在 iOS 功能上配置 Microsoft Defender for Endpoint

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

注意

iOS 上的 Defender for Endpoint 将使用 VPN 来提供 Web 保护功能。 这不是常规 VPN,是本地/自循环 VPN,不会将流量带到设备外部。

在 iOS 上使用 Defender for Endpoint 进行条件访问

Microsoft iOS 上的 Defender for Endpoint 以及 Microsoft Intune 和 Microsoft Entra ID 支持基于设备风险评分强制实施设备合规性和条件访问策略。 Defender for Endpoint 是一种移动威胁防御 (MTD) 解决方案,可部署该解决方案以通过 Intune 使用此功能。

有关如何在 iOS 上使用 Defender for Endpoint 设置条件访问的详细信息,请参阅 Defender for Endpoint 和 Intune

Web 保护和 VPN

默认情况下,iOS 上的 Defender for Endpoint 包括并启用 Web 保护,这有助于保护设备免受 Web 威胁,并保护用户免受网络钓鱼攻击。 作为 Web 保护的一部分,支持反钓鱼和自定义指示器 (URL 和域) 。 iOS 目前不支持基于 IP 的自定义指示器。 Android 和 iOS) (移动平台当前不支持 Web 内容筛选。

iOS 上的 Defender for Endpoint 使用 VPN 来提供此功能。 VPN 是本地的,与传统 VPN 不同,网络流量不会发送到设备外部。

在默认情况下启用时,在某些情况下可能需要禁用 VPN。 例如,你希望运行一些在配置 VPN 时不起作用的应用。 在这种情况下,你可以选择通过以下步骤从设备上的应用禁用 VPN:

  1. 在 iOS 设备上,打开 “设置” 应用,依次选择“ 常规 ”和“ VPN”。

  2. 选择 Microsoft Defender for Endpoint 的 i 按钮。

  3. 关闭 “按需连接” 以禁用 VPN。

    VPN 配置按需连接选项的切换按钮

注意

禁用 VPN 时,Web 保护不可用。 若要重新启用 Web 保护,请在设备上打开 Microsoft Defender for Endpoint 应用,然后选择“ 启动 VPN”。

禁用 Web 保护

Web 保护是 Defender for Endpoint 的主要功能之一,它需要 VPN 来提供该功能。 使用的 VPN 是本地/环回 VPN,而不是传统 VPN,但有几个原因可能会导致客户不喜欢 VPN。 如果不想设置 VPN,可以禁用 Web 保护,并在不使用此功能的情况下部署 Defender for Endpoint。 其他 Defender for Endpoint 功能将继续工作。

此配置适用于已注册的 (MDM) 设备和未注册的 (MAM) 设备。 对于使用 MDM 的客户,管理员可以通过应用配置中的托管设备配置 Web 保护。对于未注册的客户,使用 MAM,管理员可以通过应用配置中的托管应用配置 Web 保护。

配置 Web 保护

使用 MDM 禁用 Web 保护

使用以下步骤对已注册的设备禁用 Web 保护。

  1. Microsoft Intune 管理中心中,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略指定一个名称 ,即平台 > iOS/iPadOS

  3. 选择“Microsoft Defender for Endpoint”作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器”,然后添加 WebProtection 为键,并将其值类型设置为 String

    • 默认情况下,为 WebProtection = true。 管理员必须设置为 WebProtection = false 关闭 Web 保护。
    • 每当用户打开应用时,Defender for Endpoint 会将检测信号发送到 Microsoft Defender 门户。
    • 选择“ 下一步”,然后将此配置文件分配给目标设备/用户。

使用 MAM 禁用 Web 保护

使用以下步骤对未注册的设备禁用 Web 保护。

  1. Intune 管理中心Microsoft,转到 “应用”>“应用配置策略>”“添加>托管应用”。

  2. 为策略指定 名称。

  3. “选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。

  4. “设置” 页上的 “常规配置设置”下,添加 WebProtection 为键,并将其值设置为 false

    • 默认情况下,为 WebProtection = true。 管理员可以将 设置为 WebProtection = false 关闭 Web 保护。
    • 每当用户打开应用时,Defender for Endpoint 会将检测信号发送到 Microsoft Defender 门户。
    • 选择“ 下一步”,然后将此配置文件分配给目标设备/用户。

