Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Usługa Defender for Endpoint w iOS będzie używać sieci VPN w celu zapewnienia funkcji ochrony sieci Web. Nie jest to zwykła sieć VPN i jest lokalną/samopętlaną siecią VPN, która nie przyjmuje ruchu poza urządzeniem.

Dostęp warunkowy za pomocą usługi Defender dla punktu końcowego w iOS

Ochrona punktu końcowego w usłudze Microsoft Defender na iOS wraz z Microsoft Intune i Azure Active Directory umożliwia wymuszanie zasad zgodności urządzeń i dostępu warunkowego na podstawie oceny ryzyka urządzenia. Defender for Endpoint to rozwiązanie usługi Mobile Threat Defense (MTD), które można wdrożyć w celu wykorzystania tej możliwości za pośrednictwem Intune.

Aby uzyskać więcej informacji na temat konfigurowania dostępu warunkowego za pomocą usługi Defender for Endpoint na iOS, zobacz Defender for Endpoint and Intune (Usługa Defender dla punktu końcowego i Intune).

Wykrywanie jailbreaku przez Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender ma możliwość wykrywania niezarządzanych i zarządzanych urządzeń ze zdjętymi zabezpieczeniami systemu. Jeśli urządzenie zostanie wykryte jako zdjęte z poziomu systemu, alert wysokiego ryzyka zostanie zgłoszony do portalu Microsoft 365 Defender, a jeśli dostęp warunkowy zostanie skonfigurowany na podstawie wyniku ryzyka urządzenia, dostęp urządzenia do danych firmowych zostanie zablokowany.

Ochrona sieci Web i sieć VPN

Domyślnie usługa Defender for Endpoint na iOS obejmuje i włącza funkcję ochrony w Internecie. Ochrona w Internecie pomaga zabezpieczyć urządzenia przed zagrożeniami internetowymi i chronić użytkowników przed atakami wyłudzania informacji. Należy pamiętać, że wskaźniki ochrony przed wyłudzaniem informacji i niestandardowe (adresy URL i adresy IP) są obsługiwane w ramach usługi Web Protection. Filtrowanie zawartości sieci Web nie jest obecnie obsługiwane w iOS.

Usługa Defender for Endpoint w iOS używa sieci VPN w celu zapewnienia tej możliwości. Należy pamiętać, że jest to lokalna sieć VPN i w przeciwieństwie do tradycyjnej sieci VPN ruch sieciowy nie jest wysyłany poza urządzenie.

Mimo że jest domyślnie włączona, mogą wystąpić pewne przypadki, które wymagają wyłączenia sieci VPN. Na przykład chcesz uruchomić niektóre aplikacje, które nie działają po skonfigurowaniu sieci VPN. W takich przypadkach możesz wyłączyć sieć VPN z aplikacji na urządzeniu, wykonując poniższe kroki:

  1. Na urządzeniu iOS otwórz aplikację Ustawienia, kliknij lub naciśnij pozycję Ogólne, a następnie sieć VPN.

  2. Kliknij lub naciśnij przycisk "i" dla Ochrona punktu końcowego w usłudze Microsoft Defender.

  3. Wyłącz Połączenie na żądanie, aby wyłączyć sieć VPN.

    Przycisk przełączania dla konfiguracji sieci VPN Połączenie na żądanie

Uwaga

Usługa Web Protection nie będzie dostępna po wyłączeniu sieci VPN. Aby ponownie włączyć usługę Web Protection, otwórz aplikację Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu i kliknij lub naciśnij pozycję Uruchom sieć VPN.

Konfigurowanie ochrony sieci

Uwaga

Ochrona sieci w Ochrona punktu końcowego w usłudze Microsoft Defender jest teraz dostępna w publicznej wersji zapoznawczej. Poniższe informacje odnoszą się do wstępnej wersji produktu, który może zostać znacząco zmodyfikowany przed jego komercyjnym wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Ochrona sieci w usłudze Microsoft Defender dla punktu końcowego jest domyślnie włączona. Administratorzy mogą wykonać poniższe kroki, aby skonfigurować obsługę zarządzania aplikacjami mobilnymi na potrzeby ochrony sieci na urządzeniach iOS.

