iOS 機能用 Microsoft Defender for Endpoint を構成する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

注:

iOS 上の Defender for Endpoint は、Web Protection 機能を提供するために VPN を使用します。 これは通常の VPN ではなく、デバイスの外部でトラフィックを受け取らないローカル/セルフループ VPN です。

iOS 上の Defender for Endpoint を使用した条件付きアクセス

iOS 上の Microsoft Defender for Endpoint と Microsoft Intune および Microsoft Entra ID を使用すると、デバイス のリスク スコアに基づいてデバイス コンプライアンスと条件付きアクセス ポリシーを適用できます。 Defender for Endpoint は、Intune を介してこの機能を使用するために展開できるモバイル脅威防御 (MTD) ソリューションです。

iOS で Defender for Endpoint を使用して条件付きアクセスを設定する方法の詳細については、「 Defender for Endpoint and Intune」を参照してください。

Web 保護と VPN

既定では、iOS 上の Defender for Endpoint には Web 保護機能が含まれており、有効になっています。 Web 保護は、Web の脅威からデバイスを保護し、フィッシング攻撃からユーザーを保護するのに役立ちます。 フィッシング対策とカスタム インジケーター (URL とドメイン) は、Web Protection の一部としてサポートされています。 IP ベースのカスタム インジケーターは現在、iOS ではサポートされていません。 Web コンテンツ フィルタリングは現在、モバイル プラットフォーム (Android および iOS) ではサポートされていません。

iOS 上の Defender for Endpoint では、この機能を提供するために VPN が使用されます。 VPN はローカルであり、従来の VPN とは異なり、ネットワーク トラフィックはデバイスの外部に送信されません。

既定では有効になっていますが、VPN を無効にする必要がある場合があります。 たとえば、VPN が構成されている場合に機能しないアプリをいくつか実行する必要があります。 このような場合は、次の手順に従って、デバイス上のアプリから VPN を無効にすることを選択できます。

  1. iOS デバイスで 、設定 アプリを開き、[ 全般 ] を選択し、[ VPN] を選択します。

  2. Microsoft Defender for Endpoint の [i ] ボタンを選択します。

  3. [ オンデマンド接続 ] をオフにして VPN を無効にします。

    VPN 構成の [オンデマンド接続] オプションのトグル ボタン

注:

VPN が無効になっている場合、Web Protection は使用できません。 Web Protection を再度有効にするには、デバイスで Microsoft Defender for Endpoint アプリを開き、[ VPN の開始] をクリックまたはタップします。

Web 保護を無効にする

Web Protection は Defender for Endpoint の主要な機能の 1 つであり、その機能を提供するには VPN が必要です。 使用される VPN はローカル/ループバック VPN であり、従来の VPN ではありません。ただし、お客様が VPN を好まない理由がいくつかあります。 VPN を設定したくないお客様は、 Web Protection を無効にして、その機能なしで Defender for Endpoint を展開するオプションがあります。 その他の Defender for Endpoint 機能は引き続き機能します。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 MDM をお持ちのお客様の場合、管理者はアプリ構成でマネージド デバイスを使用して Web Protection を構成できます。登録がないお客様の場合、MAM を使用して、管理者はアプリ構成でマネージド アプリを使用して Web 保護 を構成できます。

Web Protection の構成

  1. Web Protection (MDM) を無効にする 次の手順を使用して、登録済みデバイスの Web Protection を無効にします。

    • Microsoft Intune 管理センターで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。
    • ポリシーにプラットフォーム iOS/iPadOS という名前>を付けます。
    • ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
    • [設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として [WebProtection ] を [文字列] として追加します。
      • 既定では、 WebProtection= true です
      • 管理者は 、Web 保護をオフにするには、WebProtection = false にする必要があります。
      • Defender は、ユーザーがアプリを開くたびに、ハートビートを Microsoft Defender ポータルに送信します。
      • [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

