Konfigurace funkcí Microsoft Defender for Endpoint v iOSu

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Defender for Endpoint v iOSu by k poskytování funkce Webové ochrany používal síť VPN. Nejedná se o běžnou síť VPN a jedná se o místní nebo samoobslužnou síť VPN, která nepřebíná provoz mimo zařízení.

Podmíněný přístup s defenderem for Endpoint v iOSu

Microsoft Defender for Endpoint v iOSu společně s Microsoft Intune a Microsoft Entra ID umožňují vynucovat dodržování předpisů zařízením a zásady podmíněného přístupu na základě rizikového skóre zařízení. Defender for Endpoint je řešení ochrany před mobilními hrozbami (MTD), které můžete nasadit, abyste mohli tuto funkci používat prostřednictvím Intune.

Další informace o nastavení podmíněného přístupu pomocí Defenderu for Endpoint v iOSu najdete v tématu Defender for Endpoint a Intune.

Webová ochrana a SÍŤ VPN

Ve výchozím nastavení Defender for Endpoint v iOSu zahrnuje a povoluje funkci webové ochrany. Webová ochrana pomáhá zabezpečit zařízení před webovými hrozbami a chránit uživatele před phishingovými útoky. Anti-phishing a vlastní indikátory (URL a doména) jsou podporovány jako součást webové ochrany. Vlastní indikátory založené na IP adresách se v iOSu v současné době nepodporují. Filtrování webového obsahu se v současné době nepodporuje na mobilních platformách (Android a iOS).

Defender for Endpoint v iOSu používá k poskytování této funkce síť VPN. Všimněte si, že síť VPN je místní a na rozdíl od tradiční sítě VPN se síťový provoz neodesílá mimo zařízení.

I když je tato možnost ve výchozím nastavení povolená, můžou v některých případech vyžadovat zakázání sítě VPN. Chcete například spustit některé aplikace, které nefungují, když je nakonfigurovaná síť VPN. V takových případech se můžete rozhodnout zakázat síť VPN z aplikace v zařízení pomocí následujícího postupu:

  1. Na zařízení s iOSem otevřete aplikaci Nastavení , vyberte Obecné a pak VPN.

  2. Vyberte tlačítko i pro Microsoft Defender for Endpoint.

  3. Vypnutím možnosti Připojit na vyžádání vpn zakážete.

    Přepínací tlačítko pro možnost Připojení na vyžádání ke konfiguraci SÍTĚ VPN

Poznámka

Webová ochrana není dostupná, pokud je síť VPN zakázaná. Pokud chcete webovou ochranu znovu povolit, otevřete v zařízení aplikaci Microsoft Defender for Endpoint a klikněte nebo klepněte na Spustit síť VPN.

Zakázat webovou ochranu

Webová ochrana je jednou z klíčových funkcí Defenderu for Endpoint a k poskytování této funkce vyžaduje síť VPN. Použitá síť VPN je místní síť VPN, nikoli tradiční síť VPN, existuje však několik důvodů, proč zákazníci nemusí tuto síť VPN upřednostňovat. Zákazníci, kteří nechtějí nastavit síť VPN, mají možnost zakázat webovou ochranu a nasadit Defender for Endpoint bez této funkce. Ostatní funkce Defenderu for Endpoint nadále fungují.

Tato konfigurace je dostupná pro zaregistrovaná zařízení (MDM) i pro nezaregistrovaná zařízení (MAM). Pro zákazníky s MDM můžou správci nakonfigurovat webovou ochranu prostřednictvím spravovaných zařízení v konfiguraci aplikací. U zákazníků bez registrace můžou správci pomocí MAM nakonfigurovat webovou ochranu prostřednictvím spravovaných aplikací v konfiguraci aplikací.

