使用 Microsoft Intune 在 iOS 上部署 Microsoft Defender for Endpoint
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
本主题介绍如何在已注册 Intune 公司门户的设备上Microsoft iOS 上部署 Defender for Endpoint。 有关Microsoft Intune 设备注册的详细信息,请参阅 在 Intune 中注册 iOS/iPadOS 设备。
确保你有权访问 Microsoft Intune 管理中心。
确保为用户完成 iOS 注册。 用户需要分配 Defender for Endpoint 许可证才能在 iOS 上使用 Defender for Endpoint。 有关如何 分配许可证 的说明,请参阅向用户分配许可证。
确保最终用户已安装公司门户应用、登录并完成注册。
备注
Microsoft iOS 上的 Defender for Endpoint 在 Apple App Store 中可用。
本节介绍:
部署步骤 (适用于 受监督 和 未监督 设备) - 管理员可以通过 Microsoft Intune 公司门户在 iOS 上部署 Defender for Endpoint。 VPP (批量购买) 应用不需要此步骤。
完成部署 (仅针对受监督设备) - 管理员可以选择部署任意一个给定配置文件。
- 零接触 (无提示) 控制筛选器 - 提供 Web 保护,无需本地环回 VPN,还允许用户无提示加入。 应用会自动安装并激活,用户无需打开应用。
- 控制筛选器 - 在没有本地环回 VPN 的情况下提供 Web 保护。
自动载入设置 (仅针对 非监督 设备) - 管理员可以通过两种不同的方式为用户自动载入 Defender for Endpoint:
- 零接触 (静默) 载入 - 应用会自动安装和激活,用户无需打开应用。
- 自动加入 VPN - 自动设置 Defender for Endpoint VPN 配置文件,无需用户在载入期间执行此操作。 不建议在零接触配置中执行此步骤。
用户注册设置 (仅适用于 Intune 用户注册的设备) - 管理员还可以在 Intune 用户注册设备上部署和配置 Defender for Endpoint 应用。
完成载入并检查状态 - 此步骤适用于所有注册类型,以确保在设备上安装应用、完成载入且设备在 Microsoft Defender 门户中可见。 对于无提示 (载入) ,可以跳过它。
通过 Microsoft Intune 公司门户在 iOS 上部署 Defender for Endpoint。
在 Microsoft Intune 管理中心,转到 “应用>iOS/iPadOS>添加>iOS 应用商店应用 ”,然后单击“ 选择”。
在 “添加应用 ”页上,单击“ 搜索应用商店 ”,并在搜索栏中键入 “Microsoft Defender ”。 在搜索结果部分中,单击“ Microsoft Defender ”,然后单击“ 选择”。
选择 “iOS 15.0 ”作为“最低操作系统”。 查看有关应用的其余信息,然后单击“ 下一步”。
在 “作业” 部分中,转到“ 必需 ”部分,然后选择“ 添加组”。 然后,你可以选择要在 iOS 应用上面向 Defender for Endpoint 的用户组 () 。 单击 “选择” ,然后单击“ 下一步”。
备注
所选用户组应包含 Microsoft Intune 注册的用户。
在 “查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。 几分钟后,Defender for Endpoint 应用应已成功创建,并且页面右上角会显示一条通知。
在显示的应用信息页的 “监视 ”部分中,选择“ 设备安装状态 ”,验证设备安装是否已成功完成。
鉴于平台在这些类型的设备上提供的增强管理功能,Microsoft Defender for Endpoint on iOS 应用在受监督的 iOS/iPadOS 设备上具有专用功能。 它还可以提供 Web 保护 ,而无需在设备上设置本地 VPN。 这为最终用户提供了无缝体验,同时仍受到网络钓鱼和其他基于 Web 的攻击的保护。
管理员可以使用以下步骤配置受监督的设备。
通过应用配置策略和设备配置文件为 Defender for Endpoint 应用配置监督模式。
备注
此受监督设备的应用配置策略仅适用于托管设备,应针对所有托管 iOS 设备作为最佳做法。
登录到 Microsoft Intune 管理中心 ,然后转到 “应用”>“应用配置策略>”“添加”。 选择 “托管设备”。
在 “创建应用配置策略 ”页中,提供以下信息:
- 策略名称
- 平台:选择 iOS/iPadOS
- 目标应用:从列表中选择 “Microsoft Defender for Endpoint ”
