次の方法で共有


iOS 機能用 Microsoft Defender for Endpoint を構成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

注:

iOS 上の Defender for Endpoint は、Web Protection 機能を提供するために VPN を使用します。 これは通常の VPN ではなく、デバイスの外部でトラフィックを受け取らないローカル/セルフループ VPN です。

iOS 上の Defender for Endpoint を使用した条件付きアクセス

iOS 上の Microsoft Defender for Endpoint と Microsoft Intune および Microsoft Entra ID を使用すると、デバイス のリスク スコアに基づいてデバイス コンプライアンスと条件付きアクセス ポリシーを適用できます。 Defender for Endpoint は、Intune を介してこの機能を使用するために展開できるモバイル脅威防御 (MTD) ソリューションです。

iOS で Defender for Endpoint を使用して条件付きアクセスを設定する方法の詳細については、「 Defender for Endpoint and Intune」を参照してください。

Web 保護と VPN

既定では、iOS 上の Defender for Endpoint には 、Web の脅威からデバイスをセキュリティで保護し、フィッシング攻撃からユーザーを保護するのに役立つ Web 保護が含まれており、有効になります。 フィッシング対策とカスタム インジケーター (URL とドメイン) は、Web 保護の一環としてサポートされています。 IP ベースのカスタム インジケーターは現在、iOS ではサポートされていません。 Web コンテンツ フィルタリングは現在、モバイル プラットフォーム (Android および iOS) ではサポートされていません。

iOS 上の Defender for Endpoint では、この機能を提供するために VPN が使用されます。 VPN はローカルであり、従来の VPN とは異なり、ネットワーク トラフィックはデバイスの外部に送信されません。

既定では有効になっていますが、VPN を無効にする必要がある場合があります。 たとえば、VPN が構成されている場合に機能しないアプリをいくつか実行する必要があります。 このような場合は、次の手順に従って、デバイス上のアプリから VPN を無効にすることを選択できます。

  1. iOS デバイスで 、設定 アプリを開き、[ 全般 ] を選択し、[ VPN] を選択します。

  2. Microsoft Defender for Endpoint の [i ] ボタンを選択します。

  3. [ オンデマンド接続 ] をオフにして VPN を無効にします。

    VPN 構成の [オンデマンド接続] オプションのトグル ボタン

注:

VPN が無効になっている場合、Web 保護は使用できません。 Web 保護を再度有効にするには、デバイスで Microsoft Defender for Endpoint アプリを開き、[ VPN の開始] を選択します。

Web 保護を無効にする

Web 保護は Defender for Endpoint の主要な機能の 1 つであり、その機能を提供するには VPN が必要です。 使用される VPN はローカル/ループバック VPN であり、従来の VPN ではありません。ただし、お客様が VPN を好まない理由がいくつかあります。 VPN を設定しない場合は、Web 保護を無効にして、その機能なしで Defender for Endpoint を展開できます。 その他の Defender for Endpoint 機能は引き続き機能します。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 MDM をお持ちのお客様の場合、管理者は App Config でマネージド デバイスを介して Web 保護を構成できます。登録のないお客様の場合、MAM を使用して、管理者は App Config でマネージド アプリを使用して Web 保護を構成できます。

Web 保護を構成する

MDM を使用して Web 保護を無効にする

次の手順を使用して、登録済みデバイスの Web 保護を無効にします。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. iOS/iPadOS >プラットフォームという名前をポリシーに付けます。

  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する] を選択し、キーとして WebProtection を追加し、その値の種類を String に設定します。

    • 既定では、 WebProtection = true。 管理者は、Web 保護をオフにするには WebProtection = false を設定する必要があります。
    • Defender for Endpoint は、ユーザーがアプリを開くたびに、ハートビートを Microsoft Defender ポータルに送信します。
    • [ 次へ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

MAM を使用して Web 保護を無効にする

登録されていないデバイスの Web 保護を無効にするには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>追加>管理されたアプリ] に移動します。

  2. ポリシーに名前を付けます。

  3. [ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページの [ 全般構成設定] で、キーとして WebProtection を追加し、その値を false に設定します。

    • 既定では、 WebProtection = true。 管理者は、 WebProtection = false を設定して Web 保護をオフにすることができます。
    • Defender for Endpoint は、ユーザーがアプリを開くたびに、ハートビートを Microsoft Defender ポータルに送信します。
    • [ 次へ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

注:

