Compartilhar via


Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

O Defender para Endpoint no iOS utilizaria uma VPN para fornecer a funcionalidade Proteção Web. Esta não é uma VPN normal e é uma VPN local/de ciclo autónomo que não aceita tráfego fora do dispositivo.

Acesso Condicional com o Defender para Endpoint no iOS

O Microsoft Defender para Endpoint no iOS juntamente com o Microsoft Intune e o Microsoft Entra ID permitem impor políticas de Conformidade do dispositivo e Acesso Condicional com base na classificação de risco do dispositivo. O Defender para Endpoint é uma solução de Defesa Contra Ameaças para Dispositivos Móveis (MTD) que pode implementar para utilizar esta capacidade através do Intune.

Para obter mais informações sobre como configurar o Acesso Condicional com o Defender para Endpoint no iOS, consulte Defender para Endpoint e Intune.

Proteção Web e VPN

Por predefinição, o Defender para Endpoint no iOS inclui e ativa a proteção Web, que ajuda a proteger os dispositivos contra ameaças da Web e a proteger os utilizadores de ataques de phishing. Os indicadores anti-phishing e personalizados (URL e Domínio) são suportados como parte da proteção Web. Os indicadores personalizados baseados em IP não são atualmente suportados no iOS. Atualmente, a Filtragem de Conteúdo Web não é suportada em plataformas móveis (Android e iOS).

O Defender para Endpoint no iOS utiliza uma VPN para fornecer esta capacidade. A VPN é local e, ao contrário da VPN tradicional, o tráfego de rede não é enviado para fora do dispositivo.

Embora esteja ativada por predefinição, podem existir alguns casos que requerem a desativação da VPN. Por exemplo, quer executar algumas aplicações que não funcionam quando uma VPN está configurada. Nestes casos, pode optar por desativar a VPN da aplicação no dispositivo ao seguir estes passos:

  1. No seu dispositivo iOS, abra a aplicação Definições , selecione Geral e, em seguida , VPN.

  2. Selecione o botão i para o Microsoft Defender para Endpoint.

  3. Desative Ligar a Pedido para desativar a VPN.

    O botão de alternar para a opção Ligar a pedido da configuração de VPN

Observação

A proteção Web não está disponível quando a VPN está desativada. Para reativar a proteção Web, abra a aplicação Microsoft Defender para Endpoint no dispositivo e, em seguida, selecione Iniciar VPN.

Desativar a proteção Web

A proteção Web é uma das principais funcionalidades do Defender para Endpoint e requer uma VPN para fornecer essa capacidade. A VPN utilizada é uma VPN local/loopback e não uma VPN tradicional. No entanto, existem vários motivos pelos quais os clientes podem não preferir a VPN. Se não quiser configurar uma VPN, pode desativar a proteção Web e implementar o Defender para Endpoint sem essa funcionalidade. Outras funcionalidades do Defender para Endpoint continuam a funcionar.

Esta configuração está disponível para dispositivos inscritos (MDM) e dispositivos não inscritos (MAM). Para clientes com MDM, os administradores podem configurar a proteção Web através de dispositivos geridos na Configuração da Aplicação. Para os clientes sem inscrição, através da MAM, os administradores podem configurar a proteção Web através de aplicações geridas na Configuração da Aplicação.

Configurar a proteção Web

Desativar a proteção Web com a MDM

Utilize os seguintes passos para desativar a proteção Web para dispositivos inscritos.

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política, Plataforma > iOS/iPadOS.

  3. Selecione Microsoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e, em seguida, adicione WebProtection como chave e defina o respetivo tipo de valor como String.

    • Por predefinição, WebProtection = true. Um administrador tem de definir WebProtection = false para desativar a proteção Web.
    • O Defender para Endpoint envia o heartbeat para o portal do Microsoft Defender sempre que um utilizador abre a aplicação.
    • Selecione Seguinte e, em seguida, atribua este perfil a dispositivos/utilizadores visados.

Desativar a proteção Web com MAM

Utilize os seguintes passos para desativar a proteção Web para dispositivos não inscritos.

  1. No centro de administração do Microsoft Intune, aceda a Aplicações>Políticas de configuração de aplicaçõesAdicionar>aplicações geridas>.

