Overzicht van Microsoft Defender voor Eindpunt op iOS

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Defender voor Eindpunt in iOS gebruikt een VPN om de functie Webbeveiliging te bieden. Dit is geen gewone VPN en is een lokale/zelf-lusende VPN die geen verkeer buiten het apparaat afneemt.

Voorwaardelijke toegang met Defender voor Eindpunt in iOS

Microsoft Defender voor Eindpunt op iOS samen met Microsoft Intune en Microsoft Entra ID maakt het mogelijk om naleving van apparaten en beleid voor voorwaardelijke toegang af te dwingen op basis van de apparaatrisicoscore. Defender voor Eindpunt is een MTD-oplossing (Mobile Threat Defense) die u kunt implementeren om deze mogelijkheid te gebruiken via Intune.

Zie Defender voor Eindpunt en Intune voor meer informatie over het instellen van voorwaardelijke toegang met Defender voor Eindpunt in iOS.

Webbeveiliging en VPN

Standaard bevat Defender voor Eindpunt in iOS de functie webbeveiliging en schakelt deze in. Webbeveiliging helpt apparaten te beveiligen tegen webbedreigingen en gebruikers te beschermen tegen phishing-aanvallen. Antiphishing en aangepaste indicatoren (URL en domein) worden ondersteund als onderdeel van webbeveiliging. Aangepaste ip-indicatoren worden momenteel niet ondersteund in iOS. Filteren van webinhoud wordt momenteel niet ondersteund op mobiele platforms (Android en iOS).

Defender voor Eindpunt in iOS maakt gebruik van een VPN om deze mogelijkheid te bieden. Houd er rekening mee dat de VPN lokaal is en in tegenstelling tot traditionele VPN,wordt netwerkverkeer niet buiten het apparaat verzonden.

Hoewel deze standaard is ingeschakeld, kunnen er enkele gevallen zijn waarvoor u VPN moet uitschakelen. U wilt bijvoorbeeld bepaalde apps uitvoeren die niet werken wanneer een VPN is geconfigureerd. In dergelijke gevallen kunt u ervoor kiezen om VPN uit te schakelen vanuit de app op het apparaat door de volgende stappen uit te voeren:

  1. Open op uw iOS-apparaat de app Instellingen , selecteer Algemeen en vervolgens VPN.

  2. Selecteer de knop i voor Microsoft Defender voor Eindpunt.

  3. Schakel Verbinding maken op aanvraag uit om VPN uit te schakelen.

    De wisselknop voor de optie VPN-configuratie Verbinding maken op aanvraag

Opmerking

Webbeveiliging is niet beschikbaar wanneer VPN is uitgeschakeld. Als u Webbeveiliging opnieuw wilt inschakelen, opent u de Microsoft Defender voor Eindpunt-app op het apparaat en klikt of tikt u op VPN starten.

Webbeveiliging uitschakelen

Webbeveiliging is een van de belangrijkste functies van Defender voor Eindpunt en hiervoor is een VPN vereist. De gebruikte VPN is een lokale/loopback-VPN en geen traditionele VPN, maar er zijn verschillende redenen waarom klanten mogelijk niet de voorkeur geven aan de VPN. Klanten die geen VPN willen instellen, is er een optie om webbeveiliging uit te schakelen en Defender voor Eindpunt te implementeren zonder die functie. Andere Defender voor Eindpunt-functies blijven werken.

Deze configuratie is beschikbaar voor zowel de ingeschreven (MDM)-apparaten als niet-ingeschreven (MAM)-apparaten. Voor klanten met MDM kunnen beheerders de webbeveiliging configureren via beheerde apparaten in de app-configuratie. Voor klanten zonder inschrijving kunnen beheerders de webbeveiliging configureren via beheerde apps in de app-configuratie.

Webbeveiliging configureren

  1. Webbeveiliging (MDM) uitschakelen Gebruik de volgende stappen om Webbeveiliging uit te schakelen voor ingeschreven apparaten.

    • Ga in het Microsoft Intune-beheercentrum naarApp-configuratiebeleid>> voor appsBeheerde apparatentoevoegen>.
    • Geef het beleid een naam, Platform > iOS/iPadOS.
    • Selecteer Microsoft Defender voor Eindpunt als de doel-app.
    • Selecteer op de pagina Instellingen de optie Configuratieontwerper gebruiken en voeg WebProtection toe als sleutel en waardetype als Tekenreeks.
      • Standaard is WebProtection= true.
      • Beheer moet WebProtection = false maken om de webbeveiliging uit te schakelen.
      • Defender verzendt de heartbeat naar de Microsoft Defender portal wanneer de gebruiker de app opent.
      • Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

  2. Webbeveiliging (MAM) uitschakelen Gebruik de volgende stappen om Webbeveiliging uit te schakelen voor niet-ingeschreven apparaten.