  2. Web Protection(MAM) を無効にする 登録解除されたデバイスの Web Protection を無効にするには、次の手順に従います。

    • Microsoft Intune 管理センターで、[アプリ]>[アプリの構成ポリシー] [管理対象アプリの>追加]> の順に移動します。
    • ポリシーに名前を付けます。
    • [パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
    • [設定] ページの [全般構成設定] で、 キーとして WebProtection を追加し、値を false として追加 します
      • 既定では、 WebProtection= true です
      • 管理者は 、Web 保護をオフにするには、WebProtection = false にする必要があります。
      • Defender は、ユーザーがアプリを開くたびに、ハートビートを Microsoft Defender ポータルに送信します。
      • [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

ネットワーク保護の構成

Microsoft Defender for endpoint のネットワーク保護は既定で無効になっています。 管理者は、次の手順を使用して Network Protection を構成できます。 この構成は、MDM 構成による登録済みデバイスと MAM 構成による登録解除されたデバイスの両方で使用できます。

注:

ネットワーク保護には、MDM または MAM の 1 つのポリシーのみを作成する必要があります。 ネットワーク保護の初期化では、エンド ユーザーがアプリを 1 回開く必要があります。

登録済みデバイス (MDM) の場合

ネットワーク保護用に登録済みデバイスの MDM 構成を設定するには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。

  2. ポリシーの名前と説明を指定します。 [ プラットフォーム] で、[ iOS/iPad] を選択します。

  3. 対象のアプリで、[ Microsoft Defender for Endpoint] を選択します。

  4. [設定] ページで、構成設定の形式 [ 構成デザイナーを使用する] を選択します。

  5. ネットワーク保護を無効にするには、構成キーとして 'DefenderNetworkProtectionEnable' を追加し、値の型を 'String' として、値を 'false' として追加します。 (ネットワーク保護は既定で有効になっています)。

    mdm 構成ポリシーを示すスクリーンショット。

  6. ネットワーク保護に関連するその他の構成については、次のキーを追加し、対応する値の種類と値を選択します。

    キー 値の種類 既定値 (true-enable、false-disable) 説明
    DefenderOpenNetworkDetection 整数 2 1 - 監査、0 - 無効、2 - Enable(default) この設定は、IT 管理者によって管理され、それぞれオープン ネットワーク検出を監査、無効化、または有効にします。 "監査" モードでは、エンド ユーザー エクスペリエンスのない ATP ポータルにのみアラートが送信されます。 エンド ユーザー エクスペリエンスの場合は、構成を [有効] モードに設定します。
    DefenderEndUserTrustFlowEnable String false true - enable、false - disable。この設定は、セキュリティで保護されていない疑わしいネットワークを信頼および信頼するために、エンド ユーザーのアプリ内エクスペリエンスを有効または無効にするために IT 管理者によって使用されます。
    DefenderNetworkProtectionAutoRemediation String true true - enable、false - disable。この設定は、IT 管理者が、ユーザーがより安全な WIFI アクセス ポイントへの切り替えなどの修復アクティビティを実行したときに送信される修復アラートを有効または無効にするために使用されます。
    DefenderNetworkProtectionPrivacy String true true - enable、false - disable。この設定は、ネットワーク保護でプライバシーを有効または無効にするために IT 管理者によって管理されます。 プライバシーが無効になっている場合は、悪意のある Wifi または証明書のデータを共有することにユーザーの同意が表示されます。 プライバシーが有効になっている場合、ユーザーの同意は表示されません。アプリ データは収集されません。

  7. [割り当て] セクションで、管理者はポリシーに含めるユーザーのグループを選択し、ポリシーから除外できます。

  8. 構成ポリシーを確認して作成します。

登録解除されたデバイス (MAM) の場合

iOS デバイスでネットワーク保護の登録解除されたデバイスの MAM 構成を設定するには、次の手順に従います (MAM 構成には認証デバイスの登録が必要です)。

  1. Microsoft Intune 管理センターで、[アプリ>アプリの構成ポリシー] [管理対象アプリの>追加]> [新しいアプリ>構成ポリシーの作成] の順に移動します。

    構成ポリシーを追加します。

  2. ポリシーを一意に識別するための名前と説明を指定します。 次に、[ パブリック アプリの選択] を選択し、[ Microsoft Defender for Platform iOS/iPadOS] を選択します。