  2. Dê um nome de para a política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , em Definições de Configuração Geral, adicione WebProtection como a chave e defina o respetivo valor como false.

    • Por predefinição, WebProtection = true. Um administrador pode definir WebProtection = false para desativar a proteção Web.
    • O Defender para Endpoint envia o heartbeat para o portal do Microsoft Defender sempre que um utilizador abre a aplicação.
    • Selecione Seguinte e, em seguida, atribua este perfil a dispositivos/utilizadores visados.

Observação

A WebProtection chave não é aplicável ao Filtro de Controlo na lista de dispositivos supervisionados. Se quiser desativar a proteção Web para dispositivos supervisionados, pode remover o perfil filtro de controlo.

Configurar a proteção de rede

A proteção de rede no Microsoft Defender para ponto final está desativada por predefinição. Os administradores podem utilizar os seguintes passos para configurar a proteção de rede. Esta configuração está disponível para ambos os dispositivos inscritos através da configuração de MDM e de dispositivos não inscritos através da configuração de MAM.

Observação

Apenas deve ser criada uma política para a Proteção de rede, seja através de MDM ou MAM. A inicialização da proteção de rede requer que o utilizador final abra a aplicação uma vez.

Configurar a proteção de rede com a MDM

Para configurar a proteção de rede com a configuração mdm para dispositivos inscritos, siga estes passos:

  1. No centro de administração do Microsoft Intune, navegue para Aplicações>Políticas de configuração de aplicações>Adicionar>dispositivos geridos.

  2. Indique o nome e a descrição da política. Em Plataforma, selecione iOS/iPad.

  3. Na aplicação de destino, selecione Microsoft Defender para Endpoint.

  4. Na página Definições , selecione o formato definições de configuração Utilizar estruturador de configuração.

  5. Adicione DefenderNetworkProtectionEnable como a chave de configuração. Defina o respetivo tipo de valor como Stringe defina o respetivo valor como para false desativar a proteção de rede. (A proteção de rede está ativada por predefinição.)

    Captura de ecrã a mostrar a política de configuração mdm.

  6. Para outras configurações relacionadas com a proteção de rede, adicione as seguintes chaves, escolha o valor e o tipo de valor correspondentes.

    Chave Tipo do Valor Predefinição (true-enable, false-disable) Descrição
    DefenderOpenNetworkDetection Inteiro 2 1 - Auditoria, 0 - Desativar, 2 - Ativar (predefinição). Esta definição é gerida por um Administrador de TI para auditar, desativar ou ativar a deteção de rede aberta, respetivamente. No modo de auditoria, os alertas são enviados apenas para o portal do Microsoft Defender sem experiência de utilizador final. Para a experiência do utilizador final, defina-a como Enable.
    DefenderEndUserTrustFlowEnable Cadeia de caracteres falso true - ativar, falso - desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a experiência do utilizador final na aplicação para confiar e desconfiar das redes não seguras e suspeitas.
    DefenderNetworkProtectionAutoRemediation Cadeia de caracteres verdadeiro true - ativar, falso - desativar; Esta definição é utilizada pelo administrador de TI para ativar ou desativar os alertas de remediação que são enviados quando um utilizador executa atividades de remediação, como mudar para pontos de acesso WIFI mais seguros.
    DefenderNetworkProtectionPrivacy Cadeia de caracteres verdadeiro true - ativar, falso - desativar; Esta definição é gerida pelo administrador de TI para ativar ou desativar a privacidade na proteção de rede. Se a privacidade estiver desativada, será apresentado o consentimento do utilizador para partilhar o wi-fi malicioso. Se a privacidade estiver ativada, não é apresentado o consentimento do utilizador e não são recolhidos dados da aplicação.
  7. Na secção Atribuições , um administrador pode escolher grupos de utilizadores a incluir e excluir da política.

  8. Reveja e crie a política de configuração.

Configurar a proteção de rede com MAM

Utilize o procedimento seguinte para configurar a configuração de MAM para dispositivos não inscritos para proteção de rede (o registo de dispositivos Authenticator é necessário para a configuração de MAM) em dispositivos iOS.