注意

WebProtection 不适用于受监督设备列表中的控制筛选器。 如果要禁用受监督设备的 Web 保护,可以删除“控制筛选器”配置文件。

配置网络保护

默认情况下,Microsoft Defender for endpoint 中的网络保护处于禁用状态。 管理员可以使用以下步骤配置网络保护。 此配置可用于通过 MDM 配置注册的设备,以及通过 MAM 配置取消注册的设备。

注意

只应通过 MDM 或 MAM 为网络保护创建一个策略。 网络保护初始化要求最终用户打开应用一次。

使用 MDM 配置网络保护

若要为已注册的设备使用 MDM 配置设置网络保护,请执行以下步骤:

  1. 在 Microsoft Intune 管理中心,导航到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 提供策略的名称和说明。 在 “平台”下,选择“ iOS/iPad”。

  3. 在目标应用中,选择 “Microsoft Defender for Endpoint”。

  4. “设置” 页上,选择配置设置格式 “”使用配置设计器”。

  5. 添加 DefenderNetworkProtectionEnable 为配置键。 将其值类型设置为 String,并将其值设置为 false 以禁用网络保护。 (默认启用网络保护。)

    显示 mdm 配置策略的屏幕截图。

  6. 对于与网络保护相关的其他配置,请添加以下密钥,选择相应的值类型和值。

    值类型 默认 (true-enable、false-disable) 说明
    DefenderOpenNetworkDetection 整数 2 1 - 审核,0 - 禁用,2 - 启用 (默认) 。 此设置由 IT 管理员管理,用于分别审核、禁用或启用开放网络检测。 在审核模式下,警报仅发送到 Microsoft Defender 门户,没有最终用户体验。 对于最终用户体验,请将其设置为 Enable
    DefenderEndUserTrustFlowEnable String false true - enable,false - disable;IT 管理员使用此设置启用或禁用最终用户应用内体验,以信任和不信任不安全的可疑网络。
    DefenderNetworkProtectionAutoRemediation String true true - enable,false - disable;IT 管理员使用此设置启用或禁用当用户执行修正活动(例如切换到更安全的 WIFI 接入点)时发送的修正警报。
    DefenderNetworkProtectionPrivacy String true true - enable,false - disable;此设置由 IT 管理员管理,以启用或禁用网络保护中的隐私。 如果禁用隐私,则会显示用户同意共享恶意 wifi。 如果启用了隐私,则不会显示任何用户同意,并且不会收集任何应用数据。
  7. “分配” 部分中,管理员可以选择要从策略中包括和排除的用户组。

  8. 查看并创建配置策略。

使用 MAM 配置网络保护

使用以下过程为未注册的设备设置 MAM 配置,以便进行网络保护, (iOS 设备中的 MAM 配置) 需要 Authenticator 设备注册。

  1. 在 Intune 管理中心Microsoft,导航到“应用”“应用>配置策略>”“添加>托管应用>”“创建新的应用配置策略”。

    添加配置策略。

  2. 提供用于唯一标识策略的名称和说明。 然后选择“ 选择公共应用”,然后选择 “Microsoft Defender for Platform iOS/iPadOS”。

    命名配置。

  3. “设置” 页上,添加 DefenderNetworkProtectionEnable 作为键,将 值添加为 false 以禁用网络保护。 (默认启用网络保护。)

