Konfigurera Microsoft Defender för Endpoint på iOS-funktioner

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Defender för Endpoint på iOS skulle använda ett VPN för att tillhandahålla webbskyddsfunktionen. Det här är inte ett vanligt VPN och är ett lokalt/självslingande VPN som inte tar trafik utanför enheten.

Villkorlig åtkomst med Defender för Endpoint i iOS

Microsoft Defender för Endpoint i iOS tillsammans med Microsoft Intune och Azure Active Directory möjliggör framtvingande av principer för enhetsefterlevnad och villkorlig åtkomst baserat på enhetens riskpoäng. Defender för Endpoint är en MTD-lösning (Mobile Threat Defense) som du kan distribuera för att utnyttja den här funktionen via Intune.

Mer information om hur du konfigurerar villkorlig åtkomst med Defender för Endpoint i iOS finns i Defender för Endpoint och Intune.

Upplåsningsidentifiering av Microsoft Defender för Endpoint

Microsoft Defender för Endpoint kan identifiera ohanterade och hanterade enheter som är jailbrokade. Om en enhet identifieras som jailbrokad rapporteras en varning med hög risk till Microsoft 365 Defender-portalen och om villkorsstyrd åtkomst har konfigurerats baserat på enhetens riskpoäng blockeras enheten från att komma åt företagsdata.

Webbskydd och VPN

Som standard inkluderar och aktiverar Defender för Endpoint på iOS webbskyddsfunktionen. Webbskydd hjälper till att skydda enheter mot webbhot och skydda användare från nätfiskeattacker. Observera att skydd mot nätfiske och anpassade indikatorer (URL och IP-adresser) stöds som en del av webbskydd. Webbinnehållsfiltrering stöds för närvarande inte på mobila plattformar.

Defender för Endpoint på iOS använder ett VPN för att tillhandahålla den här funktionen. Observera att detta är ett lokalt VPN och till skillnad från traditionell VPN skickas inte nätverkstrafik utanför enheten.

Även om det är aktiverat som standard kan det finnas vissa fall som kräver att du inaktiverar VPN. Du vill till exempel köra vissa appar som inte fungerar när ett VPN har konfigurerats. I sådana fall kan du välja att inaktivera VPN från appen på enheten genom att följa stegen nedan:

  1. Öppna appen Inställningar på din iOS-enhet, klicka eller tryck på Allmänt och sedan PÅ VPN.

  2. Klicka eller tryck på knappen "i" för Microsoft Defender för Endpoint.

  3. Inaktivera Anslut på begäran för att inaktivera VPN.

    Växlingsknappen för alternativet VPN-konfiguration Anslut på begäran

Anteckning

Webbskydd är inte tillgängligt när VPN är inaktiverat. Om du vill återaktivera webbskydd öppnar du Microsoft Defender för Endpoint-appen på enheten och klickar eller trycker på Starta VPN.

Inaktivera webbskydd

Web Protection är en av de viktigaste funktionerna i Defender för Endpoint och kräver ett VPN för att tillhandahålla den funktionen. DET VPN som används är ett lokalt/loopback-VPN och inte ett traditionellt VPN, men det finns flera orsaker till att kunderna kanske inte föredrar VPN. Kunder som inte vill konfigurera ett VPN finns det ett alternativ för att inaktivera Webbskydd och distribuera Defender för Endpoint utan den funktionen. Andra Defender för Endpoint-funktioner fortsätter att fungera.

Den här konfigurationen är tillgänglig för både registrerade (MDM) enheter samt oregistrerade (MAM) enheter. För kunder med MDM kan administratörer konfigurera webbskyddet via hanterade enheter i appkonfigurationen. För kunder utan registrering, med hjälp av MAM, kan administratörer konfigurera webbskyddet via hanterade appar i appkonfigurationen.