WebProtection キーは、監視対象デバイスの一覧のコントロール フィルターには適用されません。 監視対象デバイスの Web 保護を無効にする場合は、コントロール フィルター プロファイルを削除できます。

ネットワーク保護を構成する

Microsoft Defender for endpoint のネットワーク保護は既定で無効になっています。 管理者は、次の手順を使用してネットワーク保護を構成できます。 この構成は、MDM 構成による登録済みデバイスと MAM 構成による登録解除されたデバイスの両方で使用できます。

注:

MDM または MAM を使用して、ネットワーク保護用に作成するポリシーは 1 つだけです。 ネットワーク保護の初期化では、エンド ユーザーがアプリを 1 回開く必要があります。

MDM を使用してネットワーク保護を構成する

登録済みデバイスの MDM 構成を使用してネットワーク保護を設定するには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[ アプリ>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーの名前と説明を指定します。 [ プラットフォーム] で、[ iOS/iPad] を選択します。

  3. 対象のアプリで、[ Microsoft Defender for Endpoint] を選択します。

  4. [ 設定] ページで、構成設定の形式 [ 構成デザイナーを使用する] を選択します。

  5. 構成キーとして DefenderNetworkProtectionEnable を追加します。 値の種類を Stringに設定し、ネットワーク保護を無効にするには、値を false に設定します。 (ネットワーク保護は既定で有効になっています)。

    mdm 構成ポリシーを示すスクリーンショット。

  6. ネットワーク保護に関連するその他の構成については、次のキーを追加し、対応する値の種類と値を選択します。

    キー 値の種類 既定値 (true-enable、false-disable) 説明
    DefenderOpenNetworkDetection 整数 2 1 - 監査、0 - 無効、2 - 有効 (既定値)。 この設定は、IT 管理者によって管理され、それぞれオープン ネットワーク検出を監査、無効化、または有効にします。 監査モードでは、エンド ユーザー エクスペリエンスのない Microsoft Defender ポータルにのみアラートが送信されます。 エンド ユーザー エクスペリエンスの場合は、 Enableに設定します。
    DefenderEndUserTrustFlowEnable String false true - enable、false - disable。この設定は、セキュリティで保護されていない疑わしいネットワークを信頼および信頼するために、エンド ユーザーのアプリ内エクスペリエンスを有効または無効にするために IT 管理者によって使用されます。
    DefenderNetworkProtectionAutoRemediation String true true - enable、false - disable。この設定は、IT 管理者が、ユーザーがより安全な WIFI アクセス ポイントへの切り替えなどの修復アクティビティを実行したときに送信される修復アラートを有効または無効にするために使用されます。
    DefenderNetworkProtectionPrivacy String true true - enable、false - disable。この設定は、ネットワーク保護でプライバシーを有効または無効にするために IT 管理者によって管理されます。 プライバシーが無効になっている場合は、悪意のある Wifi を共有することにユーザーの同意が表示されます。 プライバシーが有効になっている場合、ユーザーの同意は表示されません。アプリ データは収集されません。
  7. [ 割り当て] セクションで、管理者はポリシーに含めるユーザーのグループを選択し、ポリシーから除外できます。

  8. 構成ポリシーを確認して作成します。

MAM を使用してネットワーク保護を構成する

iOS デバイスでネットワーク保護のために登録解除されたデバイスの MAM 構成を設定するには、次の手順に従います (MAM 構成には認証デバイスの登録が必要です)。

  1. Microsoft Intune 管理センターで、[ Apps>App configuration policies>Add>Managed apps>新しいアプリ構成ポリシーを作成します。

    構成ポリシーを追加します。

  2. ポリシーを一意に識別するための名前と説明を指定します。 次に、[ パブリック アプリの選択] を選択し、[ Microsoft Defender for Platform iOS/iPadOS] を選択します。

    構成に名前を付けます。

  3. [ 設定] ページで、 DefenderNetworkProtectionEnable をキーとして追加し、値を false として追加して、ネットワーク保護を無効にします。 (ネットワーク保護は既定で有効になっています)。

