Настройка защитника Майкрософт для конечной точки на функциях iOS

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Defender для конечной точки в iOS будет использовать VPN для предоставления функции веб-защиты. Это не обычный VPN и локальный или самозацикливный VPN, который не принимает трафик за пределы устройства.

Условный доступ с помощью Defender для конечной точки в iOS

Microsoft Defender для конечной точки в iOS, а также Microsoft Intune и Microsoft Entra ID позволяет применять политики соответствия устройств и условного доступа на основе оценки риска устройства. Defender для конечной точки — это решение mobile Threat Defense (MTD), которое можно развернуть для использования этой возможности с помощью Intune.

Дополнительные сведения о настройке условного доступа с помощью Defender для конечной точки в iOS см. в разделе Defender для конечной точки и Intune.

Веб-защита и VPN

По умолчанию Defender для конечной точки в iOS включает и включает функцию веб-защиты. Защита от веб-угроз помогает защитить устройства от веб-угроз и пользователей от фишинговых атак. Защита от фишинга и пользовательские индикаторы (URL-адрес и домен) поддерживаются в рамках веб-защиты. Пользовательские индикаторы на основе IP-адресов в настоящее время не поддерживаются в iOS. Фильтрация веб-содержимого в настоящее время не поддерживается на мобильных платформах (Android и iOS).

Defender для конечной точки в iOS использует VPN для предоставления этой возможности. Обратите внимание, что VPN является локальным, и в отличие от традиционных VPN, сетевой трафик не отправляется за пределы устройства.

Хотя он включен по умолчанию, в некоторых случаях может потребоваться отключить VPN. Например, вы хотите запустить некоторые приложения, которые не работают при настройке VPN. В таких случаях можно отключить VPN из приложения на устройстве, выполнив следующие действия.

  1. На устройстве iOS откройте приложение Параметры , выберите Общие , а затем — VPN.

  2. Нажмите кнопку i для Microsoft Defender для конечной точки.

  3. Отключите подключение по запросу , чтобы отключить VPN.

    Кнопка переключения для параметра

Примечание.

Веб-защита недоступна, если VPN отключена. Чтобы повторно включить веб-защиту, откройте приложение Microsoft Defender для конечной точки на устройстве и нажмите кнопку Запустить VPN.

Отключение веб-защиты

Веб-защита является одной из ключевых функций Defender для конечной точки, и ей требуется VPN для обеспечения этой возможности. Используемый VPN является локальным VPN/замыкания на себя, а не традиционным VPN, однако существует несколько причин, по которым клиенты могут не предпочесть VPN. Клиенты, которые не хотят настраивать VPN, могут отключить веб-защиту и развернуть Defender для конечной точки без этой функции. Другие функции Defender для конечной точки продолжают работать.

Эта конфигурация доступна как для зарегистрированных (MDM) устройств, так и для незарегистрированных устройств (MAM). Для клиентов с MDM администраторы могут настроить веб-защиту с помощью управляемых устройств в конфигурации приложения. Для клиентов без регистрации с помощью MAM администраторы могут настроить веб-защиту с помощью управляемых приложений в конфигурации приложений.

Настройка веб-защиты

  1. Отключить веб-защиту (MDM) Чтобы отключить веб-защиту для зарегистрированных устройств, выполните следующие действия.

    • В Центре администрирования Microsoft Intune перейдите в раздел Политикиконфигурации приложений>.>Добавление>управляемых устройств.
    • Присвойте политике имя Platform > iOS/iPadOS.
    • Выберите Microsoft Defender для конечной точки в качестве целевого приложения.
    • На странице Параметры выберите Использовать конструктор конфигураций и добавьте WebProtection в качестве ключа и типа значения в качестве строки.
      • По умолчанию WebProtection= true.
      • Администратор необходимо сделать WebProtection = false, чтобы отключить веб-защиту.
      • Defender отправляет пульс на портал Microsoft Defender каждый раз, когда пользователь открывает приложение.
      • Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

  2. Отключение веб-защиты (MAM) Чтобы отключить веб-защиту для незарегистрированных устройств, выполните следующие действия.

