Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Usługa Defender for Endpoint w systemie iOS będzie używać sieci VPN w celu zapewnienia funkcji ochrony sieci Web. Nie jest to zwykła sieć VPN i jest lokalną/samopętlaną siecią VPN, która nie przyjmuje ruchu poza urządzeniem.

Dostęp warunkowy za pomocą usługi Defender dla punktu końcowego w systemie iOS

Usługa Microsoft Defender dla punktu końcowego w systemie iOS wraz z usługami Microsoft Intune i Microsoft Entra ID umożliwia wymuszanie zasad zgodności urządzeń i dostępu warunkowego na podstawie oceny ryzyka urządzenia. Defender for Endpoint to rozwiązanie usługi Mobile Threat Defense (MTD), które można wdrożyć w celu korzystania z tej funkcji za pośrednictwem usługi Intune.

Aby uzyskać więcej informacji na temat konfigurowania dostępu warunkowego za pomocą usługi Defender for Endpoint w systemie iOS, zobacz Defender for Endpoint i Intune.

Ochrona sieci Web i sieć VPN

Domyślnie usługa Defender for Endpoint w systemie iOS obejmuje i włącza ochronę w Internecie, co pomaga zabezpieczyć urządzenia przed zagrożeniami internetowymi i chronić użytkowników przed atakami wyłudzania informacji. Wskaźniki chroniące przed wyłudzaniem informacji i niestandardowe (adres URL i domena) są obsługiwane w ramach ochrony sieci Web. Wskaźniki niestandardowe oparte na adresach IP nie są obecnie obsługiwane w systemie iOS. Filtrowanie zawartości sieci Web nie jest obecnie obsługiwane na platformach mobilnych (Android i iOS).

Usługa Defender for Endpoint w systemie iOS używa sieci VPN w celu zapewnienia tej możliwości. Sieć VPN jest lokalna i w przeciwieństwie do tradycyjnej sieci VPN ruch sieciowy nie jest wysyłany poza urządzenie.

Mimo że jest domyślnie włączona, mogą wystąpić pewne przypadki, które wymagają wyłączenia sieci VPN. Na przykład chcesz uruchomić niektóre aplikacje, które nie działają po skonfigurowaniu sieci VPN. W takich przypadkach możesz wyłączyć sieć VPN z aplikacji na urządzeniu, wykonując następujące kroki:

1. Na urządzeniu z systemem iOS otwórz aplikację Ustawienia , wybierz pozycję Ogólne , a następnie sieć VPN.

2. Wybierz przycisk i dla usługi Microsoft Defender dla punktu końcowego.

3. Wyłącz opcję Połącz na żądanie, aby wyłączyć sieć VPN.

   

Uwaga

Ochrona sieci Web nie jest dostępna, gdy sieć VPN jest wyłączona. Aby ponownie włączyć ochronę w Internecie, otwórz aplikację Microsoft Defender for Endpoint na urządzeniu, a następnie wybierz pozycję Uruchom sieć VPN.

Wyłączanie ochrony w Internecie

Ochrona sieci Web jest jedną z kluczowych funkcji usługi Defender for Endpoint i wymaga sieci VPN w celu zapewnienia tej możliwości. Używana sieć VPN jest siecią VPN lokalną/sprzężoną zwrotną, a nie tradycyjną siecią VPN, jednak istnieje kilka powodów, dla których klienci mogą nie preferować sieci VPN. Jeśli nie chcesz konfigurować sieci VPN, możesz wyłączyć ochronę sieci Web i wdrożyć usługę Defender for Endpoint bez tej funkcji. Inne funkcje usługi Defender for Endpoint nadal działają.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych urządzeń (MAM). W przypadku klientów korzystających z rozwiązania MDM administratorzy mogą skonfigurować ochronę sieci Web za pośrednictwem urządzeń zarządzanych w konfiguracji aplikacji. W przypadku klientów bez rejestracji przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi administratorzy mogą skonfigurować ochronę sieci Web za pośrednictwem zarządzanych aplikacji w konfiguracji aplikacji.

Konfigurowanie ochrony w Internecie

Wyłączanie ochrony w Internecie przy użyciu rozwiązania MDM

Poniższe kroki umożliwiają wyłączenie ochrony sieci Web dla zarejestrowanych urządzeń.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

2. Nadaj zasadom nazwę Platform > iOS/iPadOS.

3. Wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji, a następnie dodaj WebProtection jako klucz i ustaw jego typ wartości na String.

   • Domyślnie . WebProtection = true Administrator musi ustawić WebProtection = false opcję wyłączania ochrony w Internecie.
   • Usługa Defender for Endpoint wysyła puls do portalu usługi Microsoft Defender za każdym razem, gdy użytkownik otworzy aplikację.
   • Wybierz pozycję Dalej, a następnie przypisz ten profil do urządzeń/użytkowników docelowych.

