設定 iOS 上適用於端點的 Microsoft Defender 功能
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
適用於 iOS 上的適用於端點的 Defender 會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN,而且是本機/自我循環 VPN,不會將流量帶出裝置。
在 iOS 上使用適用於端點的 Defender 的條件式存取
在 iOS 上 適用於端點的 Microsoft Defender 以及 Microsoft Intune 和 Microsoft Entra ID 可根據裝置風險分數強制執行裝置合規性和條件式存取原則。 適用於端點的 Defender 是 Mobile Threat Defense (MTD) 解決方案,您可以透過 Intune 部署以使用此功能。
如需如何在 iOS 上使用適用於端點的 Defender 設定條件式存取的詳細資訊,請參閱適用於端點和 Intune 的 Defender。
Web 保護和 VPN
根據預設,iOS 上適用於端點的 Defender 包含並啟用 Web 保護,這有助於保護裝置免於遭受 Web 威脅,並保護使用者免於遭受網路釣魚攻擊。 Web 保護支援 URL 和網域) (防網路釣魚和自定義指標。 iOS 目前不支援以IP為基礎的自訂指標。 Android 和 iOS) (行動平臺目前不支援 Web 內容篩選。
iOS 上適用於端點的 Defender 會使用 VPN 來提供這項功能。 VPN 是本機的,不同於傳統的 VPN,網路流量不會在裝置外部傳送。
雖然預設會啟用,但在某些情況下,您可能會需要停用 VPN。 例如,您想要執行一些在設定 VPN 時無法運作的應用程式。 在這種情況下,您可以遵循下列步驟,選擇從裝置上的應用程式停用 VPN:
在您的 iOS 裝置上,開啟 [設定] 應用程式,選取 [ 一般 ],然後選取 [VPN]。
選取 [i] 按鈕以 適用於端點的 Microsoft Defender。
關閉 [隨 選連線 ] 以停用 VPN。
注意事項
停用 VPN 時無法使用 Web 保護。 若要重新啟用 Web 保護,請在裝置上開啟 適用於端點的 Microsoft Defender 應用程式,然後選取 [啟動 VPN]。
停用 Web 保護
Web 保護是適用於端點的 Defender 的主要功能之一,需要 VPN 才能提供該功能。 使用的 VPN 是本機/回送 VPN,而不是傳統的 VPN,不過,客戶可能不偏好 VPN 的原因有很多。 如果您不想要設定 VPN,您可以停用 Web 保護,並部署沒有該功能的適用於端點的 Defender。 其他適用於端點的Defender功能會繼續運作。
此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊 (MAM) 裝置。 對於使用 MDM 的客戶,系統管理員可以透過應用程式組態中的受控裝置來設定 Web 保護。對於沒有註冊的客戶,系統管理員可以使用 MAM 透過應用程式組態中的受控應用程式來設定 Web 保護。
設定 Web 保護
使用 MDM 停用 Web 保護
使用下列步驟來停用已註冊裝置的 Web 保護。
在 Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]。
為原則命名 為 Platform > iOS/iPadOS。
選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面上,選取 [ 使用組態設計工具],然後新增
WebProtection
做為索引鍵,並將其值類型設定為String
。- 根據預設,
WebProtection = true
。 系統管理員必須設定WebProtection = false
為關閉 Web 保護。 - 每當使用者開啟應用程式時,適用於端點的 Defender 就會將活動訊號傳送至 Microsoft Defender 入口網站。
- 選取 [下一步],然後將此配置檔指派給目標裝置/使用者。
- 根據預設,
使用 MAM 停用 Web 保護
使用下列步驟來停用未註冊裝置的 Web 保護。
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>Managed 應用程式]。
給與原則一個「名稱」。
在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增
WebProtection
做為索引鍵,並將其值設定為false
。- 根據預設,
WebProtection = true