    構成に名前を付けます。

  3. [設定] ページで、 DefenderNetworkProtectionEnable をキーとして追加し、 の値 false を追加してネットワーク保護を無効にします。 (ネットワーク保護は既定で有効になっています)。

    構成値を追加します。

  4. ネットワーク保護に関連するその他の構成については、次のキーと適切な対応する値を追加します。

    キー 既定値 (true - 有効、false - 無効) 説明
    DefenderOpenNetworkDetection 2 1 - 監査、0 - 無効、2 - 有効 (既定値)。 この設定は、開いているネットワーク検出を有効、監査、または無効にするために、IT 管理者によって管理されます。 監査モードでは、ユーザー側エクスペリエンスのない ATP ポータルにのみアラートが送信されます。 ユーザー エクスペリエンスの場合は、構成を "Enable" モードに設定します。
    DefenderEndUserTrustFlowEnable false true - enable、false - disable。この設定は、セキュリティで保護されていない疑わしいネットワークを信頼および信頼するために、エンド ユーザーのアプリ内エクスペリエンスを有効または無効にするために IT 管理者によって使用されます。
    DefenderNetworkProtectionAutoRemediation true true - enable、false - disable。この設定は、IT 管理者が、ユーザーがより安全な WIFI アクセス ポイントへの切り替えなどの修復アクティビティを実行したときに送信される修復アラートを有効または無効にするために使用されます。
    DefenderNetworkProtectionPrivacy true true - enable、false - disable。この設定は、ネットワーク保護でプライバシーを有効または無効にするために IT 管理者によって管理されます。 プライバシーが無効になっている場合は、悪意のある Wifi または証明書のデータを共有することにユーザーの同意が表示されます。 プライバシーが有効になっている場合、ユーザーの同意は表示されません。アプリ データは収集されません。

  5. [ 割り当て] セクションで、管理者はポリシーに含めるユーザーのグループを選択し、ポリシーから除外できます。

    構成を割り当てます。

  6. 構成ポリシーを確認して作成します。

複数の VPN プロファイルの共存

Apple iOS では、複数のデバイス全体の VPN を同時にアクティブにすることはできません。 デバイスには複数の VPN プロファイルを存在させることができますが、一度にアクティブにできる VPN は 1 つだけです。

アプリ保護ポリシー (MAM) で Microsoft Defender for Endpoint リスク シグナルを構成する

iOS 上の Microsoft Defender for Endpoint では、アプリ保護ポリシー シナリオが有効になります。 エンド ユーザーは、最新バージョンのアプリを Apple アプリ ストアから直接インストールできます。 デバイスが、MAM 登録を成功させるために Defender でオンボードするために使用されているのと同じアカウントで Authenticator に登録されていることを確認します。

Microsoft Defender for Endpoint は、iOS/iPadOS の App Protection ポリシー (APP、MAM とも呼ばれます) で使用される脅威シグナルを送信するように構成できます。 この機能を使用すると、Microsoft Defender for Endpoint を使用して、登録されていないデバイスから企業データへのアクセスを保護することもできます。

次のリンクの手順に従って、Microsoft Defender for Endpoint でアプリ保護ポリシーを設定する アプリ保護ポリシー (MAM) で Defender リスク シグナルを構成する

MAM またはアプリ保護ポリシーの詳細については、「 iOS アプリ保護ポリシーの設定」を参照してください。

プライバシーコントロール

iOS 上の Microsoft Defender for Endpoint では、管理者とエンド ユーザーの両方にプライバシー制御が有効になります。 これには、登録済み (MDM) デバイスと登録解除 (MAM) デバイスのコントロールが含まれます。

