Globální klient zabezpečeného přístupu pro iOS (Preview)

Důležitý

Globální klient zabezpečeného přístupu pro iOS je aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžné verze produktu, který může být podstatně změněn před vydáním. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.

Tento článek vysvětluje, jak nastavit a nasadit klientskou aplikaci Global Secure Access na zařízení s iOSem a iPadOS. Pro zjednodušení se tento článek týká iOS i iPadOS jako iOS.

Upozornění

Spuštění jiných produktů ochrany koncových bodů třetích stran spolu s programem Defender for Endpoint v iOSu pravděpodobně způsobí problémy s výkonem a nepředvídatelné systémové chyby.

Poznámka:

• Globální klient zabezpečeného přístupu se nasadí přes Microsoft Defender for Endpoint v iOSu.
• Klient globálního zabezpečeného přístupu v iOSu používá síť VPN. Tato síť VPN není běžnou sítí VPN. Místo toho se jedná o místní nebo samoobslužnou smyčku VPN.

Požadavky

• Pokud chcete použít klienta globálního zabezpečeného přístupu pro iOS, nakonfigurujte koncové zařízení s iOSem jako registrované zařízení Microsoft Entra.
• Pokud chcete pro svého tenanta povolit globální zabezpečený přístup, projděte si licenční požadavky. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
• Onboarding tenanta do globálního zabezpečeného přístupu a konfigurace jednoho nebo více profilů předávání přenosů Další informace najdete v tématu Přístup k oblasti globálního zabezpečeného přístupu v Centru pro správu Microsoft Entra.

Požadavky

Síťové požadavky

Pro Microsoft Defender for Endpoint v iOSu (k dispozici v Apple App Storu) pro funkci při připojení k síti musíte nakonfigurovat bránu firewall nebo proxy server tak, aby umožňoval přístup k adresám URL služby Microsoft Defender for Endpoint.

Poznámka:

Microsoft Defender pro koncový bod v iOSu se nepodporuje na bezuživatelských nebo sdílených zařízeních.

Systémové požadavky

Zařízení s iOSem (telefon nebo tablet) musí splňovat následující požadavky:

• Zařízení má nainstalovaný iOS 15.0 nebo novější.
• Zařízení má nainstalovanou aplikaci Microsoft Authenticator nebo Portál společnosti Intune aplikaci.
• Zařízení je zaregistrované k vynucení zásad dodržování předpisů zařízením v Intune.

Podporované režimy

Globální klient zabezpečeného přístupu pro iOS podporuje instalaci na obou režimech zaregistrovaných zařízení: pod dohledem a nevizovanými zařízeními.

Podporované profily předávání přenosů

Klient globálního zabezpečeného přístupu pro iOS podporuje profil předávání přenosů Microsoftu a profil předávání přenosů privátního přístupu. Další informace najdete v tématu Globální profily předávání přenosů zabezpečeného přístupu.

Známá omezení

• Tunelování provozu protokolu UDP (Quick User Datagram Protocol) internetová připojení (QUIC) (s výjimkou Exchange Online) se nepodporuje.
• Globální koexistence zabezpečeného přístupu (GSA) s Microsoft Tunnelem se v současné době nepodporuje. Další informace najdete v tématu Požadavky na tunel Microsoft Tunnel v Intune.

Postup instalace

Nasazení na zařízení zaregistrovaná správcem zařízení v Microsoft Intune

1. V Centru pro správu Microsoft Intune přejděte na Aplikace>pro iOS/iPadOS>Přidat>aplikaci pro iOS Store a vyberte Vybrat.
   

2. Na stránce Přidat aplikaci vyberte Hledat v App Storu a na panelu hledání zadejte Microsoft Defender.

3. Ve výsledcích hledání vyberte Microsoft Defender a vyberte Vybrat.

4. Jako minimální operační systém vyberte iOS 15.0 . Zkontrolujte zbývající informace o aplikaci a vyberte Další.

5. V části Zadání přejděte do části Povinné a vyberte Přidat skupinu.
   

6. Vyberte skupiny uživatelů, na které chcete cílit v aplikaci Defender for Endpoint v iOSu.

Poznámka:

Vybraná skupina uživatelů by se měla skládat z zaregistrovaných uživatelů Microsoft Intune.

7. Vyberte Výběr a pak Další.
8. V části Zkontrolovat a vytvořit ověřte správnost všech zadaných informací a pak vyberte Vytvořit. Po chvíli se aplikace Defender for Endpoint úspěšně vytvoří a v pravém horním rohu stránky se zobrazí oznámení.
9. Na stránce s informacemi o aplikaci v části Monitorování vyberte stav instalace zařízení a ověřte, že se instalace zařízení úspěšně dokončila.
   

Vytvoření profilu SÍTĚ VPN a konfigurace globálního zabezpečeného přístupu pro Microsoft Defender for Endpoint

1. V Centru pro správu Microsoft Intune přejděte na Profil vytvoření>zařízení>.

2. Nastavte platformu na iOS/iPadOS, typ profilu na Šablony a název šablony na VPN.

3. Vyberte Vytvořit.

4. Zadejte název profilu a vyberte Další.

5. Nastavte typ připojení na vlastní síť VPN.

6. V části Základní síť VPN zadejte následující:

   • Název připojení: Microsoft Defender for Endpoint
   • Adresa serveru VPN: 127.0.0.1
   • Metoda ověřování: Uživatelské jméno a heslo
   • Rozdělené tunelování: Zakázání
   • Identifikátor SÍTĚ VPN: com.microsoft.scmx

7. V polích párů klíč-hodnota:

   • Přidejte klíč SilentOnboard a nastavte hodnotu True.