Konfigurace webové ochrany

  1. Zakázat webovou ochranu (MDM) Pomocí následujícího postupu zakažte webovou ochranu pro zaregistrovaná zařízení.

    • V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.
    • Pojmenujte zásadu Platform > iOS/iPadOS.
    • Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.
    • Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte WebProtection jako klíč a typ hodnoty jako Řetězec.
      • Ve výchozím nastavení WebProtection= true.
      • Správa musí nastavit WebProtection = false, aby se webová ochrana vypnula.
      • Defender odešle prezentní signál na portál Microsoft Defender pokaždé, když uživatel aplikaci otevře.
      • Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

  2. Zakázat webovou ochranu (MAM) Pomocí následujícího postupu zakažte webovou ochranu pro nezaregistrovaná zařízení.

    • V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.
    • Pojmenujte zásadu.
    • V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.
    • Na stránce Nastavení v části Obecné nastavení konfigurace přidejte jako klíč WebProtection a hodnotu false.
      • Ve výchozím nastavení WebProtection= true.
      • Správa musí nastavit WebProtection = false, aby se webová ochrana vypnula.
      • Defender odešle prezentní signál na portál Microsoft Defender pokaždé, když uživatel aplikaci otevře.
      • Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Konfigurace ochrany sítě

Ochrana sítě v Microsoft Defender pro koncový bod je ve výchozím nastavení zakázaná. Správci můžou ke konfiguraci ochrany sítě použít následující postup. Tato konfigurace je k dispozici pro zaregistrovaná zařízení prostřednictvím konfigurace MDM i pro nezaregistrovaná zařízení prostřednictvím konfigurace MAM.

Poznámka

Pro ochranu sítě by se měla vytvořit jenom jedna zásada, a to MDM nebo MAM.

Pro zaregistrovaná zařízení (MDM)

Pokud chcete nastavit konfiguraci MDM pro zaregistrovaná zařízení pro ochranu sítě, postupujte podle následujících kroků.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Zadejte název a popis zásady. V části Platforma zvolte iOS/iPad.

  3. V cílové aplikaci zvolte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení zvolte formát nastavení konfigurace Použít návrháře konfigurace.

  5. Jako konfigurační klíč přidejte DefenderNetworkProtectionEnable, jako typ hodnoty String a hodnotu true pro povolení ochrany sítě. (Ochrana sítě je ve výchozím nastavení zakázaná.)

    Snímek obrazovky znázorňující zásady konfigurace mdm

  6. Pro další konfigurace související s ochranou sítě přidejte následující klíče a zvolte odpovídající typ hodnoty a hodnotu.

    Klíč Typ hodnoty Výchozí (true-enable, false-disable) Popis
    DefenderOpenNetworkDetection Celé číslo 0 1 – Audit, 0 – Disable(výchozí), 2 – Povolit. Toto nastavení spravuje IT Správa auditovat, zakázat nebo povolit detekci otevřené sítě. V režimu auditování se výstrahy odesílají jenom na portál ATP bez zkušeností koncového uživatele. Pro koncové uživatele nastavte konfiguraci na režim Povolit.
    DefenderEndUserTrustFlowEnable String False true - enable, false - disable; Toto nastavení používají správci IT k povolení nebo zakázání prostředí koncového uživatele v aplikaci, aby mohli důvěřovat nezabezpečeným a podezřelým sítím a nedůvěřovat jim.
    DefenderNetworkProtectionAutoRemediation String Pravda true - enable, false - disable; Toto nastavení používá správce IT k povolení nebo zakázání upozornění na nápravu, která se odesílají, když uživatel provádí nápravné činnosti, jako je přepnutí na bezpečnější přístupové body WI-FI nebo odstranění podezřelých certifikátů zjištěných programem Defender.
    DefenderNetworkProtectionPrivacy String Pravda true - enable, false - disable; Toto nastavení spravuje správce IT, aby mohl povolit nebo zakázat ochranu osobních údajů v síti.

  7. V části Přiřazení může správce zvolit skupiny uživatelů, které do zásad zahrne a vyloučí.

  8. Zkontrolujte a vytvořte zásady konfigurace.

Pro nezaregistrovaná zařízení (MAM)

Podle následujících kroků nastavte konfiguraci MAM pro nezaregistrovaná zařízení pro ochranu sítě (pro konfiguraci MAM se vyžaduje registrace zařízení Authenticator) v zařízeních s iOSem. Inicializace ochrany sítě vyžaduje, aby koncový uživatel aplikaci jednou otevřel.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace>Create nové zásady konfigurace aplikací.