  1. No centro de administração do Microsoft Intune, navegue para Aplicações>Políticas de configuração de aplicaçõesAdicionar>Aplicações> geridas >Criar uma nova política de configuração de aplicações.

    Adicionar política de configuração.

  2. Forneça um nome e uma descrição para identificar exclusivamente a política. Em seguida, selecione Selecionar aplicações públicas e escolha Microsoft Defender para Plataforma iOS/iPadOS.

    Atribua um nome à configuração.

  3. Na página Definições , adicione DefenderNetworkProtectionEnable como a chave e o valor para false desativar a proteção de rede. (A proteção de rede está ativada por predefinição.)

    Adicionar valor de configuração.

  4. Para outras configurações relacionadas com a proteção de rede, adicione as seguintes chaves e o valor correspondente adequado.

    Chave Predefinição (verdadeiro - ativar, falso - desativar) Descrição
    DefenderOpenNetworkDetection 2 1 - Auditoria, 0 - Desativar, 2 - Ativar (predefinição). Esta definição é gerida por um administrador de TI para ativar, auditar ou desativar a deteção de rede aberta. No Modo de auditoria, os alertas são enviados apenas para o portal ATP sem experiência do lado do utilizador. Para a experiência do utilizador, defina a configuração para o modo "Ativar".
    DefenderEndUserTrustFlowEnable falso true - ativar, falso - desativar; Esta definição é utilizada pelos administradores de TI para ativar ou desativar a experiência do utilizador final na aplicação para confiar e desconfiar das redes não seguras e suspeitas.
    DefenderNetworkProtectionAutoRemediation verdadeiro true - ativar, falso - desativar; Esta definição é utilizada pelo administrador de TI para ativar ou desativar os alertas de remediação que são enviados quando um utilizador executa atividades de remediação, como mudar para pontos de acesso WIFI mais seguros.
    DefenderNetworkProtectionPrivacy verdadeiro true - ativar, falso - desativar; Esta definição é gerida pelo administrador de TI para ativar ou desativar a privacidade na proteção de rede. Se a privacidade estiver desativada, será apresentado o consentimento do utilizador para partilhar o wi-fi malicioso. Se a privacidade estiver ativada, não é apresentado o consentimento do utilizador e não são recolhidos dados da aplicação.
  5. Na secção Atribuições , um administrador pode escolher grupos de utilizadores a incluir e excluir da política.

    Atribuir configuração.

  6. Reveja e crie a política de configuração.

Coexistência de vários perfis VPN

O Apple iOS não suporta a ativação simultânea de várias VPNs em todo o dispositivo. Embora possam existir múltiplos perfis VPN no dispositivo, apenas uma VPN pode estar ativa de cada vez.

Configurar o sinal de risco do Microsoft Defender para Endpoint na política de proteção de aplicações (MAM)

O Microsoft Defender para Endpoint no iOS ativa o cenário da Política de Proteção de Aplicações. Os utilizadores finais podem instalar a versão mais recente da aplicação diretamente a partir da loja de aplicações da Apple. Certifique-se de que o dispositivo está registado no Authenticator com a mesma conta a ser utilizada para integrar no Defender para um registo MAM bem-sucedido.

O Microsoft Defender para Endpoint pode ser configurado para enviar sinais de ameaças a serem utilizados nas Políticas de Proteção de Aplicações (APP, também conhecidas como MAM) no iOS/iPadOS. Com esta capacidade, também pode utilizar o Microsoft Defender para Endpoint para proteger o acesso a dados empresariais de dispositivos não inscritos.

Siga os passos na seguinte ligação para configurar políticas de proteção de aplicações com o Microsoft Defender para Endpoint Configurar sinais de risco do Defender na política de proteção de aplicações (MAM)

Para obter mais detalhes sobre a MAM ou a política de proteção de aplicações, veja Definições de política de proteção de aplicações iOS.

Controles de privacidade

O Microsoft Defender para Endpoint no iOS permite controlos de privacidade para administradores e utilizadores finais. Isto inclui os controlos para dispositivos inscritos (MDM) e não inscritos (MAM).

