使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Microsoft Defender

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本主題描述如何在已註冊 Intune 公司入口網站的裝置上,於iOS上部署適用於端點的Defender Microsoft。 如需Microsoft Intune 裝置註冊的詳細資訊,請參閱 在Intune 中註冊iOS/iPadOS裝置

開始之前

  • 確定您可以存取 Microsoft Intune 系統管理中心

  • 確定已為您的使用者完成 iOS 註冊。 用戶必須獲指派適用於端點的Defender授權,才能在iOS上使用適用於端點的Defender。 如需如何指 派授權的 指示,請參閱將授權指派給使用者。

  • 確定終端使用者已安裝公司入口網站應用程式、登入並完成註冊。

注意

Microsoft適用於 iOS 上的端點 Defender 可在 Apple App Store 中取得

本節涵蓋:

  1. 部署步驟 (適用於受 監督不受監督 的裝置) - 系統管理員可以透過 Microsoft Intune 公司入口網站在 iOS 上部署適用於端點的 Defender。 VPP (大量採購) 應用程式不需要此步驟。

  2. 僅針對受監督的裝置完成部署 () - 系統管理員可以選擇部署任何一個指定的配置檔。

    1. 零觸控 (無訊息) 控件篩選 器 - 提供 Web 保護,而不需要本機回送 VPN,也會為使用者啟用無訊息上線。 應用程式會自動安裝和啟用,而不需要使用者開啟應用程式。
    2. 控制元件篩選 - 提供不含本機回送 VPN 的 Web 保護。
  3. 針對 非監督 式裝置 (自動上線設定) - 系統管理員可以使用兩種不同的方式,將適用於端點的 Defender 上線自動化:

    1. 零觸控 (無訊息) 上 線 - 應用程式會自動安裝並啟用,而不需要使用者開啟應用程式。
    2. VPN 的自動上 線 - 適用於端點的 Defender VPN 配置檔會自動設定,而不需要使用者在上線期間執行此動作。 不建議在零觸控設定中執行此步驟。
  4. 用戶註冊設定 (僅適用於 Intune 用戶註冊裝置) - 系統管理員也可以在 Intune 用戶註冊裝置上部署和設定適用於端點的 Defender 應用程式。

  5. 完成上線並檢查狀態 - 此步驟適用於所有註冊類型,以確保應用程式已安裝在裝置上、已完成上線,且裝置可在 Microsoft Defender 入口網站中顯示。 您可以略過零觸控 (無訊息) 上線。

部署步驟 (適用於受監督和不受監督的裝置)

透過 Microsoft Intune 公司入口網站在 iOS 上部署適用於端點的 Defender。

新增 iOS 市集應用程式

  1. Microsoft Intune 系統管理中心,移至 [應用程式>iOS/iPadOS>新增>iOS 市集應用程式] ,然後按兩下 [ 選取]

    Microsoft Intune 系統管理中心的 [新增應用程式] 索引標籤

  2. 在 [ 新增應用程式] 頁面上,單擊 [搜尋 App Store] ,然後在搜尋列中輸入 Microsoft Defender ]。 在 [搜尋結果] 區段中,按兩下 [Microsoft Defender ],然後按兩下 [ 選取]

  3. 取 [iOS 15.0] 作為 [最小操作系統]。 檢閱應用程式的其餘資訊,然後按 [ 下一步]

  4. 在 [ 指派] 區 段中,移至 [ 必要] 區段,然後選取 [ 新增群組]。 然後,您可以選擇要在 iOS 應用程式上以適用於端點的 Defender 為目標的使用者群組 () 。 依 序按兩下 [選取 ] 和 [ 下一步]

    注意

    選取的使用者群組應該包含Microsoft已註冊的 Intune 使用者。

    Microsoft Intune 系統管理中心的 [新增群組] 索引標籤

  5. 在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]。 在幾分鐘內,應該會成功建立適用於端點的 Defender 應用程式,且通知應該會顯示在頁面右上角。

  6. 在顯示的應用程式資訊頁面中,選取 [ 監視] 區段中的 [ 裝置安裝狀態 ],以確認裝置安裝已順利完成。

    [裝置安裝狀態] 頁面

完成受監督裝置的部署

iOS 應用程式上適用於端點的 Microsoft Defender 在受監督的 iOS/iPadOS 裝置上具有特殊功能,因為平臺在這些類型的裝置上提供更高的管理功能。 它也可以提供 Web 保護, 而不需要在裝置上設定本機 VPN。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。

系統管理員可以使用下列步驟來設定受監督的裝置。

透過 Microsoft Intune 設定受監督模式

透過應用程式設定原則和裝置組態配置檔,設定適用於端點的 Defender 應用程式受監督模式。

應用程式設定原則

注意

受監督裝置的此應用程式設定原則僅適用於受管理的裝置,應以所有受控 iOS 裝置為目標,作為最佳做法。

  1. 登入 Microsoft Intune 系統管理中心 ,並移至 [應用程式>應用程式設定原則>新增]。 選 取 [受控裝置]