    • Ga in het Microsoft Intune-beheercentrum naar Apps>App-configuratiebeleid>Beheerde appstoevoegen>.
    • Geef het beleid een naam.
    • Kies onder Openbare apps selecteren Microsoft Defender voor Eindpunt als de doel-app.
    • Voeg op de pagina Instellingen, onder Algemene configuratie-instellingen, WebProtection toe als sleutel en waarde als onwaar.
      • Standaard is WebProtection= true.
      • Beheer moet WebProtection = false maken om de webbeveiliging uit te schakelen.
      • Defender verzendt de heartbeat naar de Microsoft Defender portal wanneer de gebruiker de app opent.
      • Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

Netwerkbeveiliging configureren

Netwerkbeveiliging in Microsoft Defender voor eindpunt is standaard uitgeschakeld. Beheerders kunnen de volgende stappen gebruiken om Netwerkbeveiliging te configureren. Deze configuratie is beschikbaar voor zowel ingeschreven apparaten via MDM-configuratie als niet-ingeschreven apparaten via MAM-configuratie.

Opmerking

Er moet slechts één beleid worden gemaakt voor netwerkbeveiliging, MDM of MAM.

Voor ingeschreven apparaten (MDM)

Volg de onderstaande stappen voor het instellen van MDM-configuratie voor ingeschreven apparaten voor netwerkbeveiliging.

  1. Navigeer in het Microsoft Intune-beheercentrum naar Apps>App-configuratiebeleid>Beheerde apparatentoevoegen>.

  2. Geef de naam en beschrijving op voor het beleid. Kies onder Platformde optie iOS/iPad.

  3. Kies Microsoft Defender voor Eindpunt in de doel-app.

  4. Kies op de pagina Instellingen de indeling configuratie-instellingen Configuration Designer gebruiken.

  5. Voeg 'DefenderNetworkProtectionEnable' toe als de configuratiesleutel, het waardetype als 'Tekenreeks' en de waarde als 'true' om Netwerkbeveiliging in te schakelen. (Netwerkbeveiliging is standaard uitgeschakeld.)

    Schermopname van het mdm-configuratiebeleid.

  6. Voor andere configuraties met betrekking tot netwerkbeveiliging voegt u de volgende sleutels toe, kiest u het bijbehorende waardetype en de bijbehorende waarde.

    Sleutel Waardetype: Standaard (true-enable, false-disable) Omschrijving
    DefenderOpenNetworkDetection Geheel getal 0 1 - Controle, 0 - Uitschakelen(standaard), 2 - Inschakelen. Deze instelling wordt beheerd door een IT-Beheer om respectievelijk open netwerkdetectie te controleren, uit te schakelen of in te schakelen. In de auditmodus worden waarschuwingen alleen verzonden naar de ATP-portal zonder ervaring voor eindgebruikers. Voor de eindgebruikerservaring stelt u de configuratie in op de modus Inschakelen.
    DefenderEndUserTrustFlowEnable Tekenreeks Valse true - inschakelen, onwaar - uitschakelen; Deze instelling wordt gebruikt door IT-beheerders om de in-app-ervaring van de eindgebruiker in- of uit te schakelen om de onveilige en verdachte netwerken te vertrouwen en uit te schakelen.
    DefenderNetworkProtectionAutoRemediation Tekenreeks Waar true - inschakelen, onwaar - uitschakelen; Deze instelling wordt gebruikt door de IT-beheerder om de herstelwaarschuwingen in of uit te schakelen die worden verzonden wanneer een gebruiker herstelactiviteiten uitvoert, zoals het overschakelen naar veiligere WIFI-toegangspunten of het verwijderen van verdachte certificaten die zijn gedetecteerd door Defender.
    DefenderNetworkProtectionPrivacy Tekenreeks Waar true - inschakelen, onwaar - uitschakelen; Deze instelling wordt beheerd door de IT-beheerder om privacy in of uit te schakelen in netwerkbeveiliging.

  7. In de sectie Toewijzingen kan de beheerder groepen gebruikers kiezen om op te nemen en uit te sluiten van het beleid.

  8. Controleer en maak het configuratiebeleid.

Voor niet-ingeschreven apparaten (MAM)

Volg de onderstaande stappen voor het instellen van MAM-configuratie voor niet-ingeschreven apparaten voor netwerkbeveiliging (Authenticator-apparaatregistratie is vereist voor MAM-configuratie) op iOS-apparaten. Voor initialisatie van netwerkbeveiliging moet de eindgebruiker de app eenmaal openen.

