設定 iOS 上適用於端點的 Microsoft Defender 功能

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

適用於 iOS 上的適用於端點的 Defender 會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN,而且是本機/自我循環 VPN,不會將流量帶出裝置。

在 iOS 上使用適用於端點的 Defender 的條件式存取

在 iOS 上 適用於端點的 Microsoft Defender,以及 Microsoft Intune 和 Microsoft Entra ID 可根據裝置風險分數強制執行裝置合規性和條件式存取原則。 適用於端點的 Defender 是 Mobile Threat Defense (MTD) 解決方案,您可以透過 Intune 部署以使用此功能。

如需如何在 iOS 上使用適用於端點的 Defender 設定條件式存取的詳細資訊,請參閱適用於端點和 Intune 的 Defender

Web 保護和 VPN

根據預設,iOS 上適用於端點的 Defender 會包含並啟用 Web 保護功能。 Web 保護 有助於保護裝置免於遭受 Web 威脅,並保護使用者免於遭受網路釣魚攻擊。 Web 保護支援 URL 和網域) (防網路釣魚和自定義指標。 iOS 目前不支援以IP為基礎的自訂指標。 Android 和 iOS) (行動平臺目前不支援 Web 內容篩選。

iOS 上適用於端點的 Defender 會使用 VPN 來提供這項功能。 請注意,VPN 是本機的,不同於傳統的 VPN,網路流量不會傳送到裝置外部。

雖然預設會啟用,但在某些情況下,您可能會需要停用 VPN。 例如,您想要執行一些在設定 VPN 時無法運作的應用程式。 在這種情況下,您可以遵循下列步驟,選擇從裝置上的應用程式停用 VPN:

  1. 在您的 iOS 裝置上,開啟 [設定] 應用程式,選取 [ 一般 ],然後選取 [VPN]

  2. 選取 [i] 按鈕以 適用於端點的 Microsoft Defender。

  3. 關閉 [隨 選連線 ] 以停用 VPN。

    VPN 設定 [隨選連線] 選項的切換按鈕

注意事項

停用 VPN 時無法使用 Web 保護。 若要重新啟用 Web 保護,請在裝置上開啟 適用於端點的 Microsoft Defender 應用程式,然後按兩下或點選 [啟動 VPN]

停用 Web 保護

Web 保護是適用於端點的 Defender 的主要功能之一,需要 VPN 才能提供該功能。 使用的 VPN 是本機/回送 VPN,而不是傳統的 VPN,不過,客戶可能不偏好 VPN 的原因有很多。 不想要設定 VPN 的客戶可以選擇停用 Web 保護 ,並部署無該功能的適用於端點的 Defender。 其他適用於端點的Defender功能會繼續運作。

此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊 (MAM) 裝置。 對於具有 MDM 的客戶,系統管理員可以透過應用程式組態中的受控裝置來設定 Web 保護 。對於沒有註冊的客戶,系統管理員可以使用 MAM 透過應用程式組態中的受控應用程式來設定 Web 保護

設定 Web 保護

  1. 停用 MDM (Web 保護) 使用下列步驟來停用已註冊裝置的 Web 保護

    • Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]
    • 為原則命名 為 Platform > iOS/iPadOS
    • 選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
    • 在 [設定] 頁面中,選取 [使用設定設計工具],並將 [WebProtection ] 新增為 [ 字串] 的索引鍵和值類型。
      • 根據預設, WebProtection= true
      • 管理員 必須將 WebProtection = false 設為 false,才能關閉 Web 保護。
      • 每當使用者開啟應用程式時,Defender 就會將活動訊號傳送至 Microsoft Defender 入口網站。
      • 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

  2. 停用 MAM (Web 保護) 使用下列步驟來停用未註冊裝置的 Web 保護

    • Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>Managed 應用程式]
    • 給與原則一個「名稱」。
    • 在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
    • 在 [設定] 頁面的 [一般組態設定] 底下,將 [WebProtection ] 新增為索引鍵,並將值新增為 false
      • 根據預設, WebProtection= true
      • 管理員 必須將 WebProtection = false 設為 false,才能關閉 Web 保護。
      • 每當使用者開啟應用程式時,Defender 就會將活動訊號傳送至 Microsoft Defender 入口網站。
      • 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

設定網路保護

預設會停用端點 Microsoft Defender 中的網路保護。 系統管理員可以使用下列步驟來設定網路保護。 此設定適用於透過 MDM 設定註冊的裝置,以及透過 MAM 設定取消註冊的裝置。