    添加配置值。

  4. 对于与网络保护相关的其他配置,请添加以下密钥和相应的相应值。

    默认 (true - enable,false - 禁用) 说明
    DefenderOpenNetworkDetection 2 1 - 审核,0 - 禁用,2 - 启用 (默认) 。 此设置由 IT 管理员管理,用于启用、审核或禁用开放网络检测。 在审核模式下,警报仅发送到 ATP 门户,没有用户端体验。 为了获得用户体验,请将配置设置为“启用”模式。
    DefenderEndUserTrustFlowEnable false true - enable,false - disable;IT 管理员使用此设置启用或禁用最终用户应用内体验,以信任和不信任不安全的可疑网络。
    DefenderNetworkProtectionAutoRemediation true true - enable,false - disable;IT 管理员使用此设置启用或禁用当用户执行修正活动(例如切换到更安全的 WIFI 接入点)时发送的修正警报。
    DefenderNetworkProtectionPrivacy true true - enable,false - disable;此设置由 IT 管理员管理,以启用或禁用网络保护中的隐私。 如果禁用隐私,则会显示用户同意共享恶意 wifi。 如果启用了隐私,则不会显示任何用户同意,并且不会收集任何应用数据。
  5. “分配” 部分中,管理员可以选择要从策略中包括和排除的用户组。

    分配配置。

  6. 查看并创建配置策略。

多个 VPN 配置文件共存

Apple iOS 不支持多个设备范围的 VPN 同时处于活动状态。 虽然设备上可以存在多个 VPN 配置文件,但一次只能有一个 VPN 处于活动状态。

在应用保护策略中配置 Microsoft Defender for Endpoint 风险信号 (MAM)

Microsoft iOS 上的 Defender for Endpoint 启用应用保护策略方案。 最终用户可以直接从 Apple 应用商店安装最新版本的应用。 确保设备使用用于在 Defender 中加入的同一帐户注册到 Authenticator,以便成功注册 MAM。

可以将 Microsoft Defender for Endpoint 配置为发送威胁信号,以便在应用保护策略 (应用(也称为 iOS/iPadOS 上的 MAM) )中使用。 借助此功能,还可以使用 Microsoft Defender for Endpoint 来保护未注册设备对公司数据的访问。

按照以下链接中的步骤设置应用保护策略,使用 Microsoft Defender for Endpoint 在应用保护策略中配置 Defender 风险信号 (MAM)

有关 MAM 或应用保护策略的更多详细信息,请参阅 iOS 应用保护策略设置

隐私控制

Microsoft iOS 上的 Defender for Endpoint 为管理员和最终用户启用隐私控制。 这包括对已注册 (MDM) 和未注册 (MAM) 设备的控制。

如果使用 MDM,管理员可以在应用配置中通过 托管设备 配置隐私控制。如果在未注册的情况下使用 MAM,则管理员可以在应用配置中通过 托管应用 配置隐私控制。最终用户还可以在 Microsoft Defender 应用设置中配置隐私设置。

在网络钓鱼警报报告中配置隐私

客户现在可以为 iOS 上的 Microsoft Defender for Endpoint 发送的网络钓鱼报告启用隐私控制,以便在Microsoft Defender for Endpoint 检测到并阻止网络钓鱼网站时,域名不会作为网络钓鱼警报的一部分包括在内。

在 MDM 中配置隐私控制

使用以下步骤启用隐私,而不收集域名作为已注册设备的钓鱼警报报告的一部分。

  1. Microsoft Intune 管理中心中,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名 平台 > iOS/iPadOS,选择配置文件类型。

  3. 选择 “Microsoft Defender for Endpoint ”作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器 并添加 DefenderExcludeURLInReport ”作为键,并将其值类型设置为 布尔值

    • 若要启用隐私而不收集域名,请输入 值, true 并将此策略分配给用户。 默认情况下,此值设置为 false
    • 对于密钥设置为 true的用户,每当 Defender for Endpoint 检测到并阻止恶意站点时,网络钓鱼警报都不会包含域名信息。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

