التوزيع باستخدام نظام إدارة الجهاز الجوال (MDM) مختلف Microsoft Defender لنقطة النهاية على macOS

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

المتطلبات الأساسية ومتطلبات النظام

قبل البدء، راجع Microsoft Defender لنقطة النهاية الرئيسية على صفحة macOS للحصول على وصف للمتطلبات الأساسية ومتطلبات النظام لإصدار البرنامج الحالي.

النهج

الحذر

حاليا، تدعم Microsoft رسميا Intune و JAMF فقط لنشر وإدارة Microsoft Defender لنقطة النهاية على macOS. لا تقدم Microsoft أي ضمانات، صريحة أو ضمنية، فيما يتعلق بالمعلومات المقدمة أدناه.

إذا كانت مؤسستك تستخدم حل إدارة الجهاز الجوال (MDM) غير مدعوم رسميا، فهذا لا يعني أنك غير قادر على نشر Microsoft Defender لنقطة النهاية أو تشغيلها على macOS.

لا يعتمد Microsoft Defender لنقطة النهاية على macOS على أي ميزات خاصة بالمورد. يمكن استخدامه مع أي حل MDM يدعم الميزات التالية:

  • انشر .pkg macOS على الأجهزة المدارة.
  • توزيع ملفات تعريف تكوين نظام macOS على الأجهزة المدارة.
  • قم بتشغيل أداة/برنامج نصي عشوائي مكون من قبل المسؤول على الأجهزة المدارة.

تتضمن معظم حلول MDM الحديثة هذه الميزات، ومع ذلك، قد تستدعيها بشكل مختلف.

يمكنك نشر Defender لنقطة النهاية دون المتطلب الأخير من القائمة السابقة، ومع ذلك:

  • لن تتمكن من جمع الحالة بطريقة مركزية.
  • إذا قررت إلغاء تثبيت Defender لنقطة النهاية، فستحتاج إلى تسجيل الدخول إلى جهاز العميل محليا كمسؤول.

نشر

تستخدم معظم حلول MDM نفس النموذج لإدارة أجهزة macOS، مع مصطلحات مماثلة. استخدم التوزيع المستند إلى JAMF كقالب.

حزمه

تكوين توزيع حزمة تطبيق مطلوبة، مع تنزيل حزمة التثبيت (wdav.pkg) من مدخل Microsoft Defender.

تحذير

إعادة حزمة تثبيت Defender لنقطة النهاية ليست سيناريو مدعوما. يمكن أن يؤثر القيام بذلك سلبا على سلامة المنتج ويؤدي إلى نتائج سلبية، بما في ذلك على سبيل المثال لا الحصر تشغيل تنبيهات العبث والتحديثات التي تفشل في التطبيق.

لتوزيع الحزمة على مؤسستك، استخدم الإرشادات المقترنة بحل MDM الخاص بك.

إعدادات الترخيص

إعداد ملف تعريف تكوين النظام.

قد يطلق عليه حل MDM شيئا مثل "ملف تعريف الإعدادات المخصصة"، لأن Microsoft Defender لنقطة النهاية على macOS ليست جزءا من macOS.

استخدم قائمة الخصائص، jamf/WindowsDefenderATPOnboarding.plist، والتي يمكن استخراجها من حزمة إلحاق تم تنزيلها من مدخل Microsoft Defender. قد يدعم نظامك قائمة خصائص عشوائية بتنسيق XML. يمكنك تحميل ملف jamf/WindowsDefenderATPOnboarding.plist كما هو الحال في هذه الحالة. بدلا من ذلك، قد يتطلب منك تحويل قائمة الخصائص إلى تنسيق مختلف أولا.

عادة ما يحتوي ملف التعريف المخصص على معرف أو اسم أو سمة مجال. يجب عليك استخدام "com.microsoft.wdav.atp" بالضبط لهذه القيمة. يستخدمه MDM لنشر ملف الإعدادات إلى /Library/Managed Preferences/com.microsoft.wdav.atp.plist على جهاز عميل، ويستخدم Defender for Endpoint هذا الملف لتحميل معلومات الإلحاق.

ملفات تعريف تكوين النظام

يتطلب macOS أن يوافق المستخدم يدويا وصريحا على بعض الوظائف التي يستخدمها التطبيق، على سبيل المثال ملحقات النظام، التي تعمل في الخلفية، وإرسال الإعلامات، والوصول الكامل إلى القرص وما إلى ذلك. يعتمد Microsoft Defender لنقطة النهاية على هذه الوظائف، ولا يمكن أن يعمل بشكل صحيح حتى يتم تلقي جميع هذه الموافقات من المستخدم.

لمنح الموافقة تلقائيا نيابة عن المستخدم، يدفع المسؤول نهج النظام من خلال نظام MDM الخاص به. هذا ما نوصي بشدة بالقيام به، بدلا من الاعتماد على الموافقات اليدوية من المستخدمين النهائيين.

نحن نوفر جميع النهج التي تتطلبها Microsoft Defender لنقطة النهاية كملفات تكوين الأجهزة المحمولة المتوفرة في https://github.com/microsoft/mdatp-xplat. Mobileconfig هو تنسيق استيراد/تصدير من Apple يدعمه Apple Configurator أو منتجات أخرى مثل iMazing Profile المحرر.

يدعم معظم موردي MDM استيراد ملف تكوين الأجهزة المحمولة الذي ينشئ ملف تعريف تكوين مخصص جديد.