。 系統管理員可以將 設定為WebProtection = false
關閉 Web 保護。 - 每當使用者開啟應用程式時,適用於端點的 Defender 就會將活動訊號傳送至 Microsoft Defender 入口網站。
- 選取 [下一步],然後將此配置檔指派給目標裝置/使用者。
- 根據預設,
注意事項
金 WebProtection
鑰不適用於受監督裝置清單中的控制項篩選器。 如果您想要停用受監督裝置的 Web 保護,您可以移除控制元件篩選器設定檔。
設定網路保護
默認會啟用端點 Microsoft Defender 中的網路保護。 系統管理員可以使用下列步驟來設定網路保護。 此設定適用於透過 MDM 設定註冊的裝置,以及透過 MAM 設定取消註冊的裝置。
注意事項
只能透過 MDM 或 MAM 為網路保護建立一個原則。 網路保護初始化需要用戶開啟應用程式一次。
使用 MDM 設定網路保護
若要使用已註冊裝置的 MDM 設定來設定網路保護,請遵循下列步驟:
在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則>[新增>受控裝置]。
提供原則的名稱和描述。 在 [ 平臺] 底下,選擇 [iOS/iPad]。
在目標應用程式中,選擇 [適用於端點的 Microsoft Defender]。
在 [ 設定] 頁面上,選擇組態設定格式 [使用組態設計工具]。
新增
DefenderNetworkProtectionEnable
作為組態金鑰。 將其實值類型設定為String
,並將其值設定為false
以停用網路保護。 (預設會啟用網路保護。)針對與網路保護相關的其他組態,請新增下列索引鍵,選擇對應的實值類型和值。
機碼 值類型 默認 (true-enable、false-disable) 描述 DefenderOpenNetworkDetection
整數 2 1 - 稽核,0 - 停用,2 - 啟用 (預設) 。 此設定由 IT 管理員 管理,以分別稽核、停用或啟用開放式網路偵測。 在稽核模式中,警示只會傳送至沒有用戶體驗的 Microsoft Defender 入口網站。 針對使用者體驗,請將它設定為 Enable
。DefenderEndUserTrustFlowEnable
字串 假 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。 DefenderNetworkProtectionAutoRemediation
字串 真 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換至更安全的 WIFI 存取點。 DefenderNetworkProtectionPrivacy
字串 真 true - enable, false - disable;此設定由IT系統管理員管理,以在網路保護中啟用或停用隱私權。 如果隱私權已停用,則會顯示使用者同意共用惡意 Wifi。 如果已啟用隱私權,則不會顯示任何使用者同意,而且不會收集任何應用程式數據。 在 [ 指派 ] 區段中,系統管理員可以選擇要在原則中包含和排除的使用者群組。
檢閱並建立設定原則。
使用 MAM 設定網路保護
使用下列程式為未註冊的裝置設定 MAM 設定,以進行網路保護 (iOS 裝置中的 MAM 組態) 需要驗證器裝置註冊。
在 Microsoft Intune 系統管理中心中,流覽至 [應用程式>設定原則>][新增>受控應用程式>] [建立新的應用程式設定原則]。
提供可唯一識別原則的名稱和描述。 然後選取 [選取公用應用程式],然後針對 [平臺 iOS/iPadOS] 選擇 [Microsoft Defender]。
在 [ 設定] 頁面上,新增 DefenderNetworkProtectionEnable 作為機碼和值
false
,以停用網路保護。 (預設會啟用網路保護。)針對與網路保護相關的其他設定,請新增下列索引鍵和對應的適當值。
機碼 默認 (true - 啟用,false - 停用) 描述 DefenderOpenNetworkDetection
2 1 - 稽核,0 - 停用,2 - 啟用 (預設) 。 此設定是由 IT 系統管理員管理,以啟用、稽核或停用開放式網路偵測。 在稽核模式中,警示只會傳送至沒有使用者端體驗的 ATP 入口網站。 針對用戶體驗,請將設定設為 「啟用」模式。 DefenderEndUserTrustFlowEnable
假 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用使用者應用程式內體驗,以信任和不信任不安全和可疑的網路。 DefenderNetworkProtectionAutoRemediation
