Funzionalità di configurazione di Microsoft Defender per endpoint su iOS

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Nota

Defender per endpoint in iOS userebbe una VPN per fornire la funzionalità protezione Web. Questa non è una normale VPN ed è una VPN locale/self-loop che non accetta il traffico all'esterno del dispositivo.

Accesso condizionale con Defender per endpoint in iOS

Microsoft Defender per endpoint in iOS insieme a Microsoft Intune e Microsoft Entra ID consentono di applicare i criteri di conformità del dispositivo e accesso condizionale in base al punteggio di rischio del dispositivo. Defender per endpoint è una soluzione Mobile Threat Defense (MTD) che è possibile distribuire per usare questa funzionalità tramite Intune.

Per altre informazioni su come configurare l'accesso condizionale con Defender per endpoint in iOS, vedere Defender per endpoint e Intune.

Protezione Web e VPN

Per impostazione predefinita, Defender per endpoint in iOS include e abilita la funzionalità di protezione Web. La protezione Web consente di proteggere i dispositivi dalle minacce Web e proteggere gli utenti dagli attacchi di phishing. Gli indicatori personalizzati e anti-phishing (URL e dominio) sono supportati come parte di Protezione Web. Gli indicatori personalizzati basati su IP non sono attualmente supportati in iOS. Il filtro contenuto Web non è attualmente supportato nelle piattaforme per dispositivi mobili (Android e iOS).

Defender per endpoint in iOS usa una VPN per fornire questa funzionalità. Si noti che la VPN è locale e, a differenza della VPN tradizionale, il traffico di rete non viene inviato all'esterno del dispositivo.

Anche se abilitata per impostazione predefinita, potrebbero essere presenti alcuni casi che richiedono la disabilitazione della VPN. Ad esempio, si vuole eseguire alcune app che non funzionano quando viene configurata una VPN. In questi casi, è possibile scegliere di disabilitare la VPN dall'app nel dispositivo seguendo questa procedura:

  1. Nel dispositivo iOS aprire l'app Impostazioni , selezionare Generale e quindi VPN.

  2. Selezionare il pulsante i per Microsoft Defender per endpoint.

  3. Disattivare Connetti su richiesta per disabilitare la VPN.

    Pulsante di attivazione/disattivazione per l'opzione Connetti su richiesta per la configurazione VPN

Nota

Protezione Web non è disponibile quando la VPN è disabilitata. Per riabilitare Protezione Web, aprire l'app Microsoft Defender per endpoint nel dispositivo e toccare o fare clic su Avvia VPN.

Disabilitare la protezione Web

Protezione Web è una delle funzionalità principali di Defender per endpoint e richiede una VPN per fornire tale funzionalità. La VPN usata è una VPN locale/loopback e non una VPN tradizionale, tuttavia esistono diversi motivi per cui i clienti potrebbero non preferire la VPN. I clienti che non vogliono configurare una VPN possono disabilitare Protezione Web e distribuire Defender per endpoint senza tale funzionalità. Altre funzionalità di Defender per endpoint continuano a funzionare.

Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Per i clienti con MDM, gli amministratori possono configurare la protezione Web tramite dispositivi gestiti nella configurazione dell'app. Per i clienti senza registrazione, usando MAM, gli amministratori possono configurare la protezione Web tramite app gestite nella configurazione dell'app.

Configurare la protezione Web

  1. Disabilitare La protezione Web (MDM) Seguire questa procedura per disabilitare Protezione Web per i dispositivi registrati.

    • Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.
    • Assegnare al criterio un nome, Platform > iOS/iPadOS.
    • Selezionare Microsoft Defender per endpoint come app di destinazione.
    • Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere WebProtection come chiave e tipo di valore come String.
      • Per impostazione predefinita, WebProtection= true.
      • Amministrazione deve impostare WebProtection = false per disattivare la protezione Web.
      • Defender invia l'heartbeat al portale di Microsoft Defender ogni volta che l'utente apre l'app.
      • Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

  2. Disabilitare La protezione Web (MAM) Seguire questa procedura per disabilitare La protezione Web per i dispositivi non registrazione.

    • Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione app>Aggiungere>app gestite.
    • Assegnare un nome al criterio.
    • In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
    • Nella pagina Impostazioni, in Impostazioni di configurazione generale, aggiungere WebProtection come chiave e valore come false.
      • Per impostazione predefinita, WebProtection= true.
      • Amministrazione deve impostare WebProtection = false per disattivare la protezione Web.
      • Defender invia l'heartbeat al portale di Microsoft Defender ogni volta che l'utente apre l'app.
      • Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

Configurare protezione di rete

La protezione di rete in Microsoft Defender per endpoint è disabilitata per impostazione predefinita. Gli amministratori possono usare la procedura seguente per configurare Protezione di rete. Questa configurazione è disponibile sia per i dispositivi registrati tramite la configurazione MDM che per i dispositivi non registrati tramite la configurazione MAM.

Nota

È necessario creare un solo criterio per Protezione di rete, MDM o MAM.

Per i dispositivi registrati (MDM)

Seguire la procedura seguente per configurare la configurazione MDM per i dispositivi registrati per la protezione di rete.

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.

  2. Specificare il nome e la descrizione per i criteri. In Piattaforma scegliere iOS/iPad.

  3. Nell'app di destinazione scegliere Microsoft Defender per endpoint.

  4. Nella pagina Impostazioni scegliere formato impostazioni di configurazione Usare Progettazione configurazione.

  5. Aggiungere 'DefenderNetworkProtectionEnable' come chiave di configurazione, tipo di valore come 'String' e valore come 'true' per abilitare Protezione rete. Per impostazione predefinita, la protezione di rete è disabilitata.

    Screenshot che mostra i criteri di configurazione mdm.

  6. Per altre configurazioni correlate alla protezione di rete, aggiungere le chiavi seguenti, scegliere il tipo di valore e il valore corrispondenti.

    Chiave Tipo valore Impostazione predefinita (true-enable, false-disable) Descrizione
    DefenderOpenNetworkDetection Numero intero 0 1 - Controllo, 0 - Disabilita(impostazione predefinita), 2 - Abilita. Questa impostazione viene gestita da un Amministrazione IT per controllare, disabilitare o abilitare il rilevamento di rete aperto, rispettivamente. In modalità "Audit" gli avvisi vengono inviati solo al portale ATP senza esperienza utente finale. Per l'esperienza dell'utente finale, impostare la configurazione sulla modalità "Abilita".
    DefenderEndUserTrustFlowEnable Stringa False true - enable, false - disable; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare l'esperienza dell'utente finale in-app per considerare attendibili e non attendibili le reti non sicure e sospette.
    DefenderNetworkProtectionAutoRemediation Stringa true true - enable, false - disable; Questa impostazione viene usata dall'amministratore IT per abilitare o disabilitare gli avvisi di correzione inviati quando un utente esegue attività di correzione, ad esempio il passaggio a punti di accesso WIFI più sicuri o l'eliminazione di certificati sospetti rilevati da Defender.
    DefenderNetworkProtectionPrivacy Stringa true true - enable, false - disable; Questa impostazione viene gestita dall'amministratore IT per abilitare o disabilitare la privacy nella protezione di rete.

  7. Nella sezione Assegnazioni l'amministratore può scegliere gruppi di utenti da includere ed escludere dai criteri.

  8. Esaminare e creare i criteri di configurazione.

Per i dispositivi non registrazione (MAM)

Seguire la procedura seguente per configurare la configurazione MAM per i dispositivi non iscritti per la protezione di rete (la registrazione del dispositivo Authenticator è necessaria per la configurazione MAM) nei dispositivi iOS. L'inizializzazione di Protezione di rete richiede che l'utente finale apra l'app una sola volta.

  1. Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione delle app>Aggiungere>app> gestite Create un nuovo criterio di configurazione delle app.

    Aggiungere criteri di configurazione.

  2. Specificare un nome e una descrizione per identificare in modo univoco i criteri. Selezionare quindi Seleziona app pubbliche e scegliere Microsoft Defender per Platform iOS/iPadOS.Then select Public apps, and choose Microsoft Defender for Platform iOS/iPadOS.

    Assegnare alla configurazione il nome .

  3. Nella pagina Impostazioni aggiungere DefenderNetworkProtectionEnable come chiave e il valore per true abilitare la protezione di rete. Per impostazione predefinita, la protezione di rete è disabilitata.

    Aggiungere un valore di configurazione.

  4. Per altre configurazioni correlate alla protezione di rete, aggiungere le chiavi seguenti e il valore corrispondente appropriato.