在 MAM 中配置隐私控件

使用以下步骤启用隐私,而不是将域名收集为未注册设备的网络钓鱼警报报告的一部分。

  1. Intune 管理中心Microsoft,转到 “应用”>“应用配置策略>”“添加>托管应用”。

  2. 为策略指定 名称。

  3. “选择公共应用”下,选择 “Microsoft Defender for Endpoint ”作为目标应用。

  4. “设置” 页上的 “常规配置设置”下,添加 DefenderExcludeURLInReport 为键,并将其值 true设置为 。

    • 若要启用隐私而不收集域名,请输入 值, true 并将此策略分配给用户。 默认情况下,此值设置为 false
    • 对于密钥设置为 true的用户,每当 Defender for Endpoint 检测到并阻止恶意站点时,网络钓鱼警报都不会包含域名信息。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

在 Microsoft Defender 应用中配置最终用户隐私控件

这些控件可帮助最终用户配置共享给组织的信息。

对于受监督的设备,最终用户控件不可见。 管理员决定和控制设置。 但是,对于非监督设备,控件显示在“设置隐私”>下。

用户会看到 “不安全站点信息”的切换。 仅当管理员设置了 DefenderExcludeURLInReport = true时,此切换才可见。

如果管理员启用,用户可以指定是否向组织发送不安全站点信息。 默认情况下,它设置为 false,这意味着不会发送不安全的网站信息。 如果用户将其 true切换到 ,则会发送不安全的站点详细信息。

打开或关闭隐私控制不会影响设备符合性检查或条件访问。

注意

在具有配置文件的受监督设备上,Microsoft Defender for Endpoint 可以访问整个 URL,如果发现它是钓鱼,则会阻止它。 在非监督设备上,Microsoft Defender for Endpoint 仅有权访问域名,如果域不是钓鱼 URL,则不会阻止它。

可选权限

Microsoft iOS 上的 Defender for Endpoint 启用载入流中的可选权限。 目前,在载入流程中,Defender for Endpoint 所需的权限是必需的。 使用此功能,管理员可以在 BYOD 设备上部署 Defender for Endpoint,而无需在载入期间强制实施强制 VPN 权限。 最终用户可以在没有强制权限的情况下加入应用,以后可以查看这些权限。 此功能目前仅适用于已注册 (MDM) 的设备。

使用 MDM 配置可选权限

管理员可以使用以下步骤为已注册的设备启用可选 VPN 权限。

  1. Microsoft Intune 管理中心中,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名,选择“ 平台 > iOS/iPadOS”。

  3. 选择 “Microsoft Defender for Endpoint ”作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器 并添加 DefenderOptionalVPN ”作为键,并将其值类型设置为 Boolean

    • 若要启用可选的 VPN 权限,请输入值作为 true 并将此策略分配给用户。 默认情况下,此值设置为 false
    • 对于将密钥设置为 true的用户,用户无需授予 VPN 权限即可加入应用。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

以最终用户身份配置可选权限

最终用户安装并打开 Microsoft Defender 应用以开始载入。

  • 如果管理员已设置可选权限,则用户可以跳过 VPN 权限并完成载入。
  • 即使用户已跳过 VPN,设备也能够载入,并发送检测信号。
  • 如果禁用 VPN,则 Web 保护不处于活动状态。
  • 稍后,用户可以从应用内启用 Web 保护,这将在设备上安装 VPN 配置。

注意

可选权限不同于禁用 Web 保护。 可选 VPN 权限仅有助于在载入期间跳过权限,但最终用户可以稍后查看和启用该权限。 禁用 Web 保护允许用户在没有 Web 保护的情况下加入 Defender for Endpoint 应用。 以后无法启用它。

越狱检测

Microsoft Defender for Endpoint 能够检测已越狱的非托管和托管设备。 这些越狱检查是定期进行的。 如果检测到设备已越狱,则会发生以下事件:

  • 向 Microsoft Defender 门户报告高风险警报。 如果设备合规性和条件访问是基于设备风险评分设置的,则设备将阻止访问公司数据。
  • 清除应用上的用户数据。 当用户越狱后打开应用时,VPN 配置文件 (仅 Defender for Endpoint 环回 VPN 配置文件) 也会被删除,并且不提供 Web 保护。 不会删除 Intune 提供的 VPN 配置文件。