真 true - enable, false - disable;IT 系統管理員會使用此設定來啟用或停用當使用者執行補救活動時所傳送的補救警示,例如切換至更安全的 WIFI 存取點。 DefenderNetworkProtectionPrivacy
真 true - enable, false - disable;此設定由IT系統管理員管理,以在網路保護中啟用或停用隱私權。 如果隱私權已停用,則會顯示使用者同意共用惡意 Wifi。 如果已啟用隱私權,則不會顯示任何使用者同意,而且不會收集任何應用程式數據。 在 [ 指派 ] 區段中,系統管理員可以選擇要在原則中包含和排除的使用者群組。
檢閱並建立設定原則。
多個 VPN 設定檔共存
Apple iOS 不支援同時使用多個裝置範圍的 VPN。 雖然裝置上可以有多個 VPN 配置檔,但一次只能有一個 VPN 在作用中。
在應用程式保護原則中設定 適用於端點的 Microsoft Defender 風險訊號 (MAM)
iOS 上的 適用於端點的 Microsoft Defender 可啟用應用程式保護原則案例。 終端使用者可以直接從 Apple App Store 安裝最新版的應用程式。 請確定裝置已向 Authenticator 註冊,且使用相同的帳戶在 Defender 中上線以成功註冊 MAM。
適用於端點的 Microsoft Defender 可設定為傳送要在應用程式防護原則 (APP 中使用的威脅訊號,也稱為 iOS/iPadOS 上的 MAM) 。 透過這項功能,您也可以使用 適用於端點的 Microsoft Defender 來保護未註冊裝置對公司數據的存取。
請遵循下列連結中的步驟來設定應用程式保護原則,適用於端點的 Microsoft Defender 在應用程式保護原則中設定 Defender 風險訊號 (MAM)
如需 MAM 或應用程式保護原則的詳細資訊,請參閱 iOS 應用程式保護原則設定。
隱私權控制
iOS 上的 適用於端點的 Microsoft Defender 可為系統管理員和終端使用者啟用隱私權控制。 這包括已註冊的 (MDM) 和已取消註冊的 (MAM) 裝置的控件。
如果您使用 MDM,您的系統管理員可以在應用程式組態中透過受控裝置來設定隱私權控制。如果您使用沒有註冊的 MAM,您的系統管理員可以在應用程式組態中透過受控應用程式來設定隱私權控制。終端使用者也可以在 Microsoft Defender 應用程式設定中設定隱私權設定。
在網路釣魚警示報告中設定隱私權
客戶現在可以針對 iOS 上 適用於端點的 Microsoft Defender 所傳送的網路釣魚報告啟用隱私權控制,如此一來,每當 適用於端點的 Microsoft Defender 偵測到網路釣魚網站並封鎖網路釣魚網站時,功能變數名稱就不會包含在網路釣魚警示中。
在 MDM 中設定隱私權控制
使用下列步驟來啟用隱私權,而不要在已註冊裝置的網路釣魚警示報告中收集功能變數名稱。
在 Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]。
為原則命名 平臺 > iOS/iPadOS,然後選取配置檔類型。
選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面上,選取 [ 使用設定設計工具 ] 並新增
DefenderExcludeURLInReport
作為索引鍵,然後將其值類型設定為 布爾值。- 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為
true
,並將此原則指派給使用者。 根據預設,此值會設定為false
。 - 針對密鑰設定為
true
的使用者,每當適用於端點的 Defender 偵測到並封鎖惡意網站時,網路釣魚警示就不會包含功能變數名稱資訊。
- 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
在 MAM 中設定隱私權控制
使用下列步驟來啟用隱私權,而不要在未註冊裝置的網路釣魚警示報告中收集功能變數名稱。
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>Managed 應用程式]。
給與原則一個「名稱」。
在 [選取公用應用程式] 底下,選擇 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面的 [ 一般組態設定] 底下,新增
DefenderExcludeURLInReport
做為索引鍵,並將其值設定為true
。- 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為