Se estiver a utilizar a MDM, os administradores podem configurar controlos de privacidade através de Dispositivos geridos na Configuração da Aplicação. Se estiver a utilizar a MAM sem inscrição, os administradores podem configurar controlos de privacidade através de Aplicações geridas na Configuração da Aplicação. Os utilizadores finais também podem configurar as definições de privacidade nas definições da aplicação Microsoft Defender.

Configurar a privacidade no relatório de alertas phish

Os clientes podem agora ativar o controlo de privacidade para o relatório de phish enviado pelo Microsoft Defender para Endpoint no iOS para que o nome de domínio não seja incluído como parte de um alerta de phish sempre que um site phish é detetado e bloqueado pelo Microsoft Defender para Endpoint.

Configurar controlos de privacidade na MDM

Utilize os seguintes passos para ativar a privacidade e não recolher o nome de domínio como parte do relatório de alertas phish para dispositivos inscritos.

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política, Plataforma > iOS/iPadOS e selecione o tipo de perfil.

  3. Selecione Microsoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DefenderExcludeURLInReport como chave e defina o respetivo tipo de valor como Booleano.

    • Para ativar a privacidade e não recolher o nome de domínio, introduza o valor como true e atribua esta política aos utilizadores. Por predefinição, este valor está definido como false.
    • Para utilizadores com chave definida como true, o alerta phish não contém as informações de nome de domínio sempre que um site malicioso é detetado e bloqueado pelo Defender para Endpoint.
  5. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Configurar controlos de privacidade na MAM

Utilize os seguintes passos para ativar a privacidade e não recolher o nome de domínio como parte do relatório de alertas phish para dispositivos não inscritos.

  1. No centro de administração do Microsoft Intune, aceda a Aplicações>Políticas de configuração de aplicaçõesAdicionar>aplicações geridas>.

  2. Dê um nome de para a política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , em Definições de Configuração Geral, adicione DefenderExcludeURLInReport como a chave e defina o respetivo valor como true.

    • Para ativar a privacidade e não recolher o nome de domínio, introduza o valor como true e atribua esta política aos utilizadores. Por predefinição, este valor está definido como false.
    • Para utilizadores com chave definida como true, o alerta phish não contém as informações de nome de domínio sempre que um site malicioso é detetado e bloqueado pelo Defender para Endpoint.
  5. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Configurar controlos de privacidade do utilizador final na aplicação Microsoft Defender

Estes controlos ajudam o utilizador final a configurar as informações partilhadas com a organização.

Para dispositivos supervisionados, os controlos de utilizador final não estão visíveis. O seu administrador decide e controla as definições. No entanto, para dispositivos não supervisionados, o controlo é apresentado em Definições > Privacidade.

Os utilizadores veem um botão de alternar para Informações de Site Não Seguras. Este botão de alternar só é visível se o administrador tiver definido DefenderExcludeURLInReport = true.

Se for ativada por um administrador, os utilizadores podem especificar se devem enviar informações de site não seguras para a respetiva organização. Por predefinição, está definido como false, o que significa que as informações não seguras do site não são enviadas. Se o utilizador o ativar para true, os detalhes do site não seguros serão enviados.

Ativar ou desativar os controlos de privacidade não afeta a verificação de conformidade do dispositivo ou o acesso condicional.

Observação

Em dispositivos supervisionados com o perfil de configuração, o Microsoft Defender para Endpoint pode aceder a todo o URL e, se for considerado phishing, está bloqueado. Num dispositivo não supervisionado, o Microsoft Defender para Endpoint tem acesso apenas ao nome de domínio e, se o domínio não for um URL de phishing, não será bloqueado.

Permissões opcionais

O Microsoft Defender para Endpoint no iOS ativa permissões opcionais no fluxo de inclusão. Atualmente, as permissões exigidas pelo Defender para Endpoint são obrigatórias no fluxo de inclusão. Com esta funcionalidade, os administradores podem implementar o Defender para Endpoint em dispositivos BYOD sem impor a permissão de VPN obrigatória durante a integração. Os utilizadores finais podem integrar a aplicação sem as permissões obrigatórias e podem rever posteriormente estas permissões. Esta funcionalidade está atualmente presente apenas para dispositivos inscritos (MDM).

Configurar permissões opcionais com a MDM

Os administradores podem utilizar os seguintes passos para ativar a permissão VPN Opcional para dispositivos inscritos.

