Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Usługa Defender for Endpoint w systemie iOS będzie używać sieci VPN w celu zapewnienia funkcji ochrony sieci Web. Nie jest to zwykła sieć VPN i jest lokalną/samopętlaną siecią VPN, która nie przyjmuje ruchu poza urządzeniem.

Dostęp warunkowy za pomocą usługi Defender dla punktu końcowego w systemie iOS

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS wraz z Microsoft Intune i Tożsamość Microsoft Entra umożliwia wymuszanie zasad zgodności urządzeń i dostępu warunkowego na podstawie oceny ryzyka urządzenia. Defender for Endpoint to rozwiązanie usługi Mobile Threat Defense (MTD), które można wdrożyć w celu korzystania z tej funkcji za pośrednictwem Intune.

Aby uzyskać więcej informacji na temat konfigurowania dostępu warunkowego za pomocą usługi Defender for Endpoint w systemie iOS, zobacz Defender for Endpoint i Intune.

Ochrona sieci Web i sieć VPN

Domyślnie usługa Defender for Endpoint w systemie iOS obejmuje i włącza funkcję ochrony w Internecie. Ochrona w Internecie pomaga zabezpieczyć urządzenia przed zagrożeniami internetowymi i chronić użytkowników przed atakami wyłudzania informacji. Wskaźniki chroniące przed wyłudzaniem informacji i niestandardowe (adres URL i domena) są obsługiwane w ramach usługi Web Protection. Wskaźniki niestandardowe oparte na adresach IP nie są obecnie obsługiwane w systemie iOS. Filtrowanie zawartości sieci Web nie jest obecnie obsługiwane na platformach mobilnych (Android i iOS).

Usługa Defender for Endpoint w systemie iOS używa sieci VPN w celu zapewnienia tej możliwości. Należy pamiętać, że sieć VPN jest lokalna i w przeciwieństwie do tradycyjnej sieci VPN ruch sieciowy nie jest wysyłany poza urządzenie.

Mimo że jest domyślnie włączona, mogą wystąpić pewne przypadki, które wymagają wyłączenia sieci VPN. Na przykład chcesz uruchomić niektóre aplikacje, które nie działają po skonfigurowaniu sieci VPN. W takich przypadkach możesz wyłączyć sieć VPN z aplikacji na urządzeniu, wykonując następujące kroki:

  1. Na urządzeniu z systemem iOS otwórz aplikację Ustawienia , wybierz pozycję Ogólne , a następnie sieć VPN.

  2. Wybierz przycisk i dla Ochrona punktu końcowego w usłudze Microsoft Defender.

  3. Wyłącz opcję Połącz na żądanie, aby wyłączyć sieć VPN.

    Przycisk przełączania dla opcji Połącz na żądanie dla konfiguracji sieci VPN

Uwaga

Usługa Web Protection nie jest dostępna, gdy sieć VPN jest wyłączona. Aby ponownie włączyć usługę Web Protection, otwórz aplikację Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu i kliknij lub naciśnij pozycję Uruchom sieć VPN.

Wyłączanie ochrony sieci Web

Usługa Web Protection jest jedną z kluczowych funkcji usługi Defender for Endpoint i wymaga sieci VPN w celu zapewnienia tej możliwości. Używana sieć VPN jest siecią VPN lokalną/sprzężoną zwrotną, a nie tradycyjną siecią VPN, jednak istnieje kilka powodów, dla których klienci mogą nie preferować sieci VPN. Klienci, którzy nie chcą konfigurować sieci VPN, mogą wyłączyć usługę Web Protection i wdrożyć usługę Defender for Endpoint bez tej funkcji. Inne funkcje usługi Defender for Endpoint nadal działają.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych urządzeń (MAM). W przypadku klientów korzystających z rozwiązania MDM administratorzy mogą skonfigurować usługę Web Protection za pośrednictwem urządzeń zarządzanych w konfiguracji aplikacji. W przypadku klientów bez rejestracji przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi administratorzy mogą skonfigurować usługę Web Protection za pośrednictwem aplikacji zarządzanych w konfiguracji aplikacji.

Konfigurowanie ochrony sieci Web

  1. Wyłącz usługę Web Protection (MDM) Poniższe kroki umożliwiają wyłączenie usługi Web Protection dla zarejestrowanych urządzeń.