true
,並將此原則指派給使用者。 根據預設,此值會設定為false
。 - 針對密鑰設定為
true
的使用者,每當適用於端點的 Defender 偵測到並封鎖惡意網站時,網路釣魚警示就不會包含功能變數名稱資訊。
- 若要啟用隱私權而不收集功能變數名稱,請輸入 值作為
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
在 Microsoft Defender 應用程式中設定用戶隱私權控制
這些控制項可協助使用者設定與其組織共用的資訊。
對於受監督的裝置,不會顯示使用者控件。 您的系統管理員決定並控制設定。 不過,對於不受監督的裝置,控件會顯示在 [設定隱私權>] 底下。
使用者會看到 不安全網站資訊的切換。 只有當系統管理員已設定 DefenderExcludeURLInReport = true
時,才會顯示此切換。
如果由系統管理員啟用,使用者可以指定是否要將不安全的網站資訊傳送給其組織。 根據預設,它會設定為 false
,這表示不會傳送不安全的網站資訊。 如果使用者將它切換至 true
,則會傳送不安全的網站詳細數據。
開啟或關閉隱私權控制不會影響裝置合規性檢查或條件式存取。
注意事項
在具有組態配置檔的受監督裝置上,適用於端點的 Microsoft Defender 可以存取整個 URL,如果發現網路釣魚,則會封鎖該 URL。 在不受監督的裝置上,適用於端點的 Microsoft Defender 只能存取功能變數名稱,而且如果網域不是網路釣魚 URL,則不會封鎖該網域。
選擇性許可權
iOS 上的 適用於端點的 Microsoft Defender 可在上線流程中啟用選擇性許可權。 目前適用於端點的 Defender 所需的許可權在上線流程中是必要的。 透過這項功能,系統管理員可以在 BYOD 裝置上部署適用於端點的 Defender,而不需要在上線期間強制執行 VPN 許可權。 終端使用者可以在沒有必要許可權的情況下將應用程式上線,稍後可以檢閱這些許可權。 這項功能目前僅適用於已註冊的裝置 (MDM) 。
使用 MDM 設定選擇性許可權
系統管理員可以使用下列步驟來啟用已註冊裝置的選擇性 VPN 許可權。
在 Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]。
為原則命名,選取 [平臺 > iOS/iPadOS]。
選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面上,選取 [ 使用設定設計工具 ] 並新增
DefenderOptionalVPN
作為索引鍵,並將其值類型設定為Boolean
。- 若要啟用選擇性 VPN 許可權,請輸入 value 作為
true
,並將此原則指派給使用者。 根據預設,此值會設定為false
。 - 對於金鑰設定為
true
的使用者,使用者不需要授與 VPN 許可權即可將應用程式上線。
- 若要啟用選擇性 VPN 許可權,請輸入 value 作為
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
以使用者身分設定選擇性許可權
終端使用者安裝並開啟 Microsoft Defender 應用程式以開始上線。
- 如果系統管理員已設定選擇性許可權,則使用者可以略過 VPN 許可權並完成上線。
- 即使使用者已略過 VPN,裝置還是能夠上線,並傳送活動訊號。
- 如果停用 VPN,Web 保護就不會作用中。
- 稍後,使用者可以從應用程式內啟用 Web 保護,這會在裝置上安裝 VPN 組態。
注意事項
選擇性許可權與停用 Web 保護不同。 選擇性 VPN 許可權僅有助於在上線期間略過許可權,但可供終端使用者稍後檢閱並啟用。 停用 Web 保護可讓使用者在沒有 Web 保護的情況下,將適用於端點的 Defender 應用程式上線。 稍後無法啟用。
越獄偵測
適用於端點的 Microsoft Defender 能夠偵測已越獄的非受控和受控裝置。 這些越獄檢查會定期完成。 如果偵測到裝置已越獄,就會發生下列事件:
- 高風險警示會回報給 Microsoft Defender 入口網站。 如果根據裝置風險分數設定裝置合規性和條件式存取,則會封鎖裝置存取公司數據。
- 已清除應用程式上的用戶數據。 當使用者在越獄之後開啟應用程式時,VPN 設定檔 (只會刪除適用於端點的 Defender 回送 VPN 設定檔) ,而且不會提供任何 Web 保護。 不會移除 Intune 所傳遞的 VPN 設定檔。
針對已越獄的裝置設定合規性政策
若要防止公司數據在已越獄的 iOS 裝置上存取,建議您在 Intune 上設定下列合規性政策。
注意事項
