Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nota
Defender per endpoint in iOS userebbe una VPN per fornire la funzionalità protezione Web. Questa non è una normale VPN ed è una VPN locale/self-loop che non accetta il traffico all'esterno del dispositivo.
Accesso condizionale con Defender per endpoint in iOS
Microsoft Defender per endpoint in iOS insieme a Microsoft Intune e Microsoft Entra ID consentono di applicare i criteri di conformità del dispositivo e accesso condizionale in base al punteggio di rischio del dispositivo. Defender per endpoint è una soluzione Mobile Threat Defense (MTD) che è possibile distribuire per usare questa funzionalità tramite Intune.
Per altre informazioni su come configurare l'accesso condizionale con Defender per endpoint in iOS, vedere Defender per endpoint e Intune.
Protezione Web e VPN
Per impostazione predefinita, Defender per endpoint in iOS include e abilita la funzionalità di protezione Web. La protezione Web consente di proteggere i dispositivi dalle minacce Web e proteggere gli utenti dagli attacchi di phishing. Gli indicatori personalizzati e anti-phishing (URL e dominio) sono supportati come parte di Protezione Web. Gli indicatori personalizzati basati su IP non sono attualmente supportati in iOS. Il filtro contenuto Web non è attualmente supportato nelle piattaforme per dispositivi mobili (Android e iOS).
Defender per endpoint in iOS usa una VPN per fornire questa funzionalità. Si noti che la VPN è locale e, a differenza della VPN tradizionale, il traffico di rete non viene inviato all'esterno del dispositivo.
Anche se abilitata per impostazione predefinita, potrebbero essere presenti alcuni casi che richiedono la disabilitazione della VPN. Ad esempio, si vuole eseguire alcune app che non funzionano quando viene configurata una VPN. In questi casi, è possibile scegliere di disabilitare la VPN dall'app nel dispositivo seguendo questa procedura:
Nel dispositivo iOS aprire l'app Impostazioni , selezionare Generale e quindi VPN.
Selezionare il pulsante i per Microsoft Defender per endpoint.
Disattivare Connetti su richiesta per disabilitare la VPN.
Nota
Protezione Web non è disponibile quando la VPN è disabilitata. Per riabilitare Protezione Web, aprire l'app Microsoft Defender per endpoint nel dispositivo e toccare o fare clic su Avvia VPN.
Disabilitare la protezione Web
Protezione Web è una delle funzionalità principali di Defender per endpoint e richiede una VPN per fornire tale funzionalità. La VPN usata è una VPN locale/loopback e non una VPN tradizionale, tuttavia esistono diversi motivi per cui i clienti potrebbero non preferire la VPN. I clienti che non vogliono configurare una VPN possono disabilitare Protezione Web e distribuire Defender per endpoint senza tale funzionalità. Altre funzionalità di Defender per endpoint continuano a funzionare.
Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Per i clienti con MDM, gli amministratori possono configurare la protezione Web tramite dispositivi gestiti nella configurazione dell'app. Per i clienti senza registrazione, usando MAM, gli amministratori possono configurare la protezione Web tramite app gestite nella configurazione dell'app.
Configurare la protezione Web
Disabilitare La protezione Web (MDM) Seguire questa procedura per disabilitare Protezione Web per i dispositivi registrati.
- Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
- Assegnare al criterio un nome, Platform > iOS/iPadOS.
- Selezionare Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere WebProtection come chiave e tipo di valore come String.
- Per impostazione predefinita, WebProtection= true.
- Amministrazione deve impostare WebProtection = false per disattivare la protezione Web.
- Defender invia l'heartbeat al portale di Microsoft Defender ogni volta che l'utente apre l'app.
- Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Disabilitare La protezione Web (MAM) Seguire questa procedura per disabilitare La protezione Web per i dispositivi non registrazione.
- Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione app>Aggiungere>app gestite.
- Assegnare un nome al criterio.
- In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni, in Impostazioni di configurazione generale, aggiungere WebProtection come chiave e valore come false.
- Per impostazione predefinita, WebProtection= true.