    • W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.
    • Nadaj zasadom nazwę Platform > iOS/iPadOS.
    • Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
    • Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj wartość WebProtection jako klucz i typ wartości jako Ciąg.
      • Domyślnie WebProtection= true.
      • Administracja musi zmienić wartość WebProtection = false, aby wyłączyć ochronę sieci Web.
      • Usługa Defender wysyła puls do portalu Microsoft Defender za każdym razem, gdy użytkownik otworzy aplikację.
      • Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

  2. Wyłącz usługę Web Protection (MAM) Poniższe kroki umożliwiają wyłączenie usługi Web Protection dla niezarejestrowanych urządzeń.

    • W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>aplikacje zarządzane.
    • Nadaj zasadom nazwę.
    • W obszarze Wybierz aplikacje publiczne wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
    • Na stronie Ustawienia w obszarze Ogólne ustawienia konfiguracji dodaj wartość WebProtection jako klucz i wartość false.
      • Domyślnie WebProtection= true.
      • Administracja musi zmienić wartość WebProtection = false, aby wyłączyć ochronę sieci Web.
      • Usługa Defender wysyła puls do portalu Microsoft Defender za każdym razem, gdy użytkownik otworzy aplikację.
      • Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Konfigurowanie ochrony sieci

Ochrona sieci w Microsoft Defender dla punktu końcowego jest domyślnie wyłączona. Administratorzy mogą skonfigurować ochronę sieci przy użyciu poniższych kroków. Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń za pośrednictwem konfiguracji mdm, jak i niezarejestrowanych urządzeń za pośrednictwem konfiguracji mam.

Uwaga

Dla ochrony sieci należy utworzyć tylko jedną zasadę zarządzania urządzeniami przenośnymi lub aplikacjami mobilnymi.

W przypadku zarejestrowanych urządzeń (MDM)

Wykonaj poniższe kroki, aby skonfigurować konfigurację mdm dla zarejestrowanych urządzeń na potrzeby ochrony sieci.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady >konfiguracji aplikacjiAplikacje> Dodaj >zarządzane urządzenia.

  2. Podaj nazwę i opis zasad. W obszarze Platforma wybierz pozycję iOS/iPad.

  3. W aplikacji docelowej wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender.

  4. Na stronie Ustawienia wybierz format ustawień konfiguracji Użyj projektanta konfiguracji.

  5. Dodaj wartość "DefenderNetworkProtectionEnable" jako klucz konfiguracji, typ wartości jako "String" i wartość "true", aby włączyć ochronę sieci. (Ochrona sieci jest domyślnie wyłączona).

    Zrzut ekranu przedstawiający zasady konfiguracji mdm.

  6. W przypadku innych konfiguracji związanych z ochroną sieci dodaj następujące klucze, wybierz odpowiedni typ wartości i wartość.

    Klucz Typ wartości: Wartość domyślna (true-enable, false-disable) Opis
    DefenderOpenNetworkDetection Liczba całkowita 0 1 — Inspekcja, 0 — Wyłącz (ustawienie domyślne), 2 — Włącz. To ustawienie jest zarządzane przez Administracja IT w celu przeprowadzania inspekcji, wyłączania lub włączania wykrywania otwartej sieci. W trybie inspekcji alerty są wysyłane tylko do portalu usługi ATP bez środowiska użytkownika końcowego. W przypadku środowiska użytkownika końcowego ustaw konfigurację na tryb "Włącz".
    DefenderEndUserTrustFlowEnable Ciąg False true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratorów IT do włączania lub wyłączania środowiska użytkownika końcowego w aplikacji w celu zaufania niezabezpieczonym i podejrzanym sieciom oraz ich braku zaufania.
    DefenderNetworkProtectionAutoRemediation Ciąg True true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratora IT do włączania lub wyłączania alertów korygowania wysyłanych, gdy użytkownik wykonuje działania korygujące, takie jak przełączanie się do bezpieczniejszych punktów dostępu w sieci WIFI lub usuwanie podejrzanych certyfikatów wykrytych przez usługę Defender.
    DefenderNetworkProtectionPrivacy Ciąg True true — włącz, fałsz - wyłącz; To ustawienie jest zarządzane przez administratora IT w celu włączenia lub wyłączenia prywatności w ochronie sieci.