    Přidejte zásady konfigurace.

  2. Zadejte název a popis pro jednoznačnou identifikaci zásad. Pak vyberte Vybrat veřejné aplikace a zvolte Microsoft Defender pro platformu iOS/iPadOS.

    Pojmenujte konfiguraci.

  3. Na stránce Nastavení jako klíč přidejte DefenderNetworkProtectionEnable a hodnotu pro true povolení ochrany sítě. (Ochrana sítě je ve výchozím nastavení zakázaná.)

    Přidejte hodnotu konfigurace.

  4. Pro další konfigurace související s ochranou sítě přidejte následující klíče a odpovídající odpovídající hodnotu.

    Klíč Výchozí (true - enable, false - disable) Popis
    DefenderOpenNetworkDetection 0 1 – Audit, 0 – Zakázat (výchozí), 2 – Povolit. Toto nastavení spravuje správce IT, který umožňuje povolit, auditovat nebo zakázat detekci otevřené sítě. V režimu auditování se výstrahy odesílají jenom na portál ATP bez uživatelského prostředí. Pro uživatelské prostředí nastavte konfiguraci na režim Povolit.
    DefenderEndUserTrustFlowEnable False true - enable, false - disable; Toto nastavení používají správci IT k povolení nebo zakázání prostředí koncového uživatele v aplikaci, aby mohli důvěřovat nezabezpečeným a podezřelým sítím a nedůvěřovat jim.
    DefenderNetworkProtectionAutoRemediation Pravda true - enable, false - disable; Toto nastavení používá správce IT k povolení nebo zakázání upozornění na nápravu, která se odesílají, když uživatel provádí nápravné činnosti, jako je přepnutí na bezpečnější přístupové body WI-FI nebo odstranění podezřelých certifikátů zjištěných programem Defender.
    DefenderNetworkProtectionPrivacy Pravda true - enable, false - disable; Toto nastavení spravuje správce IT, aby mohl povolit nebo zakázat ochranu osobních údajů v síti.

  5. V části Přiřazení může správce zvolit skupiny uživatelů, které mají zásady zahrnout a vyloučit.

    Přiřaďte konfiguraci.

  6. Zkontrolujte a vytvořte zásady konfigurace.

Koexistence více profilů VPN

Apple iOS nepodporuje, aby bylo současně aktivních více sítí VPN pro celé zařízení. I když na zařízení může existovat více profilů VPN, může být aktivní jenom jedna síť VPN najednou.

Konfigurace signálu Microsoft Defender for Endpoint rizik v zásadách ochrany aplikací (MAM)

Microsoft Defender for Endpoint v iOSu umožňuje scénář zásad ochrany aplikací. Koncoví uživatelé si můžou nainstalovat nejnovější verzi aplikace přímo z App Storu Apple. Ujistěte se, že je zařízení zaregistrované ve službě Authenticator se stejným účtem, který se používá k onboardingu v Defenderu pro úspěšnou registraci MAM.

Microsoft Defender for Endpoint je možné nakonfigurovat tak, aby odesílaly signály hrozeb, které se mají použít v zásadách ochrany aplikací (APP, označované také jako MAM) v systému iOS/iPadOS. Díky této funkci můžete Microsoft Defender for Endpoint také použít k ochraně přístupu k podnikovým datům z nezaregistrovaných zařízení.

Postupujte podle kroků na následujícím odkazu a nastavte zásady ochrany aplikací pomocí Microsoft Defender for Endpoint Konfigurace signálů rizik Defenderu v zásadách ochrany aplikací (MAM).

Další podrobnosti o MAM nebo zásadách ochrany aplikací najdete v tématu Nastavení zásad ochrany aplikací pro iOS.

Ovládací prvky ochrany osobních údajů

Microsoft Defender for Endpoint v iOSu umožňuje řízení ochrany osobních údajů pro správce i koncové uživatele. To zahrnuje ovládací prvky pro zaregistrovaná zařízení (MDM) a nezaregistrovaná zařízení (MAM).

