Nastavení Microsoft Defender for Endpoint zásad pro macOS v Jamf Pro

Platí pro:

• Defender for Endpoint na Macu
• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Tento článek slouží k nastavení zásad pro Defender for Endpoint na Macu pomocí Jamf Pro.

Krok 1: Získání balíčku pro onboarding Microsoft Defender for Endpoint

Důležité

Abyste mohli zobrazit, spravovat a onboardovat zařízení, musíte mít přiřazenou odpovídající roli. Další informace najdete v tématu Správa přístupu k Microsoft Defender XDR pomocí Microsoft Entra globálních rolí.

1. Na portálu Microsoft Defender přejděte naOnboardingkoncových bodů>nastavení>.

2. Jako operační systém vyberte macOS a jako metodu nasazení vyberte Mobile Správa zařízení/Microsoft Intune.

   

3. Vyberte Stáhnout onboardingový balíček (WindowsDefenderATPOnboardingPackage.zip).

4. Extrahovat WindowsDefenderATPOnboardingPackage.zip.

5. Zkopírujte soubor do upřednostňovaného umístění. Například: C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Krok 2: Vytvoření konfiguračního profilu v Jamf Pro pomocí balíčku pro onboarding

1. Vyhledejte soubor WindowsDefenderATPOnboarding.plist z předchozí části.

   

2. Přihlaste se k Jamf Pro, přejděte naProfily konfiguracepočítačů> a vyberte Nový.

   

3. Na kartě Obecné zadejte následující podrobnosti:

   • Název: MDE onboarding for macOS
   • Popis: MDE EDR onboarding for macOS
   • Kategorie: None
   • Metoda distribuce: Install Automatically
   • Úroveň: Computer Level

4. Přejděte na stránku Aplikace & Vlastní nastavení , vyberte Nahrát a pak vyberte Přidat.

   

5. Vyberte Nahrát soubor (soubor PLIST) a do pole Předvolba domény zadejte com.microsoft.wdav.atp.

   

   

6. Vyberte Otevřít a vyberte soubor onboardingu.

   

7. Vyberte Nahrát.

   

8. Vyberte kartu Obor .

   

9. Vyberte cílové počítače.

   

   

10. Vyberte Uložit.

    

    

11. Vyberte Hotovo.

    

    

Krok 3: Konfigurace nastavení Microsoft Defender for Endpoint

V tomto kroku si projdeme předvolby, abyste mohli nakonfigurovat antimalwarové zásady a zásady EDR pomocí Microsoft Defender XDR portálu (https://security.microsoft.com) nebo Jamf.

Důležité

Microsoft Defender for Endpoint Zásady správy nastavení zabezpečení mají přednost před zásadami sady Jamf (a dalšími zásadami MDM třetích stran).

3a. Nastavení zásad pomocí portálu Microsoft Defender

1. Před nastavením zásad zabezpečení pomocí Microsoft Defender postupujte podle pokynů v tématu Konfigurace Microsoft Defender for Endpoint v Intune.

2. Na portálu Microsoft Defender přejděte na Správa> konfiguraceZásady zabezpečení koncových bodů Pro>Mac Zásady>vytvoření nových zásad.

3. V části Vybrat platformu vyberte macOS.

4. V části Vybrat šablonu zvolte šablonu a vyberte Vytvořit zásadu.

5. Zadejte název a popis zásady a pak vyberte Další.

6. Na kartě Přiřazení přiřaďte profil skupině, ve které se nacházejí zařízení a/nebo uživatelé s macOS, nebo Všichni uživatelé a Všechna zařízení.

Další informace o správě nastavení zabezpečení najdete v následujících článcích:

• Správa Microsoft Defender for Endpoint na zařízeních pomocí Microsoft Intune

• Správa nastavení zabezpečení pro Windows, macOS a Linux nativně v Defenderu for Endpoint

3b. Nastavení zásad pomocí Jamf

Pomocí grafického uživatelského rozhraní Jamf Pro můžete upravit jednotlivá nastavení konfigurace Microsoft Defender for Endpoint nebo použít starší metodu tak, že v textovém editoru vytvoříte konfigurační soubor Plist a nahrajete ho do Jamf Pro.

Jako předvolbu domény musíte použít přesněcom.microsoft.wdav. Microsoft Defender for Endpoint používá pouze tento název a com.microsoft.wdav.ext k načtení svého spravovaného nastavení. (Verzi com.microsoft.wdav.ext můžete použít ve výjimečných případech, kdy dáváte přednost použití metody grafického uživatelského rozhraní, ale potřebujete také nakonfigurovat nastavení, které ještě nebylo přidáno do schématu.)