Wyłączanie ochrony sieci Web przy użyciu funkcji MAM

Wykonaj poniższe kroki, aby wyłączyć ochronę sieci Web dla niezarejestrowanych urządzeń.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>aplikacje zarządzane.

2. Nadaj zasadom nazwę.

3. W obszarze Wybierz aplikacje publiczne wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

4. Na stronie Ustawienia w obszarze Ogólne ustawienia konfiguracji dodaj WebProtection jako klucz i ustaw jego wartość na false.

   • Domyślnie . WebProtection = true Administrator może ustawić WebProtection = false opcję wyłączania ochrony sieci Web.
   • Usługa Defender for Endpoint wysyła puls do portalu usługi Microsoft Defender za każdym razem, gdy użytkownik otworzy aplikację.
   • Wybierz pozycję Dalej, a następnie przypisz ten profil do urządzeń/użytkowników docelowych.

Uwaga

Klucz WebProtection nie ma zastosowania do filtru sterowania na liście urządzeń nadzorowanych. Jeśli chcesz wyłączyć ochronę sieci Web dla urządzeń nadzorowanych, możesz usunąć profil Filtr sterowania.

Konfigurowanie ochrony sieci

Ochrona sieci w usłudze Microsoft Defender dla punktu końcowego jest domyślnie wyłączona. Administratorzy mogą wykonać następujące kroki, aby skonfigurować ochronę sieci. Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń za pośrednictwem konfiguracji mdm, jak i niezarejestrowanych urządzeń za pośrednictwem konfiguracji mam.

Uwaga

Dla ochrony sieci należy utworzyć tylko jedną zasadę za pośrednictwem zarządzania urządzeniami przenośnymi lub zarządzania aplikacjami mobilnymi. Inicjowanie ochrony sieci wymaga od użytkownika końcowego jednorazowego otwarcia aplikacji.

Konfigurowanie ochrony sieci przy użyciu rozwiązania MDM

Aby skonfigurować ochronę sieci przy użyciu konfiguracji mdm dla zarejestrowanych urządzeń, wykonaj następujące kroki:

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady >konfiguracji aplikacjiAplikacje> Dodaj >zarządzane urządzenia.

2. Podaj nazwę i opis zasad. W obszarze Platforma wybierz pozycję iOS/iPad.

3. W aplikacji docelowej wybierz pozycję Microsoft Defender dla punktu końcowego.

4. Na stronie Ustawienia wybierz format ustawień konfiguracji Użyj projektanta konfiguracji.

5. Dodaj DefenderNetworkProtectionEnable jako klucz konfiguracji. Ustaw jej typ wartości na String, i ustaw jego wartość, aby false wyłączyć ochronę sieci. (Ochrona sieci jest domyślnie włączona).

   

6. W przypadku innych konfiguracji związanych z ochroną sieci dodaj następujące klucze, wybierz odpowiedni typ wartości i wartość.

   Klucz	Typ wartości:	Wartość domyślna (true-enable, false-disable)	Opis
   DefenderOpenNetworkDetection	Liczba całkowita	2	1 — Inspekcja, 0 — Wyłącz, 2 — Włącz (ustawienie domyślne). To ustawienie jest zarządzane przez administratora IT w celu przeprowadzania inspekcji, wyłączania lub włączania wykrywania otwartej sieci. W trybie inspekcji alerty są wysyłane tylko do portalu usługi Microsoft Defender bez środowiska użytkownika końcowego. W przypadku środowiska użytkownika końcowego ustaw go na wartość Enable.
   DefenderEndUserTrustFlowEnable	Ciąg	fałszywy	true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratorów IT do włączania lub wyłączania środowiska użytkownika końcowego w aplikacji w celu zaufania niezabezpieczonym i podejrzanym sieciom oraz ich braku zaufania.
   DefenderNetworkProtectionAutoRemediation	Ciąg	prawdziwy	true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratora IT do włączania lub wyłączania alertów korygowania wysyłanych, gdy użytkownik wykonuje działania korygujące, takie jak przełączanie do bezpieczniejszych punktów dostępu WI-FI.
   DefenderNetworkProtectionPrivacy	Ciąg	prawdziwy	true — włącz, fałsz - wyłącz; To ustawienie jest zarządzane przez administratora IT w celu włączenia lub wyłączenia prywatności w ochronie sieci. Jeśli prywatność jest wyłączona, zostanie wyświetlona zgoda użytkownika na udostępnienie złośliwego wi-fi. Jeśli prywatność jest włączona, nie jest wyświetlana żadna zgoda użytkownika i nie są zbierane żadne dane aplikacji.