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política e selecione Plataforma > iOS/iPadOS.

  3. Selecione Microsoft Defender para Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DefenderOptionalVPN como chave e defina o respetivo tipo de valor como Boolean.

    • Para ativar a permissão VPN opcional, introduza o valor como true e atribua esta política aos utilizadores. Por predefinição, este valor está definido como false.
    • Para os utilizadores com a chave definida como true, os utilizadores podem integrar a aplicação sem conceder a permissão VPN.
  5. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Configurar permissões opcionais como utilizador final

Os utilizadores finais instalam e abrem a aplicação Microsoft Defender para iniciar a integração.

  • Se um administrador tiver configurado permissões opcionais, o utilizador pode Ignorar a permissão VPN e concluir a integração.
  • Mesmo que o utilizador tenha ignorado a VPN, o dispositivo é capaz de integrar e é enviado um heartbeat.
  • Se a VPN estiver desativada, a proteção Web não estará ativa.
  • Mais tarde, o utilizador pode ativar a proteção Web a partir da aplicação, que instala a configuração de VPN no dispositivo.

Observação

A Permissão Opcional é diferente de Desativar a Proteção Web. A Permissão de VPN opcional só ajuda a ignorar a permissão durante a integração, mas está disponível para o utilizador final rever e ativá-la mais tarde. Embora Desativar a Proteção Web permita que os utilizadores integrem a aplicação Defender para Endpoint sem a Proteção Web. Não pode ser ativado mais tarde.

Deteção de jailbreak

O Microsoft Defender para Endpoint tem a capacidade de detetar dispositivos não geridos e geridos com jailbreak. Estas verificações de jailbreak são feitas periodicamente. Se um dispositivo for detetado como desbloqueado por jailbreak, estes eventos ocorrem:

  • É comunicado um alerta de alto risco ao portal do Microsoft Defender. Se a Conformidade e o Acesso Condicional do dispositivo estiverem configurados com base na classificação de risco do dispositivo, o dispositivo será impedido de aceder aos dados empresariais.
  • Os dados do utilizador na aplicação são limpos. Quando o utilizador abre a aplicação após a jailbreak, o perfil VPN (apenas o Perfil de VPN de loopback do Defender para Endpoint) também é eliminado e não é oferecida qualquer proteção Web. Os perfis VPN fornecidos pelo Intune não são removidos.

Configurar a política de conformidade em dispositivos desbloqueados por jailbreak

Para proteger os dados empresariais de serem acedidos em dispositivos iOS desbloqueados por jailbreak, recomendamos que configure a seguinte política de conformidade no Intune.

Observação

A deteção de jailbreak é uma capacidade fornecida pelo Microsoft Defender para Endpoint no iOS. No entanto, recomendamos que configure esta política como uma camada adicional de defesa contra cenários de jailbreak.

Siga os passos abaixo para criar uma política de conformidade para dispositivos desbloqueados por jailbreak.

  1. No centro de administração do Microsoft Intune, aceda aPolíticas de Conformidadede Dispositivos>>Criar Política. Selecione "iOS/iPadOS" como plataforma e selecione Criar.

    O separador Criar Política

  2. Especifique um nome da política, como Política de Conformidade para Jailbreak.

  3. Na página de definições de compatibilidade, selecione para expandir a secção Estado de Funcionamento do Dispositivo e selecione Block no campo Dispositivos desbloqueados por jailbreak .

    O separador Definições de compatibilidade

  4. Na secção Ações de não conformidade , selecione as ações de acordo com os seus requisitos e, em seguida, selecione Seguinte.

    O separador Ações para não conformidade

  5. Na secção Atribuições , selecione os grupos de utilizadores que pretende incluir para esta política e, em seguida, selecione Seguinte.

  6. Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar.

Configurar indicadores personalizados

O Defender para Endpoint no iOS também permite que os administradores configurem indicadores personalizados em dispositivos iOS. Para obter mais informações sobre como configurar indicadores personalizados, veja Gerir indicadores.

Observação

O Defender para Endpoint no iOS suporta a criação de indicadores personalizados apenas para URLs e domínios. Os indicadores personalizados baseados em IP não são suportados no iOS.

