Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Android i iOS to nasze rozwiązanie do ochrony przed zagrożeniami mobilnymi (MTD). Firmy często aktywnie chronią komputery przed lukami w zabezpieczeniach i atakami, ale urządzenia przenośne często nie sąmonitorowane i niechronione. Chociaż platformy mobilne mają wbudowaną ochronę (na przykład izolację aplikacji i sprawdzone sklepy z aplikacjami konsumenckimi), platformy te pozostają narażone na ataki internetowe lub inne zaawansowane ataki. Ponieważ coraz więcej osób używa urządzeń do uzyskiwania dostępu do poufnych informacji służbowych, konieczne jest, aby firmy wdrażały rozwiązanie MTD w celu ochrony urządzeń i zasobów.
Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Android i iOS zapewnia następujące kluczowe możliwości:
| Możliwości | Opis |
|---|---|
| Ochrona w Sieci Web | Ochrona przed wyłudzaniem informacji, blokowanie niebezpiecznych połączeń sieciowych i obsługa niestandardowych wskaźników adresów URL i domen. (Wskaźniki plików i adresów IP nie są obecnie obsługiwane). |
| Ochrona przed złośliwym oprogramowaniem (tylko dla systemu Android) | Skanowanie pod kątem złośliwych aplikacji i Files APK. |
| Wykrywanie jailbreaka (tylko system iOS) | Wykrywanie urządzeń ze zdjętymi zabezpieczeniami systemu. |
| Wykrywanie główne (Android — wersja zapoznawcza) | Wykrywanie urządzeń z odblokowanym dostępem. |
| Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) | Ocena luk w zabezpieczeniach dołączonych urządzeń przenośnych. Obejmuje ocenę luk w zabezpieczeniach systemu operacyjnego i aplikacji dla systemów Android i iOS. Aby uzyskać więcej informacji, zobacz Co to jest Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. |
| Ochrona sieci | Ochrona przed nieuczciwymi zagrożeniami Wi-Fi i nieuczciwymi certyfikatami; możliwość dodania do listy "zezwalaj" certyfikatów głównego urzędu certyfikacji i prywatnego głównego urzędu certyfikacji w Intune; ustanawiania zaufania z punktami końcowymi. |
| Ujednolicone alerty | Alerty ze wszystkich platform w ujednoliconym portalu Microsoft Defender. |
| Dostęp warunkowy, uruchamianie warunkowe | Blokowanie uzyskiwania dostępu do zasobów firmowych przez ryzykowne urządzenia. Sygnały o ryzyku w usłudze Defender for Endpoint można również dodać do zasad ochrony aplikacji (MAM). |
| Mechanizmy kontroli prywatności | Skonfiguruj prywatność w raportach o zagrożeniach, kontrolując dane wysyłane przez Ochrona punktu końcowego w usłudze Microsoft Defender. Mechanizmy kontroli prywatności są dostępne dla administratorów i użytkowników końcowych. Jest ona dostępna również dla zarejestrowanych i niezarejestrowanych urządzeń. |
| Integracja z aplikacją Microsoft Tunnel | Integracja z aplikacją Microsoft Tunnel — rozwiązaniem bramy sieci VPN umożliwiającym bezpieczeństwo i łączność w jednej aplikacji. Dostępne zarówno w systemie Android, jak i w systemie iOS. |
Te możliwości są dostępne dla Ochrona punktu końcowego w usłudze Microsoft Defender posiadaczy licencji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące licencjonowania.
Aby uzyskać informacje o najnowszych funkcjach i korzyściach, przeczytaj nasze ogłoszenia.
Omówienie i wdrażanie
Jeśli masz subskrypcję obejmującą Microsoft Intune, możesz użyć Intune do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach przenośnych. Obejrzyj to wideo, aby zapoznać się z krótkim omówieniem możliwości i wdrożenia usługi MTD:
Dołączanie urządzeń już zarejestrowanych w Intune
Urządzenia, które zostały już zarejestrowane w Microsoft Intune, można dołączyć do Ochrona punktu końcowego w usłudze Microsoft Defender bez konieczności ponownej rejestracji. Po zainstalowaniu aplikacji Defender i przypisaniu wymaganych profilów konfiguracji urządzenie automatycznie zakończy dołączanie.
Android (urządzenia zarejestrowane Intune)
Upewnij się, że urządzenie zostało już zarejestrowane w Intune w ramach jednego z obsługiwanych scenariuszy systemu Android Enterprise.
Wdróż aplikację Ochrona punktu końcowego w usłudze Microsoft Defender za pośrednictwem Intune.