  7. W sekcji Przypisania administrator może wybrać grupy użytkowników do uwzględnienia i wykluczenia z zasad.

  8. Przejrzyj i utwórz zasady konfiguracji.

W przypadku niezarejestrowanych urządzeń (MAM)

Wykonaj poniższe kroki, aby skonfigurować konfigurację mam dla niezarejestrowanych urządzeń w celu ochrony sieci (rejestracja urządzenia Authenticator jest wymagana w przypadku konfiguracji mam) na urządzeniach z systemem iOS. Inicjowanie ochrony sieci wymaga od użytkownika końcowego jednorazowego otwarcia aplikacji.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Aplikacje> Zasady >konfiguracji aplikacjiDodaj>aplikacje> zarządzaneUtwórz nowe zasady konfiguracji aplikacji.

    Dodaj zasady konfiguracji.

  2. Podaj nazwę i opis, aby jednoznacznie zidentyfikować zasady. Następnie wybierz pozycję Wybierz aplikacje publiczne i wybierz pozycję Microsoft Defender dla platformy iOS/iPadOS.

    Nadaj konfiguracji nazwę.

  3. Na stronie Ustawienia dodaj wartość DefenderNetworkProtectionEnable jako klucz i wartość, aby true włączyć ochronę sieci. (Ochrona sieci jest domyślnie wyłączona).

    Dodaj wartość konfiguracji.

  4. W przypadku innych konfiguracji związanych z ochroną sieci dodaj następujące klucze i odpowiednią odpowiednią wartość.

    Klucz Wartość domyślna (true — włączanie, fałsz — wyłączanie) Opis
    DefenderOpenNetworkDetection 0 1 — Inspekcja, 0 — Wyłącz (ustawienie domyślne), 2 — Włącz. To ustawienie jest zarządzane przez administratora IT w celu włączania, przeprowadzania inspekcji lub wyłączania wykrywania otwartej sieci. W trybie inspekcji alerty są wysyłane tylko do portalu usługi ATP bez środowiska po stronie użytkownika. W przypadku środowiska użytkownika ustaw konfigurację na tryb "Włącz".
    DefenderEndUserTrustFlowEnable False true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratorów IT do włączania lub wyłączania środowiska użytkownika końcowego w aplikacji w celu zaufania niezabezpieczonym i podejrzanym sieciom oraz ich braku zaufania.
    DefenderNetworkProtectionAutoRemediation True true — włącz, fałsz - wyłącz; To ustawienie jest używane przez administratora IT do włączania lub wyłączania alertów korygowania wysyłanych, gdy użytkownik wykonuje działania korygujące, takie jak przełączanie się do bezpieczniejszych punktów dostępu w sieci WIFI lub usuwanie podejrzanych certyfikatów wykrytych przez usługę Defender.
    DefenderNetworkProtectionPrivacy True true — włącz, fałsz - wyłącz; To ustawienie jest zarządzane przez administratora IT w celu włączenia lub wyłączenia prywatności w ochronie sieci.

  5. W sekcji Przypisania administrator może wybrać grupy użytkowników do uwzględnienia i wykluczenia z zasad.

    Przypisywanie konfiguracji.

  6. Przejrzyj i utwórz zasady konfiguracji.

Współistnienie wielu profilów sieci VPN

System Apple iOS nie obsługuje wielu sieci VPN na całym urządzeniu, które mają być aktywne jednocześnie. Chociaż na urządzeniu może istnieć wiele profilów sieci VPN, tylko jedna sieć VPN może być aktywna jednocześnie.

Konfigurowanie sygnału Ochrona punktu końcowego w usłudze Microsoft Defender ryzyka w zasadach ochrony aplikacji (MAM)

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS umożliwia korzystanie ze scenariusza zasad ochrony aplikacji. Użytkownicy końcowi mogą zainstalować najnowszą wersję aplikacji bezpośrednio ze sklepu Apple App Store. Upewnij się, że urządzenie zostało zarejestrowane w aplikacji Authenticator przy użyciu tego samego konta używanego do dołączania w usłudze Defender w celu pomyślnej rejestracji mam.

Ochrona punktu końcowego w usłudze Microsoft Defender można skonfigurować do wysyłania sygnałów zagrożeń do użycia w zasadach ochrony aplikacji (APP, znanej również jako MAM) w systemie iOS/iPadOS. Dzięki tej możliwości można również chronić dostęp do danych firmowych z niezarejestrowanych urządzeń za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender.

Wykonaj kroki opisane w poniższym linku, aby skonfigurować zasady ochrony aplikacji za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender Konfigurowanie sygnałów ryzyka usługi Defender w zasadach ochrony aplikacji (MAM)

Aby uzyskać więcej informacji na temat zasad zarządzania aplikacjami mobilnymi lub ochrony aplikacji, zobacz ustawienia zasad ochrony aplikacji systemu iOS.

