Distribuera Microsoft Defender för Endpoint i iOS med Microsoft Intune
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
I det här avsnittet beskrivs hur du distribuerar Defender för Endpoint på iOS på registrerade Microsoft Intune-företagsportalenheter. Mer information om registrering av Microsoft Intune-enheter finns i Registrera iOS/iPadOS-enheter i Intune.
Innan du börjar
Se till att du har åtkomst till administrationscentret för Microsoft Intune.
Se till att iOS-registreringen är klar för dina användare. Användare måste ha en Defender för Endpoint-licens tilldelad för att kunna använda Defender för Endpoint i iOS. Mer information om hur du tilldelar licenser finns i Tilldela licenser till användare .
Se till att slutanvändarna har företagsportalappen installerad, inloggad och registreringen slutförd.
Obs!
Microsoft Defender för Endpoint på iOS är tillgängligt i Apple App Store.
Det här avsnittet beskriver:
Distributionssteg (gäller för både övervakade och oövervakade enheter)– Administratörer kan distribuera Defender för Endpoint på iOS via Microsoft Intune-företagsportalen. Det här steget behövs inte för VPP-appar (volyminköp).
Fullständig distribution (endast för övervakade enheter)– Administratörer kan välja att distribuera någon av de angivna profilerna.
- Zero Touch-kontrollfilter (tyst) – Ger webbskydd utan VPN för lokal loopback och möjliggör även tyst registrering för användare. Appen installeras och aktiveras automatiskt utan att användaren behöver öppna appen.
- Kontrollfilter – Tillhandahåller webbskydd utan vpn för lokal loopback.
Automatisk registrering ( endast för oövervakade enheter) – Administratörer kan automatisera Registrering av Defender för Endpoint för användare på två olika sätt:
- Zero touch -registrering (tyst) – Appen installeras och aktiveras automatiskt utan att användarna behöver öppna appen.
- Automatisk registrering av VPN – Vpn-profilen för Defender för Endpoint konfigureras automatiskt utan att användaren behöver göra det under registreringen. Det här steget rekommenderas inte i Zero Touch-konfigurationer.
Konfiguration av användarregistrering (endast för Intune-användarregistrerade enheter) – Administratörer kan även distribuera och konfigurera Defender för Endpoint-appen på Intunes användarregistrerade enheter.
Fullständig registrerings- och kontrollstatus – Det här steget gäller för alla registreringstyper för att säkerställa att appen är installerad på enheten, registreringen har slutförts och att enheten visas i Microsoft Defender-portalen. Den kan hoppas över för onboarding med nolltouch (tyst).
Distributionssteg (gäller för både övervakade och oövervakade enheter)
Distribuera Defender för Endpoint på iOS via Microsoft Intune-företagsportalen.
Lägga till iOS Store-app
I administrationscentret för Microsoft Intune går du till Appar>iOS/iPadOS>Lägg till>iOS Store-app och klickar på Välj.
På sidan Lägg till app klickar du på Sök i App Store och skriver Microsoft Defender i sökfältet. I avsnittet sökresultat klickar du på Microsoft Defender och klickar på Välj.
Välj iOS 15.0 som Lägsta operativsystem. Granska resten av informationen om appen och klicka på Nästa.
I avsnittet Tilldelningar går du till avsnittet Obligatoriskt och väljer Lägg till grupp. Du kan sedan välja den eller de användargrupper som du vill rikta Defender för Endpoint till iOS-appen. Klicka på Välj och sedan på Nästa.
Obs!
Den valda användargruppen bör bestå av Microsoft Intune-registrerade användare.
I avsnittet Granska + skapa kontrollerar du att all information som angetts är korrekt och väljer sedan Skapa. Om en liten stund bör Defender för Endpoint-appen skapas och ett meddelande ska visas i det övre högra hörnet på sidan.
På sidan appinformation som visas går du till avsnittet Övervaka och väljer Enhetsinstallationsstatus för att kontrollera att enhetsinstallationen har slutförts.