    Chiave Impostazione predefinita (true - enable, false - disable) Descrizione
    DefenderOpenNetworkDetection 0 1 - Controllo, 0 - Disabilita (impostazione predefinita), 2 - Abilita. Questa impostazione viene gestita da un amministratore IT per abilitare, controllare o disabilitare il rilevamento di rete aperto. In modalità di controllo, gli avvisi vengono inviati solo al portale ATP senza esperienza lato utente. Per l'esperienza utente, impostare la configurazione sulla modalità "Abilita".
    DefenderEndUserTrustFlowEnable False true - enable, false - disable; Questa impostazione viene usata dagli amministratori IT per abilitare o disabilitare l'esperienza dell'utente finale in-app per considerare attendibili e non attendibili le reti non sicure e sospette.
    DefenderNetworkProtectionAutoRemediation true true - enable, false - disable; Questa impostazione viene usata dall'amministratore IT per abilitare o disabilitare gli avvisi di correzione inviati quando un utente esegue attività di correzione, ad esempio il passaggio a punti di accesso WIFI più sicuri o l'eliminazione di certificati sospetti rilevati da Defender.
    DefenderNetworkProtectionPrivacy true true - enable, false - disable; Questa impostazione viene gestita dall'amministratore IT per abilitare o disabilitare la privacy nella protezione di rete.

  5. Nella sezione Assegnazioni un amministratore può scegliere gruppi di utenti da includere ed escludere dai criteri.

    Assegnare la configurazione.

  6. Esaminare e creare i criteri di configurazione.

Coesistenza di più profili VPN

Apple iOS non supporta più VPN a livello di dispositivo per essere attive contemporaneamente. Anche se nel dispositivo possono esistere più profili VPN, può essere attiva una sola VPN alla volta.

Configurare Microsoft Defender per endpoint segnale di rischio nei criteri di protezione delle app (MAM)

Microsoft Defender per endpoint in iOS abilita lo scenario dei criteri di protezione delle app. Gli utenti finali possono installare la versione più recente dell'app direttamente dall'App Store di Apple. Assicurarsi che il dispositivo sia registrato in Authenticator con lo stesso account usato per eseguire l'onboarding in Defender per la corretta registrazione di MAM.

Microsoft Defender per endpoint può essere configurato per inviare segnali di minaccia da usare nei criteri di protezione delle app (APP, noto anche come MAM) in iOS/iPadOS. Con questa funzionalità è possibile usare Microsoft Defender per endpoint per proteggere l'accesso ai dati aziendali anche da dispositivi non registrazione.

Seguire la procedura descritta nel collegamento seguente per configurare i criteri di protezione delle app con Microsoft Defender per endpoint Configurare i segnali di rischio di Defender nei criteri di protezione delle app (MAM)

Per altri dettagli sui criteri di protezione delle app o MAM, vedere Impostazioni dei criteri di protezione delle app iOS.

Controlli della privacy

Microsoft Defender per endpoint in iOS abilita i controlli della privacy sia per gli amministratori che per gli utenti finali. Sono inclusi i controlli per i dispositivi registrati (MDM) e non registrati (MAM).

Per i clienti con MDM, gli amministratori possono configurare i controlli della privacy tramite dispositivi gestiti nella configurazione dell'app. Per i clienti senza registrazione, usando MAM, gli amministratori possono configurare i controlli privacy tramite app gestite nella configurazione dell'app. Gli utenti finali avranno anche la possibilità di configurare le impostazioni di privacy dalle impostazioni dell'app Defender.

Configurare la privacy nel report degli avvisi phish

I clienti possono ora abilitare il controllo della privacy per il report phish inviato da Microsoft Defender per endpoint su iOS in modo che il nome di dominio non venga incluso come parte di un avviso phish ogni volta che un sito Web phish viene rilevato e bloccato da Microsoft Defender per endpoint.

  1. Amministrazione Privacy Controls (MDM) Usare la procedura seguente per abilitare la privacy e non raccogliere il nome di dominio come parte del report di avviso phish per i dispositivi registrati.

    1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.

    2. Assegnare al criterio un nome, Piattaforma > iOS/iPadOS, selezionare il tipo di profilo.

    3. Selezionare Microsoft Defender per endpoint come app di destinazione.

    4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderExcludeURLInReport come chiave e tipo di valore come booleano.

      • Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come true e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.
      • Per gli utenti con chiave impostata su true, l'avviso phish non contiene le informazioni sul nome di dominio ogni volta che un sito dannoso viene rilevato e bloccato da Defender per endpoint.