Pro zákazníky s MDM můžou správci nakonfigurovat řízení ochrany osobních údajů prostřednictvím spravovaných zařízení v konfiguraci aplikací. Pro zákazníky bez registrace můžou správci pomocí MAM nakonfigurovat řízení ochrany osobních údajů prostřednictvím spravovaných aplikací v konfiguraci aplikací. Koncoví uživatelé budou mít také možnost konfigurovat nastavení ochrany osobních údajů z nastavení aplikace Defender.

Konfigurace ochrany osobních údajů v sestavě upozornění na phish

Zákazníci teď můžou povolit řízení ochrany osobních údajů pro sestavu phish odesílanou Microsoft Defender for Endpoint v iOSu, aby se název domény nezahrnoval jako součást upozornění na phish pokaždé, když Microsoft Defender for Endpoint zjistí a zablokuje phish web.

  1. Správa Ovládací prvky ochrany osobních údajů (MDM) Pomocí následujících kroků povolte ochranu osobních údajů a neshromažďujte název domény jako součást sestavy upozornění na phish pro zaregistrovaná zařízení.

    1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

    2. Pojmenujte zásadu Platform > iOS/iPadOS a vyberte typ profilu.

    3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

    4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderExcludeURLInReport jako klíč a typ hodnoty jako Boolean.

      • Pokud chcete povolit ochranu osobních údajů a neshromažďovat název domény, zadejte hodnotu true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
      • Pro uživatele, kteří mají nastavený klíč jako true, neobsahuje upozornění na phish informace o názvu domény pokaždé, když Defender for Endpoint zjistí a zablokuje škodlivý web.

    5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

  2. Správa Řízení ochrany osobních údajů (MAM) Pomocí následujícího postupu povolte ochranu osobních údajů a neshromažďujte název domény jako součást sestavy upozornění na phishing pro nezaregistrovaná zařízení.

    1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravované aplikace.

    2. Pojmenujte zásadu.

    3. V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.

    4. Na stránce Nastavení v části Obecné nastavení konfigurace přidejte klíč DefenderExcludeURLInReport a hodnotu jako true.

      • Pokud chcete povolit ochranu osobních údajů a neshromažďovat název domény, zadejte hodnotu true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
      • Pro uživatele, kteří mají nastavený klíč jako true, neobsahuje upozornění na phish informace o názvu domény pokaždé, když Defender for Endpoint zjistí a zablokuje škodlivý web.

    5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

  3. Ovládací prvky ochrany osobních údajů koncového uživatele Tyto ovládací prvky pomáhají koncovému uživateli nakonfigurovat informace sdílené s jeho organizací.

    U zařízení pod dohledem nejsou ovládací prvky koncových uživatelů viditelné. O nastavení rozhoduje a řídí váš správce. U zařízení bez dohledu se ale ovládací prvek zobrazí v části Ochrana osobních údajů v nastavení>.

    • Uživatelům se zobrazí přepínač Informace o nebezpečném webu.
    • Tento přepínač je viditelný jenom v případě, že Správa nastavil DefenderExcludeURLInReport = true.
    • Pokud Správa povolí, můžou se uživatelé rozhodnout, jestli chtějí informace o nebezpečném webu odeslat do své organizace nebo ne.
    • Ve výchozím nastavení je nastavená na false. Informace o nebezpečném webu se neodesílají.
    • Pokud ho uživatel přepíná na true, odesílají se podrobnosti o nebezpečném webu.

Zapnutí nebo vypnutí výše uvedených ovládacích prvků ochrany osobních údajů nemá vliv na kontrolu dodržování předpisů zařízením ani na podmíněný přístup.

Poznámka

Na zařízeních pod dohledem s konfiguračním profilem mají Microsoft Defender for Endpoint přístup k celé adrese URL, a pokud se zjistí, že se jedná o útok phishing, zablokuje se. Na zařízení bez dohledu má Microsoft Defender for Endpoint přístup jenom k názvu domény, a pokud doména není adresa URL útoku phishing, nebude blokovaná.

