Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Defender for Endpoint iOS:ssä käyttäisi VPN:ää web protection -ominaisuuden tarjoamiseen. Tämä ei ole tavallinen VPN, ja se on paikallinen/itsesilmukainen VPN, joka ei vie liikennettä laitteen ulkopuolelle.

Ehdollinen käyttö Defender for Endpointin kanssa iOS:ssä

Microsoft Defender for Endpoint iOS:ssä sekä Microsoft Intune ja Microsoft Entra ID mahdollistaa laitteiden yhteensopivuuden ja ehdollisten käyttöoikeuksien käytäntöjen pakottamisen laitteen riskipisteiden perusteella. Defender for Endpoint on MTD(Mobile Threat Defense) -ratkaisu, jonka voit ottaa käyttöön, jotta voit käyttää tätä ominaisuutta Intune kautta.

Lisätietoja ehdollisten käyttöoikeuksien määrittämisestä Defender for Endpointin avulla iOS:ssä on kohdassa Defender for Endpoint ja Intune.

Web Protection ja VPN

Oletusarvoisesti Defender for Endpoint iOS:ssä sisältää verkkosuojausominaisuuden ja ottaa sen käyttöön. Verkkosuojaus auttaa suojaamaan laitteita verkkouhkia vastaan ja suojaamaan käyttäjiä tietojenkalasteluhyökkäyksiltä. Tietojenkalastelun torjuntaa ja mukautettuja ilmaisimia (URL ja toimialue) tuetaan osana verkkosuojausta. Ip-pohjaisia mukautettuja ilmaisimia ei tällä hetkellä tueta iOS:ssä. Verkkosisällön suodatusta ei tällä hetkellä tueta mobiiliympäristöissä (Android ja iOS).

Defender for Endpoint iOS:ssä käyttää VPN:ää tämän ominaisuuden tarjoamiseen. Huomaa, että VPN on paikallinen, ja toisin kuin perinteinen VPN, verkkoliikennettä ei lähetetä laitteen ulkopuolelle.

Vaikka vpn on oletusarvoisesti käytössä, joissakin tapauksissa vpn-yhteys on ehkä poistettava käytöstä. Haluat esimerkiksi suorittaa sovelluksia, jotka eivät toimi, kun VPN on määritetty. Tällaisissa tapauksissa voit poistaa VPN:n käytöstä laitteen sovelluksesta seuraavasti:

  1. Avaa iOS-laitteessa Asetukset-sovellus , valitse Yleiset ja sitten VPN.

  2. Valitse Microsoft Defender for Endpoint i-painike.

  3. Poista VPN käytöstä poistamällä Yhteys pyydettäessä -asetus käytöstä.

    VPN-määrityksen Vaihtopainike Tarvittaessa Yhdistä

Huomautus

Verkkosuojaus ei ole käytettävissä, kun VPN on poistettu käytöstä. Jos haluat ottaa Verkkosuojauksen uudelleen käyttöön, avaa Microsoft Defender for Endpoint sovellus laitteessa ja napsauta tai napauta Aloita VPN.

Poista WWW-suojaus käytöstä

Verkkosuojaus on yksi Defender for Endpointin tärkeimmistä ominaisuuksista, ja sen tarjoaminen edellyttää VPN:ää. Käytetty VPN on paikallinen VPN-silmukka, ei perinteinen VPN, mutta on kuitenkin useita syitä, miksi asiakkaat eivät ehkä pidä VPN:stä. Asiakkaat, jotka eivät halua määrittää VPN:ää, voivat poistaa Web Protectionin käytöstä ja ottaa Defender for Endpointin käyttöön ilman tätä ominaisuutta. Muut Defender for Endpoint -ominaisuudet toimivat edelleen.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Asiakkaille, joilla on MDM, järjestelmänvalvojat voivat määrittää verkkosuojauksen hallittujen laitteiden kautta sovellusmäärityksessä. Jos asiakas ei ole rekisteröitynyt mobiilisovellusten hallinnan avulla, järjestelmänvalvojat voivat määrittää verkkosuojauksen hallittujen sovellusten kautta sovellusmäärityksessä.

Verkkosuojauksen määrittäminen

  1. Web Protectionin poistaminen käytöstä (MDM) Seuraavien vaiheiden avulla voit poistaa rekisteröityjen laitteiden verkkosuojauksen käytöstä.

    • Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.
    • Anna käytännölle nimi Platform > iOS/iPadOS.
    • Valitse kohdesovellukseksi Microsoft Defender for Endpoint.
    • Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää WebProtection avaimeksi ja arvotyyppi merkkijonoksi.
      • Oletusarvon mukaan WebProtection= true.
      • Hallinta on määritettävä WebProtection = epätosi, jotta verkkosuojaus voidaan poistaa käytöstä.
      • Defender lähettää sykkeen Microsoft Defender portaaliin aina, kun käyttäjä avaa sovelluksen.
      • Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

  2. Poista www-suojaus käytöstä (MAM) Seuraavien vaiheiden avulla voit poistaa käytöstä verkon suojauksen viemättömissä laitteissa.

    • Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>sovellustenlisääminen>.
    • Anna käytännölle nimi.
    • Valitse Valitse julkiset sovellukset -kohdassa kohdesovellukseksi Microsoft Defender for Endpoint.
    • Lisää Asetukset-sivun Yleiset määritysasetukset -kohdassa avaimeksi WebProtection ja arvoksi epätosi.
      • Oletusarvon mukaan WebProtection= true.
      • Hallinta on määritettävä WebProtection = epätosi, jotta verkkosuojaus voidaan poistaa käytöstä.
      • Defender lähettää sykkeen Microsoft Defender portaaliin aina, kun käyttäjä avaa sovelluksen.
      • Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Verkon suojauksen määrittäminen

Päätepisteen Microsoft Defender verkon suojaus on oletusarvoisesti poistettu käytöstä. Järjestelmänvalvojat voivat määrittää verkon suojauksen seuraavien vaiheiden avulla. Tämä määritys on käytettävissä sekä rekisteröidyissä laitteissa MDM-määrityksen kautta että rekisteröimättömissä laitteissa MAM-määrityksen kautta.

Huomautus

Verkkosuojausta varten tulisi luoda vain yksi käytäntö, joko MDM tai MAM.

Rekisteröidyille laitteille (MDM)

Määritä rekisteröityjen laitteiden MDM-määritykset verkon suojausta varten noudattamalla seuraavia ohjeita.

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Hallittujen laitteidenlisääminen>.

  2. Anna käytännön nimi ja kuvaus. Valitse Käyttöympäristö-kohdassaiOS/iPad.

  3. Valitse kohdesovelluksessa Microsoft Defender for Endpoint.

  4. Valitse Asetukset-sivulla kokoonpanoasetusten muoto Käytä määritysten suunnittelutyökalua.

  5. Lisää määritysavaimeksi DefenderNetworkProtectionEnable, kirjoita merkkijonoksi ja arvoksi tosi, jotta verkkosuojaus voidaan ottaa käyttöön. (Verkon suojaus on oletusarvoisesti poissa käytöstä.)

    Näyttökuva, jossa näkyy mdm-määrityskäytäntö.

  6. Jos haluat muita verkon suojaukseen liittyviä määrityksiä, lisää seuraavat avaimet ja valitse vastaava arvotyyppi ja arvo.

    Näppäin Arvon tyyppi: Oletus (true-enable, false-disable) Kuvaus
    DefenderOpenNetworkDetection Kokonaisluku 0 1 - Valvonta, 0 - Disable(oletus), 2 – Ota käyttöön. IT-Hallinta hallitsee tätä asetusta, jotta avoin verkontunnistus voidaan valvoa, poistaa käytöstä tai ottaa käyttöön. Valvonta-tilassa hälytykset lähetetään vain ATP-portaaliin ilman loppukäyttäjäkokemusta. Jos haluat käyttökokemuksen, määritä määritykseksi Ota käyttöön -tila.
    DefenderEndUserTrustFlowEnable Merkkijono Vääriä true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvojat käyttävät tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä sovelluksen loppukäyttäjän käyttökokemuksen luottaakseen turvattomiin ja epäilyttäviin verkkoihin ja ollakseen luottamatta niihin.
    DefenderNetworkProtectionAutoRemediation Merkkijono Totta true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja käyttää tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä korjausilmoitukset, jotka lähetetään, kun käyttäjä suorittaa korjaustoimia, kuten siirrytään turvallisempiin WIFI-yhteyspisteisiin tai poistetaan Defenderin havaitsemia epäilyttäviä varmenteita.
    DefenderNetworkProtectionPrivacy Merkkijono Totta true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja hallitsee tätä asetusta, jotta tietosuoja voidaan ottaa käyttöön tai poistaa käytöstä verkon suojauksessa.

