Der Defender for Business erlaubt den Schutz inklusive eines Webfilters auf iOS Geräten und überprüft zudem den Gesundheitszustand - alles mit einer Zero-touch Konfiguration! Die zentrale Verwaltung ist mit Intune / MEM möglich. Dabei werden MDM und MAM Geräte unterstützt.
Für Testzwecke oder nicht verwaltete Gerät lässt sich ein Gerät zudem manuell konfigurieren.
Table of Contents
- Defender for iOS - Manuelle Installation
- Defender for iOS - Deployment mit Intune (zero-touch)
- Resultat und Verhalten
Defender for iOS - Manuelle Installation
Der Defender kann auf einem iOS Gerät auch individuell und manuell installiert werden. Dazu musst du lediglich das App "Microsoft Defender Endpoint" im Appstore herunterladen, dich daran mit einem lizenzierten Benutzer anmelden und die VPN Einstellungen bestätigen.
Wenn du bereits mit einem Microsoft 365 Account auf deinem iPad oder iPhone angemeldet bist, kannst du diesen gleich auswählen oder ich dich alternativ mit einem anderen Konto anmelden.
Nach dem Login musst du die Lizenz Bedingungen akzeptieren und die lokale VPN Verbindung konfigurieren. Die VPN Verbindung ist die Schnittstelle zwischen Browser und Applikationen auf dem Gerät für die Web-Filterung.
Am Schluss wir dir eine Übersicht der gefilterten Webseiten und des Geräte Gesundheitszustands angezeigt. Zudem wirst du merkten, dass eine VPN Verbindung aktiv ist.
Bis das iPhone im der Geräte Übersicht des Defenders for Business bzw. for Endpoint erscheint, dauert es ein wenig. In meinem Fall wurde es ungefähr 3 Stunden als "not boarded" angezeigt, bevor es korrekt indexiert war.
Defender for iOS - Deployment mit Intune (zero-touch)
Seit kurzem funktioniert das Deployment des Defender for Business und auch des Defender for Endpoint "silent" und ohne grossen Aufwand.
Voraussetzungen
- Lizenzen:
- Defender for Business oder Endpoint und Intune Lizenz zugewiesen
- oder Microsoft 365 Business Premium
- Gerät ist im MEM / Intune enrollt mit Company Portal
- iOS 12+
Defender - Intune Integration
Du must sicherstellen, dass die Intune Verbindung aktiv ist. Diese findest du in den Erweiterten Einstellungen des Defenders.
Wenn du das initiale Setup, wie hier beschrieben (Defender for Business Onboarding / Setup), abgeschlossen hast, kannst du diese Schritte überspringen.
Zudem musst du die Verbindung für iOS Geräte im Endpoint Manager aktivieren.
Die Option findest du im Endpoint Manager > Endpoint security > Microsoft Defender for Endpoint.
Installation Microsoft Defender App
Als Erstes musst du das Defender App verteilen. Dieses muss du nicht zwingend als VPP App einkaufen. Du kannst es unter "Apps > iOS/iPadOS" hinzufügen.
Bei der OS minimal Anforderung kannst du "iOS 12" auswählen, da erst ab diesem OS die "zero-touch" Konfiguration möglich ist.
Im nächsten Schritt weisst du die App einer Gruppe oder allen Geräten zu und speicherst die Konfiguration ab.
Defender VPN Konfiguration
Für die VPN Konfiguration, welche den Webfilter ermöglicht, erstellen wir ein neues VPN Profil.
Dies unter: Devices > iOS/iPadOS > Configuration profiles
Die VPN Konfiguration kannst du anhand des Screenshots beziehungsweise der nachstehenden Tabelle erstellen.
Einstellung | Wert |
---|---|
Connection Name | Microsoft Defender for Endpoint |
VPN server address | 127.0.0.1 |
Auth method | Username and password |
Split Tunneling | Disable |
VPN identifier | com.microsoft.scmx |
Key: SilentOnboard | Value: True |
Type of automatic VPN | On-demand VPN |
I want to restrict to | Establish VPN |
Resultat und Verhalten
Die Verteilung zero-touch Verteilung des Defender for Business / Endpoint for iOS funktioniert so sehr schnell und mit wenig Konfigurationsaufwand. Ist die Konfiguration einmal aktiv auf dem Endgerät, sehen wir wie bei der manuellen Installation die VPN Verbindung. Wird ein Risiko beim Browsen erkannt, wird die entsprechende Seite sofort mit einem entsprechenden Hinweis blockiert. Im Safari bleibt die Seite dabei weiss, der Edge zeigt zusätzlich eine SmartScreen Meldung an. Die SmartScreen Fehlermeldung ist aber eine Funktion des Edge Browsers und noch vom Defender for iOS.
In der Defender App kann der Endbenutzer eigentlich nichts machen. Er sieht aber, was aktiv ist und wie viele URL's gescannt und blockiert worden sind. Weil wir den Defender per Policy verteilt haben, kann der Webfilter auch nicht manuell abgeschaltet werden (bei der manuellen Installation möglich).
my device is protected (all green ticks in defender). i tried to access a test malicious site but defender does not pop up block alert. so i am able to load the test malicious site using safari and i get the red page ms defender smartscreen in edge browser.
do you know if there is such setting in defender portal causing this behaviour? i check in intune and everything is configured properly such as vpn loopback and defender app is all green tick.
Have you also activated the "web filter" option in the MDE portal?