Konfigurera webbskydd

  1. Inaktivera webbskydd (MDM) Använd följande steg för att inaktivera Webbskydd för registrerade enheter.

    • I Administrationscenter för Microsoft Endpoint Manager går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.
    • Ge principen ett namn, Platform > iOS/iPadOS.
    • Välj Microsoft Defender för Endpoint som målapp.
    • På sidan Inställningar väljer du Använd Configuration Designer och lägger till WebProtection som nyckel- och värdetyp som boolesk.
      • Som standard är WebProtection= true.
      • Admin måste göra WebProtection = false för att stänga av webbskyddet.
      • Defender skickar pulsslag till Microsoft 365 Defender-portalen när användaren öppnar appen.
      • Klicka på Nästa och tilldela profilen till målenheter/användare.
  2. Inaktivera webbskydd (MAM) Använd följande steg för att inaktivera Webbskydd för oregistrerade enheter.

    • I administrationscentret för Microsoft Endpoint Manager går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade appar.
    • Ge principen ett namn.
    • Under Välj offentliga appar väljer du Microsoft Defender för Endpoint som målapp.
    • På sidan Inställningar, under Allmänna konfigurationsinställningar, lägger du till WebProtection som nyckel och värde som false, .
      • Som standard är WebProtection= true.
      • Admin måste göra WebProtection = false för att stänga av webbskyddet.
      • Defender skickar pulsslag till Microsoft 365 Defender-portalen när användaren öppnar appen.
      • Klicka på Nästa och tilldela profilen till målenheter/användare.

Konfigurera nätverksskydd

Anteckning

Nätverksskyddet på Microsoft Defender för Endpoint finns nu i offentlig förhandsversion. Följande information gäller förhandsversion av produkten som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Nätverksskydd i Microsoft Defender för slutpunkt är aktiverat som standard. Administratörer kan använda följande steg för att konfigurera MAM-stöd för nätverksskydd på iOS-enheter.

  1. I Microsoft Endpoint Manager Admin går du till Appar > Appkonfigurationsprinciper. Skapa en ny appkonfigurationsprincip. Lägg till konfigurationsprincip.

  2. Ange ett namn och en beskrivning för att unikt identifiera principen. Klicka sedan på Välj offentliga appar och välj Microsoft Defender för plattform iOS/IPadOS Namnge konfigurationen.

  3. På sidan Inställningar lägger du till "DefenderNetworkProtectionEnable" som nyckel och värde som "false" för att inaktivera Nätverksskydd. (Nätverksskydd är aktiverat som standard) Lägg till konfigurationsvärde.

  4. För andra konfigurationer som rör nätverksskydd lägger du till följande nycklar och lämpligt motsvarande värde.

    Tangent Standard (true-enable, false-disable) Beskrivning
    DefenderEndUserTrustFlowEnable falsk Gör det möjligt för användare att lita på nätverk och certifikat
    DefenderNetworkProtectionAutoRemediation sann Den här inställningen används av IT-administratören för att aktivera eller inaktivera åtgärdsaviseringar som skickas när en användare utför reparationsaktiviteter som att växla till säkrare WIFI-åtkomstpunkter eller ta bort misstänkta certifikat som identifierats av Defender
    DefenderNetworkProtectionPrivacy sann Den här inställningen hanteras av IT-administratören för att aktivera eller inaktivera sekretess i nätverksskyddet
  5. I avsnittet Tilldelningar kan administratören välja grupper av användare som ska inkluderas och undantas från principen. Tilldela konfiguration.

  6. Granska och skapa konfigurationsprincipen.

Samexistens av flera VPN-profiler

Apple iOS stöder inte flera enhetsomfattande VPN:er för att vara aktiva samtidigt. Det kan finnas flera VPN-profiler på enheten, men endast en VPN kan vara aktiv åt gången.

Konfigurera Microsoft Defender för Endpoint risksignal i appskyddsprincipen (MAM)

Microsoft Defender för Endpoint kan konfigureras för att skicka hotsignaler som ska användas i appskyddsprinciper (APP, även kallat MAM) på iOS/iPadOS. Med den här funktionen kan du använda Microsoft Defender för Endpoint för att skydda åtkomsten till företagsdata även från oregistrerade enheter.