Mechanizmy kontroli prywatności

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS umożliwia kontrolę prywatności zarówno dla administratorów, jak i użytkowników końcowych. Obejmuje to kontrolki dla zarejestrowanych urządzeń (MDM) i niezarejestrowanych (MAM).

W przypadku klientów z rozwiązaniem MDM administratorzy mogą skonfigurować mechanizmy kontroli prywatności za pośrednictwem urządzeń zarządzanych w konfiguracji aplikacji. W przypadku klientów bez rejestracji przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi administratorzy mogą skonfigurować mechanizmy kontroli prywatności za pośrednictwem aplikacji zarządzanych w konfiguracji aplikacji. Użytkownicy końcowi będą również mogli skonfigurować ustawienia prywatności z poziomu ustawień aplikacji Defender.

Konfigurowanie prywatności w raporcie alertów języka phish

Klienci mogą teraz włączyć kontrolę prywatności dla raportu phish wysyłanego przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS, dzięki czemu nazwa domeny nie jest uwzględniana jako część alertu phish za każdym razem, gdy witryna internetowa phish zostanie wykryta i zablokowana przez Ochrona punktu końcowego w usłudze Microsoft Defender.

  1. Administracja Kontroli prywatności (MDM) Wykonaj następujące kroki, aby włączyć prywatność i nie zbierać nazwy domeny w ramach raportu alertów phish dla zarejestrowanych urządzeń.

    1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

    2. Nadaj zasadom nazwę Platforma > iOS/iPadOS, wybierz typ profilu.

    3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

    4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj pozycję DefenderExcludeURLInReport jako klucz i typ wartości jako wartość logiczną.

      • Aby włączyć prywatność i nie zbierać nazwy domeny, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
      • W przypadku użytkowników z kluczem ustawionym jako truealert phish nie zawiera informacji o nazwie domeny za każdym razem, gdy złośliwa witryna zostanie wykryta i zablokowana przez usługę Defender for Endpoint.

    5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

  2. Administracja Privacy Controls (MAM) Wykonaj następujące kroki, aby włączyć prywatność i nie zbierać nazwy domeny w ramach raportu alertów phish dla niezarejestrowanych urządzeń.

    1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>aplikacje zarządzane.

    2. Nadaj zasadom nazwę.

    3. W obszarze Wybierz aplikacje publiczne wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

    4. Na stronie Ustawienia w obszarze Ogólne ustawienia konfiguracji dodaj wartość DefenderExcludeURLInReport jako klucz i wartość jako true.

      • Aby włączyć prywatność i nie zbierać nazwy domeny, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
      • W przypadku użytkowników z kluczem ustawionym jako truealert phish nie zawiera informacji o nazwie domeny za każdym razem, gdy złośliwa witryna zostanie wykryta i zablokowana przez usługę Defender for Endpoint.

    5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

  3. Mechanizmy kontroli prywatności użytkowników końcowych Te kontrolki ułatwiają użytkownikowi końcowemu konfigurowanie informacji udostępnionych organizacji.

    W przypadku urządzeń nadzorowanych kontrolki użytkowników końcowych nie są widoczne. Administrator decyduje o ustawieniach i kontroluje je. Jednak w przypadku urządzeń nienadzorowanych kontrolka jest wyświetlana w obszarze Ustawienia > Prywatność.

    • Użytkownicy widzą przełącznik niebezpiecznych informacji o witrynie.
    • Ten przełącznik jest widoczny tylko wtedy, gdy Administracja ma ustawioną wartość DefenderExcludeURLInReport = true.
    • Jeśli Administracja jest włączona, użytkownicy mogą zdecydować, czy chcą wysłać niebezpieczne informacje o witrynie do swojej organizacji, czy nie.
    • Domyślnie jest ona ustawiona na falsewartość . Informacje o niebezpiecznej witrynie nie są wysyłane.
    • Jeśli użytkownik przełączy go na truewartość , zostaną wysłane niebezpieczne szczegóły witryny.

Włączenie lub wyłączenie powyższych mechanizmów kontroli prywatności nie ma wpływu na sprawdzanie zgodności urządzeń ani dostęp warunkowy.

