Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Defender for Endpoint iOS:ssä käyttäisi VPN:ää web protection -ominaisuuden tarjoamiseen. Tämä ei ole tavallinen VPN, ja se on paikallinen/itsesilmukainen VPN, joka ei vie liikennettä laitteen ulkopuolelle.

Ehdollinen käyttö Defender for Endpointin kanssa iOS:ssä

Microsoft Defender for Endpoint iOS:ssä sekä Microsoft Intune ja Microsoft Entra ID mahdollistaa laitteiden yhteensopivuuden ja ehdollisten käyttöoikeuksien käytäntöjen pakottamisen laitteen riskipisteiden perusteella. Defender for Endpoint on MTD(Mobile Threat Defense) -ratkaisu, jonka voit ottaa käyttöön, jotta voit käyttää tätä ominaisuutta Intune kautta.

Lisätietoja ehdollisten käyttöoikeuksien määrittämisestä Defender for Endpointin avulla iOS:ssä on kohdassa Defender for Endpoint ja Intune.

Verkkosuojaus ja VPN

Defender for Endpoint iOS:ssä sisältää oletusarvoisesti verkkosuojauksen, joka auttaa suojaamaan laitteita verkkouhkia vastaan ja suojaamaan käyttäjiä tietojenkalasteluhyökkäyksiltä. Tietojenkalastelun torjuntaa ja mukautettuja ilmaisimia (URL ja toimialue) tuetaan osana verkkosuojausta. Ip-pohjaisia mukautettuja ilmaisimia ei tällä hetkellä tueta iOS:ssä. Verkkosisällön suodatusta ei tällä hetkellä tueta mobiiliympäristöissä (Android ja iOS).

Defender for Endpoint iOS:ssä käyttää VPN:ää tämän ominaisuuden tarjoamiseen. VPN on paikallinen, ja toisin kuin perinteinen VPN, verkkoliikennettä ei lähetetä laitteen ulkopuolelle.

Vaikka vpn on oletusarvoisesti käytössä, joissakin tapauksissa vpn-yhteys on ehkä poistettava käytöstä. Haluat esimerkiksi suorittaa sovelluksia, jotka eivät toimi, kun VPN on määritetty. Tällaisissa tapauksissa voit poistaa VPN:n käytöstä laitteen sovelluksesta seuraavasti:

1. Avaa iOS-laitteessa Asetukset-sovellus , valitse Yleiset ja sitten VPN.

2. Valitse Microsoft Defender for Endpoint i-painike.

3. Poista VPN käytöstä poistamällä Yhteys pyydettäessä -asetus käytöstä.

   

Huomautus

Verkkosuojaus ei ole käytettävissä, kun VPN on poistettu käytöstä. Jos haluat ottaa verkkosuojauksen uudelleen käyttöön, avaa Microsoft Defender for Endpoint sovellus laitteessa ja valitse sitten Aloita VPN.

Poista www-suojaus käytöstä

Verkkosuojaus on yksi Defender for Endpointin tärkeimmistä ominaisuuksista, ja sen tarjoaminen edellyttää VPN:ää. Käytetty VPN on paikallinen VPN-silmukka, ei perinteinen VPN, mutta on kuitenkin useita syitä, miksi asiakkaat eivät ehkä pidä VPN:stä. Jos et halua määrittää VPN:ää, voit poistaa verkkosuojauksen käytöstä ja ottaa Defender for Endpointin käyttöön ilman tätä ominaisuutta. Muut Defender for Endpoint -ominaisuudet toimivat edelleen.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Asiakkaille, joilla on MDM, järjestelmänvalvojat voivat määrittää verkon suojauksen hallittujen laitteiden kautta sovellusmäärityksessä. Jos asiakas ei ole rekisteröitynyt mobiilisovellusten hallinnan avulla, järjestelmänvalvojat voivat määrittää verkon suojauksen hallittujen sovellusten kautta sovellusmäärityksessä.

Verkkosuojauksen määrittäminen

Verkkosuojauksen poistaminen käytöstä MDM:n avulla

Seuraavien vaiheiden avulla voit poistaa rekisteröityjen laitteiden verkkosuojauksen käytöstä.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

2. Anna käytännölle nimi Platform > iOS/iPadOS.

3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua, lisää WebProtection avaimeksi ja määritä sen arvotyypiksi String.

   • Oletusarvoisesti WebProtection = true. Järjestelmänvalvojan on poistettava WebProtection = false www-suojaus käytöstä.
   • Defender for Endpoint lähettää sykkeen Microsoft Defender portaaliin aina, kun käyttäjä avaa sovelluksen.
   • Valitse Seuraava ja määritä sitten tämä profiili kohdennetuille laitteille tai käyttäjille.

Verkkosuojauksen poistaminen käytöstä MAM:n avulla

Seuraavien vaiheiden avulla voit poistaa käytöstä rullaamattomien laitteiden verkkosuojauksen.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>sovellustenlisääminen>.