注意事項

只能為 MDM 或 MAM 建立一個網路保護原則。

針對已註冊的裝置 (MDM)

請遵循下列步驟,為已註冊的裝置設定 MDM 設定以進行網路保護。

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則>[新增>受控裝置]

  2. 提供原則的名稱和描述。 在 [ 平臺] 底下,選擇 [iOS/iPad]

  3. 在目標應用程式中,選擇 [適用於端點的 Microsoft Defender]。

  4. 在 [設定] 頁面中,選擇組態設定格式 [使用組態設計工具]

  5. 將 'DefenderNetworkProtectionEnable' 新增為組態索引鍵、將值類型新增為 'String',並將值新增為 'true' 以啟用網络保護。 (預設會停用網路保護。)

    顯示 mdm 設定原則的螢幕快照。

  6. 針對與網路保護相關的其他設定,新增下列索引鍵,選擇對應的實值類型和值。

    機碼 值類型 默認 (true-enable、false-disable) 描述
    DefenderOpenNetworkDetection 整數 0 1 - 稽核,0 - 停用預設) (,2 - 啟用。 此設定是由IT管理員管理,以分別稽核、停用或啟用開放式網路偵測。 在「稽核」模式中,警示只會傳送至 ATP 入口網站,而不會有用戶體驗。 針對用戶體驗,請將設定設為 [啟用] 模式。
    DefenderEndUserTrustFlowEnable 字串 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。
    DefenderNetworkProtectionAutoRemediation 字串 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換到更安全的 WIFI 存取點,或刪除 Defender 偵測到的可疑憑證。
    DefenderNetworkProtectionPrivacy 字串 true - enable, false - disable;此設定由IT系統管理員管理,以在網路保護中啟用或停用隱私權。

  7. 在 [指派] 區段中,系統管理員可以選擇要在原則中包含和排除的使用者群組。

  8. 檢閱並建立設定原則。

針對已取消註冊的裝置, (MAM)

請遵循下列步驟,針對未註冊的裝置設定 MAM 設定,以進行網路保護 (iOS 裝置中的 MAM 組態) 需要驗證器裝置註冊。 網路保護初始化需要用戶開啟應用程式一次。

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>設定>原則][新增>受控應用程式>Create 新的應用程式設定原則

    新增設定原則。

  2. 提供可唯一識別原則的名稱和描述。 然後選取 [選取公用應用程式],然後針對 [平臺 iOS/iPadOS] 選擇 [Microsoft Defender]

    將群組態命名為 。

  3. 在 [設定] 頁面上,新增 DefenderNetworkProtectionEnable 作為索引鍵和值 true ,以啟用網路保護。 (預設會停用網路保護。)

    新增組態值。

  4. 針對與網路保護相關的其他設定,請新增下列索引鍵和對應的適當值。

    機碼 默認 (true - 啟用,false - 停用) 描述
    DefenderOpenNetworkDetection 0 1 - 稽核,0 - 停用預設) (,2 - 啟用。 此設定是由 IT 系統管理員管理,以啟用、稽核或停用開放式網路偵測。 在稽核模式中,警示只會傳送至沒有使用者端體驗的 ATP 入口網站。 針對用戶體驗,請將設定設為 「啟用」模式。
    DefenderEndUserTrustFlowEnable true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。
    DefenderNetworkProtectionAutoRemediation true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換到更安全的 WIFI 存取點,或刪除 Defender 偵測到的可疑憑證。
    DefenderNetworkProtectionPrivacy true - enable, false - disable;此設定由IT系統管理員管理,以在網路保護中啟用或停用隱私權。

  5. 在 [ 指派 ] 區段中,系統管理員可以選擇要在原則中包含和排除的使用者群組。

    指派組態。

  6. 檢閱並建立設定原則。

多個 VPN 設定檔共存

Apple iOS 不支援同時使用多個裝置範圍的 VPN。 雖然裝置上可以有多個 VPN 配置檔,但一次只能有一個 VPN 在作用中。

在應用程式保護原則 (MAM) 中設定 適用於端點的 Microsoft Defender 風險訊號

iOS 上的 適用於端點的 Microsoft Defender 可啟用應用程式保護原則案例。 終端使用者可以直接從 Apple App Store 安裝最新版的應用程式。 請確定裝置已向 Authenticator 註冊,且使用相同的帳戶在 Defender 中上線以成功註冊 MAM。