越獄偵測是iOS上 適用於端點的 Microsoft Defender提供的功能。 不過,建議您將此原則設定為針對越獄案例的額外防禦層。
請遵循下列步驟,針對已越獄的裝置建立合規性政策。
在 Microsoft Intune 系統管理中心,移至 [裝置>合規性原則>] [建立原則]。 選取 [iOS/iPadOS] 作為平臺,然後選取 [ 建立]。
指定原則的名稱,例如越 獄的合規性原則。
在 [兼容性設定] 頁面中,選取以展開 [裝置健康情況] 區段,然後在 [已破解的裝置] 字段中選
Block
取 。在 [ 不符合規範的動作 ] 區段中,根據您的需求選取動作,然後選取 [ 下一步]。
在 [ 指派] 區段中,選取您要納入此原則的使用者群組,然後選取 [ 下一步]。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]。
設定自訂指標
適用於 iOS 上的適用於端點的 Defender 也可讓系統管理員在 iOS 裝置上設定自定義指標。 如需如何設定自定義指標的詳細資訊,請參閱 指標概觀。
注意事項
iOS 上的適用於端點的 Defender 僅支援為 URL 和網域建立自定義指標。 iOS 不支援以IP為基礎的自訂指標。
針對 iOS,存取指標中設定的 URL 或網域時,Microsoft Defender 全面偵測回應 不會產生任何警示。
設定應用程式的弱點評量
降低網路風險需要以風險為基礎的完整弱點管理,以識別、評估、補救及追蹤您最重要的資產中所有最大的弱點,全都在單一解決方案中。 若要深入瞭解 適用於端點的 Microsoft Defender 中的 Microsoft Defender 弱點管理,請瀏覽此頁面。
適用於 iOS 上的適用於端點的 Defender 支援 OS 和應用程式的弱點評估。 iOS 版本的弱點評估適用於已註冊的 (MDM) 和已取消註冊的 (MAM) 裝置。 應用程式的弱點評估僅適用於已註冊的 (MDM) 裝置。 系統管理員可以使用下列步驟來設定應用程式的弱點評估。
在受監督的裝置上
確定裝置已在 受監督模式中設定。
若要在 Microsoft Intune 系統管理中心啟用此功能,請移至 iOS/iPadOS 裝置的端點安全>性 適用於端點的 Microsoft Defender> 啟用應用程式同步處理。
注意事項
若要取得包括非受控應用程式在內的所有應用程式清單,系統管理員必須針對標示為「個人」的受監督裝置,在 Intune 管理員 入口網站中啟用 [在個人擁有的 iOS/iPadOS 裝置上傳送完整應用程式清查數據] 設定。 對於在 Intune 管理員 入口網站中標示為「公司」的受監督裝置,系統管理員不需要啟用在個人擁有的iOS/iPadOS裝置上傳送完整的應用程式清查數據。
在不受監督的裝置上
若要在 Microsoft Intune 系統管理中心啟用此功能,請移至 iOS/iPadOS 裝置的端點安全>性 適用於端點的 Microsoft Defender> 啟用應用程式同步處理。
若要取得包括非受控應用程式在內的所有應用程式清單,請啟用切換 [ 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據]。
使用下列步驟來設定隱私權設定。
移至 [應用程式>] [應用程式設定原則>][新增>受控裝置]。
為原則命名 為 Platform>iOS/iPadOS。
選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
在 [ 設定] 頁面上,選取 [使用設定設計工具],並新增
DefenderTVMPrivacyMode
作為索引鍵。 將值類型設定為String
。- 若要停用隱私權並收集已安裝的應用程式清單,請將值指定為
False
,然後將此原則指派給使用者。 - 根據預設,未受監督裝置的這個值會設定
True
為 。 - 針對金鑰設定為 的
False
使用者,適用於端點的 Defender 會傳送裝置上安裝的應用程式清單以進行弱點評估。
- 若要停用隱私權並收集已安裝的應用程式清單,請將值指定為
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
開啟或關閉隱私權控制不會影響裝置合規性檢查或條件式存取。
套用設定之後,用戶必須開啟應用程式以核准隱私權設定。
- 隱私權核准畫面只會針對不受監督的裝置顯示。
- 只有當使用者核准隱私權時,應用程式資訊才會傳送至適用於端點的 Defender 控制台。
將用戶端版本部署至目標 iOS 裝置之後,就會開始處理。 在這些裝置上找到的弱點會開始顯示在 Defender 弱點管理 儀錶板中。 處理可能需要數小時 (最多 24 小時) 完成。 此時間範圍特別適用於要在軟體清查中顯示的整個應用程式清單。