Para iOS, não são gerados alertas no Microsoft Defender XDR quando o URL ou domínio definido no indicador é acedido.

Configurar a avaliação de vulnerabilidades de aplicações

A redução do risco cibernético requer uma gestão abrangente de vulnerabilidades baseada no risco para identificar, avaliar, remediar e controlar todas as suas maiores vulnerabilidades nos seus recursos mais críticos, tudo numa única solução. Visite esta página para saber mais sobre a Gestão de Vulnerabilidades do Microsoft Defender no Microsoft Defender para Endpoint.

O Defender para Endpoint no iOS suporta avaliações de vulnerabilidades do SO e das aplicações. A avaliação de vulnerabilidades de versões iOS está disponível para dispositivos inscritos (MDM) e não inscritos (MAM). A avaliação de vulnerabilidades das aplicações destina-se apenas a dispositivos inscritos (MDM). Os administradores podem utilizar os seguintes passos para configurar a avaliação de vulnerabilidades das aplicações.

Num dispositivo supervisionado

  1. Certifique-se de que o dispositivo está configurado no modo Supervisionado.

  2. Para ativar a funcionalidade no centro de administração do Microsoft Intune, aceda a Endpoint Security>Microsoft Defender for Endpoint>Enable App sync for iOS/iPadOS devices (Ativar a sincronização de Aplicações para dispositivos iOS/iPadOS).

    Botão de alternar Sincronização de aplicaçõesSup

Observação

Para obter a lista de todas as aplicações, incluindo aplicações não geridas, o administrador tem de ativar a definição Enviar dados completos de inventário de aplicações em dispositivos iOS/iPadOS pessoais no Portal de Administração do Intune para os dispositivos supervisionados marcados como "Pessoais". Para os dispositivos supervisionados marcados como "Empresariais" no Portal de Administração do Intune, o administrador não precisa de ativar Enviar dados completos de inventário de aplicações em dispositivos iOS/iPadOS pessoais.

Num dispositivo não supervisionado

  1. Para ativar a funcionalidade no centro de administração do Microsoft Intune, aceda a Endpoint Security>Microsoft Defender for Endpoint>Enable App sync for iOS/iPadOS devices (Ativar a sincronização de Aplicações para dispositivos iOS/iPadOS).

    Alternar sincronização de aplicações

  2. Para obter a lista de todas as aplicações, incluindo aplicações não geridas, ative o botão de alternar Enviar dados completos do inventário de aplicações em dispositivos iOS/iPadOS pessoais.

    Dados completos da Aplicação

  3. Utilize os seguintes passos para configurar a definição de privacidade.

    1. Aceda a Aplicações>Políticas de configuração de aplicações>Adicionar>dispositivos geridos.

    2. Atribua um nome à política, Plataforma>iOS/iPadOS.

    3. Selecione Microsoft Defender para Endpoint como a aplicação de destino.

    4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DefenderTVMPrivacyMode como chave. Defina o respetivo tipo de valor como String.

      • Para desativar a privacidade e recolher a lista de aplicações instaladas, especifique o valor como Falsee, em seguida, atribua esta política aos utilizadores.
      • Por predefinição, este valor está definido True como para dispositivos não supervisionados.
      • Para utilizadores com chave definida como False, o Defender para Endpoint envia a lista de aplicações instaladas no dispositivo para avaliação de vulnerabilidades.
    5. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

    6. Ativar ou desativar os controlos de privacidade não afeta a verificação de conformidade do dispositivo ou o acesso condicional.

  4. Assim que a configuração for aplicada, os utilizadores finais têm de abrir a aplicação para aprovar a definição de privacidade.

    • O ecrã de aprovação de privacidade só é apresentado para dispositivos não supervisionados.
    • Apenas se o utilizador final aprovar a privacidade, as informações da aplicação são enviadas para a consola do Defender para Ponto Final.

    Captura de ecrã do ecrã de privacidade do utilizador final.

Assim que as versões do cliente forem implementadas em dispositivos iOS de destino, o processamento é iniciado. As vulnerabilidades encontradas nesses dispositivos começam a aparecer no dashboard gestão de vulnerabilidades do Defender. O processamento pode demorar algumas horas (no máximo 24 horas) a concluir. Este período de tempo é especialmente verdadeiro para que toda a lista de aplicações seja apresentada no inventário de software.