  1. Navigeer in het Microsoft Intune-beheercentrum naar Apps>App-configuratiebeleid>Beheerde apps>toevoegen>Creatie een nieuw app-configuratiebeleid.

    Configuratiebeleid toevoegen.

  2. Geef een naam en beschrijving op om het beleid uniek te identificeren. Selecteer vervolgens Openbare apps selecteren en kies Microsoft Defender voor Platform iOS/iPadOS.

    Geef de configuratie een naam.

  3. Voeg op de pagina Instellingen DefenderNetworkProtectionEnable toe als de sleutel en de waarde voor true het inschakelen van netwerkbeveiliging. (Netwerkbeveiliging is standaard uitgeschakeld.)

    Configuratiewaarde toevoegen.

  4. Voor andere configuraties met betrekking tot netwerkbeveiliging voegt u de volgende sleutels en de bijbehorende waarde toe.

    Sleutel Standaard (waar - inschakelen, onwaar - uitschakelen) Omschrijving
    DefenderOpenNetworkDetection 0 1 - Controle, 0 - Uitschakelen (standaard), 2 - Inschakelen. Deze instelling wordt beheerd door een IT-beheerder om open netwerkdetectie in te schakelen, te controleren of uit te schakelen. In de controlemodus worden waarschuwingen alleen verzonden naar de ATP-portal zonder gebruikerservaring. Voor gebruikerservaring stelt u de configuratie in op de modus Inschakelen.
    DefenderEndUserTrustFlowEnable Valse true - inschakelen, onwaar - uitschakelen; Deze instelling wordt gebruikt door IT-beheerders om de in-app-ervaring van de eindgebruiker in- of uit te schakelen om de onveilige en verdachte netwerken te vertrouwen en uit te schakelen.
    DefenderNetworkProtectionAutoRemediation Waar true - inschakelen, onwaar - uitschakelen; Deze instelling wordt gebruikt door de IT-beheerder om de herstelwaarschuwingen in of uit te schakelen die worden verzonden wanneer een gebruiker herstelactiviteiten uitvoert, zoals het overschakelen naar veiligere WIFI-toegangspunten of het verwijderen van verdachte certificaten die zijn gedetecteerd door Defender.
    DefenderNetworkProtectionPrivacy Waar true - inschakelen, onwaar - uitschakelen; Deze instelling wordt beheerd door de IT-beheerder om privacy in of uit te schakelen in netwerkbeveiliging.

  5. In de sectie Toewijzingen kan een beheerder groepen gebruikers kiezen om op te nemen en uit te sluiten van het beleid.

    Configuratie toewijzen.

  6. Controleer en maak het configuratiebeleid.

Co-existentie van meerdere VPN-profielen

Apple iOS biedt geen ondersteuning voor meerdere VPN's voor het hele apparaat om tegelijkertijd actief te zijn. Hoewel er meerdere VPN-profielen op het apparaat kunnen bestaan, kan slechts één VPN tegelijk actief zijn.

Microsoft Defender voor Eindpunt-risicosignaal configureren in app-beveiligingsbeleid (MAM)

Microsoft Defender voor Eindpunt op iOS schakelt het scenario app-beveiligingsbeleid in. Eindgebruikers kunnen de nieuwste versie van de app rechtstreeks vanuit de Apple App Store installeren. Zorg ervoor dat het apparaat is geregistreerd bij Authenticator met hetzelfde account dat wordt gebruikt voor onboarding in Defender voor een geslaagde MAM-registratie.

Microsoft Defender voor Eindpunt kan worden geconfigureerd om bedreigingssignalen te verzenden die moeten worden gebruikt in app-beveiligingsbeleid (APP, ook wel bekend als MAM) op iOS/iPadOS. Met deze mogelijkheid kunt u Microsoft Defender voor Eindpunt ook gebruiken om de toegang tot bedrijfsgegevens te beveiligen vanaf niet-ingeschreven apparaten.

Volg de stappen in de volgende koppeling om beveiligingsbeleid voor apps in te stellen met Microsoft Defender voor Eindpunt Defender-risicosignalen configureren in app-beveiligingsbeleid (MAM)

Zie Beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie over MAM- of app-beveiligingsbeleid.

Privacybesturingselementen

Microsoft Defender voor Eindpunt op iOS schakelt privacybesturingselementen in voor zowel de beheerders als de eindgebruikers. Dit omvat de besturingselementen voor ingeschreven (MDM) en niet-ingeschreven (MAM)-apparaten.

