Migrace na Microsoft Defender for Endpoint pro Microsoft Tunnel v Intune

Pokud jako řešení brány VPN pro Microsoft Intune používáte Microsoft Tunnel, naplánujte migraci ze samostatné klientské aplikace Microsoft Tunnel na Microsoft Defender for Endpoint s podporou Microsoft Tunnel.

Podpora platformy

Pokud jste dříve nakonfigurovali Microsoft Tunnel pro iOS pomocí samostatné klientské aplikace Microsoft Tunnel, musíte před podporou iOS migrovat zařízení tak, aby používala Microsoft Defender for Endpoint jako klientskou aplikaci tunelu. samostatná klientská aplikace tunelu končí do konce 29. července 2022.

Podpora Android samostatné klientské aplikace tunelu skončila 31. ledna 2022.

Následující platformy zařízení podporují Microsoft Defender for Endpoint jako klientskou aplikaci tunelu:

  • Android Enterprise:

    • Plně spravovaná
    • Pracovní profil vlastněný společností
    • Osobní pracovní profil
    1. června 2021 Microsoft Defender for Endpoint byla obecně dostupná jako klientská aplikace Microsoft Tunnel pro Android pro použití se službou Microsoft Tunnel Gateway v Microsoft Intune.

    Pokud jste dříve nakonfigurovali Microsoft Tunnel pro Android pomocí samostatné klientské aplikace Microsoft Tunnel, musíte migrovat zařízení tak, aby používala Microsoft Defender for Endpoint jako klientskou aplikaci Tunnel, než budete podporovat Android samostatná Tunnel klientská aplikace končí 26. října 2021.

    Při použití Microsoft Defender for Endpoint pro připojení k Tunnel pro Android použijte vlastní nastavení v profilu SÍTĚ ke správě defenderu pro koncový bod místo použití samostatného konfiguračního profilu aplikace. Pokud nechcete používat žádnou funkci Defenderu pro koncový bod, včetně webové ochrany, použijte vlastní nastavení v profilu VPN a nastavte defendertoggle na 0.

  • iOS/iPadOS zařízení:

    1. dubna 2022 Microsoft Defender for Endpoint zpřístupnit jako klientskou aplikaci Microsoft Tunnel pro zařízení s iOS/iPadOS pro použití s Microsoft Tunnel Gateway v Microsoft Intune.

    Pokud jste už dříve nakonfigurovali Microsoft Tunnel pro iOS/iPadOS pomocí samostatné klientské aplikace Microsoft Tunnel, musíte migrovat zařízení tak, aby používala Microsoft Defender for Endpoint jako klientskou aplikaci Tunnel. Podpora samostatné Tunnel klientské aplikace iOS končí 29. července 2022.

    Pokud chcete aplikaci Microsoft Defender for Endpoint nakonfigurovat pro připojení k Tunnel, budete muset vytvořit nový profil VPN s typem připojení Microsoft Tunnel (Preview).

    Při použití Microsoft Defender for Endpoint pro připojení k Tunnel pro iOS/iPadOS použijte vlastní nastavení v profilu SÍTĚ ke správě defenderu pro koncový bod. Pokud nechcete používat žádnou funkci Defenderu pro koncový bod, včetně webové ochrany, použijte vlastní nastavení v profilu SÍTĚ VPN a nastavte TunnelOnly na Hodnotu True.

Změny zavedené pro podporu Defenderu pro koncový bod

Zavedení Microsoft Defender for Endpoint, protože klientská aplikace tunelu přináší následující změny.

Přejmenování typu připojení pro profily SÍTĚ VPN pro všechny tenanty:

Pro podporu defenderu for Endpoint byly všechny profily VPN vytvořené před 2. březnem 2021, které mají typ připojení Microsoft Tunnel, aktualizovány na typ připojení Microsoft Tunnel (samostatný klient).

Tato změna:

  • Platí pro všechny tenanty.
  • Platí pro platformy Android i iOS/iPadOS.
  • Nemá žádný vliv na funkčnost těchto existujících profilů kromě změny názvu typu připojení.
  • Podporuje změnu pro použití Microsoft Defender for Endpoint pro podporu Microsoft Tunnel funkcí nyní nebo v budoucnu.
  • Nelze vrátit zpět. Pokud chcete změnit jejich typ připojení, nemůžete upravit existující profily.

