレント 展開を設定するには、次の手順に従います。

1. Microsoft Intune 管理センターで、デバイス>構成プロファイル>プロファイルの作成に移動します。

2. [iOS/iPadOS としてプラットフォーム] を選択し、[プロファイルの種類]を [テンプレート] として、[テンプレート名] を VPN として選択します。 [作成] を選択します。

3. プロファイルの名前を入力し、[ 次へ] を選択します。

4. [接続の種類] に [ カスタム VPN ] を選択し、[ 基本 VPN ] セクションで次のように入力します。

   • 接続名 = Microsoft Defender for Endpoint
   • VPN サーバー アドレス = 127.0.0.1
   • 認証方法 = "ユーザー名とパスワード"
   • スプリット トンネリング = 無効
   • VPN 識別子 = com.microsoft.scmx
   • キーと値のペアで、キー SilentOnboard を入力し、値を True に設定 します。
   • 自動 VPN の種類 = オンデマンド VPN
   • [オンデマンド ルールの追加] を選択し、[次の操作を行う ] = [VPN の接続] を選択します。[すべてのドメイン] に制限します。

   

   • 管理者は、ユーザー デバイスで VPN を無効にできないようにするには、[自動 VPN の無効化をユーザーにブロックする] から [はい] を選択できます。 既定では構成されておらず、ユーザーは [設定] でのみ VPN を無効にすることができます。
   • ユーザーがアプリ内から VPN トグルを変更できるようにするには、キーと値のペアに EnableVPNToggleInApp = TRUE を追加します。 既定では、ユーザーはアプリ内からトグルを変更できません。

5. [ 次へ ] を選択し、対象ユーザーにプロファイルを割り当てます。

6. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

上記の構成が完了し、デバイスと同期されると、対象の iOS デバイスで次のアクションが実行されます。

• Microsoft Defender for Endpoint がデプロイされ、サイレント オンボードされ、デバイスが Defender for Endpoint ポータルに表示されます。
• 仮通知がユーザー デバイスに送信されます。
• Web Protection やその他の機能がアクティブになります。

注:

• ゼロタッチのセットアップは、バックグラウンドで完了するまでに最大 5 分かかることがあります。
• 監視対象デバイスの場合、管理者は ZeroTouch コントロール フィルター プロファイルを使用してゼロ タッチ オンボードを設定できます。 Defender for Endpoint VPN プロファイルはデバイスにインストールされず、Web 保護はコントロール フィルター プロファイルによって提供されます。

VPN プロファイルの自動オンボード (簡易オンボード)

注:

この手順により、VPN プロファイルを設定することでオンボード プロセスが簡略化されます。 ゼロ タッチを使用している場合は、この手順を実行する必要はありません。

教師なしデバイスの場合、VPN を使用して Web 保護機能を提供します。 これは通常の VPN ではなく、デバイスの外部でトラフィックを受け取らないローカル/セルフループ VPN です。

管理者は、VPN プロファイルの自動セットアップを構成できます。 これにより、オンボード中にユーザーがそうしなくても、Defender for Endpoint VPN プロファイルが自動的に設定されます。

1. Microsoft Intune 管理センターで、デバイス>構成プロファイル>プロファイルの作成に移動します。

2. [iOS/iPadOS] として [プラットフォーム] を選択し、[プロファイルの種類] を [VPN] として選択します。 [作成] をクリックします。

3. プロファイルの名前を入力し、[ 次へ] をクリックします。

4. [接続の種類] に [ カスタム VPN ] を選択し、[ 基本 VPN ] セクションで次のように入力します。

   • 接続名 = Microsoft Defender for Endpoint

   • VPN サーバー アドレス = 127.0.0.1

   • 認証方法 = "ユーザー名とパスワード"

   • スプリット トンネリング = 無効

   • VPN 識別子 = com.microsoft.scmx

   • キーと値のペアで、キー AutoOnboard を入力し、値を True に設定 します。

   • 自動 VPN の種類 = オンデマンド VPN

   • [オンデマンド ルールの追加] を選択し、[次の操作を行う ] = [VPN の接続] を選択します。[すべてのドメイン] に制限します。

     