MDM をお持ちのお客様の場合、管理者はアプリ構成でマネージド デバイスを使用してプライバシー制御を構成できます。登録のないお客様の場合、MAM を使用して、管理者はアプリ構成でマネージド アプリを使用してプライバシー制御を構成できます。エンド ユーザーは、Defender アプリ設定からプライバシー設定を構成することもできます。

フィッシング アラート レポートでプライバシーを構成する

お客様は、iOS 上の Microsoft Defender for Endpoint から送信されたフィッシング レポートのプライバシー制御を有効にして、フィッシング Web サイトが Microsoft Defender for Endpoint によって検出およびブロックされるたびに、ドメイン名がフィッシング アラートの一部として含まれないようにできるようになりました。

  1. 管理者プライバシー制御 (MDM) 次の手順を使用して、プライバシーを有効にし、登録済みデバイスのフィッシング アラート レポートの一部としてドメイン名を収集しません。

    1. Microsoft Intune 管理センターで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。

    2. [ プラットフォーム > iOS/iPadOS] という名前をポリシーに付けて、プロファイルの種類を選択します。

    3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

    4. [設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーと値の種類として DefenderExcludeURLInReport をブール型として追加 します

      • プライバシーを有効にしてドメイン名を収集しないようにするには、 として true 値を入力し、このポリシーをユーザーに割り当てます。 既定では、この値は に false設定されます。
      • キーが として true設定されているユーザーの場合、Defender for Endpoint によって悪意のあるサイトが検出されてブロックされるたびに、フィッシング アラートにドメイン名情報は含まれません。

    5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

  2. 管理者プライバシー制御 (MAM) 次の手順を使用して、プライバシーを有効にし、登録されていないデバイスのフィッシング アラート レポートの一部としてドメイン名を収集しません。

    1. Microsoft Intune 管理センターで、[アプリ]>[アプリの構成ポリシー] [管理対象アプリの>追加]> の順に移動します。

    2. ポリシーに名前を付けます。

    3. [ パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint ] を選択します。

    4. [設定] ページの [ 全般構成設定] で、 DefenderExcludeURLInReport をキーとして、値を として true追加します。

      • プライバシーを有効にしてドメイン名を収集しないようにするには、 として true 値を入力し、このポリシーをユーザーに割り当てます。 既定では、この値は に false設定されます。
      • キーが として true設定されているユーザーの場合、Defender for Endpoint によって悪意のあるサイトが検出されてブロックされるたびに、フィッシング アラートにドメイン名情報は含まれません。

    5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

  3. エンド ユーザーのプライバシー制御 これらのコントロールは、エンド ユーザーが組織と共有する情報を構成するのに役立ちます。

    監視対象デバイスの場合、エンド ユーザー コントロールは表示されません。 管理者が設定を決定し、制御します。 ただし、教師なしデバイスの場合、コントロールは [設定のプライバシー] >の下に表示されます。

    • [ 安全でないサイト情報] のトグルがユーザーに表示されます。
    • このトグルは、管理者が DefenderExcludeURLInReport = true を設定している場合にのみ表示されます。
    • 管理者が有効にした場合、ユーザーは安全でないサイト情報を組織に送信するかどうかを決定できます。
    • 既定では、 は に false設定されます。 安全でないサイト情報は送信されません。
    • ユーザーが に true切り替える場合、安全でないサイトの詳細が送信されます。

上記のプライバシーコントロールをオンまたはオフにしても、デバイスコンプライアンスチェックや条件付きアクセスには影響しません。

注:

構成プロファイルを持つ監視対象デバイスでは、Microsoft Defender for Endpoint は URL 全体にアクセスでき、フィッシングであることが判明した場合はブロックされます。 教師なしデバイスでは、Microsoft Defender for Endpoint はドメイン名にのみアクセスでき、ドメインがフィッシング URL でない場合はブロックされません。

オプションのアクセス許可

iOS 上の Microsoft Defender for Endpoint では、オンボード フローで オプションのアクセス許可 が有効になります。 現在、Defender for Endpoint に必要なアクセス許可は、オンボード フローで必須です。 この機能を使用すると、管理者はオンボード中に 必須の VPN アクセス許可 を適用することなく、BYOD デバイスに Defender for Endpoint を展開できます。 エンド ユーザーは、必須のアクセス許可なしでアプリをオンボードでき、後でこれらのアクセス許可を確認できます。 この機能は現在、登録済みデバイス (MDM) にのみ存在します。