V profilech sítě VPN jsou nyní k dispozici následující typy připojení:

  • Android:

    • Microsoft Tunnel
      • Profil SÍTĚ VPN s tímto typem připojení nakonfiguruje aplikaci Microsoft Defender for Endpoint pro připojení k Microsoft Tunnel Gateway.
      • Tento typ připojení VPN použijte pro zařízení s Android Enterprise.
      • Pro Android by se už neměl vytvářet typ připojení Microsoft Tunnel (samostatný klient). Existující profily VPN s tímto typem připojení by se měly migrovat na Microsoft Tunnel a jako klientskou aplikaci Tunnel byste měli použít Defender for Endpoint.
  • iOS/iPadOS:

    • Microsoft Tunnel (Preview)

      • Profil SÍTĚ VPN s tímto typem připojení nakonfiguruje aplikaci Microsoft Defender for Endpoint pro připojení k Microsoft Tunnel Gateway.
      • Pro iOS/iPadOS by se už neměl vytvořit typ připojení Microsoft Tunnel (samostatný klient) (Preview). Existující profily VPN s tímto typem připojení by se měly migrovat do Microsoft Tunnel (Preview), což vyžaduje Defender for Endpoint jako Tunnel klientskou aplikaci.

      Poznámka

      1. dubna 2022 byl typ připojení Microsoft Tunnel (Preview) obecně dostupný a podporuje Microsoft Defender for Endpoint jako klientskou aplikaci tunelu. Typ připojení ale i nadále odpovídá verzi Preview.

Změny koncového uživatele:

Aplikace Microsoft Defender for Endpoint, kterou používáte jako klientskou aplikaci Tunnel, obsahuje novou kartu pro funkci Microsoft Tunnel.

Funkce v aplikaci Defender for Endpoint

Aplikace Microsoft Defender for Endpoint kombinuje funkce Microsoft Defender for Endpoint s funkcemi aplikace Microsoft Tunnel. Novou aplikaci Defender s Microsoft Tunnel můžete použít k připojení k Tunnel Gateway, i když jinak nepoužíváte nebo nemáte licenci na Microsoft Defender for Endpoint.

Funkce, které jsou dostupné v aplikaci Microsoft Defender for Endpoint, závisí na nastavení zásad, která nasadíte ke správě aplikace na zařízení. K dispozici jsou následující karty:

  • Tunnel – Na této kartě se uživatelé připojují k bráně Tunnel a můžou zobrazit statistiky připojení a nastavení konfigurace klienta.

    Karta Tunnel je dostupná poté, co zařízení obdrží profil SÍTĚ VPN pro Microsoft Tunnel, který podporuje Defender for Endpoint.

  • Řídicí panel – tato karta zobrazuje souhrn celkového stavu zařízení, stavu zabezpečení aplikace, stavu ochrany webu a stavu Tunnel.

  • Zabezpečení aplikací (jenom Android) – Na této kartě můžou uživatelé zobrazit stav automatických kontrol na zařízení. Uživatelé mohou také odinstalovat aplikace označené jako hrozby a spustit ruční kontrolu. Tato karta není dostupná, když profil VPN vypne funkci Defenderu pro koncový bod nebo když je funkce Defenderu pro koncový bod vypnutá samostatným konfiguračním profilem aplikace.

  • Web Protection – tato karta zobrazuje stav funkce, kterou povolili nebo zakázali správci, a podrobnosti o funkci popsané na překlopení karet. Tato karta není dostupná, když profil VPN vypne funkci Defenderu pro koncový bod (iOS/iPadOS a Android) nebo funkci Defenderu pro koncový bod vypne samostatný konfigurační profil aplikace (Android).

Snímek obrazovky s aplikací Defender for Endpoint na Android:

Snímek obrazovky s aplikací Defender for Endpoint na Android

Informace o licenčních požadavch pro Microsoft Defender for Endpoint najdete v tématu Získání Microsoft Defender for Endpoint.

Migrace Android zařízení do Defenderu pro koncový bod

Až budete připraveni používat Microsoft Defender for Endpoint s Android zařízeními, migrujte podporovaná zařízení ze samostatné klientské aplikace tunelu do nové aplikace. Novou aplikaci můžete nasadit také na jiná zařízení, která ještě nepoužívali Microsoft Tunnel.