针对越狱设备配置符合性策略

为了防止在越狱的 iOS 设备上访问公司数据,我们建议你在 Intune 上设置以下合规性策略。

注意

越狱检测是 iOS 上的 Microsoft Defender for Endpoint 提供的一项功能。 但是,建议将此策略设置为针对越狱方案的额外防御层。

按照以下步骤创建针对越狱设备的合规性策略。

  1. Microsoft Intune 管理中心,转到 “设备>符合性策略>”“创建策略”。 选择“iOS/iPadOS”作为平台,然后选择 “创建”。

    “创建策略”选项卡

  2. 指定策略的名称,例如 越狱的合规性策略

  3. 在“符合性设置”页中,选择展开“设备运行状况”部分,然后在“已越狱设备”字段中选择Block

    “符合性设置”选项卡

  4. “不符合的操作” 部分中,根据要求选择操作,然后选择“ 下一步”。

    “不符合的操作”选项卡

  5. “分配” 部分中,选择要为此策略包含的用户组,然后选择“ 下一步”。

  6. “查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。

配置自定义指示器

iOS 上的 Defender for Endpoint 使管理员能够在 iOS 设备上配置自定义指示器。 有关如何配置自定义指示器的详细信息,请参阅 管理指示器

注意

iOS 上的 Defender for Endpoint 仅支持为 URL 和域创建自定义指示器。 iOS 不支持基于 IP 的自定义指示器。

对于 iOS,访问指示器中设置的 URL 或域时,不会在 Microsoft Defender XDR 上生成警报。

配置应用的漏洞评估

降低网络风险需要全面的基于风险的漏洞管理,以识别、评估、修正和跟踪最关键资产中的所有最大漏洞,所有这些漏洞都是在单个解决方案中实现的。 请访问此 ,详细了解 Microsoft Defender for Endpoint 中的 Microsoft Defender 漏洞管理。

iOS 上的 Defender for Endpoint 支持 OS 和应用的漏洞评估。 iOS 版本的漏洞评估适用于已注册 (MDM) 和未注册 (MAM) 设备。 应用的漏洞评估仅适用于已注册 (MDM) 设备。 管理员可以使用以下步骤来配置应用的漏洞评估。

在受监督的设备上

  1. 确保设备在 “监督”模式下配置。

  2. 若要在 Microsoft Intune 管理中心中启用此功能,请转到 Endpoint Security>Microsoft Defender for Endpoint>为 iOS/iPadOS 设备启用应用同步

    应用同步切换切换

注意

若要获取包括非托管应用在内的所有应用的列表,管理员必须启用 Intune 管理门户中标记为“个人”的受监督 设备的“在个人拥有的 iOS/iPadOS 设备上发送完整应用程序清单数据 ”设置。 对于在 Intune 管理门户中标记为“公司”的受监督设备,管理员无需在 个人拥有的 iOS/iPadOS 设备上启用“发送完整应用程序清单数据”。

在非监督设备上

  1. 若要在 Microsoft Intune 管理中心中启用此功能,请转到 Endpoint Security>Microsoft Defender for Endpoint>为 iOS/iPadOS 设备启用应用同步

    应用同步切换

  2. 若要获取包括非托管应用在内的所有应用的列表,请启用切换“ 在个人拥有的 iOS/iPadOS 设备上发送完整应用程序清单数据”。

    完整应用数据

  3. 使用以下步骤配置隐私设置。

    1. 转到 “应用”>“应用配置策略>”“添加>托管设备”。

    2. 为策略指定一个名称 ,即平台>iOS/iPadOS

    3. 选择 “Microsoft Defender for Endpoint ”作为目标应用。

    4. “设置” 页上,选择“使用配置设计器”,并将 添加 DefenderTVMPrivacyMode 为键。 将其值类型设置为 String

      • 若要禁用隐私并收集已安装的应用列表,请将值指定为 False,然后将此策略分配给用户。
      • 默认情况下,对于无监督设备,此值设置为 True
      • 对于密钥设置为 False的用户,Defender for Endpoint 会发送设备上安装的应用列表,以便进行漏洞评估。
    5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

