Nasazení Microsoft Defender for Endpoint v iOSu pomocí Microsoft Intune

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Toto téma popisuje nasazení Defenderu for Endpoint v iOSu na Microsoft Intune Portál společnosti zaregistrovaných zařízeních. Další informace o Microsoft Intune registraci zařízení najdete v tématu Registrace zařízení s iOS/iPadOS v Intune.

Než začnete

  • Ujistěte se, že máte přístup k Centru pro správu Microsoft Intune.

  • Ujistěte se, že se pro vaše uživatele dokončila registrace iOS. Aby mohli uživatelé používat Defender for Endpoint v iOSu, musí mít přiřazenou licenci defenderu for Endpoint. Pokyny k přiřazení licencí najdete v tématu Přiřazení licencí uživatelům .

  • Ujistěte se, že koncoví uživatelé mají nainstalovanou aplikaci Portál společnosti, přihlásili se a dokončili registraci.

Poznámka

Microsoft Defender for Endpoint v iOSu je k dispozici v App Store Apple.

Tato část se věnuje:

  1. Postup nasazení (platí pro zařízení pod dohledem i zařízení bez dohledu) – Správci můžou nasadit Defender for Endpoint v iOSu prostřednictvím Microsoft Intune Portál společnosti. Tento krok není nutný pro aplikace VPP (multilicenční nákup).

  2. Úplné nasazení (jenom pro zařízení pod dohledem) – Správci můžou vybrat nasazení libovolného z daných profilů.

    1. Bezdotykový (tichý) ovládací filtr – poskytuje webovou ochranu bez sítě VPN pro zpětné místní smyčky a také umožňuje bezobslužné onboarding pro uživatele. Aplikace se automaticky nainstaluje a aktivuje, aniž by uživatel aplikaci otevíral.
    2. Filtr ovládacích prvků – poskytuje webovou ochranu bez sítě VPN zpětné smyčky.

  3. Nastavení automatizovaného zprovoznění (jenom pro zařízení bez dohledu ) – Správci můžou automatizovat onboarding Defenderu for Endpoint pro uživatele dvěma různými způsoby:

    1. Onboarding s nulovým dotykem (bezobslužné ) – Aplikace se automaticky nainstaluje a aktivuje, aniž by uživatelé museli aplikaci otevírat.
    2. Automatické zprovoznění sítě VPN – Profil SÍTĚ VPN defenderu for Endpoint se nastaví automaticky, aniž by to uživatel musel provést během onboardingu. Tento krok se nedoporučuje v konfiguracích s nulovým dotykovým ovládáním.

  4. Nastavení registrace uživatelů (jenom pro zařízení zaregistrovaná uživatelem Intune) – Správci můžou nasadit a nakonfigurovat aplikaci Defender for Endpoint také na zařízeních zaregistrovaných uživatelem Intune.

  5. Dokončení onboardingu a kontrola stavu – Tento krok platí pro všechny typy registrace, aby se zajistilo, že se aplikace nainstaluje na zařízení, dokončí se onboarding a zařízení se zobrazí na portálu Microsoft Defender. Pro onboarding s nulovým dotykem (bezobslužné) je možné ho přeskočit.

Postup nasazení (platí pro zařízení pod dohledem i zařízení bez dohledu)

Nasazení Defenderu for Endpoint v iOSu prostřednictvím Microsoft Intune Portál společnosti.

Přidání aplikace pro iOS Store

  1. V Centru pro správu Microsoft Intune přejděte na Aplikace> proiOS/iPadOS>Přidat>aplikaci z obchodu pro iOS a klikněte na Vybrat.

    Karta Přidat aplikace v Centru pro správu Microsoft Intune

  2. Na stránce Přidat aplikaci klikněte na Search App Store a do vyhledávacího panelu zadejte Microsoft Defender. V části s výsledky hledání klikněte na Microsoft Defender a klikněte na Vybrat.

