使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Microsoft Defender
本文內容
開始之前
部署步驟 (適用於受監督和不受監督的裝置)
完成受監督裝置的部署
僅針對非監督式裝置 (自動上線設定)
僅針對 Intune 用戶註冊裝置 (用戶註冊設定)
完成上線並檢查狀態
後續步驟
顯示其他 3 個
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎?
注册免費試用版。
本主題描述如何在已註冊 Intune 公司入口網站的裝置上,於iOS上部署適用於端點的Defender Microsoft。 如需Microsoft Intune 裝置註冊的詳細資訊,請參閱 在Intune 中註冊iOS/iPadOS裝置 。
確定您可以存取 Microsoft Intune 系統管理中心 。
確定已為您的使用者完成 iOS 註冊。 用戶必須獲指派適用於端點的Defender授權,才能在iOS上使用適用於端點的Defender。 如需如何指 派授權的 指示,請參閱將授權指派給使用者。
確定終端使用者已安裝公司入口網站應用程式、登入並完成註冊。
本節涵蓋:
部署步驟 (適用於受 監督 和 不受監督 的裝置) - 系統管理員可以透過 Microsoft Intune 公司入口網站在 iOS 上部署適用於端點的 Defender。 VPP (大量採購) 應用程式不需要此步驟。
僅針對受監督的裝置完成部署 () - 系統管理員可以選擇部署任何一個指定的配置檔。
零觸控 (無訊息) 控件篩選 器 - 提供 Web 保護,而不需要本機回送 VPN,也會為使用者啟用無訊息上線。 應用程式會自動安裝和啟用,而不需要使用者開啟應用程式。
控制元件篩選 - 提供不含本機回送 VPN 的 Web 保護。
僅 針對 非監督 式裝置 (自動上線設定) - 系統管理員可以使用兩種不同的方式,將適用於端點的 Defender 上線自動化:
零觸控 (無訊息) 上 線 - 應用程式會自動安裝並啟用,而不需要使用者開啟應用程式。
VPN 的自動上 線 - 適用於端點的 Defender VPN 配置檔會自動設定,而不需要使用者在上線期間執行此動作。 不建議在零觸控設定中執行此步驟。
用戶註冊設定 (僅適用於 Intune 用戶註冊裝置) - 系統管理員也可以在 Intune 用戶註冊裝置上部署和設定適用於端點的 Defender 應用程式。
完成上線並檢查狀態 - 此步驟適用於所有註冊類型,以確保應用程式已安裝在裝置上、已完成上線,且裝置可在 Microsoft Defender 入口網站中顯示。 您可以略過零觸控 (無訊息) 上線。
透過 Microsoft Intune 公司入口網站在 iOS 上部署適用於端點的 Defender。
在 Microsoft Intune 系統管理中心 ,移至 [應用程式 >iOS/iPadOS >新增 >iOS 市集應用程式] ,然後按兩下 [ 選取] 。
在 [ 新增應用程式] 頁面上,單擊 [搜尋 App Store] ,然後在搜尋列中輸入 Microsoft Defender ]。 在 [搜尋結果] 區段中,按兩下 [Microsoft Defender ],然後按兩下 [ 選取] 。
選 取 [iOS 15.0] 作為 [最小操作系統]。 檢閱應用程式的其餘資訊,然後按 [ 下一步] 。
在 [ 指派] 區 段中,移至 [ 必要] 區段,然後選取 [ 新增群組] 。 然後,您可以選擇要在 iOS 應用程式上以適用於端點的 Defender 為目標的使用者群組 () 。 依 序按兩下 [選取 ] 和 [ 下一步] 。
注意
選取的使用者群組應該包含Microsoft已註冊的 Intune 使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立] 。 在幾分鐘內,應該會成功建立適用於端點的 Defender 應用程式,且通知應該會顯示在頁面右上角。
在顯示的應用程式資訊頁面中,選取 [ 監視] 區段中的 [ 裝置安裝狀態 ],以確認裝置安裝已順利完成。
iOS 應用程式上適用於端點的 Microsoft Defender 在受監督的 iOS/iPadOS 裝置上具有特殊功能,因為平臺在這些類型的裝置上提供更高的管理功能。 它也可以提供 Web 保護, 而不需要在裝置上設定本機 VPN 。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。
系統管理員可以使用下列步驟來設定受監督的裝置。
透過應用程式設定原則和裝置組態配置檔,設定適用於端點的 Defender 應用程式受監督模式。
注意
受監督裝置的此應用程式設定原則僅適用於受管理的裝置,應以所有受控 iOS 裝置為目標,作為最佳做法。
登入 Microsoft Intune 系統管理中心 ,並移至 [應用程式 >應用程式設定原則 >新增] 。 選 取 [受控裝置] 。
在 [ 建立應用程式設定原則 ] 頁面中,提供下列資訊:
原則名稱
平台:選取 iOS/iPadOS
目標應用程式:從清單中選Microsoft適用於端點的Defender