   • ユーザーのデバイスで VPN を無効にできないようにするには、[自動 VPN の無効化をユーザーにブロックする] から [はい] を選択できます。 既定では、この設定は構成されておらず、ユーザーは [設定] でのみ VPN を無効にすることができます。

   • ユーザーがアプリ内から VPN トグルを変更できるようにするには、キーと値のペアに EnableVPNToggleInApp = TRUE を追加します。 既定では、ユーザーはアプリ内からトグルを変更できません。

5. [ 次へ ] をクリックし、対象ユーザーにプロファイルを割り当てます。

6. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

ユーザー登録のセットアップ (Intune ユーザー登録デバイスの場合のみ)

Microsoft Defender iOS アプリは、次の手順を使用して、Intune ユーザー登録デバイスに展開できます。

管理者

1. Intune でユーザー登録プロファイルを設定します。 Intune では、アカウント駆動型の Apple ユーザー登録と、ポータル サイトを使用した Apple ユーザー登録がサポートされています。 2 つのメソッドの 比較 の詳細を確認し、1 つを選択します。

   • ポータル サイトを使用してユーザー登録を設定する
   • アカウント駆動型のユーザー登録を設定する

2. SSO プラグインを設定します。 SSO 拡張機能を持つ Authenticator アプリは、iOS デバイスでのユーザー登録の前提条件です。

   • Intune でデバイス構成プロファイルを作成する - MDM で iOS/iPadOS Enterprise SSO プラグインを構成する |Microsoft Learn。
   • 上記の構成で、次の 2 つのキーを必ず追加してください。
   • アプリ バンドル ID: このリストに Defender アプリ バンドル ID を含める com.microsoft.scmx
   • 追加の構成: キー - device_registration 。型 - 文字列 ;Value- {{DEVICEREGISTRATION}}

3. ユーザー登録の MDM キーを設定します。

   • Intune で、[アプリ > アプリ構成ポリシーに移動] > [管理対象デバイスの追加] > 移動します
   • ポリシーに名前を付け、[プラットフォーム > iOS/iPadOS] を選択します。
   • ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
   • [設定] ページで、[構成デザイナーを使用する] を選択し、 UserEnrolmentEnabled をキーとして追加し、値の型 を String として、値を True に追加します。

4. 管理者は、Intune から必要な VPP アプリとして Defender をプッシュできます。

エンド ユーザー

Defender アプリは、ユーザーのデバイスにインストールされます。 ユーザーがサインインし、オンボードを完了します。 デバイスが正常にオンボードされると、デバイス インベントリの下の Defender セキュリティ ポータルに表示されます。

サポートされている機能と制限事項

1. Web 保護、ネットワーク保護、脱獄検出、OS とアプリの脆弱性、Defender セキュリティ ポータルでのアラート、コンプライアンス ポリシーなど、Defender for Endpoint iOS のすべての現在の機能をサポートします。
2. 管理者はユーザー登録でデバイス全体の VPN プロファイルをプッシュできないため、VPN のゼロ タッチ (サイレント) 展開と自動オンボードはユーザー登録ではサポートされていません。
3. アプリの脆弱性管理では、仕事用プロファイル内のアプリのみが表示されます。
4. 新しくオンボードされたデバイスがコンプライアンス ポリシーの対象である場合、準拠するまでに最大 10 分かかる場合があります。
5. 詳細については、「 ユーザー登録の制限事項と機能」を参照してください。

オンボードを完了し、状態を確認する

1. iOS 上の Defender for Endpoint がデバイスにインストールされると、アプリ アイコンが表示されます。

   

2. Defender for Endpoint アプリ アイコン (MSDefender) をタップし、画面の指示に従ってオンボード手順を完了します。 詳細には、iOS 上の Defender for Endpoint で必要な iOS アクセス許可に対するエンド ユーザーの同意が含まれます。

注:

ゼロ タッチ (サイレント) オンボードを構成する場合は、この手順をスキップします。 ゼロ タッチ (サイレント) オンボードが構成されている場合、アプリケーションを手動で起動する必要はありません。

3. オンボードが成功すると、デバイスは Microsoft Defender ポータルの [デバイス] リストに表示されます。

   

次の手順

• Defender for Endpoint リスク シグナル (MAM) を含むようにアプリ保護ポリシーを構成する
• iOS 機能で Defender for Endpoint を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。