使用 Intune 添加和分配移动威胁防御 (MTD) 应用
可以使用 Intune 添加和部署 Mobile Threat Defense (MTD) 应用,以便最终用户可以在其移动设备中确定某个威胁时接收通知,并接收指导来解除威胁。
注意
本文适用于所有移动威胁防御合作伙伴。
准备工作
在 Intune 中完成以下步骤。 请务必熟悉以下过程:
提示
Intune 公司门户充当 Android 设备上的中转站,因此用户可以Microsoft Entra检查其标识。
配置适用于 iOS 的 Microsoft Authenticator
对于 iOS 设备,需要 Microsoft Authenticator,以便用户可以Microsoft Entra ID检查其标识。 此外,需要 iOS 应用配置策略,用于设置要与 Intune 配合使用的 MTD iOS 应用。
请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 当配置“应用信息”时,使用此 Microsoft Authenticator 应用商店 URL。
为 MTD 应用配置应用配置策略
为了简化用户加入,MDM 受管理设备上的移动威胁防御应用使用应用配置。 对于未注册的设备,基于 MDM 的应用配置不可用。 将移动威胁防御应用添加到未注册的设备。
BlackBerry 保护配置策略
请参阅有关使用适用于 iOS 的 Microsoft Intune 应用程序配置策略以添加 BlackBerry Protect iOS 应用程序配置策略的说明。
Better Mobile 应用配置策略
请参阅将 Microsoft Intune 应用配置策略用于 iOS,查看相关操作说明,添加 Better Mobile iOS 应用配置策略。
对于“配置设置格式”,选择“输入 XML 数据”,复制以下内容并将其粘贴到配置策略正文。 使用相应的控制台 URL 替换
https://client.bmobi.net
URL。<dict> <key>better_server_url</key> <string>https://client.bmobi.net</string> <key>better_udid</key> <string>{{aaddeviceid}}</string> <key>better_user</key> <string>{{userprincipalname}}</string> </dict>
Check Point Harmony Mobile 应用配置策略
请参阅将 Microsoft Intune 应用配置策略用于 iOS,查看相关操作说明,以添加 Check Point Harmony Mobile iOS 应用配置策略。
对于“配置设置格式”,选择“输入 XML 数据”,复制以下内容并将其粘贴到配置策略正文。
<dict><key>MDM</key><string>INTUNE</string></dict>
CrowdStrike Falcon for Mobile 应用配置策略
若要为 CrowdStrike Falcon 配置 Android Enterprise 和 iOS 应用配置策略,请参阅 CrowdStrike 文档中的将 Falcon for Mobile 与用于修正操作Microsoft Intune集成。 必须先使用 CrowdStrike 凭据登录,然后才能访问此内容。
有关Intune应用配置策略的一般指导,请参阅Intune文档中的以下文章:
Jamf 信任应用配置策略
注意
对于初始测试,请在配置策略的“分配”部分中分配用户和设备时使用测试组。
Android Enterprise:
请参阅有关使用适用于 Android 的应用配置策略Microsoft Intune的说明,以便在出现提示时使用以下信息添加 Jamf Android 应用配置策略。- 在 Jamf 门户中,选择“配置设置格式”下的“添加”按钮。
- 从“配置键”列表中选择“激活配置文件 URL”。 选择“确定”。
- 对于“激活配置文件 URL”,从“值类型”菜单中选择“字符串”,然后在 RADAR 中复制所需激活配置文件中的“可共享链接 URL”。
- 在Intune管理中心应用配置 UI 中,选择“设置”,定义配置设置格式>“使用配置Designer并粘贴可共享链接 URL。
注意
与 iOS 不同,你需要为每个激活配置文件定义唯一的 Android Enterprise 应用配置策略。 如果不需要多个激活配置文件,则可以对所有目标设备使用单个 Android 应用配置。 在 Jamf 中创建激活配置文件时,请务必在“关联的用户”配置下选择Microsoft Entra ID,以确保 Jamf 能够通过 UEM Connect 将设备与Intune同步。
iOS:
出现提示时,请参阅有关使用适用于 iOS Microsoft Intune应用配置策略的说明,以使用以下信息添加 Jamf iOS 应用配置策略。- 在 Jamf 门户中,导航到 “设备 > 激活 ”,然后选择任何激活配置文件。 选择“部署策略>托管设备>”Microsoft Intune并找到 iOS 应用程序配置设置。
- 展开框以显示 iOS 应用配置 XML,然后将它复制到系统剪贴板。
- 在Intune管理中心应用配置 UI 设置中,定义配置设置格式>输入 XML 数据。
- 将 XML 粘贴到“应用配置”文本框中。
注意
单个 iOS 配置策略可用于要通过 Jamf 预配的所有设备。
Lookout for Work 应用配置策略
按照使用 iOS 应用配置策略一文中所述的步骤,创建 iOS 应用配置策略。
Pradeo 应用配置策略
Pradeo 在 iOS/iPadOS 上不支持应用程序配置策略。 相反,若要获取已配置的应用,请与 Pradeo 合作以实现已预先配置了所需设置的自定义 IPA 或 APK 文件。
SentinelOne 应用配置策略
Android Enterprise:
请参阅使用适用于 Android 的 Microsoft Intune 应用配置策略添加 SentinelOne Android 应用配置策略的说明。
对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