7. W sekcji Przypisania administrator może wybrać grupy użytkowników do uwzględnienia i wykluczenia z zasad.

8. Przejrzyj i utwórz zasady konfiguracji.

Konfigurowanie ochrony sieci przy użyciu funkcji MAM

Poniższa procedura umożliwia skonfigurowanie konfiguracji mam dla niezarejestrowanych urządzeń na potrzeby ochrony sieci (rejestracja urządzenia Authenticator jest wymagana w przypadku konfiguracji mam) na urządzeniach z systemem iOS.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje>Dodaj>aplikacje> zarządzaneUtwórz nowe zasady konfiguracji aplikacji.

   

2. Podaj nazwę i opis, aby jednoznacznie zidentyfikować zasady. Następnie wybierz pozycję Wybierz aplikacje publiczne i wybierz pozycję Microsoft Defender dla platformy iOS/iPadOS.

   

3. Na stronie Ustawienia dodaj wartość DefenderNetworkProtectionEnable jako klucz i wartość false wyłączania ochrony sieci. (Ochrona sieci jest domyślnie włączona).

   

4. W przypadku innych konfiguracji związanych z ochroną sieci dodaj następujące klucze i odpowiednią odpowiednią wartość.

   Klucz	Wartość domyślna (true — włączanie, fałsz — wyłączanie)	Opis
   DefenderOpenNetworkDetection	2	1 — Inspekcja, 0 — Wyłącz, 2 — Włącz (ustawienie domyślne). To ustawienie jest zarządzane przez administratora IT w celu włączania, przeprowadzania inspekcji lub wyłączania wykrywania otwartej sieci. W trybie inspekcji alerty są wysyłane tylko do portalu usługi ATP bez środowiska po stronie użytkownika. W przypadku środowiska użytkownika ustaw konfigurację na tryb "Włącz".
   DefenderEndUserTrustFlowEnable	fałszywy	true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratorów IT do włączania lub wyłączania środowiska użytkownika końcowego w aplikacji w celu zaufania niezabezpieczonym i podejrzanym sieciom oraz ich braku zaufania.
   DefenderNetworkProtectionAutoRemediation	prawdziwy	true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratora IT do włączania lub wyłączania alertów korygowania wysyłanych, gdy użytkownik wykonuje działania korygujące, takie jak przełączanie do bezpieczniejszych punktów dostępu WI-FI.
   DefenderNetworkProtectionPrivacy	prawdziwy	true — włącz, fałsz - wyłącz; To ustawienie jest zarządzane przez administratora IT w celu włączenia lub wyłączenia prywatności w ochronie sieci. Jeśli prywatność jest wyłączona, zostanie wyświetlona zgoda użytkownika na udostępnienie złośliwego wi-fi. Jeśli prywatność jest włączona, nie jest wyświetlana żadna zgoda użytkownika i nie są zbierane żadne dane aplikacji.

5. W sekcji Przypisania administrator może wybrać grupy użytkowników do uwzględnienia i wykluczenia z zasad.

   

6. Przejrzyj i utwórz zasady konfiguracji.

Współistnienie wielu profilów sieci VPN

System Apple iOS nie obsługuje wielu sieci VPN na całym urządzeniu, które mają być aktywne jednocześnie. Chociaż na urządzeniu może istnieć wiele profilów sieci VPN, tylko jedna sieć VPN może być aktywna jednocześnie.

Konfigurowanie sygnału ryzyka usługi Microsoft Defender dla punktu końcowego w zasadach ochrony aplikacji (MAM)

Usługa Microsoft Defender dla punktu końcowego w systemie iOS umożliwia korzystanie ze scenariusza zasad ochrony aplikacji. Użytkownicy końcowi mogą zainstalować najnowszą wersję aplikacji bezpośrednio ze sklepu Apple App Store. Upewnij się, że urządzenie zostało zarejestrowane w aplikacji Authenticator przy użyciu tego samego konta używanego do dołączania w usłudze Defender w celu pomyślnej rejestracji mam.

Usługę Microsoft Defender dla punktu końcowego można skonfigurować do wysyłania sygnałów zagrożeń, które mają być używane w zasadach ochrony aplikacji (APP, znanej również jako MAM) w systemie iOS/iPadOS. Dzięki tej możliwości można również chronić dostęp do danych firmowych z niezarejestrowanych urządzeń za pomocą usługi Microsoft Defender for Endpoint.

Wykonaj kroki opisane w poniższym linku, aby skonfigurować zasady ochrony aplikacji za pomocą usługi Microsoft Defender for Endpoint Configure Defender risk signals in app protection policy (MAM)

Aby uzyskać więcej informacji na temat zasad zarządzania aplikacjami mobilnymi lub ochrony aplikacji, zobacz ustawienia zasad ochrony aplikacji systemu iOS.

Mechanizmy kontroli prywatności

Usługa Microsoft Defender dla punktu końcowego w systemie iOS umożliwia kontrolę prywatności zarówno dla administratorów, jak i użytkowników końcowych. Obejmuje to kontrolki dla zarejestrowanych urządzeń (MDM) i niezarejestrowanych (MAM).