  3. Jako Minimální operační systém vyberte iOS 15.0 . Zkontrolujte zbývající informace o aplikaci a klikněte na Další.

  4. V části Přiřazení přejděte do části Povinné a vyberte Přidat skupinu. Pak můžete zvolit skupiny uživatelů, na které chcete cílit na Defender for Endpoint v aplikaci pro iOS. Klikněte na Vybrat a pak na Další.

    Poznámka

    Vybraná skupina uživatelů by se měla skládat z Microsoft Intune zaregistrovaných uživatelů.

    Karta Přidat skupinu v Centru pro správu Microsoft Intune

  5. V části Zkontrolovat a Create ověřte, že jsou všechny zadané informace správné, a pak vyberte Create. Za chvíli by se měla úspěšně vytvořit aplikace Defender for Endpoint a v pravém horním rohu stránky by se mělo zobrazit oznámení.

  6. Na zobrazené stránce s informacemi o aplikaci v části Monitorování vyberte Stav instalace zařízení a ověřte, že se instalace zařízení úspěšně dokončila.

    Stránka stav instalace zařízení

Dokončení nasazení pro zařízení pod dohledem

Microsoft Defender for Endpoint v aplikaci pro iOS má specializované schopnosti na zařízeních s iOS/iPadOS pod dohledem, vzhledem k vyšším možnostem správy, které platforma poskytuje na těchto typech zařízení. Může také poskytovat webovou ochranu bez nastavení místní sítě VPN v zařízení. To poskytuje koncovým uživatelům bezproblémové prostředí a zároveň jsou stále chráněni před útoky phishing a jinými webovými útoky.

Správci můžou ke konfiguraci zařízení pod dohledem použít následující postup.

Konfigurace režimu pod dohledem prostřednictvím Microsoft Intune

Nakonfigurujte pro aplikaci Defender for Endpoint režim pod dohledem prostřednictvím zásad konfigurace aplikací a profilu konfigurace zařízení.

Zásady konfigurace aplikací

Poznámka

Tato zásada konfigurace aplikací pro zařízení pod dohledem se vztahuje jenom na spravovaná zařízení a jako osvědčený postup by se měla zaměřit na VŠECHNA spravovaná zařízení s iOSem.

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte naZásady> konfigurace aplikací>Přidat. Vyberte Spravovaná zařízení.

    Obrázek centra pro správu Microsoft Intune 4

  2. Na stránce zásad konfigurace aplikace Create zadejte následující informace:

    • Název zásady
    • Platforma: Vyberte iOS/iPadOS.
    • Cílová aplikace: V seznamu vyberte Microsoft Defender for Endpoint.

    Obrázek Centra pro správu Microsoft Intune 5

  3. Na další obrazovce vyberte Použít jako formát návrháře konfigurace . Zadejte následující vlastnosti:

    • Konfigurační klíč: issupervised
    • Typ hodnoty: Řetězec
    • Hodnota konfigurace: {{issupervised}}

    Obrázek Centra pro správu Microsoft Intune 6.

  4. Výběrem možnosti Další otevřete stránku Značky oboru . Značky oboru jsou volitelné. Pokračujte výběrem možnosti Další .

  5. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Pro tento scénář je osvědčeným postupem cílit na Všechna zařízení. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Při nasazování do skupin uživatelů se uživatel musí přihlásit k zařízení, než se zásady použijí.

    Klikněte na tlačítko Další.

  6. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.

Konfigurační profil zařízení (filtr ovládacích prvků)

Poznámka

Pro zařízení se systémem iOS/iPadOS (v režimu pod dohledem) je k dispozici vlastní profil .mobileconfig označovaný jako profil ControlFilter . Tento profil umožňuje webovou ochranu bez nastavení sítě VPN zpětné místní smyčky v zařízení. To poskytuje koncovým uživatelům bezproblémové prostředí a zároveň jsou stále chráněni před útoky phishing a jinými webovými útoky.

