通过

使用 Microsoft Intune 在 iOS 上部署Microsoft Defender for Endpoint

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

本文介绍如何使用 Microsoft Defender 应用) Microsoft Intune 公司门户注册的设备在 iOS (部署 Defender for Endpoint。 有关Microsoft Intune设备注册的详细信息,请参阅在 Intune 中注册 iOS/iPadOS 设备

开始之前

  • 确保有权访问Microsoft Intune管理中心Microsoft Defender门户

  • 确保为用户完成 iOS 注册。 用户需要分配 Defender for Endpoint 许可证才能使用 Microsoft Defender 应用。 有关如何 分配许可证 的说明,请参阅向用户分配许可证。

  • 确保最终用户已安装 公司门户 应用、已登录并已完成注册。

注意

Apple App Store中提供了Microsoft Defender应用。

本节介绍:

  1. 部署步骤 (适用于受监督无监督设备) - 管理员可以通过Microsoft Intune 公司门户在 iOS 上部署 Defender for Endpoint。 VPP (批量购买) 应用不需要此步骤。

  2. 仅对受监督设备完成部署 () - 管理员可以选择部署任一给定配置文件。

    • 零接触 (无提示) 控制筛选器 - 提供 Web 保护,无需本地环回 VPN,并为用户启用无提示载入。 应用会自动安装并激活,用户无需打开应用。
    • 控制筛选器 - 在没有本地环回 VPN 的情况下提供 Web 保护。

  3. 自动载入设置 (仅针对 非监督 设备) - 管理员可以通过两种不同的方式为用户自动载入 Defender for Endpoint:

    • 零接触 (无提示) 载入 - 自动安装并激活Microsoft Defender应用,无需用户打开应用。
    • 自动加入 VPN - 自动设置 Defender for Endpoint VPN 配置文件,无需用户在载入期间执行此作。 不建议在零接触配置中执行此步骤。

  4. 用户注册设置 (仅适用于Intune用户注册的设备) - 管理员还可以在Intune用户注册设备上部署和配置 Defender for Endpoint 应用。

  5. 完成载入和检查状态 - 此步骤适用于所有注册类型,以确保应用已安装在设备上、完成载入,并且设备在Microsoft Defender门户中可见。 对于无提示 (载入) ,可以跳过它。

部署步骤 (适用于受监督设备和非监督设备)

通过 Microsoft Intune 公司门户 在 iOS 上部署 Defender for Endpoint。

添加 iOS 应用商店应用

  1. Microsoft Intune管理中心,转到“应用>iOS/iPadOS>添加>iOS 应用商店应用”,然后选择“选择”。

    Microsoft Intune管理中心中的“添加应用程序”选项卡

  2. “添加应用”页上,选择“搜索App Store并在搜索栏中键入Microsoft Defender。 在搜索结果部分中,选择“Microsoft Defender”,然后选择“选择”。

  3. 选择 “iOS 15.0 ”作为“最低作系统”。 查看有关应用的其余信息,然后选择“ 下一步”。

  4. “作业” 部分中,转到“ 必需 ”部分,然后选择“ 添加组”。 然后,可以选择要在 iOS 应用上面向 Defender for Endpoint 的用户组。 选择 “选择”,然后选择“ 下一步”。

    注意

    所选用户组应包含Microsoft Intune注册用户。

    Microsoft Intune管理中心中的“添加组”选项卡

  5. “查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。 几分钟后,Defender for Endpoint 应用应已成功创建,并且页面右上角会显示一条通知。

  6. 在显示的应用信息页的“ 监视 ”部分中,选择“ 设备安装状态 ”,验证设备安装是否已成功完成。

    “设备安装状态”页

受监督设备的完整部署

Microsoft Defender应用使用平台的高级管理功能,在受监督的 iOS/iPadOS 设备上提供增强的功能。 它还提供 Web 保护,而无需在设备上设置本地 VPN。 这可确保无缝的用户体验,同时防范网络钓鱼和其他基于 Web 的威胁。