- Amministrazione deve impostare WebProtection = false per disattivare la protezione Web.
- Defender invia l'heartbeat al portale di Microsoft Defender ogni volta che l'utente apre l'app.
- Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Configurare protezione di rete
La protezione di rete in Microsoft Defender per endpoint è disabilitata per impostazione predefinita. Gli amministratori possono usare la procedura seguente per configurare Protezione di rete. Questa configurazione è disponibile sia per i dispositivi registrati tramite la configurazione MDM che per i dispositivi non registrati tramite la configurazione MAM.
Nota
È necessario creare un solo criterio per Protezione di rete, MDM o MAM.
Per i dispositivi registrati (MDM)
Seguire la procedura seguente per configurare la configurazione MDM per i dispositivi registrati per la protezione di rete.
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
Specificare il nome e la descrizione per i criteri. In Piattaforma scegliere iOS/iPad.
Nell'app di destinazione scegliere Microsoft Defender per endpoint.
Nella pagina Impostazioni scegliere formato impostazioni di configurazione Usare Progettazione configurazione.
Aggiungere 'DefenderNetworkProtectionEnable' come chiave di configurazione, tipo di valore come 'String' e valore come 'true' per abilitare Protezione rete. Per impostazione predefinita, la protezione di rete è disabilitata.
Per altre configurazioni correlate alla protezione di rete, aggiungere le chiavi seguenti, scegliere il tipo di valore e il valore corrispondenti.
Chiave Tipo valore Impostazione predefinita (true-enable, false-disable) Descrizione DefenderOpenNetworkDetection
Numero intero 0 1 - Controllo, 0 - Disabilita(impostazione predefinita), 2 - Abilita. Questa impostazione viene gestita da un Amministrazione IT per controllare, disabilitare o abilitare il rilevamento di rete aperto, rispettivamente. In modalità "Audit" gli avvisi vengono inviati solo al portale ATP senza esperienza utente finale. Per l'esperienza dell'utente finale, impostare la configurazione sulla modalità "Abilita". DefenderEndUserTrustFlowEnable
Stringa False true - enable, false - disable; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare l'esperienza dell'utente finale in-app per considerare attendibili e non attendibili le reti non sicure e sospette. DefenderNetworkProtectionAutoRemediation
Stringa true true - enable, false - disable; Questa impostazione viene usata dall'amministratore IT per abilitare o disabilitare gli avvisi di correzione inviati quando un utente esegue attività di correzione, ad esempio il passaggio a punti di accesso WIFI più sicuri o l'eliminazione di certificati sospetti rilevati da Defender. DefenderNetworkProtectionPrivacy
Stringa true true - enable, false - disable; Questa impostazione viene gestita dall'amministratore IT per abilitare o disabilitare la privacy nella protezione di rete. Nella sezione Assegnazioni l'amministratore può scegliere gruppi di utenti da includere ed escludere dai criteri.
Esaminare e creare i criteri di configurazione.
Per i dispositivi non registrazione (MAM)
Seguire la procedura seguente per configurare la configurazione MAM per i dispositivi non iscritti per la protezione di rete (la registrazione del dispositivo Authenticator è necessaria per la configurazione MAM) nei dispositivi iOS. L'inizializzazione di Protezione di rete richiede che l'utente finale apra l'app una sola volta.
Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione delle app>Aggiungere>app> gestite Create un nuovo criterio di configurazione delle app.
Specificare un nome e una descrizione per identificare in modo univoco i criteri. Selezionare quindi Seleziona app pubbliche e scegliere Microsoft Defender per Platform iOS/iPadOS.Then select Public apps, and choose Microsoft Defender for Platform iOS/iPadOS.
Nella pagina Impostazioni aggiungere DefenderNetworkProtectionEnable come chiave e il valore per
true
abilitare la protezione di rete. Per impostazione predefinita, la protezione di rete è disabilitata.Per altre configurazioni correlate alla protezione di rete, aggiungere le chiavi seguenti e il valore corrispondente appropriato.