  1. W Microsoft Endpoint Manager Administracja przejdź do pozycji Aplikacje > Zasady konfiguracji aplikacji. Utwórz nowe zasady konfiguracji aplikacji. Dodaj zasady konfiguracji.

  2. Podaj nazwę i opis, aby jednoznacznie zidentyfikować zasady. Następnie kliknij pozycję "Wybierz aplikacje publiczne" i wybierz pozycję "Microsoft Defender" dla pozycji Platforma iOS/IPadOS Nadaj konfiguracji nazwę.

  3. Na stronie Ustawienia dodaj wartość "DefenderNetworkProtectionEnable" jako klucz i wartość "false", aby wyłączyć ochronę sieci. (Ochrona sieci jest domyślnie włączona) Dodaj wartość konfiguracji.

  4. W przypadku innych konfiguracji związanych z ochroną sieci dodaj następujące klucze i odpowiednią odpowiednią wartość.

    Klucz Wartość domyślna (true-enable, false-disable) Opis
    DefenderEndUserTrustFlowEnable False Włączanie użytkownikom zaufania do sieci i certyfikatów
    DefenderNetworkProtectionAutoRemediation True To ustawienie jest używane przez administratora IT do włączania lub wyłączania alertów korygowania wysyłanych, gdy użytkownik wykonuje działania korygujące, takie jak przełączanie się do bezpieczniejszych punktów dostępu w sieci WIFI lub usuwanie podejrzanych certyfikatów wykrytych przez usługę Defender
    DefenderNetworkProtectionPrivacy True To ustawienie jest zarządzane przez administratora IT w celu włączenia lub wyłączenia prywatności w ochronie sieci
  5. W sekcji Przypisania administrator może wybrać grupy użytkowników do uwzględnienia i wykluczenia z zasad. Przypisywanie konfiguracji.

  6. Przejrzyj i utwórz zasady konfiguracji.

Współistnienie wielu profilów sieci VPN

Usługa Apple iOS nie obsługuje wielu sieci VPN na całym urządzeniu, które mają być aktywne jednocześnie. Chociaż na urządzeniu może istnieć wiele profilów sieci VPN, tylko jedna sieć VPN może być aktywna jednocześnie.

Konfigurowanie sygnału Ochrona punktu końcowego w usłudze Microsoft Defender ryzyka w zasadach ochrony aplikacji (MAM)

Ochrona punktu końcowego w usłudze Microsoft Defender można skonfigurować do wysyłania sygnałów zagrożeń do użycia w zasadach ochrony aplikacji (APP, znanej również jako MAM) w systemie iOS/iPadOS. Dzięki tej możliwości można również chronić dostęp do danych firmowych z niezarejestrowanych urządzeń za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender.

Poniżej przedstawiono kroki konfigurowania zasad ochrony aplikacji za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender:

  1. Skonfiguruj połączenie z dzierżawy Microsoft Endpoint Manager, aby Ochrona punktu końcowego w usłudze Microsoft Defender. W centrum administracyjnym programu Microsoft Endpoint Manager przejdź do pozycji Łączniki i tokeny administracji > dzierżawy Ochrona punktu końcowego w usłudze Microsoft Defender (w obszarze Między platformami>) lub Zabezpieczenia punktu końcowego > Ochrona punktu końcowego w usłudze Microsoft Defender (w obszarze Konfiguracja) i włącz przełączniki w obszarze Zasady ochrony aplikacji Ustawienia dla iOS.

  2. Wybierz Zapisz. Powinien zostać wyświetlony stan połączenia jest teraz ustawiony na włączone.

  3. Tworzenie zasad ochrony aplikacji: po zakończeniu konfigurowania łącznika Ochrona punktu końcowego w usłudze Microsoft Defender przejdź do obszaru Aplikacje > Ochrona aplikacji zasad (w obszarze Zasady), aby utworzyć nowe zasady lub zaktualizować istniejące.