    • В центре администрирования Microsoft Intune перейдите в раздел Приложения> Политикиконфигурации приложений>Добавление>управляемых приложений.
    • Присвойте политике имя.
    • В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
    • На странице Параметры в разделе Общие параметры конфигурации добавьте WebProtection в качестве ключа и значение false.
      • По умолчанию WebProtection= true.
      • Администратор необходимо сделать WebProtection = false, чтобы отключить веб-защиту.
      • Defender отправляет пульс на портал Microsoft Defender каждый раз, когда пользователь открывает приложение.
      • Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

Настройка защиты сети

Защита сети в Microsoft Defender для конечной точки отключена по умолчанию. Администраторы могут выполнить следующие действия, чтобы настроить защиту сети. Эта конфигурация доступна как для зарегистрированных устройств с помощью конфигурации MDM, так и для незарегистрированных устройств с помощью конфигурации MAM.

Примечание.

Для защиты сети должна быть создана только одна политика— MDM или MAM.

Для зарегистрированных устройств (MDM)

Выполните следующие действия, чтобы настроить конфигурацию MDM для зарегистрированных устройств для защиты сети.

  1. В центре администрирования Microsoft Intune перейдите в раздел Приложения>Политики конфигурации приложений>Добавление>управляемых устройств.

  2. Укажите имя и описание политики. В разделе Платформа выберите iOS/iPad.

  3. В целевом приложении выберите Microsoft Defender для конечной точки.

  4. На странице Параметры выберите формат параметров конфигурации Использовать конструктор конфигураций.

  5. Добавьте DefenderNetworkProtectionEnable в качестве ключа конфигурации, тип значения — String и значение true, чтобы включить защиту сети. (Защита сети отключена по умолчанию.)

    Снимок экрана: политика конфигурации mdm.

  6. Для других конфигураций, связанных с защитой сети, добавьте следующие ключи, выберите соответствующий тип и значение.

    Ключ Тип значения По умолчанию (true-enable, false-disable) Описание
    DefenderOpenNetworkDetection Целое число 0 1 — аудит, 0 — отключить (по умолчанию), 2 — включить. Этот параметр управляется ИТ-Администратор для аудита, отключения или включения обнаружения открытой сети соответственно. В режиме аудита оповещения отправляются только на портал ATP без взаимодействия с конечным пользователем. Для взаимодействия с конечными пользователями задайте для конфигурации режим "Включить".
    DefenderEndUserTrustFlowEnable String false true — включить, false — отключить; Этот параметр используется ИТ-администраторами, чтобы включить или отключить взаимодействие с пользователем в приложении, чтобы доверять и не доверять небезопасным и подозрительным сетям.
    DefenderNetworkProtectionAutoRemediation String true true — включить, false — отключить; Этот параметр используется ИТ-администратором для включения или отключения оповещений об исправлении, отправляемых при выполнении пользователем действий по исправлению, таких как переключение на более безопасные точки доступа WIFI или удаление подозрительных сертификатов, обнаруженных Defender.
    DefenderNetworkProtectionPrivacy String true true — включить, false — отключить; Этот параметр управляется ИТ-администратором для включения или отключения конфиденциальности в защите сети.

  7. В разделе Назначения администратор может выбрать группы пользователей для включения и исключения из политики.

  8. Просмотрите и создайте политику конфигурации.

Для незарегистрированных устройств (MAM)

Выполните следующие действия, чтобы настроить конфигурацию MAM для незарегистрированных устройств для защиты сети (для настройки MAM требуется регистрация устройства Authenticator) на устройствах iOS. Для инициализации защиты сети пользователь должен открыть приложение один раз.

  1. В Центре администрирования Microsoft Intune перейдите к разделу Политикиконфигурации> приложений>. Добавление>управляемых приложений>Create новую политику конфигурации приложений.

    Добавьте политику конфигурации.

  2. Укажите имя и описание для уникальной идентификации политики. Затем выберите Выбрать общедоступные приложения и выберите Microsoft Defender для платформы iOS/iPadOS.

    Присвойте конфигурации имя.

  3. На странице Параметры добавьте DefenderNetworkProtectionEnable в качестве ключа и значения , чтобы true включить защиту сети. (Защита сети отключена по умолчанию.)

    Добавьте значение конфигурации.

  4. Для других конфигураций, связанных с защитой сети, добавьте следующие ключи и соответствующее значение.

