Implementar o Microsoft Defender para Endpoint no iOS com o Microsoft Intune
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Este tópico descreve a implementação do Defender para Endpoint no iOS em dispositivos inscritos no Portal da Empresa do Microsoft Intune. Para obter mais informações sobre a inscrição de dispositivos do Microsoft Intune, veja Inscrever dispositivos iOS/iPadOS no Intune.
Antes de começar
Certifique-se de que tem acesso ao centro de administração do Microsoft Intune.
Certifique-se de que a inscrição do iOS é feita para os seus utilizadores. Os utilizadores precisam de ter uma licença do Defender para Endpoint atribuída para utilizar o Defender para Endpoint no iOS. Veja Atribuir licenças a utilizadores para obter instruções sobre como atribuir licenças.
Certifique-se de que os utilizadores finais têm a aplicação do portal da empresa instalada, com sessão iniciada e a inscrição concluída.
Nota
O Microsoft Defender para Endpoint no iOS está disponível na Apple App Store.
Esta secção abrange:
Passos de implementação (aplicáveis para dispositivos Supervisionados e Não Supervisionados )- Os administradores podem implementar o Defender para Endpoint no iOS através do Portal da Empresa do Microsoft Intune. Este passo não é necessário para aplicações VPP (compra em volume).
Implementação completa (apenas para dispositivos supervisionados)- Os administradores podem optar por implementar qualquer um dos perfis especificados.
- Filtro de Controlo sem toque (Silencioso) – fornece Proteção Web sem a VPN de loopback local e também ativa a inclusão silenciosa para os utilizadores. A aplicação é instalada e ativada automaticamente sem a necessidade de o utilizador abrir a aplicação.
- Filtro de Controlo – fornece Proteção Web sem a VPN de loopback local.
Configuração de Inclusão Automatizada (apenas para dispositivos não supervisionados ) – os administradores podem automatizar a inclusão do Defender para Endpoint para utilizadores de duas formas diferentes:
- Inclusão sem toque (Silencioso) – a aplicação é instalada e ativada automaticamente sem a necessidade de os utilizadores abrirem a aplicação.
- Integração Automática de VPN – o perfil VPN do Defender para Endpoint é configurado automaticamente sem que o utilizador o faça durante a integração. Este passo não é recomendado em Zero configurações táteis.
Configuração da Inscrição de Utilizadores (apenas para dispositivos Inscritos pelo Utilizador do Intune) – os administradores também podem implementar e configurar a aplicação Defender para Ponto Final nos dispositivos Inscritos pelo Utilizador do Intune.
Concluir a integração e verificar o estado – este passo é aplicável a todos os tipos de inscrição para garantir que a aplicação está instalada no dispositivo, a inclusão é concluída e o dispositivo é visível no portal do Microsoft Defender. Pode ser ignorada para a inclusão sem toque (silencioso).
Passos de implementação (aplicáveis para dispositivos Supervisionados e Não Supervisionados)
Implementar o Defender para Endpoint no iOS através do Portal da Empresa do Microsoft Intune.
Adicionar aplicação da loja iOS
No centro de administração do Microsoft Intune, aceda a Aplicações>iOS/iPadOS>Adicionar>aplicação da loja iOS e clique em Selecionar.
Na página Adicionar aplicação , clique em Procurar na App Store e escreva Microsoft Defender na barra de pesquisa. Na secção de resultados da pesquisa, clique em Microsoft Defender e clique em Selecionar.
Selecione iOS 15.0 como o Sistema operativo mínimo. Reveja as restantes informações sobre a aplicação e clique em Seguinte.
Na secção Atribuições , aceda à secção Necessário e selecione Adicionar grupo. Em seguida, pode escolher os grupos de utilizadores que pretende direcionar para o Defender para Endpoint na aplicação iOS. Clique em Selecionar e, em seguida, em Seguinte.
Nota
O grupo de utilizadores selecionado deve consistir em utilizadores inscritos no Microsoft Intune.
Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar. Dentro de momentos, a aplicação Defender para Endpoint deve ser criada com êxito e deverá ser apresentada uma notificação no canto superior direito da página.
Na página de informações da aplicação apresentada, na secção Monitor , selecione Estado de instalação do dispositivo para verificar se a instalação do dispositivo foi concluída com êxito.