Migrace na Microsoft Defender for Endpoint vyžaduje následující obecné akce, které jsou popsány v následujících částech:

  1. Zkontrolujte a poznamenejte si aktuální konfigurace Tunnel.
  2. Nasaďte Microsoft Defender for Endpoint na podporovaná zařízení.
  3. Vytvořte nové profily SÍTĚ VPN.
  4. Vyčistěte předchozí nasazení.

Nasazení Defenderu pro koncový bod pro Android

Microsoft Defender for Endpoint s podporou Microsoft Tunnel na Android je k dispozici v úložišti spravovaných Google Play.

  1. Vyhledejte a schvalte aplikaci ve spravovaném Google Play storu pro vašeho tenanta a pak ji synchronizujte. Informace o tomto procesu najdete v tématu Spravované Google Play aplikací pro Store.

  2. Přiřaďte aplikaci skupinám.

  3. Dokončete přiřazení a požádejte uživatele, aby si nainstalovali aplikaci Microsoft Defender for Endpoint.

Kontrola a záznam aktuálních konfigurací Tunnel pro Android

Než začnete s migrací do defenderu for Endpoint, věnujte čas kontrole a zaznamenání nastavení, která aktuálně používáte pro následující konfigurace Intune pro Android zařízení:

  • Profily sítě VPN pro Microsoft Tunnel
  • Nasazení aplikací Microsoft Tunnel

Tyto informace použijete při nasazení nových profilů SÍTĚ VPN a aplikace Defender for Endpoint k zrcadlení stávajících nasazení.

  1. Přihlaste se k Microsoft Endpoint Manager profilům admin centerDevicesConfiguration > > . Vyhledejte profily SÍTĚ VPN, které používáte pro Microsoft Tunnel pro zařízení Android. Zobrazují typ připojení Microsoft Tunnel (samostatný klient). Tyto profily nahradíte novými profily, které používají aplikaci Defender for Endpoint.

    1. Vyberte jednotlivé profily a pak vlastnosti.

    2. V části Vlastnosti zaznamenejte dostupné hodnoty. Tyto informace vám pomůžou vytvořit nové profily VPN, které zrcadlí vaše aktuální konfigurace.

  2. Dále zaznamenejte podrobnosti o nasazení Tunnel aplikací. V Centru pro správu přejděte do části Aplikace. Vyhledejte nasazení Microsoft Tunnel do Android Enterprise zařízení.

    1. Vyberte každé příslušné nasazení a zkontrolujte jeho vlastnosti.

    2. V části Vlastnosti zaznamenejte dostupné hodnoty. Tyto informace vám pomůžou vytvořit podobná nasazení pro aplikaci Microsoft Defender for Endpoint.

Vytvoření nových profilů SÍTĚ VPN pro Android

Pokud chcete zařízením povolit použití Microsoft Defender for Endpoint pro připojení k Microsoft Tunnel Gateway, nasaďte nové profily VPN s typem připojení Microsoft Tunnel. Úprava typu připojení existujícího profilu není podporovaná.

  1. Pomocí informací z tématu Vytvoření profilu sítě VPN vytvořte a nasaďte nové profily SÍTĚ VPN pro vaše Android Enterprise zařízení.

  2. Během konfigurace odkazujte na nastavení, která jste nahráli ze stávajících profilů, ale použijte typ připojení Microsoft Tunnel.

    Pokud používáte jenom funkci Tunnel z aplikace Defender for Endpoint, a ne funkce specifické pro Defender, přidejte vlastní nastavení přepínače defendertoggle, které je nastavené na 0. Tato konfigurace zakáže funkci Defenderu pro koncový bod a ponechá jenom možnosti Tunnel.

Poznámka

Pokud používáte aplikaci Microsoft Defender for Endpoint pro Android, máte povolenou webovou ochranu a používáte síť VPN pro jednotlivé aplikace, bude se webová ochrana vztahovat jenom na aplikace v seznamu VPN pro jednotlivé aplikace. Na zařízeních s pracovním profilem v tomto scénáři doporučujeme přidat všechny webové prohlížeče v pracovním profilu do seznamu VPN pro jednotlivé aplikace, aby se zajistilo, že veškerý webový provoz pracovního profilu bude chráněný.