2. Anna käytännölle nimi.

3. Valitse kohdassa Valitse julkiset sovelluksetMicrosoft Defender for Endpoint kohdesovellukseksi.

4. Lisää WebProtectionavaimeksi Asetukset-sivunYleiset määritysasetukset -kohdassa oleva avain ja määritä sen arvoksi false.

   • Oletusarvoisesti WebProtection = true. Järjestelmänvalvoja voi poistaa WebProtection = false verkkosuojauksen käytöstä.
   • Defender for Endpoint lähettää sykkeen Microsoft Defender portaaliin aina, kun käyttäjä avaa sovelluksen.
   • Valitse Seuraava ja määritä sitten tämä profiili kohdennetuille laitteille tai käyttäjille.

Huomautus

Avainta WebProtection ei voi soveltaa valvottujen laitteiden luettelon ohjausobjektisuodattimeen. Jos haluat poistaa valvottavien laitteiden verkkosuojauksen käytöstä, voit poistaa ohjausobjektisuodatinprofiilin.

Verkon suojauksen määrittäminen

Päätepisteen Microsoft Defender verkon suojaus on oletusarvoisesti käytössä. Järjestelmänvalvojat voivat määrittää verkon suojauksen seuraavien vaiheiden avulla. Tämä määritys on käytettävissä sekä rekisteröidyissä laitteissa MDM-määrityksen kautta että rekisteröimättömissä laitteissa MAM-määrityksen kautta.

Huomautus

Verkkosuojausta varten tulisi luoda vain yksi käytäntö joko MDM:n tai MAM:n avulla. Verkon suojauksen alustaminen edellyttää, että loppukäyttäjä avaa sovelluksen kerran.

Verkon suojauksen määrittäminen MDM:n avulla

Voit määrittää verkon suojauksen rekisteröityjen laitteiden MDM-määrityksen avulla seuraavasti:

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Hallittujen laitteidenlisääminen>.

2. Anna käytännön nimi ja kuvaus. Valitse Käyttöympäristö-kohdassaiOS/iPad.

3. Valitse kohdesovelluksessa Microsoft Defender for Endpoint.

4. Valitse Asetukset-sivulla kokoonpanoasetusten muoto Käytä määritysten suunnittelutyökalua.

5. Lisää DefenderNetworkProtectionEnable määritysavaimeksi. Määritä sen arvotyypiksi String, ja määritä sen arvoksi false verkon suojauksen poistaminen käytöstä. (Verkon suojaus on oletusarvoisesti käytössä.)

   

6. Lisää seuraavat avaimet muihin verkkosuojaukseen liittyviin määrityksiin ja valitse vastaava arvotyyppi ja arvo.

   Avain	Arvon tyyppi:	Oletus (true-enable, false-disable)	Kuvaus
   DefenderOpenNetworkDetection	Kokonaisluku	2	1 - Valvonta, 0 - Poista käytöstä, 2 - Ota käyttöön (oletus). IT-Hallinta hallitsee tätä asetusta, jotta avoin verkontunnistus voidaan valvoa, poistaa käytöstä tai ottaa käyttöön. Valvontatilassa ilmoitukset lähetetään vain Microsoft Defender portaaliin ilman loppukäyttäjäkokemusta. Jos kyseessä on käyttäjäkokemus, määritä sen arvoksi Enable.
   DefenderEndUserTrustFlowEnable	Merkkijono	väärä	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvojat käyttävät tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä sovelluksen loppukäyttäjän käyttökokemuksen luottaakseen turvattomiin ja epäilyttäviin verkkoihin ja ollakseen luottamatta niihin.
   DefenderNetworkProtectionAutoRemediation	Merkkijono	tosi	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja käyttää tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä korjausilmoitukset, jotka lähetetään, kun käyttäjä suorittaa korjaustoimia, kuten siirtymistä turvallisempiin WIFI-yhteyspisteisiin.
   DefenderNetworkProtectionPrivacy	Merkkijono	tosi	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja hallitsee tätä asetusta, jotta tietosuoja voidaan ottaa käyttöön tai poistaa käytöstä verkon suojauksessa. Jos tietosuoja on poistettu käytöstä, käyttäjä suostuu jakamaan haitallisen WiFi-yhteyden. Jos tietosuoja on käytössä, käyttäjän suostumusta ei näytetä eikä sovelluksen tietoja kerätä.

7. Määritykset-osiossa järjestelmänvalvoja voi valita käyttäjäryhmiä, jotka sisällytetään käytäntöön ja jotka jätetään pois käytännöstä.

8. Tarkista ja luo määrityskäytäntö.

Verkon suojauksen määrittäminen mobiilisovellusten hallinnan avulla

Seuraavien ohjeiden avulla voit määrittää MAM-määrityksen verkon suojauksen rekisteröimättömille laitteille (MAM-määrityksessä vaaditaan Authenticator-laitteen rekisteröinti) iOS-laitteissa.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallittuja sovelluksia>Luo uusi sovelluksen määrityskäytäntö.