    Microsoft Intune 系統管理中心 4 的影像。

  2. 在 [ 建立應用程式設定原則 ] 頁面中,提供下列資訊:

    • 原則名稱
    • 平台:選取 iOS/iPadOS
    • 目標應用程式:從清單中選Microsoft適用於端點的Defender

    Microsoft Intune 系統管理中心 5 的影像。

  3. 在下一個畫面中,選取 [ 使用設定設計工具 作為格式]。 指定下列屬性:

    • 設定金鑰: issupervised
    • 值類型:字串
    • 組態值: {{issupervised}}

    Microsoft Intune 系統管理中心6 的影像。

  4. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

  5. [指派] 頁面上,選取將接收此設定檔的群組。 在此案例中,最佳做法是以 所有裝置為目標。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    部署至使用者群組時,用戶必須在套用原則之前登入裝置。

    按一下[下一步]

  6. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

控制篩選器 (裝置組態配置檔)

注意

針對在受監督模式) 中執行 iOS/iPadOS (的裝置,會有自定義 的 .mobileconfig 配置檔,稱為 ControlFilter 配置檔可用。 此設定檔可啟用 Web 保護 ,而不需要在裝置上設定本機回送 VPN。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。

不過,由於平臺限制, ControlFilter 配置檔無法與 Always-On VPN (AOVPN) 搭配使用。

系統管理員會部署任何一個指定的配置檔。

  1. 零觸控 (無訊息) 控件篩選 器 - 此配置檔可為使用者啟用無訊息上線。 從 ControlFilterZeroTouch 下載組態配置檔

  2. 控件篩選 - 從 ControlFilter 下載組態設定檔。

下載設定檔之後,請部署自定義配置檔。 請遵循下列步驟:

  1. 流覽至 [裝置>] iOS/iPadOS>組態配置檔 [>建立配置檔]

  2. 取 [配置檔類型>範本 ] 和 [ 範本名稱>自定義]

    Microsoft Intune 系統管理中心的影像7。

  3. 提供配置檔的名稱。 當系統提示您匯入組態配置檔案時,請選取從上一個步驟下載的配置檔。

  4. 在 [ 指派] 區段中,選取您要套用此配置檔的裝置群組。 最佳做法是,這應該套用至所有受控 iOS 裝置。 選取 [下一步]

    注意

    適用於端點的Defender方案1和方案2都支援裝置群組建立。

  5. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

僅針對非監督式裝置 (自動上線設定)

系統管理員可以使用無接觸 (無訊息) 上線或 VPN 的自動上線,以兩種不同的方式將使用者的 Defender 上線自動化。

Microsoft Defender for Endpoint 的無接觸 (無訊息) 上線

注意

在未註冊用戶親和性的 iOS 裝置上,無法設定零觸控 (無使用者裝置或共用裝置) 。

系統管理員可以設定適用於端點的 Microsoft Defender,以無訊息方式部署和啟用。 在此流程中,系統管理員會建立部署配置檔,而使用者只會收到安裝通知。 適用於端點的Defender會自動安裝,而不需要使用者開啟應用程式。 請遵循下列步驟,在已註冊的 iOS 裝置上設定適用於端點的 Defender 零觸控或無訊息部署:

  1. Microsoft Intune 系統管理中心,移至 [裝置>組態配置檔] [建立配置>檔]。

  2. 選擇 [平臺 ] 作為 [iOS/iPadOS], [配置檔類型 ] 作為 [範本 ],並選擇 [範本名稱 ] 作為 [VPN]。 選取 [建立]

  3. 輸入配置檔的名稱,然後選取 [ 下一步]

  4. 針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:

    • 線上名稱 = Microsoft適用於端點的 Defender
    • VPN 伺服器位址 = 127.0.0.1
    • 驗證方法 = “Username and password”
    • 分割通道 = 停用
    • VPN 標識符 = com.microsoft.scmx
    • 在機碼/值組中,輸入 SilentOnboard 鍵,並將值設定為 True
    • 自動 VPN 類型 = 隨選 VPN
    • 選取 [新增選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN我想要限制為 = 所有網域]

    [VPN 設定檔組態] 頁面

    • 若要要求無法在用戶裝置中停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN] 中選取 []。 根據預設,不會進行設定,而且使用者只能在 [設定] 中停用 VPN。
    • 若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設,用戶無法從應用程式內變更切換。
  5. 取 [下一步 ],並將配置檔指派給目標使用者。

  6. 在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]

完成上述設定並與裝置同步處理之後,目標 iOS 裝置 () 上會執行下列動作:

  • Microsoft將部署適用於端點的 Defender 並以無訊息方式上線,且裝置會顯示在適用於端點的 Defender 入口網站中。
  • 暫時通知會傳送至用戶裝置。
  • Web 保護和其他功能將會啟用。

注意

  • 零觸控設定最多可能需要 5 分鐘才能在背景完成。
  • 對於受監督的裝置,系統管理員可以使用 ZeroTouch 控件篩選配置檔來設定零觸控上線。 適用於端點的 Defender VPN 設定檔將不會安裝在裝置上,而 Web 保護將由控件篩選配置檔提供。

