Implantar Microsoft Defender para Ponto de Extremidade no iOS com Microsoft Intune

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este tópico descreve a implantação do Defender para Ponto de Extremidade no iOS em dispositivos registrados Microsoft Intune Portal da Empresa. Para obter mais informações sobre Microsoft Intune registro de dispositivo, consulte Registrar dispositivos iOS/iPadOS em Intune.

Antes de começar

• Verifique se você tem acesso ao centro de administração Microsoft Intune.

• Verifique se o registro do iOS é feito para seus usuários. Os usuários precisam ter uma licença do Defender para Ponto de Extremidade atribuída para usar o Defender para Ponto de Extremidade no iOS. Consulte Atribuir licenças aos usuários para obter instruções sobre como atribuir licenças.

• Verifique se os usuários finais têm o aplicativo do portal da empresa instalado, conectado e o registro concluído.

Observação

Microsoft Defender para Ponto de Extremidade no iOS está disponível no apple App Store.

Esta seção cobre:

1. Etapas de implantação (aplicáveis a dispositivos supervisionados e não supervisionados)- Os administradores podem implantar o Defender para Ponto de Extremidade no iOS por meio de Microsoft Intune Portal da Empresa. Essa etapa não é necessária para aplicativos VPP (compra de volume).

2. Implantação completa (somente para dispositivos supervisionados)- Os administradores podem selecionar para implantar qualquer um dos perfis determinados.

   1. Filtro de controle de toque zero (silencioso) – fornece a Proteção Da Web sem a VPN de loopback local e também permite a integração silenciosa para os usuários. O aplicativo é instalado e ativado automaticamente sem a necessidade de o usuário abrir o aplicativo.
   2. Filtro de Controle – Fornece Proteção da Web sem a VPN de loopback local.

3. Instalação de integração automatizada (somente para dispositivos não supervisionados) – os administradores podem automatizar a integração do Defender para Ponto de Extremidade para usuários de duas maneiras diferentes:

   1. Integração de toque zero (silencioso) – o aplicativo é instalado e ativado automaticamente sem a necessidade de os usuários abrirem o aplicativo.
   2. Integração automática de VPN – O perfil VPN do Defender para Ponto de Extremidade é configurado automaticamente sem que o usuário faça isso durante a integração. Essa etapa não é recomendada em Configurações de toque zero.

4. Configuração do Registro de Usuário (somente para dispositivos registrados pelo usuário Intune) – os administradores também podem implantar e configurar o aplicativo Defender para Ponto de Extremidade nos dispositivos registrados pelo usuário Intune.

5. Integração completa e marcar status – Esta etapa é aplicável a todos os tipos de registro para garantir que o aplicativo esteja instalado no dispositivo, a integração seja concluída e o dispositivo esteja visível no portal Microsoft Defender. Ele pode ser ignorado para a integração de toque zero (silencioso).

Etapas de implantação (aplicáveis a dispositivos supervisionados e não supervisionados)

Implante o Defender para Ponto de Extremidade no iOS por meio de Microsoft Intune Portal da Empresa.

Adicionar aplicativo da loja iOS

1. No centro de administração Microsoft Intune, acesse Aplicativos>iOS/iPadOS>Adicionar>aplicativo da loja iOS e clique em Selecionar.

   

2. Na página Adicionar aplicativo, clique em Pesquisar o App Store e digite Microsoft Defender na barra de pesquisa. Na seção resultados da pesquisa, clique em Microsoft Defender e clique em Selecionar.

3. Selecione o iOS 15.0 como o sistema operacional mínimo. Examine o restante das informações sobre o aplicativo e clique em Avançar.

4. Na seção Atribuições , vá para a seção Obrigatório e selecione Adicionar grupo. Em seguida, você pode escolher os grupos de usuários que deseja direcionar o Defender para Ponto de Extremidade no aplicativo iOS. Clique em Selecionar e, em seguida, Avançar.

   Observação

   O grupo de usuários selecionado deve consistir em Microsoft Intune usuários registrados.

   

5. Na seção Revisar + Criar , verifique se todas as informações inseridas estão corretas e selecione Criar. Em alguns momentos, o aplicativo Defender para Ponto de Extremidade deve ser criado com êxito e uma notificação deve aparecer no canto superior direito da página.

6. Na página de informações do aplicativo exibida, na seção Monitor, selecioneInstalação de dispositivo status para verificar se a instalação do dispositivo foi concluída com êxito.

