Freigeben über


Client für globalen sicheren Zugriff für iOS (Vorschau)

Wichtig

Der Client für globalen sicheren Zugriff für iOS befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

In diesem Artikel wird erläutert, wie Sie die Client-App für globalen sicheren Zugriff auf Geräten mit iOS und iPadOS einrichten und bereitstellen. Aus Gründen der Einfachheit werden in diesem Artikel iOS und iPadOS gemeinsam als iOS bezeichnet.

Achtung

Das Ausführen anderer Drittanbieterprodukte für den Endpunktschutz zusammen mit Defender for Endpoint unter iOS führt wahrscheinlich zu Leistungsproblemen und unvorhersehbaren Systemfehlern.

Hinweis

  • Der Client für globalen sicheren Zugriff wird und iOS über Microsoft Defender for Endpoint bereitgestellt.
  • Der Client für globalen sicheren Zugriff verwendet unter iOS ein VPN. Dieses VPN ist kein normales VPN. Es handelt sich vielmehr um ein lokales VPN mit interner Schleife.

Voraussetzungen

Anforderungen

Netzwerkanforderungen

Damit Microsoft Defender for Endpoint unter iOS (im Apple App Store verfügbar) funktioniert, wenn Sie eine Verbindung mit einem Netzwerk herstellen, müssen Sie die Firewall/den Proxy so konfigurieren, dass der Zugriff auf die Dienst-URLs von Microsoft Defender for Endpoint zugelassen wird.

Hinweis

Microsoft Defender for Endpoint unter iOS wird auf freigegebenen Geräten oder solchen ohne Benutzende nicht unterstützt.

Systemanforderungen

Das iOS-Gerät (Smartphone oder Tablet) muss die folgenden Anforderungen erfüllen:

  • Auf dem Gerät ist mindestens iOS 15.0 installiert.
  • Auf dem Gerät ist die Microsoft Authenticator-App oder die Intune-Unternehmensportal-App installiert.
  • Das Gerät ist registriert, um Intune-Gerätecompliancerichtlinien zu erzwingen.

Unterstützte Modi

Der Client für globalen sicheren Zugriff für iOS unterstützt die Installation in beiden Modi registrierter Geräte: überwachte und nicht überwachte Geräte.

Unterstützte Weiterleitungsprofile für Datenverkehr

Der Client für globalen sicheren Zugriff für iOS unterstützt das Microsoft-Weiterleitungsprofil für Datenverkehr und das Private Access-Weiterleitungsprofil für Datenverkehr. Weitere Informationen finden Sie unter Weiterleitungsprofile für Datenverkehr beim globalen sicheren Zugriff.

Bekannte Einschränkungen

Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.

Installationsschritte

Bereitstellen auf Geräten mit Gerätenadministratorregistrierung mit Microsoft Intune

  1. Navigieren Sie im Microsoft Intune Admin Center zu Apps>iOS/iPadOS>Hinzufügen>iOS-Store-App, und wählen Sie Auswählen aus.
    Screenshot des Microsoft Intune Admin Centers mit den hervorgehobenen Schritten zum Hinzufügen einer iOS-Store-App

  2. Wählen Sie auf der Seite App hinzufügen die Option App Store durchsuchen aus, und geben Sie auf der Suchleiste Microsoft Defender ein.

  3. Wählen Sie in den Suchergebnissen Microsoft Defender und dann Auswählen aus.

  4. Wählen Sie als Betriebssystem mindestens iOS 15.0 aus. Überprüfen Sie die weiteren Informationen zur App, und wählen Sie Weiter aus.

  5. Navigieren Sie im Abschnitt Zuweisungen zum Abschnitt Erforderlich, und wählen Sie Gruppe hinzufügen aus.
    Screenshot des Bildschirms „App hinzufügen“ mit hervorgehobener Option „Gruppe hinzufügen“

  6. Wählen Sie die Benutzergruppen aus, auf die Sie mit der Defender for Endpoint-App für iOS abzielen möchten.

Hinweis

Die ausgewählte Benutzergruppe sollte aus registrierten Microsoft Intune-Benutzenden bestehen.

  1. Wählen Sie Auswählen und dann Weiter aus.
  2. Überprüfen Sie im Abschnitt Überprüfen + Erstellen, ob alle eingegebenen Informationen korrekt sind, und wählen Sie dann Erstellen aus. Defender for Endpoint wird nach kurzer Zeit erstellt, und in der rechten oberen Ecke der Seite wird eine Benachrichtigung angezeigt.
  3. Wählen Sie auf der Seite mit den App-Informationen im Abschnitt Überwachen die Option Geräteinstallationsstatus aus, um zu überprüfen, ob die Geräteinstallation erfolgreich abgeschlossen wurde.
    Screenshot des Bildschirms mit dem Geräteinstallationsstatus und einer Liste der installierten Geräte

Erstellen eines VPN-Profils und Konfigurieren des globalen sicheren Zugriffs für Microsoft Defender for Endpoint

  1. Navigieren Sie im Microsoft Intune Admin Center zu Geräte>Konfigurationsprofile>Profil erstellen.

  2. Legen Sie die Plattform auf iOS/iPadOS, den Profiltyp auf Vorlagen und den Vorlagennamen auf VPN fest.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.

  5. Legen Sie den Verbindungstyp auf Benutzerdefiniertes VPN fest.

  6. Geben Sie im Abschnitt Basis-VPN Folgendes ein:

    • Verbindungsname: Microsoft Defender for Endpoint
    • VPN-Serveradresse: 127.0.0.1
    • Authentifizierungsmethode: „Benutzername und Kennwort“
    • Getrenntes Tunneln: Deaktivieren
    • VPN-ID: com.microsoft.scmx
  7. In den Feldern für Schlüssel-Wert-Paare:

    • Fügen Sie den Schlüssel SilentOnboard hinzu, und legen Sie den Wert auf True fest.