Uwaga

Na urządzeniach nadzorowanych z profilem konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender może uzyskać dostęp do całego adresu URL, a jeśli okaże się, że wyłudzanie informacji jest zablokowane. Na urządzeniu bez nadzoru Ochrona punktu końcowego w usłudze Microsoft Defender ma dostęp tylko do nazwy domeny, a jeśli domena nie jest adresem URL wyłudzania informacji, nie zostanie zablokowana.

Uprawnienia opcjonalne

Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS włącza opcjonalne uprawnienia w przepływie dołączania. Obecnie uprawnienia wymagane przez usługę Defender dla punktu końcowego są obowiązkowe w przepływie dołączania. Dzięki tej funkcji administratorzy mogą wdrażać usługę Defender for Endpoint na urządzeniach BYOD bez wymuszania obowiązkowego uprawnienia sieci VPN podczas dołączania. Użytkownicy końcowi mogą dołączyć aplikację bez wymaganych uprawnień i później przejrzeć te uprawnienia. Ta funkcja jest obecnie dostępna tylko dla zarejestrowanych urządzeń (MDM).

Konfigurowanie uprawnień opcjonalnych

  1. Administracja flow (MDM) Użyj poniższych kroków, aby włączyć opcjonalne uprawnienie sieci VPN dla zarejestrowanych urządzeń.

    • W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

    • Nadaj zasadom nazwę, a następnie wybierz pozycję Platforma > iOS/iPadOS.

    • Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

    • Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj nazwę DefenderOptionalVPN jako klucz i typ wartości jako wartość logiczną.

      • Aby włączyć opcjonalne uprawnienie sieci VPN, wprowadź wartość jako true i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na false.
      • W przypadku użytkowników z kluczem ustawionym jako trueużytkownicy mogą dołączyć aplikację bez udzielania uprawnień sieci VPN.

    • Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

  2. Przepływ użytkownika końcowego — użytkownik instaluje i otwiera aplikację, aby rozpocząć dołączanie.

    • Jeśli administrator skonfigurował uprawnienia opcjonalne, użytkownik może pominąć uprawnienia sieci VPN i ukończyć dołączanie.
    • Nawet jeśli użytkownik pominął sieć VPN, urządzenie może zostać dołączone i zostanie wysłane puls.
    • Jeśli sieć VPN jest wyłączona, ochrona w Internecie nie jest aktywna.
    • Później użytkownik może włączyć ochronę sieci Web z poziomu aplikacji, która instaluje konfigurację sieci VPN na urządzeniu.

Uwaga

Uprawnienie opcjonalne różni się od opcji Wyłącz ochronę sieci Web. Opcjonalne uprawnienie sieci VPN pomaga pominąć uprawnienie tylko podczas dołączania, ale jest dostępne dla użytkownika końcowego, aby później go przejrzeć i włączyć. Funkcja Wyłącz ochronę w Sieci Web umożliwia użytkownikom dołączanie aplikacji Defender for Endpoint bez ochrony sieci Web. Nie można go włączyć później.

Wykrywanie jailbreaku

Ochrona punktu końcowego w usłudze Microsoft Defender ma możliwość wykrywania niezarządzanych i zarządzanych urządzeń ze zdjętymi zabezpieczeniami systemu. Te kontrole jailbreak są wykonywane okresowo. Jeśli urządzenie zostanie wykryte jako ze zdjętymi zabezpieczeniami systemu, wystąpią następujące zdarzenia:

  • Alert wysokiego ryzyka jest zgłaszany w portalu Microsoft Defender. Jeśli zgodność urządzenia i dostęp warunkowy są skonfigurowane na podstawie oceny ryzyka urządzenia, dostęp urządzenia do danych firmowych jest zablokowany.
  • Dane użytkownika w aplikacji są usuwane. Po otwarciu aplikacji przez użytkownika po usunięciu profilu sieci VPN profil sieci VPN również zostanie usunięty i nie jest oferowana żadna ochrona w Internecie.

Konfigurowanie zasad zgodności na urządzeniach ze zdjętymi zabezpieczeniami systemu

Aby chronić dane firmowe przed dostępem na urządzeniach z systemem iOS ze zdjętymi zabezpieczeniami systemu iOS, zalecamy skonfigurowanie następujących zasad zgodności na Intune.

Uwaga

Wykrywanie jailbreak jest funkcją zapewnianą przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS. Zalecamy jednak skonfigurowanie tych zasad jako dodatkowej warstwy ochrony przed scenariuszami jailbreak.

Wykonaj poniższe kroki, aby utworzyć zasady zgodności dla urządzeń ze zdjętymi zabezpieczeniami systemu.

