Del via

Distribuer Microsoft Defender for endepunkt på iOS med Microsoft Intune

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Dette emnet beskriver distribusjon av Defender for Endpoint på iOS på registrerte enheter i Microsoft Intune Firmaportal. Hvis du vil ha mer informasjon om registrering av Microsoft Intune-enheter, kan du se Registrere iOS/iPadOS-enheter i Intune.

Før du starter

  • Sørg for at du har tilgang til administrasjonssenteret for Microsoft Intune.

  • Sørg for at iOS-registrering er gjort for brukerne. Brukere må ha en Defender for Endpoint-lisens tilordnet for å kunne bruke Defender for endepunkt på iOS. Se Tilordne lisenser til brukere for instruksjoner om hvordan du tilordner lisenser.

  • Sørg for at sluttbrukerne har installert, logget på og registrering fullført.

Obs!

Microsoft Defender for endepunkt på iOS er tilgjengelig i Apple App Store.

Denne delen omhandler:

  1. Distribusjonstrinn (gjelder for både overvåkede og uovervåkede enheter) – Administratorer kan distribuere Defender for Endpoint på iOS via Firmaportal for Microsoft Intune. Dette trinnet er ikke nødvendig for VPP-apper (volumkjøp).

  2. Fullstendig distribusjon (bare for overvåkede enheter) – Administratorer kan velge å distribuere en av de gitte profilene.

    1. Kontrollfilter for null berøring (stille) – gir webbeskyttelse uten lokal tilbakekobling av VPN, og muliggjør også stille pålasting for brukere. Appen installeres og aktiveres automatisk uten at brukeren trenger å åpne appen.
    2. Kontrollfilter – gir webbeskyttelse uten lokal tilbakekoblings-VPN.

  3. Automatisert pålastingsoppsett (bare for enheter uten tilsyn ) – Administratorer kan automatisere Pålasting for Defender for Endpoint for brukere på to forskjellige måter:

    1. Null berøring (stille) pålasting – Appen installeres og aktiveres automatisk uten at brukerne trenger å åpne appen.
    2. Automatisk pålasting av VPN – Defender for ENDpoint VPN-profil konfigureres automatisk uten at brukeren må gjøre det under pålasting. Dette trinnet anbefales ikke i null berøringskonfigurasjoner.

  4. Konfigurasjon av brukerregistrering (bare for intune-brukerregistrerte enheter) – administratorer kan distribuere og konfigurere Defender for Endpoint-appen på Intune User Enrolled-enheter også.

  5. Fullfør pålasting og kontrollstatus – dette trinnet gjelder for alle registreringstyper for å sikre at appen er installert på enheten, at pålasting er fullført og enheten er synlig i Microsoft Defender-portalen. Det kan hoppes over for null berøring (stille) pålasting.

Distribusjonstrinn (gjelder for både overvåkede og enheter uten tilsyn)

Distribuer Defender for endepunkt på iOS via Firmaportal for Microsoft Intune.

Legg til iOS Store-app

  1. til> apperiOS/iPadOS>Legg til>iOS Store-app i Administrasjonssenter for Microsoft Intune, og klikk Velg.

    Fanen Legg til programmer i administrasjonssenteret for Microsoft Intune

  2. Klikk på Søk i App Storesiden Legg til app, og skriv inn Microsoft Defender i søkefeltet. Klikk Microsoft Defender i søkeresultatdelen, og klikk Velg.

  3. Velg iOS 15.0 som minimum operativsystem. Se gjennom resten av informasjonen om appen, og klikk Neste.

  4. Gå til Obligatorisk-delen i Oppgaver-delen, og velg Legg til gruppe. Deretter kan du velge brukergruppen(e) som du vil bruke som mål for Defender for Endpoint på iOS-appen. Klikk Velg og deretter Neste.

    Obs!

    Den valgte brukergruppen bør bestå av registrerte brukere i Microsoft Intune.

    Fanen Legg til gruppe i administrasjonssenteret for Microsoft Intune

  5. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett , og velg deretter Opprett. Om en liten stund skal Defender for Endpoint-appen opprettes, og et varsel skal vises øverst til høyre på siden.

  6. Velg enhetsinstallasjonsstatusen under Overvåk på appinformasjonssiden som vises, for å bekrefte at enhetsinstallasjonen er fullført.

    Statussiden for enhetsinstallasjon

Fullstendig distribusjon for overvåkede enheter

Microsoft Defender for Endpoint på iOS-appen har spesialisert mulighet på overvåkede iOS/iPadOS-enheter, gitt de økte administrasjonsfunksjonene som tilbys av plattformen på denne typen enheter. Det kan også gi webbeskyttelse uten å konfigurere et lokalt VPN på enheten. Dette gir sluttbrukerne en sømløs opplevelse samtidig som de beskyttes mot phishing og andre nettbaserte angrep.