    構成値を追加します。

  4. ネットワーク保護に関連するその他の構成については、次のキーと適切な対応する値を追加します。

    キー 既定値 (true - 有効、false - 無効) 説明
    DefenderOpenNetworkDetection 2 1 - 監査、0 - 無効、2 - 有効 (既定値)。 この設定は、開いているネットワーク検出を有効、監査、または無効にするために、IT 管理者によって管理されます。 監査モードでは、ユーザー側エクスペリエンスのない ATP ポータルにのみアラートが送信されます。 ユーザー エクスペリエンスの場合は、構成を "Enable" モードに設定します。
    DefenderEndUserTrustFlowEnable false true - enable、false - disable。この設定は、セキュリティで保護されていない疑わしいネットワークを信頼および信頼するために、エンド ユーザーのアプリ内エクスペリエンスを有効または無効にするために IT 管理者によって使用されます。
    DefenderNetworkProtectionAutoRemediation true true - enable、false - disable。この設定は、IT 管理者が、ユーザーがより安全な WIFI アクセス ポイントへの切り替えなどの修復アクティビティを実行したときに送信される修復アラートを有効または無効にするために使用されます。
    DefenderNetworkProtectionPrivacy true true - enable、false - disable。この設定は、ネットワーク保護でプライバシーを有効または無効にするために IT 管理者によって管理されます。 プライバシーが無効になっている場合は、悪意のある Wifi を共有することにユーザーの同意が表示されます。 プライバシーが有効になっている場合、ユーザーの同意は表示されません。アプリ データは収集されません。
  5. [ 割り当て] セクションで、管理者はポリシーに含めるユーザーのグループを選択し、ポリシーから除外できます。

    構成を割り当てます。

  6. 構成ポリシーを確認して作成します。

複数の VPN プロファイルの共存

Apple iOS では、複数のデバイス全体の VPN を同時にアクティブにすることはできません。 デバイスには複数の VPN プロファイルを存在させることができますが、一度にアクティブにできる VPN は 1 つだけです。

アプリ保護ポリシー (MAM) で Microsoft Defender for Endpoint リスク シグナルを構成する

iOS 上の Microsoft Defender for Endpoint では、アプリ保護ポリシー シナリオが有効になります。 エンド ユーザーは、最新バージョンのアプリを Apple アプリ ストアから直接インストールできます。 デバイスが、MAM 登録を成功させるために Defender でオンボードするために使用されているのと同じアカウントで Authenticator に登録されていることを確認します。

Microsoft Defender for Endpoint は、iOS/iPadOS の App Protection ポリシー (APP、MAM とも呼ばれます) で使用される脅威シグナルを送信するように構成できます。 この機能を使用すると、Microsoft Defender for Endpoint を使用して、登録されていないデバイスから企業データへのアクセスを保護することもできます。

次のリンクの手順に従って、Microsoft Defender for Endpoint でアプリ保護ポリシーを設定する アプリ保護ポリシー (MAM) で Defender リスク シグナルを構成する

MAM またはアプリ保護ポリシーの詳細については、「 iOS アプリ保護ポリシーの設定」を参照してください。

プライバシー制御

iOS 上の Microsoft Defender for Endpoint を使用すると、管理者とエンド ユーザーの両方のプライバシー制御が可能になります。 これには、登録済み (MDM) デバイスと登録解除 (MAM) デバイスのコントロールが含まれます。

MDM を使用している場合、管理者はアプリ構成で マネージド デバイス を使用してプライバシー制御を構成できます。登録なしで MAM を使用している場合、管理者はアプリ構成で マネージド アプリ を使用してプライバシー制御を構成できます。エンド ユーザーは、Microsoft Defender アプリ設定でプライバシー設定を構成することもできます。

フィッシング アラート レポートでプライバシーを構成する

お客様は、iOS 上の Microsoft Defender for Endpoint から送信されたフィッシング レポートのプライバシー制御を有効にして、フィッシング Web サイトが Microsoft Defender for Endpoint によって検出およびブロックされるたびに、ドメイン名がフィッシング アラートの一部として含まれないようにできるようになりました。

MDM でプライバシー制御を構成する

次の手順を使用して、プライバシーを有効にし、登録済みデバイスのフィッシング アラート レポートの一部としてドメイン名を収集しません。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、[ プラットフォーム > iOS/iPadOS] でプロファイルの種類を選択します。

  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーとして DefenderExcludeURLInReport を追加し、その値の種類を ブール値に設定します。

    • プライバシーを有効にしてドメイン名を収集しないようにするには、 true として値を入力し、このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
    • キーが trueに設定されているユーザーの場合、Defender for Endpoint によって悪意のあるサイトが検出されてブロックされるたびに、フィッシング アラートにドメイン名情報は含まれません。
  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

