使用 Microsoft Intune 在 iOS 上部署適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft 365 Defender

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本主題描述如何在已註冊的裝置上，于 iOS 上部署適用于端點的 Defender Microsoft Intune 公司入口網站。 如需Microsoft Intune裝置註冊的詳細資訊，請參閱在 Intune 中註冊 iOS/iPadOS 裝置。

開始之前

• 確定您可以存取Microsoft Intune系統管理中心。

• 確定已為您的使用者完成 iOS 註冊。 使用者必須獲指派適用于端點的 Defender 授權，才能在 iOS 上使用適用于端點的 Defender。 如需如何指 派授權的 指示，請參閱將授權指派給使用者。

• 確定終端使用者已安裝公司入口網站應用程式、登入並完成註冊。

注意事項

iOS 上的適用於端點的 Microsoft Defender可在Apple App Store中取得。

本節涵蓋：

1. 部署步驟 (適用于受監督和不受監督的裝置) - 系統管理員可以透過 Microsoft Intune 公司入口網站 在 iOS 上部署適用于端點的 Defender。 VPP (大量採購) 應用程式不需要此步驟。

2. 僅針對受監督的裝置完成部署 () - 系統管理員可以選擇部署任何一個指定的設定檔。

   1. 零觸控 (無訊息) 控制項篩選 器 - 提供 Web 保護，而不需要本機回送 VPN，也會為使用者啟用無訊息上線。 應用程式會自動安裝和啟用，而不需要使用者開啟應用程式。
   2. 控制項篩選 - 提供不含本機回送 VPN 的 Web 保護。

3. 僅 針對 非監督 式裝置 (自動上線設定) - 系統管理員可以使用兩種不同的方式，將適用于端點的 Defender 上線自動化：

   1. 零觸控 (無訊息) 上 線 - 應用程式會自動安裝並啟用，而不需要使用者開啟應用程式。
   2. VPN 的自動上 線 - 適用于端點的 Defender VPN 設定檔會自動設定，而不會讓使用者在上線期間執行此動作。 不建議在零觸控設定中執行此步驟。

部署步驟 (適用于受監督和不受監督的裝置)

透過 Microsoft Intune 公司入口網站 在 iOS 上部署適用于端點的 Defender。

新增 iOS 市集應用程式

1. 在Microsoft Intune系統管理中心，移至[應用程式>] iOS/iPadOS>[新增>iOS 市集應用程式]，然後按一下 [選取]。

   

2. 在 [新增應用程式]頁面上，按一下[搜尋App Store]，然後在搜尋列中輸入Microsoft Defender。 在 [搜尋結果] 區段中，按一下[Microsoft Defender]，然後按一下 [選取]。

3. 選 取 [iOS 14.0] 作為 [最小作業系統]。 檢閱應用程式的其餘資訊，然後按 [ 下一步]。

4. 在 [ 指派] 區 段中，移至 [ 必要] 區段，然後選取 [ 新增群組]。 然後，您可以選擇要在 iOS 應用程式上以適用于端點的 Defender 為目標的使用者群組 () 。 依 序按一下 [選取 ] 和 [ 下一步]。

   注意事項

   選取的使用者群組應由已註冊Microsoft Intune使用者組成。

   

5. 在 [ 檢閱 + 建立] 區段中，確認輸入的所有資訊都正確無誤，然後選取 [ 建立]。 在幾分鐘內，應該會成功建立適用于端點的 Defender 應用程式，且通知應該會顯示在頁面右上角。

6. 在顯示的應用程式資訊頁面中，選取 [ 監視] 區段中的 [ 裝置安裝狀態 ]，以確認裝置安裝已順利完成。

   

完成受監督裝置的部署

iOS 應用程式上的適用於端點的 Microsoft Defender具有受監督 iOS/iPadOS 裝置的特殊功能，因為平臺在這些類型的裝置上提供更高的管理功能。 它也可以提供 Web 保護， 而不需要在裝置上設定本機 VPN。 這可讓終端使用者獲得順暢的體驗，同時仍能受到網路釣魚和其他 Web 型攻擊的保護。

系統管理員可以使用下列步驟來設定受監督的裝置。

透過 Microsoft Intune 設定受監督模式

透過應用程式設定原則和裝置組態設定檔，設定適用于端點的 Defender 應用程式受監督模式。

應用程式設定原則

注意事項

受監督裝置的此應用程式設定原則僅適用于受管理的裝置，應以所有受控 iOS 裝置為目標，作為最佳做法。

1. 登入Microsoft Intune系統管理中心，然後移至[應用程式>應用程式設定原則>新增]。 選 取 [受控裝置]。

   