Jeśli używasz rozwiązania MDM, administratorzy mogą skonfigurować mechanizmy kontroli prywatności za pośrednictwem urządzeń zarządzanych w konfiguracji aplikacji. Jeśli używasz funkcji MAM bez rejestracji, administratorzy mogą skonfigurować mechanizmy kontroli prywatności za pośrednictwem aplikacji zarządzanych w konfiguracji aplikacji. Użytkownicy końcowi mogą również skonfigurować ustawienia prywatności w ustawieniach aplikacji usługi Microsoft Defender.

Konfigurowanie prywatności w raporcie alertów języka phish

Klienci mogą teraz włączyć kontrolę prywatności dla raportu phish wysłanego przez usługę Microsoft Defender for Endpoint w systemie iOS, aby nazwa domeny nie była uwzględniana jako część alertu phish za każdym razem, gdy witryna internetowa phish zostanie wykryta i zablokowana przez usługę Microsoft Defender dla punktu końcowego.

Konfigurowanie mechanizmów kontroli prywatności w usłudze MDM

Wykonaj poniższe kroki, aby włączyć prywatność i nie zbierać nazwy domeny w ramach raportu alertów phish dla zarejestrowanych urządzeń.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

2. Nadaj zasadom nazwę Platforma > iOS/iPadOS, wybierz typ profilu.

3. Wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DefenderExcludeURLInReport jako klucz, a następnie ustaw typ jego wartości na wartość logiczną.

   • Aby włączyć prywatność i nie zbierać nazwy domeny, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
   • W przypadku użytkowników z kluczem ustawionym jako truealert phish nie zawiera informacji o nazwie domeny za każdym razem, gdy złośliwa witryna zostanie wykryta i zablokowana przez usługę Defender for Endpoint.

5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Konfigurowanie mechanizmów kontroli prywatności w zarządzaniu aplikacjami mobilnymi

Wykonaj poniższe kroki, aby włączyć prywatność i nie zbierać nazwy domeny w ramach raportu alertów phish dla niezarejestrowanych urządzeń.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>aplikacje zarządzane.

2. Nadaj zasadom nazwę.

3. W obszarze Wybierz aplikacje publiczne wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

4. Na stronie Ustawienia w obszarze Ogólne ustawienia konfiguracji dodaj DefenderExcludeURLInReport jako klucz i ustaw jego wartość na true.

   • Aby włączyć prywatność i nie zbierać nazwy domeny, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
   • W przypadku użytkowników z kluczem ustawionym jako truealert phish nie zawiera informacji o nazwie domeny za każdym razem, gdy złośliwa witryna zostanie wykryta i zablokowana przez usługę Defender for Endpoint.

5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Konfigurowanie mechanizmów kontroli prywatności użytkowników końcowych w aplikacji Microsoft Defender

Te kontrolki ułatwiają użytkownikowi końcowemu konfigurowanie informacji udostępnionych organizacji.

W przypadku urządzeń nadzorowanych kontrolki użytkowników końcowych nie są widoczne. Administrator decyduje o ustawieniach i kontroluje je. Jednak w przypadku nienadzorowanych urządzeń kontrolka jest wyświetlana w obszarze Ustawienia > Prywatność.

Użytkownicy widzą przełącznik niebezpiecznych informacji o witrynie. Ten przełącznik jest widoczny tylko wtedy, gdy administrator ustawił wartość DefenderExcludeURLInReport = true.

W przypadku włączenia przez administratora użytkownicy mogą określić, czy wysyłać niebezpieczne informacje o witrynie do swojej organizacji. Domyślnie jest ona ustawiona na falsewartość , co oznacza, że informacje o niebezpiecznej witrynie nie są wysyłane. Jeśli użytkownik przełączy go na truewartość , zostaną wysłane niebezpieczne szczegóły witryny.

Włączanie lub wyłączanie mechanizmów kontroli prywatności nie ma wpływu na sprawdzanie zgodności urządzeń ani dostęp warunkowy.

Uwaga

Na urządzeniach nadzorowanych z profilem konfiguracji usługa Microsoft Defender dla punktu końcowego może uzyskać dostęp do całego adresu URL, a jeśli okaże się, że wyłudza informacje, jest ona zablokowana. Na urządzeniu nienadzorowanym usługa Microsoft Defender dla punktu końcowego ma dostęp tylko do nazwy domeny, a jeśli domena nie jest adresem URL wyłudzania informacji, nie zostanie zablokowana.

Uprawnienia opcjonalne

Usługa Microsoft Defender dla punktu końcowego w systemie iOS umożliwia opcjonalne uprawnienia w przepływie dołączania. Obecnie uprawnienia wymagane przez usługę Defender dla punktu końcowego są obowiązkowe w przepływie dołączania. Dzięki tej funkcji administratorzy mogą wdrażać usługę Defender for Endpoint na urządzeniach BYOD bez wymuszania obowiązkowego uprawnienia sieci VPN podczas dołączania. Użytkownicy końcowi mogą dołączyć aplikację bez wymaganych uprawnień i później przejrzeć te uprawnienia. Ta funkcja jest obecnie dostępna tylko dla zarejestrowanych urządzeń (MDM).