  7. Määritykset-osiossa järjestelmänvalvoja voi valita käyttäjäryhmiä, jotka sisällytetään käytäntöön ja jotka jätetään pois käytännöstä.

  8. Tarkista ja luo määrityskäytäntö.

Rullaamattomille laitteille (MAM)

Noudata seuraavia ohjeita MAM-määrityksen määrittämiseksi rekisteröimättömille laitteille verkon suojausta varten (Todentamislaitteen rekisteröinti vaaditaan MAM-määrityksissä) iOS-laitteissa. Verkon suojauksen alustus edellyttää, että loppukäyttäjä avaa sovelluksen kerran.

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallittuja sovelluksia>Create uusi sovelluksen määrityskäytäntö.

    Lisää määrityskäytäntö.

  2. Anna käytännön yksilöivä nimi ja kuvaus. Valitse sitten Valitse julkiset sovellukset ja valitse Microsoft Defender käyttöympäristön iOS/iPadOS-käyttöjärjestelmälle.

    Nimeä määritys.

  3. Lisää Asetukset-sivulla avaimeksi DefenderNetworkProtectionEnable ja arvo true verkon suojauksen mahdollistamiseksi. (Verkon suojaus on oletusarvoisesti poissa käytöstä.)

    Lisää määritysarvo.

  4. Lisää seuraavat avaimet ja vastaava arvo muihin verkon suojaukseen liittyviin määrityksiin.

    Näppäin Oletus (tosi - ota käyttöön, epätosi - poista käytöstä) Kuvaus
    DefenderOpenNetworkDetection 0 1 - Valvonta, 0 - Poista käytöstä (oletus), 2 - Ota käyttöön. IT-järjestelmänvalvoja hallitsee tätä asetusta avoimen verkontunnistuksen ottamiseksi käyttöön, valvomiseksi tai ottamiseksi pois käytöstä. Valvontatilassa ilmoitukset lähetetään vain ATP-portaaliin ilman käyttökokemusta. Jos haluat käyttökokemuksen, määritä määritykseksi Ota käyttöön -tila.
    DefenderEndUserTrustFlowEnable Vääriä true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvojat käyttävät tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä sovelluksen loppukäyttäjän käyttökokemuksen luottaakseen turvattomiin ja epäilyttäviin verkkoihin ja ollakseen luottamatta niihin.
    DefenderNetworkProtectionAutoRemediation Totta true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja käyttää tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä korjausilmoitukset, jotka lähetetään, kun käyttäjä suorittaa korjaustoimia, kuten siirrytään turvallisempiin WIFI-yhteyspisteisiin tai poistetaan Defenderin havaitsemia epäilyttäviä varmenteita.
    DefenderNetworkProtectionPrivacy Totta true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja hallitsee tätä asetusta, jotta tietosuoja voidaan ottaa käyttöön tai poistaa käytöstä verkon suojauksessa.

  5. Määritykset-osiossa järjestelmänvalvoja voi valita käyttäjäryhmiä, jotka sisällytetään käytäntöön ja jotka jätetään pois käytännöstä.

    Määritä määritys.

  6. Tarkista ja luo määrityskäytäntö.

Useiden VPN-profiilien rinnakkaiskäyttö

Apple iOS ei tue useita laitteenlaajuisia VPN:iä, jotka ovat aktiivisia samanaikaisesti. Vaikka laitteessa voi olla useita VPN-profiileja, vain yksi VPN voi olla aktiivinen kerrallaan.

Microsoft Defender for Endpoint riskisignaalin määrittäminen sovellusten suojauskäytännössä

Microsoft Defender for Endpoint iOS:ssä mahdollistaa sovelluksen suojauskäytännön skenaarion. Loppukäyttäjät voivat asentaa sovelluksen uusimman version suoraan Apple-sovelluskaupasta. Varmista, että laite on rekisteröity Authenticatoriin ja että samaa tiliä käytetään Defenderiin MAM-rekisteröinnin onnistumiseksi.

Microsoft Defender for Endpoint voidaan määrittää lähettämään uhkasignaaleja käytettäväksi iOS:n/iPadOS:n sovellusten suojauskäytännöissä (APP, tunnetaan myös nimellä MAM). Tämän ominaisuuden avulla voit Microsoft Defender for Endpoint avulla suojata yrityksen tietojen käytön myös avaamattomilta laitteilta.

Määritä sovellusten suojauskäytännöt Microsoft Defender for Endpoint Määritä Defenderin riskisignaaleja sovelluksen suojauskäytännössä noudattamalla seuraavan linkin ohjeita

Lisätietoja mobiilisovellusten hallinnan tai sovelluksen suojauskäytännöstä on kohdassa iOS-sovelluksen suojauskäytännön asetukset.