Stegen för att konfigurera appskyddsprinciper med Microsoft Defender för Endpoint finns nedan:

  1. Konfigurera anslutningen från din Microsoft Endpoint Manager-klientorganisation för att Microsoft Defender för Endpoint. I administrationscentret för Microsoft Endpoint Manager går du till Anslutningsappar för innehavaradministration > > och token Microsoft Defender för Endpoint (under Plattformsoberoende) eller Endpoint Security-Microsoft Defender för Endpoint > (under Installation) och aktiverar reglagen under Principinställningar för appskydd för iOS.

  2. Välj Spara. Du bör se att Anslutningsstatus nu har angetts till Aktiverad.

  3. Skapa appskyddsprincip: När konfigurationen av Microsoft Defender för Endpoint anslutningsapp har slutförts går du till Appar > Appskydd principer (under Princip) för att skapa en ny princip eller uppdatera en befintlig.

  4. Välj de inställningar för plattform, appar, dataskydd och åtkomstkrav som din organisation behöver för din princip.

  5. Under Villkor för villkorlig start > av enhet hittar du inställningen Högsta tillåtna hotnivå för enheten. Detta måste konfigureras till antingen Låg, Medel, Hög eller Skyddad. De åtgärder som är tillgängliga för dig är Blockera åtkomst eller Rensa data. Du kan se en informationsdialogruta för att kontrollera att du har konfigurerat anslutningsappen innan den här inställningen börjar gälla. Om anslutningsappen redan har konfigurerats kan du ignorera den här dialogrutan.

  6. Slutför med Tilldelningar och spara principen.

Mer information om MAM- eller appskyddsprinciper finns i inställningar för iOS-appskyddsprinciper.

Distribuera Microsoft Defender för Endpoint för MAM eller på oregistrerade enheter

Microsoft Defender för Endpoint i iOS aktiverar scenariot appskyddsprincip och är tillgängligt i Apple App Store. Slutanvändare bör installera den senaste versionen av appen direkt från Apple App Store.

Sekretesskontroller

Microsoft Defender för Endpoint i iOS aktiverar sekretesskontroller för både administratörer och slutanvändare. Detta inkluderar kontrollerna för registrerade (MDM) samt oregistrerade (MAM)-enheter. För kunder med MDM kan administratörer konfigurera sekretesskontroller via hanterade enheter i appkonfigurationen. För kunder utan registrering kan administratörer med hjälp av MAM konfigurera sekretesskontroller via hanterade appar i appkonfigurationen. Slutanvändare har också möjlighet att konfigurera sekretessinställningarna från inställningarna för Defender-appen.

Konfigurera sekretess i aviseringsrapport för nätfiske

Kunder kan nu aktivera sekretesskontroll för nätfiskerapporten som skickas av Microsoft Defender för Endpoint i iOS. Detta säkerställer att domännamnet inte skickas som en del av nätfiskeaviseringen när en nätfiskewebbplats identifieras och blockeras av Microsoft Defender för Endpoint.

  1. Admin Privacy Controls (MDM) Använd följande steg för att aktivera sekretess och inte samla in domännamnet som en del av phish-aviseringsrapporten för registrerade enheter.

    • I Administrationscenter för Microsoft Endpoint Manager går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.

    • Ge principen ett namn, Plattform > iOS/iPadOS, och välj profiltyp.

    • Välj Microsoft Defender för Endpoint som målapp.

    • På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderExcludeURLInReport som nyckel- och värdetyp som boolesk.

      • Om du vill aktivera sekretess och inte samla in domännamnet anger du värdet som true och tilldelar den här principen till användare. Som standard är det här värdet inställt på false.

      • För användare med nyckeluppsättningen som trueinnehåller nätfiskeaviseringen inte domännamnsinformationen när en skadlig webbplats identifieras och blockeras av Defender för Endpoint.