   

2. Anna käytännön yksilöivä nimi ja kuvaus. Valitse sitten Valitse julkiset sovellukset ja valitse Microsoft Defender käyttöympäristön iOS/iPadOS-käyttöjärjestelmälle.

   

3. Lisää Asetukset-sivullaavaimeksi DefenderNetworkProtectionEnable ja verkkosuojauksen käytöstä poistamisen arvo false . (Verkon suojaus on oletusarvoisesti käytössä.)

   

4. Lisää seuraavat avaimet ja vastaava arvo muihin verkon suojaukseen liittyviin määrityksiin.

   Avain	Oletus (tosi - ota käyttöön, epätosi - poista käytöstä)	Kuvaus
   DefenderOpenNetworkDetection	2	1 - Valvonta, 0 - Poista käytöstä, 2 - Ota käyttöön (oletus). IT-järjestelmänvalvoja hallitsee tätä asetusta avoimen verkontunnistuksen ottamiseksi käyttöön, valvomiseksi tai ottamiseksi pois käytöstä. Valvontatilassa ilmoitukset lähetetään vain ATP-portaaliin ilman käyttökokemusta. Jos haluat käyttökokemuksen, määritä määritykseksi Ota käyttöön -tila.
   DefenderEndUserTrustFlowEnable	väärä	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvojat käyttävät tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä sovelluksen loppukäyttäjän käyttökokemuksen luottaakseen turvattomiin ja epäilyttäviin verkkoihin ja ollakseen luottamatta niihin.
   DefenderNetworkProtectionAutoRemediation	tosi	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja käyttää tätä asetusta ottaakseen käyttöön tai poistaakseen käytöstä korjausilmoitukset, jotka lähetetään, kun käyttäjä suorittaa korjaustoimia, kuten siirtymistä turvallisempiin WIFI-yhteyspisteisiin.
   DefenderNetworkProtectionPrivacy	tosi	true – ota käyttöön, epätosi – poista käytöstä; IT-järjestelmänvalvoja hallitsee tätä asetusta, jotta tietosuoja voidaan ottaa käyttöön tai poistaa käytöstä verkon suojauksessa. Jos tietosuoja on poistettu käytöstä, käyttäjä suostuu jakamaan haitallisen WiFi-yhteyden. Jos tietosuoja on käytössä, käyttäjän suostumusta ei näytetä eikä sovelluksen tietoja kerätä.

5. Määritykset-osiossa järjestelmänvalvoja voi valita käyttäjäryhmiä, jotka sisällytetään käytäntöön ja jotka jätetään pois käytännöstä.

   

6. Tarkista ja luo määrityskäytäntö.

Useiden VPN-profiilien rinnakkaiskäyttö

Apple iOS ei tue useita laitteenlaajuisia VPN:iä, jotka ovat aktiivisia samanaikaisesti. Vaikka laitteessa voi olla useita VPN-profiileja, vain yksi VPN voi olla aktiivinen kerrallaan.

Microsoft Defender for Endpoint riskisignaalin määrittäminen sovellusten suojauskäytännössä

Microsoft Defender for Endpoint iOS:ssä mahdollistaa sovelluksen suojauskäytännön skenaarion. Loppukäyttäjät voivat asentaa sovelluksen uusimman version suoraan Apple-sovelluskaupasta. Varmista, että laite on rekisteröity Authenticatoriin ja että samaa tiliä käytetään Defenderiin MAM-rekisteröinnin onnistumiseksi.

Microsoft Defender for Endpoint voidaan määrittää lähettämään uhkasignaaleja käytettäväksi iOS:n/iPadOS:n sovellusten suojauskäytännöissä (APP, tunnetaan myös nimellä MAM). Tämän ominaisuuden avulla voit Microsoft Defender for Endpoint avulla suojata yrityksen tietojen käytön myös avaamattomilta laitteilta.

Määritä sovellusten suojauskäytännöt Microsoft Defender for Endpoint Määritä Defenderin riskisignaaleja sovelluksen suojauskäytännössä noudattamalla seuraavan linkin ohjeita

Lisätietoja mobiilisovellusten hallinnan tai sovelluksen suojauskäytännöstä on kohdassa iOS-sovelluksen suojauskäytännön asetukset.

Tietosuojatoiminnot

iOS:n Microsoft Defender for Endpoint mahdollistaa tietosuojan hallinnan sekä järjestelmänvalvojille että käyttäjille. Tämä sisältää rekisteröityjen (MDM) ja rekisteröimättömien (MAM) laitteiden ohjausobjektit.

Jos käytät MDM:tä, järjestelmänvalvojasi voivat määrittää tietosuojan hallinnan Hallittujen laitteiden kautta sovellusmäärityksessä. Jos käytät mobiilisovellusten hallintaa ilman rekisteröintiä, järjestelmänvalvojasi voivat määrittää tietosuojan hallinnan hallittujen sovellusten kautta sovellusmäärityksessä. Käyttäjät voivat myös määrittää tietosuoja-asetuksia Microsoft Defender sovelluksen asetuksissa.