Tietosuojatoiminnot

iOS Microsoft Defender for Endpoint ottaa tietosuojatoiminnot käyttöön sekä järjestelmänvalvojille että käyttäjille. Tämä sisältää rekisteröityjen (MDM) ja rekisteröimättömien (MAM) laitteiden ohjausobjektit.

Asiakkaille, joilla on MDM, järjestelmänvalvojat voivat määrittää tietosuojatoiminnot hallittujen laitteiden kautta sovellusmäärityksessä. Jos asiakas ei ole rekisteröitynyt, järjestelmänvalvojat voivat mobiilisovellusten hallinnan avulla määrittää tietosuojatoiminnot hallittujen sovellusten kautta sovellusmäärityksessä. Käyttäjät voivat myös määrittää tietosuoja-asetukset Defender-sovelluksen asetuksista.

Tietosuojan määrittäminen tietojen kalasteluhälytysraportissa

Asiakkaat voivat nyt ottaa Microsoft Defender for Endpoint iOS:ssä lähettämän tietojenkalasteluraportin tietosuojan hallinnan käyttöön niin, että toimialuenimi ei sisälly tietojen kalasteluilmoitukseen aina, kun Microsoft Defender for Endpoint havaitsee ja estää tietojenkalastelusivuston.

  1. Hallinta Tietosuojatoiminnot (MDM) Ota tietosuoja käyttöön seuraavien vaiheiden avulla, äläkä kerää toimialuenimeä rekisteröityjen laitteiden tietojenkalasteluhälytysraportin osana.

    1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

    2. Anna käytännölle nimi Platform > iOS/iPadOS, valitse profiilityyppi.

    3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

    4. Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DefenderExcludeURLInReport avaimeksi ja arvotyyppi totuusarvoksi.

      • Jos haluat ottaa tietosuojan käyttöön, etkä kerää toimialuenimeä, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
      • Käyttäjille, joiden avain on määritetty muodossa true, tietojenkalasteluilmoitus ei sisällä toimialuenimitietoja aina, kun Defender on havainnut ja estänyt haitallisen sivuston päätepisteelle.

    5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

  2. Hallinta Tietosuojan hallinta (MAM) Ota tietosuoja käyttöön seuraavien vaiheiden avulla äläkä kerää toimialuenimeä osana tietojenkalasteluhälytysraporttia liittämättömille laitteille.

    1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>sovellustenlisääminen>.

    2. Anna käytännölle nimi.

    3. Valitse kohdassa Valitse julkiset sovelluksetMicrosoft Defender for Endpoint kohdesovellukseksi.

    4. Lisää Asetukset-sivun Yleiset määritysasetukset -kohdassaDefenderExcludeURLInReport avaimeksi ja arvoksi true.

      • Jos haluat ottaa tietosuojan käyttöön, etkä kerää toimialuenimeä, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
      • Käyttäjille, joiden avain on määritetty muodossa true, tietojenkalasteluilmoitus ei sisällä toimialuenimitietoja aina, kun Defender on havainnut ja estänyt haitallisen sivuston päätepisteelle.

    5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

  3. Loppukäyttäjän tietosuojatoiminnot Näiden ohjausobjektien avulla loppukäyttäjä voi määrittää organisaatiolleen jaetut tiedot.

    Valvotuissa laitteissa loppukäyttäjän ohjausobjektit eivät ole näkyvissä. Järjestelmänvalvoja päättää asetuksista ja hallitsee asetuksia. Valvomattomien laitteiden ohjausobjekti näkyy kuitenkin Asetukset-tietosuoja-kohdassa>.

    • Käyttäjät näkevät sivuston turvattomien tietojen vaihtopainikkeen.
    • Tämä vaihtopainike on näkyvissä vain, jos Hallinta on määrittänyt DefenderExcludeURLInReport = true.
    • Jos Hallinta ottaa sen käyttöön, käyttäjät voivat päättää, haluavatko he lähettää vaarallisen sivuston tiedot organisaatiolleen vai eivät.
    • Oletuksena sen asetuksena falseon . Sivustotietoja, jotka eivät ole turvallisia, ei lähetetä.
    • Jos käyttäjä vaihtaa sen arvoon true, vaarallisen sivuston tiedot lähetetään.

