Share via


Distribuer Microsoft Defender for endepunkt på iOS med Microsoft Intune

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Dette emnet beskriver distribusjon av Defender for Endpoint på iOS på Microsoft Intune firmaportal registrerte enheter. Hvis du vil ha mer informasjon om Microsoft Intune enhetsregistrering, kan du se Registrere iOS/iPadOS-enheter i Intune.

Før du starter

  • Sørg for at du har tilgang til administrasjonssenteret for Microsoft Intune.

  • Sørg for at iOS-registrering er gjort for brukerne. Brukere må ha en Defender for Endpoint-lisens tilordnet for å kunne bruke Defender for endepunkt på iOS. Se Tilordne lisenser til brukere for instruksjoner om hvordan du tilordner lisenser.

  • Sørg for at sluttbrukerne har installert, logget på og registrering fullført.

Obs!

Microsoft Defender for endepunkt på iOS er tilgjengelig i Apple App Store.

Denne delen omhandler:

  1. Distribusjonstrinn (gjelder både overvåkede og enheter uten tilsyn) – Administratorer kan distribuere Defender for Endpoint på iOS via Microsoft Intune firmaportal. Dette trinnet er ikke nødvendig for VPP-apper (volumkjøp).

  2. Fullstendig distribusjon (bare for overvåkede enheter) – Administratorer kan velge å distribuere en av de gitte profilene.

    1. Kontrollfilter for null berøring (stille) – gir webbeskyttelse uten lokal tilbakekobling av VPN, og muliggjør også stille pålasting for brukere. Appen installeres og aktiveres automatisk uten at brukeren trenger å åpne appen.
    2. Kontrollfilter – gir webbeskyttelse uten lokal tilbakekoblings-VPN.
  3. Automatisert pålastingsoppsett (bare for enheter uten tilsyn ) – Administratorer kan automatisere Pålasting for Defender for Endpoint for brukere på to forskjellige måter:

    1. Null berøring (stille) pålasting – Appen installeres og aktiveres automatisk uten at brukerne trenger å åpne appen.
    2. Automatisk pålasting av VPN – Defender for ENDpoint VPN-profil konfigureres automatisk uten at brukeren må gjøre det under pålasting. Dette trinnet anbefales ikke i null berøringskonfigurasjoner.
  4. Konfigurasjon av brukerregistrering (bare for Intune brukerregistrerte enheter) – Administratorer kan også distribuere og konfigurere Defender for Endpoint-appen på Intune brukerregistrerte enheter.

  5. Fullfør pålasting og kontrollstatus – Dette trinnet gjelder for alle registreringstyper for å sikre at appen er installert på enheten, at pålasting er fullført og enheten er synlig i Microsoft Defender portal. Det kan hoppes over for null berøring (stille) pålasting.

Distribusjonstrinn (gjelder for både overvåkede og enheter uten tilsyn)

Distribuer Defender for endepunkt på iOS via Microsoft Intune firmaportal.

Legg til iOS Store-app

  1. Gå til apper>iOS/iPadOS>Legg til>iOS Store-app i Microsoft Intune administrasjonssenteret, og klikk Velg.

    Fanen Legg til programmer i administrasjonssenteret for Microsoft Intune

  2. Klikk på Søk App Store og skriv inn Microsoft Defender i søkefeltet på siden Legg til app. Klikk på Microsoft Defender i søkeresultatdelen, og klikk Velg.

  3. Velg iOS 15.0 som minimum operativsystem. Se gjennom resten av informasjonen om appen, og klikk Neste.

  4. Gå til Obligatorisk-delen i Oppgaver-delen, og velg Legg til gruppe. Deretter kan du velge brukergruppen(e) som du vil bruke som mål for Defender for Endpoint på iOS-appen. Klikk Velg og deretter Neste.

    Obs!

    Den valgte brukergruppen skal bestå av Microsoft Intune registrerte brukere.

    Kategorien Legg til gruppe i administrasjonssenteret for Microsoft Intune

  5. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett, og velg deretter Opprett. Om en liten stund skal Defender for Endpoint-appen opprettes, og et varsel skal vises øverst til høyre på siden.

  6. Velg enhetsinstallasjonsstatusen under Overvåk på appinformasjonssiden som vises, for å bekrefte at enhetsinstallasjonen er fullført.