Konfigurowanie uprawnień opcjonalnych przy użyciu rozwiązania MDM

Administratorzy mogą użyć poniższych kroków, aby włączyć opcjonalne uprawnienie sieci VPN dla zarejestrowanych urządzeń.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

2. Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma > iOS/iPadOS.

3. Wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DefenderOptionalVPN jako klucz, a następnie ustaw jego typ wartości na Boolean.

   • Aby włączyć opcjonalne uprawnienie sieci VPN, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
   • W przypadku użytkowników z kluczem ustawionym jako trueużytkownicy mogą dołączyć aplikację bez udzielania uprawnień sieci VPN.

5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Konfigurowanie uprawnień opcjonalnych jako użytkownik końcowy

Użytkownicy końcowi instalują i otwierają aplikację Microsoft Defender, aby rozpocząć dołączanie.

• Jeśli administrator skonfigurował uprawnienia opcjonalne, użytkownik może pominąć uprawnienia sieci VPN i ukończyć dołączanie.
• Nawet jeśli użytkownik pominął sieć VPN, urządzenie może zostać dołączone i zostanie wysłane puls.
• Jeśli sieć VPN jest wyłączona, ochrona w Internecie nie jest aktywna.
• Później użytkownik może włączyć ochronę sieci Web z poziomu aplikacji, która instaluje konfigurację sieci VPN na urządzeniu.

Uwaga

Uprawnienie opcjonalne różni się od opcji Wyłącz ochronę sieci Web. Opcjonalne uprawnienie sieci VPN pomaga pominąć uprawnienie tylko podczas dołączania, ale jest dostępne dla użytkownika końcowego, aby później go przejrzeć i włączyć. Funkcja Wyłącz ochronę w Sieci Web umożliwia użytkownikom dołączanie aplikacji Defender for Endpoint bez ochrony sieci Web. Nie można go włączyć później.

Wykrywanie jailbreaku

Usługa Microsoft Defender dla punktu końcowego umożliwia wykrywanie niezarządzanych i zarządzanych urządzeń, które zostały zdjęte z więzienia. Te kontrole jailbreak są wykonywane okresowo. Jeśli urządzenie zostanie wykryte jako ze zdjętymi zabezpieczeniami systemu, wystąpią następujące zdarzenia:

• Alert wysokiego ryzyka jest zgłaszany w portalu usługi Microsoft Defender. Jeśli zgodność urządzenia i dostęp warunkowy są skonfigurowane na podstawie oceny ryzyka urządzenia, dostęp urządzenia do danych firmowych jest zablokowany.
• Dane użytkownika w aplikacji są usuwane. Gdy użytkownik otworzy aplikację po jailbreakingu, profil sieci VPN (tylko profil sieci VPN sprzężenia zwrotnego punktu końcowego w usłudze Defender for Endpoint) również zostanie usunięty i nie będzie oferowana żadna ochrona w Internecie. Profile sieci VPN dostarczane przez usługę Intune nie są usuwane.

Konfigurowanie zasad zgodności na urządzeniach ze zdjętymi zabezpieczeniami systemu

Aby chronić dane firmowe przed dostępem na urządzeniach z systemem iOS ze zdjętymi zabezpieczeniami systemu iOS, zalecamy skonfigurowanie następujących zasad zgodności w usłudze Intune.

Uwaga

Wykrywanie jailbreak jest funkcją udostępnianą przez usługę Microsoft Defender dla punktu końcowego w systemie iOS. Zalecamy jednak skonfigurowanie tych zasad jako dodatkowej warstwy ochrony przed scenariuszami jailbreak.

Wykonaj poniższe kroki, aby utworzyć zasady zgodności dla urządzeń ze zdjętymi zabezpieczeniami systemu.

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady zgodnościurządzeń>Utwórz zasady>. Wybierz pozycję "iOS/iPadOS" jako platformę i wybierz pozycję Utwórz.

   

2. Określ nazwę zasad, na przykład Zasady zgodności dla systemu Jailbreak.

3. Na stronie ustawienia zgodności wybierz pozycję , aby rozwinąć sekcję Kondycja urządzenia i wybrać pozycję Block w polu Urządzenia ze zdjętymi zabezpieczeniami systemu.

   

4. W sekcji Akcje dotyczące niezgodności wybierz akcje zgodnie z wymaganiami, a następnie wybierz pozycję Dalej.

   

5. W sekcji Przypisania wybierz grupy użytkowników, które chcesz uwzględnić dla tych zasad, a następnie wybierz pozycję Dalej.

6. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

Konfigurowanie niestandardowych wskaźników

Usługa Defender for Endpoint w systemie iOS umożliwia administratorom konfigurowanie niestandardowych wskaźników również na urządzeniach z systemem iOS. Aby uzyskać więcej informacji na temat konfigurowania wskaźników niestandardowych, zobacz Zarządzanie wskaźnikami.

Uwaga

Usługa Defender for Endpoint w systemie iOS obsługuje tworzenie niestandardowych wskaźników tylko dla adresów URL i domen. Wskaźniki niestandardowe oparte na adresach IP nie są obsługiwane w systemie iOS.

W przypadku systemu iOS w usłudze Microsoft Defender XDR nie są generowane żadne alerty po uzyskaniu dostępu do adresu URL lub domeny ustawionej w wskaźniku.

Konfigurowanie oceny luk w zabezpieczeniach aplikacji

Zmniejszenie ryzyka cybernetycznego wymaga kompleksowego zarządzania lukami w zabezpieczeniach opartym na ryzyku w celu identyfikowania, oceny, korygowania i śledzenia wszystkich największych luk w zabezpieczeniach w najważniejszych zasobach, a wszystko to w jednym rozwiązaniu. Odwiedź tę stronę , aby dowiedzieć się więcej o usłudze Microsoft Defender Vulnerability Management w usłudze Microsoft Defender for Endpoint.

Usługa Defender for Endpoint w systemie iOS obsługuje oceny luk w zabezpieczeniach systemu operacyjnego i aplikacji. Ocena luk w zabezpieczeniach wersji systemu iOS jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Ocena luk w zabezpieczeniach aplikacji dotyczy tylko zarejestrowanych urządzeń (MDM). Administratorzy mogą wykonać następujące kroki, aby skonfigurować ocenę luk w zabezpieczeniach aplikacji.

Na urządzeniu nadzorowanym

1. Upewnij się, że urządzenie jest skonfigurowane w trybie nadzorowanym.

2. Aby włączyć tę funkcję w centrum administracyjnym usługi Microsoft Intune, przejdź do pozycji Zabezpieczenia punktu końcowego>Usługa Microsoft Defender dla punktu końcowego>Włączanie synchronizacji aplikacji dla urządzeń z systemem iOS/iPadOS.

   

Uwaga

Aby uzyskać listę wszystkich aplikacji, w tym aplikacji niezarządzanych, administrator musi włączyć ustawienie Wyślij pełne dane spisu aplikacji na urządzeniach z systemem iOS/iPadOS należących do użytkownika w portalu administracyjnym usługi Intune dla urządzeń nadzorowanych oznaczonych jako "Osobiste". W przypadku urządzeń nadzorowanych oznaczonych jako "Firmowe" w portalu administracyjnym usługi Intune administrator nie musi włączać opcji Wyślij pełne dane spisu aplikacji na urządzeniach osobistych z systemem iOS/iPadOS.

Na urządzeniu bez nadzoru

1. Aby włączyć tę funkcję w centrum administracyjnym usługi Microsoft Intune, przejdź do pozycji Zabezpieczenia punktu końcowego>Usługa Microsoft Defender dla punktu końcowego>Włączanie synchronizacji aplikacji dla urządzeń z systemem iOS/iPadOS.

   

2. Aby uzyskać listę wszystkich aplikacji, w tym aplikacji niezarządzanych, włącz przełącznik Wyślij pełne dane spisu aplikacji na urządzeniach osobistych z systemem iOS/iPadOS.

   

3. Aby skonfigurować ustawienie prywatności, wykonaj poniższe kroki.

   1. Przejdźdo obszaruZasady> konfiguracji aplikacji Aplikacje> Dodaj >urządzenia zarządzane.

   2. Nadaj zasadom nazwę Platform>iOS/iPadOS.

   3. Wybierz pozycję Microsoft Defender dla punktu końcowego jako aplikację docelową.

   4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DefenderTVMPrivacyMode jako klucz. Ustaw jej typ wartości na String.

      • Aby wyłączyć prywatność i zebrać listę zainstalowanych aplikacji, określ wartość jako False, a następnie przypisz te zasady do użytkowników.
      • Domyślnie ta wartość jest ustawiona na wartość True dla nienadzorowanych urządzeń.
      • W przypadku użytkowników z kluczem ustawionym jako Falseusługa Defender for Endpoint wysyła listę aplikacji zainstalowanych na urządzeniu w celu oceny luk w zabezpieczeniach.

   5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

   6. Włączanie lub wyłączanie mechanizmów kontroli prywatności nie ma wpływu na sprawdzanie zgodności urządzeń ani dostęp warunkowy.

4. Po zastosowaniu konfiguracji użytkownicy końcowi muszą otworzyć aplikację, aby zatwierdzić ustawienie prywatności.

   • Ekran zatwierdzania prywatności jest wyświetlany tylko w przypadku urządzeń bez nadzoru.
   • Tylko wtedy, gdy użytkownik końcowy zatwierdzi prywatność, informacje o aplikacji są wysyłane do konsoli usługi Defender for Endpoint.

