Implementar Microsoft Defender para Ponto de Extremidade no iOS com o Microsoft Intune

Este artigo descreve a implementação do Defender para Endpoint no iOS (através da aplicação Microsoft Defender) com o Microsoft Portal da Empresa do Intune dispositivos inscritos. Para obter mais informações sobre a inscrição de dispositivos do Microsoft Intune, veja Inscrever dispositivos iOS/iPadOS no Intune.

Antes de começar

• Certifique-se de que tem acesso ao centro de administração do Microsoft Intune e ao portal Microsoft Defender.

• Certifique-se de que a inscrição do iOS é feita para os seus utilizadores. Os utilizadores precisam de ter uma licença do Defender para Endpoint atribuída para utilizar a aplicação Microsoft Defender. Veja Atribuir licenças a utilizadores para obter instruções sobre como atribuir licenças.

• Certifique-se de que os utilizadores finais têm a aplicação Portal da Empresa instalada, iniciaram sessão e concluíram a inscrição.

Esta seção cobre:

1. Passos de implementação (aplicáveis para dispositivos Supervisionados e Não Supervisionados)- Os administradores podem implementar o Defender para Endpoint no iOS através do Microsoft Portal da Empresa do Intune. Este passo não é necessário para aplicações VPP (compra em volume).

2. Implementação completa (apenas para dispositivos supervisionados)- Os administradores podem optar por implementar qualquer um dos perfis especificados.

   • Filtro de Controlo sem toque (Silencioso) – fornece Proteção Web sem a VPN de loopback local e permite a inclusão silenciosa para os utilizadores. A aplicação é instalada e ativada automaticamente sem a necessidade de os utilizadores abrirem a aplicação.
   • Filtro de Controlo – fornece Proteção Web sem a VPN de loopback local.

3. Configuração de Inclusão Automatizada (apenas para dispositivos não supervisionados ) – os administradores podem automatizar a inclusão do Defender para Endpoint para utilizadores de duas formas diferentes:

   • Inclusão sem toque (Silencioso) – a aplicação Microsoft Defender é instalada e ativada automaticamente sem a necessidade de os utilizadores abrirem a aplicação.
   • Integração Automática de VPN – o perfil VPN do Defender para Endpoint é configurado automaticamente sem que o utilizador o faça durante a integração. Este passo não é recomendado em Configurações de toque zero.

4. Configuração da Inscrição de Utilizadores (apenas para dispositivos Inscritos pelo Utilizador do Intune) – os administradores também podem implementar e configurar a aplicação Defender para Ponto Final nos dispositivos Inscritos pelo Utilizador do Intune.

5. Integração e marcar status completas – este passo é aplicável a todos os tipos de inscrição para garantir que a aplicação está instalada no dispositivo, a inclusão é concluída e o dispositivo está visível no portal do Microsoft Defender. Pode ser ignorada para a inclusão sem toque (silencioso).

Passos de implementação (aplicáveis para dispositivos Supervisionados e Não Supervisionados)

Implementar o Defender para Endpoint no iOS através do Microsoft Portal da Empresa do Intune.

Adicionar aplicação da loja iOS

1. No centro de administração do Microsoft Intune, aceda a Aplicações>iOS/iPadOS>Adicionar>aplicação da loja iOS e selecione Selecionar.

   

2. Na página Adicionar aplicação, selecione Procurar na App Store e escreva Microsoft Defender na barra de pesquisa. Na secção de resultados da pesquisa, selecione Microsoft Defender e selecione Selecionar.

3. Selecione iOS 15.0 como o Sistema operativo mínimo. Reveja as restantes informações sobre a aplicação e selecione Seguinte.

4. Na secção Atribuições , aceda à secção Necessário e selecione Adicionar grupo. Em seguida, pode escolher os grupos de utilizadores que pretende direcionar para o Defender para Endpoint na aplicação iOS. Selecione Selecionar e, em seguida, selecione Seguinte.

   Observação

   O grupo de utilizadores selecionado deve consistir em utilizadores inscritos no Microsoft Intune.

   

5. Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar. Dentro de momentos, a aplicação Defender para Endpoint deve ser criada com êxito e deverá ser apresentada uma notificação no canto superior direito da página.

6. Na página de informações da aplicação apresentada, na secção Monitor, selecione Instalação do dispositivo status para verificar se a instalação do dispositivo foi concluída com êxito.

