使用 Microsoft Intune 在iOS上部署 適用於端點的 Microsoft Defender
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本主題描述如何在已註冊裝置的 Microsoft Intune 公司入口網站 iOS 上部署適用於端點的 Defender。 如需 Microsoft Intune 裝置註冊的詳細資訊,請參閱在 Intune 中註冊 iOS/iPadOS 裝置。
開始之前
確定您可以存取 Microsoft Intune 系統管理中心。
確定已為您的使用者完成 iOS 註冊。 用戶必須獲指派適用於端點的Defender授權,才能在iOS上使用適用於端點的Defender。 如需如何指 派授權的 指示,請參閱將授權指派給使用者。
確定終端使用者已安裝公司入口網站應用程式、登入並完成註冊。
注意事項
iOS 上的 適用於端點的 Microsoft Defender 可在 Apple App Store 中取得。
本節涵蓋:
部署步驟 (適用於受監督和不受監督的裝置) - 系統管理員可以透過 Microsoft Intune 公司入口網站 在 iOS 上部署適用於端點的 Defender。 VPP (大量採購) 應用程式不需要此步驟。
僅針對受監督的裝置完成部署 () - 系統管理員可以選擇部署任何一個指定的配置檔。
- 零觸控 (無訊息) 控件篩選 器 - 提供 Web 保護,而不需要本機回送 VPN,也會為使用者啟用無訊息上線。 應用程式會自動安裝和啟用,而不需要使用者開啟應用程式。
- 控制元件篩選 - 提供不含本機回送 VPN 的 Web 保護。
僅 針對 非監督 式裝置 (自動上線設定) - 系統管理員可以使用兩種不同的方式,將適用於端點的 Defender 上線自動化:
- 零觸控 (無訊息) 上 線 - 應用程式會自動安裝並啟用,而不需要使用者開啟應用程式。
- VPN 的自動上 線 - 適用於端點的 Defender VPN 配置檔會自動設定,而不需要使用者在上線期間執行此動作。 不建議在零觸控設定中執行此步驟。
用戶註冊設定僅 (Intune 用戶註冊裝置) - 系統管理員也可以在 Intune 用戶註冊裝置上部署和設定適用於端點的 Defender 應用程式。
完成上線並檢查狀態 - 此步驟適用於所有註冊類型,以確保應用程式已安裝在裝置上、已完成上線,且裝置會顯示在 Microsoft Defender 入口網站中。 您可以略過零觸控 (無訊息) 上線。
部署步驟 (適用於受監督和不受監督的裝置)
透過 Microsoft Intune 公司入口網站,在 iOS 上部署適用於端點的 Defender。
新增 iOS 市集應用程式
在 Microsoft Intune 系統管理中心,移至 [應用程式>] iOS/iPadOS>[新增>iOS 市集應用程式],然後按兩下 [選取]。
在 [新增應用程式] 頁面上,按兩下 [搜尋 App Store],然後在搜尋列中輸入 Microsoft Defender。 在 [搜尋結果] 區段中,按兩下 [Microsoft Defender],然後按兩下 [選取]。
選 取 [iOS 15.0] 作為 [最小操作系統]。 檢閱應用程式的其餘資訊,然後按 [ 下一步]。
在 [ 指派] 區 段中,移至 [ 必要] 區段,然後選取 [ 新增群組]。 然後,您可以選擇要在 iOS 應用程式上以適用於端點的 Defender 為目標的使用者群組 () 。 依 序按兩下 [選取 ] 和 [ 下一步]。
注意事項
選取的使用者群組應該包含已註冊 Microsoft Intune 使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]。 在幾分鐘內,應該會成功建立適用於端點的 Defender 應用程式,且通知應該會顯示在頁面右上角。
在顯示的應用程式資訊頁面中,選取 [ 監視] 區段中的 [ 裝置安裝狀態 ],以確認裝置安裝已順利完成。
完成受監督裝置的部署
iOS 應用程式上的 適用於端點的 Microsoft Defender 具有受監督 iOS/iPadOS 裝置的特殊功能,因為平臺在這些類型的裝置上提供更高的管理功能。 它也可以提供 Web 保護, 而不需要在裝置上設定本機 VPN。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。
系統管理員可以使用下列步驟來設定受監督的裝置。
透過 Microsoft Intune 設定受監督模式
透過應用程式設定原則和裝置組態配置檔,設定適用於端點的 Defender 應用程式受監督模式。
應用程式設定原則
注意事項
受監督裝置的此應用程式設定原則僅適用於受管理的裝置,應以所有受控 iOS 裝置為目標,作為最佳做法。
登入 Microsoft Intune 系統管理中心,然後移至 [應用程式>應用程式設定原則>新增]。 選 取 [受控裝置]。
在 [ 建立應用程式設定原則 ] 頁面中,提供下列資訊:
- 原則名稱
- 平台:選取 iOS/iPadOS
- 目標應用程式:從清單中選取 適用於端點的 Microsoft Defender
在下一個畫面中,選取 [ 使用設定設計工具 作為格式]。 指定下列屬性:
