Поделиться через


Развертывание Microsoft Defender для конечной точки в iOS с помощью управления мобильными приложениями

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Defender для конечной точки в iOS использует VPN для предоставления функции веб-защиты. Это не обычный VPN и локальный или самозацикливный VPN, который не принимает трафик за пределы устройства.

Настройка Microsoft Defender для конечной точки сигналов риска в политике защиты приложений (MAM)

Microsoft Defender для конечной точки в iOS, которая уже защищает корпоративных пользователей в сценариях мобильных Управление устройствами (MDM), теперь расширяет поддержку управления мобильными приложениями (MAM) для устройств, которые не зарегистрированы с помощью Intune управления мобильными устройствами (MDM). Кроме того, эта поддержка распространяется на клиентов, которые используют другие корпоративные решения для управления мобильными устройствами, но по-прежнему используют Intune для управления мобильными приложениями (MAM). Эта возможность позволяет управлять данными организации и защищать их в приложении.

Microsoft Defender для конечной точки сведения об угрозах iOS используются политиками защиты приложений Intune для защиты этих приложений. Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). К управляемому приложению применяются политики защиты приложений, которыми можно управлять с помощью Intune.

Microsoft Defender для конечной точки в iOS поддерживает обе конфигурации MAM

  • Intune MDM + MAM: ИТ-администраторы могут управлять приложениями только с помощью политик защиты приложений на устройствах, зарегистрированных с помощью Intune управления мобильными устройствами (MDM).
  • MAM без регистрации устройств. MAM без регистрации устройств или MAM-WE позволяет ИТ-администраторам управлять приложениями с помощью политик защиты приложений на устройствах, не зарегистрированных в Intune MDM. Это означает, что приложениями можно управлять в Intune на устройствах, зарегистрированных с использованием сторонних поставщиков EMM. Для управления приложениями с помощью обеих указанных выше конфигураций клиенты должны использовать Intune в Центре администрирования Microsoft Intune

Чтобы включить эту возможность, администратору необходимо настроить подключение между Microsoft Defender для конечной точки и Intune, создать политику защиты приложений и применить ее к целевым устройствам и приложениям.

Конечные пользователи также должны принять меры для установки Microsoft Defender для конечной точки на своем устройстве и активации потока подключения.

Предварительные требования

  1. Убедитесь, что соединитель Intune включен на портале безопасности.
    В консоли единой безопасности перейдите в раздел Параметры>Конечные> точкиДополнительные функции и убедитесь, что подключение Microsoft Intune включено.

Соединитель Defender для конечной точки — Intune

  1. Убедитесь, что соединитель APP включен на портале Intune.
    В Центре администрирования Microsoft Intune перейдите в раздел Безопасность>конечных точек Microsoft Defender для конечной точки и убедитесь, что состояние подключения включено.

Параметры приложения

Создание политики защиты приложений

Блокировка доступа или очистка данных управляемого приложения на основе Microsoft Defender для конечной точки сигналов риска путем создания политики защиты приложений. Microsoft Defender для конечной точки можно настроить для отправки сигналов об угрозах для использования в политиках защиты приложений (ПРИЛОЖЕНИЕ, также известное как MAM). С помощью этой возможности можно использовать Microsoft Defender для конечной точки для защиты управляемых приложений.

  1. Создать политику
    Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

Вкладка

  1. Добавление приложений
    А. Выберите способ применения этой политики к приложениям на разных устройствах. Затем добавьте по крайней мере одно приложение.
    Используйте этот параметр, чтобы указать, применяется ли эта политика к неуправляемых устройствам. Вы также можете выбрать целевую политику для приложений на устройствах с любым состоянием управления. Так как для управления мобильными приложениями не требуется управление устройствами, вы можете защитить данные организации как на управляемых, так и на неуправляемых устройствах. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами. Компании могут одновременно использовать политики защиты приложений с MDM или без нее. Давайте рассмотрим пример, в котором сотрудник одновременно использует выданный компанией телефон и личный планшет. В этой ситуации телефон компании регистрируется в решении MDM и защищается политиками защиты приложений, а личное устройство защищается только политиками защиты приложений.

    Б. Выберите Приложения
    Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune. Любым приложением, интегрированным с пакетом SDK для Intune или упакованным Intune App Wrapping Tool, можно управлять с помощью политик защиты приложений Intune. См. официальный список защищенных приложений Microsoft Intune, которые были созданы с использованием этих средств и являются общедоступными.

    Пример: Outlook как управляемое приложение

    Элемент меню Microsoft Outlook в области навигации слева

    Выберите параметры Платформа, Приложения, Защита данных, Требования к доступу , необходимые вашей организации для политики.

3. Задайте требования к безопасности при входе для политики защиты.
Выберите Параметр Максимально > допустимый уровень угрозы устройства в разделе Условия условного запуска > устройства и введите значение. Для этого потребуется настроить низкий, средний, высокий или защищенный. Доступные действия: Блокировать доступ или Стирать данные. Выберите Действие: "Блокировать доступ". Microsoft Defender для конечной точки в iOS использует этот уровень угрозы устройства.

Панель

4. Назначьте группы пользователей, к которым необходимо применить политику.
Выберите Включенные группы. Затем добавьте соответствующие группы.

Дополнительные сведения о MAM или политике защиты приложений см. в разделе Параметры политики защиты приложений iOS.

Развертывание Microsoft Defender для конечной точки для MAM или на незарегистрированных устройствах

Microsoft Defender для конечной точки в iOS включает сценарий политики защиты приложений и доступен в магазине приложений Apple.

Когда политики защиты приложений настроены для того, чтобы приложения включали сигналы риска устройств от Microsoft Defender для конечной точки, пользователи будут перенаправляться на установку Microsoft Defender для конечной точки при использовании таких приложений. Кроме того, пользователи также могут установить последнюю версию приложения непосредственно из магазина приложений Apple.

Убедитесь, что устройство зарегистрировано в Authenticator с той же учетной записью, которая используется для подключения в Defender для успешной регистрации MAM.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.