لإعداد ملفات التعريف:

  1. تعرف على كيفية إجراء استيراد تكوين الأجهزة المحمولة مع مورد MDM الخاص بك.
  2. بالنسبة لجميع ملفات التعريف من https://github.com/microsoft/mdatp-xplat، قم بتنزيل ملف mobileconfig واستورده.
  3. تعيين النطاق المناسب لكل ملف تعريف تكوين تم إنشاؤه.

لاحظ أن Apple تنشئ بانتظام أنواعا جديدة من الحمولات باستخدام إصدارات جديدة من نظام التشغيل. ستحتاج إلى زيارة الصفحة المذكورة أعلاه، ونشر ملفات تعريف جديدة بمجرد توفرها. نقوم بنشر إعلامات إلى صفحة "ما الجديد" الخاصة بنا بمجرد إجراء تغييرات من هذا القبيل.

إعدادات تكوين Defender لنقطة النهاية

لنشر تكوين Microsoft Defender لنقطة النهاية، تحتاج إلى ملف تعريف تكوين.

توضح الخطوات التالية كيفية تطبيق ملف تعريف التكوين والتحقق من تطبيقه.

1. ينشر MDM ملف تعريف التكوين على الأجهزة المسجلة يمكنك عرض ملفات التعريف في ملفات تعريف إعدادات > النظام. ابحث عن الاسم الذي استخدمته لملف تعريف إعدادات التكوين Microsoft Defender لنقطة النهاية. إذا لم تشاهده، فراجع وثائق MDM للحصول على تلميحات حول استكشاف الأخطاء وإصلاحها.

2. يظهر ملف تعريف التكوين في الملف الصحيح

Microsoft Defender لنقطة النهاية القراءات /Library/Managed Preferences/com.microsoft.wdav.plist والملفات/Library/Managed Preferences/com.microsoft.wdav.ext.plist. يستخدم هذين الملفين فقط للإعدادات المدارة.

إذا لم تتمكن من رؤية هذه الملفات، ولكنك تحققت من تسليم ملفات التعريف (راجع القسم السابق)، فهذا يعني أن ملفات التعريف الخاصة بك تم تكوينها بشكل خاطئ. إما أنك قمت بإنشاء ملف تعريف التكوين هذا "مستوى المستخدم" بدلا من "مستوى الكمبيوتر"، أو استخدمت مجال تفضيلات مختلفا بدلا من تلك التي يتوقعها Microsoft Defender لنقطة النهاية ("com.microsoft.wdav" و"com.microsoft.wdav.ext").

راجع وثائق MDM الخاصة بك لمعرفة كيفية إعداد ملفات تعريف تكوين التطبيق.

3. يحتوي ملف تعريف التكوين على البنية المتوقعة

يمكن أن تكون هذه الخطوة صعبة للتحقق. يتوقع Microsoft Defender لنقطة النهاية com.microsoft.wdav.plist ببنية صارمة. إذا وضعت الإعدادات في مكان غير متوقع، أو أخطأت في تعيينها، أو استخدمت نوعا غير صالح، يتم تجاهل الإعدادات بصمت.

  1. يمكنك التحقق والتأكد من mdatp health أن الإعدادات التي قمت بتكوينها تم الإبلاغ عنها ك [managed].
  2. يمكنك فحص محتوى /Library/Managed Preferences/com.microsoft.wdav.plist وتأكد من أنه يطابق الإعدادات المتوقعة:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

يمكنك استخدام بنية ملف تعريف التكوين الموثقة كإرشادات.

توضح هذه المقالة أن "antivirusEngine" و"edr" و"tamperProtection" هي إعدادات في المستوى الأعلى لملف التكوين. وعلى سبيل المثال، "scanHistoryMaximumItems" هي في المستوى الثاني وهي من نوع عدد صحيح.

يجب أن تشاهد هذه المعلومات في إخراج الأمر السابق. إذا اكتشفت أن "antivirusEngine" متداخل ضمن بعض الإعدادات الأخرى - فسيتم تكوين ملف التعريف بشكل خاطئ. إذا كان بإمكانك رؤية "antivirusengine" بدلا من "antivirusEngine"، يتم خطأ إملائي في الاسم ويتم تجاهل السلسلة الفرعية بأكملها من الإعدادات. إذا "scanHistoryMaximumItems" => "10000"تم استخدام النوع الخطأ وسيتم تجاهل الإعداد.

تحقق من توزيع جميع ملفات التعريف

يمكنك تنزيل analyze_profiles.py وتشغيلها. سيقوم هذا البرنامج النصي بجمع وتحليل جميع ملفات التعريف المنشورة على جهاز ويحذرك من الملفات المفقودة. لاحظ أنه قد يفوت بعض الأخطاء، ولا يدرك بعض قرارات التصميم التي يتخذها مسؤولو النظام عمدا. استخدم هذا البرنامج النصي للحصول على إرشادات، ولكن تحقق دائما إذا رأيت شيئا تم وضع علامة عليه كخطأ. على سبيل المثال، يخبرك دليل الإلحاق بنشر ملف تعريف تكوين لإلحاق الكائن الثنائي كبير الحجم. ومع ذلك، تقرر بعض المؤسسات تشغيل البرنامج النصي للإلحاق اليدوي بدلا من ذلك. analyze_profile.py يحذرك من ملف التعريف الفائت. يمكنك إما أن تقرر الإلحاق عبر ملف تعريف التكوين، أو تجاهل التحذير تماما.

التحقق من حالة التثبيت

قم بتشغيل Microsoft Defender لنقطة النهاية على جهاز عميل للتحقق من حالة الإلحاق.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.