使用移动应用程序管理在 iOS 上部署Microsoft Defender for Endpoint

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

注意

iOS 上的 Defender for Endpoint 使用 VPN 来提供 Web 保护功能。 这不是常规 VPN,是本地/自循环 VPN,不会将流量带到设备外部。

在应用保护策略中配置Microsoft Defender for Endpoint风险信号 (MAM)

iOS 上的 Microsoft Defender for Endpoint已在移动设备管理 (MDM) 方案中保护企业用户,现在支持移动应用管理 (MAM) ,适用于未使用Intune移动设备管理 (MDM) 注册的设备。 它还将此支持扩展到使用其他企业移动管理解决方案的客户,同时仍使用 Intune 进行移动应用程序管理 (MAM) 。 借助此功能,可以在应用程序中管理和保护组织的数据。

Intune应用保护策略应用 iOS 威胁信息Microsoft Defender for Endpoint来保护这些应用。 应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 托管应用程序应用了应用保护策略,可以通过Intune进行管理。

iOS 上的Microsoft Defender for Endpoint支持 MAM 的两种配置

  • Intune MDM + MAM:IT 管理员只能在已注册Intune移动设备管理 (MDM) 的设备上使用应用保护策略来管理应用。
  • 无需设备注册的 MAM:没有设备注册的 MAM 或 MAM-WE 允许 IT 管理员在未使用 Intune MDM 注册的设备上使用应用保护策略管理应用。 这意味着应用可以通过Intune在向非Microsoft EMM 提供程序注册的设备上进行管理。 若要在上述两种配置中使用 管理应用,客户应在 Microsoft Intune 管理中心使用 Intune

若要启用此功能,管理员需要配置Microsoft Defender for Endpoint与Intune之间的连接,创建应用保护策略,并在目标设备和应用程序上应用该策略。

最终用户还需要采取措施在其设备上安装Microsoft Defender for Endpoint并激活载入流。

先决条件

  1. 验证是否已在安全门户中启用Intune连接器
    统一安全控制台上,转到“设置终结点>高级功能”>,并确保已启用Microsoft Intune连接

    Defender for Endpoint - Intune 连接器。

  2. 验证是否已在 Intune 门户中启用应用连接器
    Microsoft Intune管理中心,转到“终结点安全性>”Microsoft Defender for Endpoint并确保“连接”状态已启用。

    应用程序设置。

创建应用保护策略

通过创建应用保护策略,根据Microsoft Defender for Endpoint风险信号阻止访问或擦除托管应用的数据。 可以将Microsoft Defender for Endpoint配置为发送威胁信号,以在应用保护策略 (APP(也称为 MAM) ) 中使用。 借助此功能,可以使用 Microsoft Defender for Endpoint 来保护托管应用。

  1. 创建策略
    应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。

    “应用保护策略”菜单项上的“创建策略”选项卡。

  2. 添加应用
    a. 选择要将此策略应用于不同设备上的应用的方式。 然后至少添加一个应用。
    使用此选项可指定此策略是否应用于非托管设备。 还可以选择将策略定向到任何管理状态设备上的应用。 由于移动应用管理不需要设备管理,因此可在受管理和不受管理设备上保护公司数据。 管理以用户标识为中心,因而不再需要设备管理。 公司可以同时使用具有或不带 MDM 的应用保护策略。 例如这样一种情况:员工同时使用公司电话和其个人平板电脑。 公司的手机在 MDM 中注册且受应用保护策略保护,而个人设备仅受应用保护策略保护。

    b. 选择“应用”。
    受管理应用是一种自身执行应用保护策略的应用,可由 Intune 管理。 任何与 Intune SDK 集成或由Intune App Wrapping Tool包装的应用都可以使用Intune应用保护策略进行管理。 请参阅使用这些工具构建并可供公众使用的受Microsoft Intune保护应用的官方列表。

    示例:Outlook 作为托管应用

    左侧导航窗格中Microsoft Outlook 菜单项。

    选择组织针对策略所需的 平台、应用、数据保护、访问要求 设置。

  3. 设置保护策略的登录安全要求。
    “条件启动>设备条件”中选择“设置>允许的最大设备威胁级别”并输入一个值。 这需要配置为“低”、“中”、“高”或“安全”。 可用的作是 “阻止访问”“擦除数据”。 选择“作:”阻止访问”。 iOS 上的Microsoft Defender for Endpoint共享此设备威胁级别。

    “设备条件”窗格。

  4. 分配需要应用策略的用户组。
    选择“ 包含的组”。 然后添加相关组。

    有关 MAM 或应用保护策略的详细信息,请参阅 iOS 应用保护策略设置

在 MAM 或未注册的设备上部署Microsoft Defender for Endpoint

iOS 上的Microsoft Defender for Endpoint启用应用保护策略方案,可在 Apple 应用商店中使用。

将应用保护策略配置为包含来自Microsoft Defender for Endpoint的设备风险信号时,系统会重定向用户以在使用此类应用时安装Microsoft Defender for Endpoint。 或者,用户还可以直接从 Apple 应用商店安装最新版本的应用。

确保设备使用用于在 Defender 中加入的同一帐户注册到 Authenticator,以便成功注册 MAM。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区