Administratorer kan bruke følgende fremgangsmåte for å konfigurere overvåkede enheter.

Konfigurer overvåket modus via Microsoft Intune

Konfigurer overvåket modus for Defender for Endpoint-appen gjennom en appkonfigurasjonspolicy og enhetskonfigurasjonsprofil.

Policy for appkonfigurasjon

Obs!

Denne policyen for appkonfigurasjon for overvåkede enheter gjelder bare for administrerte enheter og bør målrettes mot ALLE administrerte iOS-enheter som anbefalt fremgangsmåte.

  1. Logg på administrasjonssenteret for Microsoft Intune, og gå tilpolicyer for >appkonfigurasjon>legg til. Velg administrerte enheter.

    Bilde av administrasjonssenteret for Microsoft Intune4.

  2. Angi følgende informasjon på siden Opprett policy for appkonfigurasjon :

    • Policynavn
    • Plattform: Velg iOS/iPadOS
    • Målrettet app: Velg Microsoft Defender for endepunkt fra listen

    Bilde av administrasjonssenteret for Microsoft Intune5.

  3. Velg Bruk konfigurasjonsutforming som format i neste skjermbilde. Angi følgende egenskaper:

    • Konfigurasjonsnøkkel: issupervised
    • Verditype: Streng
    • Konfigurasjonsverdi: {{issupervised}}

    Bilde av administrasjonssenteret for Microsoft Intune6.

  4. Velg Neste for å åpne omfangskodesiden . Omfangskoder er valgfrie. Velg Neste for å fortsette.

  5. Velg gruppene som skal motta denne profilen, på Oppgaver-siden . I dette scenarioet er det anbefalt fremgangsmåte å målrette mot alle enheter. Hvis du vil ha mer informasjon om hvordan du tilordner profiler, kan du se Tilordne bruker- og enhetsprofiler.

    Når du distribuerer til brukergrupper, må en bruker logge på en enhet før policyen gjelder.

    Klikk Neste.

  6. Velg Opprett når du er ferdig på se gjennom + opprett-siden. Den nye profilen vises i listen over konfigurasjonsprofiler.

Enhetskonfigurasjonsprofil (kontrollfilter)

Obs!

For enheter som kjører iOS/iPadOS (i overvåket modus), finnes det en egendefinert .mobileconfig-profil , kalt ControlFilter-profilen som er tilgjengelig. Denne profilen aktiverer Web Protection uten å konfigurere den lokale tilbakekoblings-VPN-en på enheten. Dette gir sluttbrukerne en sømløs opplevelse samtidig som de beskyttes mot phishing og andre nettbaserte angrep.

ControlFilter-profilen fungerer imidlertid ikke med Always-On VPN (AOVPN) på grunn av plattformbegrensninger.

Administratorer distribuerer en av de gitte profilene.

  1. Kontrollfilter for null berøring (stille) – Denne profilen aktiverer stille pålasting for brukere. Last ned konfigurasjonsprofilen fra ControlFilterZeroTouch

  2. Kontrollfilter – Last ned konfigurasjonsprofilen fra ControlFilter.

Når profilen er lastet ned, distribuerer du den egendefinerte profilen. Følg fremgangsmåten nedenfor:

  1. Naviger til enheter>iOS/iPadOS-konfigurasjonsprofiler>>Opprett profil.

  2. Velg Profiltypemaler> og Malnavn>Egendefinert.

    Bilde av administrasjonssenteret for Microsoft Intune7.

  3. Angi et navn på profilen. Når du blir bedt om å importere en konfigurasjonsprofilfil, velger du den som ble lastet ned fra forrige trinn.

  4. Velg enhetsgruppen du vil bruke denne profilen på, i Oppgave-delen. Som en anbefalt fremgangsmåte bør dette brukes på alle administrerte iOS-enheter. Velg Neste.

    Obs!

    Oppretting av enhetsgruppe støttes i både Defender for Endpoint Plan 1 og Plan 2.

  5. Velg Opprett når du er ferdig på se gjennom + opprett-siden. Den nye profilen vises i listen over konfigurasjonsprofiler.

Automatisert pålastingsoppsett (bare for enheter uten tilsyn)

Administratorer kan automatisere Defender-pålasting for brukere på to forskjellige måter med null berøring (stille) pålasting eller automatisk pålasting av VPN.

Nullberøring (stille) av Microsoft Defender for endepunkt

Obs!