Voor klanten met MDM kunnen beheerders de privacyinstellingen configureren via beheerde apparaten in de app-configuratie. Voor klanten zonder inschrijving, met behulp van MAM, kunnen beheerders de privacyinstellingen configureren via beheerde apps in de app-configuratie. Eindgebruikers hebben ook de mogelijkheid om de privacyinstellingen te configureren vanuit de instellingen van de Defender-app.

Privacy configureren in phish-waarschuwingsrapport

Klanten kunnen nu privacybeheer inschakelen voor het phish-rapport dat wordt verzonden door Microsoft Defender voor Eindpunt op iOS, zodat de domeinnaam niet wordt opgenomen als onderdeel van een phish-waarschuwing wanneer een phish-website wordt gedetecteerd en geblokkeerd door Microsoft Defender voor Eindpunt.

  1. Beheer Mdm (Privacy Controls) Gebruik de volgende stappen om privacy in te schakelen en de domeinnaam niet te verzamelen als onderdeel van het phishingwaarschuwingsrapport voor ingeschreven apparaten.

    1. Ga in het Microsoft Intune-beheercentrum naarApp-configuratiebeleid>> voor appsBeheerde apparatentoevoegen>.

    2. Geef het beleid een naam, Platform > iOS/iPadOS, selecteer het profieltype.

    3. Selecteer Microsoft Defender voor Eindpunt als de doel-app.

    4. Selecteer op de pagina Instellingen de optie Configuratieontwerper gebruiken en voeg DefenderExcludeURLInReport toe als sleutel en waardetype als Booleaanse waarde.

      • Als u privacy wilt inschakelen en niet de domeinnaam wilt verzamelen, voert u de waarde in als true en wijst u dit beleid toe aan gebruikers. Deze waarde is standaard ingesteld op false.
      • Voor gebruikers waarvoor de sleutel is ingesteld als true, bevat de phish-waarschuwing niet de domeinnaamgegevens wanneer een schadelijke site wordt gedetecteerd en geblokkeerd door Defender for Endpoint.

    5. Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

  2. Beheer Privacy Controls (MAM) Gebruik de volgende stappen om privacy in te schakelen en de domeinnaam niet te verzamelen als onderdeel van het meldingsrapport voor niet-ingeschreven apparaten.

    1. Ga in het Microsoft Intune-beheercentrum naar Apps>App-configuratiebeleid>Beheerde appstoevoegen>.

    2. Geef het beleid een naam.

    3. Kies onder Openbare apps selecterenMicrosoft Defender voor Eindpunt als de doel-app.

    4. Voeg op de pagina Instellingen onder Algemene configuratie-instellingenDefenderExcludeURLInReport toe als de sleutel en waarde als true.

      • Als u privacy wilt inschakelen en niet de domeinnaam wilt verzamelen, voert u de waarde in als true en wijst u dit beleid toe aan gebruikers. Deze waarde is standaard ingesteld op false.
      • Voor gebruikers waarvoor de sleutel is ingesteld als true, bevat de phish-waarschuwing niet de domeinnaamgegevens wanneer een schadelijke site wordt gedetecteerd en geblokkeerd door Defender for Endpoint.

    5. Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

  3. Privacybesturingselementen voor eindgebruikers Deze besturingselementen helpen de eindgebruiker bij het configureren van de informatie die wordt gedeeld met de organisatie.

    Voor apparaten onder supervisie zijn besturingselementen voor eindgebruikers niet zichtbaar. De beheerder bepaalt en bepaalt de instellingen. Voor apparaten zonder supervisie wordt het besturingselement echter weergegeven onder Instellingen > Privacy.

    • Gebruikers zien een wisselknop voor Onveilige site-informatie.
    • Deze wisselknop is alleen zichtbaar als Beheer DefenderExcludeURLInReport = true heeft ingesteld.
    • Als deze is ingeschakeld door een Beheer, kunnen gebruikers bepalen of ze de onveilige site-informatie naar hun organisatie willen verzenden of niet.
    • Deze is standaard ingesteld op false. De onveilige site-informatie wordt niet verzonden.
    • Als de gebruiker deze wisselt naar true, worden de onveilige sitegegevens verzonden.

Het in- of uitschakelen van de bovenstaande privacybesturingselementen heeft geen invloed op de apparaatnalevingscontrole of voorwaardelijke toegang.

Opmerking

Op apparaten met supervisie met het configuratieprofiel heeft Microsoft Defender voor Eindpunt toegang tot de volledige URL en als deze phishing blijkt te zijn, wordt deze geblokkeerd. Op een apparaat zonder supervisie heeft Microsoft Defender voor Eindpunt alleen toegang tot de domeinnaam en als het domein geen phishing-URL is, wordt deze niet geblokkeerd.