    6. 打开或关闭隐私控制不会影响设备符合性检查或条件访问。

  4. 应用配置后,最终用户必须打开应用才能批准隐私设置。

    • 隐私审批屏幕仅针对无监督设备显示。
    • 仅当最终用户批准隐私时,应用信息才会发送到 Defender for Endpoint 控制台。

    最终用户隐私屏幕的屏幕截图。

将客户端版本部署到目标 iOS 设备后,将开始处理。 在这些设备上发现的漏洞开始显示在 Defender 漏洞管理仪表板中。 完成处理可能需要几个小时 (最多 24 小时) 。 对于要显示在软件清单中的整个应用列表而言,此时间范围尤其如此。

注意

如果在 iOS 设备中使用 SSL 检查解决方案,请在商业环境中添加域名 securitycenter.windows.com () 和 securitycenter.windows.us GCC 环境中的 () ,以便威胁和漏洞管理功能正常工作。

禁用注销

iOS 上的 Defender for Endpoint 支持在应用中部署“无需注销”按钮,以防止用户注销 Defender 应用。 这一点对于防止用户篡改设备非常重要。

此配置适用于已注册的 (MDM) 设备,以及未注册的 (MAM) 设备。 管理员可以使用以下步骤配置“禁用注销”

配置使用 MDM 禁用注销

对于已注册的设备, (MDM)

  1. 在 Microsoft Intune 管理中心,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名,然后选择“ 平台>iOS/iPadOS”。

  3. 选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器”,并添加 DisableSignOut 为键。 将其值类型设置为 String

    • 默认情况下,为 DisableSignOut = false
    • 管理员可以将 设置为 DisableSignOut = true 禁用应用中的注销按钮。 推送策略后,用户看不到“注销”按钮。
  5. 选择“ 下一步”,然后将此策略分配给目标设备/用户。

使用 MAM 配置禁用注销

对于未注册的设备, (MAM)

  1. 在 Microsoft Intune 管理中心,导航到“应用”“应用>”“应用配置策略>”“添加>托管应用”。

  2. 为策略指定 名称。

  3. “选择公共应用”下,选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置” 页上,添加 DisableSignOut 为键,并将其值设置为 true

    • 默认情况下,为 DisableSignOut = false
    • 管理员可以将 设置为 DisableSignOut = true 禁用应用中的注销按钮。 推送策略后,用户看不到“注销”按钮。
  5. 选择“ 下一步”,然后将此策略分配给目标设备/用户。

设备标记

iOS 上的 Defender for Endpoint 允许管理员通过 Intune 设置标记,允许在载入期间批量标记移动设备。 管理员可以通过配置策略通过 Intune 配置设备标记,并将其推送到用户的设备。 用户安装并激活 Defender 后,客户端应用会将设备标记传递到 Microsoft Defender 门户。 设备标记针对设备清单中的设备显示。

此配置适用于已注册的 (MDM) 设备,以及未注册的 (MAM) 设备。 管理员可以使用以下步骤配置设备标记。

使用 MDM 配置设备标记

对于已注册的设备, (MDM)

  1. 在 Microsoft Intune 管理中心,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名,然后选择“ 平台>iOS/iPadOS”。

  3. 选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器”,并添加 DefenderDeviceTag 为键。 将其值类型设置为 String

    • 管理员可以通过添加密钥 DefenderDeviceTag 并设置设备标记的值来分配新标记。
    • 管理员可以通过修改键 DefenderDeviceTag的值来编辑现有标记。
    • 管理员可以通过删除密钥 DefenderDeviceTag来删除现有标记。
  5. 选择“ 下一步”,然后将此策略分配给目标设备/用户。

使用 MAM 配置设备标记

对于未注册的设备, (MAM)