   

Po wdrożeniu wersji klienta na docelowych urządzeniach z systemem iOS rozpocznie się przetwarzanie. Luki w zabezpieczeniach znalezione na tych urządzeniach zaczynają być wyświetlane na pulpicie nawigacyjnym usługi Defender Vulnerability Management. Przetwarzanie może potrwać kilka godzin (maksymalnie 24 godziny). Ten przedział czasowy jest szczególnie prawdziwy dla całej listy aplikacji, które mają być wyświetlane w spisie oprogramowania.

Uwaga

Jeśli używasz rozwiązania do inspekcji protokołu SSL na urządzeniu z systemem iOS, dodaj nazwy securitycenter.windows.com domen (w środowiskach komercyjnych) i securitycenter.windows.us (w środowiskach GCC), aby funkcje zarządzania zagrożeniami i lukami w zabezpieczeniach działały.

Wyłącz wylogowywanie

Usługa Defender for Endpoint w systemie iOS obsługuje wdrażanie bez przycisku wylogowywania w aplikacji, aby uniemożliwić użytkownikom wylogowanie się z aplikacji Defender. Jest to ważne, aby uniemożliwić użytkownikom manipulowanie urządzeniem.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Administratorzy mogą wykonać następujące kroki, aby skonfigurować funkcję Wyłącz wylogowywanie

Konfigurowanie wyłączania wylogowywania przy użyciu rozwiązania MDM

W przypadku zarejestrowanych urządzeń (MDM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady >konfiguracji aplikacjiAplikacje> Dodaj >zarządzane urządzenia.

2. Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma>iOS/iPadOS.

3. Wybierz Microsoft Defender for Endpoint jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DisableSignOut jako klucz. Ustaw jej typ wartości na String.

   • Domyślnie . DisableSignOut = false
   • Administrator może ustawić DisableSignOut = true opcję wyłączenia przycisku wylogowywania w aplikacji. Użytkownicy nie widzą przycisku wylogowywania po wypchnięciu zasad.

5. Wybierz pozycję Dalej, a następnie przypisz te zasady do urządzeń/użytkowników docelowych.

Konfigurowanie wyłączania wylogowywania przy użyciu funkcji MAM

W przypadku niezarejestrowanych urządzeń (MAM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje>Dodaj>aplikacje zarządzane.

2. Nadaj zasadom nazwę.

3. W obszarze Wybierz aplikacje publiczne wybierz aplikację Microsoft Defender for Endpoint docelową.

4. Na stronie Ustawienia dodaj DisableSignOut jako klucz i ustaw jego wartość na true.

   • Domyślnie . DisableSignOut = false
   • Administrator może ustawić DisableSignOut = true opcję wyłączenia przycisku wylogowywania w aplikacji. Użytkownicy nie widzą przycisku wylogowywania po wypchnięciu zasad.

5. Wybierz pozycję Dalej, a następnie przypisz te zasady do urządzeń/użytkowników docelowych.

Tagowanie urządzenia

Usługa Defender for Endpoint w systemie iOS umożliwia zbiorcze tagowanie urządzeń przenośnych podczas dołączania, umożliwiając administratorom konfigurowanie tagów za pośrednictwem usługi Intune. Administrator może skonfigurować tagi urządzeń za pośrednictwem usługi Intune za pośrednictwem zasad konfiguracji i wypchnąć je do urządzeń użytkownika. Po zainstalowaniu i aktywowaniu usługi Defender przez użytkownika aplikacja kliencka przekazuje tagi urządzenia do portalu usługi Microsoft Defender. Tagi Urządzenia są wyświetlane na urządzeniach w spisie urządzeń.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Administratorzy mogą użyć poniższych kroków, aby skonfigurować tagi urządzenia.

Konfigurowanie tagów urządzeń przy użyciu rozwiązania MDM

W przypadku zarejestrowanych urządzeń (MDM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady >konfiguracji aplikacjiAplikacje> Dodaj >zarządzane urządzenia.

2. Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma>iOS/iPadOS.

3. Wybierz Microsoft Defender for Endpoint jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DefenderDeviceTag jako klucz. Ustaw jej typ wartości na String.

   • Administrator może przypisać nowy tag, dodając klucz DefenderDeviceTag i ustawiając wartość tagu urządzenia.
   • Administrator może edytować istniejący tag, modyfikując wartość klucza DefenderDeviceTag.
   • Administrator może usunąć istniejący tag, usuwając klucz DefenderDeviceTag.

5. Wybierz pozycję Dalej, a następnie przypisz te zasady do urządzeń/użytkowników docelowych.

Konfigurowanie tagów urządzeń przy użyciu funkcji MAM

W przypadku niezarejestrowanych urządzeń (MAM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje>Dodaj>aplikacje zarządzane.