Optionele machtigingen

Microsoft Defender voor Eindpunt op iOS schakelt optionele machtigingen in de onboardingstroom in. Momenteel zijn de machtigingen die vereist zijn voor Defender voor Eindpunt verplicht in de onboardingstroom. Met deze functie kunnen beheerders Defender voor Eindpunt implementeren op BYOD-apparaten zonder de verplichte VPN-machtiging af te dwingen tijdens de onboarding. Eindgebruikers kunnen de app onboarden zonder de verplichte machtigingen en kunnen deze machtigingen later controleren. Deze functie is momenteel alleen aanwezig voor ingeschreven apparaten (MDM).

Optionele machtiging configureren

  1. Beheer flow (MDM) Gebruik de volgende stappen om optionele VPN-machtigingen in te schakelen voor ingeschreven apparaten.

    • Ga in het Microsoft Intune-beheercentrum naarApp-configuratiebeleid>> voor appsBeheerde apparatentoevoegen>.

    • Geef het beleid een naam en selecteer Platform > iOS/iPadOS.

    • Selecteer Microsoft Defender voor Eindpunt als de doel-app.

    • Selecteer op de pagina Instellingen de optie Configuratieontwerper gebruiken en voeg DefenderOptionalVPN toe als sleutel en waardetype als Booleaanse waarde.

      • Als u optionele VPN-machtigingen wilt inschakelen, voert u de waarde in als true en wijst u dit beleid toe aan gebruikers. Deze waarde is standaard ingesteld op false.
      • Voor gebruikers met een sleutel die is ingesteld als true, kunnen de gebruikers de app onboarden zonder de VPN-machtiging te geven.

    • Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

  2. Eindgebruikersstroom : de gebruiker installeert en opent de app om de onboarding te starten.

    • Als een beheerder optionele machtigingen heeft ingesteld, kan de gebruiker de VPN-machtiging overslaan en onboarding voltooien.
    • Zelfs als de gebruiker VPN heeft overgeslagen, kan het apparaat onboarden en wordt er een heartbeat verzonden.
    • Als VPN is uitgeschakeld, is webbeveiliging niet actief.
    • Later kan de gebruiker webbeveiliging inschakelen vanuit de app, waarmee de VPN-configuratie op het apparaat wordt geïnstalleerd.

Opmerking

Optionele machtiging verschilt van Webbeveiliging uitschakelen. Optionele VPN-machtiging helpt alleen om de machtiging over te slaan tijdens onboarding, maar de eindgebruiker kan deze later controleren en inschakelen. Met Webbeveiliging uitschakelen kunnen gebruikers de Defender for Endpoint-app onboarden zonder de webbeveiliging. Deze kan later niet worden ingeschakeld.

Jailbreakdetectie

Microsoft Defender voor Eindpunt heeft de mogelijkheid om onbeheerde en beheerde apparaten te detecteren die zijn gekraakt. Deze jailbreakcontroles worden periodiek uitgevoerd. Als een apparaat wordt gedetecteerd als jailbroken, treden deze gebeurtenissen op:

  • Waarschuwing met een hoog risico wordt gerapporteerd aan de Microsoft Defender-portal. Als apparaatcompatibiliteit en voorwaardelijke toegang is ingesteld op basis van de risicoscore van het apparaat, heeft het apparaat geen toegang tot bedrijfsgegevens.
  • Gebruikersgegevens in de app worden gewist. Wanneer de gebruiker de app opent na het jailbreaken, wordt het VPN-profiel ook verwijderd en wordt er geen webbeveiliging aangeboden.

Nalevingsbeleid configureren voor gekraakte apparaten

Om te voorkomen dat bedrijfsgegevens worden geopend op gekraakte iOS-apparaten, raden we u aan het volgende nalevingsbeleid in te stellen op Intune.

Opmerking

Jailbreakdetectie is een mogelijkheid die wordt geboden door Microsoft Defender voor Eindpunt op iOS. We raden u echter aan dit beleid in te stellen als een extra beveiligingslaag tegen jailbreakscenario's.

Volg de onderstaande stappen om een nalevingsbeleid te maken voor gekraakte apparaten.

  1. Ga in het Microsoft Intune-beheercentrum naarNalevingsbeleid voor>apparaten>Creatie Beleid. Selecteer 'iOS/iPadOS' als platform en selecteer Creatie.