Null berøring kan ikke konfigureres på iOS-enheter som er registrert uten brukeraffinitet (brukerfrie enheter eller delte enheter).

Administratorer kan konfigurere Microsoft Defender for endepunkt til å distribuere og aktivere stille. I denne flyten oppretter administratoren en distribusjonsprofil, og brukeren blir ganske enkelt varslet om installasjonen. Defender for Endpoint installeres automatisk uten at brukeren trenger å åpne appen. Følg fremgangsmåten nedenfor for å konfigurere null-berøring eller stille distribusjon av Defender for Endpoint på registrerte iOS-enheter:

  1. Gå til opprettingsprofiler for konfigurasjonsprofiler> for Enheter i administrasjonssenteret> for Microsoft Intune.

  2. Velg Plattform som iOS/iPadOS, profiltype som maler og malnavn som VPN. Velg Opprett.

  3. Skriv inn et navn for profilen, og velg Neste.

  4. Velg Egendefinert VPN for tilkoblingstype, og skriv inn følgende i basis-VPN-delen :

    • Tilkoblingsnavn = Microsoft Defender for endepunkt
    • VPN-serveradresse = 127.0.0.1
    • Godkjenningsmetode = "Brukernavn og passord"
    • Delt tunnelering = Deaktiver
    • VPN-identifikator = com.microsoft.scmx
    • Skriv inn silentonboard-tasten i nøkkelverdiparene, og angi verdien til Sann.
    • Type automatisk VPN = on-demand VPN
    • Velg Legg til for Behovsbetingede regler , og velg Jeg vil gjøre følgende = Koble til VPN, jeg vil begrense til = Alle domener.

    Konfigurasjonssiden for VPN-profil

    • For å mandat at VPN ikke kan deaktiveres i brukere enhet, administratorer kan velge Ja fra Blokkere brukere fra å deaktivere automatisk VPN. Som standard er den ikke konfigurert, og brukere kan bare deaktivere VPN i Innstillingene.
    • Hvis du vil tillate brukere å endre VPN-veksleknappen fra appen, legger du til EnableVPNToggleInApp = TRUE, i nøkkelverdiparene. Brukere kan som standard ikke endre veksleknappen fra appen.

  5. Velg Neste , og tilordne profilen til målrettede brukere.

  6. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett , og velg deretter Opprett.

Når konfigurasjonen ovenfor er fullført og synkronisert med enheten, utføres følgende handlinger på den målrettede iOS-enheten(e):

  • Microsoft Defender for endepunkt distribueres og tas stille om bord, og enheten vil ses i Defender for Endpoint-portalen.
  • Et foreløpig varsel sendes til brukerenheten.
  • Webbeskyttelse og andre funksjoner aktiveres.

Obs!

  • Null berøringsoppsett kan ta opptil 5 minutter å fullføre i bakgrunnen.
  • For enheter med tilsyn kan administratorer konfigurere zero touch onboarding med ZeroTouch Control Filter Profile. Defender for endepunkt-VPN-profil installeres ikke på enheten, og webbeskyttelse vil bli levert av kontrollfilterprofilen.

Automatisk pålasting av VPN-profil (forenklet pålasting)

Obs!

Dette trinnet forenkler pålastingsprosessen ved å konfigurere VPN-profilen. Hvis du bruker Null berøring, trenger du ikke å utføre dette trinnet.

For enheter uten tilsyn brukes et VPN til å levere webbeskyttelsesfunksjonen. Dette er ikke et vanlig VPN og er et lokalt/selvløkkende VPN som ikke tar trafikk utenfor enheten.

Administratorer kan konfigurere automatisk konfigurasjon av VPN-profil. Dette konfigurerer automatisk VPN-profilen defender for endepunkt uten at brukeren må gjøre det under pålasting.

  1. Gå til opprettingsprofiler for konfigurasjonsprofiler> for Enheter i administrasjonssenteret> for Microsoft Intune.

  2. Velg Plattform som iOS/iPadOS og profiltype som VPN. Klikk Opprett.

  3. Skriv inn et navn for profilen, og klikk Neste.

  4. Velg Egendefinert VPN for tilkoblingstype, og skriv inn følgende i basis-VPN-delen :

    • Tilkoblingsnavn = Microsoft Defender for endepunkt

    • VPN-serveradresse = 127.0.0.1

    • Godkjenningsmetode = "Brukernavn og passord"

    • Delt tunnelering = Deaktiver

    • VPN-identifikator = com.microsoft.scmx

    • Skriv inn autotavlen for nøkkelen i nøkkelverdiparene, og angi verdien til Sann.