iOS:
请参阅使用适用于 iOS 的应用配置策略Microsoft Intune添加 SentinelOne iOS 应用配置策略的说明。
对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
配置密钥 值类型 配置值 MDMDeviceID string {{AzureADDeviceId}}
tenantId string 从 SentinelOne 控制台中的管理控制台“管理”页复制值 defaultchannel string 从 SentinelOne 控制台中的管理控制台“管理”页复制值
SEP 移动应用配置策略
使用以前在 Symantec Endpoint Protection 管理控制台中配置的同一Microsoft Entra帐户,该帐户应与用于登录Intune的帐户相同。
下载 iOS 应用配置策略文件:
转到 Symantec Endpoint Protection 管理控制台并使用管理员凭据登录。
转到“设置”,然后在“集成”下选择 Intune。 选择“EMM 集成选择”。 选择 Microsoft,然后保存你的选择。
选择 “集成安装程序文件” 链接并保存生成的 *.zip 文件。 .zip 文件包含用于在 Intune 中创建 iOS 应用配置策略的 *.plist 文件。
请参阅将 Microsoft Intune 应用配置策略用于 iOS,查看相关操作说明,添加 SEP Mobile iOS 应用配置策略。
- 对于“配置设置格式”,选择“输入 XML 数据”,复制 *.plist 文件中的内容并将其粘贴到配置策略正文。
注意
如果无法检索文件,请联系 Symantec Endpoint Protection Mobile 企业支持部门。
Sophos Mobile 应用配置策略
按照使用 iOS 应用配置策略一文中所述的步骤,创建 iOS 应用配置策略。 有关其他信息,请参阅 Sophos 知识库中的 iOS 版 Sophos Intercept X for Mobile - 可用托管设置。
Trellix Mobile Security 应用配置策略
Android Enterprise:
请参阅使用适用于 Android Microsoft Intune 应用配置策略的说明,添加 Trellix Mobile Security Android 应用配置策略。对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
配置密钥 值类型 配置值 MDMDeviceID string {{AzureADDeviceId}}
tenantId string 从 Trellix 控制台中的管理控制台“管理”页复制值 defaultchannel string 从 Trellix 控制台中的管理控制台“管理”页复制值 iOS:
请参阅使用适用于 iOS 的应用配置策略Microsoft Intune添加 Trellix Mobile Security iOS 应用配置策略的说明。对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
配置密钥 值类型 配置值 MDMDeviceID string {{AzureADDeviceId}}
tenantId string 从 Trellix 控制台中的管理控制台“管理”页复制值 defaultchannel string 从 Trellix 控制台中的管理控制台“管理”页复制值
Trend Micro Mobile Security 即服务应用配置策略
请参阅使用适用于 iOS Microsoft Intune应用配置策略的说明,以添加 Trend Micro Mobile Security 即服务应用配置策略。
Zimperium 应用配置策略
Android Enterprise:
请参阅将 Microsoft Intune 应用配置策略用于 Android,查看相关操作说明,添加 Zimperium Android 应用配置策略。对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
配置密钥 值类型 配置值 MDMDeviceID string {{AzureADDeviceId}}
tenantId string 在 Zimperium 控制台中复制管理控制台的“管理”页中的值 defaultchannel string 在 Zimperium 控制台中复制管理控制台的“管理”页中的值 iOS:
请参阅将 Microsoft Intune 应用配置策略用于 iOS,查看相关操作说明,添加 Zimperium iOS 应用配置策略。对于配置设置格式,选择“使用配置设计器”,然后添加以下设置:
配置密钥 值类型 配置值 MDMDeviceID string {{AzureADDeviceId}}
tenantId string 在 Zimperium 控制台中复制管理控制台的“管理”页中的值 defaultchannel string 在 Zimperium 控制台中复制管理控制台的“管理”页中的值
通过 Intune 将移动威胁防御应用分配给最终用户
若要在最终用户设备上安装移动威胁防御应用,可以按照以下部分详述的步骤操作。 请务必熟悉以下过程:
请选择与你的 MTD 提供程序对应的部分:
- Better Mobile
- Check Point Harmony 移动保护
- CrowdStrike Falcon for Mobile
- Jamf
- Lookout for Work
- Pradeo
- SentinelOne
- Sophos Mobile
- Symantec Endpoint Protection Mobile (SEP Mobile)
- Trellix Mobile Security
- Zimperium
分配 Better Mobile
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 ActiveShield 应用商店 URL 用于“应用商店 URL”。