Tietosuojan määrittäminen tietojen kalasteluhälytysraportissa

Asiakkaat voivat nyt ottaa Microsoft Defender for Endpoint iOS:ssä lähettämän tietojenkalasteluraportin tietosuojan hallinnan käyttöön niin, että toimialuenimi ei sisälly tietojen kalasteluilmoitukseen aina, kun Microsoft Defender for Endpoint havaitsee ja estää tietojenkalastelusivuston.

Tietosuojatoimintojen määrittäminen MDM:ssä

Seuraavien vaiheiden avulla voit ottaa käyttöön tietosuojan ja olla keräämättä toimialuenimeä osana rekisteröityjen laitteiden tietojenkalasteluilmoitusraporttia.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

2. Anna käytännölle nimi Platform > iOS/iPadOS, valitse profiilityyppi.

3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua , lisää DefenderExcludeURLInReport avaimeksi ja määritä sen arvotyypiksi Totuusarvo.

   • Jos haluat ottaa tietosuojan käyttöön, etkä kerää toimialuenimeä, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
   • Käyttäjille, joiden avain on määritetty muodossa true, tietojenkalasteluilmoitus ei sisällä toimialuenimitietoja aina, kun Defender on havainnut ja estänyt haitallisen sivuston päätepisteelle.

5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Tietosuojan hallintatoimintojen määrittäminen mobiilisovellusten hallinnan avulla

Seuraavien vaiheiden avulla voit ottaa käyttöön tietosuojan ja olla keräämättä toimialuenimeä osana tietojenkalasteluhälytysraporttia rullaamattomille laitteille.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>sovellustenlisääminen>.

2. Anna käytännölle nimi.

3. Valitse kohdassa Valitse julkiset sovelluksetMicrosoft Defender for Endpoint kohdesovellukseksi.

4. Lisää DefenderExcludeURLInReportavain Asetukset-sivunYleiset määritysasetukset -kohtaan ja määritä sen arvoksi true.

   • Jos haluat ottaa tietosuojan käyttöön, etkä kerää toimialuenimeä, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
   • Käyttäjille, joiden avain on määritetty muodossa true, tietojenkalasteluilmoitus ei sisällä toimialuenimitietoja aina, kun Defender on havainnut ja estänyt haitallisen sivuston päätepisteelle.

5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Loppukäyttäjän tietosuojan hallinnan määrittäminen Microsoft Defender sovelluksessa

Näiden ohjausobjektien avulla loppukäyttäjä voi määrittää organisaatiolleen jaetut tiedot.

Valvotuissa laitteissa loppukäyttäjän ohjausobjektit eivät ole näkyvissä. Järjestelmänvalvoja päättää asetuksista ja hallitsee asetuksia. Valvomattomien laitteiden ohjausobjekti näkyy kuitenkin Asetukset-tietosuoja-kohdassa>.

Käyttäjät näkevät sivuston turvattomien tietojen vaihtopainikkeen. Tämä vaihtopainike näkyy vain, jos järjestelmänvalvoja on määrittänyt asetuksen DefenderExcludeURLInReport = true.

Jos järjestelmänvalvoja on ottanut sen käyttöön, käyttäjät voivat määrittää, lähettävätkö he vahingottomia sivuston tietoja organisaatioonsa. Oletusarvon mukaan asetus on false, mikä tarkoittaa, että sivustotietoja, jotka eivät ole turvallisia, ei lähetetä. Jos käyttäjä vaihtaa sen arvoon true, sivuston tiedot, jotka eivät ole turvallisia, lähetetään.

Tietosuojan ohjausobjektien ottaminen käyttöön tai poistaminen käytöstä ei vaikuta laitteen yhteensopivuuden tarkistamiseen tai ehdolliseen käyttöön.

Huomautus

Valvotuissa laitteissa, joissa on määritysprofiili, Microsoft Defender for Endpoint voi käyttää koko URL-osoitetta, ja jos se havaitaan tietojenkalasteluksi, se on estetty. Valvomattomassa laitteessa Microsoft Defender for Endpoint voi käyttää vain toimialuenimeä. Jos toimialue ei ole tietojenkalastelun URL-osoite, sitä ei estetä.

Valinnaiset käyttöoikeudet

iOS-Microsoft Defender for Endpoint ottaa käyttöön valinnaiset käyttöoikeudet perehdytystyönkulussa. Defenderin päätepisteelle edellyttämät käyttöoikeudet ovat tällä hetkellä pakollisia perehdytystyönkulussa. Tämän ominaisuuden avulla järjestelmänvalvojat voivat ottaa Defender for Endpointin käyttöön BYOD-laitteissa pakottamatta pakollista VPN-käyttöoikeutta perehdyttämisen aikana. Loppukäyttäjät voivat käyttää sovellusta ilman pakollisia käyttöoikeuksia ja tarkastella näitä käyttöoikeuksia myöhemmin. Tämä ominaisuus on tällä hetkellä käytössä vain rekisteröidyissä laitteissa (MDM).