適用於端點的 Microsoft Defender 可設定為傳送要在應用程式防護原則 (應用程式中使用的威脅訊號,也稱為iOS/iPadOS 上的 MAM) 。 透過這項功能,您也可以使用 適用於端點的 Microsoft Defender 來保護未註冊裝置對公司數據的存取。

請遵循下列連結中的步驟,使用 適用於端點的 Microsoft Defender 在應用程式保護原則中設定 Defender 風險訊號 (MAM)

如需 MAM 或應用程式保護原則的詳細資訊,請參閱 iOS 應用程式保護原則設定

隱私權控制

iOS 上的 適用於端點的 Microsoft Defender 可為系統管理員和使用者啟用隱私權控制。 這包括已註冊的 (MDM) 和已取消註冊的 (MAM) 裝置的控件。

對於具有 MDM 的客戶,系統管理員可以透過應用程式設定中的受控裝置來設定隱私權控制。對於沒有註冊的客戶,系統管理員可以使用 MAM,透過應用程式組態中的受控應用程式來設定隱私權控制。終端使用者也可以從 Defender 應用程式設定設定隱私權設定。

在網路釣魚警示報告中設定隱私權

客戶現在可以針對 iOS 上 適用於端點的 Microsoft Defender 所傳送的網路釣魚報告啟用隱私權控制,如此一來,每當網路釣魚網站被 適用於端點的 Microsoft Defender 偵測到並封鎖時,功能變數名稱就不會包含在網路釣魚警示中。

  1. 管理員 MDM (隱私權控制) 使用下列步驟來啟用隱私權,而不要在已註冊裝置的網路釣魚警示報告中收集功能變數名稱。

    1. Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>受控裝置]

    2. 為原則命名 平臺 > iOS/iPadOS,然後選取配置檔類型。

    3. 取 [適用於端點的 Microsoft Defender] 作為目標應用程式。

    4. 在 [設定] 頁面上,選取 [ 使用設定設計工具 ],然後將 DefenderExcludeURLInReport 新增為 布爾值的索引鍵和值類型。

      • 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為 true ,並將此原則指派給使用者。 根據預設,此值會設定為 false
      • 針對密鑰設定為 true的使用者,每當適用於端點的 Defender 偵測到並封鎖惡意網站時,網路釣魚警示就不會包含功能變數名稱資訊。

    5. 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

  2. 管理員 隱私權控制 (MAM) 使用下列步驟來啟用隱私權,而不要在未註冊裝置的網路釣魚警示報告中收集功能變數名稱。

    1. Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>Managed 應用程式]

    2. 給與原則一個「名稱」。

    3. [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。

    4. 在 [設定] 頁面的 [ 一般組態設定] 底下,將 DefenderExcludeURLInReport 新增為索引鍵,並將值新增為 true

      • 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為 true ,並將此原則指派給使用者。 根據預設,此值會設定為 false
      • 針對密鑰設定為 true的使用者,每當適用於端點的 Defender 偵測到並封鎖惡意網站時,網路釣魚警示就不會包含功能變數名稱資訊。

    5. 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

  3. 終端用戶隱私權控制 這些控制項可協助使用者設定與其組織共用的資訊。

    對於受監督的裝置,不會顯示使用者控件。 您的系統管理員決定並控制設定。 不過,對於非監督式裝置,控件會顯示在 [設定隱私權>] 底下。

    • 使用者會看到 不安全網站資訊的切換。
    • 只有當 管理員 已設定DefenderExcludeURLInReport = true時,才會顯示此切換。
    • 如果由 管理員 啟用,用戶可以決定是否要將不安全的網站資訊傳送給其組織。
    • 根據預設,它會設定為 false。 不會傳送不安全的網站資訊。
    • 如果使用者將它切換為 true,則會傳送不安全的網站詳細數據。

開啟或關閉上述隱私權控制不會影響裝置合規性檢查或條件式存取。

注意事項

在具有組態配置檔的受監督裝置上,適用於端點的 Microsoft Defender 可以存取整個 URL,如果發現網路釣魚,則會封鎖它。 在不受監督的裝置上,適用於端點的 Microsoft Defender 只能存取功能變數名稱,而且如果網域不是網路釣魚 URL,則不會封鎖該網域。