Fullständig distribution för övervakade enheter
Microsoft Defender för Endpoint i iOS-appen har särskilda möjligheter på övervakade iOS/iPadOS-enheter, med tanke på de ökade hanteringsfunktionerna som tillhandahålls av plattformen på dessa typer av enheter. Den kan också tillhandahålla webbskydd utan att konfigurera ett lokalt VPN på enheten. Detta ger slutanvändarna en sömlös upplevelse samtidigt som de skyddas från nätfiske och andra webbaserade attacker.
Administratörer kan använda följande steg för att konfigurera övervakade enheter.
Konfigurera övervakat läge via Microsoft Intune
Konfigurera övervakat läge för Defender för Endpoint-appen via en appkonfigurationsprincip och enhetskonfigurationsprofil.
Appkonfigurationsprincip
Obs!
Den här appkonfigurationsprincipen för övervakade enheter gäller endast för hanterade enheter och bör vara riktad mot ALLA hanterade iOS-enheter som bästa praxis.
Logga in på administrationscentret för Microsoft Intune och gå tillAppkonfigurationsprinciper> för appar>Lägg till. Välj Hanterade enheter.
På sidan Skapa appkonfigurationsprincip anger du följande information:
- Principnamn
- Plattform: Välj iOS/iPadOS
- Riktad app: Välj Microsoft Defender för Endpoint i listan
På nästa skärm väljer du Använd Configuration Designer som format. Ange följande egenskaper:
- Konfigurationsnyckel:
issupervised
- Värdetyp: Sträng
- Konfigurationsvärde:
{{issupervised}}
- Konfigurationsnyckel:
Välj Nästa för att öppna sidan Omfångstaggar . Omfångstaggar är valfria. Gå vidare genom att klicka på Nästa.
På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. I det här scenariot är det bästa praxis att rikta in sig på Alla enheter. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.
När du distribuerar till användargrupper måste en användare logga in på en enhet innan principen tillämpas.
Klicka Nästa.
Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan över konfigurationsprofiler.
Enhetskonfigurationsprofil (kontrollfilter)
Obs!
För enheter som kör iOS/iPadOS (i övervakat läge) finns det en anpassad .mobileconfig-profil , kallad ControlFilter-profilen tillgänglig. Den här profilen aktiverar Webbskydd utan att konfigurera VPN för lokal loopback på enheten. Detta ger slutanvändarna en sömlös upplevelse samtidigt som de skyddas från nätfiske och andra webbaserade attacker.
ControlFilter-profilen fungerar dock inte med Always-On VPN (AOVPN) på grund av plattformsbegränsningar.
Administratörer distribuerar någon av de angivna profilerna.
Zero touch (tyst) kontrollfilter – Den här profilen möjliggör tyst registrering för användare. Ladda ned konfigurationsprofilen från ControlFilterZeroTouch
Kontrollfilter – Ladda ned konfigurationsprofilen från ControlFilter.
När profilen har laddats ned distribuerar du den anpassade profilen. Följ stegen nedan:
Gå till Enheter>iOS/iPadOS-konfigurationsprofiler>>Skapa profil.
Välj ProfiltypMallar> och Mallnamn>Anpassat.
Ange ett namn på profilen. När du uppmanas att importera en konfigurationsprofilfil väljer du den som laddades ned från föregående steg.
I avsnittet Tilldelning väljer du den enhetsgrupp som du vill använda profilen för. Som bästa praxis bör detta tillämpas på alla hanterade iOS-enheter. Välj Nästa.
Obs!
Skapande av enhetsgrupp stöds i både Defender för Endpoint Plan 1 och Plan 2.
Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan över konfigurationsprofiler.
Automatisk registrering (endast för oövervakade enheter)
Administratörer kan automatisera Defender-registrering för användare på två olika sätt med zero touch(tyst) registrering eller automatisk registrering av VPN.
Zero-touch-registrering (tyst) av Microsoft Defender för Endpoint
Obs!
Zero-touch kan inte konfigureras på iOS-enheter som har registrerats utan användartillhörighet (användarlösa enheter eller delade enheter).