    Statussiden for enhetsinstallasjon

Fullstendig distribusjon for overvåkede enheter

Den Microsoft Defender for endepunkt på iOS-appen har spesialisert mulighet på overvåkede iOS/iPadOS-enheter, gitt de økte administrasjonsfunksjonene som tilbys av plattformen på disse typene enheter. Det kan også gi webbeskyttelse uten å konfigurere et lokalt VPN på enheten. Dette gir sluttbrukerne en sømløs opplevelse samtidig som de beskyttes mot phishing og andre nettbaserte angrep.

Administratorer kan bruke følgende fremgangsmåte for å konfigurere overvåkede enheter.

Konfigurer overvåket modus via Microsoft Intune

Konfigurer overvåket modus for Defender for Endpoint-appen gjennom en appkonfigurasjonspolicy og enhetskonfigurasjonsprofil.

Policy for appkonfigurasjon

Obs!

Denne policyen for appkonfigurasjon for overvåkede enheter gjelder bare for administrerte enheter og bør målrettes mot ALLE administrerte iOS-enheter som anbefalt fremgangsmåte.

  1. Logg deg på administrasjonssenteret for Microsoft Intune, og gå til>policyer for appkonfigurasjon>legg til. Velg administrerte enheter.

    Bilde av Microsoft Intune administrasjonssenter4.

  2. Oppgi følgende informasjon på siden Opprett appkonfigurasjonspolicy:

    • Policynavn
    • Plattform: Velg iOS/iPadOS
    • Målrettet app: Velg Microsoft Defender for endepunkt fra listen

    Bilde av Microsoft Intune administrasjonssenter5.

  3. Velg Bruk konfigurasjonsutforming som format i neste skjermbilde. Angi følgende egenskaper:

    • Konfigurasjonsnøkkel: issupervised
    • Verditype: Streng
    • Konfigurasjonsverdi: {{issupervised}}

    Bilde av Microsoft Intune administrasjonssenter6.

  4. Velg Neste for å åpne omfangskodesiden . Omfangskoder er valgfrie. Velg Neste for å fortsette.

  5. Velg gruppene som skal motta denne profilen, på Oppgaver-siden . I dette scenarioet er det anbefalt fremgangsmåte å målrette mot alle enheter. Hvis du vil ha mer informasjon om hvordan du tilordner profiler, kan du se Tilordne bruker- og enhetsprofiler.

    Når du distribuerer til brukergrupper, må en bruker logge på en enhet før policyen gjelder.

    Klikk Neste.

  6. Velg Opprett på siden Se gjennom + opprett når du er ferdig. Den nye profilen vises i listen over konfigurasjonsprofiler.

Enhetskonfigurasjonsprofil (kontrollfilter)

Obs!

For enheter som kjører iOS/iPadOS (i overvåket modus), finnes det en egendefinert .mobileconfig-profil , kalt ControlFilter-profilen som er tilgjengelig. Denne profilen aktiverer Web Protection uten å konfigurere den lokale tilbakekoblings-VPN-en på enheten. Dette gir sluttbrukerne en sømløs opplevelse samtidig som de beskyttes mot phishing og andre nettbaserte angrep.

ControlFilter-profilen fungerer imidlertid ikke med Always-On VPN (AOVPN) på grunn av plattformbegrensninger.

Administratorer distribuerer en av de gitte profilene.

  1. Kontrollfilter for null berøring (stille) – Denne profilen aktiverer stille pålasting for brukere. Last ned konfigurasjonsprofilen fra ControlFilterZeroTouch

  2. Kontrollfilter – Last ned konfigurasjonsprofilen fra ControlFilter.

Når profilen er lastet ned, distribuerer du den egendefinerte profilen. Følg fremgangsmåten nedenfor:

  1. Naviger> til enheteriOS/iPadOS-konfigurasjonsprofiler>>Opprett Profil.

  2. Velg Profiltypemaler> og Malnavn>Egendefinert.

    Bilde av Microsoft Intune administrasjonssenter7.

  3. Angi et navn på profilen. Når du blir bedt om å importere en konfigurasjonsprofilfil, velger du den som ble lastet ned fra forrige trinn.

  4. Velg enhetsgruppen du vil bruke denne profilen på, i Oppgave-delen. Som en anbefalt fremgangsmåte bør dette brukes på alle administrerte iOS-enheter. Velg Neste.

    Obs!

    Oppretting av enhetsgruppe støttes i både Defender for Endpoint Plan 1 og Plan 2.

  5. Velg Opprett på siden Se gjennom + opprett når du er ferdig. Den nye profilen vises i listen over konfigurasjonsprofiler.

Automatisert pålastingsoppsett (bare for enheter uten tilsyn)

Administratorer kan automatisere Defender-pålasting for brukere på to forskjellige måter med null berøring (stille) pålasting eller automatisk pålasting av VPN.