オプションのアクセス許可を構成する

  1. 管理フロー (MDM) 次の手順を使用して、登録済みデバイスの オプションの VPN アクセス許可を有効にします。

    • Microsoft Intune 管理センターで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。

    • ポリシーに名前を付け、[ プラットフォーム > iOS/iPadOS] を選択します。

    • ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

    • [設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーと値の種類として DefenderOptionalVPNブール型として追加します。

      • オプションの VPN アクセス許可を有効にするには、 として値を true 入力し、このポリシーをユーザーに割り当てます。 既定では、この値は に false設定されます。
      • キーが として true設定されているユーザーの場合、ユーザーは VPN アクセス許可を付与せずにアプリをオンボードできます。

    • [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

  2. エンド ユーザー フロー - ユーザーがアプリをインストールして開き、オンボードを開始します。

    • 管理者がオプションのアクセス許可を設定している場合、ユーザーは VPN アクセス許可を スキップ してオンボードを完了できます。
    • ユーザーが VPN をスキップした場合でも、デバイスはオンボードでき、ハートビートが送信されます。
    • VPN が無効になっている場合、Web 保護はアクティブではありません。
    • その後、ユーザーはアプリ内から Web 保護を有効にして、デバイスに VPN 構成をインストールできます。

注:

オプションのアクセス許可 は、 Web 保護の無効化とは異なります。 オプションの VPN アクセス許可は、オンボード中にのみアクセス許可をスキップするのに役立ちますが、エンド ユーザーが後で確認して有効にすることができます。 Web Protection を無効にすると、ユーザーは Web Protection なしで Defender for Endpoint アプリをオンボードできます。 後で有効にすることはできません。

脱獄検出

Microsoft Defender for Endpoint には、脱獄されているアンマネージド デバイスとマネージド デバイスを検出する機能があります。 これらの脱獄チェックは定期的に行われます。 デバイスが脱獄として検出された場合、次のイベントが発生します。

  • リスクの高いアラートは、Microsoft Defender ポータルに報告されます。 デバイスのコンプライアンスと条件付きアクセスがデバイス リスク スコアに基づいて設定されている場合、デバイスは企業データへのアクセスをブロックされます。
  • アプリ上のユーザー データがクリアされます。 脱獄後にユーザーがアプリを開くと、VPN プロファイルも削除され、Web 保護は提供されません。

脱獄されたデバイスに対してコンプライアンス ポリシーを構成する

脱獄された iOS デバイスで企業データがアクセスされないようにするには、Intune で次のコンプライアンス ポリシーを設定することをお勧めします。

注:

脱獄検出は、iOS 上の Microsoft Defender for Endpoint によって提供される機能です。 ただし、脱獄シナリオに対する追加の防御レイヤーとして、このポリシーを設定することをお勧めします。

脱獄されたデバイスに対するコンプライアンス ポリシーを作成するには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[デバイス>コンプライアンス ポリシー] [ポリシーの>作成] の順に移動します。 プラットフォームとして [iOS/iPadOS] を選択し、[ 作成] を選択します。

    [ポリシーの作成] タブ

  2. 脱獄のコンプライアンス ポリシーなど、 ポリシーの名前を指定します。

  3. [コンプライアンス設定] ページで、[デバイスの正常性] セクションを展開し、[脱獄されたデバイスブロック] フィールドを選択します。

    [コンプライアンス設定] タブ

  4. [ 非準拠のアクション] セクションで、要件に従ってアクションを選択し、[ 次へ] を選択します。

    [非準拠のアクション] タブ

  5. [ 割り当て] セクションで、このポリシーに含めるユーザー グループを選択し、[ 次へ] を選択します。

  6. [ 確認と作成 ] セクションで、入力したすべての情報が正しいことを確認し、[ 作成] を選択します。

カスタム インジケーターを構成する

iOS 上の Defender for Endpoint を使用すると、管理者は iOS デバイスでもカスタム インジケーターを構成できます。 カスタム インジケーターを構成する方法の詳細については、「インジケーターの 管理」を参照してください。