MAM でプライバシー制御を構成する

次の手順を使用して、プライバシーを有効にし、登録されていないデバイスのフィッシング アラート レポートの一部としてドメイン名を収集しません。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>追加>管理されたアプリ] に移動します。

  2. ポリシーに名前を付けます。

  3. [ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページの [ 全般構成設定] で、キーとして DefenderExcludeURLInReport を追加し、その値を trueとして設定します。

    • プライバシーを有効にしてドメイン名を収集しないようにするには、 true として値を入力し、このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
    • キーが trueに設定されているユーザーの場合、Defender for Endpoint によって悪意のあるサイトが検出されてブロックされるたびに、フィッシング アラートにドメイン名情報は含まれません。
  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

Microsoft Defender アプリでエンド ユーザーのプライバシー制御を構成する

これらのコントロールは、エンド ユーザーが組織と共有する情報を構成するのに役立ちます。

監視対象デバイスの場合、エンド ユーザー コントロールは表示されません。 管理者が設定を決定し、制御します。 ただし、教師なしデバイスの場合、コントロールは [設定] > [プライバシー] の下に表示されます。

[ 安全でないサイト情報] のトグルがユーザーに表示されます。 このトグルは、管理者が DefenderExcludeURLInReport = trueを設定している場合にのみ表示されます。

管理者が有効にした場合、ユーザーは安全でないサイト情報を組織に送信するかどうかを指定できます。 既定では、 falseに設定されています。これは、安全でないサイト情報が送信されていないことを意味します。 ユーザーが trueに切り替える場合、安全でないサイトの詳細が送信されます。

プライバシーコントロールをオンまたはオフにしても、デバイスコンプライアンスチェックや条件付きアクセスには影響しません。

注:

構成プロファイルを持つ監視対象デバイスでは、Microsoft Defender for Endpoint は URL 全体にアクセスでき、フィッシングであることが判明した場合はブロックされます。 教師なしデバイスでは、Microsoft Defender for Endpoint はドメイン名にのみアクセスでき、ドメインがフィッシング URL でない場合はブロックされません。

オプションのアクセス許可

iOS 上の Microsoft Defender for Endpoint では、オンボード フローでオプションのアクセス許可が有効になります。 現在、Defender for Endpoint に必要なアクセス許可は、オンボード フローで必須です。 この機能を使用すると、管理者はオンボード中に必須の VPN アクセス許可を適用することなく、BYOD デバイスに Defender for Endpoint を展開できます。 エンド ユーザーは、必須のアクセス許可なしでアプリをオンボードでき、後でこれらのアクセス許可を確認できます。 この機能は現在、登録済みデバイス (MDM) にのみ存在します。

MDM を使用してオプションのアクセス許可を構成する

管理者は、次の手順を使用して、登録済みデバイスのオプションの VPN アクセス許可を有効にすることができます。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、[ プラットフォーム > iOS/iPadOS] を選択します。

  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーとして DefenderOptionalVPN を追加し、その値の種類を Booleanとして設定します。

    • オプションの VPN アクセス許可を有効にするには、 true として値を入力し、このポリシーをユーザーに割り当てます。 既定では、この値は false に設定されます。
    • キーが trueに設定されているユーザーの場合、ユーザーは VPN アクセス許可を付与せずにアプリをオンボードできます。
  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

オプションのアクセス許可をエンド ユーザーとして構成する

エンド ユーザーが Microsoft Defender アプリをインストールして開き、オンボードを開始します。

  • 管理者がオプションのアクセス許可を設定している場合、ユーザーは VPN アクセス許可をスキップしてオンボードを完了できます。
  • ユーザーが VPN をスキップした場合でも、デバイスはオンボードでき、ハートビートが送信されます。
  • VPN が無効になっている場合、Web 保護はアクティブではありません。
  • その後、ユーザーはアプリ内から Web 保護を有効にして、デバイスに VPN 構成をインストールできます。

注:

オプションのアクセス許可は、Web 保護の無効化とは異なります。 オプションの VPN アクセス許可は、オンボード中にのみアクセス許可をスキップするのに役立ちますが、エンド ユーザーが後で確認して有効にすることができます。 Web Protection を無効にすると、ユーザーは Web Protection なしで Defender for Endpoint アプリをオンボードできます。 後で有効にすることはできません。