  1. 在 Microsoft Intune 管理中心,转到“应用”“应用>配置策略>”“添加>托管应用”。

  2. 为策略指定 名称。

  3. “选择公共应用”下,选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置”页上,在“常规配置设置) ”下添加DefenderDeviceTag作为键 (。

    • 管理员可以通过添加密钥 DefenderDeviceTag 并设置设备标记的值来分配新标记。
    • 管理员可以通过修改键 DefenderDeviceTag的值来编辑现有标记。
    • 管理员可以通过删除密钥 DefenderDeviceTag来删除现有标记。
  5. 选择“ 下一步”,然后将此策略分配给目标设备/用户。

注意

必须打开 Microsoft Defender 应用,才能将标记与 Intune 同步并传递到 Microsoft Defender 门户。 标记可能需要长达 18 小时才能反映在门户中。

禁止显示 OS 更新通知

客户可以使用配置在 iOS 上的 Defender for Endpoint 中取消 OS 更新通知。 在 Intune 应用配置策略中设置配置密钥后,Defender for Endpoint 将不会在设备上发送任何 OS 更新通知。 但是,打开 Microsoft Defender 应用时,设备运行状况卡可见,并显示操作系统的状态。

此配置适用于已注册的 (MDM) 设备,以及未注册的 (MAM) 设备。 管理员可以使用以下步骤取消 OS 更新通知。

使用 MDM 配置 OS 更新通知

对于已注册的设备, (MDM)

  1. 在 Microsoft Intune 管理中心,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名,选择“ 平台>iOS/iPadOS”。

  3. 选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器”,并添加 SuppressOSUpdateNotification 为键。 将其值类型设置为 String

    • 默认情况下,为 SuppressOSUpdateNotification = false
    • 管理员可以设置为 SuppressOSUpdateNotification = true 取消 OS 更新通知。
    • 选择“ 下一步 ”,并将此策略分配给目标设备/用户。

使用 MAM 配置 OS 更新通知

对于未注册的设备, (MAM)

  1. 在 Microsoft Intune 管理中心,导航到“应用”“应用>”“应用配置策略>”“添加>托管应用”。

  2. 为策略指定 名称。

  3. “选择公共应用”下,选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置”页上,在“常规配置设置) ”下添加SuppressOSUpdateNotification作为键 (。

    • 默认情况下,为 SuppressOSUpdateNotification = false
    • 管理员可以设置为 SuppressOSUpdateNotification = true 取消 OS 更新通知。
  5. 选择“ 下一步 ”,并将此策略分配给目标设备/用户。

配置用于发送应用内反馈的选项

客户现在可以选择配置将反馈数据发送到 Defender for Endpoint 应用中Microsoft的功能。 反馈数据有助于Microsoft改进产品和解决问题。

注意

对于美国政府云客户,反馈数据收集默认处于禁用状态。

使用以下步骤配置选项以将反馈数据发送到Microsoft:

  1. Microsoft Intune 管理中心中,转到 “应用”>“应用配置策略>”“添加>托管设备”。

  2. 为策略命名,并选择“ 平台 > iOS/iPadOS ”作为配置文件类型。

  3. 选择 Microsoft Defender for Endpoint 作为目标应用。

  4. “设置” 页上,选择“ 使用配置设计器 并添加 DefenderFeedbackData ”作为键,并将其值类型设置为 Boolean

    • 若要删除最终用户提供反馈的能力,请将值 false 设置为 并将此策略分配给用户。 默认情况下,此值设置为 true。 对于美国政府客户,默认值设置为“false”。
    • 对于将密钥设置为 true的用户,可以选择将反馈数据发送到应用内的Microsoft (菜单>帮助 & 反馈>将反馈发送到Microsoft) 。
  5. 选择“ 下一步 ”,并将此配置文件分配给目标设备/用户。

报告不安全的网站

网络钓鱼网站冒充可信网站来获取你的个人或财务信息。 访问 “提供有关网络保护的反馈 ”页,以报告可能是钓鱼网站的网站。

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区