  4. Wybierz ustawienia platformy, Aplikacje, Ochrona danych, Wymagania dotyczące dostępu wymagane przez organizację dla zasad.

  5. W obszarze Warunkowe uruchamianie > Urządzenia znajdziesz ustawienie Maksymalny dozwolony poziom zagrożenia urządzenia. Należy to skonfigurować na wartość Niska, Średnia, Wysoka lub Zabezpieczona. Dostępne akcje to Blokuj dostęp lub Wyczyść dane. Może zostać wyświetlone okno dialogowe informacyjne, aby upewnić się, że łącznik został skonfigurowany przed zastosowaniem tego ustawienia. Jeśli łącznik jest już skonfigurowany, możesz zignorować to okno dialogowe.

  6. Zakończ z przypisaniami i zapisz zasady.

Aby uzyskać więcej informacji na temat zasad zarządzania aplikacjami mobilnymi lub ochrony aplikacji, zobacz iOS ustawienia zasad ochrony aplikacji.

Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender na potrzeby zarządzania aplikacjami mobilnymi lub na niezarejestrowanych urządzeniach

Ochrona punktu końcowego w usłudze Microsoft Defender na iOS włącza scenariusz zasad ochrony aplikacji i jest dostępna w sklepie apple app store. Użytkownicy końcowi powinni zainstalować najnowszą wersję aplikacji bezpośrednio ze sklepu Apple App Store.

Mechanizmy kontroli prywatności

Ważne

Mechanizmy kontroli prywatności dla Ochrona punktu końcowego w usłudze Microsoft Defender w iOS są w wersji zapoznawczej. Poniższe informacje dotyczą wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Konfigurowanie prywatności w raporcie alertów języka phish

Klienci mogą teraz włączyć kontrolę prywatności dla raportu phish wysłanego przez Ochrona punktu końcowego w usłudze Microsoft Defender na iOS. Zapewni to, że nazwa domeny nie zostanie wysłana jako część alertu phish za każdym razem, gdy witryna internetowa języka phish zostanie wykryta i zablokowana przez Ochrona punktu końcowego w usłudze Microsoft Defender.

Wykonaj poniższe kroki, aby włączyć prywatność i nie zbierać nazwy domeny w ramach raportu alertów języka phish.

  1. W Microsoft Endpoint Manager centrum administracyjnym i przejdź do obszaru Zasady > konfiguracji aplikacji Aplikacje > Dodaj > zarządzane urządzenia.

  2. Nadaj zasadom nazwę Platform > iOS/iPadOS, wybierz typ profilu.

  3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

  4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj kolumnę DefenderExcludeURLInReport jako klucz i typ wartości jako wartość logiczną.

    • Aby włączyć prywatność i nie zbierać nazwy domeny, wprowadź wartość jako true i przypisz te zasady użytkownikom. Domyślnie ta wartość jest ustawiona na false.

    • W przypadku użytkowników z kluczem ustawionym jako truealert phish nie będzie zawierać informacji o nazwie domeny za każdym razem, gdy złośliwa witryna zostanie wykryta i zablokowana przez usługę Defender for Endpoint.

  5. Kliknij przycisk Dalej i przypisz ten profil do urządzeń/użytkowników docelowych.

Włączenie lub wyłączenie powyższych mechanizmów kontroli prywatności nie wpłynie na sprawdzanie zgodności urządzeń ani dostęp warunkowy.

Konfigurowanie zasad zgodności na urządzeniach ze zdjętymi zabezpieczeniami systemu

Aby chronić dane firmowe przed dostępem na urządzeniach ze zdjętymi zabezpieczeniami systemu iOS, zalecamy skonfigurowanie następujących zasad zgodności na Intune.

Uwaga

Wykrywanie jailbreak jest funkcją zapewnianą przez Ochrona punktu końcowego w usłudze Microsoft Defender na iOS. Zalecamy jednak skonfigurowanie tych zasad jako dodatkowej warstwy ochrony przed scenariuszami jailbreak.