Observação

Se estiver a utilizar a solução de inspeção SSL no seu dispositivo iOS, adicione os nomes securitycenter.windows.com de domínio (em ambientes comerciais) e securitycenter.windows.us (em ambientes GCC) para que as funcionalidades de gestão de ameaças e vulnerabilidades funcionem.

Desativar terminar sessão

O Defender para Endpoint no iOS suporta a implementação sem o botão terminar sessão na aplicação para impedir que os utilizadores terminem sessão na aplicação Defender. Isto é importante para impedir que os utilizadores adulterem o dispositivo.

Esta configuração está disponível para os dispositivos inscritos (MDM), bem como para dispositivos não inscritos (MAM). Os administradores podem utilizar os seguintes passos para configurar a opção Desativar a sessão

Configurar a desativação do início de sessão com a MDM

Para dispositivos inscritos (MDM)

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política e, em seguida, selecione Plataforma>iOS/iPadOS.

  3. Selecione Microsoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DisableSignOut como a chave. Defina o respetivo tipo de valor como String.

    • Por predefinição, DisableSignOut = false.
    • Um administrador pode definir DisableSignOut = true para desativar o botão de fim de sessão na aplicação. Os utilizadores não veem o botão terminar sessão depois de a política ser enviada.
  5. Selecione Seguinte e, em seguida, atribua esta política a dispositivos/utilizadores visados.

Configurar a desativação do início de sessão com a MAM

Para dispositivos não inscritos (MAM)

  1. No centro de administração do Microsoft Intune, navegue para Aplicações>Políticas de configuração de aplicaçõesAdicionar>aplicações geridas>.

  2. Dê um nome de para a política.

  3. Em Selecionar Aplicações Públicas, selecione Microsoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , adicione DisableSignOut como a chave e defina o respetivo valor como true.

    • Por predefinição, DisableSignOut = false.
    • Um administrador pode definir DisableSignOut = true para desativar o botão de fim de sessão na aplicação. Os utilizadores não veem o botão de terminar sessão depois de a política ser enviada.
  5. Selecione Seguinte e, em seguida, atribua esta política a dispositivos/utilizadores visados.

Etiquetagem de dispositivos

O Defender para Endpoint no iOS permite a identificação em massa dos dispositivos móveis durante a integração ao permitir que os administradores configurem etiquetas através do Intune. O administrador pode configurar as etiquetas de dispositivo através do Intune através de políticas de configuração e enviá-las para os dispositivos do utilizador. Assim que o Utilizador instalar e ativar o Defender, a aplicação cliente transmite as etiquetas do dispositivo para o portal do Microsoft Defender. As Etiquetas de dispositivo são apresentadas nos dispositivos no Inventário de Dispositivos.

Esta configuração está disponível para os dispositivos inscritos (MDM), bem como para dispositivos não inscritos (MAM). Os administradores podem utilizar os seguintes passos para configurar as Etiquetas de dispositivo.

Configurar etiquetas de dispositivos com a MDM

Para dispositivos inscritos (MDM)

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política e, em seguida, selecione Plataforma>iOS/iPadOS.

  3. Selecione Microsoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DefenderDeviceTag como a chave. Defina o respetivo tipo de valor como String.

    • Um administrador pode atribuir uma nova etiqueta ao adicionar a chave DefenderDeviceTag e definir um valor para a etiqueta do dispositivo.
    • Um administrador pode editar uma etiqueta existente ao modificar o valor da chave DefenderDeviceTag.
    • Um administrador pode eliminar uma etiqueta existente ao remover a chave DefenderDeviceTag.
  5. Selecione Seguinte e, em seguida, atribua esta política a dispositivos/utilizadores visados.

Configurar etiquetas de dispositivos com MAM

Para dispositivos não inscritos (MAM)

  1. No centro de administração do Microsoft Intune, aceda a Aplicações>Políticas de configuração de aplicaçõesAdicionar>aplicações geridas>.

  2. Dê um nome de para a política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , adicione DefenderDeviceTag como a chave (em Definições de Configuração Gerais).