    • Fügen Sie den Schlüssel EnableGSA hinzu, und legen Sie den entsprechenden Wert anhand der folgenden Tabelle fest:

      Schlüssel Wert Details
      EnableGSA Kein Wert Der globale sichere Zugriff ist nicht aktiviert, und die Kachel wird nicht angezeigt.
      0 Der globale sichere Zugriff ist nicht aktiviert, und die Kachel wird nicht angezeigt.
      1 Die Kachel wird angezeigt und hat den Standardwert FALSE (Status „Deaktiviert“). Benutzende können den globalen sicheren Zugriff über die App aktivieren oder deaktivieren.
      2 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können diesen Wert außer Kraft setzen. Benutzende können den globalen sicheren Zugriff über die App aktivieren oder deaktivieren.
      3 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können den globalen sicheren Zugriff nicht deaktivieren.
    • Fügen Sie bei Bedarf weitere Schlüssel-Wert-Paare hinzu (optional):

      Schlüssel Wert Details
      EnableGSAPrivateChannel Kein Wert Der globale sichere Zugriff ist standardmäßig aktiviert. Benutzende können die Option aktivieren oder deaktivieren.
      0 Der globale sichere Zugriff ist nicht aktiviert, und die Umschaltfläche wird Benutzenden nicht angezeigt.
      1 Die Umschaltfläche wird angezeigt und ist standardmäßig auf FALSE (Status „Deaktiviert“) festgelegt. Benutzende können die Option aktivieren oder deaktivieren.
      2 Die Kachel wird angezeigt, und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können die Option aktivieren oder deaktivieren.
      3 Die Umschaltfläche wird angezeigt, ist aber abgeblendet und hat den Standardwert TRUE (Status „Aktiviert“). Benutzende können den globalen sicheren Zugriff nicht deaktivieren.
  8. Setzen Sie das Ausfüllen des VPN-Formulars fort:

    • Typ des automatischen VPN: bedarfsgesteuertes VPN
    • On-Demand-Regeln: Wählen Sie Hinzufügen aus, und führen Sie dann Folgendes aus:
      • Legen Sie Folgende Aktion ausführen auf Per VPN verbinden fest.
      • Legen Sie Einschränken auf Alle Domänen fest. Screenshot des VPN-Bildschirms mit Beispielsetupparametern
  9. Um zu verhindern, dass Endbenutzende das VPN deaktivieren, legen Sie Deaktivieren des automatischen VPN durch Benutzende verhindern auf Ja fest. Diese Einstellung ist standardmäßig nicht konfiguriert, und Benutzende können das VPN nur in den Einstellungen deaktivieren.

  10. Um Benutzenden die Verwendung der VPN-Umschaltfläche in der App zu ermöglichen, fügen Sie das Schlüssel-Wert-Paar EnableVPNToggleInApp = TRUE hinzu. Standardmäßig können Benutzende die Umschaltfläche in der App nicht ändern.

  11. Wählen Sie Weiter aus, und weisen Sie das Profil den gewünschten Benutzenden zu.

  12. Überprüfen Sie im Abschnitt Überprüfen + Erstellen, ob alle Informationen korrekt sind, und wählen Sie dann Erstellen aus.

Nachdem die Konfiguration fertiggestellt und mit dem Gerät synchronisiert wurde, werden die folgenden Aktionen auf den iOS-Zielgeräten ausgeführt:

  • Microsoft Defender for Endpoint wird bereitgestellt und im Hintergrund integriert.
  • Das Gerät wird im Defender for Endpoint-Portal aufgeführt.
  • Eine vorläufige Benachrichtigung wird an das Benutzergerät gesendet.
  • Der globale sichere Zugriff und andere von Microsoft Defender für Endpunkt (MDE) konfigurierte Features werden aktiviert.

Bestätigen der Anzeige von Global Secure Access in der Defender-App

Da der Client für globalen sicheren Zugriff für iOS in Microsoft Defender for Endpoint integriert ist, sollten Sie mit der Endbenutzerumgebung vertraut sein. Der Client wird nach dem Onboarding des globalen sicheren Zugriffs im Defender-Dashboard angezeigt.
Screenshot des Microsoft Defender-Dashboards unter iOS

Sie können den Client für globalen sicheren Zugriff für iOS aktivieren oder deaktivieren, indem Sie den Schlüssel EnableGSA im VPN-Profil festlegen. Abhängig von den Konfigurationseinstellungen können Endbenutzende einzelne Dienste oder den Client selbst mithilfe der entsprechenden Umschaltflächen aktivieren oder deaktivieren.
Screenshot des Clients für globalen sicheren Zugriff unter iOS mit den Statusbildschirmen „Aktiviert“ und „Deaktiviert“

Wenn der Client keine Verbindung herstellen kann, wird ein Umschalter angezeigt, um den Dienst zu deaktivieren. Benutzer können später zurückkehren, um zu versuchen, den Client zu aktivieren.
Screenshot des Clients für globalen sicheren Zugriff unter iOS mit der Meldung „Keine Verbindung möglich“

Problembehandlung

  • Die Kachel für den globalen sicheren Zugriff wird nach dem Onboarding des Mandanten nicht in der Defender-App angezeigt:
    • Beenden Sie die Defender-App, und starten Sie sie neu.
  • Der Zugriff auf die Private Access-Anwendung zeigt nach einer erfolgreichen interaktiven Anmeldung einen Timeoutfehler bei der Verbindung an.
    • Laden Sie die Anwendung neu (oder aktualisieren Sie den Webbrowser).