Przypisz profil konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender:
- Ochrona sieci Web
- Ochrona sieci
- Ochrona aplikacji (jeśli dotyczy)
Urządzenie jest automatycznie dołączane po odebraniu konfiguracji przez aplikację Defender.
Użyj dostępu warunkowego, aby wymusić dołączanie użytkowników zgodnie z wymaganiami.
urządzenia z systemem iOS/iPadOS (urządzenia zarejestrowane Intune)
- Upewnij się, że urządzenie zostało zarejestrowane przy użyciu usługi ADE*, programu Apple Configurator*, rejestracji urządzeń lub rejestracji użytkowników.
- Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender za pośrednictwem Intune.
- Przypisz zasady konfiguracji usługi Defender for Endpoint dla:
- Ochrona sieci Web
- Ochrona sieci
- Dołączanie bez dotykowe (w przypadku urządzeń nadzorowanych)
* Po dostarczeniu zasad aplikacja automatycznie konfiguruje i dołącza urządzenie bez interakcji z użytkownikiem.
Uwaga
Nie musisz ponownie rejestrować istniejących urządzeń zarejestrowanych Intune. Dołączanie odbywa się automatycznie po dostarczeniu do urządzenia zasad konfiguracji aplikacji Defender i mtd.
Wdrażanie
Poniższa tabela zawiera podsumowanie sposobu wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Android i iOS. Aby uzyskać szczegółową dokumentację, zobacz następujące artykuły:
- Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android i
- Omówienie usługi ochrony punktu końcowego w usłudze Microsoft Defender w systemie iOS
Obsługiwane scenariusze rejestracji systemu Android
| Scenariuszy | Aplikacja portalu firmy jest wymagana na urządzeniu? | Profil ochrony/wymagania wstępne | Jak wdrożyć |
|---|---|---|---|
| Urządzenia osobiste z systemem Android Enterprise korzystające z profilu służbowego | Tak | Chroni tylko sekcję profilu służbowego. Dowiedz się więcej o profilu służbowym | Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune |
| Urządzenia osobiste z systemem Android Enterprise korzystające z profilu osobistego | Tak | Chroni profil osobisty. Gdy klient ma również profil służbowy, chroni całe urządzenie.
|
Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune |
| Należący do firmy profil służbowy systemu Android Enterprise (COPE) | Tak | Chroni tylko sekcję profilu służbowego. Zarówno aplikacja Portal firmy, jak i aplikacja Microsoft Intune są instalowane automatycznie. | Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune |
| W pełni zarządzana firma z systemem Android Enterprise — brak profilu służbowego (COBO) | Tak | Chroni całe urządzenie. Zarówno aplikacja Portal firmy, jak i aplikacja Microsoft Intune są instalowane automatycznie. | Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune |
| MAM | Tak (zainstalowano; instalacja nie jest wymagana) | Chroni tylko zarejestrowane aplikacje. Funkcja zarządzania aplikacjami mobilnymi obsługuje rejestrację urządzeń lub bez niej lub jest zarejestrowana w usłudze Zarządzania mobilnością w przedsiębiorstwie firmy Microsoft. | Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender na sygnałach ryzyka systemu Android przy użyciu zasad ochrony aplikacji (MAM) |
| Administrator urządzenia (przestarzały 31 grudnia 2024 r.) | Tak | W grudniu 2024 r. usługi Intune i Defender for Endpoint zakończyły obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS). | Wdrażaj usługę ochrony punktu końcowego w usłudze Microsoft Defender w systemie Android za pomocą usługi Microsoft Intune |
Nieobsługiwany scenariusz rejestracji systemu Android
Te scenariusze nie są obecnie obsługiwane:
- Profil osobisty należący do firmy w systemie Android Enterprise
- Dedykowane urządzenia należące do firmy z systemem Android Enterprise (COSU) (kiosk/udostępnione)
- Projekt Open-Source systemu Android (AOSP)
Obsługiwane scenariusze dołączania z niskim poziomem dotyku w systemie Android
- Urządzenia osobiste z systemem Android Enterprise korzystające z profilu służbowego.
- Profil służbowy należący do firmy systemu Android Enterprise (COPE).
- W pełni zarządzana firma z systemem Android Enterprise — brak profilu służbowego (COBO).