Volitelná oprávnění

Microsoft Defender for Endpoint v iOSu povolí volitelná oprávnění v toku onboardingu. V současné době jsou v toku onboardingu povinná oprávnění vyžadovaná defenderem for Endpoint. Díky této funkci můžou správci nasadit Defender for Endpoint na zařízeních BYOD bez vynucení povinného oprávnění VPN během onboardingu. Koncoví uživatelé můžou aplikaci onboardovat bez povinných oprávnění a později tato oprávnění zkontrolovat. Tato funkce je aktuálně dostupná jenom pro zaregistrovaná zařízení (MDM).

Konfigurace volitelného oprávnění

  1. Správa tok (MDM) Pomocí následujícího postupu povolte volitelná oprávnění VPN pro zaregistrovaná zařízení.

    • V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

    • Pojmenujte zásadu a vyberte Platforma > iOS/iPadOS.

    • Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

    • Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderOptionalVPN jako klíč a typ hodnoty jako Boolean.

      • Pokud chcete povolit volitelná oprávnění VPN, zadejte hodnotu jako true a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na false.
      • U uživatelů s klíčem nastaveným na true, můžou aplikaci onboardovat bez udělení oprávnění k síti VPN.

    • Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

  2. Tok koncového uživatele – Uživatel nainstaluje a otevře aplikaci, aby se spustila onboarding.

    • Pokud správce nastavil volitelná oprávnění, může uživatel přeskočit oprávnění VPN a dokončit onboarding.
    • I když uživatel přeskočí síť VPN, zařízení se může připojit a odešle se prezentní signál.
    • Pokud je síť VPN zakázaná, webová ochrana není aktivní.
    • Později může uživatel v aplikaci povolit webovou ochranu, která na zařízení nainstaluje konfiguraci sítě VPN.

Poznámka

Volitelné oprávnění se liší od možnosti Zakázat webovou ochranu. Volitelné oprávnění VPN pomáhá přeskočit oprávnění jenom během onboardingu, ale koncovému uživateli ho může později zkontrolovat a povolit. Zatímco Zakázat webovou ochranu umožňuje uživatelům onboardovat aplikaci Defender for Endpoint bez webové ochrany. Později ji nelze povolit.

Detekce jailbreaků

Microsoft Defender for Endpoint dokáže detekovat nespravovaná a spravovaná zařízení s jailbreakem. Tyto kontroly jailbreaku se provádějí pravidelně. Pokud je zařízení zjištěno jako jailbreak, dojde k těmto událostem:

  • Upozornění na vysoké riziko se hlásí na portálu Microsoft Defender. Pokud je dodržování předpisů zařízením a podmíněný přístup nastavené na základě rizikového skóre zařízení, pak se zařízení zablokuje v přístupu k podnikovým datům.
  • Uživatelská data v aplikaci se vymažou. Když uživatel aplikaci otevře po jailbreaku, odstraní se také profil VPN a nenabízí se žádná webová ochrana.

Konfigurace zásad dodržování předpisů pro zařízení s jailbreakem

Pokud chcete chránit podniková data před přístupem na zařízeních s iOSem s jailbreakem, doporučujeme na Intune nastavit následující zásady dodržování předpisů.

Poznámka

Detekce jailbreaků je funkce, kterou poskytuje Microsoft Defender for Endpoint v iOSu. Doporučujeme ale nastavit tuto zásadu jako další vrstvu ochrany před jailbreakem ve scénářích.

Pomocí následujícího postupu vytvořte zásady dodržování předpisů pro zařízení s jailbreakem.

  1. V Centru pro správu Microsoft Intune přejděte naZásady> dodržování předpisů zařízením>Create Zásady. Jako platformu vyberte iOS/iPadOS a vyberte Create.

    Karta Zásady Create

  2. Zadejte název zásady, například Zásady dodržování předpisů pro jailbreak.

  3. Na stránce nastavení dodržování předpisů rozbalte část Stav zařízení a vyberte pole Blokovat pro zařízení s jailbreakem .