選擇性許可權

iOS 上的 適用於端點的 Microsoft Defender 會在上線流程中啟用選擇性許可權。 目前適用於端點的 Defender 所需的許可權在上線流程中是必要的。 透過這項功能,系統管理員可以在 BYOD 裝置上部署適用於端點的 Defender,而不需要在上線期間強制執行 VPN 許可權。 終端使用者可以在沒有必要許可權的情況下將應用程式上線,稍後可以檢閱這些許可權。 這項功能目前僅適用於已註冊的裝置 (MDM) 。

設定選擇性許可權

  1. 管理員 流程 (MDM) 使用下列步驟來啟用已註冊裝置的選擇性 VPN 許可權。

    • Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>受控裝置]

    • 為原則命名,選取 [平臺 > iOS/iPadOS]

    • 取 [適用於端點的 Microsoft Defender] 作為目標應用程式。

    • 在 [設定] 頁面上,選取 [ 使用設定設計工具 ],並將 DefenderOptionalVPN 新增為索引鍵和值類型作為 布爾值

      • 若要啟用選擇性 VPN 許可權,請輸入 value 作為 true ,並將此原則指派給使用者。 根據預設,此值會設定為 false
      • 對於金鑰設定為 true的使用者,使用者不需要授與 VPN 許可權即可將應用程式上線。

    • 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

  2. 使用者流程 - 使用者安裝並開啟應用程式以開始上線。

    • 如果系統管理員已設定選擇性許可權,則使用者可以 略過 VPN 許可權並完成上線。
    • 即使使用者已略過 VPN,裝置還是能夠上線,並傳送活動訊號。
    • 如果停用 VPN,Web 保護就不會作用中。
    • 稍後,使用者可以從應用程式內啟用 Web 保護,這會在裝置上安裝 VPN 組態。

注意事項

選擇性許可權停用 Web 保護不同。 選擇性 VPN 許可權僅有助於在上線期間略過許可權,但可供終端使用者稍後檢閱並啟用。 停 用 Web 保護 可讓使用者在沒有 Web 保護的情況下,將適用於端點的 Defender 應用程式上線。 稍後無法啟用。

越獄偵測

適用於端點的 Microsoft Defender 能夠偵測已越獄的非受控和受控裝置。 這些越獄檢查會定期完成。 如果偵測到裝置已越獄,就會發生下列事件:

  • 高風險警示會回報給 Microsoft Defender 入口網站。 如果根據裝置風險分數設定裝置合規性和條件式存取,則會封鎖裝置存取公司數據。
  • 已清除應用程式上的用戶數據。 當使用者在越獄之後開啟應用程式時,也會刪除 VPN 配置檔,而且不會提供 Web 保護。

針對已越獄的裝置設定合規性政策

若要防止公司數據在已越獄的 iOS 裝置上存取,建議您在 Intune 上設定下列合規性政策。

注意事項

越獄偵測是iOS上 適用於端點的 Microsoft Defender提供的功能。 不過,建議您將此原則設定為針對越獄案例的額外防禦層。

請遵循下列步驟,針對已越獄的裝置建立合規性政策。

  1. Microsoft Intune 系統管理中心,移至 [裝置>合規性>政策 Create 原則]。 選取 [iOS/iPadOS] 作為平臺,然後選取 [Create]

    [Create 原則] 索引標籤

  2. 指定原則的名稱,例如越 獄的合規性原則

  3. 在 [合規性設定] 頁面中,選取以展開 [裝置健康情況] 區段,然後選取 [封鎖已進行 JB 破解的裝置] 字段。

    [合規性設定] 索引標籤

  4. 在 [不符合 規範的動作 ] 區段中,根據您的需求選取動作,然後選取 [ 下一步]

    [不符合規範的動作] 索引標籤

  5. 在 [ 指派] 區段中,選取您要納入此原則的使用者群組,然後選取 [ 下一步]

  6. 在 [檢閱+Create] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [Create]。

設定自訂指標

適用於 iOS 上的適用於端點的 Defender 也可讓系統管理員在 iOS 裝置上設定自定義指標。 如需如何設定自定義指標的詳細資訊,請參閱 管理指標

注意事項

iOS 上的適用於端點的 Defender 僅支援為 URL 和網域建立自定義指標。 iOS 不支援以IP為基礎的自訂指標。

針對 iOS,存取指標中設定的 URL 或網域時,Microsoft Defender 全面偵測回應 不會產生任何警示。

設定應用程式的弱點評量

降低網路風險需要以風險為基礎的完整弱點管理,以識別、評估、補救及追蹤您最重要的資產中所有最大的弱點,全都在單一解決方案中。 若要深入瞭解 適用於端點的 Microsoft Defender 中的 Microsoft Defender 弱點管理,請瀏覽此頁面

