Client für globalen sicheren Zugriff für iOS (Vorschau)
Wichtig
Der Client für globalen sicheren Zugriff für iOS befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
In diesem Artikel wird erläutert, wie Sie die Client-App für globalen sicheren Zugriff auf Geräten mit iOS und iPadOS einrichten und bereitstellen. Aus Gründen der Einfachheit werden in diesem Artikel iOS und iPadOS gemeinsam als iOS bezeichnet.
Achtung
Das Ausführen anderer Drittanbieterprodukte für den Endpunktschutz zusammen mit Defender for Endpoint unter iOS führt wahrscheinlich zu Leistungsproblemen und unvorhersehbaren Systemfehlern.
Hinweis
- Der Client für globalen sicheren Zugriff wird und iOS über Microsoft Defender for Endpoint bereitgestellt.
- Der Client für globalen sicheren Zugriff verwendet unter iOS ein VPN. Dieses VPN ist kein normales VPN. Es handelt sich vielmehr um ein lokales VPN mit interner Schleife.
Voraussetzungen
- Um den iOS-Client für globalen sicheren Zugriff zu verwenden, konfigurieren Sie das iOS-Endpunktgerät als bei Microsoft Entra registriertes Gerät.
- Weitere Informationen zum Aktivieren des globalen sicheren Zugriffs für Ihren Mandanten finden Sie unter den Lizenzierungsanforderungen. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
- Führen Sie das Onboarding Ihres Mandanten beim globalen sicheren Zugriff durch, und konfigurieren Sie mindestens ein Weiterleitungsprofil für Datenverkehr. Weitere Informationen finden Sie unter Zugreifen auf den Bereich für den globalen sicheren Zugriff im Microsoft Entra Admin Center.
Anforderungen
Netzwerkanforderungen
Damit Microsoft Defender for Endpoint unter iOS (im Apple App Store verfügbar) funktioniert, wenn Sie eine Verbindung mit einem Netzwerk herstellen, müssen Sie die Firewall/den Proxy so konfigurieren, dass der Zugriff auf die Dienst-URLs von Microsoft Defender for Endpoint zugelassen wird.
Hinweis
Microsoft Defender for Endpoint unter iOS wird auf freigegebenen Geräten oder solchen ohne Benutzende nicht unterstützt.
Systemanforderungen
Das iOS-Gerät (Smartphone oder Tablet) muss die folgenden Anforderungen erfüllen:
- Auf dem Gerät ist mindestens iOS 15.0 installiert.
- Auf dem Gerät ist die Microsoft Authenticator-App oder die Intune-Unternehmensportal-App installiert.
- Das Gerät ist registriert, um Intune-Gerätecompliancerichtlinien zu erzwingen.
Unterstützte Modi
Der Client für globalen sicheren Zugriff für iOS unterstützt die Installation in beiden Modi registrierter Geräte: überwachte und nicht überwachte Geräte.
Unterstützte Weiterleitungsprofile für Datenverkehr
Der Client für globalen sicheren Zugriff für iOS unterstützt das Microsoft-Weiterleitungsprofil für Datenverkehr und das Private Access-Weiterleitungsprofil für Datenverkehr. Weitere Informationen finden Sie unter Weiterleitungsprofile für Datenverkehr beim globalen sicheren Zugriff.
Bekannte Einschränkungen
Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.
Installationsschritte
Bereitstellen auf Geräten mit Gerätenadministratorregistrierung mit Microsoft Intune
Navigieren Sie im Microsoft Intune Admin Center zu Apps>iOS/iPadOS>Hinzufügen>iOS-Store-App, und wählen Sie Auswählen aus.
Wählen Sie auf der Seite App hinzufügen die Option App Store durchsuchen aus, und geben Sie auf der Suchleiste Microsoft Defender ein.
Wählen Sie in den Suchergebnissen Microsoft Defender und dann Auswählen aus.
Wählen Sie als Betriebssystem mindestens iOS 15.0 aus. Überprüfen Sie die weiteren Informationen zur App, und wählen Sie Weiter aus.
Navigieren Sie im Abschnitt Zuweisungen zum Abschnitt Erforderlich, und wählen Sie Gruppe hinzufügen aus.
Wählen Sie die Benutzergruppen aus, auf die Sie mit der Defender for Endpoint-App für iOS abzielen möchten.
Hinweis
Die ausgewählte Benutzergruppe sollte aus registrierten Microsoft Intune-Benutzenden bestehen.
- Wählen Sie Auswählen und dann Weiter aus.
- Überprüfen Sie im Abschnitt Überprüfen + Erstellen, ob alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus. Defender for Endpoint wird nach kurzer Zeit erstellt, und in der rechten oberen Ecke der Seite wird eine Benachrichtigung angezeigt.
- Wählen Sie auf der Seite mit den App-Informationen im Abschnitt Überwachen die Option Geräteinstallationsstatus aus, um zu überprüfen, ob die Geräteinstallation erfolgreich abgeschlossen wurde.
Erstellen eines VPN-Profils und Konfigurieren des globalen sicheren Zugriffs für Microsoft Defender for Endpoint
Navigieren Sie im Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen.
Legen Sie die Plattform auf iOS/iPadOS, den Profiltyp auf Vorlagen und den Vorlagennamen auf VPN fest.
Klicken Sie auf Erstellen.
Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.
Legen Sie den Verbindungstyp auf Benutzerdefiniertes VPN fest.