2. 在 [ 建立應用程式設定原則 ] 頁面中，提供下列資訊：

   • 原則名稱
   • 平臺：選取 iOS/iPadOS
   • 目標應用程式：從清單中選取適用於端點的 Microsoft Defender

   

3. 在下一個畫面中，選取 [ 使用設定設計工具 作為格式]。 指定下列屬性：

   • 設定金鑰： issupervised
   • 數值型別：字串
   • 組態值： {{issupervised}}

   

4. 選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。

5. 在 [指派] 頁面上，選取將接收此設定檔的群組。 在此案例中，最佳做法是以 所有裝置為目標。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   部署至使用者群組時，使用者必須在套用原則之前登入裝置。

   按一下[下一步]。

6. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

控制篩選器 (裝置組態設定檔)

注意事項

針對在受監督模式) 中執行 iOS/iPadOS (的裝置，會有自訂 的 .mobileconfig 設定檔，稱為 ControlFilter 設定檔可用。 此設定檔可啟用 Web 保護 ，而不需要在裝置上設定本機回送 VPN。 這可讓終端使用者獲得順暢的體驗，同時仍能受到網路釣魚和其他 Web 型攻擊的保護。

不過，由於平臺限制， ControlFilter 設定檔無法與 Always-On VPN (AOVPN) 搭配使用。

系統管理員會部署任何一個指定的設定檔。

1. 零觸控 (無訊息) 控制項篩選 器 - 此設定檔可為使用者啟用無訊息上線。 從ControlFilterZeroTouch下載組態設定檔

2. 控制項篩選 - 從 ControlFilter下載組態設定檔。

下載設定檔之後，請部署自訂設定檔。 請遵循下列步驟：

1. 流覽至[裝置>] iOS/iPadOS>組態設定檔 [>建立設定檔]。

2. 選取 [配置檔案類型>範本] 和 [範本名稱>自訂]。

   

3. 提供設定檔的名稱。 當系統提示您匯入組態設定檔案時，請選取從上一個步驟下載的設定檔。

4. 在 [ 指派] 區段中，選取您要套用此設定檔的裝置群組。 最佳做法是，這應該套用至所有受控 iOS 裝置。 選取 [下一步]。

   注意事項

   適用于端點的 Defender 方案 1 和方案 2 都支援裝置群組建立。

5. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。

僅針對非監督式裝置 (自動上線設定)

系統管理員可以使用無接觸 (無訊息) 上線或 VPN 的自動上線，以兩種不同的方式將使用者的 Defender 上線自動化。

零觸控 (無訊息) 上線適用於端點的 Microsoft Defender

注意事項

在未註冊使用者親和性的 iOS 裝置上，無法設定零觸控 (無使用者裝置或共用裝置) 。

系統管理員可以設定適用於端點的 Microsoft Defender以無訊息方式部署和啟用。 在此流程中，系統管理員會建立部署設定檔，而使用者只會收到安裝通知。 適用于端點的 Defender 會自動安裝，而不需要使用者開啟應用程式。 請遵循下列步驟，在已註冊的 iOS 裝置上設定適用于端點的 Defender 零觸控或無訊息部署：

1. 在Microsoft Intune系統管理中心，移至 [裝置>組態設定檔] [>建立設定檔]。

2. 選擇 [平臺 ] 作為 [iOS/iPadOS]， [配置檔案類型 ] 作為 [範本 ]，並選擇 [範本名稱 ] 作為 [VPN]。 選取 [建立]。

3. 輸入設定檔的名稱，然後選取 [ 下一步]。

4. 針對 [連線類型] 選取 [自訂 VPN ]，然後在 [ 基底 VPN] 區 段中輸入下列內容：

   • 連線名稱 = 適用於端點的 Microsoft Defender
   • VPN 伺服器位址 = 127.0.0.1
   • 驗證方法 = 「Username and password」
   • 分割通道 = 停用
   • VPN 識別碼 = com.microsoft.scmx
   • 在機碼/值組中，輸入 SilentOnboard 鍵，並將值設定為 True。
   • 自動 VPN 類型 = 隨選 VPN
   • 選取 [新增 隨 選規則] ，然後選取 [我想要執行下列動作 = 連線 VPN， 我想要限制為 = 所有網域]。