管理员可以使用以下步骤配置受监督的设备。

通过Microsoft Intune配置监督模式

通过应用配置策略和设备配置文件为Microsoft Defender应用配置监督模式。

应用配置策略

注意

此受监督设备的应用配置策略仅适用于托管设备,应针对所有托管 iOS 设备作为最佳做法。

  1. 登录到 Microsoft Intune 管理中心,然后转到“应用”>“应用配置策略>”“添加”。 选择 “托管设备”。

    Microsoft Intune管理中心的图像4。

  2. “创建应用配置策略 ”页中,提供以下信息:

    • 策略名称
    • 平台:选择 iOS/iPadOS
    • 目标应用:从列表中选择Microsoft Defender for Endpoint

    Microsoft Intune管理中心的图像5。

  3. 在下一个屏幕中,选择“ 使用配置设计器 ”作为格式。 指定以下属性:

    • 配置密钥: issupervised
    • 值类型:字符串
    • 配置值: {{issupervised}}

    Microsoft Intune管理中心的图像6。

  4. 选择“下一步”以打开“作用域标记”页。 作用域标记是可选的。 选择“下一步”以继续。

  5. “分配” 页上,选择接收此配置文件的组。 对于此方案,最佳做法是面向 所有设备。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    部署到用户组时,用户必须在应用策略之前登录到其设备。

    选择 下一步

  6. 完成后,在“查看 + 创建”页上,选择“创建”。 新配置文件将显示在配置文件列表中。

设备配置文件 (控制筛选器)

注意

对于在监督模式下运行 iOS/iPadOS () 的设备,可以使用名为 ControlFilter 配置文件的自定义.mobileconfig配置文件。 此配置文件启用 Web 保护 ,而无需在设备上设置本地环回 VPN。 这为最终用户提供了无缝体验,同时仍受到网络钓鱼和其他基于 Web 的攻击的保护。

但是,由于平台限制, ControlFilter 配置文件不适用于 Always-On VPN (AOVPN) 。

管理员部署任意一个给定的配置文件。

  1. 零接触 (静默) 控制筛选器 - 此配置文件为用户启用无提示载入。 从 ControlFilterZeroTouch 下载配置文件。

  2. 控件筛选器 - 从 ControlFilter 下载配置文件。

下载配置文件后,部署自定义配置文件。 请按照下列步骤操作:

  1. 导航到 “设备>”“iOS/iPadOS>配置文件>”“创建配置文件”。

  2. 选择 “配置文件类型>模板”“模板名称>自定义”。

    Microsoft Intune管理中心的图像7。

  3. 提供配置文件的名称。 当系统提示导入配置文件时,请选择从上一步下载的配置文件。

  4. “分配” 部分中,选择要应用此配置文件的设备组。 最佳做法是,这应应用于所有托管的 iOS 设备。 选择 下一步

    注意

    Defender for Endpoint 计划 1 和计划 2 都支持创建设备组。

  5. 完成后,在“查看 + 创建”页上,选择“创建”。 新配置文件将显示在配置文件列表中。

仅对非监督设备 (自动载入设置)

管理员可以使用零接触 (无提示) 载入或自动载入 VPN,以两种不同的方式为用户自动载入 Defender for Endpoint。

零接触 (静默) 载入到 Defender for Endpoint

注意

无法在没有用户关联的情况下注册的 iOS 设备上配置零接触 (无用户设备或共享设备) 。

管理员可以为无提示部署和激活设置Microsoft Defender for Endpoint。 在此过程中,管理员创建部署配置文件,并通知用户安装。 然后,无需用户打开应用即可自动安装 Defender for Endpoint。 按照本文中的步骤在已注册的 iOS 设备上配置 Defender for Endpoint 的零接触或无提示部署:

  1. Microsoft Intune管理中心,转到“设备>配置配置文件>”“创建配置文件”。

  2. 选择“平台”作为 iOS/iPadOS,选择“配置文件类型”作为“模板”,选择“模板名称”作为“VPN”。 选择“创建”。

  3. 键入配置文件的名称,然后选择“ 下一步”。

  4. 为“连接类型”选择“ 自定义 VPN ”,并在“ 基本 VPN ”部分中输入以下内容:

    • 连接名称:Microsoft Defender for Endpoint
    • VPN 服务器地址: 127.0.0.1
    • 身份验证方法:“用户名和密码”
    • 拆分隧道: Disable
    • VPN 标识符: com.microsoft.scmx
    • 在键值对中,输入键 SilentOnboard 并将值设置为 True
    • 自动 VPN 的类型: On-demand VPN
    • 选择“按需规则的添加”,然后选择“我想执行以下作:连接 VPN”,然后将“我想限制为:所有域”。

    VPN 配置文件配置页

    • 若要强制无法在用户设备中禁用 VPN,管理员可以从“阻止用户禁用自动 VPN”中选择“”。 默认情况下,它未配置,用户只能在 “设置”中禁用 VPN。
    • 若要允许用户从应用内更改 VPN 切换,请在键值对中添加 EnableVPNToggleInApp = TRUE。 默认情况下,用户无法从应用内更改切换。

  5. 选择“ 下一步 ”,并将配置文件分配给目标用户。

  6. 在“ 查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。

完成此配置并与设备同步后,目标 iOS 设备上将执行以下作:

  • Defender for Endpoint 已部署并无提示加入。 设备在载入后在Microsoft Defender门户中可见。
  • 临时通知将发送到用户的设备。
  • Web 保护和其他功能已激活。

在某些情况下,出于密码更改、多重身份验证等安全原因,零接触载入可能需要最终用户手动登录Microsoft Defender应用。 

答:对于首次加入方案,最终用户会收到无提示通知

显示MDE无提示通知的屏幕截图

最终用户应执行以下步骤:

  1. 打开Microsoft Defender应用或点击通知消息。

  2. 从帐户选取器屏幕中选择已注册企业帐户。

  3. 登录。

设备已载入并开始向Microsoft Defender门户报告。

B:对于已载入的设备,最终用户将看到无提示通知

显示MDE应用静默通知的屏幕截图

  1. 打开Microsoft Defender应用,或点击通知。  

  2. 当Microsoft Defender应用提示时,请登录。

在此之后,设备将再次开始向Microsoft Defender门户报告。 

注意

  • 零接触设置可能需要长达 5 分钟才能在后台完成。
  • 对于受监督的设备,管理员可以使用 ZeroTouch 控件筛选器配置文件设置 Zero Touch 加入。 在这种情况下,未在设备上安装 Defender for Endpoint VPN 配置文件,并且 Web 保护由控制筛选器配置文件提供。

VPN 配置文件的自动载入 (简化的载入)

注意

此步骤通过设置 VPN 配置文件来简化载入过程。 如果使用的是 Zero touch,则无需执行此步骤。

对于非监督设备,VPN 用于提供 Web 保护功能。 这不是常规 VPN,是本地/自循环 VPN,不会将流量带到设备外部。

管理员可以配置 VPN 配置文件的自动设置。 这会自动设置 Defender for Endpoint VPN 配置文件,而无需用户在载入时执行此作。

  1. Microsoft Intune管理中心,转到“设备>配置配置文件>”“创建配置文件”。

  2. 选择 “平台 ”作为 “iOS/iPadOS ”,选择 “配置文件类型 ”作为 “VPN”。 选择“创建”。

  3. 键入配置文件的名称,然后选择“ 下一步”。

  4. 为“连接类型”选择“ 自定义 VPN ”,并在“ 基本 VPN ”部分中输入以下内容:

    • 连接名称:Microsoft Defender for Endpoint
    • VPN 服务器地址: 127.0.0.1
    • 身份验证方法:“用户名和密码”
    • 拆分隧道: Disable
    • VPN 标识符: com.microsoft.scmx
    • 在键值对中,输入键 AutoOnboard 并将值设置为 True
    • 自动 VPN 类型:按需 VPN
    • 选择“按需规则的添加”,然后选择“我想执行以下作:连接 VPN我想限制为:所有域

    “VPN 配置文件配置设置”选项卡。

    • 若要确保无法在用户的设备上禁用 VPN,管理员可以从“阻止用户禁用自动 VPN”中选择“”。 默认情况下,此设置未配置,用户只能在 “设置”中禁用 VPN。
    • 若要允许用户从应用内更改 VPN 切换,请在键值对中添加 EnableVPNToggleInApp = TRUE。 默认情况下,用户无法从应用内更改切换。

  5. 选择“ 下一步”,并将配置文件分配给目标用户。

  6. 在“ 查看 + 创建 ”部分中,验证输入的所有信息是否正确,然后选择“ 创建”。

用户注册设置 (仅适用于Intune用户注册的设备)

可以使用以下步骤将Microsoft Defender应用部署到具有Intune用户注册设备的 iOS 设备。

管理员

  1. 在 Intune 中设置用户注册配置文件。 Intune支持帐户驱动的 Apple 用户注册和具有 公司门户 的 Apple 用户注册。 详细了解这两种方法的 比较 ,并选择其中一种方法。

  2. 设置 SSO 插件。 使用 SSO 扩展的 Authenticator 应用是用户在 iOS 设备中注册的先决条件。

    • 在 Intune 中创建设备配置文件。 请参阅 适用于 Apple 设备的 Microsoft Enterprise SSO 插件
    • 确保在设备配置文件中添加这两个密钥:
      • 应用程序包 ID:在此列表中包括 Defender 应用捆绑包 ID com.microsoft.scmx
      • 另一个配置:键: device_registration;类型: String;价值: {{DEVICEREGISTRATION}}

  3. 为用户注册设置 MDM 密钥。

  4. Intune管理中心,转到“转到应用”>应用配置策略>“”添加>托管设备”。

  5. 为策略命名,然后选择“ 平台>iOS/iPadOS”。

  6. 选择“Microsoft Defender for Endpoint”作为目标应用。

  7. “设置” 页上,选择“ 使用配置设计器”,并将 添加 UserEnrollmentEnabled 为键,值类型为 String,值设置为 True

  8. 管理员可以从Intune推送Microsoft Defender应用作为所需的 VPP 应用。

最终用户

Microsoft Defender应用将安装到用户的设备中。 每个用户登录并完成载入过程。 成功载入设备后,它将在Microsoft Defender门户中的“设备清单”下显示。

支持的功能和限制

  • 支持 iOS 上的 Defender for Endpoint 的所有当前功能。 这些功能包括 Web 保护、网络保护、越狱检测、OS 和应用中的漏洞以及Microsoft Defender门户中的警报。
  • 用户注册不支持零接触 (无提示) 部署和自动加入 VPN,因为管理员无法使用用户注册推送设备范围的 VPN 配置文件。
  • 对于应用的漏洞管理,只有工作配置文件中的应用才可见。
  • 如果符合性策略针对,新加入的设备可能需要长达 10 分钟才能合规。
  • 有关详细信息,请参阅 用户注册限制和功能

完成载入和检查状态

  1. 在设备上安装 iOS 上的 Defender for Endpoint 后,会看到应用图标。

  2. 点击 Defender for Endpoint 应用图标 (Defender) ,然后按照屏幕上的说明完成载入步骤。 详细信息包括最终用户接受Microsoft Defender应用所需的 iOS 权限。

注意

如果配置零接触 (无提示) 载入,请跳过此步骤。 如果配置了无提示 (无提示) 载入,则不需要手动启动应用程序。

  1. 成功载入后,设备开始显示在Microsoft Defender门户中的“设备”列表中。

    “设备清单”页。

后续步骤

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区