Chiave Impostazione predefinita (true - enable, false - disable) Descrizione DefenderOpenNetworkDetection
0 1 - Controllo, 0 - Disabilita (impostazione predefinita), 2 - Abilita. Questa impostazione viene gestita da un amministratore IT per abilitare, controllare o disabilitare il rilevamento di rete aperto. In modalità di controllo, gli avvisi vengono inviati solo al portale ATP senza esperienza lato utente. Per l'esperienza utente, impostare la configurazione sulla modalità "Abilita". DefenderEndUserTrustFlowEnable
False true - enable, false - disable; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare l'esperienza dell'utente finale in-app per considerare attendibili e non attendibili le reti non sicure e sospette. DefenderNetworkProtectionAutoRemediation
true true - enable, false - disable; Questa impostazione viene usata dall'amministratore IT per abilitare o disabilitare gli avvisi di correzione inviati quando un utente esegue attività di correzione, ad esempio il passaggio a punti di accesso WIFI più sicuri o l'eliminazione di certificati sospetti rilevati da Defender. DefenderNetworkProtectionPrivacy
true true - enable, false - disable; Questa impostazione viene gestita dall'amministratore IT per abilitare o disabilitare la privacy nella protezione di rete. Nella sezione Assegnazioni un amministratore può scegliere gruppi di utenti da includere ed escludere dai criteri.
Esaminare e creare i criteri di configurazione.
Coesistenza di più profili VPN
Apple iOS non supporta più VPN a livello di dispositivo per essere attive contemporaneamente. Anche se nel dispositivo possono esistere più profili VPN, può essere attiva una sola VPN alla volta.
Configurare Microsoft Defender per endpoint segnale di rischio nei criteri di protezione delle app (MAM)
Microsoft Defender per endpoint in iOS abilita lo scenario dei criteri di protezione delle app. Gli utenti finali possono installare la versione più recente dell'app direttamente dall'App Store di Apple. Assicurarsi che il dispositivo sia registrato in Authenticator con lo stesso account usato per eseguire l'onboarding in Defender per la corretta registrazione di MAM.
Microsoft Defender per endpoint può essere configurato per inviare segnali di minaccia da usare nei criteri di protezione delle app (APP, noto anche come MAM) in iOS/iPadOS. Con questa funzionalità è possibile usare Microsoft Defender per endpoint per proteggere l'accesso ai dati aziendali anche da dispositivi non registrazione.
Seguire la procedura descritta nel collegamento seguente per configurare i criteri di protezione delle app con Microsoft Defender per endpoint Configurare i segnali di rischio di Defender nei criteri di protezione delle app (MAM)
Per altri dettagli sui criteri di protezione delle app o MAM, vedere Impostazioni dei criteri di protezione delle app iOS.
Controlli della privacy
Microsoft Defender per endpoint in iOS abilita i controlli della privacy sia per gli amministratori che per gli utenti finali. Sono inclusi i controlli per i dispositivi registrati (MDM) e non registrati (MAM).
Per i clienti con MDM, gli amministratori possono configurare i controlli della privacy tramite dispositivi gestiti nella configurazione dell'app. Per i clienti senza registrazione, usando MAM, gli amministratori possono configurare i controlli privacy tramite app gestite nella configurazione dell'app. Gli utenti finali avranno anche la possibilità di configurare le impostazioni di privacy dalle impostazioni dell'app Defender.
Configurare la privacy nel report degli avvisi phish
I clienti possono ora abilitare il controllo della privacy per il report phish inviato da Microsoft Defender per endpoint su iOS in modo che il nome di dominio non venga incluso come parte di un avviso phish ogni volta che un sito Web phish viene rilevato e bloccato da Microsoft Defender per endpoint.
Amministrazione Privacy Controls (MDM) Usare la procedura seguente per abilitare la privacy e non raccogliere il nome di dominio come parte del report di avviso phish per i dispositivi registrati.
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
Assegnare al criterio un nome, Piattaforma > iOS/iPadOS, selezionare il tipo di profilo.