在下一個畫面中,選取 [ 使用設定設計工具 作為格式]。 指定下列屬性:
設定金鑰: issupervised
值類型:字串
組態值: {{issupervised}}
選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 在此案例中,最佳做法是以 所有裝置 為目標。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔 。
部署至使用者群組時,用戶必須在套用原則之前登入裝置。
按一下[下一步] 。
完成後,在 [檢閱及建立] 頁面上選擇 [建立] 。 新的設定檔會在組態設定檔清單中顯示。
注意
針對在受監督模式) 中執行 iOS/iPadOS (的裝置,會有自定義 的 .mobileconfig 配置檔,稱為 ControlFilter 配置檔可用。 此設定檔可啟用 Web 保護 ,而不需要在裝置上設定本機回送 VPN 。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。
不過,由於平臺限制, ControlFilter 配置檔無法與 Always-On VPN (AOVPN) 搭配使用。
系統管理員會部署任何一個指定的配置檔。
零觸控 (無訊息) 控件篩選 器 - 此配置檔可為使用者啟用無訊息上線。 從 ControlFilterZeroTouch 下載組態配置檔
控件篩選 - 從 ControlFilter 下載組態設定檔。
下載設定檔之後,請部署自定義配置檔。 請遵循下列步驟:
流覽至 [裝置 >] iOS/iPadOS >組態配置檔 [ >建立配置檔] 。
選 取 [配置檔類型 >範本 ] 和 [ 範本名稱 >自定義] 。
提供配置檔的名稱。 當系統提示您匯入組態配置檔案時,請選取從上一個步驟下載的配置檔。
在 [ 指派] 區段中,選取您要套用此配置檔的裝置群組。 最佳做法是,這應該套用至所有受控 iOS 裝置。 選取 [下一步] 。
注意
適用於端點的Defender方案1和方案2都支援裝置群組建立。
完成後,在 [檢閱及建立] 頁面上選擇 [建立] 。 新的設定檔會在組態設定檔清單中顯示。
系統管理員可以使用無接觸 (無訊息) 上線或 VPN 的自動上線,以兩種不同的方式將使用者的 Defender 上線自動化。
Microsoft Defender for Endpoint 的無接觸 (無訊息) 上線
注意
在未註冊用戶親和性的 iOS 裝置上,無法設定零觸控 (無使用者裝置或共用裝置) 。
系統管理員可以設定適用於端點的 Microsoft Defender,以無訊息方式部署和啟用。 在此流程中,系統管理員會建立部署配置檔,而使用者只會收到安裝通知。 適用於端點的Defender會自動安裝,而不需要使用者開啟應用程式。 請遵循下列步驟,在已註冊的 iOS 裝置上設定適用於端點的 Defender 零觸控或無訊息部署:
在 Microsoft Intune 系統管理中心 ,移至 [裝置 >組態配置檔 ] [建立配置 >檔]。
選擇 [平臺 ] 作為 [iOS/iPadOS ], [配置檔類型 ] 作為 [範本 ],並選擇 [範本名稱 ] 作為 [VPN] 。 選取 [建立] 。
輸入配置檔的名稱,然後選取 [ 下一步] 。
針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:
線上名稱 = Microsoft適用於端點的 Defender
VPN 伺服器位址 = 127.0.0.1
驗證方法 = “Username and password”
分割通道 = 停用
VPN 標識符 = com.microsoft.scmx
在機碼/值組中,輸入 SilentOnboard 鍵,並將值設定為 True 。
自動 VPN 類型 = 隨選 VPN
選取 [新增 隨 選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN , 我想要限制為 = 所有網域] 。
若要要求無法在用戶裝置中停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN ] 中選取 [是 ]。 根據預設,不會進行設定,而且使用者只能在 [設定] 中停用 VPN。
若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE 。 根據預設,用戶無法從應用程式內變更切換。
選 取 [下一步 ],並將配置檔指派給目標使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立] 。
完成上述設定並與裝置同步處理之後,目標 iOS 裝置 () 上會執行下列動作:
Microsoft將部署適用於端點的 Defender 並以無訊息方式上線,且裝置會顯示在適用於端點的 Defender 入口網站中。
暫時通知會傳送至用戶裝置。
Web 保護和其他功能將會啟用。
注意
零觸控設定最多可能需要 5 分鐘才能在背景完成。
對於受監督的裝置,系統管理員可以使用 ZeroTouch 控件篩選配置檔 來設定零觸控上線。 適用於端點的 Defender VPN 設定檔將不會安裝在裝置上,而 Web 保護將由控件篩選配置檔提供。