   • Přidejte klíč EnableGSA a nastavte odpovídající hodnotu z následující tabulky:

     Key	Hodnota	Detaily
     PovolitGSA	Žádná hodnota	Globální zabezpečený přístup není povolený a dlaždice není viditelná.
     	0	Globální zabezpečený přístup není povolený a dlaždice není viditelná.
     	0	Dlaždice je viditelná a výchozí hodnota je false (zakázaný stav). Uživatel může povolit nebo zakázat globální zabezpečený přístup pomocí přepínače z aplikace.
     	2	Dlaždice je viditelná a výchozí hodnota je true (povolený stav). Uživatel může přepsat. Uživatel může povolit nebo zakázat globální zabezpečený přístup pomocí přepínače z aplikace.
     	3	Dlaždice je viditelná a výchozí hodnota je true (povolený stav). Uživatel nemůže zakázat globální zabezpečený přístup.

   • Podle potřeby přidejte další páry klíč-hodnota (volitelné):

     Key	Hodnota	Detaily
     EnableGSAPrivateChannel	Žádná hodnota	Globální zabezpečený přístup je ve výchozím nastavení povolený. Uživatel může povolit nebo zakázat.
     	0	Globální zabezpečený přístup není povolený a přepínač není viditelný pro uživatele.
     	0	Přepínač je viditelný a výchozí hodnota je false (zakázaný stav). Uživatel může povolit nebo zakázat.
     	2	Dlaždice je viditelná a výchozí hodnota je true (povolený stav). Uživatel může povolit nebo zakázat.
     	3	Přepínač je viditelný a zobrazený šedě a výchozí hodnota je true (povolený stav). Uživatel nemůže zakázat globální zabezpečený přístup.

8. Pokračujte v vyplňování formuláře VPN:

   • Typ automatické sítě VPN: SÍŤ VPN na vyžádání
   • Pravidla na vyžádání: vyberte Přidat a pak:
     • Nastavte následující postup pro připojení VPN.
     • Nastavte možnost Omezit navšechny domény.

9. Pokud chcete koncovým uživatelům zabránit v zakázání sítě VPN, nastavte možnost Blokovat uživatelům zakázání automatické sítě VPN na Ano. Ve výchozím nastavení není toto nastavení nakonfigurované a uživatelé můžou vpn zakázat jenom v nastavení.

10. Pokud chcete uživatelům povolit použití přepínače VPN z aplikace, přidejte dvojici klíč-hodnota EnableVPNToggleInApp = TRUE. Ve výchozím nastavení nemůžou uživatelé změnit přepínač z aplikace.

11. Vyberte Další a přiřaďte profil cílovým uživatelům.

12. V části Zkontrolovat a vytvořit ověřte, že jsou všechny informace správné, a pak vyberte Vytvořit.

Po dokončení a synchronizaci konfigurace se zařízením se na cílových zařízeních s iOSem provádějí následující akce:

• Microsoft Defender for Endpoint je nasazený a bezobslužně onboardovaný.
• Zařízení je uvedené na portálu Defender for Endpoint Portal.
• Do zařízení uživatele se odešle prozatímní oznámení.
• Aktivují se globální funkce zabezpečeného přístupu a dalších funkcí nakonfigurovaných v programu Microsoft Defender for Endpoint (MDE).

Potvrzení, že se v aplikaci Defender zobrazí globální zabezpečený přístup

Vzhledem k tomu, že klient globálního zabezpečeného přístupu pro iOS je integrovaný s Microsoft Defenderem for Endpoint, je užitečné porozumět prostředí koncového uživatele. Po onboardingu do globálního zabezpečeného přístupu se klient zobrazí na řídicím panelu Defenderu.

Klienta globálního zabezpečeného přístupu pro iOS můžete povolit nebo zakázat nastavením klíče EnableGSA v profilu SÍTĚ VPN. V závislosti na nastavení konfigurace můžou koncoví uživatelé povolit nebo zakázat jednotlivé služby nebo samotného klienta pomocí příslušných přepínačů.

Pokud se klient nemůže připojit, zobrazí se přepínač, který službu zakáže. Uživatelé se můžou později vrátit a zkusit klienta povolit.

Řešení problému

• Dlaždice Globální zabezpečený přístup se po onboardingu tenanta nezobrazuje v aplikaci Defender:
  • Vynuťte zastavení aplikace Defender a znovu ji spusťte.
• Přístup k aplikaci Privátní přístup zobrazuje chybu vypršení časového limitu připojení po úspěšném interaktivním přihlášení.
  • Znovu načtěte aplikaci (nebo aktualizujte webový prohlížeč).

Související obsah

• Microsoft Defender pro koncový bod v iOSu
• Nasazení Microsoft Defenderu pro koncový bod v iOSu pomocí Microsoft Intune
• Globální klient zabezpečeného přístupu pro macOS
• Klient globálního zabezpečeného přístupu pro Microsoft Windows
• Klient globálního zabezpečeného přístupu pro Android