   

   • 若要要求無法在使用者裝置中停用 VPN，系統管理員可以從[封鎖使用者停用自動 VPN] 中選取 [是]。 根據預設，不會進行設定，而且使用者只能在 [設定] 中停用 VPN。
   • 若要允許使用者從應用程式內變更 VPN 切換，請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設，使用者無法從應用程式內變更切換。

5. 選 取 [下一步 ]，並將設定檔指派給目標使用者。

6. 在 [ 檢閱 + 建立] 區段中，確認輸入的所有資訊都正確無誤，然後選取 [ 建立]。

完成上述設定並與裝置同步處理之後，目標 iOS 裝置 () 上會執行下列動作：

• 適用於端點的 Microsoft Defender會部署並以無訊息方式上線，且裝置會顯示在適用于端點的 Defender 入口網站中。
• 暫時通知會傳送至使用者裝置。
• Web 保護和其他功能將會啟用。

注意事項

對於受監督的裝置，系統管理員可以使用新的 ZeroTouch 控制項篩選設定檔來設定零觸控上線。 適用于端點的 Defender VPN 設定檔將不會安裝在裝置上，而 Web 保護將由控制項篩選設定檔提供。

VPN 設定檔的自動上線 (簡化的上線)

注意事項

此步驟會藉由設定 VPN 設定檔來簡化上執行緒序。 如果您使用零觸控，則不需要執行此步驟。

針對不受監督的裝置，會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN，而且是本機/自我迴圈 VPN，不會將流量帶出裝置。

系統管理員可以設定 VPN 設定檔的自動設定。 這會自動設定適用于端點的 Defender VPN 設定檔，而不會讓使用者在上線時這麼做。

1. 在Microsoft Intune系統管理中心，移至 [裝置>組態設定檔] [>建立設定檔]。

2. 選擇 [平臺 ] 作為 [iOS/iPadOS ]，並 選擇 [配置檔案類型 ] 作為 [VPN]。 按一下 [建立]。

3. 輸入設定檔的名稱，然後按 [ 下一步]。

4. 針對 [連線類型] 選取 [自訂 VPN ]，然後在 [ 基底 VPN] 區 段中輸入下列內容：

   • 連線名稱 = 適用於端點的 Microsoft Defender

   • VPN 伺服器位址 = 127.0.0.1

   • 驗證方法 = 「Username and password」

   • 分割通道 = 停用

   • VPN 識別碼 = com.microsoft.scmx

   • 在機碼/值組中，輸入機碼 AutoOnboard ，並將值設定為 True。

   • 自動 VPN 類型 = 隨選 VPN

   • 選取 [新增 隨 選規則] ，然後選取 [我想要執行下列動作 = 連線 VPN， 我想要限制為 = 所有網域]。

     

   • 若要要求無法在使用者的裝置上停用 VPN，系統管理員可以從[封鎖使用者停用自動 VPN] 中選取 [是]。 根據預設，此設定未設定，且使用者只能在 [設定] 中停用 VPN。

   • 若要允許使用者從應用程式內變更 VPN 切換，請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設，使用者無法從應用程式內變更切換。

5. 按 [下一步] ，並將設定檔指派給目標使用者。

6. 在 [ 檢閱 + 建立] 區段中，確認輸入的所有資訊都正確無誤，然後選取 [ 建立]。

完成上線並檢查狀態

1. 在裝置上安裝適用于端點的 Defender 之後，您會看到應用程式圖示。

   

2. 點選適用于端點的 Defender 應用程式圖示 (MSDefender) ，並遵循畫面上的指示來完成上線步驟。 詳細資料包括使用者接受 iOS 上適用于端點的 Defender 所需的 iOS 許可權。

注意事項

如果您設定無接觸 (無訊息) 上線，請略過此步驟。 如果已設定無接觸 (無訊息) 上線，就不需要手動啟動應用程式。

3. 成功上線後，裝置會開始顯示在Microsoft 365 Defender入口網站的 [裝置] 清單上。

   

後續步驟

• 設定應用程式保護原則，將適用于端點的 Defender 風險訊號 (MAM)
• 在 iOS 功能上設定適用于端點的 Defender

提示

您要深入瞭解嗎？ 在我們的技術社群中與 Microsoft 安全性社群互動：適用於端點的 Microsoft Defender技術社群。