在下一个屏幕中,选择“ 使用配置设计器 ”作为格式。 指定以下属性:
- 配置密钥:
issupervised
- 值类型:字符串
- 配置值:
{{issupervised}}
- 配置密钥:
选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”以继续。
在“分配”页上,选择将接收此配置文件的组。 对于此方案,最佳做法是面向 所有设备。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
部署到用户组时,用户必须在应用策略之前登录到设备。
单击下一个。
完成后,在“查看 + 创建”页上,选择“创建”。 新配置文件将显示在配置文件列表中。
备注
对于在监督模式下运行 iOS/iPadOS () 的设备,可以使用称为 ControlFilter 配置文件的自定义 .mobileconfig 配置文件。 此配置文件启用 Web 保护 ,而无需在设备上设置本地环回 VPN。 这为最终用户提供了无缝体验,同时仍受到网络钓鱼和其他基于 Web 的攻击的保护。
但是,由于平台限制, ControlFilter 配置文件不适用于 Always-On VPN (AOVPN) 。
管理员部署任意一个给定的配置文件。
零接触 (静默) 控制筛选器 - 此配置文件为用户启用无提示载入。 从 ControlFilterZeroTouch 下载配置文件
控件筛选器 - 从 ControlFilter 下载配置文件。
下载配置文件后,部署自定义配置文件。 请按照以下步骤操作:
导航到 “设备>”“iOS/iPadOS>配置文件>”“创建配置文件”。
选择 “配置文件类型>模板” 和 “模板名称>自定义”。
提供配置文件的名称。 当系统提示导入配置文件时,请选择从上一步下载的配置文件。
在 “分配” 部分中,选择要应用此配置文件的设备组。 最佳做法是,这应应用于所有托管的 iOS 设备。 选择“下一步”。
备注
Defender for Endpoint 计划 1 和计划 2 都支持创建设备组。
完成后,在“查看 + 创建”页上,选择“创建”。 新配置文件将显示在配置文件列表中。
管理员可以使用零接触 (无提示) 载入或自动载入 VPN,以两种不同的方式自动为用户载入 Defender。
备注
无法在没有用户关联的情况下注册的 iOS 设备上配置零接触 (无用户设备或共享设备) 。
管理员可以将 Microsoft Defender for Endpoint 配置为以无提示方式部署和激活。 在此流中,管理员创建部署配置文件,用户只需收到安装通知。 自动安装 Defender for Endpoint,用户无需打开应用。 按照以下步骤在已注册的 iOS 设备上设置 Defender for Endpoint 的零接触或无提示部署:
在 Intune 管理中心Microsoft,转到 “设备>配置配置文件>”“创建配置文件”。
选择“平台”作为 iOS/iPadOS,选择“配置文件类型”作为“模板”,选择“模板名称”作为“VPN”。 选择“创建”。
键入配置文件的名称,然后选择“ 下一步”。
为“连接类型”选择“ 自定义 VPN ”,并在“ 基本 VPN ”部分中输入以下内容:
- 连接名称 = Microsoft Defender for Endpoint
- VPN 服务器地址 = 127.0.0.1
- Auth 方法 = “用户名和密码”
- 拆分隧道 = 禁用
- VPN 标识符 = com.microsoft.scmx
- 在键值对中,输入键 SilentOnboard 并将值设置为 True。
- 自动 VPN 类型 = 按需 VPN
- 选择“按需规则的添加”,然后选择“我想要执行以下操作= 连接 VPN,我想将 限制为 = 所有域。
- 若要强制无法在用户设备中禁用 VPN,管理员可以从“阻止用户禁用自动 VPN”中选择“是”。 默认情况下,它未配置,用户只能在“设置”中禁用 VPN。
- 若要允许用户从应用内更改 VPN 切换,请在键值对中添加 EnableVPNToggleInApp = TRUE。 默认情况下,用户无法从应用内更改切换。
选择“ 下一步 ”,并将配置文件分配给目标用户。
在 “查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。
完成上述配置并与设备同步后, () 的目标 iOS 设备上将执行以下操作:
- Microsoft Defender for Endpoint 将部署并无提示加入,并且设备将在 Defender for Endpoint 门户中看到。
- 临时通知将发送到用户设备。
- 将激活 Web 保护和其他功能。
备注
- 零接触设置可能需要长达 5 分钟才能在后台完成。
- 对于受监督的设备,管理员可以使用 ZeroTouch 控件筛选器配置文件设置 Zero Touch 加入。 不会在设备上安装 Defender for Endpoint VPN 配置文件,并且 Web 保护将由控制筛选器配置文件提供。