Selezionare Microsoft Defender per endpoint come app di destinazione.
Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderExcludeURLInReport come chiave e tipo di valore come booleano.
- Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come
true
e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato sufalse
. - Per gli utenti con chiave impostata su
true
, l'avviso phish non contiene le informazioni sul nome di dominio ogni volta che un sito dannoso viene rilevato e bloccato da Defender per endpoint.
- Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come
Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Amministrazione Privacy Controls (MAM) Usare la procedura seguente per abilitare la privacy e non raccogliere il nome di dominio come parte del report di avviso phish per i dispositivi non registrazione.
Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione app>Aggiungere>app gestite.
Assegnare un nome al criterio.
In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
Nella pagina Impostazioni, in Impostazioni di configurazione generale, aggiungere DefenderExcludeURLInReport come chiave e valore come
true
.- Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come
true
e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato sufalse
. - Per gli utenti con chiave impostata su
true
, l'avviso phish non contiene le informazioni sul nome di dominio ogni volta che un sito dannoso viene rilevato e bloccato da Defender per endpoint.
- Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come
Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Controlli sulla privacy degli utenti finali Questi controlli consentono all'utente finale di configurare le informazioni condivise con l'organizzazione.
Per i dispositivi con supervisione, i controlli utente finale non sono visibili. L'amministratore decide e controlla le impostazioni. Tuttavia, per i dispositivi non supervisionati, il controllo viene visualizzato sotto La privacy delle impostazioni>.
- Gli utenti visualizzano un interruttore per Informazioni sito non sicure.
- Questo interruttore è visibile solo se Amministrazione ha impostato DefenderExcludeURLInReport = true.
- Se abilitata da un Amministrazione, gli utenti possono decidere se inviare o meno le informazioni del sito non sicure all'organizzazione.
- Per impostazione predefinita, è impostato su
false
. Le informazioni sul sito non sicuro non vengono inviate. - Se l'utente lo
true
attiva o disattiva, vengono inviati i dettagli del sito non sicuro.
L'attivazione o la disattivazione dei controlli di privacy precedenti non influisce sul controllo di conformità del dispositivo o sull'accesso condizionale.
Nota
Nei dispositivi con supervisione con il profilo di configurazione, Microsoft Defender per endpoint può accedere all'intero URL e, se risulta essere phishing, è bloccato. In un dispositivo non supervisionato Microsoft Defender per endpoint ha accesso solo al nome di dominio e, se il dominio non è un URL di phishing, non verrà bloccato.
Autorizzazioni facoltative
Microsoft Defender per endpoint in iOS abilita autorizzazioni facoltative nel flusso di onboarding. Attualmente le autorizzazioni richieste da Defender per endpoint sono obbligatorie nel flusso di onboarding. Con questa funzionalità, gli amministratori possono distribuire Defender per endpoint nei dispositivi BYOD senza applicare l'autorizzazione VPN obbligatoria durante l'onboarding. Gli utenti finali possono eseguire l'onboarding dell'app senza le autorizzazioni obbligatorie e successivamente esaminarle. Questa funzionalità è attualmente presente solo per i dispositivi registrati (MDM).
Configurare l'autorizzazione facoltativa
Amministrazione flow (MDM) Usare la procedura seguente per abilitare l'autorizzazione VPN facoltativa per i dispositivi registrati.
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS.
Selezionare Microsoft Defender per endpoint come app di destinazione.
Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderOptionalVPN come chiave e tipo di valore come booleano.
- Per abilitare l'autorizzazione VPN facoltativa, immettere il valore come
true
e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato sufalse
. - Per gli utenti con chiave impostata su
true
, gli utenti possono eseguire l'onboarding dell'app senza concedere l'autorizzazione VPN.
- Per abilitare l'autorizzazione VPN facoltativa, immettere il valore come
Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Flusso dell'utente finale: l'utente installa e apre l'app per avviare l'onboarding.
- Se un amministratore ha configurato autorizzazioni facoltative, l'utente può ignorare l'autorizzazione VPN e completare l'onboarding.