   

Implementação completa para dispositivos supervisionados

A aplicação Microsoft Defender oferece capacidades melhoradas em dispositivos iOS/iPadOS supervisionados, utilizando as funcionalidades de gestão avançadas da plataforma. Também fornece Proteção Web sem a necessidade de uma configuração de VPN local no dispositivo. Isto garante uma experiência de utilizador totalmente integrada, salvaguardando contra phishing e outras ameaças baseadas na Web.

Os administradores podem utilizar os seguintes passos para configurar dispositivos supervisionados.

Configurar o Modo Supervisionado através do Microsoft Intune

Configure o modo supervisionado para a aplicação Microsoft Defender através de uma política de configuração da aplicação e de um Perfil de configuração do dispositivo.

Política de configuração de aplicativos

1. Inicie sessão no centro de administração do Microsoft Intune e aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar. Selecione Dispositivos geridos.

   

2. Na página Criar política de configuração de aplicações , forneça as seguintes informações:

   • Nome da política
   • Plataforma: selecione iOS/iPadOS
   • Aplicação de destino: selecione Microsoft Defender para Ponto de Extremidade na lista

   

3. No ecrã seguinte, selecione Utilizar estruturador de configuração como formato. Especifique as seguintes propriedades:

   • Chave de Configuração: issupervised
   • Tipo de valor: Cadeia
   • Valor de Configuração: {{issupervised}}

   

4. Selecione Avançar para abrir a página Marcas de escopo. As marcas de escopo são opcionais. Selecione Avançar para continuar.

5. Na página Atribuições , selecione os grupos que recebem este perfil. Para este cenário, é melhor prática direcionar Todos os Dispositivos. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Ao implementar em grupos de utilizadores, os utilizadores têm de iniciar sessão nos respetivos dispositivos antes de a política ser aplicada.

   Selecione Avançar.

6. Quando terminar, selecione Criar na página Revisar + criar. O novo perfil é exibido na lista de perfis de configuração.

Perfil de configuração do dispositivo (Filtro de Controlo)

Os administradores implementam qualquer um dos perfis especificados.

1. Filtro de Controlo sem toque (Silencioso) – este perfil permite a inclusão silenciosa para os utilizadores. Transfira o perfil de configuração a partir de ControlFilterZeroTouch.

2. Filtro de Controlo – transfira o perfil de configuração a partir do ControlFilter.

Assim que o perfil for transferido, implemente o perfil personalizado. Siga estas etapas:

1. Navegue para Dispositivos>iOS/iPadOS>>Perfis de configuraçãoCriar Perfil.

2. SelecioneModelosde Tipo> de Perfil e Nome do modelo>Personalizado.

   

3. Indique um nome do perfil. Quando lhe for pedido para importar um ficheiro de perfil de Configuração, selecione o ficheiro transferido do passo anterior.

4. Na secção Atribuição , selecione o grupo de dispositivos ao qual pretende aplicar este perfil. Como melhor prática, isto deve ser aplicado a todos os dispositivos iOS geridos. Selecione Avançar.

   Observação

   A criação do Grupo de Dispositivos é suportada no Plano 1 e plano 2 do Defender para Endpoint.

5. Quando terminar, selecione Criar na página Revisar + criar. O novo perfil é exibido na lista de perfis de configuração.

Configuração de Inclusão Automatizada (apenas para dispositivos não supervisionados)

Os administradores podem automatizar a integração no Defender para Endpoint para utilizadores de duas formas diferentes com a Inclusão sem toque (Silencioso) ou a Inclusão Automática de VPN.

Integração sem toque (Silencioso) no Defender para Endpoint

Os administradores podem configurar Microsoft Defender para Ponto de Extremidade para implementação e ativação silenciosas. Neste processo, o administrador cria um perfil de implementação e o utilizador é notificado da instalação. O Defender para Endpoint é instalado automaticamente sem exigir que o utilizador abra a aplicação. Siga os passos neste artigo para configurar a implementação sem toque ou silenciosa do Defender para Endpoint em dispositivos iOS inscritos:

1. No centro de administração do Microsoft Intune, aceda aPerfis de Configuraçãode Dispositivos>>Criar Perfil.

2. Selecione Plataforma como iOS/iPadOS, Tipo de perfil como Modelos e Nome do modelo como VPN. Selecione Criar.

3. Escreva um nome para o perfil e selecione Seguinte.

4. Selecione VPN Personalizada para Tipo de Ligação e, na secção Base VPN , introduza o seguinte:

   • Nome da Ligação: Microsoft Defender para Ponto de Extremidade
   • Endereço do servidor VPN: 127.0.0.1
   • Método de autenticação: "Nome de utilizador e palavra-passe"
   • Dividir Túnel: Disable
   • Identificador de VPN: com.microsoft.scmx
   • Nos pares chave-valor, introduza a chave SilentOnboard e defina o valor como True.
   • Tipo de VPN Automática: On-demand VPN
   • Selecione Adicionar para Regras a Pedido e, em seguida, selecione Pretendo fazer o seguinte: Ligar VPN e, em seguida, defina Pretendo restringir a: Todos os domínios.