VPN 配置檔的自動上線 (簡化的上線)

注意

此步驟會藉由設定 VPN 設定檔來簡化上線程式。 如果您使用零觸控,則不需要執行此步驟。

針對不受監督的裝置,會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN,而且是本機/自我循環 VPN,不會將流量帶出裝置。

系統管理員可以設定 VPN 設定檔的自動設定。 這會自動設定適用於端點的 Defender VPN 配置檔,而不會讓使用者在上線時這麼做。

  1. Microsoft Intune 系統管理中心,移至 [裝置>組態配置檔] [建立配置>檔]。

  2. 選擇 [平臺 ] 作為 [iOS/iPadOS ],並 選擇 [配置檔類型 ] 作為 [VPN]。 按一下 [建立]

  3. 輸入配置檔的名稱,然後按 [ 下一步]

  4. 針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:

    • 線上名稱 = Microsoft適用於端點的 Defender

    • VPN 伺服器位址 = 127.0.0.1

    • 驗證方法 = “Username and password”

    • 分割通道 = 停用

    • VPN 標識符 = com.microsoft.scmx

    • 在機碼/值組中,輸入機碼 AutoOnboard ,並將值設定為 True

    • 自動 VPN 類型 = 隨選 VPN

    • 選取 [新增選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN我想要限制為 = 所有網域]

      [VPN 設定檔組態設定] 索引標籤。

    • 若要要求無法在使用者的裝置上停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN] 中選取 []。 根據預設,此設定未設定,且使用者只能在 [設定] 中停用 VPN。

    • 若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設,用戶無法從應用程式內變更切換。

  5. [下一步] ,並將配置檔指派給目標使用者。

  6. 在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]

僅針對 Intune 用戶註冊裝置 (用戶註冊設定)

Microsoft可使用下列步驟,在 Intune 用戶註冊裝置上部署 Defender iOS 應用程式。

系統管理員

  1. 在 Intune 中設定用戶註冊配置檔。 Intune 支援使用公司入口網站進行帳戶驅動的 Apple 用戶註冊和 Apple 用戶註冊。 深入瞭解這兩種方法的 比較 ,然後選取一個。

  2. 設定 SSO 外掛程式。 具有 SSO 擴充功能的驗證器應用程式是 iOS 裝置中用戶註冊的必要條件。

    • 在 Intune 中建立裝置組態設定檔 - 使用 MDM 設定 iOS/iPadOS Enterprise SSO 外掛程式 |Microsoft Learn。
    • 請務必在上述組態中新增這兩個金鑰:
    • 應用程式套件組合標識碼:在此清單 com.microsoft.scmx 中包含Defender 應用程式套件組合標識碼
    • 其他設定:金鑰 - device_registration ;類型 - 字串 ;Value- {{DEVICEREGISTRATION}}
  3. 設定用戶註冊的 MDM 金鑰。

    • 在 Intune 中,移至 [移至應用程式 > ] [應用程式設定原則 > ] [新增 > 受控裝置]
    • 為原則命名,選取 [平臺 > iOS/iPadOS]。
    • 選Microsoft適用於端點的Defender作為目標應用程式。
    • 在 [設定] 頁面中,選取 [使用組態設計工具],並將 UserEnrolmentEnabled 新增為索引鍵、值類型為 String,值為 True
  4. 系統管理員可以從 Intune 將 Defender 推送為必要的 VPP 應用程式。

終端使用者

Defender 應用程式會安裝到用戶的裝置中。 使用者登入並完成上線。 一旦裝置成功上線,它就會顯示在Defender安全性入口網站的 [裝置清查] 底下。

支援的功能和限制

  1. 支援適用於端點的 Defender iOS 的所有目前功能,例如 Web 保護、網路保護、越獄偵測、OS 和應用程式中的弱點、Defender 安全性入口網站中的警示和合規性原則。
  2. 用戶註冊不支援零觸控 (無訊息) 部署和自動上架 VPN,因為系統管理員無法使用使用者註冊來推送裝置範圍的 VPN 配置檔。
  3. 針對應用程式的弱點管理,只會顯示工作配置檔中的應用程式。
  4. 如果是合規性政策的目標,則新上線的裝置最多可能需要 10 分鐘的時間才會符合規範。
  5. 深入了解 用戶註冊限制和功能

完成上線並檢查狀態

  1. 在裝置上安裝適用於端點的 Defender 之後,您會看到應用程式圖示。

  2. 點選適用於端點的Defender應用程式圖示 (MSDefender) ,並遵循畫面上的指示來完成上線步驟。 詳細數據包括使用者接受 iOS 上適用於端點的 Defender 所需的 iOS 許可權。

注意

如果您設定無接觸 (無訊息) 上線,請略過此步驟。 如果已設定無接觸 (無訊息) 上線,就不需要手動啟動應用程式。

  1. 成功上線后,裝置會開始顯示在 Microsoft Defender 入口網站的 [裝置] 清單上。

    [裝置清查] 頁面。

後續步驟

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。