Valinnaisten käyttöoikeuksien määrittäminen MDM:n avulla

Järjestelmänvalvojat voivat seuraavien vaiheiden avulla ottaa valinnaisen VPN-käyttöoikeuden käyttöön rekisteröidyissä laitteissa.

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

2. Anna käytännölle nimi, valitse Käyttöympäristö > iOS/iPadOS.

3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua , lisää DefenderOptionalVPN avaimeksi ja määritä sen arvotyypiksi Boolean.

   • Jos haluat ottaa valinnaisen VPN-käyttöoikeuden käyttöön, anna arvo muodossa true ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona falseon .
   • Käyttäjät, joiden avain on määritetty muodossa true, voivat ottaa sovelluksen käyttöön antamatta VPN-käyttöoikeutta.

5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Valinnaisten käyttöoikeuksien määrittäminen loppukäyttäjänä

Loppukäyttäjät asentavat ja avaavat Microsoft Defender sovelluksen perehdyttämistä varten.

• Jos järjestelmänvalvoja on määrittänyt valinnaiset käyttöoikeudet, käyttäjä voi ohittaa VPN-käyttöoikeudet ja suorittaa perehdytyksen loppuun.
• Vaikka käyttäjä olisi ohittanut VPN:n, laite pystyy mukaan ja syke lähetetään.
• Jos VPN on poistettu käytöstä, verkkosuojaus ei ole aktiivinen.
• Myöhemmin käyttäjä voi ottaa verkkosuojauksen käyttöön sovelluksessa, joka asentaa VPN-määritykset laitteeseen.

Huomautus

Valinnainen käyttöoikeus on eri kuin Poista WWW-suojaus käytöstä. Valinnainen VPN-käyttöoikeus auttaa vain ohittamaan käyttöoikeuden perehdyttämisen aikana, mutta loppukäyttäjä voi myöhemmin tarkistaa sen ja ottaa sen käyttöön. Vaikka Disable Web Protection sallii käyttäjien ottaa Defender for Endpoint -sovelluksen käyttöön ilman WWW-suojausta. Sitä ei voi ottaa käyttöön myöhemmin.

Vankilamurtojen tunnistaminen

Microsoft Defender for Endpoint pystyy havaitsemaan hallitsemattomia ja hallittuja laitteita, jotka ovat suojauksettomia. Nämä vankeusrangaistustarkastukset tehdään säännöllisesti. Jos laitteen havaitaan olevan suojauksia, nämä tapahtumat tapahtuvat:

• Microsoft Defender portaaliin ilmoitetaan suuren riskin hälytys. Jos laitteen yhteensopivuus ja ehdollinen käyttö on määritetty laitteen riskipisteiden perusteella, laite ei voi käyttää yrityksen tietoja.
• Sovelluksen käyttäjätiedot tyhjennetään. Kun käyttäjä avaa sovelluksen jailbreakingin jälkeen, myös VPN-profiili (vain Defender for Endpoint loopback VPN Profile) poistetaan eikä verkkosuojausta tarjota. Intune toimittamia VPN-profiileja ei poisteta.

Yhteensopivuuskäytännön määrittäminen suojausräjäyksiin

Jotta yrityksen tietoja ei käytetä suojatuissa iOS-laitteissa, suosittelemme, että määrität seuraavan yhteensopivuuskäytännön Intune.

Huomautus

Jailbreak-tunnistaminen on Microsoft Defender for Endpoint tarjoama ominaisuus iOS:ssä. Suosittelemme kuitenkin, että määrität tämän käytännön lisäpuolustuskerrokseksi vankilamurtoskenaarioita vastaan.

Noudata seuraavia ohjeita luodaksesi yhteensopivuuskäytännön suojarästyille laitteille.

1. Siirry Microsoft Intune hallintakeskuksessakohtaan Laitteiden>yhteensopivuuskäytännöt>Luo käytäntö. Valitse käyttöympäristöksi iOS/iPadOS ja valitse Luo.

   

2. Määritä käytännön nimi, kuten Jailbreakin yhteensopivuuskäytäntö.

3. Valitse yhteensopivuusasetusten sivulla, jos haluat laajentaa Laitteen kunto -osion ja valita BlockSuojauksen ehjät laitteet -kentässä.

   

4. Valitse Toiminnot noudattamatta-kohdassa toiminnot tarpeittesi mukaan ja valitse sitten Seuraava.

   

5. Valitse Määritykset-osiossa käyttäjäryhmät, jotka haluat sisällyttää tähän käytäntöön, ja valitse sitten Seuraava.

6. Tarkista + luo -osiossa, että kaikki annetut tiedot ovat oikein, ja valitse sitten Luo.

Mukautettujen ilmaisimien määrittäminen

Defender for Endpoint iOS:ssä mahdollistaa sen, että järjestelmänvalvojat voivat määrittää mukautettuja ilmaisimia myös iOS-laitteissa. Lisätietoja mukautettujen ilmaisimien määrittämisestä on kohdassa Ilmaisimien yleiskatsaus.