    • Klicka på Nästa och tilldela profilen till målenheter/användare.

  2. Admin Privacy Controls (MAM) Använd följande steg för att aktivera sekretess och inte samla in domännamnet som en del av phish-aviseringsrapporten för oregistrerade enheter.

    • I administrationscentret för Microsoft Endpoint Manager går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade appar.

    • Ge principen ett namn.

    • Under Välj offentliga appar väljer du Microsoft Defender för Endpoint som målapp.

    • På sidan Inställningar under Allmänna konfigurationsinställningar lägger du till DefenderExcludeURLInReport som nyckel och värde som sant.

      • Om du vill aktivera sekretess och inte samla in domännamnet anger du värdet som true och tilldelar den här principen till användare. Som standard är det här värdet inställt på false.

      • För användare med nyckeluppsättningen som trueinnehåller nätfiskeaviseringen inte domännamnsinformationen när en skadlig webbplats identifieras och blockeras av Defender för Endpoint.

    • Klicka på Nästa och tilldela profilen till målenheter/användare.

  3. Sekretesskontroller för slutanvändare Dessa kontroller hjälper slutanvändaren att konfigurera den information som delas till organisationen.

    • För övervakade enheter visas inte slutanvändarkontroller. Admin bestämmer och styr inställningarna.
    • För oövervakade enheter visas dock kontrollen under Sekretess för inställningar >
      • Användarna ser en växlingsknapp för osäker webbplatsinformation.
      • Den här växlingsknappen visas bara om Admin har angett DefenderExcludeURLInReport = true
      • Om det aktiveras av Admin kan användarna bestämma om de vill skicka den osäkra webbplatsinformationen till organisationen eller inte.
      • Som standard skickas den osäkra platsinformationen som standard true.
      • Om användaren växlar den till falseskickas inte den osäkra webbplatsinformationen.

Om du aktiverar eller inaktiverar sekretesskontrollerna ovan påverkas inte enhetsefterlevnadskontrollen eller villkorlig åtkomst.

Valfria behörigheter

Microsoft Defender för Endpoint i iOS aktiverar valfria behörigheter i registreringsflödet. För närvarande är de behörigheter som krävs av MDE obligatoriska i onboarding-flödet. Med den här funktionen kan administratören distribuera MDE på BYOD-enheter utan att framtvinga den obligatoriska VPN-behörigheten under registrering. Slutanvändare kan registrera appen utan de obligatoriska behörigheterna och kan senare granska dessa behörigheter. Den här funktionen finns för närvarande endast för registrerade enheter (MDM).

Konfigurera valfri behörighet

  1. Admin flöde (MDM) Använd följande steg för att aktivera valfri VPN-behörighet för registrerade enheter.

    • I Administrationscenter för Microsoft Endpoint Manager går du till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.

    • Ge principen ett namn och välj Plattform > iOS/iPadOS.

    • Välj Microsoft Defender för Endpoint som målapp.

    • På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderOptionalVPN som nyckel- och värdetyp som boolesk.

      • Om du vill aktivera valfri VPN-behörighet anger du värde som true och tilldelar den här principen till användare. Som standard är det här värdet inställt på false.
      • För användare med nyckeluppsättningen som truekan användarna registrera appen utan att ge VPN-behörighet.
    • Klicka på Nästa och tilldela profilen till målenheter/användare.

  2. Flöde för slutanvändare – Användaren installerar och öppnar appen för att starta registreringen.

    • Om administratören har konfigurerat valfria behörigheter kan användaren hoppa över VPN-behörighet och slutföra registrering.
    • Även om användaren har hoppat över VPN kan enheten registreras och pulsslag skickas.
    • Eftersom VPN är inaktiverat Web Protection är det inte aktivt.
    • Senare kan användaren aktivera Web Protection inifrån appen. Detta installerar VPN-konfigurationen på enheten.