注意事項
如果您在 iOS 裝置內使用 SSL 檢查解決方案,請在商業環境中新增功能變數名稱 securitycenter.windows.com
() ,並在 securitycenter.windows.us
GCC 環境中 (,) 讓 威脅與弱點管理 功能能夠運作。
停用註銷
iOS 上的適用於端點的 Defender 支援在應用程式中部署但不註銷按鈕,以防止使用者註銷 Defender 應用程式。 這對於防止使用者竄改裝置很重要。
此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊的 (MAM) 裝置。 系統管理員可以使用下列步驟來設定停用註銷
使用 MDM 設定停用註銷
針對已註冊的裝置 (MDM)
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>受控裝置]。
為原則命名,然後選取 [平臺>iOS/iPadOS]。
選
Microsoft Defender for Endpoint
取作為目標應用程式。在 [ 設定] 頁面上,選取 [ 使用設定設計工具],然後新增
DisableSignOut
作為索引鍵。 將值類型設定為String
。- 根據預設,
DisableSignOut = false
。 - 系統管理員可以設定
DisableSignOut = true
為停用應用程式中的註銷按鈕。 一旦推送原則之後,使用者就不會看到 [註銷] 按鈕。
- 根據預設,
選 取 [下一步],然後將此原則指派給目標裝置/使用者。
設定使用 MAM 停用註銷
針對已取消註冊的裝置, (MAM)
在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則>[新增>Managed 應用程式]。
給與原則一個「名稱」。
在 [選取公用應用程式] 底下,選
Microsoft Defender for Endpoint
取作為目標應用程式。在 [ 設定] 頁面上,新增
DisableSignOut
做為索引鍵,並將其值設定為true
。- 根據預設,
DisableSignOut = false
。 - 系統管理員可以設定
DisableSignOut = true
為停用應用程式中的註銷按鈕。 一旦推送原則,使用者就不會看到 [註銷] 按鈕。
- 根據預設,
選 取 [下一步],然後將此原則指派給目標裝置/使用者。
裝置標記
iOS 上的適用於端點的 Defender 可讓系統管理員透過 Intune 設定標籤,以便在上線期間大量標記行動裝置。 管理員 可以透過設定原則透過 Intune 來設定裝置標籤,並將它們推送至使用者的裝置。 一旦使用者安裝並啟用Defender,用戶端應用程式就會將裝置標籤傳遞至 Microsoft Defender入口網站。 裝置標籤會針對裝置清查中的裝置顯示。
此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊的 (MAM) 裝置。 系統管理員可以使用下列步驟來設定裝置標籤。
使用 MDM 設定裝置標籤
針對已註冊的裝置 (MDM)
在 Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]。
為原則命名,然後選取 [平臺>iOS/iPadOS]。
選
Microsoft Defender for Endpoint
取作為目標應用程式。在 [ 設定] 頁面上,選取 [ 使用設定設計工具],然後新增
DefenderDeviceTag
作為索引鍵。 將值類型設定為String
。- 系統管理員可以藉由新增密鑰
DefenderDeviceTag
並設定裝置標籤的值來指派新的標籤。 - 系統管理員可以藉由修改密鑰 的值來編輯現有的標籤
DefenderDeviceTag
。 - 系統管理員可以藉由移除金鑰 來刪除現有的標籤
DefenderDeviceTag
。
- 系統管理員可以藉由新增密鑰
選 取 [下一步],然後將此原則指派給目標裝置/使用者。
使用 MAM 設定裝置標籤
針對已取消註冊的裝置, (MAM)
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>Managed 應用程式]。
給與原則一個「名稱」。
在 [ 選取公用應用程式] 底下,選擇
Microsoft Defender for Endpoint
作為目標應用程式。在 [ 設定] 頁面上,將 新增
DefenderDeviceTag
為 [ 一般 組態設定]) 底下的索引鍵 (。- 系統管理員可以藉由新增密鑰