  1. W centrum administracyjnym Microsoft Intune przejdź do obszaruZasady zgodnościurządzeń>Utwórz zasady>. Wybierz pozycję "iOS/iPadOS" jako platformę i wybierz pozycję Utwórz.

    Karta Tworzenie zasad

  2. Określ nazwę zasad, na przykład Zasady zgodności dla systemu Jailbreak.

  3. Na stronie ustawienia zgodności wybierz, aby rozwinąć sekcję Kondycja urządzenia i wybrać pozycję Blokuj dla urządzeń ze zdjętymi zabezpieczeniami systemu.

    Karta Ustawienia zgodności

  4. W sekcji Akcje dotyczące niezgodności wybierz akcje zgodnie z wymaganiami i wybierz pozycję Dalej.

    Karta Akcje dotyczące niezgodności

  5. W sekcji Przypisania wybierz grupy użytkowników, które chcesz uwzględnić dla tych zasad, a następnie wybierz pozycję Dalej.

  6. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

Konfigurowanie niestandardowych wskaźników

Usługa Defender for Endpoint w systemie iOS umożliwia administratorom konfigurowanie niestandardowych wskaźników również na urządzeniach z systemem iOS. Aby uzyskać więcej informacji na temat konfigurowania wskaźników niestandardowych, zobacz Zarządzanie wskaźnikami.

Uwaga

Usługa Defender for Endpoint w systemie iOS obsługuje tworzenie niestandardowych wskaźników tylko dla adresów URL i domen. Wskaźniki niestandardowe oparte na adresach IP nie są obsługiwane w systemie iOS.

W przypadku systemu iOS żadne alerty nie są generowane na Microsoft Defender XDR po uzyskaniu dostępu do adresu URL lub domeny ustawionej w wskaźniku.

Konfigurowanie oceny luk w zabezpieczeniach aplikacji

Zmniejszenie ryzyka cybernetycznego wymaga kompleksowego zarządzania lukami w zabezpieczeniach opartym na ryzyku w celu identyfikowania, oceny, korygowania i śledzenia wszystkich największych luk w zabezpieczeniach w najważniejszych zasobach, a wszystko to w jednym rozwiązaniu. Odwiedź tę stronę, aby dowiedzieć się więcej o Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w Ochrona punktu końcowego w usłudze Microsoft Defender.

Usługa Defender for Endpoint w systemie iOS obsługuje oceny luk w zabezpieczeniach systemu operacyjnego i aplikacji. Ocena luk w zabezpieczeniach wersji systemu iOS jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Ocena luk w zabezpieczeniach aplikacji dotyczy tylko zarejestrowanych urządzeń (MDM). Administratorzy mogą wykonać następujące kroki, aby skonfigurować ocenę luk w zabezpieczeniach aplikacji.

Na nadzorowanym urządzeniu

  1. Upewnij się, że urządzenie jest skonfigurowane w trybie nadzorowanym.

  2. Aby włączyć tę funkcję w centrum administracyjnym Microsoft Intune, przejdź do pozycji Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender Włącz synchronizację>aplikacji dla urządzeń z systemem iOS/iPadOS.

    Przełączanie synchronizacji aplikacjiSup

Uwaga

Aby uzyskać listę wszystkich aplikacji, w tym aplikacji niezarządzanych, administrator musi włączyć opcję Wyślij pełne dane spisu aplikacji na urządzeniach osobistych z systemem iOS/iPadOS w portalu Intune Administracja dla urządzeń nadzorowanych oznaczonych jako "Osobiste". W przypadku urządzeń nadzorowanych oznaczonych jako "Firmowe" w portalu Intune Administracja administrator nie musi włączać opcji Wyślij pełne dane spisu aplikacji na urządzeniach osobistych z systemem iOS/iPadOS.

Na urządzeniu bez nadzoru

  1. Aby włączyć tę funkcję w centrum administracyjnym Microsoft Intune, przejdź do pozycji Zabezpieczenia> punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender Włącz synchronizację>aplikacji dla urządzeń z systemem iOS/iPadOS.

    Przełącznik synchronizacji aplikacji

  2. Aby uzyskać listę wszystkich aplikacji, w tym aplikacji niezarządzanych, włącz przełącznik Wyślij pełne dane spisu aplikacji na urządzeniach osobistych z systemem iOS/iPadOS.