   

Concluir a implantação para dispositivos supervisionados

O Microsoft Defender para Ponto de Extremidade no aplicativo iOS tem capacidade especializada em dispositivos iOS/iPadOS supervisionados, dado o aumento dos recursos de gerenciamento fornecidos pela plataforma nesses tipos de dispositivos. Ele também pode fornecer a Proteção Web sem configurar uma VPN local no dispositivo. Isso oferece aos usuários finais uma experiência perfeita enquanto ainda estão sendo protegidos contra phishing e outros ataques baseados na Web.

Os administradores podem usar as etapas a seguir para configurar dispositivos supervisionados.

Configurar o modo supervisionado por meio de Microsoft Intune

Configure o modo supervisionado para o aplicativo Defender para Ponto de Extremidade por meio de uma política de configuração de aplicativo e perfil de configuração de dispositivo.

Política de configuração de aplicativo

Observação

Essa política de configuração de aplicativo para dispositivos supervisionados é aplicável apenas a dispositivos gerenciados e deve ser direcionada para todos os dispositivos iOS gerenciados como uma prática recomendada.

1. Entre no centro de administração do Microsoft Intune e acessePolíticas> de configuração de aplicativo de aplicativos>Adicionar. Selecione Dispositivos gerenciados.

   

2. Na página Criar política de configuração de aplicativo , forneça as seguintes informações:

   • Nome da política
   • Plataforma: selecione iOS/iPadOS
   • Aplicativo de destino: selecione Microsoft Defender para Ponto de Extremidade na lista

   

3. Na próxima tela, selecione Usar designer de configuração como o formato. Especifique as seguintes propriedades:

   • Chave de Configuração: issupervised
   • Tipo de valor: Cadeia de caracteres
   • Valor de configuração: {{issupervised}}

   

4. Selecione Avançar para abrir a página Marcas de escopo. As marcas de escopo são opcionais. Selecione Avançar para continuar.

5. Na página Atribuições, selecione os grupos que receberão esse perfil. Para esse cenário, é uma prática recomendada direcionar Todos os Dispositivos. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Ao implantar em grupos de usuários, um usuário deve entrar em um dispositivo antes que a política se aplique.

   Clique em Próximo.

6. Quando terminar, selecione Criar na página Revisar + criar. O novo perfil é exibido na lista de perfis de configuração.

Perfil de configuração do dispositivo (Filtro de Controle)

Observação

Para dispositivos que executam iOS/iPadOS (no Modo Supervisionado), há um perfil .mobileconfig personalizado, chamado de perfil ControlFilter disponível. Esse perfil habilita o Web Protection sem configurar a VPN de loopback local no dispositivo. Isso oferece aos usuários finais uma experiência perfeita enquanto ainda estão sendo protegidos contra phishing e outros ataques baseados na Web.

No entanto, o perfil ControlFilter não funciona com Always-On VPN (AOVPN) devido a restrições de plataforma.

Os administradores implantam qualquer um dos perfis determinados.

1. Filtro de controle de toque zero (silencioso) – esse perfil permite a integração silenciosa para usuários. Baixar o perfil de configuração do ControlFilterZeroTouch

2. Filtro de Controle – Baixe o perfil de configuração do ControlFilter.

Depois que o perfil for baixado, implante o perfil personalizado. Siga as etapas abaixo:

1. Navegue até dispositivos perfis> de >configuraçãoiOS/iPadOS>Criar Perfil.

2. SelecioneModelos deTipo> de Perfil e Nome> do ModeloPersonalizado.

   

3. Forneça um nome do perfil. Quando solicitado a importar um arquivo de perfil de configuração, selecione o baixado na etapa anterior.

4. Na seção Atribuição , selecione o grupo de dispositivos ao qual você deseja aplicar esse perfil. Como prática recomendada, isso deve ser aplicado a todos os dispositivos iOS gerenciados. Selecione Avançar.

   Observação

   Há suporte para a criação do Grupo de Dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

5. Quando terminar, selecione Criar na página Revisar + criar. O novo perfil é exibido na lista de perfis de configuração.

Instalação de integração automatizada (somente para dispositivos não supervisionados)

Os administradores podem automatizar a integração do Defender para usuários de duas maneiras diferentes com a Integração de Zero touch(Silent) ou a integração automática de VPN.

Integração de Microsoft Defender para Ponto de Extremidade de toque zero (silencioso)

Observação

O toque zero não pode ser configurado em dispositivos iOS registrados sem afinidade de usuário (dispositivos sem usuário ou dispositivos compartilhados).