    Ключ По умолчанию (true — включить, false — отключить) Описание
    DefenderOpenNetworkDetection 0 1 — аудит, 0 — отключить (по умолчанию), 2 — включить. Этот параметр управляется ИТ-администратором для включения, аудита или отключения обнаружения открытой сети. В режиме аудита оповещения отправляются только на портал ATP без взаимодействия с пользователем. Для взаимодействия с пользователем задайте для конфигурации режим "Включить".
    DefenderEndUserTrustFlowEnable false true — включить, false — отключить; Этот параметр используется ИТ-администраторами, чтобы включить или отключить взаимодействие с пользователем в приложении, чтобы доверять и не доверять небезопасным и подозрительным сетям.
    DefenderNetworkProtectionAutoRemediation true true — включить, false — отключить; Этот параметр используется ИТ-администратором для включения или отключения оповещений об исправлении, отправляемых при выполнении пользователем действий по исправлению, таких как переключение на более безопасные точки доступа WIFI или удаление подозрительных сертификатов, обнаруженных Defender.
    DefenderNetworkProtectionPrivacy true true — включить, false — отключить; Этот параметр управляется ИТ-администратором для включения или отключения конфиденциальности в защите сети.

  5. В разделе Назначения администратор может выбрать группы пользователей для включения и исключения из политики.

    Назначение конфигурации.

  6. Просмотрите и создайте политику конфигурации.

Сосуществование нескольких профилей VPN

Apple iOS не поддерживает одновременное использование нескольких ВИРТУАЛЬНЫх сетей на уровне устройства. Хотя на устройстве может существовать несколько профилей VPN, одновременно может быть активен только один VPN.

Настройка сигнала риска Microsoft Defender для конечной точки в политике защиты приложений (MAM)

Microsoft Defender для конечной точки в iOS включает сценарий политики защиты приложений. Пользователи могут установить последнюю версию приложения непосредственно из магазина приложений Apple. Убедитесь, что устройство зарегистрировано в Authenticator с той же учетной записью, которая используется для подключения в Defender для успешной регистрации MAM.

Microsoft Defender для конечной точки можно настроить для отправки сигналов об угрозах для использования в политиках защиты приложений (APP, также известном как MAM) в iOS/iPadOS. С помощью этой возможности можно использовать Microsoft Defender для конечной точки для защиты доступа к корпоративным данным с незарегистрированных устройств.

Выполните действия, описанные по следующей ссылке, чтобы настроить политики защиты приложений с помощью Microsoft Defender для конечной точки Настройка сигналов риска Defender в политике защиты приложений (MAM)

Дополнительные сведения о MAM или политике защиты приложений см. в разделе Параметры политики защиты приложений iOS.

Элементы управления конфиденциальностью

Microsoft Defender для конечной точки в iOS включает элементы управления конфиденциальностью как для администраторов, так и для конечных пользователей. Сюда входят элементы управления для зарегистрированных (MDM) и незарегистрированных (MAM) устройств.

Для клиентов с MDM администраторы могут настроить элементы управления конфиденциальностью с помощью управляемых устройств в конфигурации приложения. Для клиентов без регистрации с помощью MAM администраторы могут настроить элементы управления конфиденциальностью с помощью управляемых приложений в конфигурации приложений. Конечные пользователи также смогут настроить параметры конфиденциальности из параметров приложения Defender.

Настройка конфиденциальности в отчете об оповещениях о фишинге

Теперь клиенты могут включить контроль конфиденциальности для фишингового отчета, отправленного Microsoft Defender для конечной точки в iOS, чтобы доменное имя не включало в состав фишингового оповещения каждый раз, когда фишинговый веб-сайт обнаруживается и блокируется Microsoft Defender для конечной точки.

  1. Администратор средства управления конфиденциальностью (MDM) Выполните следующие действия, чтобы включить конфиденциальность и не собирать доменное имя как часть отчета о фишинговых оповещениях для зарегистрированных устройств.

    1. В Центре администрирования Microsoft Intune перейдите в раздел Политикиконфигурации приложений>.>Добавление>управляемых устройств.

    2. Присвойте политике имя Platform > iOS/iPadOS, выберите тип профиля.

    3. Выберите Microsoft Defender для конечной точки в качестве целевого приложения.

    4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderExcludeURLInReport в качестве ключа и типа значения как boolean.

