Развертывание Microsoft Defender для конечной точки в iOS с помощью управления мобильными приложениями
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Defender для конечной точки в iOS использует VPN для предоставления функции веб-защиты. Это не обычный VPN и локальный или самозацикливный VPN, который не принимает трафик за пределы устройства.
Настройка Microsoft Defender для конечной точки сигналов риска в политике защиты приложений (MAM)
Microsoft Defender для конечной точки в iOS, которая уже защищает корпоративных пользователей в сценариях мобильных Управление устройствами (MDM), теперь расширяет поддержку управления мобильными приложениями (MAM) для устройств, которые не зарегистрированы с помощью Intune управления мобильными устройствами (MDM). Кроме того, эта поддержка распространяется на клиентов, которые используют другие корпоративные решения для управления мобильными устройствами, но по-прежнему используют Intune для управления мобильными приложениями (MAM). Эта возможность позволяет управлять данными организации и защищать их в приложении.
Microsoft Defender для конечной точки сведения об угрозах iOS используются политиками защиты приложений Intune для защиты этих приложений. Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). К управляемому приложению применяются политики защиты приложений, которыми можно управлять с помощью Intune.
Microsoft Defender для конечной точки в iOS поддерживает обе конфигурации MAM
- Intune MDM + MAM: ИТ-администраторы могут управлять приложениями только с помощью политик защиты приложений на устройствах, зарегистрированных с помощью Intune управления мобильными устройствами (MDM).
- MAM без регистрации устройств. MAM без регистрации устройств или MAM-WE позволяет ИТ-администраторам управлять приложениями с помощью политик защиты приложений на устройствах, не зарегистрированных в Intune MDM. Это означает, что приложениями можно управлять в Intune на устройствах, зарегистрированных с использованием сторонних поставщиков EMM. Для управления приложениями с помощью обеих указанных выше конфигураций клиенты должны использовать Intune в Центре администрирования Microsoft Intune
Чтобы включить эту возможность, администратору необходимо настроить подключение между Microsoft Defender для конечной точки и Intune, создать политику защиты приложений и применить ее к целевым устройствам и приложениям.
Конечные пользователи также должны принять меры для установки Microsoft Defender для конечной точки на своем устройстве и активации потока подключения.
Предварительные требования
- Убедитесь, что соединитель Intune включен на портале безопасности.
В консоли единой безопасности перейдите в раздел Параметры>Конечные> точкиДополнительные функции и убедитесь, что подключение Microsoft Intune включено.
- Убедитесь, что соединитель APP включен на портале Intune.
В Центре администрирования Microsoft Intune перейдите в раздел Безопасность>конечных точек Microsoft Defender для конечной точки и убедитесь, что состояние подключения включено.
Создание политики защиты приложений
Блокировка доступа или очистка данных управляемого приложения на основе Microsoft Defender для конечной точки сигналов риска путем создания политики защиты приложений. Microsoft Defender для конечной точки можно настроить для отправки сигналов об угрозах для использования в политиках защиты приложений (ПРИЛОЖЕНИЕ, также известное как MAM). С помощью этой возможности можно использовать Microsoft Defender для конечной точки для защиты управляемых приложений.
- Создать политику
Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.
Добавление приложений
А. Выберите способ применения этой политики к приложениям на разных устройствах. Затем добавьте по крайней мере одно приложение.
Используйте этот параметр, чтобы указать, применяется ли эта политика к неуправляемых устройствам. Вы также можете выбрать целевую политику для приложений на устройствах с любым состоянием управления. Так как для управления мобильными приложениями не требуется управление устройствами, вы можете защитить данные организации как на управляемых, так и на неуправляемых устройствах. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами. Компании могут одновременно использовать политики защиты приложений с MDM или без нее. Давайте рассмотрим пример, в котором сотрудник одновременно использует выданный компанией телефон и личный планшет. В этой ситуации телефон компании регистрируется в решении MDM и защищается политиками защиты приложений, а личное устройство защищается только политиками защиты приложений.Б. Выберите Приложения
Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune. Любым приложением, интегрированным с пакетом SDK для Intune или упакованным Intune App Wrapping Tool, можно управлять с помощью политик защиты приложений Intune. См. официальный список защищенных приложений Microsoft Intune, которые были созданы с использованием этих средств и являются общедоступными.Пример: Outlook как управляемое приложение
Выберите параметры Платформа, Приложения, Защита данных, Требования к доступу , необходимые вашей организации для политики.
3. Задайте требования к безопасности при входе для политики защиты.
Выберите Параметр Максимально > допустимый уровень угрозы устройства в разделе Условия условного запуска > устройства и введите значение. Для этого потребуется настроить низкий, средний, высокий или защищенный. Доступные действия: Блокировать доступ или Стирать данные. Выберите Действие: "Блокировать доступ". Microsoft Defender для конечной точки в iOS использует этот уровень угрозы устройства.
4. Назначьте группы пользователей, к которым необходимо применить политику.
Выберите Включенные группы. Затем добавьте соответствующие группы.
Дополнительные сведения о MAM или политике защиты приложений см. в разделе Параметры политики защиты приложений iOS.
Развертывание Microsoft Defender для конечной точки для MAM или на незарегистрированных устройствах
Microsoft Defender для конечной точки в iOS включает сценарий политики защиты приложений и доступен в магазине приложений Apple.
Когда политики защиты приложений настроены для того, чтобы приложения включали сигналы риска устройств от Microsoft Defender для конечной точки, пользователи будут перенаправляться на установку Microsoft Defender для конечной точки при использовании таких приложений. Кроме того, пользователи также могут установить последнюю версию приложения непосредственно из магазина приложений Apple.
Убедитесь, что устройство зарегистрировано в Authenticator с той же учетной записью, которая используется для подключения в Defender для успешной регистрации MAM.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по