   

   • Para ordenar que a VPN não possa ser desativada no dispositivo de utilizadores, os administradores podem selecionar Sim em Bloquear utilizadores de desativar a VPN automática. Por predefinição, não está configurada e os utilizadores só podem desativar a VPN nas Definições.
   • Para permitir que os utilizadores alterem o botão de alternar da VPN a partir da aplicação, adicione EnableVPNToggleInApp = TRUE, nos pares chave-valor. Por predefinição, os utilizadores não podem alterar o botão de alternar a partir da aplicação.

5. Selecione Seguinte e atribua o perfil aos utilizadores visados.

6. Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar.

Após esta configuração ser concluída e sincronizada com o dispositivo, as seguintes ações ocorrem nos dispositivos iOS de destino:

• O Defender para Endpoint é implementado e integrado automaticamente. O dispositivo é visível no portal Microsoft Defender depois de ser integrado.
• É enviada uma notificação provisória para o dispositivo do utilizador.
• A Proteção Web e outras funcionalidades estão ativadas.

Em alguns casos, por razões de segurança, como alterações de palavras-passe, autenticação multifator, etc., a inclusão sem toque pode exigir que o utilizador final inicie sessão manualmente na aplicação Microsoft Defender. 

R: Para cenários de inclusão pela primeira vez, os utilizadores finais recebem uma notificação silenciosa.

Os utilizadores finais devem seguir os seguintes passos:

1. Abra a aplicação Microsoft Defender ou toque na mensagem de notificação.

2. Selecione o conta empresarial inscrito no ecrã do seletor de conta.

3. Iniciar sessão.

O dispositivo está integrado e começa a reportar ao portal do Microsoft Defender.

B: Para dispositivos já integrados, os utilizadores finais veem uma notificação silenciosa.

1. Abra a aplicação Microsoft Defender ou toque na notificação.  

2. Quando lhe for pedido pela aplicação Microsoft Defender, inicie sessão.

Depois disso, o dispositivo começa a reportar novamente ao portal do Microsoft Defender. 

Integração Automática do perfil VPN (Inclusão Simplificada)

Para dispositivos não supervisionados, é utilizada uma VPN para fornecer a funcionalidade Proteção Web. Esta não é uma VPN normal e é uma VPN local/de ciclo autónomo que não aceita tráfego fora do dispositivo.

Os administradores podem configurar a configuração automática do perfil VPN. Esta ação configura automaticamente o perfil VPN do Defender para Endpoint sem que o utilizador o faça durante a integração.

1. No centro de administração do Microsoft Intune, aceda aPerfis de Configuraçãode Dispositivos>>Criar Perfil.

2. Selecione Plataforma como iOS/iPadOS e Tipo de perfil como VPN. Selecione Criar.

3. Escreva um nome para o perfil e selecione Seguinte.

4. Selecione VPN Personalizada para Tipo de Ligação e, na secção Base VPN , introduza o seguinte:

   • Nome da Ligação: Microsoft Defender para Ponto de Extremidade
   • Endereço do servidor VPN: 127.0.0.1
   • Método de autenticação: "Nome de utilizador e palavra-passe"
   • Dividir Túnel: Disable
   • Identificador de VPN: com.microsoft.scmx
   • Nos pares chave-valor, introduza a chave AutoOnboard e defina o valor como True.
   • Tipo de VPN Automática: VPN a pedido
   • Selecione Adicionar para Regras a Pedido e selecione Pretendo fazer o seguinte: Ligar VPN, pretendo restringir a: Todos os domínios.