Anteckning

Valfri behörighet skiljer sig från Inaktivera webbskydd. Valfri VPN-behörighet hjälper bara till att hoppa över behörigheten under registrering, men det är tillgängligt för slutanvändaren att senare granska och aktivera den. Även om Inaktivera webbskydd tillåter användare att registrera MDE-appen utan webbskydd. Det går inte att aktivera det senare.

Konfigurera efterlevnadsprincip mot jailbrokade enheter

För att skydda företagsdata från att kommas åt på jailbrokade iOS-enheter rekommenderar vi att du konfigurerar följande efterlevnadsprincip på Intune.

Anteckning

Upplåsningsidentifiering är en funktion som tillhandahålls av Microsoft Defender för Endpoint i iOS. Vi rekommenderar dock att du konfigurerar den här principen som ytterligare ett skydd mot jailbreak-scenarier.

Följ stegen nedan för att skapa en efterlevnadsprincip mot jailbrokade enheter.

  1. I administrationscentret för Microsoft Endpoint Manager går du till Efterlevnadsprinciper -> för enheter -> Skapa princip. Välj "iOS/iPadOS" som plattform och klicka på Skapa.

    Fliken Skapa princip

  2. Ange ett namn på principen, till exempel "Efterlevnadsprincip för jailbreak".

  3. På sidan Kompatibilitetsinställningar klickar du för att expandera avsnittet Enhetshälsa och klickar på fältet Blockera för jailbrokade enheter .

    Fliken Efterlevnadsinställningar

  4. I avsnittet Åtgärder för inkompatibilitet väljer du åtgärderna enligt dina krav och väljer Nästa.

    Fliken Åtgärder för inkompatibilitet

  5. I avsnittet Tilldelningar väljer du de användargrupper som du vill inkludera för den här principen och väljer sedan Nästa.

  6. I avsnittet Granska+ skapa kontrollerar du att all information som angetts är korrekt och väljer sedan Skapa.

Konfigurera anpassade indikatorer

Med Defender för Endpoint på iOS kan administratörer även konfigurera anpassade indikatorer på iOS-enheter. Mer information om hur du konfigurerar anpassade indikatorer finns i Hantera indikatorer.

Anteckning

Defender för Endpoint på iOS har endast stöd för att skapa anpassade indikatorer för IP-adresser och URL:er/domäner.

Konfigurera alternativet för att skicka feedback i appen

Kunder har nu möjlighet att konfigurera möjligheten att skicka feedbackdata till Microsoft i Defender för Endpoint-appen. Feedbackdata hjälper Microsoft att förbättra produkter och felsöka problem.

Anteckning

För amerikanska myndighetsmolnkunder är insamling av feedbackdata inaktiverat som standard.

Använd följande steg för att konfigurera alternativet att skicka feedbackdata till Microsoft:

  1. I Administrationscenter för Microsoft Endpoint Manager och gå till Appkonfigurationsprinciper > för appar > Lägg till > hanterade enheter.

  2. Ge principen ett namn, Plattform > iOS/iPadOS, och välj profiltyp.

  3. Välj Microsoft Defender för Endpoint som målapp.

  4. På sidan Inställningar väljer du Använd Configuration Designer och lägger till DefenderSendFeedback som nyckel- och värdetyp som boolesk.

    • Om du vill ta bort slutanvändarnas möjlighet att ge feedback anger du värdet som false och tilldelar den här principen till användarna. Som standard är det här värdet inställt på true. För amerikanska myndighetskunder är standardvärdet inställt på "false".

    • För användare med nyckeluppsättningen som truefinns det ett alternativ för att skicka feedbackdata till Microsoft i appen (Meny > Hjälp & Feedback > Skicka feedback till Microsoft)

  5. Klicka på Nästa och tilldela profilen till målenheter/användare.

Rapportera osäker webbplats

Nätfiskewebbplatser utger sig för att vara tillförlitliga webbplatser i syfte att få personlig eller ekonomisk information. Besök sidan Ge feedback om nätverksskydd om du vill rapportera en webbplats som kan vara en nätfiskewebbplats.