DefenderDeviceTag
並設定裝置標籤的值來指派新的標籤。 - 系統管理員可以藉由修改密鑰 的值來編輯現有的標籤
DefenderDeviceTag
。 - 系統管理員可以藉由移除金鑰 來刪除現有的標籤
DefenderDeviceTag
。
- 系統管理員可以藉由新增密鑰
選 取 [下一步],然後將此原則指派給目標裝置/使用者。
注意事項
必須開啟 Microsoft Defender 應用程式,標籤才能與 Intune 同步,並傳遞至 Microsoft Defender 入口網站。 卷標最多可能需要 18 小時才會反映在入口網站中。
隱藏 OS 更新通知
設定可供客戶在 iOS 上適用於端點的 Defender 中隱藏 OS 更新通知。 在 Intune 應用程式設定原則中設定組態密鑰之後,適用於端點的 Defender 將不會在裝置上傳送作業系統更新的任何通知。 不過,當您開啟 Microsoft Defender 應用程式時,會顯示 [裝置健康情況] 卡片,並顯示操作系統的狀態。
此設定適用於已註冊的 (MDM) 裝置,以及已取消註冊的 (MAM) 裝置。 系統管理員可以使用下列步驟來隱藏 OS 更新通知。
使用 MDM 設定 OS 更新通知
針對已註冊的裝置 (MDM)
在 Microsoft Intune 系統管理中心,移至 [應用程式>應用程式設定原則>] [新增>受控裝置]。
為原則命名,選取 [平臺>iOS/iPadOS]。
選
Microsoft Defender for Endpoint
取作為目標應用程式。在 [ 設定] 頁面上,選取 [ 使用設定設計工具],然後新增
SuppressOSUpdateNotification
作為索引鍵。 將值類型設定為String
。- 根據預設,
SuppressOSUpdateNotification = false
。 - 系統管理員可以將 設定為
SuppressOSUpdateNotification = true
隱藏OS更新通知。 - 選 取 [下一步 ],並將此原則指派給目標裝置/使用者。
- 根據預設,
使用 MAM 設定 OS 更新通知
針對已取消註冊的裝置, (MAM)
在 Microsoft Intune 系統管理中心,流覽至 [應用程式>] 設定原則>[新增>Managed 應用程式]。
給與原則一個「名稱」。
在 [ 選取公用應用程式] 底下,選擇
Microsoft Defender for Endpoint
作為目標應用程式。在 [ 設定] 頁面上,將 新增
SuppressOSUpdateNotification
為 [ 一般 組態設定]) 底下的索引鍵 (。- 根據預設,
SuppressOSUpdateNotification = false
。 - 系統管理員可以將 設定為
SuppressOSUpdateNotification = true
隱藏OS更新通知。
- 根據預設,
選 取 [下一步 ],並將此原則指派給目標裝置/使用者。
設定傳送應用程式內意見反應的選項
客戶現在可以選擇將意見反應數據傳送至適用於端點的Defender應用程式內Microsoft。 意見反應數據可協助Microsoft改善產品,並針對問題進行疑難解答。
注意事項
針對美國政府雲端客戶,預設會停用意見反應數據收集。
使用下列步驟來設定將意見反應資料傳送至 Microsoft 的選項:
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [應用程式設定原則>] [新增>受控裝置]。
為原則命名,然後選取 [平臺 > iOS/iPadOS ] 作為配置檔類型。
選
Microsoft Defender for Endpoint
取作為目標應用程式。在 [ 設定] 頁面上,選取 [ 使用設定設計工具 ] 並新增
DefenderFeedbackData
作為索引鍵,並將其值類型設定為Boolean
。- 若要移除使用者提供意見反應的能力,請將值設定為
false
,並將此原則指派給使用者。 根據預設,此值會設定為true
。 針對美國政府客戶,預設值會設定為 『false』。 - 針對金鑰設定為
true
的使用者,可以選擇將意見反應數據傳送至應用程式內的Microsoft (功能表>說明 & 意見反應>傳送意見反應至Microsoft) 。
- 若要移除使用者提供意見反應的能力,請將值設定為
選 取 [下一步 ],並將此配置檔指派給目標裝置/使用者。
報告不安全的網站
網路釣魚網站會模擬可信任的網站,以取得您的個人或財務資訊。 請造訪 提供網路保護的意見反應 頁面,以報告可能是網路釣魚網站的網站。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。