Profil ControlFilter však nefunguje s Always-On VPN (AOVPN) kvůli omezením platformy.

Správci nasadí libovolný z daných profilů.

  1. Filtr ovládacích prvků nulového dotyku (tichého ovládání) – Tento profil umožňuje uživatelům bezobslužné onboardingování. Stažení konfiguračního profilu z ControlFilterZeroTouch

  2. Filtr ovládacích prvků – stáhněte konfigurační profil z ControlFilteru.

Po stažení profilu nasaďte vlastní profil. Postupujte podle následujících kroků:

  1. Přejděte na Profilykonfigurace>zařízení> proiOS/iPadOS>Create Profil.

  2. Vyberte Šablony typu> profilu aNázev> šablonyVlastní.

    Obrázek Centra pro správu Microsoft Intune 7

  3. Zadejte název profilu. Po zobrazení výzvy k importu souboru konfiguračního profilu vyberte soubor stažený z předchozího kroku.

  4. V části Přiřazení vyberte skupinu zařízení, na kterou chcete tento profil použít. Osvědčeným postupem je použít tento postup pro všechna spravovaná zařízení s iOSem. Vyberte Další.

    Poznámka

    Vytváření skupin zařízení se podporuje v defenderu for Endpoint Plan 1 i v plánu 2.

  5. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu konfiguračních profilů.

Nastavení automatizovaného zprovoznění (jenom pro zařízení bez dohledu)

Správci můžou onboarding Defenderu uživatelům automatizovat dvěma různými způsoby pomocí nulového (tichého) onboardingu nebo automatického zprovoznění SÍTĚ VPN.

Bezdotykové (tiché) onboarding Microsoft Defender for Endpoint

Poznámka

Na zařízeních s iOSem, která jsou zaregistrovaná bez přidružení uživatele (zařízení bez uživatele nebo sdílená zařízení), není možné nakonfigurovat funkci nulového dotykového ovládání.

Správci můžou nakonfigurovat Microsoft Defender for Endpoint pro nasazení a aktivaci bezobslužně. V tomto toku správce vytvoří profil nasazení a uživatel se jednoduše upozorní na instalaci. Defender for Endpoint se nainstaluje automaticky, aniž by uživatel potřeboval aplikaci otevřít. Pomocí následujících kroků nastavte bezobslužné nebo tiché nasazení Defenderu for Endpoint na zaregistrovaných zařízeních s iOSem:

  1. V Centru pro správu Microsoft Intune přejděte naProfily> konfigurace zařízení>Create Profil.

  2. Zvolte Platform as iOS/iPadOS, Profile type (Typ profilu) jako Templates (Šablony) a Template name (Název šablony) jako VPN. Vyberte Vytvořit.

  3. Zadejte název profilu a vyberte Další.

  4. Jako Typ připojení vyberte Vlastní SÍŤ VPN a v části Základní síť VPN zadejte následující:

    • Název připojení = Microsoft Defender for Endpoint
    • Adresa serveru VPN = 127.0.0.1
    • Metoda ověřování = "Uživatelské jméno a heslo"
    • Rozdělit tunelování = Zakázat
    • Identifikátor SÍTĚ VPN = com.microsoft.scmx
    • Ve dvojicích klíč-hodnota zadejte klíč SilentOnboard a nastavte hodnotu na True.
    • Typ automatické sítě VPN = VPN na vyžádání
    • V části Pravidla na vyžádání vyberte Přidat a vyberte Chci provést následující příkaz = Připojit SÍŤ VPN, chci omezit na = Všechny domény.

    Stránka Konfigurace profilu SÍTĚ VPN

    • Aby správci nemohli zakázat síť VPN v zařízení uživatelů, můžou v části Blokovat uživatelům zakázat automatickou síť VPN vybrat Ano. Ve výchozím nastavení není nakonfigurovaná a uživatelé můžou vpn zakázat jenom v Nastavení.
    • Pokud chcete uživatelům povolit změnu přepínače VPN z aplikace, přidejte do párů klíč-hodnota enableVPNToggleInApp = PRAVDA. Ve výchozím nastavení nemůžou uživatelé změnit přepínač z aplikace.