    • Type automatisk VPN = on-demand VPN

    • Velg Legg til for Behovsbetingede regler , og velg Jeg vil gjøre følgende = Koble til VPN, jeg vil begrense til = Alle domener.

      Konfigurasjonsinnstillinger-fanen for VPN-profil.

    • Hvis du vil kreve at VPN ikke kan deaktiveres på en brukers enhet, kan administratorer velge Ja fra Blokkere brukere fra å deaktivere automatisk VPN. Som standard er denne innstillingen ikke konfigurert, og brukere kan bare deaktivere VPN i Innstillingene.

    • Hvis du vil tillate brukere å endre VPN-veksleknappen fra appen, legger du til EnableVPNToggleInApp = TRUE, i nøkkelverdiparene. Brukere kan som standard ikke endre veksleknappen fra appen.

  5. Klikk Neste , og tilordne profilen til målrettede brukere.

  6. Kontroller at all informasjonen som er angitt, er riktig, i delen Se gjennom + Opprett , og velg deretter Opprett.

Konfigurasjon av brukerregistrering (bare for intune-brukerregistrerte enheter)

Microsoft Defender iOS-appen kan distribueres på Intune User Enrolled-enheter ved hjelp av følgende fremgangsmåte.

Administrator

  1. Konfigurer profil for brukerregistrering i Intune. Intune støtter kontodrevet Apple User Enrollment og Apple User Enrollment med Firmaportal. Les mer om sammenligningen av de to metodene, og velg én.

  2. Konfigurer plugin-modul for enkel pålogging. Godkjennerapp med SSO-utvidelse er en forutsetning for brukerregistrering på en iOS-enhet.

    • Opprett er enhetskonfigurasjonsprofil i Intune- Konfigurer plugin-modulen for iOS/iPadOS Enterprise SSO med MDM | Microsoft Learn.
    • Sørg for å legge til disse to nøklene i konfigurasjonen ovenfor:
    • Appbunt-ID: Inkluder Bunt-ID-en for Defender-appen i denne listen com.microsoft.scmx
    • Tilleggskonfigurasjon: Nøkkel - device_registration ; Type - Streng ; Verdi- {{DEVICEREGISTRATION}}

  3. Konfigurer MDM-nøkkelen for brukerregistrering.

    • Gå til Policyer for å legge til administrerte enheter i Appkonfigurasjon for Apper >>> i Intune
    • Gi policyen et navn, velg Platform > iOS/iPadOS,
    • Velg Microsoft Defender for endepunkt som målapp.
    • Velg Bruk konfigurasjonsutforming på Innstillinger-siden, og legg til UserEnrolmentEnabled som nøkkel, verditype som streng, verdi som Sann.

  4. Administrator kan sende Defender som en nødvendig VPP-app fra Intune.

Sluttbruker

Defender-appen er installert på brukerens enhet. Brukeren logger på og fullfører pålastingen. Når enheten er pålastet, vil den være synlig i Defender Sikkerhetsportal under Enhetsbeholdning.

Funksjoner og begrensninger som støttes

  1. Støtter alle gjeldende funksjoner i Defender for Endpoint iOS, for eksempel – webbeskyttelse, nettverksbeskyttelse, jailbreak-gjenkjenning, sårbarheter i OS og apper, varsling i Defender Sikkerhetsportal og samsvarspolicyer.
  2. Null berøring (stille) distribusjon og automatisk pålasting av VPN støttes ikke med brukerregistrering fordi administratorer ikke kan sende en enhetsomfattende VPN-profil med brukerregistrering.
  3. Bare apper i arbeidsprofilen vil være synlige for sikkerhetsbehandling av apper.
  4. Det kan ta opptil 10 minutter før nylig innebygde enheter blir kompatible hvis de er målrettet av samsvarspolicyer.
  5. Les mer om begrensningene og funksjonene for brukerregistrering.

Fullfør pålasting og kontroller status

  1. Når Defender for Endpoint på iOS er installert på enheten, ser du appikonet.

  2. Trykk på ikonet for Defender for Endpoint-appen (MSDefender), og følg instruksjonene på skjermen for å fullføre trinnene for pålasting. Detaljene inkluderer sluttbrukergodkjenning av iOS-tillatelser som kreves av Defender for Endpoint på iOS.

Obs!

Hopp over dette trinnet hvis du konfigurerer pålasting med null berøring (stille). Det er ikke nødvendig å starte programmet manuelt hvis det er konfigurert pålasting med null berøring (stille).

  1. Ved vellykket pålasting vises enheten på enhetslisten i Microsoft Defender-portalen.

    Enhetslagersiden.

Neste trinn

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.