Huomautus

Defender for Endpoint iOS:ssä tukee mukautettujen ilmaisimien luomista vain URL-osoitteille ja toimialueille. Ip-pohjaisia mukautettuja ilmaisimia ei tueta iOS:ssä.

iOS:ssä ilmoituksia ei luoda Microsoft Defender XDR, kun ilmaisimessa määritettyä URL-osoitetta tai toimialuetta käytetään.

Sovellusten haavoittuvuuksien arvioinnin määrittäminen

Kyberriskin vähentäminen edellyttää kattavaa riskipohjaisten haavoittuvuuksien hallintaa, jotta voit tunnistaa, arvioida, korjata ja seurata kaikkia tärkeimpiä haavoittuvuuksiasi kriittisimpien resurssiesi välillä, kaikki yhdessä ratkaisussa. Tässä sivussa on lisätietoja Microsoft Defender for Endpoint Microsoft Defenderin haavoittuvuuksien hallinta.

Defender for Endpoint iOS:ssä tukee käyttöjärjestelmän ja sovellusten haavoittuvuusarviointeja. iOS-versioiden haavoittuvuusarviointi on käytettävissä sekä rekisteröidyissä (MDM) että rekisteröimättömissä (MAM) laitteissa. Sovellusten haavoittuvuusarviointi koskee vain rekisteröityjä (MDM) laitteita. Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää sovellusten haavoittuvuusarvioinnin.

Valvotussa laitteessa

1. Varmista, että laite on määritetty valvotussa tilassa.

2. Jos haluat ottaa ominaisuuden käyttöön Microsoft Intune hallintakeskuksessa, siirry kohtaan Endpoint Security>Microsoft Defender for Endpoint>Enable App Sync for iOS/iPadOS devices.

   

Huomautus

Saadakseen luettelon kaikista sovelluksista, myös hallitsemattomista sovelluksista, järjestelmänvalvojan on otettava käyttöön Lähetä täydelliset sovellusluettelotiedot henkilökohtaisesti omistamille iOS/ iPadOS-laitteille -asetus Intune Hallinta Portaalissa valvotuille laitteille, jotka on merkitty henkilökohtaiseksi. Intune Hallinta-portaalin valvotuissa laitteissa, joissa on merkintä "Yritys", järjestelmänvalvojan ei tarvitse ottaa käyttöön Lähetä täydelliset sovellusluettelotiedot henkilökohtaisissa iOS- tai iPadOS-laitteissa.

Valvomattomassa laitteessa

1. Jos haluat ottaa ominaisuuden käyttöön Microsoft Intune hallintakeskuksessa, siirry kohtaan Endpoint Security>Microsoft Defender for Endpoint>Enable App Sync for iOS/iPadOS devices.

   

2. Jos haluat nähdä luettelon kaikista sovelluksista, myös hallitsemattomista sovelluksista, ota käyttöön Lähetä täydelliset sovellusvarastotiedot -asetus henkilökohtaisesti omistamillesi iOS-/iPadOS-laitteille.

   

3. Voit määrittää tietosuoja-asetuksen seuraavien vaiheiden avulla.

   1. Siirry kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallitut laitteet.

   2. Anna käytännölle nimi Platform>iOS/iPadOS.

   3. Valitse kohdesovellukseksi Microsoft Defender for Endpoint.

   4. Valitse Asetukset-sivulla Käytä määritysten suunnittelutyökalua ja lisää DefenderTVMPrivacyMode avaimeksi. Määritä sen arvotyypiksi String.

      • Jos haluat poistaa tietosuojan käytöstä ja kerätä asennettujen sovellusten luettelon, määritä arvo muodossa False, ja määritä sitten tämä käytäntö käyttäjille.
      • Oletusarvoisesti tämä arvo on määritetty True ei-valvotuille laitteille.
      • Niille käyttäjille, joiden avain on , FalseDefender for Endpoint lähettää laitteeseen asennettujen sovellusten luettelon haavoittuvuuden arviointia varten.

   5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

   6. Tietosuojan ohjausobjektien ottaminen käyttöön tai poistaminen käytöstä ei vaikuta laitteen yhteensopivuuden tarkistamiseen tai ehdolliseen käyttöön.

4. Kun määritys on otettu käyttöön, käyttäjien on avattava sovellus, jotta tietosuoja-asetus voidaan hyväksyä.

   • Tietosuojan hyväksyntänäyttö näkyy vain valvomattomille laitteille.
   • Vain jos käyttäjä hyväksyy tietosuojan, sovelluksen tiedot lähetetään Defender for Endpoint -konsoliin.

   

Kun asiakasversiot on otettu käyttöön iOS-laitteille, käsittely alkaa. Kyseisistä laitteista löytyneet haavoittuvuudet näkyvät Defenderin haavoittuvuuksien hallinta koontinäytössä. Käsittelyn valmistuminen voi kestää muutamia tunteja (enintään 24 tuntia). Tämä aikaväli koskee erityisesti koko sovellusluetteloa, joka näkyy ohjelmistovarastossa.