Administratörer kan konfigurera Microsoft Defender för Endpoint för att distribuera och aktivera tyst. I det här flödet skapar administratören en distributionsprofil och användaren meddelas helt enkelt om installationen. Defender för Endpoint installeras automatiskt utan att användaren behöver öppna appen. Följ stegen nedan för att konfigurera nolltouch- eller tyst distribution av Defender för Endpoint på registrerade iOS-enheter:
I administrationscentret för Microsoft Intune går du tillEnhetskonfigurationsprofiler>>Skapa profil.
Välj Plattform som iOS/iPadOS, Profiltyp som Mallar och Mallnamn som VPN. Välj Skapa.
Ange ett namn för profilen och välj Nästa.
Välj Anpassad VPN för Anslutningstyp och i avsnittet Grundläggande VPN anger du följande:
- Anslutningsnamn = Microsoft Defender för Endpoint
- VPN-serveradress = 127.0.0.1
- Autentiseringsmetod = "Användarnamn och lösenord"
- Delade tunnlar = Inaktivera
- VPN-identifierare = com.microsoft.scmx
- I nyckel/värde-paren anger du nyckeln SilentOnboard och anger värdet till Sant.
- Typ av automatisk VPN = VPN på begäran
- Välj Lägg till för regler på begäran och välj Jag vill göra följande = Anslut VPN, jag vill begränsa till = Alla domäner.
- Om du vill kräva att VPN inte kan inaktiveras på användarnas enhet kan administratörer välja Ja från Blockera användare från att inaktivera automatisk VPN. Som standard är den inte konfigurerad och användarna kan bara inaktivera VPN i inställningarna.
- Om du vill tillåta användare att ändra VPN-växlingsknappen inifrån appen lägger du till EnableVPNToggleInApp = TRUE i nyckel/värde-paren. Som standard kan användarna inte ändra växlingsknappen inifrån appen.
Välj Nästa och tilldela profilen till målanvändare.
I avsnittet Granska + skapa kontrollerar du att all information som angetts är korrekt och väljer sedan Skapa.
När ovanstående konfiguration är klar och synkroniserats med enheten utförs följande åtgärder på målenheterna för iOS:
- Microsoft Defender för Endpoint distribueras och registreras tyst och enheten visas i Defender för Endpoint-portalen.
- Ett preliminärt meddelande skickas till användarenheten.
- Webbskydd och andra funktioner aktiveras.
Obs!
- Nolltouch-konfigurationen kan ta upp till 5 minuter att slutföra i bakgrunden.
- För övervakade enheter kan administratörer konfigurera Zero Touch-registrering med ZeroTouch-kontrollfilterprofilen. Defender för Endpoint VPN-profilen installeras inte på enheten och webbskydd tillhandahålls av kontrollfilterprofilen.
Automatisk registrering av VPN-profil (förenklad registrering)
Obs!
Det här steget förenklar registreringsprocessen genom att konfigurera VPN-profilen. Om du använder Zero touch behöver du inte utföra det här steget.
För oövervakade enheter används ett VPN för att tillhandahålla webbskyddsfunktionen. Det här är inte ett vanligt VPN och är ett lokalt/självslingande VPN som inte tar trafik utanför enheten.
Administratörer kan konfigurera automatisk konfiguration av VPN-profil. Detta konfigurerar automatiskt VPN-profilen för Defender för Endpoint utan att användaren behöver göra det under registreringen.
I administrationscentret för Microsoft Intune går du tillEnhetskonfigurationsprofiler>>Skapa profil.
Välj Plattform som iOS/iPadOS och Profiltyp som VPN. Klicka på Skapa.
Ange ett namn för profilen och klicka på Nästa.
Välj Anpassad VPN för Anslutningstyp och i avsnittet Grundläggande VPN anger du följande:
Anslutningsnamn = Microsoft Defender för Endpoint
VPN-serveradress = 127.0.0.1
Autentiseringsmetod = "Användarnamn och lösenord"
Delade tunnlar = Inaktivera
VPN-identifierare = com.microsoft.scmx
I nyckel/värde-paren anger du nyckeln AutoOnboard och anger värdet till Sant.
Typ av automatisk VPN = VPN på begäran
Välj Lägg till för regler på begäran och välj Jag vill göra följande = Anslut VPN, jag vill begränsa till = Alla domäner.