备注
此步骤通过设置 VPN 配置文件来简化载入过程。 如果使用 Zero touch,则无需执行此步骤。
对于非监督设备,VPN 用于提供 Web 保护功能。 这不是常规 VPN,是本地/自循环 VPN,不会将流量带到设备外部。
管理员可以配置 VPN 配置文件的自动设置。 这会自动设置 Defender for Endpoint VPN 配置文件,而无需用户在载入时执行此操作。
在 Intune 管理中心Microsoft,转到 “设备>配置配置文件>”“创建配置文件”。
选择 “平台 ”作为 “iOS/iPadOS ”,选择 “配置文件类型 ”作为 “VPN”。 单击“创建”。
键入配置文件的名称,然后单击“ 下一步”。
为“连接类型”选择“ 自定义 VPN ”,并在“ 基本 VPN ”部分中输入以下内容:
连接名称 = Microsoft Defender for Endpoint
VPN 服务器地址 = 127.0.0.1
Auth 方法 = “用户名和密码”
拆分隧道 = 禁用
VPN 标识符 = com.microsoft.scmx
在键值对中,输入键 AutoOnboard 并将值设置为 True。
自动 VPN 类型 = 按需 VPN
选择“按需规则的添加”,然后选择“我想要执行以下操作= 连接 VPN,我想将 限制为 = 所有域。
若要要求无法在用户的设备上禁用该 VPN,管理员可以从“阻止用户禁用自动 VPN”中选择“是”。 默认情况下,此设置未配置,用户只能在“设置”中禁用 VPN。
若要允许用户从应用内更改 VPN 切换,请在键值对中添加 EnableVPNToggleInApp = TRUE。 默认情况下,用户无法从应用内更改切换。
单击“ 下一步 ”,并将配置文件分配给目标用户。
在 “查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。
Microsoft可以使用以下步骤在 Intune 用户注册设备上部署 Defender iOS 应用。
在 Intune 中设置用户注册配置文件。 Intune 支持使用公司门户进行帐户驱动的 Apple 用户注册和 Apple 用户注册。 详细了解这两种方法的 比较 ,并选择其中一种方法。
设置 SSO 插件。 使用 SSO 扩展的 Authenticator 应用是 iOS 设备中用户注册的先决条件。
- 在 Intune 中创建是设备配置文件 - 使用 MDM 配置 iOS/iPadOS Enterprise SSO 插件 |Microsoft Learn。
- 请确保在上述配置中添加这两个密钥:
- 应用捆绑包 ID:在此列表 com.microsoft.scmx 中包含 Defender 应用包 ID
- 其他配置:密钥 - device_registration ;Type - String ;值 - {{DEVICEREGISTRATION}}
为用户注册设置 MDM 密钥。
- 在 Intune 中,转到“转到应用”应用 > 配置策略 > “”添加 > 托管设备”
- 为策略命名,选择“平台 > iOS/iPadOS”
- 选择“Microsoft Defender for Endpoint”作为目标应用。
- 在“设置”页中,选择“使用配置设计器”,并将 UserEnrolmentEnabled 添加为键,将值类型添加为 “字符串”,将值添加为 “True”。
管理员可以从 Intune 推送 Defender 作为所需的 VPP 应用。
Defender 应用将安装到用户的设备中。 用户登录并完成载入。 设备成功载入后,它将在 Defender 安全门户的“设备清单”下显示。
- 支持 Defender for Endpoint iOS 的所有当前功能,例如 Web 保护、网络保护、越狱检测、OS 和应用中的漏洞、Defender 安全门户中的警报和合规性策略。
- 用户注册不支持零接触 (无提示) 部署和自动载入 VPN,因为管理员无法使用用户注册推送设备范围的 VPN 配置文件。
- 对于应用的漏洞管理,只有工作配置文件中的应用才可见。
- 如果符合性策略针对,新加入的设备可能需要长达 10 分钟才能合规。
- 详细了解 用户注册限制和功能。
在设备上安装 iOS 上的 Defender for Endpoint 后,你将看到应用图标。
点击 msDefender) (Defender for Endpoint 应用图标,然后按照屏幕上的说明完成载入步骤。 详细信息包括最终用户接受 iOS 上的 Defender for Endpoint 所需的 iOS 权限。
备注
如果配置零接触 (无提示) 载入,请跳过此步骤。 如果配置了无提示 (无提示) 载入,则不需要手动启动应用程序。
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。