Nullberøring (stille) pålasting av Microsoft Defender for endepunkt

Obs!

Null berøring kan ikke konfigureres på iOS-enheter som er registrert uten brukeraffinitet (brukerfrie enheter eller delte enheter).

Administratorer kan konfigurere Microsoft Defender for endepunkt til å distribuere og aktivere stille. I denne flyten oppretter administratoren en distribusjonsprofil, og brukeren blir ganske enkelt varslet om installasjonen. Defender for Endpoint installeres automatisk uten at brukeren trenger å åpne appen. Følg fremgangsmåten nedenfor for å konfigurere null-berøring eller stille distribusjon av Defender for Endpoint på registrerte iOS-enheter:

  1. Gå til EnheterKonfigurasjonsprofiler>Opprett Profil i administrasjonssenteret> for Microsoft Intune.

  2. Velg Plattform som iOS/iPadOS, profiltype som maler og malnavn som VPN. Velg Opprett.

  3. Skriv inn et navn for profilen, og velg Neste.

  4. Velg Egendefinert VPN for tilkoblingstype, og skriv inn følgende i basis-VPN-delen :

    • Tilkoblingsnavn = Microsoft Defender for endepunkt
    • VPN-serveradresse = 127.0.0.1
    • Godkjenningsmetode = "Brukernavn og passord"
    • Delt tunnelering = Deaktiver
    • VPN-identifikator = com.microsoft.scmx
    • Skriv inn silentonboard-tasten i nøkkelverdiparene, og angi verdien til Sann.
    • Type automatisk VPN = on-demand VPN
    • Velg Legg til for Behovsbetingede regler , og velg Jeg vil gjøre følgende = Koble til VPN, jeg vil begrense til = Alle domener.

    Konfigurasjonssiden for VPN-profil

    • For å mandat at VPN ikke kan deaktiveres i brukere enhet, administratorer kan velge Ja fra Blokkere brukere fra å deaktivere automatisk VPN. Som standard er den ikke konfigurert, og brukere kan bare deaktivere VPN i Innstillingene.
    • Hvis du vil tillate brukere å endre VPN-veksleknappen fra appen, legger du til EnableVPNToggleInApp = TRUE, i nøkkelverdiparene. Brukere kan som standard ikke endre veksleknappen fra appen.
  5. Velg Neste , og tilordne profilen til målrettede brukere.

  6. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett, og velg deretter Opprett.

Når konfigurasjonen ovenfor er fullført og synkronisert med enheten, utføres følgende handlinger på den målrettede iOS-enheten(e):

  • Microsoft Defender for endepunkt distribueres og tas i bruk stille, og enheten vises i Defender for Endpoint-portalen.
  • Et foreløpig varsel sendes til brukerenheten.
  • Webbeskyttelse og andre funksjoner aktiveres.

Obs!

For enheter med tilsyn kan administratorer konfigurere Zero touch onboarding med den nye ZeroTouch Control Filter Profile.

Defender for endepunkt-VPN-profil installeres ikke på enheten, og webbeskyttelse vil bli levert av kontrollfilterprofilen.

Automatisk pålasting av VPN-profil (forenklet pålasting)

Obs!

Dette trinnet forenkler pålastingsprosessen ved å konfigurere VPN-profilen. Hvis du bruker Null berøring, trenger du ikke å utføre dette trinnet.

For enheter uten tilsyn brukes et VPN til å levere webbeskyttelsesfunksjonen. Dette er ikke et vanlig VPN og er et lokalt/selvløkkende VPN som ikke tar trafikk utenfor enheten.

Administratorer kan konfigurere automatisk konfigurasjon av VPN-profil. Dette konfigurerer automatisk VPN-profilen defender for endepunkt uten at brukeren må gjøre det under pålasting.

  1. Gå til EnheterKonfigurasjonsprofiler>Opprett Profil i administrasjonssenteret> for Microsoft Intune.

  2. Velg Plattform som iOS/iPadOS og profiltype som VPN. Klikk Opprett.

  3. Skriv inn et navn for profilen, og klikk Neste.

  4. Velg Egendefinert VPN for tilkoblingstype, og skriv inn følgende i basis-VPN-delen :

    • Tilkoblingsnavn = Microsoft Defender for endepunkt

    • VPN-serveradresse = 127.0.0.1

    • Godkjenningsmetode = "Brukernavn og passord"

    • Delt tunnelering = Deaktiver

    • VPN-identifikator = com.microsoft.scmx

    • Skriv inn autotavlen for nøkkelen i nøkkelverdiparene, og angi verdien til Sann.