注:

iOS 上の Defender for Endpoint では、URL とドメインに対してのみカスタム インジケーターを作成できます。 IP ベースのカスタム インジケーターは、iOS ではサポートされていません。

iOS の場合、インジケーターに設定された URL またはドメインにアクセスすると、Microsoft Defender XDR でアラートは生成されません。

アプリの脆弱性評価を構成する

サイバー リスクを軽減するには、最も重要な資産全体のすべての最大の脆弱性を 1 つのソリューションで特定し、評価し、修復し、追跡するための包括的なリスクベースの脆弱性管理が必要です。 Microsoft Defender for Endpoint での Microsoft Defender 脆弱性管理の詳細については、この ページ を参照してください。

iOS 上の Defender for Endpoint では、OS とアプリの脆弱性評価がサポートされています。 iOS バージョンの脆弱性評価は、登録済み (MDM) デバイスと登録されていない (MAM) デバイスの両方で使用できます。 アプリの脆弱性評価は、登録済み (MDM) デバイスに対してのみ行われます。 管理者は、次の手順を使用して、アプリの脆弱性評価を構成できます。

監視対象デバイス上

  1. デバイスが 監視モードで構成されていることを確認します。

  2. Microsoft Intune 管理センターでこの機能を有効にするには、[エンドポイント セキュリティ>] [Microsoft Defender for Endpoint>Enable App sync for iOS/iPadOS デバイス] の順に移動します。

    アプリ同期トグルSup

注:

管理されていないアプリを含むすべてのアプリの一覧を取得するには、管理者は、"個人用" としてマークされた監視対象デバイスに対して、Intune 管理ポータルで 個人所有の iOS/iPadOS デバイスでアプリケーション インベントリ データ全体を送信 するを有効にする必要があります。 Intune 管理ポータルで "企業" としてマークされている監視対象デバイスの場合、管理者は 個人所有の iOS/iPadOS デバイスでアプリケーション インベントリ データ全体を送信するを有効にする必要はありません。

教師なしデバイス上

  1. Microsoft Intune 管理センターでこの機能を有効にするには、[エンドポイント セキュリティ>] [Microsoft Defender for Endpoint>Enable App sync for iOS/iPadOS デバイス] の順に移動します。

    アプリ同期トグル

  2. アンマネージド アプリを含むすべてのアプリの一覧を取得するには、[ 個人所有の iOS/iPadOS デバイスでアプリケーション インベントリ データ全体を送信する] トグルを有効にします。

    完全なアプリ データ

  3. プライバシー設定を構成するには、次の手順に従います。

    • [アプリ] [>アプリの構成ポリシー][管理対象デバイスの>追加]> の順に移動します
    • ポリシーにプラットフォームiOS/iPadOS という名前>を付けます。
    • ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
    • [設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として DefenderTVMPrivacyModeを String として追加します。
      • プライバシーを無効にし、インストールされているアプリの一覧を収集するには、 として値を False 入力し、このポリシーをユーザーに割り当てます。
      • 既定では、教師なしデバイスの場合、この値は に True 設定されます。
      • キーが として False設定されているユーザーの場合、Defender for Endpoint は脆弱性評価のためにデバイスにインストールされているアプリの一覧を送信します。
    • [ 次へ ] をクリックし、対象のデバイス/ユーザーにこのプロファイルを割り当てます。
    • 上記のプライバシーコントロールをオンまたはオフにした場合、デバイスコンプライアンスチェックや条件付きアクセスには影響しません。