  5. Vyberte Další a přiřaďte profil cílovým uživatelům.

  6. V části Zkontrolovat a Create ověřte, že jsou všechny zadané informace správné, a pak vyberte Create.

Jakmile se výše uvedená konfigurace provede a synchronizuje se zařízením, provedou se na cílových zařízeních s iOSem následující akce:

  • Microsoft Defender for Endpoint se nasadí a bezobslužně nasadí a zařízení se zobrazí na portálu Defenderu for Endpoint.
  • Zařízení uživatele bude odesláno předběžné oznámení.
  • Aktivuje se webová ochrana a další funkce.

Poznámka

U zařízení pod dohledem můžou správci pomocí nového profilu ovládacího filtru ovládacího prvku ZeroTouch nastavit onboarding s nulovým dotykovým ovládáním.

Profil sítě VPN Defender for Endpoint se na zařízení nenainstaluje a profil filtru ovládacích prvků zajistí webovou ochranu.

Automatické zprovoznění profilu SÍTĚ VPN (zjednodušené zprovoznění)

Poznámka

Tento krok zjednodušuje proces onboardingu nastavením profilu SÍTĚ VPN. Pokud používáte funkci Nulové dotykové ovládání, nemusíte tento krok provádět.

Pro zařízení bez dohledu se k poskytování funkce webové ochrany používá síť VPN. Nejedná se o běžnou síť VPN a jedná se o místní nebo samoobslužnou síť VPN, která nepřebíná provoz mimo zařízení.

Správci můžou nakonfigurovat automatické nastavení profilu SÍTĚ VPN. Tím se automaticky nastaví profil SÍTĚ VPN Defender for Endpoint, aniž by to uživatel musel při onboardingu provést.

  1. V Centru pro správu Microsoft Intune přejděte naProfily> konfigurace zařízení>Create Profil.

  2. Jako iOS/iPadOS zvolte Platform (Platforma) a profile type (Typ profilu) jako VPN. Klikněte na Create.

  3. Zadejte název profilu a klikněte na Další.

  4. Jako Typ připojení vyberte Vlastní SÍŤ VPN a v části Základní síť VPN zadejte následující:

    • Název připojení = Microsoft Defender for Endpoint

    • Adresa serveru VPN = 127.0.0.1

    • Metoda ověřování = "Uživatelské jméno a heslo"

    • Rozdělit tunelování = Zakázat

    • Identifikátor SÍTĚ VPN = com.microsoft.scmx

    • Ve dvojicích klíč-hodnota zadejte klíč AutoOnboard a nastavte hodnotu na True.

    • Typ automatické sítě VPN = VPN na vyžádání

    • V části Pravidla na vyžádání vyberte Přidat a vyberte Chci provést následující příkaz = Připojit SÍŤ VPN, chci omezit na = Všechny domény.

      Karta Nastavení konfigurace profilu SÍTĚ VPN

    • Pokud chcete vyžadovat, aby síť VPN nebylo možné zakázat na zařízení uživatele, můžou správci vybrat Ano v části Blokovat uživatelům zakázání automatické sítě VPN. Ve výchozím nastavení není toto nastavení nakonfigurované a uživatelé můžou vpn zakázat jenom v Nastavení.

    • Pokud chcete uživatelům povolit změnu přepínače VPN z aplikace, přidejte do párů klíč-hodnota enableVPNToggleInApp = PRAVDA. Ve výchozím nastavení nemůžou uživatelé změnit přepínač z aplikace.