- Anche se l'utente ha ignorato la VPN, il dispositivo è in grado di eseguire l'onboarding e viene inviato un heartbeat.
- Se la VPN è disabilitata, la protezione Web non è attiva.
- In seguito, l'utente può abilitare la protezione Web dall'interno dell'app, che installa la configurazione VPN nel dispositivo.
Nota
L'autorizzazione facoltativa è diversa da Disabilita protezione Web. L'autorizzazione VPN facoltativa consente solo di ignorare l'autorizzazione durante l'onboarding, ma è disponibile per l'utente finale per esaminarla e abilitarla in un secondo momento. Anche se Disabilita protezione Web consente agli utenti di eseguire l'onboarding dell'app Defender per endpoint senza Protezione Web. Non può essere abilitato in un secondo momento.
Rilevamento jailbreak
Microsoft Defender per endpoint ha la capacità di rilevare i dispositivi non gestiti e gestiti che sono jailbroken. Questi controlli jailbreak vengono eseguiti periodicamente. Se un dispositivo viene rilevato come jailbroken, si verificano questi eventi:
- L'avviso ad alto rischio viene segnalato al portale di Microsoft Defender. Se conformità del dispositivo e accesso condizionale sono configurati in base al punteggio di rischio del dispositivo, al dispositivo viene impedito di accedere ai dati aziendali.
- I dati utente nell'app sono cancellati. Quando l'utente apre l'app dopo il jailbreak, viene eliminato anche il profilo VPN e non viene offerta alcuna protezione Web.
Configurare i criteri di conformità per i dispositivi jailbroken
Per proteggere l'accesso ai dati aziendali nei dispositivi iOS jailbroken, è consigliabile configurare i criteri di conformità seguenti in Intune.
Nota
Il rilevamento jailbreak è una funzionalità fornita da Microsoft Defender per endpoint in iOS. Tuttavia, è consigliabile configurare questo criterio come ulteriore livello di difesa contro scenari jailbreak.
Seguire la procedura seguente per creare criteri di conformità per i dispositivi jailbroken.
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri diconformità>dei dispositivi>Create Criteri. Selezionare "iOS/iPadOS" come piattaforma e selezionare Create.
Specificare un nome dei criteri, ad esempio Criteri di conformità per Jailbreak.
Nella pagina delle impostazioni di conformità selezionare per espandere la sezione Integrità dispositivo e selezionare Blocca per i dispositivi jailbroken .
Nella sezione Azioni per la non conformità selezionare le azioni in base ai requisiti e selezionare Avanti.
Nella sezione Assegnazioni selezionare i gruppi di utenti da includere per questo criterio e quindi selezionare Avanti.
Nella sezione Rivedi+Create verificare che tutte le informazioni immesse siano corrette e quindi selezionare Create.
Configurare indicatori personalizzati
Defender per endpoint in iOS consente agli amministratori di configurare indicatori personalizzati anche nei dispositivi iOS. Per altre informazioni su come configurare indicatori personalizzati, vedere Gestire gli indicatori.
Nota
Defender per endpoint in iOS supporta la creazione di indicatori personalizzati solo per URL e domini. Gli indicatori personalizzati basati su IP non sono supportati in iOS.
Per iOS, non vengono generati avvisi in Microsoft Defender XDR quando si accede all'URL o al dominio impostato nell'indicatore.
Configurare la valutazione della vulnerabilità delle app
La riduzione del rischio informatico richiede una gestione completa delle vulnerabilità basata sui rischi per identificare, valutare, correggere e tenere traccia di tutte le vulnerabilità più importanti tra gli asset più critici, il tutto in un'unica soluzione. Visitare questa pagina per altre informazioni sui Gestione delle vulnerabilità di Microsoft Defender in Microsoft Defender per endpoint.
Defender per endpoint in iOS supporta le valutazioni delle vulnerabilità del sistema operativo e delle app. La valutazione della vulnerabilità delle versioni di iOS è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). La valutazione della vulnerabilità delle app è solo per i dispositivi registrati (MDM). Gli amministratori possono usare la procedura seguente per configurare la valutazione della vulnerabilità delle app.