   

   • Para garantir que a VPN não pode ser desativada no dispositivo de um utilizador, os administradores podem selecionar Sim em Bloquear utilizadores de desativar a VPN automática. Por predefinição, esta definição não está configurada e os utilizadores só podem desativar a VPN nas Definições.
   • Para permitir que os utilizadores alterem o botão de alternar da VPN a partir da aplicação, adicione EnableVPNToggleInApp = TRUE, nos pares chave-valor. Por predefinição, os utilizadores não podem alterar o botão de alternar a partir da aplicação.

5. Selecione Seguinte e atribua o perfil aos utilizadores visados.

6. Na secção Rever + Criar , verifique se todas as informações introduzidas estão corretas e, em seguida, selecione Criar.

Configuração da Inscrição de Utilizadores (apenas para dispositivos Inscritos pelo Utilizador do Intune)

Microsoft Defender aplicação pode ser implementada em dispositivos iOS com dispositivos Inscritos pelo Utilizador do Intune através dos seguintes passos.

Administrador

1. Configurar o Perfil de Inscrição de Utilizadores no Intune. O Intune suporta a Inscrição de Utilizadores da Apple e a Inscrição de Utilizadores da Apple com Portal da Empresa. Leia mais sobre a comparação dos dois métodos e selecione um.

   • Configurar a inscrição de utilizadores com Portal da Empresa
   • Configurar a inscrição de utilizadores orientada por conta

2. Configurar o Plug-in SSO. A aplicação Authenticator com extensão SSO é um pré-requisito para a inscrição de utilizadores num dispositivo iOS.

   • Criar um Perfil de configuração de dispositivos no Intune. Consulte Plug-in SSO do Microsoft Enterprise para dispositivos Apple.
   • Certifique-se de que adiciona estas duas chaves no perfil de configuração do dispositivo:
     • ID do pacote de aplicações: inclua o ID do pacote da Aplicação defender nesta lista com.microsoft.scmx
     • Outra configuração: Chave: device_registration; Tipo: String; Valor: {{DEVICEREGISTRATION}}

3. Configure a Chave MDM para Inscrição de Utilizadores.

4. No centro de administração do Intune, aceda a AplicaçõesPolíticas de configuração de aplicações>>Adicionar>dispositivos geridos.

5. Atribua um nome à política e, em seguida, selecione Plataforma>iOS/iPadOS.

6. Selecione Microsoft Defender para Ponto de Extremidade como a aplicação de destino.

7. Na página Definições , selecione Utilizar estruturador de configuração e adicione UserEnrollmentEnabled como chave, com o tipo de valor como Stringe o valor definido como True.

8. Os administradores podem emitir a aplicação Microsoft Defender como uma aplicação VPP necessária do Intune.

Usuário Final

A aplicação Microsoft Defender é instalada nos dispositivos dos utilizadores. Cada utilizador inicia sessão e conclui o processo de integração. Assim que o dispositivo for integrado com êxito, este fica visível no portal Microsoft Defender, em Inventário de Dispositivos.

Funcionalidades e limitações suportadas

• Suporta todas as funcionalidades atuais do Defender para Endpoint no iOS. Estas capacidades incluem proteção Web, Proteção de Rede, Deteção de jailbreak, Vulnerabilidades no SO e Aplicações e Alertas no portal do Microsoft Defender.
• A implementação sem toque (silencioso) e a integração automática da VPN não são suportadas com a Inscrição de Utilizadores, uma vez que os Administradores não conseguem emitir um perfil VPN para todo o dispositivo com a Inscrição de Utilizadores.
• Para a gestão de vulnerabilidades de aplicações, apenas as aplicações no perfil de trabalho estarão visíveis.
• Pode demorar até 10 minutos para que os dispositivos recentemente integrados fiquem em conformidade se forem visados por políticas de conformidade.
• Para obter mais informações, veja User Enrollment limitations and capabilities (Limitações e capacidades de Inscrição de Utilizadores).

Integração e marcar status completas

1. Assim que o Defender para Endpoint no iOS estiver instalado no dispositivo, verá o ícone da aplicação.

   

2. Toque no ícone da aplicação Defender para Endpoint (Defender) e siga as instruções apresentadas no ecrã para concluir os passos de integração. Os detalhes incluem a aceitação de permissões iOS por parte dos utilizadores finais exigidas pela aplicação Microsoft Defender.

3. Após a integração com êxito, o dispositivo começa a aparecer na lista Dispositivos no portal do Microsoft Defender.

   

Próximas etapas

• Configurar a política de proteção de aplicações para incluir sinais de risco do Defender para Endpoint (MAM)
• Configurar o Defender para Endpoint nas funcionalidades do iOS