    5. Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

  2. Amministrazione Privacy Controls (MAM) Usare la procedura seguente per abilitare la privacy e non raccogliere il nome di dominio come parte del report di avviso phish per i dispositivi non registrazione.

    1. Nell'interfaccia di amministrazione Microsoft Intune passare aCriteri> di configurazione app>Aggiungere>app gestite.

    2. Assegnare un nome al criterio.

    3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.

    4. Nella pagina Impostazioni, in Impostazioni di configurazione generale, aggiungere DefenderExcludeURLInReport come chiave e valore come true.

      • Per abilitare la privacy e non raccogliere il nome di dominio, immettere il valore come true e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.
      • Per gli utenti con chiave impostata su true, l'avviso phish non contiene le informazioni sul nome di dominio ogni volta che un sito dannoso viene rilevato e bloccato da Defender per endpoint.

    5. Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

  3. Controlli sulla privacy degli utenti finali Questi controlli consentono all'utente finale di configurare le informazioni condivise con l'organizzazione.

    Per i dispositivi con supervisione, i controlli utente finale non sono visibili. L'amministratore decide e controlla le impostazioni. Tuttavia, per i dispositivi non supervisionati, il controllo viene visualizzato sotto La privacy delle impostazioni>.

    • Gli utenti visualizzano un interruttore per Informazioni sito non sicure.
    • Questo interruttore è visibile solo se Amministrazione ha impostato DefenderExcludeURLInReport = true.
    • Se abilitata da un Amministrazione, gli utenti possono decidere se inviare o meno le informazioni del sito non sicure all'organizzazione.
    • Per impostazione predefinita, è impostato su false. Le informazioni sul sito non sicuro non vengono inviate.
    • Se l'utente lo trueattiva o disattiva, vengono inviati i dettagli del sito non sicuro.

L'attivazione o la disattivazione dei controlli di privacy precedenti non influisce sul controllo di conformità del dispositivo o sull'accesso condizionale.

Nota

Nei dispositivi con supervisione con il profilo di configurazione, Microsoft Defender per endpoint può accedere all'intero URL e, se risulta essere phishing, è bloccato. In un dispositivo non supervisionato Microsoft Defender per endpoint ha accesso solo al nome di dominio e, se il dominio non è un URL di phishing, non verrà bloccato.

Autorizzazioni facoltative

Microsoft Defender per endpoint in iOS abilita autorizzazioni facoltative nel flusso di onboarding. Attualmente le autorizzazioni richieste da Defender per endpoint sono obbligatorie nel flusso di onboarding. Con questa funzionalità, gli amministratori possono distribuire Defender per endpoint nei dispositivi BYOD senza applicare l'autorizzazione VPN obbligatoria durante l'onboarding. Gli utenti finali possono eseguire l'onboarding dell'app senza le autorizzazioni obbligatorie e successivamente esaminarle. Questa funzionalità è attualmente presente solo per i dispositivi registrati (MDM).

Configurare l'autorizzazione facoltativa

  1. Amministrazione flow (MDM) Usare la procedura seguente per abilitare l'autorizzazione VPN facoltativa per i dispositivi registrati.

    • Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.

    • Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS.

    • Selezionare Microsoft Defender per endpoint come app di destinazione.

    • Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderOptionalVPN come chiave e tipo di valore come booleano.

      • Per abilitare l'autorizzazione VPN facoltativa, immettere il valore come true e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su false.
      • Per gli utenti con chiave impostata su true, gli utenti possono eseguire l'onboarding dell'app senza concedere l'autorizzazione VPN.

    • Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

  2. Flusso dell'utente finale: l'utente installa e apre l'app per avviare l'onboarding.

    • Se un amministratore ha configurato autorizzazioni facoltative, l'utente può ignorare l'autorizzazione VPN e completare l'onboarding.
    • Anche se l'utente ha ignorato la VPN, il dispositivo è in grado di eseguire l'onboarding e viene inviato un heartbeat.
    • Se la VPN è disabilitata, la protezione Web non è attiva.
    • In seguito, l'utente può abilitare la protezione Web dall'interno dell'app, che installa la configurazione VPN nel dispositivo.