適用於 iOS 上的適用於端點的 Defender 支援 OS 和應用程式的弱點評估。 iOS 版本的弱點評估適用於已註冊的 (MDM) 和已取消註冊的 (MAM) 裝置。 應用程式的弱點評估僅適用於已註冊的 (MDM) 裝置。 系統管理員可以使用下列步驟來設定應用程式的弱點評估。

在受監督的裝置上

  1. 確定裝置已在 受監督模式中設定。

  2. 若要在 Microsoft Intune 系統管理中心啟用此功能,請移至 iOS/iPadOS 裝置端點安全>性 適用於端點的 Microsoft Defender> 啟用應用程式同步處理。

    應用程式同步切換切換

注意事項

若要取得包括非受控應用程式在內的所有應用程式清單,系統管理員必須針對標示為「個人」的受監督裝置,在 Intune 管理員 入口網站中,在個人擁有的iOS/iPadOS 裝置上啟用傳送完整的應用程式清查數據。 對於在 Intune 管理員 入口網站中標示為「公司」的受監督裝置,系統管理員不需要啟用在個人擁有的iOS/iPadOS裝置上傳送完整的應用程式清查數據

在不受監督的裝置上

  1. 若要在 Microsoft Intune 系統管理中心啟用此功能,請移至 iOS/iPadOS 裝置端點安全>性 適用於端點的 Microsoft Defender> 啟用應用程式同步處理。

    應用程式同步切換

  2. 若要取得包括非受控應用程式在內的所有應用程式清單,請啟用切換 [ 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據]

    完整應用程式數據

  3. 使用下列步驟來設定隱私權設定。

    • 移至 [應用程式>] [應用程式設定原則>][新增>受控裝置]
    • 為原則命名 為 Platform>iOS/iPadOS
    • 取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
    • 在 [設定] 頁面中,選取 [使用設定設計工具],並將 DefenderTVMPrivacyMode 新增為 [ 字元串] 的索引鍵和值類型。
      • 若要停用隱私權並收集已安裝的應用程式清單,請輸入 value 作為 False ,並將此原則指派給使用者。
      • 根據預設,未受監督裝置的這個值會設定 True 為 。
      • 針對金鑰設定為 的 False使用者,適用於端點的 Defender 會傳送裝置上安裝的應用程式清單,以進行弱點評估。
    • [下一步] ,並將此配置檔指派給目標裝置/使用者。
    • 開啟或關閉上述隱私權控制不會影響裝置合規性檢查或條件式存取。

  4. 套用設定之後,用戶必須開啟應用程式以 核准 隱私權設定。

    • 隱私權核准畫面僅適用於不受監督的裝置。

    • 只有當使用者核准隱私權時,應用程式資訊才會傳送至適用於端點的 Defender 控制台。

      用戶隱私權畫面的螢幕快照。

將用戶端版本部署至目標 iOS 裝置之後,就會開始處理。 在這些裝置上找到的弱點將會開始顯示在 Defender 弱點管理儀錶板中。 處理可能需要數小時 (最多 24 小時) 完成。 特別是針對要顯示在軟體清查中的整個應用程式清單。

注意事項

如果您在 iOS 裝置內使用 SSL 檢查解決方案,請允許在商業環境中 securitycenter.windows.com (列出這些功能變數名稱 ) ,並在 GCC 環境中 securitycenter.windows.us (,) TVM 功能才能運作。

停用註銷

iOS 上的適用於端點的 Defender 支援在應用程式中部署但不註銷按鈕,以防止使用者註銷 Defender 應用程式。 這對於防止使用者竄改裝置很重要。

此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊的 (MAM) 裝置。 系統管理員可以使用下列步驟來設定停用註銷

設定停用註銷

針對已註冊的裝置 (MDM)

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則 > [新增>受控裝置]。
  2. 為原則命名,選取 [平臺 > iOS/iPadOS]
  3. 選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
  4. 在 [設定] 頁面中,選取 [使用設定設計工具],並將 [DisableSignOut ] 新增為 [ 字串] 的索引鍵和值類型。
  5. 根據預設,DisableSignOut = false。
  6. 管理員 必須讓 DisableSignOut = true,才能停用應用程式中的註銷按鈕。 一旦推送原則之後,使用者將不會看到 [註銷] 按鈕。
  7. 按 [下一步] 並將此原則指派給目標裝置/使用者。