    Pełne dane aplikacji

  3. Aby skonfigurować ustawienie prywatności, wykonaj poniższe kroki.

    • Przejdźdo obszaruZasady> konfiguracji aplikacji Aplikacje> Dodaj >urządzenia zarządzane.
    • Nadaj zasadom nazwę Platform>iOS/iPadOS.
    • Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
    • Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj ciąg DefenderTVMPrivacyMode jako typ klucza i wartości.
      • Aby wyłączyć prywatność i zebrać listę zainstalowanych aplikacji, wprowadź wartość jako False i przypisz te zasady użytkownikom.
      • Domyślnie ta wartość jest ustawiona na wartość True dla nienadzorowanych urządzeń.
      • W przypadku użytkowników z kluczem ustawionym jako Falseusługa Defender dla punktu końcowego wyśle listę aplikacji zainstalowanych na urządzeniu w celu oceny luk w zabezpieczeniach.
    • Kliknij przycisk Dalej i przypisz ten profil do urządzeń/użytkowników docelowych.
    • Włączenie lub wyłączenie powyższych mechanizmów kontroli prywatności nie wpłynie na sprawdzanie zgodności urządzeń ani dostęp warunkowy.

  4. Po zastosowaniu konfiguracji użytkownik końcowy będzie musiał otworzyć aplikację w celu zatwierdzenia ustawienia prywatności.

    • Ekran zatwierdzania prywatności będzie wyświetlany tylko w przypadku urządzeń bez nadzoru.

    • Tylko wtedy, gdy użytkownik końcowy zatwierdzi prywatność, informacje o aplikacji są wysyłane do konsoli usługi Defender for Endpoint.

      Zrzut ekranu przedstawiający ekran prywatności użytkownika końcowego.

Po wdrożeniu wersji klienta na docelowych urządzeniach z systemem iOS przetwarzanie rozpocznie się. Luki w zabezpieczeniach znalezione na tych urządzeniach będą wyświetlane na pulpicie nawigacyjnym usługi Defender Vulnerability Management. Przetwarzanie może potrwać kilka godzin (maksymalnie 24 godziny). Szczególnie w przypadku całej listy aplikacji, które mają być wyświetlane w spisie oprogramowania.

Uwaga

Jeśli używasz rozwiązania do inspekcji SSL na urządzeniu z systemem iOS, zezwól na wyświetlanie listy tych nazw domen securitycenter.windows.com (w środowisku komercyjnym) i securitycenter.windows.us (w środowisku GCC) funkcji TVM.

Wyłącz wylogowywanie

Usługa Defender for Endpoint w systemie iOS obsługuje wdrażanie bez przycisku wylogowywania w aplikacji, aby uniemożliwić użytkownikom wylogowanie się z aplikacji Defender. Jest to ważne, aby uniemożliwić użytkownikom manipulowanie urządzeniem.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Administratorzy mogą wykonać następujące kroki, aby skonfigurować funkcję Wyłącz wylogowywanie

Konfigurowanie wyłączania wylogowywania

W przypadku zarejestrowanych urządzeń (MDM)

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zasady > konfiguracji aplikacji Aplikacje > Dodaj > zarządzane urządzenia.
  2. Nadaj zasadom nazwę, wybierz pozycję Platforma > iOS/iPadOS
  3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
  4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj pozycję DisableSignOut jako klucz i typ wartości jako Ciąg.
  5. Domyślnie DisableSignOut = false.
  6. Administracja musi mieć wartość DisableSignOut = true, aby wyłączyć przycisk wylogowywania w aplikacji. Po wypchnięciu zasad użytkownicy nie zobaczą przycisku wylogowywania.
  7. Kliknij przycisk Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

W przypadku niezarejestrowanych urządzeń (MAM)

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zasady > konfiguracji aplikacji Aplikacje > Dodaj > aplikacje zarządzane.
  2. Nadaj zasadom nazwę.
  3. W obszarze Wybierz aplikacje publiczne wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
  4. Na stronie Ustawienia dodaj wartość DisableSignOut jako klucz i wartość true w obszarze Ogólne ustawienia konfiguracji.
  5. Domyślnie DisableSignOut = false.
  6. Administracja musi mieć wartość DisableSignOut = true, aby wyłączyć przycisk wylogowywania w aplikacji. Po wypchnięciu zasad użytkownicy nie zobaczą przycisku wylogowywania.
  7. Kliknij przycisk Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

Ważna

Ta funkcja jest dostępna w publicznej wersji zapoznawczej. Poniższe informacje dotyczą wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Tagowanie urządzenia

Usługa Defender for Endpoint w systemie iOS umożliwia zbiorcze tagowanie urządzeń przenośnych podczas dołączania, umożliwiając administratorom konfigurowanie tagów za pośrednictwem Intune. Administracja można skonfigurować tagi urządzeń za pośrednictwem Intune za pośrednictwem zasad konfiguracji i wypchnąć je do urządzeń użytkownika. Po zainstalowaniu i aktywowaniu usługi Defender przez użytkownika aplikacja kliencka przekazuje tagi urządzenia do portalu zabezpieczeń. Tagi Urządzenia są wyświetlane na urządzeniach w spisie urządzeń.