    Het tabblad Beleid voor Creatie

  2. Geef een naam van het beleid op, zoals Nalevingsbeleid voor Jailbreak.

  3. Selecteer op de pagina nalevingsinstellingen om de sectie Apparaatstatus uit te vouwen en selecteer blokkeren voor gekraakte apparaten .

    Het tabblad Nalevingsinstellingen

  4. Selecteer in de sectie Acties voor niet-naleving de acties op basis van uw vereisten en selecteer Volgende.

    Het tabblad Acties voor niet-naleving

  5. Selecteer in de sectie Toewijzingen de gebruikersgroepen die u wilt opnemen voor dit beleid en selecteer vervolgens Volgende.

  6. Controleer in de sectie Controleren+Creatie of alle ingevoerde gegevens juist zijn en selecteer vervolgens Creatie.

Aangepaste indicatoren configureren

Met Defender voor Eindpunt in iOS kunnen beheerders ook aangepaste indicatoren configureren op iOS-apparaten. Zie Indicatoren beheren voor meer informatie over het configureren van aangepaste indicatoren.

Opmerking

Defender voor Eindpunt in iOS ondersteunt het maken van aangepaste indicatoren alleen voor URL's en domeinen. Aangepaste ip-indicatoren worden niet ondersteund in iOS.

Voor iOS worden er geen waarschuwingen gegenereerd op Microsoft Defender XDR wanneer de URL of het domein dat in de indicator is ingesteld, wordt geopend.

Evaluatie van beveiligingsproblemen van apps configureren

Het verminderen van cyberrisico's vereist een uitgebreid op risico gebaseerd beheer van beveiligingsproblemen om al uw grootste beveiligingsproblemen in uw meest kritieke assets te identificeren, te evalueren, op te lossen en bij te houden, allemaal in één oplossing. Ga naar deze pagina voor meer informatie over Microsoft Defender Vulnerability Management in Microsoft Defender voor Eindpunt.

Defender voor Eindpunt op iOS ondersteunt evaluaties van beveiligingsproblemen van het besturingssysteem en apps. Evaluatie van beveiligingsproblemen van iOS-versies is beschikbaar voor zowel ingeschreven (MDM) als niet-ingeschreven (MAM)-apparaten. Evaluatie van beveiligingsproblemen van apps is alleen voor ingeschreven (MDM)-apparaten. Beheerders kunnen de volgende stappen gebruiken om de evaluatie van beveiligingsproblemen van apps te configureren.

Op een apparaat onder supervisie

  1. Zorg ervoor dat het apparaat is geconfigureerd in de supervisiemodus.

  2. Als u de functie wilt inschakelen in het Microsoft Intune-beheercentrum, gaat u naar Endpoint Security>Microsoft Defender voor Eindpunt>Synchronisatie van apps inschakelen voor iOS-/iPadOS-apparaten.

    Wisselknop voor app-synchronisatieSup

Opmerking

Als u de lijst met alle apps wilt ophalen, inclusief niet-beheerde apps, moet de beheerder Volledige toepassingsinventarisatiegegevens verzenden op iOS-/iPadOS-apparaten in persoonlijk eigendom inschakelen in de Intune Beheer Portal voor de apparaten onder supervisie die zijn gemarkeerd als 'Persoonlijk'. Voor apparaten onder supervisie die zijn gemarkeerd als 'Zakelijk' in de Intune Beheer Portal, hoeft de beheerder Volledige toepassingsinventarisatiegegevens verzenden op iOS-/iPadOS-apparaten in persoonlijk eigendom niet in te schakelen.

Op een apparaat zonder supervisie

  1. Als u de functie wilt inschakelen in het Microsoft Intune-beheercentrum, gaat u naar Endpoint Security>Microsoft Defender voor Eindpunt>Synchronisatie van apps inschakelen voor iOS-/iPadOS-apparaten.

    Wisselknop app-synchronisatie

  2. Schakel de wisselknop Volledige toepassingsinventarisatiegegevens verzenden op iOS-/iPadOS-apparaten in persoonlijk eigendom in om de lijst met alle apps op te halen, inclusief niet-beheerde apps.