    • Um administrador pode atribuir uma nova etiqueta ao adicionar a chave DefenderDeviceTag e definir um valor para a etiqueta do dispositivo.
    • Um administrador pode editar uma etiqueta existente ao modificar o valor da chave DefenderDeviceTag.
    • Um administrador pode eliminar uma etiqueta existente ao remover a chave DefenderDeviceTag.
  5. Selecione Seguinte e, em seguida, atribua esta política a dispositivos/utilizadores visados.

Observação

A aplicação Microsoft Defender tem de ser aberta para que as etiquetas sejam sincronizadas com o Intune e transmitidas para o portal do Microsoft Defender. As etiquetas podem demorar até 18 horas a refletir no portal.

Suprimir notificações de atualização do SO

Está disponível uma configuração para os clientes suprimirem a notificação de atualização do SO no Defender para Endpoint no iOS. Assim que a chave de configuração estiver definida nas políticas de configuração da Aplicação Intune, o Defender para Endpoint não enviará notificações no dispositivo para atualizações do SO. No entanto, quando abre a aplicação Microsoft Defender, o cartão Estado de Funcionamento do Dispositivo fica visível e mostra o estado do seu SO.

Esta configuração está disponível para os dispositivos inscritos (MDM), bem como para dispositivos não inscritos (MAM). Os administradores podem utilizar os seguintes passos para suprimir a Notificação de atualização do SO.

Configurar notificações de atualização do SO com a MDM

Para dispositivos inscritos (MDM)

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política e selecione Plataforma>iOS/iPadOS.

  3. Selecione Microsoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione SuppressOSUpdateNotification como a chave. Defina o respetivo tipo de valor como String.

    • Por predefinição, SuppressOSUpdateNotification = false.
    • Um administrador pode definir SuppressOSUpdateNotification = true para suprimir as notificações de atualização do SO.
    • Selecione Seguinte e atribua esta política a dispositivos/utilizadores visados.

Configurar notificações de atualização do SO com MAM

Para dispositivos não inscritos (MAM)

  1. No centro de administração do Microsoft Intune, navegue para Aplicações>Políticas de configuração de aplicaçõesAdicionar>aplicações geridas>.

  2. Dê um nome de para a política.

  3. Em Selecionar Aplicações Públicas, selecioneMicrosoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , adicione SuppressOSUpdateNotification como a chave (em Definições de Configuração Gerais).

    • Por predefinição, SuppressOSUpdateNotification = false.
    • Um administrador pode definir SuppressOSUpdateNotification = true para suprimir as notificações de atualização do SO.
  5. Selecione Seguinte e atribua esta política a dispositivos/utilizadores visados.

Configurar a opção para enviar comentários na aplicação

Agora, os clientes têm a opção de configurar a capacidade de enviar dados de feedback para a Microsoft na aplicação Defender para Endpoint. Os dados de comentários ajudam a Microsoft a melhorar os produtos e a resolver problemas.

Observação

Para clientes da cloud do Us Government, a recolha de dados de comentários está desativada por predefinição.

Utilize os seguintes passos para configurar a opção para enviar dados de comentários à Microsoft:

  1. No centro de administração do Microsoft Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

  2. Atribua um nome à política e selecione Plataforma > iOS/iPadOS como o tipo de perfil.

  3. Selecione Microsoft Defender for Endpoint como a aplicação de destino.

  4. Na página Definições , selecione Utilizar estruturador de configuração e adicione DefenderFeedbackData como chave e defina o respetivo tipo de valor como Boolean.

    • Para remover a capacidade de os utilizadores finais fornecerem comentários, defina o valor como false e atribua esta política aos utilizadores. Por predefinição, este valor está definido como true. Para clientes do Us Government, o valor predefinido está definido como "falso".
    • Para utilizadores com a chave definida como true, existe uma opção para enviar dados de Comentários para a Microsoft na aplicação (Menu>Ajuda & Enviar Comentários>à Microsoft).
  5. Selecione Seguinte e atribua este perfil a dispositivos/utilizadores visados.

Comunicar sites não seguros

Os sites de phishing representam sites fidedignos com o objetivo de obter as suas informações pessoais ou financeiras. Visite a página Fornecer feedback sobre a proteção de rede para comunicar um site que pode ser um site de phishing.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.