使用行動應用程式管理在 iOS 上部署 適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

iOS 上適用於端點的 Defender 會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN，而且是本機/自我循環 VPN，不會將流量帶出裝置。

在應用程式保護原則中設定 適用於端點的 Microsoft Defender 風險訊號 (MAM)

iOS 上的 適用於端點的 Microsoft Defender，已在行動裝置 裝置管理 (MDM) 案例上保護企業使用者，現在會針對未 Intune 使用行動裝置管理 (MDM) 註冊的裝置，將支援延伸到行動應用程式管理 (MAM) 。 它也會將這項支援擴充至使用其他企業行動管理解決方案的客戶，同時仍然使用 Intune 來管理行動應用程式 (MAM) 。這項功能可讓您管理和保護應用程式內的組織數據。

Intune 應用程式防護原則會利用 iOS 威脅資訊的 適用於端點的 Microsoft Defender 來保護這些應用程式。 應用程式防護 原則 (APP) 是確保組織數據保持安全或包含在受控應用程式中的規則。 受控應用程式已套用應用程式保護原則，並可由 Intune 管理。

iOS 上的 適用於端點的 Microsoft Defender 支援 MAM 的兩種設定

• Intune MDM + MAM：IT 系統管理員只能在 Intune 行動裝置管理 (MDM) 註冊的裝置上，使用應用程式保護原則來管理應用程式。
• 不註冊裝置的 MAM：沒有裝置註冊的 MAM 或 MAM-WE 可讓 IT 系統管理員在未向 Intune MDM 註冊的裝置上使用應用程式保護原則來管理應用程式。 這表示應用程式可以透過 Intune 在向第三方 EMM 提供者註冊的裝置上進行管理。 若要在上述兩個設定中使用 來管理應用程式，客戶應該在 Microsoft Intune 系統管理中心使用 Intune

若要啟用這項功能，系統管理員必須設定 適用於端點的 Microsoft Defender 與 Intune 之間的連線、建立應用程式保護原則，並在目標裝置和應用程式上套用原則。

終端使用者也需要採取步驟，在其裝置上安裝 適用於端點的 Microsoft Defender，並啟用上線流程。

先決條件

1. 確認已在安全性入口網站中啟用 Intune 連接器。
   在統一安全性控制臺上，移至 [設定>端點>進階功能]，並確定已啟用 Microsoft Intune 連線。

2. 確認已在 Intune 入口網站中啟用APP連接器。
   在 Microsoft Intune 系統管理中心，移至 [端點安全>性 適用於端點的 Microsoft Defender 並確定連線狀態已啟用。

建立應用程式防護原則

藉由建立應用程式保護原則，根據 適用於端點的 Microsoft Defender 風險訊號來封鎖受控應用程式的存取或抹除數據。 適用於端點的 Microsoft Defender 可設定為傳送要在應用程式保護原則 (應用程式中使用的威脅訊號，也稱為 MAM) 。 透過這項功能，您可以使用 適用於端點的 Microsoft Defender 來保護受控應用程式。

1. 建立原則
   應用程式防護 原則 (APP) 是確保組織數據保持安全或包含在受控應用程式中的規則。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則，或當使用者位於應用程式內時所禁止或監視的一組動作。

2. 新增應用程式
   a. 選擇要如何將此原則套用至不同裝置上的應用程式。 然後新增至少一個應用程式。
   使用此選項來指定此原則是否適用於非受控裝置。 您也可以選擇將原則的目標設為任何管理狀態裝置上的應用程式。 因為行動裝置應用程式管理不需要裝置管理，所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心，這會對移除裝置管理的需求。 公司可以同時使用具有或不含 MDM 的應用程式保護原則。 例如，假設有員工同時使用公司所簽發的電話，以及自己的個人平板電腦。 公司電話已在 MDM 中註冊，並且受到應用程式防護原則保護，而個人裝置僅受應用程式防護原則保護。

   b. 選取應用程式
   受管理應用程式是已套用應用程式防護原則的應用程式，且可由 Intune 管理。 任何已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式，都可以使用 Intune 應用程式保護原則來管理。 請參閱已使用這些工具建置並可供公開使用的受保護 Microsoft Intune 應用程式官方清單。

   範例：Outlook 作為受控應用程式

   

   選取您組織針對原則所需的 [平臺]、[應用程式]、[數據保護]、[存取 需求] 設定。

3.設定保護原則的登入安全性需求。
選取 [條件式啟動>裝置條件] 中的 [設定>允許的裝置威脅等級上限]，然後輸入值。 這必須設定為 「低」、「中」、「高」或「安全」。 您可以使用的動作將是 [封鎖存取] 或 [ 抹除數據]。 選 取 [動作]：[封鎖存取]。 iOS 上的 適用於端點的 Microsoft Defender 共用此裝置威脅等級。

4.指派需要套用原則的使用者群組。
選 取 [包含的群組]。 然後新增相關群組。

如需 MAM 或應用程式保護原則的詳細資訊，請參閱 iOS 應用程式保護原則設定。

針對 MAM 或在未註冊的裝置上部署 適用於端點的 Microsoft Defender

iOS 上的 適用於端點的 Microsoft Defender 可啟用應用程式保護原則案例，並可在 Apple App Store 中使用。

當應用程式保護原則設定為讓應用程式包含來自 適用於端點的 Microsoft Defender的裝置風險訊號時，使用者會在使用這類應用程式時重新導向以安裝 適用於端點的 Microsoft Defender。 或者，使用者也可以直接從 Apple App Store 安裝最新版的應用程式。

請確定裝置已向 Authenticator 註冊，且使用相同的帳戶在 Defender 中上線以成功註冊 MAM。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。