Nota

L'autorizzazione facoltativa è diversa da Disabilita protezione Web. L'autorizzazione VPN facoltativa consente solo di ignorare l'autorizzazione durante l'onboarding, ma è disponibile per l'utente finale per esaminarla e abilitarla in un secondo momento. Anche se Disabilita protezione Web consente agli utenti di eseguire l'onboarding dell'app Defender per endpoint senza Protezione Web. Non può essere abilitato in un secondo momento.

Rilevamento jailbreak

Microsoft Defender per endpoint ha la capacità di rilevare i dispositivi non gestiti e gestiti che sono jailbroken. Questi controlli jailbreak vengono eseguiti periodicamente. Se un dispositivo viene rilevato come jailbroken, si verificano questi eventi:

  • L'avviso ad alto rischio viene segnalato al portale di Microsoft Defender. Se conformità del dispositivo e accesso condizionale sono configurati in base al punteggio di rischio del dispositivo, al dispositivo viene impedito di accedere ai dati aziendali.
  • I dati utente nell'app sono cancellati. Quando l'utente apre l'app dopo il jailbreak, viene eliminato anche il profilo VPN e non viene offerta alcuna protezione Web.

Configurare i criteri di conformità per i dispositivi jailbroken

Per proteggere l'accesso ai dati aziendali nei dispositivi iOS jailbroken, è consigliabile configurare i criteri di conformità seguenti in Intune.

Nota

Il rilevamento jailbreak è una funzionalità fornita da Microsoft Defender per endpoint in iOS. Tuttavia, è consigliabile configurare questo criterio come ulteriore livello di difesa contro scenari jailbreak.

Seguire la procedura seguente per creare criteri di conformità per i dispositivi jailbroken.

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri diconformità>dei dispositivi>Create Criteri. Selezionare "iOS/iPadOS" come piattaforma e selezionare Create.

    Scheda Criteri di Create

  2. Specificare un nome dei criteri, ad esempio Criteri di conformità per Jailbreak.

  3. Nella pagina delle impostazioni di conformità selezionare per espandere la sezione Integrità dispositivo e selezionare Blocca per i dispositivi jailbroken .

    Scheda Impostazioni di conformità

  4. Nella sezione Azioni per la non conformità selezionare le azioni in base ai requisiti e selezionare Avanti.

    Scheda Azioni per la non conformità

  5. Nella sezione Assegnazioni selezionare i gruppi di utenti da includere per questo criterio e quindi selezionare Avanti.

  6. Nella sezione Rivedi+Create verificare che tutte le informazioni immesse siano corrette e quindi selezionare Create.

Configurare indicatori personalizzati

Defender per endpoint in iOS consente agli amministratori di configurare indicatori personalizzati anche nei dispositivi iOS. Per altre informazioni su come configurare indicatori personalizzati, vedere Gestire gli indicatori.

Nota

Defender per endpoint in iOS supporta la creazione di indicatori personalizzati solo per URL e domini. Gli indicatori personalizzati basati su IP non sono supportati in iOS.

Per iOS, non vengono generati avvisi in Microsoft Defender XDR quando si accede all'URL o al dominio impostato nell'indicatore.

Configurare la valutazione della vulnerabilità delle app

La riduzione del rischio informatico richiede una gestione completa delle vulnerabilità basata sui rischi per identificare, valutare, correggere e tenere traccia di tutte le vulnerabilità più importanti tra gli asset più critici, il tutto in un'unica soluzione. Visitare questa pagina per altre informazioni sui Gestione delle vulnerabilità di Microsoft Defender in Microsoft Defender per endpoint.

Defender per endpoint in iOS supporta le valutazioni delle vulnerabilità del sistema operativo e delle app. La valutazione della vulnerabilità delle versioni di iOS è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). La valutazione della vulnerabilità delle app è solo per i dispositivi registrati (MDM). Gli amministratori possono usare la procedura seguente per configurare la valutazione della vulnerabilità delle app.

In un dispositivo con supervisione

  1. Verificare che il dispositivo sia configurato in modalità di supervisione.

  2. Per abilitare la funzionalità nell'interfaccia di amministrazione Microsoft Intune, passare a Endpoint Security>Microsoft Defender per endpoint>Sincronizzazione app attiva per dispositivi iOS/iPadOS.

    Sincronizzazione app toggleSup

Nota

Per ottenere l'elenco di tutte le app, incluse le app non gestite, l'amministratore deve abilitare Invia dati di inventario completo delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale nel portale di Intune Amministrazione per i dispositivi con supervisione contrassegnati come "Personali". Per i dispositivi con supervisione contrassegnati come "Aziendali" nel portale di Intune Amministrazione, l'amministratore non deve abilitare Invia dati di inventario completo dell'applicazione nei dispositivi iOS/iPadOS di proprietà personale.