      • Чтобы включить конфиденциальность и не собирать доменное имя, введите значение как true и назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.
      • Для пользователей с ключом, заданным как true, фишинговое оповещение не содержит сведения о доменном имени при каждом обнаружении и блокировке вредоносного сайта Defender для конечной точки.

    5. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

  2. Администратор управления конфиденциальностью (MAM) Выполните следующие действия, чтобы включить конфиденциальность и не собирать доменное имя в составе отчета о фишинговых оповещениях для незарегистрированных устройств.

    1. В центре администрирования Microsoft Intune перейдите в раздел Приложения> Политикиконфигурации приложений>Добавление>управляемых приложений.

    2. Присвойте политике имя.

    3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.

    4. На странице Параметры в разделе Общие параметры конфигурации добавьте DefenderExcludeURLInReport в качестве ключа, а значение — true.

      • Чтобы включить конфиденциальность и не собирать доменное имя, введите значение как true и назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.
      • Для пользователей с ключом, заданным как true, фишинговое оповещение не содержит сведения о доменном имени при каждом обнаружении и блокировке вредоносного сайта Defender для конечной точки.

    5. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

  3. Элементы управления конфиденциальностью конечных пользователей Эти элементы управления помогают конечному пользователю настроить сведения, которыми предоставляется доступ к его организации.

    Для защищенных устройств элементы управления конечным пользователем не видны. Администратор определяет параметры и управляет ими. Однако для неконтролируемых устройств элемент управления отображается в разделе Конфиденциальность параметров>.

    • Пользователи видят переключатель "Небезопасные сведения о сайте".
    • Этот переключатель отображается только в том случае, если Администратор задано значение DefenderExcludeURLInReport = true.
    • Если этот параметр включен Администратор, пользователи могут решить, нужно ли отправлять небезопасные сведения о сайте в свою организацию.
    • По умолчанию для него задано значение false. Небезопасные сведения о сайте не отправляются.
    • Если пользователь переключит его в true, небезопасные сведения о сайте отправляются.

Включение или отключение указанных выше элементов управления конфиденциальностью не влияет на соответствие устройству проверка или условного доступа.

Примечание.

На защищенных устройствах с профилем конфигурации Microsoft Defender для конечной точки может получить доступ ко всему URL-адресу, и если он будет обнаружен как фишинговый, он блокируется. На неконтролируемом устройстве Microsoft Defender для конечной точки имеет доступ только к доменному имени, и если домен не является фишинговым URL-адресом, он не будет заблокирован.

Необязательные разрешения

Microsoft Defender для конечной точки в iOS включает дополнительные разрешения в потоке подключения. В настоящее время разрешения, необходимые Defender для конечной точки, являются обязательными в потоке подключения. С помощью этой функции администраторы могут развертывать Defender для конечной точки на устройствах BYOD, не применяя обязательное разрешение VPN во время подключения. Конечные пользователи могут подключить приложение без обязательных разрешений, а затем просматривать эти разрешения. В настоящее время эта функция доступна только для зарегистрированных устройств (MDM).

Настройка дополнительного разрешения

  1. Администратор поток (MDM) Выполните следующие действия, чтобы включить дополнительное разрешение VPN для зарегистрированных устройств.

    • В Центре администрирования Microsoft Intune перейдите в раздел Политикиконфигурации приложений>.>Добавление>управляемых устройств.

    • Присвойте политике имя, выберите Платформа > iOS/iPadOS.

    • Выберите Microsoft Defender для конечной точки в качестве целевого приложения.

    • На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderOptionalVPN в качестве ключа и типа значения как логическое значение.

      • Чтобы включить дополнительное разрешение VPN, введите значение true как и назначьте эту политику пользователям. По умолчанию для этого значения задано значение false.
      • Для пользователей с ключом, заданным как true, пользователи могут подключить приложение без предоставления разрешения VPN.

    • Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

  2. Поток конечного пользователя — пользователь устанавливает и открывает приложение для запуска подключения.

    • Если администратор настроил дополнительные разрешения, пользователь может пропустить разрешение VPN и завершить подключение.
    • Даже если пользователь пропустил VPN, устройство может подключиться и будет отправлено пульс.
    • Если VPN отключена, веб-защита не активна.
    • Позже пользователь может включить веб-защиту из приложения, которое устанавливает конфигурацию VPN на устройстве.