Geben Sie im Abschnitt Basis-VPN Folgendes ein:
- Verbindungsname: Microsoft Defender for Endpoint
- VPN-Serveradresse: 127.0.0.1
- Authentifizierungsmethode: „Benutzername und Kennwort“
- Getrenntes Tunneln: Deaktivieren
- VPN-ID: com.microsoft.scmx
In den Feldern für Schlüssel-Wert-Paare:
Fügen Sie den Schlüssel SilentOnboard hinzu, und legen Sie den Wert auf True fest.
Fügen Sie den Schlüssel EnableGSA hinzu, und legen Sie den entsprechenden Wert anhand der folgenden Tabelle fest:
Schlüssel Wert Details EnableGSA Kein Wert Der globale sichere Zugriff ist nicht aktiviert, und die Kachel wird nicht angezeigt. 0 Der globale sichere Zugriff ist nicht aktiviert, und die Kachel wird nicht angezeigt. 1 Die Kachel wird angezeigt und hat den Standardwert FALSE (Status „Deaktiviert“). Benutzende können den globalen sicheren Zugriff über die App aktivieren oder deaktivieren. 2 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können diesen Wert außer Kraft setzen. Benutzende können den globalen sicheren Zugriff über die App aktivieren oder deaktivieren. 3 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können den globalen sicheren Zugriff nicht deaktivieren. Fügen Sie bei Bedarf weitere Schlüssel-Wert-Paare hinzu (optional):
Schlüssel Wert Details EnableGSAPrivateChannel Kein Wert Der globale sichere Zugriff ist standardmäßig aktiviert. Benutzende können die Option aktivieren oder deaktivieren. 0 Der globale sichere Zugriff ist nicht aktiviert, und die Umschaltfläche wird Benutzenden nicht angezeigt. 1 Die Umschaltfläche wird angezeigt und ist standardmäßig auf FALSE (Status „Deaktiviert“) festgelegt. Benutzende können die Option aktivieren oder deaktivieren. 2 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können die Option aktivieren oder deaktivieren. 3 Die Umschaltfläche wird angezeigt, ist aber abgeblendet und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können den globalen sicheren Zugriff nicht deaktivieren.
Setzen Sie das Ausfüllen des VPN-Formulars fort:
- Typ des automatischen VPN: bedarfsgesteuertes VPN
- On-Demand-Regeln: Wählen Sie Hinzufügen aus, und führen Sie dann Folgendes aus:
- Legen Sie Folgende Aktion ausführen auf Per VPN verbinden fest.
- Legen Sie Einschränken auf Alle Domänen fest.
Um zu verhindern, dass Endbenutzende das VPN deaktivieren, legen Sie Deaktivieren des automatischen VPN durch Benutzende verhindern auf Ja fest. Diese Einstellung ist standardmäßig nicht konfiguriert, und Benutzende können das VPN nur in den Einstellungen deaktivieren.
Um Benutzenden die Verwendung der VPN-Umschaltfläche in der App zu ermöglichen, fügen Sie das Schlüssel-Wert-Paar EnableVPNToggleInApp = TRUE hinzu. Standardmäßig können Benutzende die Umschaltfläche in der App nicht ändern.
Wählen Sie Weiter aus, und weisen Sie das Profil den gewünschten Benutzenden zu.
Überprüfen Sie im Abschnitt Überprüfen + Erstellen, ob alle Informationen korrekt sind, und wählen Sie dann Erstellen aus.
Nachdem die Konfiguration fertiggestellt und mit dem Gerät synchronisiert wurde, werden die folgenden Aktionen auf den iOS-Zielgeräten ausgeführt:
- Microsoft Defender for Endpoint wird bereitgestellt und im Hintergrund integriert.
- Das Gerät wird im Defender for Endpoint-Portal aufgeführt.
- Eine vorläufige Benachrichtigung wird an das Benutzergerät gesendet.
- Der globale sichere Zugriff und andere von Microsoft Defender für Endpunkt (MDE) konfigurierte Features werden aktiviert.
Bestätigen der Anzeige von Global Secure Access in der Defender-App
Da der Client für globalen sicheren Zugriff für iOS in Microsoft Defender for Endpoint integriert ist, sollten Sie mit der Endbenutzerumgebung vertraut sein. Der Client wird nach dem Onboarding des globalen sicheren Zugriffs im Defender-Dashboard angezeigt.
Sie können den Client für globalen sicheren Zugriff für iOS aktivieren oder deaktivieren, indem Sie den Schlüssel EnableGSA im VPN-Profil festlegen. Abhängig von den Konfigurationseinstellungen können Endbenutzende einzelne Dienste oder den Client selbst mithilfe der entsprechenden Umschaltflächen aktivieren oder deaktivieren.
Wenn der Client keine Verbindung herstellen kann, wird ein Umschalter angezeigt, um den Dienst zu deaktivieren. Benutzer können später zurückkehren, um zu versuchen, den Client zu aktivieren.
Problembehandlung
- Die Kachel für den globalen sicheren Zugriff wird nach dem Onboarding des Mandanten nicht in der Defender-App angezeigt:
- Beenden Sie die Defender-App, und starten Sie sie neu.
- Der Zugriff auf die Private Access-Anwendung zeigt nach einer erfolgreichen interaktiven Anmeldung einen Timeoutfehler bei der Verbindung an.
- Laden Sie die Anwendung neu (oder aktualisieren Sie den Webbrowser).