Implementação completa para dispositivos supervisionados
A aplicação Microsoft Defender para Endpoint para iOS tem uma capacidade especializada em dispositivos iOS/iPadOS supervisionados, dadas as capacidades de gestão aumentadas fornecidas pela plataforma nestes tipos de dispositivos. Também pode fornecer Proteção Web sem configurar uma VPN local no dispositivo. Isto proporciona aos utilizadores finais uma experiência totalmente integrada enquanto ainda estão protegidos contra phishing e outros ataques baseados na Web.
Os administradores podem utilizar os seguintes passos para configurar dispositivos supervisionados.
Configurar o Modo Supervisionado através do Microsoft Intune
Configure o modo supervisionado da aplicação Defender para Endpoint através de uma política de configuração de aplicação e perfil de configuração do dispositivo.
Política de configuração de aplicações
Nota
Esta política de configuração de aplicações para dispositivos supervisionados é aplicável apenas a dispositivos geridos e deve ser direcionada para todos os dispositivos iOS geridos como melhor prática.
Inicie sessão no centro de administração do Microsoft Intune e aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar. Selecione Dispositivos geridos.
Na página Criar política de configuração de aplicações , forneça as seguintes informações:
- Nome da Política
- Plataforma: selecione iOS/iPadOS
- Aplicação de destino: selecione Microsoft Defender para Endpoint na lista
No ecrã seguinte, selecione Utilizar estruturador de configuração como formato. Especifique as seguintes propriedades:
- Chave de Configuração:
issupervised
- Tipo de valor: Cadeia
- Valor de Configuração:
{{issupervised}}
- Chave de Configuração:
Selecione Seguinte para abrir a página Etiquetas de âmbito . As etiquetas de âmbito são opcionais. Selecione Seguinte para continuar.
Na página Atribuições , selecione os grupos que irão receber este perfil. Para este cenário, é melhor prática direcionar Todos os Dispositivos. Para obter mais informações sobre a atribuição de perfis, veja Atribuir perfis de utilizador e de dispositivo.
Ao implementar em grupos de utilizadores, um utilizador tem de iniciar sessão num dispositivo antes de a política ser aplicada.
Clique em Seguinte.
Na página Rever + criar , quando terminar, selecione Criar. O novo perfil é apresentado na lista de perfis de configuração.
Perfil de configuração do dispositivo (Filtro de Controlo)
Nota
Para dispositivos com iOS/iPadOS (no Modo Supervisionado), existe um perfil .mobileconfig personalizado, denominado perfil ControlFilter disponível. Este perfil ativa a Proteção Web sem configurar a VPN de loopback local no dispositivo. Isto proporciona aos utilizadores finais uma experiência totalmente integrada enquanto ainda estão protegidos contra phishing e outros ataques baseados na Web.
No entanto, o perfil ControlFilter não funciona com Always-On VPN (AOVPN) devido a restrições da plataforma.
Os administradores implementam qualquer um dos perfis especificados.
Filtro de Controlo sem toque (Silencioso) – este perfil permite a inclusão silenciosa para os utilizadores. Transferir o perfil de configuração a partir de ControlFilterZeroTouch
Filtro de Controlo – transfira o perfil de configuração a partir do ControlFilter.
Depois de transferir o perfil, implemente o perfil personalizado. Siga os passos abaixo:
Navegue para Dispositivos>iOS/iPadOS>>Perfis de configuraçãoCriar Perfil.
SelecioneModelosde Tipo> de Perfil e Nome do modelo>Personalizado.
Indique um nome do perfil. Quando lhe for pedido para importar um ficheiro de perfil de Configuração, selecione o ficheiro transferido do passo anterior.
Na secção Atribuição , selecione o grupo de dispositivos ao qual pretende aplicar este perfil. Como melhor prática, isto deve ser aplicado a todos os dispositivos iOS geridos. Selecione Seguinte.
Nota
A criação do Grupo de Dispositivos é suportada no Plano 1 e plano 2 do Defender para Endpoint.
Na página Rever + criar , quando terminar, selecione Criar. O novo perfil é apresentado na lista de perfis de configuração.
Configuração de Inclusão Automatizada (apenas para dispositivos não supervisionados)
Os administradores podem automatizar a integração do Defender para os utilizadores de duas formas diferentes com a Inclusão sem toque (Silencioso) ou a Inclusão Automática de VPN.
Integração sem toque (Silencioso) do Microsoft Defender para Endpoint
Nota
Não é possível configurar o toque zero em dispositivos iOS inscritos sem afinidade de utilizador (dispositivos sem utilizador ou dispositivos partilhados).