脱獄検出

Microsoft Defender for Endpoint には、脱獄されているアンマネージド デバイスとマネージド デバイスを検出する機能があります。 これらの脱獄チェックは定期的に行われます。 デバイスが脱獄として検出された場合、次のイベントが発生します。

  • リスクの高いアラートが Microsoft Defender ポータルに報告されます。 デバイスのコンプライアンスと条件付きアクセスがデバイス リスク スコアに基づいて設定されている場合、デバイスは企業データへのアクセスをブロックされます。
  • アプリ上のユーザー データがクリアされます。 脱獄後にユーザーがアプリを開くと、VPN プロファイル (Defender for Endpoint ループバック VPN プロファイルのみ) も削除され、Web 保護は提供されません。 Intune によって配信される VPN プロファイルは削除されません。

脱獄されたデバイスに対してコンプライアンス ポリシーを構成する

脱獄された iOS デバイスで企業データがアクセスされないようにするには、Intune で次のコンプライアンス ポリシーを設定することをお勧めします。

注:

脱獄検出は、iOS 上の Microsoft Defender for Endpoint によって提供される機能です。 ただし、脱獄シナリオに対する追加の防御レイヤーとして、このポリシーを設定することをお勧めします。

脱獄されたデバイスに対するコンプライアンス ポリシーを作成するには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[デバイス>コンプライアンス ポリシー>ポリシーの作成] に移動します。 プラットフォームとして [iOS/iPadOS] を選択し、[ 作成] を選択します。

    [ポリシーの作成] タブ

  2. 脱獄のコンプライアンス ポリシーなど、 ポリシーの名前を指定します。

  3. [コンプライアンス設定] ページで、[デバイスの正常性] セクションを展開し、[脱獄されたデバイス] フィールドで [Block] を選択します。

    [コンプライアンス設定] タブ

  4. [ 非準拠のアクション] セクションで、要件に従ってアクションを選択し、[ 次へ] を選択します。

    [非準拠のアクション] タブ

  5. [ 割り当て] セクションで、このポリシーに含めるユーザー グループを選択し、[ 次へ] を選択します。

  6. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

カスタム インジケーターを構成する

iOS 上の Defender for Endpoint を使用すると、管理者は iOS デバイスでもカスタム インジケーターを構成できます。 カスタム インジケーターを構成する方法の詳細については、「インジケーターの 管理」を参照してください。

注:

iOS 上の Defender for Endpoint では、URL とドメインに対してのみカスタム インジケーターを作成できます。 IP ベースのカスタム インジケーターは、iOS ではサポートされていません。

iOS の場合、インジケーターに設定された URL またはドメインにアクセスすると、Microsoft Defender XDR でアラートは生成されません。

アプリの脆弱性評価を構成する

サイバー リスクを軽減するには、最も重要な資産全体のすべての最大の脆弱性を 1 つのソリューションで特定し、評価し、修復し、追跡するための包括的なリスクベースの脆弱性管理が必要です。 Microsoft Defender for Endpoint での Microsoft Defender 脆弱性管理の詳細については、この ページ を参照してください。

iOS 上の Defender for Endpoint では、OS とアプリの脆弱性評価がサポートされています。 iOS バージョンの脆弱性評価は、登録済み (MDM) デバイスと登録されていない (MAM) デバイスの両方で使用できます。 アプリの脆弱性評価は、登録済み (MDM) デバイスに対してのみ行われます。 管理者は、次の手順を使用して、アプリの脆弱性評価を構成できます。

監視対象デバイス上

  1. デバイスが 監視モードで構成されていることを確認します。

  2. Microsoft Intune 管理センターでこの機能を有効にするには、[エンドポイント セキュリティ>Microsoft Defender for Endpoint>iOS/iPadOS デバイスのアプリ同期を有効にする] に移動します。

    アプリ同期トグルSup

注:

管理されていないアプリを含むすべてのアプリの一覧を取得するには、管理者は、"個人用" としてマークされた監視対象デバイスに対して、Intune 管理ポータルで [個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信 する] 設定を有効にする必要があります。 Intune 管理ポータルで "企業" としてマークされている監視対象デバイスの場合、管理者は 個人所有の iOS/iPadOS デバイスでアプリケーション インベントリ データ全体を送信するを有効にする必要はありません。

教師なしデバイス上

  1. Microsoft Intune 管理センターでこの機能を有効にするには、[エンドポイント セキュリティ>Microsoft Defender for Endpoint>iOS/iPadOS デバイスのアプリ同期を有効にする] に移動します。