Edellä mainittujen tietosuojaohjausobjektien ottaminen käyttöön tai poistaminen käytöstä ei vaikuta laitteen yhteensopivuuden tarkistamiseen tai ehdolliseen käyttöön.

Huomautus

Valvotuissa laitteissa, joissa on määritysprofiili, Microsoft Defender for Endpoint voi käyttää koko URL-osoitetta, ja jos se havaitaan tietojenkalasteluksi, se on estetty. Valvomattomassa laitteessa Microsoft Defender for Endpoint voi käyttää vain toimialuenimeä. Jos toimialue ei ole tietojenkalastelun URL-osoite, sitä ei estetä.

Valinnaiset käyttöoikeudet

Microsoft Defender for Endpoint iOS:ssä ottaa käyttöön valinnaiset käyttöoikeudet perehdytystyönkulussa. Defenderin päätepisteelle edellyttämät käyttöoikeudet ovat tällä hetkellä pakollisia perehdytystyönkulussa. Tämän ominaisuuden avulla järjestelmänvalvojat voivat ottaa Defender for Endpointin käyttöön BYOD-laitteissa pakottamatta pakollista VPN-käyttöoikeutta perehdyttämisen aikana. Loppukäyttäjät voivat käyttää sovellusta ilman pakollisia käyttöoikeuksia ja tarkastella näitä käyttöoikeuksia myöhemmin. Tämä ominaisuus on tällä hetkellä käytössä vain rekisteröidyissä laitteissa (MDM).

Määritä valinnainen käyttöoikeus

  1. Hallinta työnkulkua (MDM) Ota valinnainen VPN-käyttöoikeus käyttöön rekisteröidyissä laitteissa seuraavien ohjeiden avulla.

    • Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

    • Anna käytännölle nimi, valitse Käyttöympäristö > iOS/iPadOS.

    • Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

    • Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää avain- ja arvotyypiksi DefenderOptionalVPNtotuusarvoksi.

      • Jos haluat ottaa valinnaisen VPN-käyttöoikeuden käyttöön, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
      • Käyttäjät, joiden avain on määritetty muodossa true, voivat ottaa sovelluksen käyttöön antamatta VPN-käyttöoikeutta.

    • Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

  2. Loppukäyttäjän työnkulku : käyttäjä asentaa sovelluksen ja avaa sen perehdyttämisen aloittamista varten.

    • Jos järjestelmänvalvoja on määrittänyt valinnaiset käyttöoikeudet, käyttäjä voi ohittaa VPN-käyttöoikeudet ja suorittaa perehdytyksen loppuun.
    • Vaikka käyttäjä olisi ohittanut VPN:n, laite pystyy mukaan ja syke lähetetään.
    • Jos VPN on poistettu käytöstä, verkkosuojaus ei ole aktiivinen.
    • Myöhemmin käyttäjä voi ottaa verkkosuojauksen käyttöön sovelluksessa, joka asentaa VPN-määritykset laitteeseen.

Huomautus

Valinnainen käyttöoikeus on eri kuin Poista WWW-suojaus käytöstä. Valinnainen VPN-käyttöoikeus auttaa vain ohittamaan käyttöoikeuden perehdyttämisen aikana, mutta loppukäyttäjä voi myöhemmin tarkistaa sen ja ottaa sen käyttöön. Vaikka Disable Web Protection sallii käyttäjien ottaa Defender for Endpoint -sovelluksen käyttöön ilman WWW-suojausta. Sitä ei voi ottaa käyttöön myöhemmin.

Vankilamurtojen tunnistaminen

Microsoft Defender for Endpoint pystyy havaitsemaan hallitsemattomia ja hallittuja laitteita, jotka ovat suojauksettomia. Nämä vankeusrangaistustarkastukset tehdään säännöllisesti. Jos laitteen havaitaan olevan suojauksia, nämä tapahtumat tapahtuvat:

  • Suuren riskin hälytys raportoidaan Microsoft Defender portaaliin. Jos laitteen yhteensopivuus ja ehdollinen käyttö on määritetty laitteen riskipisteiden perusteella, laite ei voi käyttää yrityksen tietoja.
  • Sovelluksen käyttäjätiedot tyhjennetään. Kun käyttäjä avaa sovelluksen jailbreakingin jälkeen, myös VPN-profiili poistetaan eikä verkkosuojausta tarjota.

Yhteensopivuuskäytännön määrittäminen suojausräjäyksiin

Jotta yrityksen tietoja ei käytetä suojatuissa iOS-laitteissa, suosittelemme, että määrität seuraavan yhteensopivuuskäytännön Intune.