    • Type automatisk VPN = on-demand VPN

    • Velg Legg til for Behovsbetingede regler , og velg Jeg vil gjøre følgende = Koble til VPN, jeg vil begrense til = Alle domener.

      Konfigurasjonsinnstillinger-fanen for VPN-profil.

    • Hvis du vil kreve at VPN ikke kan deaktiveres på en brukers enhet, kan administratorer velge Ja fra Blokkere brukere fra å deaktivere automatisk VPN. Som standard er denne innstillingen ikke konfigurert, og brukere kan bare deaktivere VPN i Innstillingene.

    • Hvis du vil tillate brukere å endre VPN-veksleknappen fra appen, legger du til EnableVPNToggleInApp = TRUE, i nøkkelverdiparene. Brukere kan som standard ikke endre veksleknappen fra appen.

  5. Klikk Neste , og tilordne profilen til målrettede brukere.

  6. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett, og velg deretter Opprett.

Konfigurasjon av brukerregistrering (bare for Intune brukerregistrerte enheter)

Viktig

Brukerregistrering for Microsoft Defender på iOS er i offentlig forhåndsversjon. Følgende informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Microsoft Defender iOS-appen kan distribueres på Intune brukerregistrerte enheter ved hjelp av følgende fremgangsmåte.

Administrator

  1. Konfigurer profil for brukerregistrering i Intune. Intune støtter kontodrevet Apple User Enrollment og Apple User Enrollment med firmaportal. Les mer om sammenligningen av de to metodene, og velg én.

  2. Konfigurer plugin-modul for enkel pålogging. Godkjennerapp med SSO-utvidelse er en forutsetning for brukerregistrering på en iOS-enhet.

    • Opprett er enhetskonfigurasjonsprofil i Intune- Konfigurer plugin-modulen for iOS/iPadOS Enterprise SSO med MDM | Microsoft Learn.
    • Sørg for å legge til disse to nøklene i konfigurasjonen ovenfor:
    • Appbunt-ID: Inkluder Bunt-ID-en for Defender-appen i denne listen com.microsoft.scmx
    • Tilleggskonfigurasjon: Nøkkel - device_registration ; Type - Streng ; Verdi- {{DEVICEREGISTRATION}}
  3. Konfigurer MDM-nøkkelen for brukerregistrering.

    • I Intune går du til Policyer > for å legge til > administrerte enheter i Apper-appen >
    • Gi policyen et navn, velg Platform > iOS/iPadOS,
    • Velg Microsoft Defender for endepunkt som målapp.
    • Velg Bruk konfigurasjonsutforming på Innstillinger-siden, og legg til UserEnrolmentEnabled som nøkkel, verditype som streng, verdi som Sann.
  4. Admin kan sende Defender som en nødvendig VPP-app fra Intune.

Sluttbruker

Defender-appen er installert på brukerens enhet. Brukeren logger på og fullfører pålastingen. Når enheten er pålastet, vil den være synlig i Defender Sikkerhetsportal under Enhetsbeholdning.

Funksjoner og begrensninger som støttes

  1. Støttet alle gjeldende funksjoner i MDE iOS som – webbeskyttelse, nettverksbeskyttelse, jailbreak-gjenkjenning, sårbarheter i OS og apper, varsling i Defender Sikkerhetsportal og samsvarspolicyer.
  2. Null berøring (stille) distribusjon og automatisk pålasting av VPN støttes ikke med brukerregistrering fordi administratorer ikke kan sende en enhetsomfattende VPN-profil med brukerregistrering.
  3. For administrasjon av sikkerhetsproblemer for apper er det bare apper i arbeidsprofilen som vises.
  4. Les mer om begrensningene og funksjonene for brukerregistrering.

Fullfør pålasting og kontroller status

  1. Når Defender for Endpoint på iOS er installert på enheten, ser du appikonet.

  2. Trykk på ikonet for Defender for Endpoint-appen (MSDefender), og følg instruksjonene på skjermen for å fullføre trinnene for pålasting. Detaljene inkluderer sluttbrukergodkjenning av iOS-tillatelser som kreves av Defender for Endpoint på iOS.

Obs!

Hopp over dette trinnet hvis du konfigurerer pålasting med null berøring (stille). Det er ikke nødvendig å starte programmet manuelt hvis det er konfigurert pålasting med null berøring (stille).

  1. Når pålastingen er fullført, vises enheten på enhetslisten i Microsoft Defender-portalen.

    Enhetslagersiden.

Neste trinn

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.