2. Nadaj zasadom nazwę.

3. W obszarze Wybierz aplikacje publiczne wybierz aplikację Microsoft Defender for Endpoint docelową.

4. Na stronie Ustawienia dodaj DefenderDeviceTag jako klucz (w obszarze Ogólne ustawienia konfiguracji).

   • Administrator może przypisać nowy tag, dodając klucz DefenderDeviceTag i ustawiając wartość tagu urządzenia.
   • Administrator może edytować istniejący tag, modyfikując wartość klucza DefenderDeviceTag.
   • Administrator może usunąć istniejący tag, usuwając klucz DefenderDeviceTag.

5. Wybierz pozycję Dalej, a następnie przypisz te zasady do urządzeń/użytkowników docelowych.

Uwaga

Aby tagi były synchronizowane z usługą Intune i przekazywane do portalu usługi Microsoft Defender, należy otworzyć aplikację Microsoft Defender. Odzwierciedlenie tagów w portalu może potrwać do 18 godzin.

Pomiń powiadomienia o aktualizacji systemu operacyjnego

Dostępna jest konfiguracja umożliwiająca klientom pomijanie powiadomień o aktualizacji systemu operacyjnego w usłudze Defender for Endpoint w systemie iOS. Po ustawieniu klucza konfiguracji w zasadach konfiguracji aplikacji usługi Intune usługa Defender dla punktu końcowego nie będzie wysyłać żadnych powiadomień na urządzeniu o aktualizacjach systemu operacyjnego. Jednak po otwarciu aplikacji Microsoft Defender karta Kondycja urządzenia jest widoczna i pokazuje stan systemu operacyjnego.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Administratorzy mogą wykonać następujące kroki, aby pominąć powiadomienie o aktualizacji systemu operacyjnego.

Konfigurowanie powiadomień o aktualizacji systemu operacyjnego przy użyciu rozwiązania MDM

W przypadku zarejestrowanych urządzeń (MDM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady >konfiguracji aplikacjiAplikacje> Dodaj >zarządzane urządzenia.

2. Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma>iOS/iPadOS.

3. Wybierz Microsoft Defender for Endpoint jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj SuppressOSUpdateNotification jako klucz. Ustaw jej typ wartości na String.

   • Domyślnie . SuppressOSUpdateNotification = false
   • Administrator może ustawić SuppressOSUpdateNotification = true pomijanie powiadomień o aktualizacji systemu operacyjnego.
   • Wybierz pozycję Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

Konfigurowanie powiadomień o aktualizacji systemu operacyjnego przy użyciu funkcji MAM

W przypadku niezarejestrowanych urządzeń (MAM)

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje>Dodaj>aplikacje zarządzane.

2. Nadaj zasadom nazwę.

3. W obszarze Wybierz aplikacje publiczne wybierz aplikację Microsoft Defender for Endpoint docelową.

4. Na stronie Ustawienia dodaj SuppressOSUpdateNotification jako klucz (w obszarze Ogólne ustawienia konfiguracji).

   • Domyślnie . SuppressOSUpdateNotification = false
   • Administrator może ustawić SuppressOSUpdateNotification = true pomijanie powiadomień o aktualizacji systemu operacyjnego.

5. Wybierz pozycję Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

Konfigurowanie opcji wysyłania opinii w aplikacji

Klienci mają teraz możliwość skonfigurowania możliwości wysyłania danych opinii do firmy Microsoft w aplikacji Defender for Endpoint. Dane opinii pomagają firmie Microsoft ulepszać produkty i rozwiązywać problemy.

Uwaga

W przypadku klientów korzystających z chmury dla instytucji rządowych USA zbieranie danych opinii jest domyślnie wyłączone.

Wykonaj następujące kroki, aby skonfigurować opcję wysyłania danych opinii do firmy Microsoft:

1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

2. Nadaj zasadom nazwę, a jako typ profilu wybierz pozycję Platforma > iOS/iPadOS .

3. Wybierz Microsoft Defender for Endpoint jako aplikację docelową.

4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj DefenderFeedbackData jako klucz, a następnie ustaw jego typ wartości na Boolean.

   • Aby usunąć możliwość przekazywania opinii przez użytkowników końcowych, ustaw wartość jako false i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na true. W przypadku klientów rządowych USA wartość domyślna jest ustawiona na wartość "false".
   • W przypadku użytkowników z kluczem ustawionym jako trueistnieje możliwość wysyłania danych opinii do firmy Microsoft w aplikacji (menu>Pomoc & opinii>wyślij opinię do firmy Microsoft).

5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Zgłaszanie niebezpiecznych witryn

Witryny wyłudzające informacje podszywają się pod zaufane strony internetowe w celu uzyskania informacji osobistych lub finansowych. Odwiedź stronę Przekaż opinię na temat ochrony sieci , aby zgłosić witrynę internetową, która może być witryną wyłudzającą informacje.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.