Huomautus

Jailbreak-tunnistaminen on Microsoft Defender for Endpoint tarjoama ominaisuus iOS:ssä. Suosittelemme kuitenkin, että määrität tämän käytännön lisäpuolustuskerrokseksi vankilamurtoskenaarioita vastaan.

Noudata seuraavia ohjeita luodaksesi yhteensopivuuskäytännön suojarästyille laitteille.

  1. Siirry Microsoft Intune hallintakeskuksessakohtaan Laitteiden>yhteensopivuuskäytännöt>Create Käytäntö. Valitse käyttöympäristöksi iOS/iPadOS ja valitse Create.

    Create Käytäntö-välilehti

  2. Määritä käytännön nimi, kuten Jailbreakin yhteensopivuuskäytäntö.

  3. Valitse yhteensopivuusasetusten sivulla, laajenna Laitteen kunto -osio ja valitse Estäsuojauksen ehtyneitä laitteita varten -kenttä.

    Yhteensopivuusasetukset-välilehti

  4. Valitse Toiminnot noudattamatta-kohdassa toiminnot tarpeittesi mukaan ja valitse Seuraava.

    Noudattamatta jättäminen -välilehden toiminnot

  5. Valitse Määritykset-osiossa käyttäjäryhmät, jotka haluat sisällyttää tähän käytäntöön, ja valitse sitten Seuraava.

  6. Tarkista+Create -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Create.

Mukautettujen ilmaisimien määrittäminen

Defender for Endpoint iOS:ssä mahdollistaa sen, että järjestelmänvalvojat voivat määrittää mukautettuja ilmaisimia myös iOS-laitteissa. Lisätietoja mukautettujen ilmaisimien määrittämisestä on kohdassa Ilmaisimien hallinta.

Huomautus

Defender for Endpoint iOS:ssä tukee mukautettujen ilmaisimien luomista vain URL-osoitteille ja toimialueille. Ip-pohjaisia mukautettuja ilmaisimia ei tueta iOS:ssä.

iOS:ssä ilmoituksia ei luoda Microsoft Defender XDR, kun ilmaisimessa määritettyä URL-osoitetta tai toimialuetta käytetään.

Sovellusten haavoittuvuuksien arvioinnin määrittäminen

Kyberriskin vähentäminen edellyttää kattavaa riskipohjaisten haavoittuvuuksien hallintaa, jotta voit tunnistaa, arvioida, korjata ja seurata kaikkia tärkeimpiä haavoittuvuuksiasi kriittisimpien resurssiesi välillä, kaikki yhdessä ratkaisussa. Tässä sivussa on lisätietoja Microsoft Defender for Endpoint Microsoft Defenderin haavoittuvuuksien hallinta.

Defender for Endpoint iOS:ssä tukee käyttöjärjestelmän ja sovellusten haavoittuvuusarviointeja. iOS-versioiden haavoittuvuusarviointi on käytettävissä sekä rekisteröidyissä (MDM) että rekisteröimättömissä (MAM) laitteissa. Sovellusten haavoittuvuusarviointi koskee vain rekisteröityjä (MDM) laitteita. Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää sovellusten haavoittuvuusarvioinnin.

Valvotussa laitteessa

  1. Varmista, että laite on määritetty valvotussa tilassa.

  2. Jos haluat ottaa ominaisuuden käyttöön Microsoft Intune hallintakeskuksessa, siirry kohtaan Endpoint Security>Microsoft Defender for Endpoint>Enable App Sync for iOS/iPadOS devices.

    Sovelluksen synkronointikytkinYhteensynkronointi

Huomautus

Saadakseen luettelon kaikista sovelluksista, myös hallitsemattomista sovelluksista, järjestelmänvalvojan on otettava käyttöön Lähetä täydelliset sovellusluettelotiedot henkilökohtaisesti omistamille iOS/ iPadOS-laitteille Intune Hallinta Portaalissa valvotuille laitteille, jotka on merkitty henkilökohtaiseksi. Intune Hallinta-portaalin valvotuissa laitteissa, joissa on merkintä "Yritys", järjestelmänvalvojan ei tarvitse ottaa käyttöön Lähetä täydelliset sovellusluettelotiedot henkilökohtaisissa iOS- tai iPadOS-laitteissa.

Valvomattomassa laitteessa

  1. Jos haluat ottaa ominaisuuden käyttöön Microsoft Intune hallintakeskuksessa, siirry kohtaan Endpoint Security>Microsoft Defender for Endpoint>Enable App Sync for iOS/iPadOS devices.

