Der Defender for Business erlaubt den Schutz inklusive eines Webfilters auf iOS Geräten und überprüft zudem den Gesundheitszustand - alles mit einer Zero-touch Konfiguration! Die zentrale Verwaltung ist mit Intune / MEM möglich. Dabei werden MDM und MAM Geräte unterstützt.
Für Testzwecke oder nicht verwaltete Gerät lässt sich ein Gerät zudem manuell konfigurieren.

Table of Contents

Defender for iOS - Manuelle Installation

Der Defender kann auf einem iOS Gerät auch individuell und manuell installiert werden. Dazu musst du lediglich das App "Microsoft Defender Endpoint" im Appstore herunterladen, dich daran mit einem lizenzierten Benutzer anmelden und die VPN Einstellungen bestätigen.

Wenn du bereits mit einem Microsoft 365 Account auf deinem iPad oder iPhone angemeldet bist, kannst du diesen gleich auswählen oder ich dich alternativ mit einem anderen Konto anmelden.
Nach dem Login musst du die Lizenz Bedingungen akzeptieren und die lokale VPN Verbindung konfigurieren. Die VPN Verbindung ist die Schnittstelle zwischen Browser und Applikationen auf dem Gerät für die Web-Filterung.

Defender iOS Login
Defender iOS license agreement
Defender iOS local VPN connection
Defender iOS Add VPN Configurations
Defender iOS allow notifications

Am Schluss wir dir eine Übersicht der gefilterten Webseiten und des Geräte Gesundheitszustands angezeigt. Zudem wirst du merkten, dass eine VPN Verbindung aktiv ist.

Defender iOS App status
Defender iOS VPN Connection active

Bis das iPhone im der Geräte Übersicht des Defenders for Business bzw. for Endpoint erscheint, dauert es ein wenig. In meinem Fall wurde es ungefähr 3 Stunden als "not boarded" angezeigt, bevor es korrekt indexiert war.

Defender inventory

Defender for iOS - Deployment mit Intune (zero-touch)

Seit kurzem funktioniert das Deployment des Defender for Business und auch des Defender for Endpoint "silent" und ohne grossen Aufwand.

Voraussetzungen

  • Lizenzen:
    • Defender for Business oder Endpoint und Intune Lizenz zugewiesen
    • oder Microsoft 365 Business Premium
  • Gerät ist im MEM / Intune enrollt mit Company Portal
  • iOS 12+

Defender - Intune Integration

Du must sicherstellen, dass die Intune Verbindung aktiv ist. Diese findest du in den Erweiterten Einstellungen des Defenders.
Wenn du das initiale Setup, wie hier beschrieben (Defender for Business Onboarding / Setup), abgeschlossen hast, kannst du diese Schritte überspringen.

Defender Intune connection

Zudem musst du die Verbindung für iOS Geräte im Endpoint Manager aktivieren.
Die Option findest du im Endpoint Manager > Endpoint security > Microsoft Defender for Endpoint.

Installation Microsoft Defender App

Als Erstes musst du das Defender App verteilen. Dieses muss du nicht zwingend als VPP App einkaufen. Du kannst es unter "Apps > iOS/iPadOS" hinzufügen.

iOS store app Microsoft defender
iOS store app Microsoft defender

Bei der OS minimal Anforderung kannst du "iOS 12" auswählen, da erst ab diesem OS die "zero-touch" Konfiguration möglich ist.

iOS store app Microsoft defender - minimum ios

Im nächsten Schritt weisst du die App einer Gruppe oder allen Geräten zu und speicherst die Konfiguration ab.

Defender VPN Konfiguration

Für die VPN Konfiguration, welche den Webfilter ermöglicht, erstellen wir ein neues VPN Profil.
Dies unter: Devices > iOS/iPadOS > Configuration profiles

Die VPN Konfiguration kannst du anhand des Screenshots beziehungsweise der nachstehenden Tabelle erstellen.

EinstellungWert
Connection NameMicrosoft Defender for Endpoint
VPN server address127.0.0.1
Auth methodUsername and password
Split TunnelingDisable
VPN identifiercom.microsoft.scmx
Key: SilentOnboardValue: True
Type of automatic VPNOn-demand VPN
I want to restrict toEstablish VPN

Resultat und Verhalten

Die Verteilung zero-touch Verteilung des Defender for Business / Endpoint for iOS funktioniert so sehr schnell und mit wenig Konfigurationsaufwand. Ist die Konfiguration einmal aktiv auf dem Endgerät, sehen wir wie bei der manuellen Installation die VPN Verbindung. Wird ein Risiko beim Browsen erkannt, wird die entsprechende Seite sofort mit einem entsprechenden Hinweis blockiert. Im Safari bleibt die Seite dabei weiss, der Edge zeigt zusätzlich eine SmartScreen Meldung an. Die SmartScreen Fehlermeldung ist aber eine Funktion des Edge Browsers und noch vom Defender for iOS.

Defender for iOS - Safari
Defender for iOS - Edge

In der Defender App kann der Endbenutzer eigentlich nichts machen. Er sieht aber, was aktiv ist und wie viele URL's gescannt und blockiert worden sind. Weil wir den Defender per Policy verteilt haben, kann der Webfilter auch nicht manuell abgeschaltet werden (bei der manuellen Installation möglich).

Defender for iOS - Device is protected
Defender for iOS - Web Protection

3 Responses

  1. jeff says:
    23. September 2022 at 3:17

    my device is protected (all green ticks in defender). i tried to access a test malicious site but defender does not pop up block alert. so i am able to load the test malicious site using safari and i get the red page ms defender smartscreen in edge browser.

    do you know if there is such setting in defender portal causing this behaviour? i check in intune and everything is configured properly such as vpn loopback and defender app is all green tick.

    Reply
  1. Defender for Business for Android - MAM | scloud
    25. February 2022

    […] mit dem Defender schützen?–> Dann habe ich dir hier eine Anleitung erstellt: Defender for Business for iOS Deployment (MAM und […]

Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Senior Workplace Consultant @UMB AG

Stay in the Loop with My Monthly Newsletter!