    アプリ同期トグル

  2. アンマネージド アプリを含むすべてのアプリの一覧を取得するには、[ 個人所有の iOS/iPadOS デバイスでアプリケーション インベントリ データ全体を送信する] トグルを有効にします。

    完全なアプリ データ

  3. プライバシー設定を構成するには、次の手順に従います。

    1. [アプリ>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

    2. ポリシーに Platform>iOS/iPadOS という名前を付けます。

    3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

    4. [ 設定] ページで、[構成デザイナーを使用する] を選択し、キーとして DefenderTVMPrivacyMode を追加します。 値の種類を Stringとして設定します。

      • プライバシーを無効にし、インストールされているアプリの一覧を収集するには、 Falseとして値を指定し、このポリシーをユーザーに割り当てます。
      • 既定では、この値は教師なしデバイスの True に設定されます。
      • キーが Falseとして設定されているユーザーの場合、Defender for Endpoint は脆弱性評価のためにデバイスにインストールされているアプリの一覧を送信します。
    5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

    6. プライバシーコントロールをオンまたはオフにしても、デバイスコンプライアンスチェックや条件付きアクセスには影響しません。

  4. 構成が適用されたら、エンド ユーザーがアプリを開いてプライバシー設定を承認する必要があります。

    • [プライバシーの承認] 画面は、教師なしデバイスに対してのみ表示されます。
    • エンド ユーザーがプライバシーを承認した場合にのみ、アプリ情報が Defender for Endpoint コンソールに送信されます。

    エンド ユーザーのプライバシー画面のスクリーンショット。

クライアント バージョンがターゲット iOS デバイスにデプロイされると、処理が開始されます。 これらのデバイスで見つかった脆弱性は、Defender 脆弱性管理ダッシュボードに表示され始めます。 処理が完了するまでに数時間 (最大 24 時間) かかる場合があります。 この期間は、アプリの一覧全体がソフトウェア インベントリに表示される場合に特に当てはまります。

注:

iOS デバイス内で SSL 検査ソリューションを使用している場合は、脅威と脆弱性管理機能を機能させるためにドメイン名 securitycenter.windows.com (商用環境) と securitycenter.windows.us (GCC 環境) を追加します。

サインアウトを無効にする

iOS 上の Defender for Endpoint では、ユーザーが Defender アプリからサインアウトできないように、アプリのサインアウト ボタンのないデプロイがサポートされています。 これは、ユーザーがデバイスを改ざんするのを防ぐために重要です。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用して、[サインアウトを無効にする] を構成できます

MDM を使用してサインアウトを無効にするを構成する

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、[ プラットフォーム>iOS/iPadOS] を選択します。

  3. ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する] を選択し、キーとして DisableSignOut を追加します。 値の種類を Stringとして設定します。

    • 既定では、 DisableSignOut = false
    • 管理者は DisableSignOut = true を設定して、アプリのサインアウト ボタンを無効にすることができます。 ポリシーがプッシュされると、サインアウト ボタンは表示されません。
  5. [ 次へ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

MAM を使用してサインアウトを無効にするを構成する

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>アプリ構成ポリシー>追加>管理されたアプリ] に移動します。

  2. ポリシーに名前を付けます。

  3. [ パブリック アプリの選択] で、ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、キーとして DisableSignOut を追加し、その値を true として設定します。

    • 既定では、 DisableSignOut = false
    • 管理者は DisableSignOut = true を設定して、アプリのサインアウト ボタンを無効にすることができます。 ポリシーがプッシュされると、サインアウト ボタンは表示されません。
  5. [ 次へ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

デバイスのタグ付け

iOS 上の Defender for Endpoint を使用すると、管理者が Intune を介してタグを設定できるようにすることで、オンボード中にモバイル デバイスに一括タグを付けられます。 管理者は、構成ポリシーを使用して Intune を介してデバイス タグを構成し、ユーザーのデバイスにプッシュできます。 ユーザーが Defender をインストールしてアクティブ化すると、クライアント アプリはデバイス タグを Microsoft Defender ポータルに渡します。 デバイス インベントリ内のデバイスに対してデバイス タグが表示されます。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用してデバイス タグを構成できます。

MDM を使用してデバイス タグを構成する

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、[ プラットフォーム>iOS/iPadOS] を選択します。