Huomautus

Jos käytät SSL-tarkastusratkaisua iOS-laitteessasi, lisää toimialuenimet securitycenter.windows.com (kaupallisissa ympäristöissä) ja securitycenter.windows.us (GCC-ympäristöissä), jotta uhkien ja haavoittuvuuksien hallinta ominaisuudet toimivat.

Poista uloskirjautuminen käytöstä

Defender for Endpoint iOS:ssä tukee käyttöönottoa ilman sovelluksen uloskirjautumispainiketta, jotta käyttäjät eivät voi kirjautua ulos Defender-sovelluksesta. Tämä on tärkeää, jotta käyttäjät eivät voi peukaloida laitetta.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Järjestelmänvalvojat voivat seuraavien vaiheiden avulla määrittää Poista uloskirjautuminen käytöstä -asetuksen

Poista uloskirjautuminen käytöstä MDM:n avulla

Rekisteröidyille laitteille (MDM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Hallittujen laitteidenlisääminen>.

2. Anna käytännölle nimi ja valitse sitten Käyttöympäristö>iOS/iPadOS.

3. Valitse Microsoft Defender for Endpoint kohdesovellukseksi.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua ja lisää DisableSignOut avaimeksi. Määritä sen arvotyypiksi String.

   • Oletusarvoisesti DisableSignOut = false.
   • Järjestelmänvalvoja voi poistaa DisableSignOut = true uloskirjautumispainikkeen käytöstä sovelluksessa. Käyttäjät eivät näe Kirjaudu ulos -painiketta, kun käytäntö on painettu.

5. Valitse Seuraava ja määritä sitten tämä käytäntö kohdennetuille laitteille tai käyttäjille.

Määritä uloskirjautumisen käytöstä poistaminen mobiilisovellusten hallinnan avulla

Rullaamattomille laitteille (MAM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallitut sovellukset.

2. Anna käytännölle nimi.

3. Valitse kohdesovellukseksi Kohdassa Valitse julkiset sovelluksetMicrosoft Defender for Endpoint.

4. Lisää DisableSignOutAsetukset-sivulla avaimeksi ja määritä sen arvoksi true.

   • Oletusarvoisesti DisableSignOut = false.
   • Järjestelmänvalvoja voi poistaa DisableSignOut = true uloskirjautumispainikkeen käytöstä sovelluksessa. Käyttäjät eivät näe uloskirjautumispainiketta, kun käytäntö on lähetetty.

5. Valitse Seuraava ja määritä sitten tämä käytäntö kohdennetuille laitteille tai käyttäjille.

Laitteen tunnisteet

Defender for Endpoint iOS:ssä mahdollistaa mobiililaitteiden joukkomerkinnän käyttöönoton aikana sallimalla järjestelmänvalvojien määrittää tunnisteita Intune kautta. Hallinta voivat määrittää laitetunnisteet Intune määrityskäytäntöjen kautta ja lähettää ne käyttäjän laitteisiin. Kun käyttäjä asentaa ja aktivoi Defenderin, asiakassovellus välittää laitetunnisteet Microsoft Defender portaaliin. Laitetunnisteet näkyvät laiteluettelon laitteissa.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Järjestelmänvalvojat voivat määrittää laitetunnisteet seuraavien vaiheiden avulla.

Laitetunnisteiden määrittäminen MDM:n avulla

Rekisteröidyille laitteille (MDM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Hallittujen laitteidenlisääminen>.

2. Anna käytännölle nimi ja valitse sitten Käyttöympäristö>iOS/iPadOS.

3. Valitse Microsoft Defender for Endpoint kohdesovellukseksi.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua ja lisää DefenderDeviceTag avaimeksi. Määritä sen arvotyypiksi String.

   • Järjestelmänvalvoja voi määrittää uuden tunnisteen lisäämällä avaimen DefenderDeviceTag ja määrittämällä laitetunnisteelle arvon.
   • Järjestelmänvalvoja voi muokata aiemmin luotua tunnistetta muokkaamalla avaimen DefenderDeviceTagarvoa.
   • Järjestelmänvalvoja voi poistaa aiemmin luodun tunnisteen poistamalla avaimen DefenderDeviceTag.

5. Valitse Seuraava ja määritä sitten tämä käytäntö kohdennetuille laitteille tai käyttäjille.

Laitetunnisteiden määrittäminen mobiilisovellusten hallinnan avulla

Rullaamattomille laitteille (MAM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallittuja sovelluksia.

2. Anna käytännölle nimi.

3. Valitse kohdesovellukseksi Valitse julkiset sovellukset -kohdassa Microsoft Defender for Endpoint .

4. Lisää DefenderDeviceTagavaimeksi Asetukset-sivulla (Yleiset määritysasetukset -kohdassa).

   • Järjestelmänvalvoja voi määrittää uuden tunnisteen lisäämällä avaimen DefenderDeviceTag ja määrittämällä laitetunnisteen arvon.
   • Järjestelmänvalvoja voi muokata aiemmin luotua tunnistetta muokkaamalla avaimen DefenderDeviceTagarvoa.
   • Järjestelmänvalvoja voi poistaa aiemmin luodun tunnisteen poistamalla avaimen DefenderDeviceTag.