In un dispositivo non supervisionato

  1. Per abilitare la funzionalità nell'interfaccia di amministrazione Microsoft Intune, passare a Endpoint Security>Microsoft Defender per endpoint>Sincronizzazione app attiva per dispositivi iOS/iPadOS.

    Attivazione/disattivazione della sincronizzazione dell'app

  2. Per ottenere l'elenco di tutte le app, incluse le app non gestite, abilitare l'interruttore Invia dati di inventario completo delle applicazioni nei dispositivi iOS/iPadOS di proprietà personale.

    Dati completi dell'app

  3. Per configurare l'impostazione della privacy, seguire questa procedura.

    • Passare a Criteri diconfigurazione>delle app>Aggiungere>dispositivi gestiti.
    • Assegnare al criterio un nome, Platform>iOS/iPadOS.
    • Selezionare Microsoft Defender per endpoint come app di destinazione.
    • Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderTVMPrivacyMode come chiave e tipo di valore come String.
      • Per disabilitare la privacy e raccogliere l'elenco di app installate, immettere il valore come False e assegnare questo criterio agli utenti.
      • Per impostazione predefinita, questo valore è impostato su True per i dispositivi non supervisionati.
      • Per gli utenti con chiave impostata su False, Defender per endpoint invierà l'elenco delle app installate nel dispositivo per la valutazione della vulnerabilità.
    • Fare clic su Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.
    • L'attivazione o la disattivazione dei controlli di privacy precedenti non influirà sul controllo di conformità del dispositivo o sull'accesso condizionale.

  4. Dopo aver applicato la configurazione, l'utente finale dovrà aprire l'app per approvare l'impostazione di privacy.

    • La schermata di approvazione della privacy verrà visualizzata solo per i dispositivi non supervisionati.

    • Solo se l'utente finale approva la privacy, le informazioni sull'app vengono inviate alla console di Defender per endpoint.

      Screenshot della schermata di privacy dell'utente finale.

Dopo la distribuzione delle versioni client nei dispositivi iOS di destinazione, verrà avviata l'elaborazione. Le vulnerabilità rilevate in tali dispositivi inizieranno a essere visualizzate nel dashboard di Gestione vulnerabilità di Defender. Il completamento dell'elaborazione potrebbe richiedere alcune ore (massimo 24 ore). Soprattutto per l'intero elenco di app da visualizzare nell'inventario software.

Nota

Se si usa una soluzione di ispezione SSL all'interno del dispositivo iOS, consentire l'elenco di questi nomi di dominio securitycenter.windows.com (nell'ambiente commerciale) e securitycenter.windows.us (nell'ambiente GCC) per il funzionamento della funzionalità TVM.

Disabilitare la disconnessione

Defender per endpoint in iOS supporta la distribuzione senza il pulsante di disconnessione nell'app per impedire agli utenti di disconnettersi dall'app Defender. Questo è importante per impedire agli utenti di manomettere il dispositivo.

Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Gli amministratori possono usare la procedura seguente per configurare la disabilitazione della disconnessione

Configurare Disabilita disconnessione

Per i dispositivi registrati (MDM)

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > dispositivi gestiti.
  2. Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS
  3. Selezionare Microsoft Defender per endpoint come app di destinazione.
  4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DisableSignOut come chiave e tipo di valore come Stringa.
  5. Per impostazione predefinita, DisableSignOut = false.
  6. Amministrazione deve impostare DisableSignOut = true per disabilitare il pulsante di disconnessione nell'app. Gli utenti non visualizzeranno il pulsante di disconnessione dopo il push dei criteri.
  7. Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.

Per i dispositivi non registrazione (MAM)

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.
  2. Assegnare un nome al criterio.
  3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
  4. Nella pagina Impostazioni aggiungere DisableSignOut come chiave e valore true in Impostazioni di configurazione generale.
  5. Per impostazione predefinita, DisableSignOut = false.
  6. Amministrazione deve impostare DisableSignOut = true per disabilitare il pulsante di disconnessione nell'app. Gli utenti non visualizzeranno il pulsante di disconnessione dopo il push dei criteri.
  7. Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.