    Volledige app-gegevens

  3. Gebruik de volgende stappen om de privacyinstelling te configureren.

    • Ga naar Apps>App-configuratiebeleid>Beheerde apparatentoevoegen>.
    • Geef het beleid een naam, Platform>iOS/iPadOS.
    • Selecteer Microsoft Defender voor Eindpunt als de doel-app.
    • Selecteer op de pagina Instellingen de optie Configuratieontwerper gebruiken en voeg DefenderTVMPrivacyMode toe als het sleutel- en waardetype tekenreeks.
      • Als u privacy wilt uitschakelen en de lijst met geïnstalleerde apps wilt verzamelen, voert u de waarde in als False en wijst u dit beleid toe aan gebruikers.
      • Deze waarde is standaard ingesteld op True voor apparaten zonder supervisie.
      • Voor gebruikers met een sleutel die is ingesteld als False, stuurt Defender voor Eindpunt de lijst met apps die op het apparaat zijn geïnstalleerd voor evaluatie van beveiligingsproblemen.
    • Klik op Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.
    • Het in- of uitschakelen van de bovenstaande privacybesturingselementen heeft geen invloed op de nalevingscontrole van het apparaat of de voorwaardelijke toegang.

  4. Zodra de configuratie is toegepast, moet de eindgebruiker de app openen om de privacy-instelling goed te keuren .

    • Het privacygoedkeuringsscherm wordt alleen weergegeven voor apparaten zonder supervisie.

    • Alleen als de eindgebruiker de privacy goedkeurt, worden de app-gegevens verzonden naar de Defender voor Eindpunt-console.

      Schermopname van het privacyscherm van de eindgebruiker.

Zodra de clientversies zijn geïmplementeerd op doel-iOS-apparaten, wordt de verwerking gestart. Beveiligingsproblemen die op deze apparaten worden gevonden, worden weergegeven in het dashboard Defender Vulnerability Management. De verwerking kan enkele uren (maximaal 24 uur) duren. Met name voor de volledige lijst met apps die worden weergegeven in de software-inventaris.

Opmerking

Als u een SSL-inspectieoplossing gebruikt op uw iOS-apparaat, kunt u toestaan dat deze domeinnamen securitycenter.windows.com (in commerciële omgeving) en securitycenter.windows.us (in GCC-omgeving) worden weergegeven om de TVM-functie te laten werken.

Afmelden uitschakelen

Defender voor Eindpunt op iOS ondersteunt implementatie zonder afmeldingsknop in de app om te voorkomen dat gebruikers zich afmelden bij de Defender-app. Dit is belangrijk om te voorkomen dat gebruikers het apparaat knoeien.

Deze configuratie is beschikbaar voor zowel de ingeschreven (MDM)-apparaten als niet-ingeschreven (MAM)-apparaten. Beheerders kunnen de volgende stappen gebruiken om afmelden uitschakelen te configureren

Afmelden uitschakelen configureren

Voor ingeschreven apparaten (MDM)

  1. Navigeer in het Microsoft Intune-beheercentrum naar App-configuratiebeleid voor apps > Beheerde apparaten toevoegen>.>
  2. Geef het beleid een naam, selecteer Platform > iOS/iPadOS
  3. Selecteer Microsoft Defender voor Eindpunt als de doel-app.
  4. Selecteer op de pagina Instellingen de optie Configuration Designer gebruiken en voeg DisableSignOut toe als sleutel en waardetype als Tekenreeks.
  5. DisableSignOut = false is standaard.
  6. Beheer moet DisableSignOut = true instellen om de afmeldingsknop in de app uit te schakelen. Gebruikers zien de knop afmelden niet zodra het beleid is gepusht.
  7. Klik op Volgende en wijs dit beleid toe aan doelapparaten/gebruikers.

Voor niet-ingeschreven apparaten (MAM)

  1. Navigeer in het Microsoft Intune-beheercentrum naar Apps > App-configuratiebeleid > Beheerde apps toevoegen>.
  2. Geef het beleid een naam.
  3. Kies onder Openbare apps selecteren Microsoft Defender voor Eindpunt als de doel-app.
  4. Voeg op de pagina Instellingen DisableSignOut toe als de sleutel en waarde als true, onder de algemene configuratie-instellingen.
  5. DisableSignOut = false is standaard.
  6. Beheer moet DisableSignOut = true instellen om de afmeldingsknop in de app uit te schakelen. Gebruikers zien de knop afmelden niet zodra het beleid is gepusht.
  7. Klik op Volgende en wijs dit beleid toe aan doelapparaten/gebruikers.

Belangrijk

Deze functie bevindt zich in openbare preview. De volgende informatie heeft betrekking op vooraf uitgebrachte producten die aanzienlijk kunnen worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Apparaatlabels

Defender voor Eindpunt in iOS maakt bulksgewijs taggen van de mobiele apparaten mogelijk tijdens de onboarding door de beheerders toe te staan tags in te stellen via Intune. Beheer kunt de apparaattags configureren via Intune via configuratiebeleid en deze pushen naar de apparaten van de gebruiker. Zodra de gebruiker Defender heeft geïnstalleerd en geactiveerd, geeft de client-app de apparaattags door aan de beveiligingsportal. De apparaattags worden weergegeven op de apparaten in de Apparaatinventaris.