Примечание.

Дополнительное разрешение отличается от отключения веб-защиты. Дополнительное разрешение VPN позволяет пропустить разрешение только во время подключения, но оно доступно для последующего просмотра и включения его конечным пользователем. Хотя отключение веб-защиты позволяет пользователям подключить приложение Defender для конечной точки без веб-защиты. Его нельзя включить позже.

Обнаружение джейлбрейка

Microsoft Defender для конечной точки позволяет обнаруживать неуправляемые и управляемые устройства со снятой защитой. Эти проверки джейлбрейка выполняются периодически. Если устройство обнаруживается как со снятой защитой, происходят следующие события:

  • Оповещение о высоком риске отображается на портале Microsoft Defender. Если соответствие устройств и условный доступ настроены на основе оценки риска устройства, то устройство блокирует доступ к корпоративным данным.
  • Данные пользователя в приложении очищаются. Когда пользователь открывает приложение после взлома тюрьмы, профиль VPN также удаляется и веб-защита не предоставляется.

Настройка политики соответствия требованиям для устройств со снятой защитой

Чтобы защитить корпоративные данные от доступа на устройствах iOS со снятой защитой, рекомендуется настроить следующую политику соответствия требованиям для Intune.

Примечание.

Обнаружение джейлбрейка — это возможность, предоставляемая Microsoft Defender для конечной точки в iOS. Однако рекомендуется настроить эту политику в качестве дополнительного уровня защиты от сценариев взлома.

Выполните следующие действия, чтобы создать политику соответствия для устройств со снятой защитой.

  1. В Центре администрирования Microsoft Intune перейдите в разделПолитики> соответствия устройств>Create Политика. Выберите "iOS/iPadOS" в качестве платформы и выберите Create.

    Вкладка

  2. Укажите имя политики, например Политику соответствия для джейлбрейка.

  3. На странице параметров соответствия выберите, чтобы развернуть раздел Работоспособности устройств , и выберите блокироватьдля устройств со снятой защитой .

    Вкладка

  4. В разделе Действия для несоответствия выберите действия в соответствии со своими требованиями и нажмите кнопку Далее.

    Вкладка Действия для несоответствия

  5. В разделе Назначения выберите группы пользователей, которые нужно включить в эту политику, а затем нажмите кнопку Далее.

  6. В разделе Проверка и Create убедитесь, что все введенные сведения указаны правильно, а затем выберите Create.

Настройка пользовательских индикаторов

Defender для конечной точки в iOS позволяет администраторам настраивать пользовательские индикаторы на устройствах iOS. Дополнительные сведения о настройке пользовательских индикаторов см. в разделе Управление индикаторами.

Примечание.

Defender для конечной точки в iOS поддерживает создание пользовательских индикаторов только для URL-адресов и доменов. Пользовательские индикаторы на основе IP-адресов не поддерживаются в iOS.

Для iOS оповещения не создаются на Microsoft Defender XDR при доступе к URL-адресу или домену, заданному в индикаторе.

Настройка оценки уязвимостей приложений

Для снижения киберрисков требуется комплексное управление уязвимостями на основе рисков для выявления, оценки, устранения и отслеживания всех крупнейших уязвимостей в наиболее важных ресурсах в одном решении. Посетите эту страницу, чтобы узнать больше о Управление уязвимостями Microsoft Defender в Microsoft Defender для конечной точки.

Defender для конечной точки в iOS поддерживает оценку уязвимостей ОС и приложений. Оценка уязвимостей версий iOS доступна как для зарегистрированных (MDM), так и для незарегистрированных (MAM) устройств. Оценка уязвимостей приложений выполняется только для зарегистрированных устройств (MDM). Администраторы могут выполнить следующие действия, чтобы настроить оценку уязвимостей приложений.

На защищенном устройстве

  1. Убедитесь, что устройство настроено в защищенном режиме.

  2. Чтобы включить эту функцию в Центре администрирования Microsoft Intune, перейдите в раздел Endpoint Security>Microsoft Defender для конечной точки>Enable App sync for iOS/iPadOS devices.

    Переключатель синхронизации приложений

Примечание.