針對已取消註冊的裝置, (MAM)

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則 > [新增 > Managed 應用程式]。
  2. 給與原則一個「名稱」。
  3. 在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
  4. 在 [設定] 頁面的 [一般組態設定] 底下,將 DisableSignOut 新增為索引鍵和值為 true
  5. 根據預設,DisableSignOut = false。
  6. 管理員 必須讓 DisableSignOut = true,才能停用應用程式中的註銷按鈕。 一旦推送原則之後,使用者將不會看到 [註銷] 按鈕。
  7. 按 [下一步] 並將此原則指派給目標裝置/使用者。

重要事項

這項功能處於公開預覽狀態。 下列資訊與發行前版本產品相關,可能會在正式發行前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

裝置標記

iOS 上適用於端點的 Defender 可讓系統管理員透過 Intune 設定標籤,以便在上線期間大量標記行動裝置。 管理員 可以透過 Intune 設定原則來設定裝置標籤,並將它們推送至使用者的裝置。 一旦使用者安裝並啟用Defender,用戶端應用程式就會將裝置標籤傳遞至安全性入口網站。 裝置標籤會針對裝置清查中的裝置顯示。

此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊的 (MAM) 裝置。 系統管理員可以使用下列步驟來設定裝置標籤。

設定裝置標籤

針對已註冊的裝置 (MDM)

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則 > [新增>受控裝置]。

  2. 為原則命名,選取 [平臺 > iOS/iPadOS]

  3. 選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。

  4. 在 [設定] 頁面中,選取 [使用設定設計工具],並將 DefenderDeviceTag 新增為 [字串] 的索引鍵和值類型。

    • 管理員 可以藉由新增Key DefenderDeviceTag並設定裝置捲標的值來指派新的標籤。
    • 管理員 可以修改 Key DefenderDeviceTag 的值來編輯現有的標記。
    • 管理員 可以藉由移除密鑰 DefenderDeviceTag 來刪除現有的標籤。

  5. 按 [下一步] 並將此原則指派給目標裝置/使用者。

針對已取消註冊的裝置, (MAM)

  1. 在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則 > [新增 > Managed 應用程式]。
  2. 給與原則一個「名稱」。
  3. 在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
  4. 在 [設定] 頁面中,將 DefenderDeviceTag 新增為 [一般組態設定] 底下的密鑰。
    • 管理員 可以藉由新增Key DefenderDeviceTag並設定裝置捲標的值來指派新的標籤。
    • 管理員 可以修改 Key DefenderDeviceTag 的值來編輯現有的標記。
    • 管理員 可以藉由移除密鑰 DefenderDeviceTag 來刪除現有的標籤。
  5. 按 [下一步] 並將此原則指派給目標裝置/使用者。

注意事項

必須開啟Defender應用程式,標籤才能與 Intune同步,並傳遞至安全性入口網站。 卷標最多可能需要 18 小時才會反映在入口網站中。

設定傳送應用程式內意見反應的選項

客戶現在可以選擇在適用於端點的Defender應用程式內設定將意見反應資料傳送給 Microsoft 的能力。 意見反應數據可協助 Microsoft 改善產品,並針對問題進行疑難解答。

注意事項

針對美國政府雲端客戶,預設會 用意見反應數據收集。

使用下列步驟來設定將意見反應資料傳送給 Microsoft 的選項:

  1. Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]

  2. 為原則命名,然後選取 [平臺 > iOS/iPadOS ] 作為配置檔類型。

  3. 取 [適用於端點的 Microsoft Defender] 作為目標應用程式。

  4. 在 [設定] 頁面上,選取 [ 使用設定設計工具 ],並將 DefenderFeedbackData 新增為索引鍵和值類型作為 布爾值

    • 若要移除使用者提供意見反應的能力,請將值設定為 false ,並將此原則指派給使用者。 根據預設,此值會設定為 true。 針對美國政府客戶,預設值會設定為 『false』。

    • 針對金鑰設定為 true的使用者,可以選擇在應用程式內將意見反應數據傳送給 Microsoft, (功能表>說明 & 意見反應>傳送意見反應給 Microsoft) 。

  5. 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。

報告不安全的網站

網路釣魚網站會模擬可信任的網站,以取得您的個人或財務資訊。 請造訪 提供網路保護的意見反應 頁面,以報告可能是網路釣魚網站的網站。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。