Wykonaj poniższe kroki, aby utworzyć zasady zgodności dla urządzeń ze zdjętymi zabezpieczeniami systemu.

  1. W centrum administracyjnym Microsoft Endpoint Manager przejdź do obszaru Zasady zgodności urządzeń -> Utwórz zasady -> . Wybierz pozycję "iOS/iPadOS" jako platformę i kliknij pozycję Utwórz.

    Karta Tworzenie zasad

  2. Określ nazwę zasad, na przykład "Zasady zgodności dla jailbreaku".

  3. Na stronie ustawienia zgodności kliknij, aby rozwinąć sekcję Kondycja urządzenia i kliknij pozycję Blokuj dla urządzeń ze zdjętymi zabezpieczeniami systemu .

    Karta Ustawienia zgodności

  4. W sekcji Akcje dotyczące niezgodności wybierz akcje zgodnie z wymaganiami i wybierz pozycję Dalej.

    Karta Akcje dotyczące niezgodności

  5. W sekcji Przypisania wybierz grupy użytkowników, które chcesz uwzględnić dla tych zasad, a następnie wybierz pozycję Dalej.

  6. W sekcji Przeglądanie i tworzenie sprawdź, czy wszystkie wprowadzone informacje są poprawne, a następnie wybierz pozycję Utwórz.

Konfigurowanie niestandardowych wskaźników

Usługa Defender for Endpoint w iOS umożliwia administratorom konfigurowanie niestandardowych wskaźników również na urządzeniach iOS. Aby uzyskać więcej informacji na temat konfigurowania wskaźników niestandardowych, zobacz Zarządzanie wskaźnikami.

Uwaga

Usługa Defender for Endpoint na iOS obsługuje tworzenie niestandardowych wskaźników tylko dla adresów IP i adresów URL/domen.

Konfigurowanie opcji wysyłania opinii w aplikacji

Klienci mają teraz możliwość skonfigurowania możliwości wysyłania danych opinii do firmy Microsoft w aplikacji Defender for Endpoint. Dane opinii pomagają firmie Microsoft ulepszać produkty i rozwiązywać problemy.

Uwaga

W przypadku klientów korzystających z chmury dla instytucji rządowych USA zbieranie danych opinii jest domyślnie wyłączone .

Wykonaj następujące kroki, aby skonfigurować opcję wysyłania danych opinii do firmy Microsoft:

  1. W Microsoft Endpoint Manager centrum administracyjnym i przejdź do obszaru Zasady > konfiguracji aplikacji Aplikacje > Dodaj > zarządzane urządzenia.

  2. Nadaj zasadom nazwę Platform > iOS/iPadOS, wybierz typ profilu.

  3. Wybierz Ochrona punktu końcowego w usłudze Microsoft Defender jako aplikację docelową.

  4. Na stronie Ustawienia wybierz pozycję Użyj projektanta konfiguracji i dodaj wartość DefenderSendFeedback jako klucz i typ wartości jako wartość logiczną.

    • Aby usunąć możliwość przekazywania opinii przez użytkowników końcowych, ustaw wartość jako false i przypisz te zasady do użytkowników. Domyślnie ta wartość jest ustawiona na true. W przypadku klientów rządowych USA wartość domyślna jest ustawiona na wartość "false".

    • W przypadku użytkowników z kluczem ustawionym jako true, w aplikacji będzie dostępna opcja wysyłania danych opinii do firmy Microsoft (menu > Pomoc & opinie > wysyłanie opinii do firmy Microsoft)

  5. Kliknij przycisk Dalej i przypisz ten profil do urządzeń/użytkowników docelowych.

Zgłaszanie niebezpiecznej witryny

Witryny wyłudzające informacje podszywają się pod zaufane strony internetowe w celu uzyskania informacji osobistych lub finansowych. Odwiedź stronę Przekaż opinię na temat ochrony sieci , jeśli chcesz zgłosić witrynę internetową, która może być witryną wyłudzającą informacje.