    Sovelluksen synkronointikytkin

  2. Jos haluat nähdä luettelon kaikista sovelluksista, myös hallitsemattomista sovelluksista, ota käyttöön Lähetä täydelliset sovellusvarastotiedot -asetus henkilökohtaisesti omistamillesi iOS-/iPadOS-laitteille.

    Koko sovelluksen tiedot

  3. Voit määrittää tietosuoja-asetuksen seuraavien vaiheiden avulla.

    • Siirry kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallitut laitteet.
    • Anna käytännölle nimi Platform>iOS/iPadOS.
    • Valitse kohdesovellukseksi Microsoft Defender for Endpoint.
    • Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DefenderTVMPrivacyMode avain- ja arvotyypiksi Merkkijono.
      • Jos haluat poistaa tietosuojan käytöstä ja kerätä asennettujen sovellusten luettelon, anna arvo muodossa False ja määritä tämä käytäntö käyttäjille.
      • Oletusarvoisesti tämä arvo on määritetty True ei-valvotuille laitteille.
      • Käyttäjille, joiden avain on , FalseDefender for Endpoint lähettää laitteeseen asennettujen sovellusten luettelon haavoittuvuuden arviointia varten.
    • Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille tai käyttäjille.
    • Edellä mainittujen tietosuojatoimintojen ottaminen käyttöön tai poistaminen käytöstä ei vaikuta laitteen yhteensopivuuden tarkistamiseen tai ehdolliseen käyttöön.

  4. Kun määritys on otettu käyttöön, käyttäjän on avattava sovellus Hyväksy tietosuoja-asetus -kohdassa.

    • Tietosuojan hyväksyntänäyttö tulee vain valvomattomille laitteille.

    • Vain jos käyttäjä hyväksyy tietosuojan, sovelluksen tiedot lähetetään Defender for Endpoint -konsoliin.

      Näyttökuva käyttäjän tietosuojanäytöstä.

Kun asiakasversiot on otettu käyttöön iOS-kohdelaitteissa, käsittely käynnistyy. Kyseisistä laitteista löytyneet haavoittuvuudet alkavat näkyä Defenderin haavoittuvuuden hallinnan koontinäytössä. Käsittelyn valmistuminen voi kestää muutamia tunteja (enintään 24 tuntia). Erityisesti koko luettelo sovelluksista, jotka näkyvät ohjelmistovarastossa.

Huomautus

Jos käytät SSL-tarkastusratkaisua iOS-laitteessasi, salli näiden toimialuenimien luettelointi securitycenter.windows.com (kaupallisessa ympäristössä) ja securitycenter.windows.us (GCC-ympäristössä), jotta TVM-ominaisuus toimii.

Poista uloskirjautuminen käytöstä

Defender for Endpoint iOS:ssä tukee käyttöönottoa ilman sovelluksen uloskirjautumispainiketta, jotta käyttäjät eivät voi kirjautua ulos Defender-sovelluksesta. Tämä on tärkeää, jotta käyttäjät eivät voi peukaloida laitetta.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää Poista uloskirjautuminen käytöstä -asetuksen

Poista uloskirjautuminen käytöstä -asetuksen määrittäminen

Rekisteröidyissä laitteissa (MDM)

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallitut laitteet.
  2. Anna käytännölle nimi, valitse Käyttöympäristön > iOS/iPadOS
  3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.
  4. Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DisableSignOut avaimeksi ja arvotyyppi merkkijonoksi.
  5. Oletusarvoisesti DisableSignOut = false.
  6. Hallinta on tehtävä DisableSignOut = true -arvoksi, jotta uloskirjautumispainike voidaan poistaa käytöstä sovelluksessa. Käyttäjät eivät näe Uloskirjaudu ulos -painiketta, kun käytäntö on painettu.
  7. Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Laitteille, jotka eivät ole koottuja (MAM)

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallittuja sovelluksia.
  2. Anna käytännölle nimi.
  3. Valitse Valitse julkiset sovellukset -kohdassa kohdesovellukseksi Microsoft Defender for Endpoint.
  4. Lisää Asetukset-sivulla DisableSignOut avaimeksi ja arvoksi tosi Yleiset määritysasetukset -kohdassa.
  5. Oletusarvoisesti DisableSignOut = false.
  6. Hallinta on tehtävä DisableSignOut = true -arvoksi, jotta uloskirjautumispainike voidaan poistaa käytöstä sovelluksessa. Käyttäjät eivät näe Uloskirjaudu ulos -painiketta, kun käytäntö on painettu.
  7. Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Tärkeää