Vyčištění předchozích nasazení pro Android

Jakmile zařízení nainstalují aplikaci Microsoft Defender for Endpoint a obdrží nové profily VPN, můžete odebrat konfigurace pro původní nasazení.

Nasazení původní aplikace Microsoft Tunnel:

  1. Odeberte povinné a dostupné pro zaregistrovaná zařízení.

  2. Přidání odinstalace pro aktivaci odebrání aplikace

Migrace zařízení iOS/iPadOS do Defenderu pro koncový bod

Až budete připraveni používat obecně dostupnou verzi Microsoft Defender for Endpoint pro zařízení s iOS/iPadOS, migrujte podporovaná zařízení ze samostatné klientské aplikace tunelu do nové aplikace. Novou aplikaci můžete nasadit také na jiná zařízení, která ještě nepoužívali Microsoft Tunnel.

Migrace na Defender for Endpoint vyžaduje následující obecné akce, které jsou popsány v následujících částech:

  1. Nasaďte Microsoft Defender for Endpoint na podporovaná zařízení.
  2. Zkontrolujte a poznamenejte si aktuální konfigurace Tunnel.
  3. Vytvořte nové profily VPN nebo překonfigurujte existující profily tak, aby jako typ připojení používaly Microsoft Tunnel (Preview).
  4. Vyčistěte předchozí nasazení.

Nastavení serveru zůstane úplně stejné bez ohledu na klienta, který používáte.

Instalace Microsoft Defender for Endpoint

Microsoft Defender for Endpoint s podporou Microsoft Tunnel pro iOS je k dispozici v App Storu Apple.

  1. Vyhledejte a schvalte aplikaci v Apple App Storu pro vašeho tenanta a pak ji synchronizujte . Informace o tomto procesu najdete v tématu Přidání aplikací z iOS Storu do Microsoft Intune.
  2. Přiřaďte aplikaci skupinám.
  3. Dokončete přiřazení a požádejte uživatele, aby si nainstalovali aplikaci Microsoft Defender for Endpoint.

Kontrola a záznam aktuálních konfigurací Tunnel pro iOS/iPadOS

Než začnete s migrací do defenderu for Endpoint, pomocí Centra pro správu Microsoft Endpoint Manager zkontrolujte a poznamenejte si nastavení, která aktuálně používáte pro následující konfigurace Intune:

  • Profily sítě VPN pro Microsoft Tunnel (samostatný klient) (Preview)

    1. Přejděte do profilů DevicesConfiguration > , vyberte jednotlivé příslušné profily a zkontrolujte jeho vlastnosti.

    2. V části Vlastnosti zaznamenejte dostupné hodnoty. Tyto informace vám pomůžou vytvořit nové profily VPN, které zrcadlí vaše aktuální konfigurace.

  • Pokud používáte síť VPN pro jednotlivé aplikace, podívejte se na nasazení iOS aplikací a poznamenejte si podrobnosti o aplikacích, které jsou přiřazené k profilu Microsoft Tunnel (samostatného klienta) (Preview).

    1. Přejděte do nabídky Aplikace , vyberte každé příslušné nasazení a zkontrolujte jeho vlastnosti.

    2. V části Vlastnosti zaznamenejte dostupné hodnoty včetně hodnot, které jsou přiřazeny podle potřeby nebo jsou přiřazeny jako dostupné. Tyto informace vám pomůžou vytvořit podobná nasazení pro aplikaci Microsoft Defender for Endpoint.

Správa profilů SÍTĚ VPN pro iOS/iPadOS

Pokud chcete zařízením povolit použití Microsoft Defender for Endpoint pro připojení k Microsoft Tunnel Gateway, nasaďte profily SÍTĚ VPN, které používají typ připojení Microsoft Tunnel (Preview). Během migrace můžete upravit existující profily tak, aby používaly nový typ připojení, nebo vytvořit nové profily VPN s novým typem připojení.

Úprava profilu sítě VPN pro Microsoft Tunnel

Pomocí následujících kroků upravte profil SÍTĚ VPN tak, aby migrovat zařízení ze samostatné klientské aplikace tunelu do Microsoft Defender for Endpoint jako klientskou aplikaci tunelu.