  5. Klikněte na Další a přiřaďte profil cílovým uživatelům.

  6. V části Zkontrolovat a Create ověřte, že jsou všechny zadané informace správné, a pak vyberte Create.

Nastavení registrace uživatelů (pouze pro zařízení zaregistrovaná uživatelem Intune)

Důležité

Registrace uživatelů pro Microsoft Defender v iOSu je ve verzi Public Preview. Následující informace se týkají předem vydaných produktů, které mohou být podstatně změněny před komerčním vydáním. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Microsoft Defender aplikaci pro iOS je možné nasadit na Intune zařízení zaregistrovaná uživatelem pomocí následujícího postupu.

Správce

  1. Nastavte profil registrace uživatele v Intune. Intune podporuje registraci uživatelů Apple řízenou účtem a registraci uživatelů Apple s Portál společnosti. Přečtěte si další informace o porovnání těchto dvou metod a vyberte jednu z nich.

  2. Nastavte modul plug-in jednotného přihlašování. Aplikace Authenticator s rozšířením jednotného přihlašování je předpokladem pro registraci uživatelů v zařízení s iOSem.

    • Create je profil konfigurace zařízení v Intune – Konfigurace modulu plug-in pro iOS/iPadOS Enterprise SSO s MDM | Microsoft Learn.
    • Ujistěte se, že jste do výše uvedené konfigurace přidali tyto dva klíče:
    • ID sady aplikací: V tomto seznamu com.microsoft.scmx uveďte ID sady aplikací Defender.
    • Další konfigurace: Klíč - device_registration ; Type - String ; Hodnota– {{DEVICEREGISTRATION}}

  3. Nastavte klíč MDM pro registraci uživatelů.

    • V Intune přejděte na Přejít na Zásady > konfigurace aplikací > Přidat > spravovaná zařízení.
    • Pojmenujte zásadu, vyberte Platforma > iOS/iPadOS.
    • Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.
    • Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte userEnrolmentEnabled jako klíč, typ hodnoty jako Řetězec a hodnotu jako True.

  4. Správa může z Intune nabízet Defender jako požadovanou aplikaci VPP.

Koncový uživatel

Aplikace Defender se nainstaluje do zařízení uživatele. Uživatel se přihlásí a dokončí onboarding. Po úspěšném nasazení se zařízení zobrazí na portálu zabezpečení defenderu v části Inventář zařízení.

Podporované funkce a omezení

  1. Podporuje všechny aktuální funkce MDE iOS, jako je ochrana webu, ochrana sítě, detekce jailbreaků, ohrožení zabezpečení v operačním systému a aplikacích, upozorňování na portálu zabezpečení v programu Defender a zásady dodržování předpisů.
  2. Nasazení bez dotykového ovládání (bezobslužné) a automatické zprovoznění sítě VPN se při registraci uživatelů nepodporuje, protože správci nemůžou nabízet profil SÍTĚ VPN pro celé zařízení s registrací uživatelů.
  3. V případě správy ohrožení zabezpečení aplikací budou viditelné jenom aplikace v pracovním profilu.
  4. Přečtěte si další informace o omezeních a možnostech registrace uživatelů.

Dokončení onboardingu a kontrola stavu

  1. Po instalaci Defenderu for Endpoint v iOSu na zařízení se zobrazí ikona aplikace.

  2. Klepněte na ikonu aplikace Defender for Endpoint (MSDefender) a postupujte podle pokynů na obrazovce a dokončete kroky onboardingu. Podrobnosti zahrnují souhlas koncových uživatelů s oprávněními k iOSu vyžadovanými defenderem for Endpoint v iOSu.

Poznámka

Tento krok přeskočte, pokud nakonfigurujete onboarding bez dotykového ovládání (bezobslužné). Ruční spuštění aplikace není nutné, pokud je nakonfigurováno nulové dotykové (tiché) onboarding.

  1. Po úspěšném zprovoznění se zařízení začne zobrazovat v seznamu Zařízení na portálu Microsoft Defender.

    Stránka Inventář zařízení

Další kroky

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.