    Karta Nastavení dodržování předpisů

  4. V části Akce při nedodržení předpisů vyberte akce podle vašich požadavků a vyberte Další.

    Karta Akce při nedodržení předpisů

  5. V části Přiřazení vyberte skupiny uživatelů, které chcete zahrnout do této zásady, a pak vyberte Další.

  6. V části Zkontrolovat a Create ověřte, že jsou všechny zadané informace správné, a pak vyberte Create.

Konfigurace vlastních indikátorů

Defender for Endpoint v iOSu umožňuje správcům konfigurovat vlastní indikátory také na zařízeních s iOSem. Další informace o tom, jak nakonfigurovat vlastní indikátory, najdete v tématu Správa indikátorů.

Poznámka

Defender for Endpoint v iOSu podporuje vytváření vlastních indikátorů jenom pro adresy URL a domény. Vlastní indikátory založené na IP adresách se v iOSu nepodporují.

V iOSu se při přístupu k adrese URL nebo doméně nastavené v indikátoru negenerují žádná upozornění na Microsoft Defender XDR.

Konfigurace posouzení ohrožení zabezpečení aplikací

Snížení kybernetického rizika vyžaduje komplexní správu ohrožení zabezpečení na základě rizik, která umožňuje identifikovat, posoudit, napravit a sledovat všechna vaše největší ohrožení zabezpečení u nejdůležitějších prostředků, a to vše v jediném řešení. Další informace o Microsoft Defender Správa zranitelností v Microsoft Defender for Endpoint najdete na této stránce.

Defender for Endpoint v iOSu podporuje posouzení ohrožení zabezpečení operačního systému a aplikací. Posouzení ohrožení zabezpečení verzí iOS je k dispozici pro zaregistrovaná zařízení (MDM) i neregistrovaná zařízení (MAM). Posouzení ohrožení zabezpečení aplikací se týká jenom zaregistrovaných zařízení (MDM). Správci můžou pomocí následujícího postupu nakonfigurovat posouzení ohrožení zabezpečení aplikací.

Na zařízení pod dohledem

  1. Ujistěte se, že je zařízení nakonfigurované v režimu Pod dohledem.

  2. Pokud chcete tuto funkci povolit v Centru pro správu Microsoft Intune, přejděte do části Endpoint Security>Microsoft Defender for Endpoint>Povolit synchronizaci aplikací pro zařízení s iOS/iPadOS.

    Přepínač synchronizace aplikacíSup

Poznámka

Pokud chce správce získat seznam všech aplikací včetně nespravovaných aplikací, musí povolit odesílání úplných dat inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví na portálu Intune Správa pro zařízení pod dohledem označená jako Osobní. U zařízení pod dohledem označených na portálu Intune Správa Portal jako Firemní nemusí správce povolit odesílání úplných dat inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví.

Na zařízení bez dohledu

  1. Pokud chcete tuto funkci povolit v Centru pro správu Microsoft Intune, přejděte do části Endpoint Security>Microsoft Defender for Endpoint>Povolit synchronizaci aplikací pro zařízení s iOS/iPadOS.

    Přepínač synchronizace aplikací

  2. Pokud chcete získat seznam všech aplikací včetně nespravovaných aplikací, povolte přepínač Odesílat úplná data inventáře aplikací na zařízeních s iOS/iPadOS v osobním vlastnictví.

    Úplná data aplikace

  3. Pomocí následujícího postupu nakonfigurujte nastavení ochrany osobních údajů.

    • Přejděte na Zásady>konfigurace aplikací>Přidat>spravovaná zařízení.
    • Pojmenujte zásadu Platform>iOS/iPadOS.
    • Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.
    • Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderTVMPrivacyMode jako klíč a typ hodnoty jako Řetězec.
      • Pokud chcete zakázat ochranu osobních údajů a shromáždit seznam nainstalovaných aplikací, zadejte hodnotu jako False a přiřaďte tuto zásadu uživatelům.
      • Ve výchozím nastavení je tato hodnota nastavená na True pro zařízení bez dohledu.
      • Uživatelům, kteří mají klíč nastavený jako False, odešle Defender for Endpoint seznam aplikací nainstalovaných v zařízení pro účely posouzení ohrožení zabezpečení.
    • Klikněte na Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.
    • Zapnutí nebo vypnutí výše uvedených ovládacích prvků ochrany osobních údajů neovlivní kontrolu dodržování předpisů zařízením ani podmíněný přístup.