  4. 構成が適用されたら、エンド ユーザーがアプリを開いてプライバシー設定を 承認 する必要があります。

    • プライバシーの承認画面は、教師なしデバイスに対してのみ表示されます。

    • エンド ユーザーがプライバシーを承認した場合にのみ、アプリ情報が Defender for Endpoint コンソールに送信されます。

      エンド ユーザーのプライバシー画面のスクリーンショット。

クライアント バージョンがターゲット iOS デバイスにデプロイされると、処理が開始されます。 これらのデバイスで見つかった脆弱性は、Defender 脆弱性管理ダッシュボードに表示され始めます。 処理が完了するまでに数時間 (最大 24 時間) かかる場合があります。 特に、アプリの一覧全体がソフトウェア インベントリに表示されます。

注:

iOS デバイス内で SSL 検査ソリューションを使用している場合は、TVM 機能を機能させるために これらのドメイン名 securitycenter.windows.com (商用環境) と securitycenter.windows.us (GCC 環境) の一覧を許可してください。

サインアウトを無効にする

iOS 上の Defender for Endpoint では、ユーザーが Defender アプリからサインアウトできないように、アプリのサインアウト ボタンのないデプロイがサポートされています。 これは、ユーザーがデバイスを改ざんするのを防ぐために重要です。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用して、[サインアウトを無効にする] を構成できます

サインアウトを無効にするを構成する

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[アプリ > ] [アプリの構成ポリシー] [管理対象デバイスの > 追加] > の順に移動します。
  2. ポリシーに名前を付け、[プラットフォーム > iOS/iPadOS] を選択します
  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
  4. [設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として DisableSignOutを String として追加します。
  5. 既定では、DisableSignOut = false です。
  6. 管理者は、アプリのサインアウト ボタンを無効にするには 、DisableSignOut = true にする必要があります。 ポリシーがプッシュされると、サインアウト ボタンは表示されません。
  7. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[アプリ] > [アプリの構成ポリシー] [管理対象アプリの > 追加] > の順に移動します。
  2. ポリシーに名前を付けます。
  3. [パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
  4. [設定] ページで、キーとして DisableSignOut を 追加し、値を true として [全般構成設定] の下に追加します。
  5. 既定では、DisableSignOut = false です。
  6. 管理者は、アプリのサインアウト ボタンを無効にするには 、DisableSignOut = true にする必要があります。 ポリシーがプッシュされると、サインアウト ボタンは表示されません。
  7. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

デバイスのタグ付け

iOS 上の Defender for Endpoint を使用すると、管理者が Intune を介してタグを設定できるようにすることで、オンボード中にモバイル デバイスに一括タグを付けられます。 管理者は、構成ポリシーを使用して Intune を介してデバイス タグを構成し、ユーザーのデバイスにプッシュできます。 ユーザーが Defender をインストールしてアクティブ化すると、クライアント アプリはデバイス タグをセキュリティ ポータルに渡します。 デバイス インベントリ内のデバイスに対してデバイス タグが表示されます。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用してデバイス タグを構成できます。

デバイス タグを構成する

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[アプリ > ] [アプリの構成ポリシー] [管理対象デバイスの > 追加] > の順に移動します。

  2. ポリシーに名前を付け、[プラットフォーム > iOS/iPadOS] を選択します

  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

  4. [設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として DefenderDeviceTagを String として追加します。

    • 管理者は、キー DefenderDeviceTag を追加し、デバイス タグの値を設定することで、新しいタグを割り当てることができます。
    • 管理者は、キー DefenderDeviceTag の値を変更することで、既存のタグを編集できます。
    • 管理者は、キー DefenderDeviceTag を削除することで、既存のタグを削除できます。

  5. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[アプリ] > [アプリの構成ポリシー] [管理対象アプリの > 追加] > の順に移動します。
  2. ポリシーに名前を付けます。
  3. [パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
  4. [設定] ページで、[全般構成設定] の下のキーとして DefenderDeviceTag を追加します。
    • 管理者は、キー DefenderDeviceTag を追加し、デバイス タグの値を設定することで、新しいタグを割り当てることができます。
    • 管理者は、キー DefenderDeviceTag の値を変更することで、既存のタグを編集できます。
    • 管理者は、キー DefenderDeviceTag を削除することで、既存のタグを削除できます。
  5. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