Deze configuratie is beschikbaar voor zowel de ingeschreven (MDM)-apparaten als niet-ingeschreven (MAM)-apparaten. Beheerders kunnen de volgende stappen gebruiken om de apparaattags te configureren.

Apparaattags configureren

Voor ingeschreven apparaten (MDM)

  1. Navigeer in het Microsoft Intune-beheercentrum naar App-configuratiebeleid voor apps > Beheerde apparaten toevoegen>.>

  2. Geef het beleid een naam, selecteer Platform > iOS/iPadOS

  3. Selecteer Microsoft Defender voor Eindpunt als de doel-app.

  4. Selecteer op de pagina Instellingen de optie Configuration Designer gebruiken en voeg DefenderDeviceTag toe als sleutel en waardetype als Tekenreeks.

    • Beheer kunt een nieuwe tag toewijzen door de sleutel DefenderDeviceTag toe te voegen en een waarde in te stellen voor apparaattag.
    • Beheer kunt een bestaande tag bewerken door de waarde van de sleutel DefenderDeviceTag te wijzigen.
    • Beheer kunt een bestaande tag verwijderen door de sleutel DefenderDeviceTag te verwijderen.

  5. Klik op Volgende en wijs dit beleid toe aan doelapparaten/gebruikers.

Voor niet-ingeschreven apparaten (MAM)

  1. Navigeer in het Microsoft Intune-beheercentrum naar Apps > App-configuratiebeleid > Beheerde apps toevoegen>.
  2. Geef het beleid een naam.
  3. Kies onder Openbare apps selecteren Microsoft Defender voor Eindpunt als de doel-app.
  4. Voeg op de pagina Instellingen DefenderDeviceTag toe als de sleutel onder de algemene configuratie-instellingen.
    • Beheer kunt een nieuwe tag toewijzen door de sleutel DefenderDeviceTag toe te voegen en een waarde in te stellen voor apparaattag.
    • Beheer kunt een bestaande tag bewerken door de waarde van de sleutel DefenderDeviceTag te wijzigen.
    • Beheer kunt een bestaande tag verwijderen door de sleutel DefenderDeviceTag te verwijderen.
  5. Klik op Volgende en wijs dit beleid toe aan doelapparaten/gebruikers.

Opmerking

De Defender-app moet worden geopend om tags te synchroniseren met Intune en door te geven aan de beveiligingsportal. Het kan tot 18 uur duren voordat tags worden weergegeven in de portal.

Optie configureren voor het verzenden van in-app-feedback

Klanten hebben nu de mogelijkheid om de mogelijkheid te configureren om feedbackgegevens naar Microsoft te verzenden binnen de Defender voor Eindpunt-app. Feedbackgegevens helpen Microsoft producten te verbeteren en problemen op te lossen.

Opmerking

Voor cloudklanten van de Amerikaanse overheid is het verzamelen van feedbackgegevens standaard uitgeschakeld .

Gebruik de volgende stappen om de optie voor het verzenden van feedbackgegevens naar Microsoft te configureren:

  1. Ga in het Microsoft Intune-beheercentrum naarApp-configuratiebeleid>> voor appsBeheerde apparatentoevoegen>.

  2. Geef het beleid een naam en selecteer Platform > iOS/iPadOS als profieltype.

  3. Selecteer Microsoft Defender voor Eindpunt als de doel-app.

  4. Selecteer op de pagina Instellingen de optie Configuratieontwerper gebruiken en voeg DefenderFeedbackData toe als sleutel en waardetype als Booleaanse waarde.

    • Als u de mogelijkheid van eindgebruikers om feedback te geven wilt verwijderen, stelt u de waarde in op false en wijst u dit beleid toe aan gebruikers. Deze waarde is standaard ingesteld op true. Voor amerikaanse overheidsklanten is de standaardwaarde ingesteld op 'false'.

    • Voor gebruikers waarvoor de sleutel is ingesteld als true, is er een optie om feedbackgegevens naar Microsoft te verzenden binnen de app (Menu>Help & Feedback>feedback verzenden naar Microsoft).

  5. Selecteer Volgende en wijs dit profiel toe aan doelapparaten/gebruikers.

Onveilige site melden

Phishingwebsites imiteren betrouwbare websites voor het verkrijgen van uw persoonlijke of financiële gegevens. Ga naar de pagina Feedback geven over netwerkbeveiliging om een website te melden die mogelijk een phishingsite is.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.