- 設定金鑰:
issupervised
- 值類型:字串
- 組態值:
{{issupervised}}
- 設定金鑰:
選取 [下一步] 以開啟 [範圍標籤] 頁面。 範圍標籤是選用的。 選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 在此案例中,最佳做法是以 所有裝置為目標。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
部署至使用者群組時,用戶必須在套用原則之前登入裝置。
按一下[下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。
控制篩選器 (裝置組態配置檔)
注意事項
針對在受監督模式) 中執行 iOS/iPadOS (的裝置,會有自定義 的 .mobileconfig 配置檔,稱為 ControlFilter 配置檔可用。 此設定檔可啟用 Web 保護 ,而不需要在裝置上設定本機回送 VPN。 這可讓終端用戶獲得順暢的體驗,同時仍能受到網路釣魚和其他 Web 型攻擊的保護。
不過,由於平臺限制, ControlFilter 配置檔無法與 Always-On VPN (AOVPN) 搭配使用。
系統管理員會部署任何一個指定的配置檔。
零觸控 (無訊息) 控件篩選 器 - 此配置檔可為使用者啟用無訊息上線。 從 ControlFilterZeroTouch 下載組態配置檔。
控件篩選 - 從 ControlFilter 下載組態設定檔。
下載設定檔之後,請部署自定義配置檔。 請遵循下列步驟:
流覽至 [裝置>] iOS/iPadOS>組態配置檔 [>建立配置檔]。
選 取 [配置檔類型>範本 ] 和 [ 範本名稱>自定義]。
提供配置檔的名稱。 當系統提示您匯入組態配置檔案時,請選取從上一個步驟下載的配置檔。
在 [ 指派] 區段中,選取您要套用此配置檔的裝置群組。 最佳做法是,這應該套用至所有受控 iOS 裝置。 選取 [下一步]。
注意事項
適用於端點的Defender方案1和方案2都支援裝置群組建立。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在組態設定檔清單中顯示。
僅針對非監督式裝置 (自動上線設定)
系統管理員可以使用無接觸 (無訊息) 上線或 VPN 的自動上線,以兩種不同的方式將使用者的 Defender 上線自動化。
零觸控 (無訊息) 上線 適用於端點的 Microsoft Defender
注意事項
在未註冊用戶親和性的 iOS 裝置上,無法設定零觸控 (無使用者裝置或共用裝置) 。
系統管理員可以設定 適用於端點的 Microsoft Defender 以無訊息方式部署和啟用。 在此流程中,系統管理員會建立部署配置檔,而使用者只會收到安裝通知。 適用於端點的Defender會自動安裝,而不需要使用者開啟應用程式。 請遵循下列步驟,在已註冊的 iOS 裝置上設定適用於端點的 Defender 零觸控或無訊息部署:
在 Microsoft Intune 系統管理中心,移至 [裝置>組態配置檔] [>建立配置檔]。
選擇 [平臺 ] 作為 [iOS/iPadOS], [配置檔類型 ] 作為 [範本 ],並選擇 [範本名稱 ] 作為 [VPN]。 選取 [建立]。
輸入配置檔的名稱,然後選取 [ 下一步]。
針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:
- 線上名稱 = 適用於端點的 Microsoft Defender
- VPN 伺服器位址 = 127.0.0.1
- 驗證方法 = “Username and password”
- 分割通道 = 停用
- VPN 標識符 = com.microsoft.scmx
- 在機碼/值組中,輸入 SilentOnboard 鍵,並將值設定為 True。
- 自動 VPN 類型 = 隨選 VPN
- 選取 [新增 隨 選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN, 我想要限制為 = 所有網域]。
- 若要要求無法在用戶裝置中停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN] 中選取 [是]。 根據預設,不會進行設定,而且使用者只能在 [設定] 中停用 VPN。
- 若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設,用戶無法從應用程式內變更切換。
選 取 [下一步 ],並將配置檔指派給目標使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]。
完成上述設定並與裝置同步處理之後,目標 iOS 裝置 () 上會執行下列動作:
- 適用於端點的 Microsoft Defender 將會部署並以無訊息方式上線,而且裝置會顯示在適用於端點的Defender入口網站中。
- 暫時通知會傳送至用戶裝置。
- Web 保護和其他功能將會啟用。
注意事項
- 零觸控設定最多可能需要 5 分鐘才能在背景完成。
