Intuneを使用してiPhoneをMicrosoft Defender for Endpointにオンボードする

2023.03.31

1.Microsoft Defenderアプリのインストール

まずはMicrosoft DefenderアプリをiPhoneにインストールします。

VPPを利用する場合は下記の手順を実施します。

VPPを使用してIntuneのiOS/iPadOSデバイスにアプリを一括配信する

監視モードのデバイスは「2.デバイスのオンボード(監視モード)」を実施します。

非監視モードのデバイスは「3.デバイスのオンボード(非監視モード)」を実施します。


2.デバイスのオンボード(監視モード)

監視モードではローカルループバックVPNを使用せずにWeb保護を利用することが出来ます。

2.1.アプリ構成ポリシー

1.Microsoft Intune 管理センターを開きます。

2.「アプリ」-「アプリ構成ポリシー」-「追加」-「マネージドデバイス」をクリックします。



3.下記の通り設定し、「次へ」をクリックします。

  • 名前:<任意の値>
  • プラットフォーム:iOS/iPadOS
  • 対象アプリ:Microsoft Defender


4.下記の通り設定し、「次へ」をクリックします。

  • 構成設定の形式:構成デザイナーを使用する
  • 構成キー:issupervised
  • 値の型:文字列
  • 構成値:{{issupervised}}


5.任意のグループを設定し、「次へ」をクリックします。



6.設定を確認し、「作成」をクリックします。




2.2.デバイス構成プロファイル(コントロールフィルター)

コントロールフィルターには下記の2種類あります。

  • ゼロタッチコントロールフィルター
  • コントロールフィルター

構成プロファイルは事前に下記から「ControlFilterZeroTouch」もしくは「ControlFilter」をダウンロードします。

Microsoft Intuneを使用して iOS にMicrosoft Defender for Endpointをデプロイする
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/ios-install?view=o365-worldwide

1.「デバイス」-「構成プロファイル」-「プロファイルの作成」をクリックします。



2.下記の通り設定し、「作成」をクリックします。

  • プラットフォーム:iOS/iPadOS
  • プロファイルの種類:テンプレート
  • テンプレート名:カスタム


3.任意の名前を設定し、「次へ」をクリックします。



4.任意のカスタム構成プロファイル名を設定し、事前にダウンロードした構成プロファイルをアップロードし、「次へ」をクリックします。



5.任意のグループを設定し、「次へ」をクリックします。



6.設定を確認し、「作成」をクリックします。





3.デバイスのオンボード(非監視モード)

非監視モードではローカルループバックVPNを使用してWeb保護を利用することが出来ます。

3.1.ゼロタッチ(サイレント)オンボード

ユーザーアフィニティ無しのデバイスは本手順を利用出来ないので、「3.2.VPNプロファイルの自動オンボード(簡易オンボード)」の手順を実施してください。

1.「デバイス」-「構成プロファイル」-「プロファイルの追加」をクリックします。



2.下記の通り設定し、「作成」をクリックします。

  • プラットフォーム:iOS/iPadOS
  • プロファイルの種類:テンプレート
  • テンプレート名:VPN


3.任意の名前を設定し、「次へ」をクリックします。



4.下記の通り設定し、「次へ」をクリックします。

  • 接続の種類:カスタムVPN
  • 接続名:Microsoft Defender for Endpoint
  • VPN サーバーアドレス:127.0.0.1
  • 認証方法:ユーザー名とパスワード
  • 分割トンネリング:無効にする
  • VPN識別子:com.microsoft.scmx
  • キーと値
    • キー:SilentOnboard
    • 値:True
  • 自動VPNの種類:オンデマンド VPN
  • オンデマンドルール
    • 次を実行します:VPN の接続
    • 次に制限します:すべてのドメイン
  • ユーザーが自動VPNを無効にすることをブロックする:<任意の値>


5.任意のグループを設定し、「次へ」をクリックします。



6.設定を確認し、「作成」をクリックします。



3.2.VPNプロファイルの自動オンボード(簡易オンボード)

本手順は「3.1.ゼロタッチ(サイレント)オンボード」の手順とほぼ同じです。

下記の通り構成設定で「AutoOnboard」を指定します。

  • キーと値
    • キー:AutoOnboard
    • 値:True


Intuneを利用したiPhoneのMicrosoft Defender for Endpointへのオンボードは以上です。

コメント

タイトルとURLをコピーしました