Чтобы получить список всех приложений, включая неуправляемые приложения, администратор должен включить отправку полных данных инвентаризации приложений на личных устройствах iOS/iPadOS на портале Intune Администратор для защищенных устройств, помеченных как "Личные". Для защищенных устройств, помеченных на портале Intune Администратор как корпоративные, администратору не нужно включать параметр Отправлять полные данные инвентаризации приложений на личные устройства iOS/iPadOS.

На неконтролируемом устройстве

  1. Чтобы включить эту функцию в Центре администрирования Microsoft Intune, перейдите в раздел Endpoint Security>Microsoft Defender для конечной точки>Enable App sync for iOS/iPadOS devices.

    Переключатель синхронизации приложений

  2. Чтобы получить список всех приложений, включая неуправляемые приложения, включите переключатель Отправить полные данные инвентаризации приложений на личных устройствах iOS/iPadOS.

    Полные данные приложения

  3. Чтобы настроить параметр конфиденциальности, выполните следующие действия.

    • Перейдите к разделу Политикиконфигурации приложений>>Добавление>управляемых устройств.
    • Присвойте политике имя Platform>iOS/iPadOS.
    • Выберите Microsoft Defender для конечной точки в качестве целевого приложения.
    • На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderTVMPrivacyMode в качестве ключа, а тип значения — String.
      • Чтобы отключить конфиденциальность и собрать список установленных приложений, введите значение False и назначьте эту политику пользователям.
      • По умолчанию это значение имеет значение True для неконтролируемых устройств.
      • Для пользователей с ключом False, Defender для конечной точки отправит список приложений, установленных на устройстве для оценки уязвимостей.
    • Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.
    • Включение или отключение указанных выше элементов управления конфиденциальностью не повлияет на соответствие устройств проверка или условный доступ.

  4. После применения конфигурации пользователю потребуется открыть приложение, чтобы утвердить параметр конфиденциальности.

    • Экран утверждения конфиденциальности будет доступен только для неконтролируемых устройств.

    • Только если пользователь утвердит конфиденциальность, сведения о приложении отправляются в консоль Defender для конечной точки.

      Снимок экрана: экран конфиденциальности конечных пользователей.

После развертывания клиентских версий на целевых устройствах iOS начнется обработка. Уязвимости, обнаруженные на этих устройствах, начнут отображаться на панели мониторинга Управления уязвимостями в Defender. Обработка может занять несколько часов (максимум 24 часа). Особенно для того, чтобы весь список приложений отображались в инвентаризации программного обеспечения.

Примечание.

Если вы используете решение для проверки SSL на устройстве iOS, разрешите перечислить эти доменные имена securitycenter.windows.com (в коммерческой среде) и securitycenter.windows.us (в среде GCC) для работы функции TVM.

Отключение выхода

Defender для конечной точки в iOS поддерживает развертывание без кнопки выхода в приложении, чтобы запретить пользователям выйти из приложения Defender. Это важно, чтобы предотвратить изменение устройства пользователями.

Эта конфигурация доступна как для зарегистрированных устройств (MDM), так и для незарегистрированных устройств (MAM). Администраторы могут выполнить следующие действия, чтобы настроить отключение выхода.

Настройка отключения выхода

Для зарегистрированных устройств (MDM)

  1. В центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых устройств.
  2. Присвойте политике имя, выберите Платформа > iOS/iPadOS.
  3. Выберите Microsoft Defender для конечной точки в качестве целевого приложения.
  4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DisableSignOut в качестве ключа и типа значения в строковое значение.
  5. По умолчанию DisableSignOut = false.
  6. Администратор необходимо сделать DisableSignOut = true, чтобы отключить кнопку выхода в приложении. После нажатия политики пользователи не увидят кнопку выхода.
  7. Нажмите кнопку Далее и назначьте эту политику целевым устройствам или пользователям.

Для незарегистрированных устройств (MAM)

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.
  2. Присвойте политике имя.
  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
  4. На странице Параметры добавьте DisableSignOut в качестве ключа и значение true в разделе Общие параметры конфигурации.
  5. По умолчанию DisableSignOut = false.
  6. Администратор необходимо сделать DisableSignOut = true, чтобы отключить кнопку выхода в приложении. После нажатия политики пользователи не увидят кнопку выхода.
  7. Нажмите кнопку Далее и назначьте эту политику целевым устройствам или пользователям.