In un dispositivo con supervisione
Verificare che il dispositivo sia configurato in modalità di supervisione.
Per abilitare la funzionalità nell'interfaccia di amministrazione Microsoft Intune, passare a Endpoint Security>Microsoft Defender per endpoint>Sincronizzazione app attiva per dispositivi iOS/iPadOS.
Nota
Per ottenere l'elenco di tutte le app, incluse le app non gestite, l'amministratore deve abilitare Invia dati di inventario completo delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale nel portale di Intune Amministrazione per i dispositivi con supervisione contrassegnati come "Personali". Per i dispositivi con supervisione contrassegnati come "Aziendali" nel portale di Intune Amministrazione, l'amministratore non deve abilitare Invia dati di inventario completo dell'applicazione nei dispositivi iOS/iPadOS di proprietà personale.
In un dispositivo non supervisionato
Per abilitare la funzionalità nell'interfaccia di amministrazione Microsoft Intune, passare a Endpoint Security>Microsoft Defender per endpoint>Sincronizzazione app attiva per dispositivi iOS/iPadOS.
Per ottenere l'elenco di tutte le app, incluse le app non gestite, abilitare l'interruttore Invia dati di inventario completo delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale.
Per configurare l'impostazione della privacy, seguire questa procedura.
- Passare a Criteri diconfigurazione>delle app>Aggiungere>dispositivi gestiti.
- Assegnare al criterio un nome, Platform>iOS/iPadOS.
- Selezionare Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderTVMPrivacyMode come chiave e tipo di valore come String.
- Per disabilitare la privacy e raccogliere l'elenco di app installate, immettere il valore come
False
e assegnare questo criterio agli utenti. - Per impostazione predefinita, questo valore è impostato su
True
per i dispositivi non supervisionati. - Per gli utenti con chiave impostata su
False
, Defender per endpoint invierà l'elenco delle app installate nel dispositivo per la valutazione della vulnerabilità.
- Per disabilitare la privacy e raccogliere l'elenco di app installate, immettere il valore come
- Fare clic su Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
- L'attivazione o la disattivazione dei controlli di privacy precedenti non influirà sul controllo di conformità del dispositivo o sull'accesso condizionale.
Dopo aver applicato la configurazione, l'utente finale dovrà aprire l'app per approvare l'impostazione di privacy.
Dopo la distribuzione delle versioni client nei dispositivi iOS di destinazione, verrà avviata l'elaborazione. Le vulnerabilità rilevate in tali dispositivi inizieranno a essere visualizzate nel dashboard di Gestione vulnerabilità di Defender. Il completamento dell'elaborazione potrebbe richiedere alcune ore (massimo 24 ore). Soprattutto per l'intero elenco di app da visualizzare nell'inventario software.
Nota
Se si usa una soluzione di ispezione SSL all'interno del dispositivo iOS, consentire l'elenco di questi nomi di dominio securitycenter.windows.com (nell'ambiente commerciale) e securitycenter.windows.us (nell'ambiente GCC) per il funzionamento della funzionalità TVM.
Disabilitare la disconnessione
Defender per endpoint in iOS supporta la distribuzione senza il pulsante di disconnessione nell'app per impedire agli utenti di disconnettersi dall'app Defender. Questo è importante per impedire agli utenti di manomettere il dispositivo.
Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Gli amministratori possono usare la procedura seguente per configurare la disabilitazione della disconnessione
Configurare Disabilita disconnessione
Per i dispositivi registrati (MDM)
- Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > dispositivi gestiti.
- Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS
- Selezionare Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DisableSignOut come chiave e tipo di valore come Stringa.
- Per impostazione predefinita, DisableSignOut = false.
- Amministrazione deve impostare DisableSignOut = true per disabilitare il pulsante di disconnessione nell'app. Gli utenti non visualizzeranno il pulsante di disconnessione dopo il push dei criteri.
- Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.
Per i dispositivi non registrazione (MAM)
- Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.