Ta konfiguracja jest dostępna zarówno dla zarejestrowanych urządzeń (MDM), jak i niezarejestrowanych (MAM). Administratorzy mogą użyć poniższych kroków, aby skonfigurować tagi urządzenia.

Konfigurowanie tagów urządzeń

W przypadku zarejestrowanych urządzeń (MDM)

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zasady > konfiguracji aplikacji Aplikacje > Dodaj > zarządzane urządzenia.

  2. Nadaj zasadom nazwę, wybierz pozycję Platforma > iOS/iPadOS

  3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

  4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj element DefenderDeviceTag jako typ klucza i wartości jako ciąg.

    • Administracja można przypisać nowy tag, dodając klucz DefenderDeviceTag i ustawiając wartość tagu urządzenia.
    • Administracja można edytować istniejący tag, modyfikując wartość klucza DefenderDeviceTag.
    • Administracja można usunąć istniejący tag, usuwając klucz DefenderDeviceTag.

  5. Kliknij przycisk Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

W przypadku niezarejestrowanych urządzeń (MAM)

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zasady > konfiguracji aplikacji Aplikacje > Dodaj > aplikacje zarządzane.
  2. Nadaj zasadom nazwę.
  3. W obszarze Wybierz aplikacje publiczne wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.
  4. Na stronie Ustawienia dodaj element DefenderDeviceTag jako klucz w obszarze Ogólne ustawienia konfiguracji.
    • Administracja można przypisać nowy tag, dodając klucz DefenderDeviceTag i ustawiając wartość tagu urządzenia.
    • Administracja można edytować istniejący tag, modyfikując wartość klucza DefenderDeviceTag.
    • Administracja można usunąć istniejący tag, usuwając klucz DefenderDeviceTag.
  5. Kliknij przycisk Dalej i przypisz te zasady do urządzeń/użytkowników docelowych.

Uwaga

Aby tagi były synchronizowane z Intune i przekazywane do portalu zabezpieczeń, należy otworzyć aplikację Defender. Odzwierciedlenie tagów w portalu może potrwać do 18 godzin.

Konfigurowanie opcji wysyłania opinii w aplikacji

Klienci mają teraz możliwość skonfigurowania możliwości wysyłania danych opinii do firmy Microsoft w aplikacji Defender for Endpoint. Dane opinii pomagają firmie Microsoft ulepszać produkty i rozwiązywać problemy.

Uwaga

W przypadku klientów korzystających z chmury dla instytucji rządowych USA zbieranie danych opinii jest domyślnie wyłączone .

Wykonaj następujące kroki, aby skonfigurować opcję wysyłania danych opinii do firmy Microsoft:

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycjiZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia.

  2. Nadaj zasadom nazwę, a jako typ profilu wybierz pozycję Platforma > iOS/iPadOS .

  3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

  4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj wartość DefenderFeedbackData jako typ klucza i wartości jako wartość logiczną.

    • Aby usunąć możliwość przekazywania opinii przez użytkowników końcowych, ustaw wartość jako false i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na true. W przypadku klientów rządowych USA wartość domyślna jest ustawiona na wartość "false".

    • W przypadku użytkowników z kluczem ustawionym jako trueistnieje możliwość wysyłania danych opinii do firmy Microsoft w aplikacji (menu>Pomoc & opinii>wyślij opinię do firmy Microsoft).

  5. Wybierz pozycję Dalej i przypisz ten profil do docelowych urządzeń/użytkowników.

Zgłaszanie niebezpiecznej witryny

Witryny wyłudzające informacje podszywają się pod zaufane strony internetowe w celu uzyskania informacji osobistych lub finansowych. Odwiedź stronę Przekaż opinię na temat ochrony sieci , aby zgłosić witrynę internetową, która może być witryną wyłudzającą informacje.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.