Os administradores podem configurar Microsoft Defender para Ponto de Extremidade para implantar e ativar silenciosamente. Nesse fluxo, o administrador cria um perfil de implantação e o usuário é simplesmente notificado da instalação. O Defender para Ponto de Extremidade é instalado automaticamente sem a necessidade de o usuário abrir o aplicativo. Siga as etapas abaixo para configurar a implantação silenciosa ou de toque zero do Defender para Ponto de Extremidade em dispositivos iOS registrados:

1. No centro de administração Microsoft Intune, acesse Perfisde Configuração de Dispositivos>>Criar Perfil.

2. Escolha Plataforma como iOS/iPadOS, Tipo de perfil como Modelos e Nome do modelo como VPN. Selecione Criar.

3. Digite um nome para o perfil e selecione Avançar.

4. Selecione VPN personalizada para Tipo de Conexão e, na seção VPN base , insira o seguinte:

   • Nome da conexão = Microsoft Defender para Ponto de Extremidade
   • Endereço do servidor VPN = 127.0.0.1
   • Método Auth = "Nome de usuário e senha"
   • Túnel dividido = Desabilitar
   • Identificador de VPN = com.microsoft.scmx
   • Nos pares de valor-chave, insira a chave SilentOnboard e defina o valor como True.
   • Tipo de VPN automática = VPN sob demanda
   • Selecione Adicionarpara Regras sob Demanda e selecione Quero fazer o seguinte = Conectar VPN, quero restringir a = Todos os domínios.

   

   • Para exigir que a VPN não possa ser desabilitada no dispositivo de usuários, os administradores podem selecionar Sim em Bloquear usuários para desabilitar VPN automática. Por padrão, ele não está configurado e os usuários podem desabilitar VPN somente nas Configurações.
   • Para permitir que os usuários alterem o alternância vpn de dentro do aplicativo, adicione EnableVPNToggleInApp = TRUE, nos pares de valor-chave. Por padrão, os usuários não podem alterar o alternância de dentro do aplicativo.

5. Selecione Avançar e atribua o perfil a usuários direcionados.

6. Na seção Revisar + Criar , verifique se todas as informações inseridas estão corretas e selecione Criar.

Depois que a configuração acima for concluída e sincronizada com o dispositivo, as seguintes ações ocorrerão nos dispositivos iOS direcionados:

• Microsoft Defender para Ponto de Extremidade será implantado e conectado silenciosamente e o dispositivo será visto no portal do Defender para Ponto de Extremidade.
• Uma notificação provisória será enviada para o dispositivo de usuário.
• A Proteção Web e outros recursos serão ativados.

Observação

Para dispositivos supervisionados, os administradores podem configurar a integração de toque zero com o novo Perfil de Filtro de Controle ZeroTouch.

O Perfil VPN do Defender para Ponto de Extremidade não será instalado no dispositivo e a proteção da Web será fornecida pelo Perfil do Filtro de Controle.

Integração automática do perfil VPN (Integração simplificada)

Observação

Essa etapa simplifica o processo de integração configurando o perfil VPN. Se você estiver usando o toque zero, não precisará executar esta etapa.

Para dispositivos não supervisionados, uma VPN é usada para fornecer o recurso de Proteção Da Web. Esta não é uma VPN regular e é uma VPN local/auto-looping que não leva tráfego fora do dispositivo.

Os administradores podem configurar a configuração automática do perfil VPN. Isso configurará automaticamente o perfil VPN do Defender para Ponto de Extremidade sem que o usuário faça isso durante a integração.

1. No centro de administração Microsoft Intune, acesse Perfisde Configuração de Dispositivos>>Criar Perfil.

2. Escolha Plataforma como iOS/iPadOS e Tipo de perfil como VPN. Clique em Criar.

3. Digite um nome para o perfil e clique em Avançar.

4. Selecione VPN personalizada para Tipo de Conexão e, na seção VPN base , insira o seguinte:

   • Nome da conexão = Microsoft Defender para Ponto de Extremidade

   • Endereço do servidor VPN = 127.0.0.1

   • Método Auth = "Nome de usuário e senha"

   • Túnel dividido = Desabilitar

   • Identificador de VPN = com.microsoft.scmx

   • Nos pares de valor-chave, insira a chave AutoOnboard e defina o valor como True.

   • Tipo de VPN automática = VPN sob demanda

   • Selecione Adicionarpara Regras sob Demanda e selecione Quero fazer o seguinte = Conectar VPN, quero restringir a = Todos os domínios.

     

   • Para exigir que a VPN não possa ser desabilitada no dispositivo de um usuário, os administradores podem selecionar Sim em Bloquear usuários para desabilitar VPN automática. Por padrão, essa configuração não está configurada e os usuários podem desabilitar VPN apenas nas Configurações.