Os administradores podem configurar o Microsoft Defender para Endpoint para implementar e ativar automaticamente. Neste fluxo, o administrador cria um perfil de implementação e o utilizador é simplesmente notificado da instalação. O Defender para Endpoint é instalado automaticamente sem a necessidade de o utilizador abrir a aplicação. Siga os passos abaixo para configurar a implementação sem toque ou silenciosa do Defender para Endpoint em dispositivos iOS inscritos:
No centro de administração do Microsoft Intune, aceda aPerfis de Configuraçãode Dispositivos>>Criar Perfil.
Selecione Plataforma como iOS/iPadOS, Tipo de perfil como Modelos e Nome do modelo como VPN. Selecione Criar.
Escreva um nome para o perfil e selecione Seguinte.
Selecione VPN Personalizada para Tipo de Ligação e, na secção Base VPN , introduza o seguinte:
- Nome da Ligação = Microsoft Defender para Endpoint
- Endereço do servidor VPN = 127.0.0.1
- Método de autenticação = "Nome de utilizador e palavra-passe"
- Dividir Túnel = Desativar
- Identificador de VPN = com.microsoft.scmx
- Nos pares chave-valor, introduza a chave SilentOnboard e defina o valor como Verdadeiro.
- Tipo de VPN Automática = VPN a pedido
- Selecione Adicionar para Regras a Pedido e selecione Pretendo fazer o seguinte = Ligar VPN, pretendo restringir a = Todos os domínios.
- Para ordenar que a VPN não possa ser desativada no dispositivo dos utilizadores, os Administradores podem selecionar Sim em Bloquear utilizadores de desativar a VPN automática. Por predefinição, não está configurada e os utilizadores só podem desativar a VPN nas Definições.
- Para permitir que os Utilizadores alterem o botão de alternar da VPN a partir da aplicação, adicione EnableVPNToggleInApp = TRUE nos pares chave-valor. Por predefinição, os utilizadores não podem alterar o botão de alternar a partir da aplicação.
Selecione Seguinte e atribua o perfil aos utilizadores visados.
Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar.
Assim que a configuração acima estiver concluída e sincronizada com o dispositivo, as seguintes ações ocorrem nos dispositivos iOS de destino:
- O Microsoft Defender para Endpoint será implementado e integrado automaticamente e o dispositivo será visto no portal do Defender para Endpoint.
- Será enviada uma notificação provisória para o dispositivo do utilizador.
- A Proteção Web e outras funcionalidades serão ativadas.
Nota
- A conclusão da configuração sem toque pode demorar até 5 minutos em segundo plano.
- Para dispositivos supervisionados, os administradores podem configurar a integração tátil Zero com o Perfil de Filtro de Controlo ZeroTouch. O Perfil de VPN do Defender para Ponto Final não será instalado no dispositivo e a proteção Web será fornecida pelo Perfil de Filtro de Controlo.
Integração Automática do perfil VPN (Inclusão Simplificada)
Nota
Este passo simplifica o processo de inclusão ao configurar o perfil VPN. Se estiver a utilizar o toque Zero, não precisa de efetuar este passo.
Para dispositivos não supervisionados, é utilizada uma VPN para fornecer a funcionalidade Proteção Web. Esta não é uma VPN normal e é uma VPN local/de ciclo autónomo que não aceita tráfego fora do dispositivo.
Os administradores podem configurar a configuração automática do perfil VPN. Esta ação irá configurar automaticamente o perfil VPN do Defender para Ponto Final sem que o utilizador o faça durante a integração.
No centro de administração do Microsoft Intune, aceda aPerfis de Configuraçãode Dispositivos>>Criar Perfil.
Selecione Plataforma como iOS/iPadOS e Tipo de perfil como VPN. Clique em Criar.
Escreva um nome para o perfil e clique em Seguinte.
Selecione VPN Personalizada para Tipo de Ligação e, na secção Base VPN , introduza o seguinte:
Nome da Ligação = Microsoft Defender para Endpoint
Endereço do servidor VPN = 127.0.0.1
Método de autenticação = "Nome de utilizador e palavra-passe"
Dividir Túnel = Desativar
Identificador de VPN = com.microsoft.scmx
Nos pares chave-valor, introduza a chave AutoOnboard e defina o valor como Verdadeiro.
Tipo de VPN Automática = VPN a pedido
Selecione Adicionar para Regras a Pedido e selecione Pretendo fazer o seguinte = Ligar VPN, pretendo restringir a = Todos os domínios.