  4. Po použití konfigurace bude muset koncový uživatel otevřít aplikaci a schválit nastavení ochrany osobních údajů.

    • Obrazovka schválení ochrany osobních údajů se zobrazí jenom pro zařízení bez dohledu.

    • Pouze pokud koncový uživatel schválí ochranu osobních údajů, odesílají se informace o aplikaci do konzoly Defenderu for Endpoint.

      Snímek obrazovky ochrany osobních údajů koncového uživatele

Jakmile se verze klienta nasadí na cílová zařízení s iOSem, spustí se zpracování. Chyby zabezpečení zjištěné na těchto zařízeních se začnou zobrazovat na řídicím panelu správy ohrožení zabezpečení programu Defender. Dokončení zpracování může trvat několik hodin (maximálně 24 hodin). Zejména pro celý seznam aplikací, které se zobrazí v inventáři softwaru.

Poznámka

Pokud v zařízení s iOSem používáte řešení kontroly SSL, povolte prosím seznam těchto názvů domén securitycenter.windows.com (v komerčním prostředí) a securitycenter.windows.us (v prostředí GCC), aby fungovala funkce TVM.

Zakázat odhlášení

Defender for Endpoint v iOSu podporuje nasazení bez tlačítka odhlášení v aplikaci, aby se uživatelé nemohli z aplikace Defender odhlásit. To je důležité, aby se uživatelům zabránilo v manipulaci se zařízením.

Tato konfigurace je dostupná jak pro zaregistrovaná zařízení (MDM), tak pro nezaregistrovaná zařízení (MAM). Správci můžou pomocí následujícího postupu nakonfigurovat možnost Zakázat odhlášení.

Konfigurace zákazu odhlášení

Pro zaregistrovaná zařízení (MDM)

  1. V Centru pro správu Microsoft Intune přejděte na Zásady > konfigurace aplikací > Přidat > spravovaná zařízení.
  2. Pojmenujte zásadu a vyberte Platforma > iOS/iPadOS.
  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.
  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DisableSignOut jako klíč a typ hodnoty jako String.
  5. Ve výchozím nastavení je DisableSignOut = false.
  6. Správa musí být disableSignOut = true, aby se tlačítko pro odhlášení v aplikaci zakázalo. Po nasdílení zásad se uživatelům tlačítko pro odhlášení nezobrazí.
  7. Klikněte na Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Pro nezaregistrovaná zařízení (MAM)

  1. V Centru pro správu Microsoft Intune přejděte na Zásady > konfigurace aplikací > Přidat > spravované aplikace.
  2. Pojmenujte zásadu.
  3. V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.
  4. Na stránce Nastavení přidejte klíč DisableSignOut a hodnotu jako true v části Obecné nastavení konfigurace.
  5. Ve výchozím nastavení je DisableSignOut = false.
  6. Správa musí být disableSignOut = true, aby se tlačítko pro odhlášení v aplikaci zakázalo. Po nasdílení zásad se uživatelům tlačítko pro odhlášení nezobrazí.
  7. Klikněte na Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Důležité

Tato funkce je ve verzi Public Preview. Následující informace se týkají předem vydaných produktů, které mohou být podstatně změněny před komerčním vydáním. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Označování zařízení

Defender for Endpoint v iOSu umožňuje hromadné označování mobilních zařízení během onboardingu tím, že správcům umožňuje nastavit značky prostřednictvím Intune. Správa můžete nakonfigurovat značky zařízení prostřednictvím Intune prostřednictvím zásad konfigurace a odeslat je do zařízení uživatele. Jakmile uživatel nainstaluje a aktivuje Defender, klientská aplikace předá značky zařízení na portál zabezpečení. Značky zařízení se zobrazují na zařízeních v inventáři zařízení.