分配 Check Point Harmony 移动保护
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Check Point Harmony Mobile 应用商店 URL 用于“应用商店 URL”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Check Point Harmony Mobile 应用商店 URL 用于“应用商店 URL”。
为 Mobile 分配 CrowdStrike Falcon
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。
- 将应用商店中的 CrowdStrike Falcon 的 URL 用于 应用商店 URL。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。
- 将应用商店中的 CrowdStrike Falcon 的 URL 用于 应用商店 URL。
分配 Jamf
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Jamf 移动应用应用商店 URL 用于 应用商店 URL。 对于 “最低操作系统”,请选择“ Android 11”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Jamf 移动应用应用商店 URL 用于 应用商店 URL。
分配 Lookout for Work
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Lookout for Work Google 应用商店 URL 用于“应用商店 URL”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Lookout for Work iOS 应用商店 URL 用于“应用商店 URL”。
Apple 商店外的 Lookout for Work 应用:
必须重新签署 Lookout for Work iOS 应用。 Lookout 会在 iOS 应用商店之外分发其 Lookout for Work iOS 应用。 分发应用之前,必须使用 iOS 企业开发者证书对应用重新签名。 有关此过程的详细说明,请联系 Lookout for Work。
为 Lookout for Work iOS 应用用户启用Microsoft Entra身份验证。
转到 Azure 门户,使用自己的凭据登录,然后导航到应用程序页。
添加Lookout for Work iOS 应用作为本机客户端应用程序。
使用对 IPA 签名时选择的客户捆绑 ID 替换 com.lookout.enterprise.yourcompanyname。
添加另一个重定向 URI: <companyportal://code/> 后跟原始重定向 URI 的 URL 编码版本。
将委托的权限添加到应用。
注意
有关更多详细信息,请参阅配置App 服务或Azure Functions应用以使用Microsoft Entra登录。
添加 Lookout for Work ipa 文件。
- 按照文章使用 Intune 添加 iOS LOB 应用中所述,上传重新签名的 .ipa 文件。 还需将最低操作系统版本设为 iOS 8.0 或更高版本。
分配 Pradeo
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Pradeo 应用商店 URL 用于“应用商店 URL”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Pradeo 应用商店 URL 用于“应用商店 URL”。
分配 SentinelOne
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 SentinalOne 应用商店 URL 用于 应用商店 URL。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 SentinalOne 应用商店 URL 用于 应用商店 URL。
分配 Sophos
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Sophos 应用商店 URL 用于“应用商店 URL”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 ActiveShield 应用商店 URL 用于“应用商店 URL”。
分配 Symantec Endpoint Protection Mobile
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 SEP Mobile 应用商店 URL 用于“应用商店 URL”。 对于“最低操作系统”,请选择“Android 4.0(代号“冰淇淋三明治)”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 SEP Mobile 应用商店 URL 用于“应用商店 URL”。
分配 Trellix Mobile Security
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Trellix Mobile Security 应用商店 URL 用于 应用商店 URL。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Trellix Mobile Security 应用商店 URL 用于 应用商店 URL。
分配 Zimperium
Android:
- 请参阅将 Android 应用商店应用添加到 Microsoft Intune,查看相关操作说明。 将此 Zimperium 应用商店 URL 用于“应用商店 URL”。
iOS:
- 请参阅将 iOS 应用商店应用添加到 Microsoft Intune,查看相关说明。 将此 Zimperium 应用商店 URL 用于“应用商店 URL”。