5. Valitse Seuraava ja määritä sitten tämä käytäntö kohdennetuille laitteille tai käyttäjille.

Huomautus

Microsoft Defender-sovellus on avattava, jotta tunnisteet voidaan synkronoida Intune kanssa ja välittää Microsoft Defender portaaliin. Tunnisteiden näkyminen portaalissa voi kestää jopa 18 tuntia.

Estä käyttöjärjestelmän päivitysilmoitukset

Asiakkaat voivat estää käyttöjärjestelmän päivitysilmoituksen iOS:n Defender for Endpointissa määritysten avulla. Kun määritysavain on määritetty Intune sovellusten määrityskäytännöissä, Defender for Endpoint ei lähetä laitteessa ilmoituksia käyttöjärjestelmäpäivityksistä. Kun avaat Microsoft Defender-sovelluksen, laitteen kunto -kortti näkyy ja näyttää käyttöjärjestelmäsi tilan.

Tämä määritys on käytettävissä sekä rekisteröidyissä (MDM) laitteissa että rekisteröimättömissä (MAM) laitteissa. Järjestelmänvalvojat voivat seuraavien vaiheiden avulla estää käyttöjärjestelmän päivitysilmoituksen.

Käyttöjärjestelmän päivitysilmoitusten määrittäminen MDM:n avulla

Rekisteröidyille laitteille (MDM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Hallittujen laitteidenlisääminen>.

2. Anna käytännölle nimi, valitse Käyttöympäristö>iOS/iPadOS.

3. Valitse Microsoft Defender for Endpoint kohdesovellukseksi.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua ja lisää SuppressOSUpdateNotification avaimeksi. Määritä sen arvotyypiksi String.

   • Oletusarvoisesti SuppressOSUpdateNotification = false.
   • Järjestelmänvalvoja voi estää SuppressOSUpdateNotification = true käyttöjärjestelmän päivitysilmoitukset.
   • Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Käyttöjärjestelmän päivitysilmoitusten määrittäminen mobiilisovellusten hallinnan avulla

Rullaamattomille laitteille (MAM)

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt>Lisää>hallitut sovellukset.

2. Anna käytännölle nimi.

3. Valitse kohdesovellukseksi Valitse julkiset sovellukset -kohdassa Microsoft Defender for Endpoint .

4. Lisää SuppressOSUpdateNotificationavaimeksi Asetukset-sivulla (Yleiset määritysasetukset -kohdassa).

   • Oletusarvoisesti SuppressOSUpdateNotification = false.
   • Järjestelmänvalvoja voi estää SuppressOSUpdateNotification = true käyttöjärjestelmän päivitysilmoitukset.

5. Valitse Seuraava ja määritä tämä käytäntö kohdennetuille laitteille/käyttäjille.

Määritä sovelluksensisaisen palautteen lähetysasetus

Asiakkaat voivat nyt määrittää mahdollisuuden lähettää palautetta Microsoftille Defender for Endpoint -sovelluksessa. Palautetietojen avulla Microsoft voi parantaa tuotteitaan ja tehdä ongelmien vianmäärityksen.

Huomautus

Yhdysvaltain valtionhallinnon pilviasiakkaiden palautetietojen kerääminen on oletusarvoisesti poistettu käytöstä.

Määritä palautetietojen Microsoftille lähettämisen asetus seuraavien vaiheiden avulla:

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Sovellusten>sovellusten määrityskäytännöt Hallittujen>laitteidenlisääminen>.

2. Anna käytännölle nimi ja valitse profiilityypiksi Käyttöympäristö > iOS/iPadOS .

3. Valitse Microsoft Defender for Endpoint kohdesovellukseksi.

4. Valitse Asetukset-sivullaKäytä määritysten suunnittelutyökalua , lisää DefenderFeedbackData avaimeksi ja määritä sen arvotyypiksi Boolean.

   • Jos haluat poistaa loppukäyttäjien mahdollisuuden antaa palautetta, määritä arvoksi false ja määritä tämä käytäntö käyttäjille. Oletusarvon mukaan tämän arvona trueon . Yhdysvaltain valtionhallinnon asiakkaille oletusarvoksi on määritetty epätosi.
   • Käyttäjille, joiden avain on määritetty -arvoksi true, on mahdollisuus lähettää palautetietoja Microsoftille sovelluksessa (valikon>ohje & Palaute>Lähetä palautetta Microsoftille).

5. Valitse Seuraava ja määritä tämä profiili kohdennetuille laitteille/käyttäjille.

Ilmoita turvattomista sivustoista

Tietojenkalastelusivustot tekeytyvät luotettaviksi sivustoiksi henkilökohtaisten tai taloudellisten tietojen hankkimiseksi. Siirry Verkon suojausta koskevan palautteen antaminen -sivulle ja ilmoita verkkosivusto, joka voi olla tietojenkalastelusivusto.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.