注:

タグを Intune と同期し、セキュリティ ポータルに渡すには、Defender アプリを開く必要があります。 ポータルにタグが反映されるまでに最大で 18 時間かかる場合があります。

OS 更新通知を抑制する

お客様は、iOS 上の Defender for Endpoint で OS 更新通知を抑制するための構成を使用できます。 Intune アプリ構成ポリシーで構成キーが設定されると、Defender for Endpoint は OS の更新に関する通知をデバイスに送信しません。 ただし、Defender アプリを開くと、デバイス正常性カードが表示され、OS の状態が表示されます。

この構成は、登録済み (MDM) デバイスと登録解除 (MAM) デバイスの両方で使用できます。 管理者は、次の手順を使用して、OS 更新通知を抑制できます。

OS 更新通知の構成

登録済みデバイス (MDM) の場合

  1. Microsoft Intune 管理センターで、[アプリ > ] [アプリの構成ポリシー] [管理対象デバイスの > 追加] > の順に移動します。
  2. ポリシーに名前を付け、[プラットフォーム > iOS/iPadOS] を選択します。
  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
  4. [設定] ページで、[構成デザイナーを使用する] を選択し、キーと値の種類として SuppressOSUpdateNotificationを String として追加します。
  5. 既定では、SuppressOSUpdateNotification = false です。
  6. OS の更新通知を抑制するには、管理者が SuppressOSUpdateNotification = true にする 必要があります。
  7. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

登録解除されたデバイス (MAM) の場合

  1. Microsoft Intune 管理センターで、[アプリ] > [アプリの構成ポリシー] [管理対象アプリの > 追加] > の順に移動します。
  2. ポリシーに名前を付けます。
  3. [パブリック アプリの選択] で、ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。
  4. [設定] ページで、[全般構成設定] の下のキーとして SuppressOSUpdateNotification を追加します。
  5. 既定では、SuppressOSUpdateNotification = false です。
  6. OS の更新通知を抑制するには、管理者が SuppressOSUpdateNotification = true にする 必要があります。
  7. [次へ] をクリックし、対象のデバイス/ユーザーにこのポリシーを割り当てます。

アプリ内フィードバックを送信するオプションを構成する

お客様は、Defender for Endpoint アプリ内で Microsoft にフィードバック データを送信する機能を構成できるようになりました。 フィードバック データは、Microsoft が製品を改善し、問題のトラブルシューティングを行うのに役立ちます。

注:

米国政府機関クラウドのお客様の場合、フィードバック データ収集は既定で 無効になっています

次の手順を使用して、フィードバック データを Microsoft に送信するオプションを構成します。

  1. Microsoft Intune 管理センターで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。

  2. ポリシーに名前を付け、プロファイルの種類として [ プラットフォーム > iOS/iPadOS ] を選択します。

  3. ターゲット アプリとして [Microsoft Defender for Endpoint] を選択します。

  4. [設定] ページで、[ 構成デザイナーを使用する ] を選択し、キーと値の種類として DefenderFeedbackDataブール型として追加します。

    • エンド ユーザーがフィードバックを提供する機能を削除するには、値を として false 設定し、このポリシーをユーザーに割り当てます。 既定では、この値は に true設定されます。 米国政府機関のお客様の場合、既定値は 'false' に設定されます。

    • キーが として true設定されているユーザーの場合は、アプリ内でフィードバック データを Microsoft に送信するオプションがあります (メニュー>ヘルプ & フィードバック>を Microsoft に送信します)。

  5. [ 次へ ] を選択し、対象のデバイス/ユーザーにこのプロファイルを割り当てます。

安全でないサイトを報告する

フィッシング詐欺の Web サイトは、お客様の個人情報または財務情報を取得する目的で信頼できる Web サイトを偽装します。 フィッシング サイトである可能性がある Web サイトを報告するには、 ネットワーク保護に関するフィードバックの提供に関 するページを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。