Metoda grafického uživatelského rozhraní

1. schema.json Stáhněte si soubor z úložiště GitHub v Defenderu a uložte ho do místního souboru:

   curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
   

2. Vytvořte nový konfigurační profil. V části Počítače přejděte na Konfigurační profily a pak na kartě Obecné zadejte následující podrobnosti:

   

   • Název: MDATP MDAV configuration settings
   • Popis: <blank\>
   • Kategorie: None (default)
   • Úroveň: Computer Level (default)
   • Metoda distribuce: Install Automatically (default)

3. Posuňte se dolů na kartu Application & Custom Settings (Vlastní nastavení), vyberte External Applications (Externí aplikace), vyberte Add (Přidat) a pak jako zdroj domény předvoleb použijte Vlastní schéma .

   

4. Jako com.microsoft.wdav Předvolba domény zadejte, vyberte Přidat schéma a pak nahrajte schema.json soubor stažený v kroku 1. Vyberte Uložit.

   

5. Všechna podporovaná nastavení konfigurace Microsoft Defender for Endpoint najdete v části Vlastnosti předvolby domény. Vyberte Přidat nebo odebrat vlastnosti a vyberte nastavení, která chcete spravovat, a pak vyberte OK a uložte změny. (Nevybraná nastavení se do spravované konfigurace nezahrnou, koncoví uživatelé můžou tato nastavení nakonfigurovat na svých počítačích.)

   

6. Změňte hodnoty nastavení na požadované hodnoty. Pokud chcete získat dokumentaci ke konkrétnímu nastavení, vyberte Další informace . (Můžete vybrat Plist Preview a zkontrolovat, co konfigurace plist. Výběrem možnosti Editor formulářů se vraťte do vizuálního editoru.)

   

7. Vyberte kartu Obor .

   

8. Vyberte Skupina počítačů společnosti Contoso. Vyberte Přidat a pak vyberte Uložit.

   

   

9. Vyberte Hotovo. Zobrazí se nový konfigurační profil.

   

Microsoft Defender for Endpoint postupně přidává nová nastavení. Tato nová nastavení se přidají do schématu a nová verze se publikuje na GitHubu. Pokud chcete získat aktualizace, stáhněte si aktualizované schéma a upravte stávající konfigurační profil. Na kartě Vlastní nastavení aplikace & vyberte Upravit schéma.

Starší metoda

1. Použijte následující nastavení konfigurace Microsoft Defender for Endpoint:

   • enableRealTimeProtection
   • passiveMode (Toto nastavení není ve výchozím nastavení zapnuté. Pokud plánujete na Macu spouštět antivirový software, který není od Microsoftu, nastavte ho na true.)
   • exclusions
   • excludedPath
   • excludedFileExtension
   • excludedFileName
   • exclusionsMergePolicy
   • allowedThreats (EICAR je na vzorku. Pokud procházíte testováním konceptu, odeberte ho, zejména pokud testujete EICAR.)
   • disallowedThreatActions
   • potentially_unwanted_application
   • archive_bomb
   • cloudService
   • automaticSampleSubmission
   • tags
   • hideStatusMenuIcon

   Další informace najdete v tématu Seznam vlastností pro úplný konfigurační profil Jamf.

     <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
     <plist version="1.0">
     <dict>
         <key>antivirusEngine</key>
         <dict>
             <key>enableRealTimeProtection</key>
             <true/>
             <key>passiveMode</key>
             <false/>
             <key>exclusions</key>
             <array>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <false/>
                     <key>path</key>
                     <string>/var/log/system.log</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedPath</string>
                     <key>isDirectory</key>
                     <true/>
                     <key>path</key>
                     <string>/home</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileExtension</string>
                     <key>extension</key>
                     <string>pdf</string>
                 </dict>
                 <dict>
                     <key>$type</key>
                     <string>excludedFileName</string>
                     <key>name</key>
                     <string>cat</string>
                 </dict>
             </array>
             <key>exclusionsMergePolicy</key>
             <string>merge</string>
             <key>allowedThreats</key>
             <array>
                 <string>EICAR-Test-File (not a virus)</string>
             </array>
             <key>disallowedThreatActions</key>
             <array>
                 <string>allow</string>
                 <string>restore</string>
             </array>
             <key>threatTypeSettings</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>potentially_unwanted_application</string>
                     <key>value</key>
                     <string>block</string>
                 </dict>
                 <dict>
                     <key>key</key>
                     <string>archive_bomb</string>
                     <key>value</key>
                     <string>audit</string>
                 </dict>
             </array>
             <key>threatTypeSettingsMergePolicy</key>
             <string>merge</string>
         </dict>
         <key>cloudService</key>
         <dict>
             <key>enabled</key>
             <true/>
             <key>diagnosticLevel</key>
             <string>optional</string>
             <key>automaticSampleSubmission</key>
             <true/>
         </dict>
         <key>edr</key>
         <dict>
             <key>tags</key>
             <array>
                 <dict>
                     <key>key</key>
                     <string>GROUP</string>
                     <key>value</key>
                     <string>ExampleTag</string>
                 </dict>
             </array>
         </dict>
         <key>userInterface</key>
         <dict>
             <key>hideStatusMenuIcon</key>
             <false/>
         </dict>
     </dict>
     </plist>
   