注意
此步驟會藉由設定 VPN 設定檔來簡化上線程式。 如果您使用零觸控,則不需要執行此步驟。
針對不受監督的裝置,會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN,而且是本機/自我循環 VPN,不會將流量帶出裝置。
系統管理員可以設定 VPN 設定檔的自動設定。 這會自動設定適用於端點的 Defender VPN 配置檔,而不會讓使用者在上線時這麼做。
在 Microsoft Intune 系統管理中心 ,移至 [裝置 >組態配置檔 ] [建立配置 >檔]。
選擇 [平臺 ] 作為 [iOS/iPadOS ],並 選擇 [配置檔類型 ] 作為 [VPN] 。 按一下 [建立] 。
輸入配置檔的名稱,然後按 [ 下一步] 。
針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:
線上名稱 = Microsoft適用於端點的 Defender
VPN 伺服器位址 = 127.0.0.1
驗證方法 = “Username and password”
分割通道 = 停用
VPN 標識符 = com.microsoft.scmx
在機碼/值組中,輸入機碼 AutoOnboard ,並將值設定為 True 。
自動 VPN 類型 = 隨選 VPN
選取 [新增 隨 選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN , 我想要限制為 = 所有網域] 。
若要要求無法在使用者的裝置上停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN ] 中選取 [是 ]。 根據預設,此設定未設定,且使用者只能在 [設定] 中停用 VPN。
若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE 。 根據預設,用戶無法從應用程式內變更切換。
按 [下一步] ,並將配置檔指派給目標使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立] 。
僅針對 Intune 用戶註冊裝置 (用戶註冊設定 )
Microsoft可使用下列步驟,在 Intune 用戶註冊裝置上部署 Defender iOS 應用程式。
在 Intune 中設定用戶註冊配置檔。 Intune 支援使用公司入口網站進行帳戶驅動的 Apple 用戶註冊和 Apple 用戶註冊。 深入瞭解這兩種方法的 比較 ,然後選取一個。
設定 SSO 外掛程式。 具有 SSO 擴充功能的驗證器應用程式是 iOS 裝置中用戶註冊的必要條件。
在 Intune 中建立裝置組態設定檔 - 使用 MDM 設定 iOS/iPadOS Enterprise SSO 外掛程式 |Microsoft Learn。
請務必在上述組態中新增這兩個金鑰:
應用程式套件組合標識碼:在此清單 com.microsoft.scmx 中包含Defender 應用程式套件組合標識碼
其他設定:金鑰 - device_registration ;類型 - 字串 ;Value- {{DEVICEREGISTRATION}}
設定用戶註冊的 MDM 金鑰。
在 Intune 中,移至 [移至應用程式 > ] [應用程式設定原則 > ] [新增 > 受控裝置]
為原則命名,選取 [平臺 > iOS/iPadOS]。
選Microsoft適用於端點的Defender作為目標應用程式。
在 [設定] 頁面中,選取 [使用組態設計工具],並將 UserEnrolmentEnabled 新增為索引鍵、值類型為 String ,值為 True 。
系統管理員可以從 Intune 將 Defender 推送為必要的 VPP 應用程式。
Defender 應用程式會安裝到用戶的裝置中。 使用者登入並完成上線。 一旦裝置成功上線,它就會顯示在Defender安全性入口網站的 [裝置清查] 底下。
支援適用於端點的 Defender iOS 的所有目前功能,例如 Web 保護、網路保護、越獄偵測、OS 和應用程式中的弱點、Defender 安全性入口網站中的警示和合規性原則。
用戶註冊不支援零觸控 (無訊息) 部署和自動上架 VPN,因為系統管理員無法使用使用者註冊來推送裝置範圍的 VPN 配置檔。
針對應用程式的弱點管理,只會顯示工作配置檔中的應用程式。
如果是合規性政策的目標,則新上線的裝置最多可能需要 10 分鐘的時間才會符合規範。
深入了解 用戶註冊限制和功能 。
在裝置上安裝適用於端點的 Defender 之後,您會看到應用程式圖示。
點選適用於端點的Defender應用程式圖示 (MSDefender) ,並遵循畫面上的指示來完成上線步驟。 詳細數據包括使用者接受 iOS 上適用於端點的 Defender 所需的 iOS 許可權。
注意
如果您設定無接觸 (無訊息) 上線,請略過此步驟。 如果已設定無接觸 (無訊息) 上線,就不需要手動啟動應用程式。
成功上線后,裝置會開始顯示在 Microsoft Defender 入口網站的 [裝置] 清單上。