Para exigir que a VPN não possa ser desativada no dispositivo de um utilizador, os Administradores podem selecionar Sim em Bloquear utilizadores de desativar a VPN automática. Por predefinição, esta definição não está configurada e os utilizadores só podem desativar a VPN nas Definições.
Para permitir que os Utilizadores alterem o botão de alternar da VPN a partir da aplicação, adicione EnableVPNToggleInApp = TRUE nos pares chave-valor. Por predefinição, os utilizadores não podem alterar o botão de alternar a partir da aplicação.
Clique em Seguinte e atribua o perfil aos utilizadores visados.
Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar.
Configuração da Inscrição de Utilizadores (apenas para dispositivos Inscritos pelo Utilizador do Intune)
A aplicação Microsoft Defender para iOS pode ser implementada nos dispositivos Inscritos pelo Utilizador do Intune com os seguintes passos.
Administrador
Configurar o Perfil de Inscrição de Utilizadores no Intune. O Intune suporta a Inscrição de Utilizadores da Apple e a Inscrição de Utilizadores da Apple com o Portal da Empresa. Leia mais sobre a comparação dos dois métodos e selecione um.
Configurar o Plug-in SSO. A aplicação Authenticator com extensão SSO é um pré-requisito para a inscrição de utilizadores num dispositivo iOS.
- Create is Device configuration Profile in Intune - Configure iOS/iPadOS Enterprise SSO plug-in with MDM | Microsoft Learn.
- Certifique-se de que adiciona estas duas chaves na configuração acima:
- ID do pacote de aplicações: inclua o ID do pacote da Aplicação defender nesta lista com.microsoft.scmx
- Configuração adicional: Chave - device_registration ; Tipo - Cadeia ; Valor- {{DEVICEREGISTRATION}}
Configure a Chave MDM para Inscrição de Utilizadores.
- No Intune, aceda a Ir para Aplicações Políticas de configuração de aplicações >> Adicionar > dispositivos geridos
- Atribua um nome à política, selecione Plataforma > iOS/iPadOS,
- Selecione Microsoft Defender para Endpoint como a aplicação de destino.
- Na página Definições, selecione Utilizar estruturador de configuração e adicione UserEnrolmentEnabled como a chave, tipo de valor como Cadeia, valor como Verdadeiro.
O administrador pode emitir o Defender como uma aplicação VPP necessária do Intune.
Utilizador final
A aplicação Defender está instalada no dispositivo do utilizador. O utilizador inicia sessão e conclui a integração. Assim que o dispositivo for integrado com êxito, ficará visível no Portal de Segurança do Defender em Inventário de Dispositivos.
Funcionalidades e limitações suportadas
- Suporta todas as funcionalidades atuais do Defender para Endpoint para iOS como – proteção Web, Proteção de Rede, Deteção de jailbreak, Vulnerabilidades no SO e Aplicações, Alertas no Portal de Segurança do Defender e políticas de Conformidade.
- A implementação sem toque (silencioso) e a inclusão automática de VPN não são suportadas com a Inscrição de Utilizadores, uma vez que os administradores não conseguem emitir um perfil VPN ao nível do dispositivo com a Inscrição de Utilizadores.
- Para a gestão de vulnerabilidades de aplicações, apenas as aplicações no perfil de trabalho estarão visíveis.
- Pode demorar até 10 minutos para que os dispositivos recentemente integrados fiquem em conformidade se forem visados por políticas de conformidade.
- Leia mais sobre as limitações e capacidades da Inscrição de Utilizadores.
Concluir a integração e verificar o estado
Assim que o Defender para Endpoint no iOS estiver instalado no dispositivo, verá o ícone da aplicação.
Toque no ícone da aplicação Defender para Ponto Final (MSDefender) e siga as instruções apresentadas no ecrã para concluir os passos de integração. Os detalhes incluem a aceitação pelo utilizador final das permissões iOS exigidas pelo Defender para Endpoint no iOS.
Nota
Ignore este passo se configurar a inclusão sem toque (silencioso). A iniciação manual da aplicação não é necessária se a inclusão sem toque (silencioso) estiver configurada.
Após a integração com êxito, o dispositivo começará a aparecer na lista Dispositivos no portal do Microsoft Defender.
Passos Seguintes
- Configurar a política de proteção de aplicações para incluir sinais de risco do Defender para Endpoint (MAM)
- Configurar o Defender para Endpoint nas funcionalidades do iOS
Sugestão
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.