Obsługiwane scenariusze rejestracji w systemie iOS
| Scenariuszy | Aplikacja portalu firmy jest wymagana na urządzeniu? | Profil ochrony/wymagania wstępne | Jak wdrożyć |
|---|---|---|---|
| Urządzenia nadzorowane (rejestracja usługi ADE i programu Apple Configurator) | Tak | Chroni całe urządzenie. W przypadku usługi ADE, jeśli użytkownicy korzystający z rejestracji just in time (JIT) nie są wymagane, ponieważ aplikacja automatycznie rejestruje urządzenie, łącząc się z serwerem Intune | Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS przy użyciu Microsoft Intune |
| Urządzenia nienadzorowane (rejestracja urządzeń) | Tak | Chroni całe urządzenie. W przypadku rejestracji urządzeń internetowych aplikacja portalu firmy nie jest wymagana, ponieważ po zalogowaniu się aplikacji zarządzanej aplikacja pobiera zasady konfiguracji bezpośrednio, a nie aplikację Portal firmy | Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS przy użyciu Microsoft Intune |
| Urządzenia nienadzorowane (rejestracja użytkownika) | Tak | Chroni całe urządzenie. Wyjątkiem jest funkcja TVM, w której chronione są tylko aplikacje służbowe wypychane przez administratora. Ochrona w Internecie działa na poziomie urządzenia i skanuje ruch sieciowy ze wszystkich aplikacji. | Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS przy użyciu Microsoft Intune |
| MAM | Nie | Chroni tylko zarejestrowane aplikacje. Sieć VPN ma dostęp do całego urządzenia i może skanować cały ruch aplikacji | Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS przy użyciu zarządzania aplikacjami mobilnymi |
Nieobsługiwany scenariusz rejestracji systemu iOS
Rejestracja urządzenia dedykowanego/udostępnionego/kiosku w systemie iOS nie jest obsługiwana.
Obsługiwane scenariusze bez dołączania dotykowego systemu iOS
- Urządzenia nadzorowane (rejestracja usługi ADE i programu Apple Configurator)
- Urządzenia nienadzorowane (rejestracja urządzeń)
Dołączanie użytkowników końcowych
Konfigurowanie dołączania bezobsługowego dla zarejestrowanych urządzeń z systemem iOS: administratorzy mogą skonfigurować instalację bezobsługową do dyskretnego dołączania Ochrona punktu końcowego w usłudze Microsoft Defender na zarejestrowanych urządzeniach z systemem iOS bez konieczności otwierania aplikacji przez użytkownika.
Skonfiguruj dostęp warunkowy, aby wymusić dołączanie użytkowników: możesz zastosować dostęp warunkowy, aby zapewnić, że użytkownicy dołączą do aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender po wdrożeniu. Obejrzyj ten film wideo, aby zapoznać się z krótkim pokazem konfigurowania dostępu warunkowego przy użyciu sygnałów ryzyka usługi Defender for Endpoint.
Upraszczanie dołączania
- iOS — dołączanie Zero-Touch
- Android Enterprise — konfigurowanie zawsze włączonej sieci VPN.
- iOS — automatyczne konfigurowanie profilu sieci VPN
Ocena pilotażowa
Podczas oceny ochrony przed zagrożeniami mobilnymi za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender można sprawdzić, czy zostały spełnione określone kryteria przed kontynuowaniem wdrażania usługi na większych urządzeniach. Możesz zdefiniować kryteria zakończenia i upewnić się, że są one spełnione przed szerokim wdrożeniem.
Ta metoda pomaga zmniejszyć potencjalne problemy, które mogą wystąpić podczas wdrażania usługi. Oto niektóre testy i kryteria zakończenia, które mogą pomóc:
- Urządzenia są wyświetlane na liście spisu urządzeń: po pomyślnym dołączeniu usługi Defender for Endpoint na urządzeniu przenośnym sprawdź, czy urządzenie znajduje się na liście Spis urządzeń w portalu Microsoft Defender.
Uruchom test wyłudzania informacji: przejdź do
https://smartscreentestratings2.netstrony i sprawdź, czy zostanie on zablokowany przez Ochrona punktu końcowego w usłudze Microsoft Defender. W systemie Android Enterprise z profilem służbowym obsługiwany jest tylko profil służbowy.Alerty są wyświetlane na pulpicie nawigacyjnym: sprawdź, czy alerty dotyczące wymienionych wcześniej testów wykrywania są wyświetlane w portalu Microsoft Defender.
Potrzebujesz pomocy dotyczącej wdrażania lub konfigurowania usługi Defender for Endpoint w systemie Android & iOS? Jeśli masz co najmniej 150 licencji na produkt, skorzystaj z zalet rozwiązania FastTrack. Dowiedz się więcej o usłudze FastTrack w Microsoft FastTrack.
Konfiguruj
- Konfigurowanie funkcji systemu Android
- Skonfiguruj funkcje systemu iOS
- Konfigurowanie usługi Web Protection bez sieci VPN dla nadzorowanych urządzeń z systemem iOS
Zasoby
- Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android
- Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS
- Bądź na bieżąco z nadchodzącymi wydaniami, czytając nasze ogłoszenia.