Tämä ominaisuus on julkisessa esikatselussa. Seuraavat tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Laitteen tunnisteet

Defender for Endpoint iOS:ssä mahdollistaa mobiililaitteiden joukkomerkinnän käyttöönoton aikana sallimalla järjestelmänvalvojien määrittää tunnisteita Intune kautta. Hallinta voivat määrittää laitetunnisteet Intune määrityskäytäntöjen kautta ja lähettää ne käyttäjän laitteisiin. Kun käyttäjä asentaa ja aktivoi Defenderin, asiakassovellus välittää laitetunnisteet suojausportaaliin. Laitetunnisteet näkyvät laiteluettelon laitteissa.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Järjestelmänvalvojat voivat määrittää laitetunnisteet seuraavien vaiheiden avulla.

Laitetunnisteiden määrittäminen

Rekisteröidyissä laitteissa (MDM)

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallitut laitteet.

  2. Anna käytännölle nimi, valitse Käyttöympäristön > iOS/iPadOS

  3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

  4. Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DefenderDeviceTag avaimeksi ja arvotyyppi merkkijonoksi.

    • Hallinta voi määrittää uuden tunnisteen lisäämällä avaimen DefenderDeviceTag ja määrittämällä laitetunnisteelle arvon.
    • Hallinta voi muokata aiemmin luotua tunnistetta muokkaamalla defenderdeviceTag-avainarvoa.
    • Hallinta voi poistaa aiemmin luodun tunnisteen poistamalla avaimen DefenderDeviceTag.

  5. Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Laitteille, jotka eivät ole koottuja (MAM)

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten > sovellusten määrityskäytännöt > Lisää > hallittuja sovelluksia.
  2. Anna käytännölle nimi.
  3. Valitse Valitse julkiset sovellukset -kohdassa kohdesovellukseksi Microsoft Defender for Endpoint.
  4. Lisää Asetukset-sivulla DefenderDeviceTag avaimeksi Yleisiin määritysasetuksiin.
    • Hallinta voi määrittää uuden tunnisteen lisäämällä avaimen DefenderDeviceTag ja määrittämällä laitetunnisteelle arvon.
    • Hallinta voi muokata aiemmin luotua tunnistetta muokkaamalla defenderdeviceTag-avainarvoa.
    • Hallinta voi poistaa aiemmin luodun tunnisteen poistamalla avaimen DefenderDeviceTag.
  5. Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Huomautus

Defender-sovellus on avattava, jotta tunnisteet voidaan synkronoida Intune kanssa ja välittää suojausportaaliin. Tunnisteiden näkyminen portaalissa voi kestää jopa 18 tuntia.

Määritä asetus, joka lähettää palautetta sovelluksessa

Asiakkaat voivat nyt määrittää mahdollisuuden lähettää palautetta Microsoftille Defender for Endpoint -sovelluksessa. Palautetietojen avulla Microsoft voi parantaa tuotteitaan ja tehdä ongelmien vianmäärityksen.

Huomautus

Yhdysvaltain valtionhallinnon pilviasiakkaiden palautetietojen kerääminen on oletusarvoisesti poistettu käytöstä .

Määritä palautetietojen Microsoftille lähettämisen asetus seuraavien vaiheiden avulla:

  1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

  2. Anna käytännölle nimi ja valitse profiilityypiksi Käyttöympäristö > iOS/iPadOS .

  3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

  4. Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DefenderFeedbackData avaimeksi ja arvotyyppi totuusarvoksi.

    • Jos haluat poistaa loppukäyttäjien mahdollisuuden antaa palautetta, määritä arvoksi false ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona trueon . Yhdysvaltain valtionhallinnon asiakkaille oletusarvoksi on määritetty epätosi.

    • Käyttäjille, joiden avain on määritetty -arvoksi true, on mahdollisuus lähettää palautetietoja Microsoftille sovelluksessa (valikon>ohje & Palaute>Lähetä palautetta Microsoftille).

  5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Ilmoita sivustosta, joka ei ole turvallinen

Tietojenkalastelusivustot tekeytyvät luotettaviksi sivustoiksi henkilökohtaisten tai taloudellisten tietojen hankkimiseksi. Siirry Verkon suojausta koskevan palautteen antaminen -sivulle ja ilmoita verkkosivusto, joka voi olla tietojenkalastelusivusto.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.