- Assegnare un nome al criterio.
- In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni aggiungere DisableSignOut come chiave e valore true in Impostazioni di configurazione generale.
- Per impostazione predefinita, DisableSignOut = false.
- Amministrazione deve impostare DisableSignOut = true per disabilitare il pulsante di disconnessione nell'app. Gli utenti non visualizzeranno il pulsante di disconnessione dopo il push dei criteri.
- Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.
Importante
Questa funzionalità è disponibile in anteprima pubblica. Le informazioni seguenti si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Assegnazione di tag ai dispositivi
Defender per endpoint in iOS consente di contrassegnare in blocco i dispositivi mobili durante l'onboarding consentendo agli amministratori di configurare i tag tramite Intune. Amministrazione possibile configurare i tag del dispositivo tramite Intune tramite criteri di configurazione ed eseguirne il push nei dispositivi dell'utente. Dopo che l'utente installa e attiva Defender, l'app client passa i tag del dispositivo al portale di sicurezza. I tag Dispositivo vengono visualizzati nei dispositivi nell'inventario dei dispositivi.
Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Gli amministratori possono usare la procedura seguente per configurare i tag del dispositivo.
Configurare i tag del dispositivo
Per i dispositivi registrati (MDM)
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > dispositivi gestiti.
Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS
Selezionare Microsoft Defender per endpoint come app di destinazione.
Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderDeviceTag come chiave e tipo di valore come String.
- Amministrazione possibile assegnare un nuovo tag aggiungendo la chiave DefenderDeviceTag e impostando un valore per il tag del dispositivo.
- Amministrazione possibile modificare un tag esistente modificando il valore della chiave DefenderDeviceTag.
- Amministrazione possibile eliminare un tag esistente rimuovendo la chiave DefenderDeviceTag.
Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.
Per i dispositivi non registrazione (MAM)
- Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.
- Assegnare un nome al criterio.
- In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
- Nella pagina Impostazioni aggiungere DefenderDeviceTag come chiave in Impostazioni di configurazione generale.
- Amministrazione possibile assegnare un nuovo tag aggiungendo la chiave DefenderDeviceTag e impostando un valore per il tag del dispositivo.
- Amministrazione possibile modificare un tag esistente modificando il valore della chiave DefenderDeviceTag.
- Amministrazione possibile eliminare un tag esistente rimuovendo la chiave DefenderDeviceTag.
- Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.
Nota
L'app Defender deve essere aperta affinché i tag vengano sincronizzati con Intune e passati al portale di sicurezza. La riflessione dei tag nel portale può richiedere fino a 18 ore.
Configurare l'opzione per inviare commenti e suggerimenti in-app
I clienti hanno ora la possibilità di configurare la possibilità di inviare dati di feedback a Microsoft all'interno dell'app Defender per endpoint. I dati di feedback consentono a Microsoft di migliorare i prodotti e risolvere i problemi.
Nota
Per i clienti cloud us government, la raccolta dei dati di feedback è disabilitata per impostazione predefinita.
Seguire questa procedura per configurare l'opzione per inviare dati di feedback a Microsoft:
Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
Assegnare un nome al criterio e selezionare Piattaforma > iOS/iPadOS come tipo di profilo.
Selezionare Microsoft Defender per endpoint come app di destinazione.
Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderFeedbackData come chiave e tipo di valore come booleano.
Per rimuovere la capacità degli utenti finali di fornire commenti e suggerimenti, impostare il valore come
false
e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato sutrue
. Per i clienti us government, il valore predefinito è impostato su 'false'.Per gli utenti con chiave impostata su
true
, è disponibile un'opzione per inviare dati di feedback a Microsoft all'interno dell'app (Guida del menu>& Feedback>Invia feedback a Microsoft).
Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
Segnala sito non sicuro
I siti Web di phishing rappresentano siti Web affidabili allo scopo di ottenere informazioni personali o finanziarie. Visitare la pagina Fornire commenti e suggerimenti sulla protezione di rete per segnalare un sito Web che potrebbe essere un sito di phishing.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per