Importante

Questa funzionalità è disponibile in anteprima pubblica. Le informazioni seguenti si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Assegnazione di tag ai dispositivi

Defender per endpoint in iOS consente di contrassegnare in blocco i dispositivi mobili durante l'onboarding consentendo agli amministratori di configurare i tag tramite Intune. Amministrazione possibile configurare i tag del dispositivo tramite Intune tramite criteri di configurazione ed eseguirne il push nei dispositivi dell'utente. Dopo che l'utente installa e attiva Defender, l'app client passa i tag del dispositivo al portale di sicurezza. I tag Dispositivo vengono visualizzati nei dispositivi nell'inventario dei dispositivi.

Questa configurazione è disponibile sia per i dispositivi registrati (MDM) che per i dispositivi non registrati (MAM). Gli amministratori possono usare la procedura seguente per configurare i tag del dispositivo.

Configurare i tag del dispositivo

Per i dispositivi registrati (MDM)

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > dispositivi gestiti.

  2. Assegnare un nome al criterio, selezionare Piattaforma > iOS/iPadOS

  3. Selezionare Microsoft Defender per endpoint come app di destinazione.

  4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderDeviceTag come chiave e tipo di valore come String.

    • Amministrazione possibile assegnare un nuovo tag aggiungendo la chiave DefenderDeviceTag e impostando un valore per il tag del dispositivo.
    • Amministrazione possibile modificare un tag esistente modificando il valore della chiave DefenderDeviceTag.
    • Amministrazione possibile eliminare un tag esistente rimuovendo la chiave DefenderDeviceTag.

  5. Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.

Per i dispositivi non registrazione (MAM)

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > di configurazione app > Aggiungere > app gestite.
  2. Assegnare un nome al criterio.
  3. In Seleziona app pubbliche scegliere Microsoft Defender per endpoint come app di destinazione.
  4. Nella pagina Impostazioni aggiungere DefenderDeviceTag come chiave in Impostazioni di configurazione generale.
    • Amministrazione possibile assegnare un nuovo tag aggiungendo la chiave DefenderDeviceTag e impostando un valore per il tag del dispositivo.
    • Amministrazione possibile modificare un tag esistente modificando il valore della chiave DefenderDeviceTag.
    • Amministrazione possibile eliminare un tag esistente rimuovendo la chiave DefenderDeviceTag.
  5. Fare clic su Avanti e assegnare questo criterio a dispositivi/utenti di destinazione.

Nota

L'app Defender deve essere aperta affinché i tag vengano sincronizzati con Intune e passati al portale di sicurezza. La riflessione dei tag nel portale può richiedere fino a 18 ore.

Configurare l'opzione per inviare commenti e suggerimenti in-app

I clienti hanno ora la possibilità di configurare la possibilità di inviare dati di feedback a Microsoft all'interno dell'app Defender per endpoint. I dati di feedback consentono a Microsoft di migliorare i prodotti e risolvere i problemi.

Nota

Per i clienti cloud us government, la raccolta dei dati di feedback è disabilitata per impostazione predefinita.

Seguire questa procedura per configurare l'opzione per inviare dati di feedback a Microsoft:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Criteri > diconfigurazionedelle app>Aggiungere>dispositivi gestiti.

  2. Assegnare un nome al criterio e selezionare Piattaforma > iOS/iPadOS come tipo di profilo.

  3. Selezionare Microsoft Defender per endpoint come app di destinazione.

  4. Nella pagina Impostazioni selezionare Usa progettazione configurazione e aggiungere DefenderFeedbackData come chiave e tipo di valore come booleano.

    • Per rimuovere la capacità degli utenti finali di fornire commenti e suggerimenti, impostare il valore come false e assegnare questo criterio agli utenti. Per impostazione predefinita, questo valore è impostato su true. Per i clienti us government, il valore predefinito è impostato su 'false'.

    • Per gli utenti con chiave impostata su true, è disponibile un'opzione per inviare dati di feedback a Microsoft all'interno dell'app (Guida del menu>& Feedback>Invia feedback a Microsoft).

  5. Selezionare Avanti e assegnare questo profilo a dispositivi/utenti di destinazione.

Segnala sito non sicuro

I siti Web di phishing rappresentano siti Web affidabili allo scopo di ottenere informazioni personali o finanziarie. Visitare la pagina Fornire commenti e suggerimenti sulla protezione di rete per segnalare un sito Web che potrebbe essere un sito di phishing.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.