Важно!

Эта функция доступна в общедоступной предварительной версии. Следующая информация относится к предварительно выпущенной продукции, которая может быть существенно изменена до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Маркировка устройств

Defender для конечной точки в iOS позволяет массово помечать мобильные устройства во время подключения, позволяя администраторам настраивать теги с помощью Intune. Администратор могут настраивать теги устройств с помощью Intune с помощью политик конфигурации и отправлять их на устройства пользователей. Когда пользователь устанавливает и активирует Defender, клиентское приложение передает теги устройств на портал безопасности. Теги устройств отображаются на устройствах в списке устройств.

Эта конфигурация доступна как для зарегистрированных устройств (MDM), так и для незарегистрированных устройств (MAM). Администраторы могут выполнить следующие действия для настройки тегов устройств.

Настройка тегов устройства

Для зарегистрированных устройств (MDM)

  1. В центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых устройств.

  2. Присвойте политике имя, выберите Платформа > iOS/iPadOS.

  3. Выберите Microsoft Defender для конечной точки в качестве целевого приложения.

  4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderDeviceTag в качестве ключа, а тип значения — String.

    • Администратор можно назначить новый тег, добавив ключ DefenderDeviceTag и задав значение для тега устройства.
    • Администратор можно изменить существующий тег, изменив значение ключа DefenderDeviceTag.
    • Администратор можно удалить существующий тег, удалив ключ DefenderDeviceTag.

  5. Нажмите кнопку Далее и назначьте эту политику целевым устройствам или пользователям.

Для незарегистрированных устройств (MAM)

  1. В Центре администрирования Microsoft Intune перейдите в раздел Приложения > Политики конфигурации приложений > Добавление > управляемых приложений.
  2. Присвойте политике имя.
  3. В разделе Выбор общедоступных приложений выберите Microsoft Defender для конечной точки в качестве целевого приложения.
  4. На странице Параметры добавьте DefenderDeviceTag в качестве ключа в разделе Общие параметры конфигурации.
    • Администратор можно назначить новый тег, добавив ключ DefenderDeviceTag и задав значение для тега устройства.
    • Администратор можно изменить существующий тег, изменив значение ключа DefenderDeviceTag.
    • Администратор можно удалить существующий тег, удалив ключ DefenderDeviceTag.
  5. Нажмите кнопку Далее и назначьте эту политику целевым устройствам или пользователям.

Примечание.

Приложение Defender необходимо открыть, чтобы теги были синхронизированы с Intune и переданы на портал безопасности. На отражение тегов на портале может потребоваться до 18 часов.

Настройка параметра отправки отзывов из приложения

Теперь клиенты могут настроить возможность отправки данных отзывов в Корпорацию Майкрософт в приложении Defender для конечной точки. Данные отзывов помогают корпорации Майкрософт улучшать продукты и устранять неполадки.

Примечание.

Для клиентов облака для государственных организаций США сбор данных отзывов по умолчанию отключен .

Чтобы настроить параметр отправки данных обратной связи в корпорацию Майкрософт, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Политикиконфигурации приложений>.>Добавление>управляемых устройств.

  2. Присвойте политике имя и выберите Platform > iOS/iPadOS в качестве типа профиля.

  3. Выберите Microsoft Defender для конечной точки в качестве целевого приложения.

  4. На странице Параметры выберите Использовать конструктор конфигураций и добавьте DefenderFeedbackData в качестве ключа, а тип значения — логическое значение.

    • Чтобы исключить возможность предоставления отзывов конечными пользователями, задайте значение false и назначьте эту политику пользователям. По умолчанию для этого значения задано значение true. Для клиентов из государственных организаций США значение по умолчанию равно false.

    • Для пользователей с ключом, заданным как true, существует возможность отправки данных обратной связи в корпорацию Майкрософт в приложении (меню>Справка & отзыв>отправить отзыв в Корпорацию Майкрософт).

  5. Нажмите кнопку Далее и назначьте этот профиль целевым устройствам или пользователям.

Отчет о небезопасном сайте

Фишинговые веб-сайты олицетворяют надежные веб-сайты с целью получения вашей личной или финансовой информации. Посетите страницу Предоставление отзывов о защите сети , чтобы сообщить о веб-сайте, который может быть фишинговым.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.