   • Para permitir que os usuários alterem o alternância vpn de dentro do aplicativo, adicione EnableVPNToggleInApp = TRUE, nos pares de valor-chave. Por padrão, os usuários não podem alterar o alternância de dentro do aplicativo.

5. Clique em Avançar e atribua o perfil a usuários direcionados.

6. Na seção Revisar + Criar , verifique se todas as informações inseridas estão corretas e selecione Criar.

Configuração do Registro de Usuário (somente para dispositivos registrados pelo usuário Intune)

Importante

O Registro de Usuário para Microsoft Defender no iOS está em versão prévia pública. As informações a seguir referem-se ao produto pré-relacionado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Microsoft Defender aplicativo iOS pode ser implantado nos Intune dispositivos registrados pelo usuário usando as etapas a seguir.

Administrador

1. Configure o Perfil de Registro de Usuário no Intune. Intune dá suporte ao Registro de Usuário da Apple controlado pela conta e ao Registro de Usuário da Apple com Portal da Empresa. Leia mais sobre a comparação dos dois métodos e selecione um.

   • Configurar o registro de usuário com Portal da Empresa
   • Configurar o registro de usuário controlado por conta

2. Configure o Plug-in do SSO. O aplicativo autenticador com extensão SSO é um pré-requisito para o registro de usuário em um dispositivo iOS.

   • Create is Device configuration Profile in Intune- Configure o plug-in iOS/iPadOS Enterprise SSO com o MDM | Microsoft Learn.
   • Certifique-se de adicionar essas duas chaves na configuração acima:
   • ID do pacote de aplicativos: inclua a ID do pacote do Aplicativo Defender nesta lista com.microsoft.scmx
   • Configuração adicional: Chave – device_registration ; Tipo – Cadeia de caracteres ; Valor- {{DEVICEREGISTRATION}}

3. Configure a Chave MDM para Registro de Usuário.

   • Em Intune, acesse Ir para Políticas > de configuração de aplicativo de aplicativos > Adicionar > dispositivos gerenciados
   • Dê um nome à política, selecione Plataforma > iOS/iPadOS,
   • Selecione Microsoft Defender para Ponto de Extremidade como o aplicativo de destino.
   • Na página Configurações, selecione Usar designer de configuração e adicione UserEnrolmentEnabled como a chave, tipo de valor como Cadeia de Caracteres, valor como True.

4. Administração pode enviar push do Defender como um aplicativo VPP necessário de Intune.

Usuário Final

O aplicativo Defender está instalado no dispositivo do usuário. O usuário entra e conclui a integração. Depois que o dispositivo for integrado com êxito, ele ficará visível no Portal de Segurança do Defender em Inventário de Dispositivos.

Recursos e limitações com suporte

1. Deu suporte a todos os recursos atuais do MDPE iOS como : Proteção da Web, Proteção de Rede, Detecção de Jailbreak, Vulnerabilidades no SISTEMA Operacional e Aplicativos, Alertas no Portal de Segurança do Defender e políticas de Conformidade.
2. Não há suporte para implantação de toque zero (silencioso) e integração automática de VPN com o Registro de Usuário, pois os administradores não podem enviar push em um perfil VPN amplo do dispositivo com o Registro de Usuário.
3. Para o gerenciamento de vulnerabilidades de aplicativos, somente os aplicativos no perfil de trabalho ficarão visíveis.
4. Leia mais sobre as limitações e os recursos do Registro de Usuário.

Integração completa e marcar status

1. Depois que o Defender para Ponto de Extremidade no iOS for instalado no dispositivo, você verá o ícone do aplicativo.

   

2. Toque no ícone do aplicativo Defender para Ponto de Extremidade (MSDefender) e siga as instruções na tela para concluir as etapas de integração. Os detalhes incluem a aceitação do usuário final das permissões do iOS exigidas pelo Defender para Ponto de Extremidade no iOS.

Observação

Ignore esta etapa se você configurar o integração de toque zero (silencioso). O aplicativo de inicialização manual não será necessário se a integração de toque zero (silencioso) estiver configurada.

3. Após a integração bem-sucedida, o dispositivo começará a aparecer na lista Dispositivos no portal Microsoft Defender.

   

Próximas etapas

• Configurar a política de proteção de aplicativo para incluir sinais de risco do Defender para Ponto de Extremidade (MAM)
• Configurar o Defender para Ponto de Extremidade nos recursos do iOS

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.