Tato konfigurace je dostupná jak pro zaregistrovaná zařízení (MDM), tak pro nezaregistrovaná zařízení (MAM). Správci můžou ke konfiguraci značek zařízení použít následující postup.

Konfigurace značek zařízení

Pro zaregistrovaná zařízení (MDM)

  1. V Centru pro správu Microsoft Intune přejděte na Zásady > konfigurace aplikací > Přidat > spravovaná zařízení.

  2. Pojmenujte zásadu a vyberte Platforma > iOS/iPadOS.

  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderDeviceTag jako klíč a typ hodnoty jako Řetězec.

    • Správa můžete přiřadit novou značku přidáním klíče DefenderDeviceTag a nastavením hodnoty pro značku zařízení.
    • Správa můžete upravit existující značku úpravou hodnoty klíče DefenderDeviceTag.
    • Správa můžete odstranit existující značku odebráním klíče DefenderDeviceTag.

  5. Klikněte na Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Pro nezaregistrovaná zařízení (MAM)

  1. V Centru pro správu Microsoft Intune přejděte na Zásady > konfigurace aplikací > Přidat > spravované aplikace.
  2. Pojmenujte zásadu.
  3. V části Vybrat veřejné aplikace zvolte jako cílovou aplikaci Microsoft Defender for Endpoint.
  4. Na stránce Nastavení přidejte DefenderDeviceTag jako klíč v části Obecné nastavení konfigurace.
    • Správa můžete přiřadit novou značku přidáním klíče DefenderDeviceTag a nastavením hodnoty pro značku zařízení.
    • Správa můžete upravit existující značku úpravou hodnoty klíče DefenderDeviceTag.
    • Správa můžete odstranit existující značku odebráním klíče DefenderDeviceTag.
  5. Klikněte na Další a přiřaďte tuto zásadu cílovým zařízením nebo uživatelům.

Poznámka

Aby se značky synchronizovaly s Intune a předávaly portálu zabezpečení, musí být otevřená aplikace Defender. Může trvat až 18 hodin, než se značky na portálu projeví.

Konfigurace možnosti odesílání zpětné vazby v aplikaci

Zákazníci teď mají možnost nakonfigurovat možnost odesílat data zpětné vazby do Microsoftu v rámci aplikace Defender for Endpoint. Data zpětné vazby pomáhají Microsoftu vylepšovat produkty a řešit problémy.

Poznámka

Pro zákazníky cloudu pro státní správu USA je shromažďování dat zpětné vazby ve výchozím nastavení zakázané .

Pomocí následujícího postupu nakonfigurujte možnost odesílání dat zpětné vazby do Microsoftu:

  1. V Centru pro správu Microsoft Intune přejděte naZásady> konfigurace aplikací>Přidat>spravovaná zařízení.

  2. Pojmenujte zásadu a jako typ profilu vyberte Platform > iOS/iPadOS .

  3. Jako cílovou aplikaci vyberte Microsoft Defender for Endpoint.

  4. Na stránce Nastavení vyberte Použít návrháře konfigurace a přidejte DefenderFeedbackData jako klíč a typ hodnoty jako Boolean.

    • Pokud chcete koncovým uživatelům odebrat možnost poskytovat zpětnou vazbu, nastavte hodnotu jako false a přiřaďte tuto zásadu uživatelům. Ve výchozím nastavení je tato hodnota nastavená na true. Pro zákazníky státní správy USA je výchozí hodnota nastavená na false.

    • Pro uživatele, kteří mají nastavený klíč jako true, je k dispozici možnost posílat microsoftu data zpětné vazby v rámci aplikace (nabídka>Nápověda & odeslání zpětné vazby>do Microsoftu).

  5. Vyberte Další a přiřaďte tento profil cílovým zařízením nebo uživatelům.

Nahlásit nebezpečný web

Phishingové weby zosobní důvěryhodné weby za účelem získání vašich osobních nebo finančních údajů. Navštivte stránku Poskytnout zpětnou vazbu k ochraně sítě a nahlaste web, který by mohl být webem útoku phishing.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.