  3. ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する] を選択し、キーとして DefenderDeviceTag を追加します。 値の種類を Stringとして設定します。

    • 管理者は、キー DefenderDeviceTag を追加し、デバイス タグの値を設定することで、新しいタグを割り当てることができます。
    • 管理者は、キー DefenderDeviceTagの値を変更することで、既存のタグを編集できます。
    • 管理者は、キー DefenderDeviceTagを削除することで、既存のタグを削除できます。
  5. [ 次へ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

MAM を使用してデバイス タグを構成する

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>アプリ構成ポリシー>追加>管理されたアプリ] に移動します。

  2. ポリシーに名前を付けます。

  3. [ パブリック アプリの選択] で、ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、キーとして DefenderDeviceTag を追加します ([ 全般構成設定] の下)。

    • 管理者は、キー DefenderDeviceTag を追加し、デバイス タグの値を設定することで、新しいタグを割り当てることができます。
    • 管理者は、キー DefenderDeviceTagの値を変更することで、既存のタグを編集できます。
    • 管理者は、キー DefenderDeviceTagを削除することで、既存のタグを削除できます。
  5. [ 次へ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

注:

タグを Intune と同期し、Microsoft Defender ポータルに渡すには、Microsoft Defender アプリを開く必要があります。 ポータルにタグが反映されるまでに最大で 18 時間かかる場合があります。

OS の更新通知を抑制する

お客様は、iOS 上の Defender for Endpoint で OS 更新通知を抑制するための構成を使用できます。 Intune アプリ構成ポリシーで構成キーが設定されると、Defender for Endpoint は OS の更新に関する通知をデバイスに送信しません。 ただし、Microsoft Defender アプリを開くと、デバイス正常性カードが表示され、OS の状態が表示されます。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用して、OS 更新通知を抑制できます。

MDM を使用して OS 更新通知を構成する

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>App 構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、[ プラットフォーム>iOS/iPadOS] を選択します。

  3. ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する] を選択し、キーとして SuppressOSUpdateNotification を追加します。 値の種類を Stringとして設定します。

    • 既定では、 SuppressOSUpdateNotification = false
    • 管理者は、OS 更新通知を抑制するように SuppressOSUpdateNotification = true を設定できます。
    • [ 次へ ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

MAM を使用して OS 更新通知を構成する

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[ アプリ>アプリ構成ポリシー>追加>管理されたアプリ] に移動します。

  2. ポリシーに名前を付けます。

  3. [ パブリック アプリの選択] で、ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、キーとして SuppressOSUpdateNotification を追加します ([ 全般構成設定] の下)。

    • 既定では、 SuppressOSUpdateNotification = false
    • 管理者は、OS 更新通知を抑制するように SuppressOSUpdateNotification = true を設定できます。
  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのポリシーを割り当てます。

アプリ内フィードバックを送信するオプションを構成する

お客様は、Defender for Endpoint アプリ内で Microsoft にフィードバック データを送信する機能を構成できるようになりました。 フィードバック データは、Microsoft が製品を改善し、問題のトラブルシューティングを行うのに役立ちます。

注:

米国政府機関クラウドのお客様の場合、フィードバック データ収集は既定で無効になっています。

次の手順を使用して、フィードバック データを Microsoft に送信するオプションを構成します。

  1. Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[追加>管理されたデバイス] に移動します。

  2. ポリシーに名前を付け、プロファイルの種類として [プラットフォーム > iOS/iPadOS ] を選択します。

  3. ターゲット アプリとして [ Microsoft Defender for Endpoint ] を選択します。

  4. [ 設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーとして DefenderFeedbackData を追加し、その値の種類を Booleanとして設定します。

    • エンド ユーザーがフィードバックを提供する機能を削除するには、値を false として設定し、このポリシーをユーザーに割り当てます。 既定では、この値は true に設定されます。 米国政府機関のお客様の場合、既定値は 'false' に設定されます。
    • キーがtrueに設定されているユーザーの場合、アプリ内でフィードバック データを Microsoft に送信するオプションがあります (メニュー>Help & Feedback>Microsoft にフィードバックを送信します)。
  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

安全でないサイトを報告する

フィッシング詐欺の Web サイトは、お客様の個人情報または財務情報を取得する目的で信頼できる Web サイトを偽装します。 フィッシング サイトである可能性がある Web サイトを報告するには、 ネットワーク保護に関するフィードバックの提供に関 するページを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。