  1. Přihlaste se do centra pro správu Microsoft Endpoint Manager a přejděte na profily > > DevicesConfiguration > iOS/iPadOS.

  2. Vyberte profil sítě VPN, který chcete upravit, a pak vyberte Vlastnosti a pak upravte nastavení konfigurace.

  3. Na stránce Nastavení konfigurace :

    1. Zkontrolujte aktuální nastavení pro každou kategorii. Když změníte typ připojení , nastavení profilů se vymaže a budete je muset obnovit.

    2. Změňte typ připojení z Microsoft Tunnel (samostatný klient) (Preview) na Microsoft Tunnel (Preview).

    3. Zadejte znovu příslušná nastavení pro tento profil SÍTĚ VPN.

      Důležité

      I když se zdá, že nastavení zůstává nakonfigurované a nevymazané, zadejte každé nastavení znovu, aby se zajistilo použití správných hodnot.

    4. Pokud používáte jenom funkci Tunnel z aplikace Defender for Endpoint, a ne funkce specifické pro Defender, přidejte vlastní nastavení TunnelOnly, které je nastavené na True. Tato konfigurace zakáže funkci Defenderu a ponechá jenom možnosti Tunnel.

  4. Výběrem možnosti Zkontrolovat a uložit profil uložte.

  5. Po opětovném nasazení profilu počkejte na vrácení zařízení se změnami nebo vynuťte synchronizaci zařízení, aby získala nové zásady.

  6. Ověřte, že se uživatelé můžou připojit k Tunnel ručně v aplikaci Defender for Endpoint. Pokud váš profil sítě VPN obsahuje pravidla na vyžádání, musí uživatelé aplikaci Defender for Endpoint otevřít jednou, aby se nová pravidla na vyžádání mohla použít.

Vytvoření nového profilu SÍTĚ VPN pro Microsoft Tunnel

Pomocí následujících kroků vytvořte nový profil SÍTĚ VPN pro zařízení, která budou používat Microsoft Defender for Endpoint jako klientskou aplikaci tunelu. Pokud je profil nakonfigurovaný jako síť VPN pro jednotlivé aplikace, musíte v posledním kroku restartovat zařízení po přijetí profilu SÍTĚ VPN. Abyste tomu předešli, můžete místo vytváření a nasazování nového profilu upravit existující profil VPN .

  1. Pomocí informací z tématu Vytvoření profilu sítě VPN vytvořte a nasaďte nové profily SÍTĚ VPN pro zařízení s iOS/iPadOS.

  2. Během konfigurace odkazujte na nastavení, která jste nahráli ze stávajících profilů, ale použijte typ připojení Microsoft Tunnel (Preview). Pokud používáte jenom funkci Tunnel z aplikace Defender for Endpoint, a ne funkce specifické pro Defender, přidejte vlastní nastavení TunnelOnly, které je nastavené na True. Tato konfigurace zakáže funkci Defenderu pro koncový bod a ponechá jenom možnosti Tunnel.

  3. Po nasazení profilu počkejte na vrácení zařízení se změnami nebo vynuťte synchronizaci zařízení, aby získala nové zásady.

  4. Ověřte, že se uživatelé můžou připojit k Tunnel ručně v aplikaci Defender for Endpoint. Pokud váš profil sítě VPN obsahuje pravidla na vyžádání, musí uživatelé aplikaci Defender for Endpoint otevřít jednou, aby se nová pravidla na vyžádání mohla použít.

  5. Pokud používáte síť VPN pro jednotlivé aplikace:

    1. Po vytvoření nového profilu VPN počkejte alespoň 10 minut. Po 10 minutách můžete přiřazení nasazení aplikace změnit z profilu sítě VPN Microsoft Tunnel (samostatný klient) (Preview) na nový profil sítě VPN pro Microsoft Tunnel (Preview).

    2. Po nasazení nového profilu sítě VPN do zařízení se musí toto zařízení restartovat, než se použije nový profil SÍTĚ VPN. Pokud chcete zařízení restartovat, podívejte se na vzdálené restartování zařízení pomocí Intune.

Další kroky

Použití podmíněného přístupu s Microsoft Tunnel
Monitorování Microsoft Tunnel