Om du vill kräva att VPN inte kan inaktiveras på en användares enhet kan administratörer välja Ja från Blockera användare från att inaktivera automatisk VPN. Som standard har den här inställningen inte konfigurerats och användarna kan endast inaktivera VPN i inställningarna.
Om du vill tillåta användare att ändra VPN-växlingsknappen inifrån appen lägger du till EnableVPNToggleInApp = TRUE i nyckel/värde-paren. Som standard kan användarna inte ändra växlingsknappen inifrån appen.
Klicka på Nästa och tilldela profilen till målanvändare.
I avsnittet Granska + skapa kontrollerar du att all information som angetts är korrekt och väljer sedan Skapa.
Konfiguration av användarregistrering (endast för Intune-användarregistrerade enheter)
Microsoft Defender iOS-appen kan distribueras på Intune-användarregistrerade enheter med hjälp av följande steg.
Administratör
Konfigurera profil för användarregistrering i Intune. Intune stöder kontodriven Apple-användarregistrering och Apple-användarregistrering med företagsportalen. Läs mer om jämförelsen av de två metoderna och välj en.
Konfigurera plugin-programmet för enkel inloggning. Authenticator-appen med SSO-tillägget är en förutsättning för användarregistrering på en iOS-enhet.
- Skapa är Enhetskonfigurationsprofil i Intune – Konfigurera iOS/iPadOS Enterprise SSO-plugin-program med MDM | Microsoft Learn.
- Se till att lägga till dessa två nycklar i ovanstående konfiguration:
- Appsamlings-ID: Inkludera Defender App-paket-ID:t i den här listan com.microsoft.scmx
- Ytterligare konfiguration: Nyckel – device_registration ; Type – String ; Value- {{DEVICEREGISTRATION}}
Konfigurera MDM-nyckeln för användarregistrering.
- I Intune går du till Gå till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter
- Ge principen ett namn, välj Plattform > iOS/iPadOS,
- Välj Microsoft Defender för Endpoint som målapp.
- På sidan Inställningar väljer du Använd Configuration Designer och lägger till UserEnrolmentEnabled som nyckel, värdetyp som Sträng, värde som Sant.
Administratören kan push-överföra Defender som en obligatorisk VPP-app från Intune.
Slutanvändare
Defender-appen installeras på användarens enhet. Användaren loggar in och slutför registreringen. När enheten har registrerats visas den i Defender-säkerhetsportalen under Enhetsinventering.
Funktioner och begränsningar som stöds
- Har stöd för alla aktuella funktioner i Defender för Endpoint iOS som – webbskydd, nätverksskydd, upplåsningsidentifiering, säkerhetsrisker i operativsystem och appar, aviseringar i Defender-säkerhetsportalen och efterlevnadsprinciper.
- Zero touch-distribution (tyst) och automatisk registrering av VPN stöds inte med användarregistrering eftersom administratörer inte kan skicka en enhetsomfattande VPN-profil med användarregistrering.
- För sårbarhetshantering av appar visas endast appar i arbetsprofilen.
- Det kan ta upp till 10 minuter för nyligen registrerade enheter att bli kompatibla om de omfattas av efterlevnadsprinciper.
- Läs mer om begränsningar och funktioner för användarregistrering.
Fullständig registrering och kontrollstatus
När Defender för Endpoint på iOS har installerats på enheten visas appikonen.
Tryck på ikonen för Defender för Endpoint-appen (MSDefender) och följ anvisningarna på skärmen för att slutföra registreringsstegen. Informationen omfattar slutanvändarens godkännande av iOS-behörigheter som krävs av Defender för Endpoint på iOS.
Obs!
Hoppa över det här steget om du konfigurerar zero touch(tyst) registrering. Det är inte nödvändigt att starta programmet manuellt om ingen touch-registrering (tyst) har konfigurerats.
Nästa steg
- Konfigurera appskyddsprincipen så att den inkluderar Risksignaler för Defender för Endpoint (MAM)
- Konfigurera Defender för Endpoint i iOS-funktioner
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.