- 對於受監督的裝置,系統管理員可以使用 ZeroTouch 控件篩選配置檔來設定零觸控上線。 適用於端點的 Defender VPN 設定檔將不會安裝在裝置上,而 Web 保護將由控件篩選配置檔提供。
VPN 配置檔的自動上線 (簡化的上線)
注意事項
此步驟會藉由設定 VPN 設定檔來簡化上線程式。 如果您使用零觸控,則不需要執行此步驟。
針對不受監督的裝置,會使用 VPN 來提供 Web 保護功能。 這不是一般的 VPN,而且是本機/自我循環 VPN,不會將流量帶出裝置。
系統管理員可以設定 VPN 設定檔的自動設定。 這會自動設定適用於端點的 Defender VPN 配置檔,而不會讓使用者在上線時這麼做。
在 Microsoft Intune 系統管理中心,移至 [裝置>組態配置檔] [>建立配置檔]。
選擇 [平臺 ] 作為 [iOS/iPadOS ],並 選擇 [配置檔類型 ] 作為 [VPN]。 按一下 [建立]。
輸入配置檔的名稱,然後按 [ 下一步]。
針對 [連線類型] 選取 [自定義 VPN ],然後在 [ 基底 VPN] 區 段中輸入下列內容:
線上名稱 = 適用於端點的 Microsoft Defender
VPN 伺服器位址 = 127.0.0.1
驗證方法 = “Username and password”
分割通道 = 停用
VPN 標識符 = com.microsoft.scmx
在機碼/值組中,輸入機碼 AutoOnboard ,並將值設定為 True。
自動 VPN 類型 = 隨選 VPN
選取 [新增 隨 選規則] ,然後選取 [我想要執行下列動作 = 連線 VPN, 我想要限制為 = 所有網域]。
若要要求無法在使用者的裝置上停用 VPN,系統管理員可以從 [封鎖使用者停用自動 VPN] 中選取 [是]。 根據預設,此設定未設定,且使用者只能在 [設定] 中停用 VPN。
若要允許使用者從應用程式內變更 VPN 切換,請在機碼/值組中新增 EnableVPNToggleInApp = TRUE。 根據預設,用戶無法從應用程式內變更切換。
按 [下一步] ,並將配置檔指派給目標使用者。
在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]。
僅 (Intune 用戶註冊裝置的用戶註冊設定)
Microsoft Defender 可以使用下列步驟,將iOS應用程式部署在 Intune用戶註冊的裝置上。
系統管理員
在 Intune 中設定用戶註冊配置檔。 Intune 支援以帳戶為導向的 Apple 用戶註冊和使用 公司入口網站 的 Apple 用戶註冊。 深入瞭解這兩種方法的 比較 ,然後選取一個。
設定 SSO 外掛程式。 具有 SSO 擴充功能的驗證器應用程式是 iOS 裝置中用戶註冊的必要條件。
- 建立為 Intune 中的裝置組態配置檔 - 使用 MDM 設定 iOS/iPadOS Enterprise SSO 外掛程式 |Microsoft Learn。
- 請務必在上述組態中新增這兩個金鑰:
- 應用程式套件組合標識碼:在此清單 com.microsoft.scmx 中包含Defender 應用程式套件組合標識碼
- 其他設定:金鑰 - device_registration ;類型 - 字串 ;Value- {{DEVICEREGISTRATION}}
設定用戶註冊的 MDM 金鑰。
- 在 Intune 中,移至 [移至應用程式>] [應用程式設定原則>] [新增>受控裝置]
- 為原則命名,選取 [平臺 > iOS/iPadOS]。
- 選取 [適用於端點的 Microsoft Defender] 作為目標應用程式。
- 在 [設定] 頁面中,選取 [使用組態設計工具],並將 UserEnrolmentEnabled 新增為索引鍵、值類型為 String,值為 True。
管理員 可以從 Intune 推送 Defender 作為必要的 VPP 應用程式。
終端使用者
Defender 應用程式會安裝到用戶的裝置中。 使用者登入並完成上線。 一旦裝置成功上線,它就會顯示在Defender安全性入口網站的 [裝置清查] 底下。
支援的功能和限制
- 支援適用於端點的 Defender iOS 的所有目前功能,例如 Web 保護、網路保護、越獄偵測、OS 和應用程式中的弱點、Defender 安全性入口網站中的警示和合規性原則。
- 用戶註冊不支援零觸控 (無訊息) 部署和自動上架 VPN,因為系統管理員無法使用使用者註冊來推送裝置範圍的 VPN 配置檔。
- 針對應用程式的弱點管理,只會顯示工作配置檔中的應用程式。
- 如果是合規性政策的目標,則新上線的裝置最多可能需要 10 分鐘的時間才會符合規範。
- 深入了解 用戶註冊限制和功能。
完成上線並檢查狀態
在裝置上安裝適用於端點的 Defender 之後,您會看到應用程式圖示。
點選適用於端點的Defender應用程式圖示 (MSDefender) ,並遵循畫面上的指示來完成上線步驟。 詳細數據包括使用者接受 iOS 上適用於端點的 Defender 所需的 iOS 許可權。
注意事項
如果您設定無接觸 (無訊息) 上線,請略過此步驟。 如果已設定無接觸 (無訊息) 上線,就不需要手動啟動應用程式。
後續步驟
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。