2. Uložte soubor jako MDATP_MDAV_configuration_settings.plist.

3. Na řídicím panelu Jamf Pro otevřete počítače a jejich konfigurační profily. Vyberte Nový a přepněte na kartu Obecné .

   

4. Na kartě Obecné zadejte následující podrobnosti:

   • Název: MDATP MDAV configuration settings
   • Popis: <blank>
   • Kategorie: None (default)
   • Metoda distribuce: Install Automatically (default)
   • Úroveň: Computer Level (default)

5. V části Application & Custom Settings (Vlastní nastavení aplikace) vyberte Configure (Konfigurovat).

   

   

6. Vyberte Nahrát soubor (soubor PLIST).

   

7. Do pole Doména předvoleb zadejte com.microsoft.wdava pak vyberte Nahrát soubor PLIST.

   

8. Vyberte Zvolit soubor.

   

9. Vyberte MDATP_MDAV_configuration_settings.plist a pak vyberte Otevřít.

   

10. Vyberte Nahrát.

    

    

    Poznámka

    Pokud soubor Intune nahrajete, zobrazí se následující chyba:

    

11. Vyberte Uložit.

    

12. Soubor se nahraje.

    

    

13. Vyberte kartu Obor .

    

14. Vyberte Skupina počítačů společnosti Contoso. Vyberte Přidat a pak vyberte Uložit.

    

    

15. Vyberte Hotovo. Zobrazí se nový konfigurační profil.

Krok 4: Konfigurace nastavení oznámení

Poznámka

Tento postup platí pro macOS 11 (Big Sur) nebo novější. I když Jamf podporuje oznámení v systému macOS verze 10.15 nebo novějším, Defender for Endpoint na Macu vyžaduje macOS 11 nebo novější.

1. Na řídicím panelu Jamf Pro vyberte Počítače a pak Konfigurační profily.

2. Vyberte Nový a pak na kartě Obecné v části Možnosti zadejte následující podrobnosti:

   • Název: MDATP MDAV Notification settings

   • Popis: macOS 11 (Big Sur) or later

   • Kategorie: None *(default)*

   • Metoda distribuce: Install Automatically *(default)*

   • Úroveň: Computer Level *(default)*

     

3. Na kartě Oznámení vyberte Přidat a zadejte následující hodnoty:

   • ID sady:com.microsoft.wdav.tray
   • Kritické výstrahy: Vyberte Zakázat.
   • Oznámení: Vyberte Povolit.
   • Typ bannerové výstrahy: Vyberte Zahrnout a Dočasné(výchozí)
   • Oznámení na zamykací obrazovce: Vyberte Skrýt.
   • Oznámení v Centru oznámení: Vyberte Zobrazení
   • Ikona aplikace s oznámením: Vyberte Zobrazení

   

4. Na kartě Oznámení ještě jednou vyberte Přidat a pak se posuňte dolů na Nové nastavení oznámení.

   • ID sady:com.microsoft.autoupdate.fba

5. Nakonfigurujte zbývající nastavení na stejné hodnoty uvedené výše.

   

   Všimněte si, že teď máte dvě tabulky s konfigurací oznámení, jednu pro ID sady: com.microsoft.wdav.tray a druhou pro ID sady: com.microsoft.autoupdate.fba. I když nastavení upozornění můžete nakonfigurovat podle svých požadavků, ID sad musí být úplně stejná, jako je popsáno výše, a přepínač Zahrnout musí být pro oznámenízapnutý.

6. Vyberte kartu Obor a pak vyberte Přidat.

   

7. Vyberte Skupina počítačů společnosti Contoso. Vyberte Přidat a pak vyberte Uložit.

   

   

8. Vyberte Hotovo. Měl by se zobrazit nový konfigurační profil.

   

Krok 5: Konfigurace Microsoft AutoUpdate (MAU)

1. Použijte následující nastavení konfigurace Microsoft Defender for Endpoint:

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
    <key>ChannelName</key>
    <string>Current</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
   </dict>
   </plist>
   

2. Uložte ho jako MDATP_MDAV_MAU_settings.plist.

3. Na řídicím panelu Jamf Pro vyberte Obecné.

   

4. Na kartě Obecné zadejte následující podrobnosti:

   • Název: MDATP MDAV MAU settings
   • Popis: Microsoft AutoUpdate settings for MDATP for macOS
   • Kategorie: None (default)
   • Metoda distribuce: Install Automatically (default)
   • Úroveň: Computer Level (default)

5. V části Application & Custom Settings (Vlastní nastavení) vyberte Configure (Konfigurovat).

   

6. Vyberte Nahrát soubor (soubor PLIST).

7. Do pole Předvolba doména zadejte com.microsoft.autoupdate2a pak vyberte Nahrát soubor PLIST.

   

8. Vyberte Zvolit soubor.

   

9. Vyberte MDATP_MDAV_MAU_settings.plist.

   

10. Vyberte Nahrát.

    

11. Vyberte Uložit.

    

12. Vyberte kartu Obor .

    

13. Vyberte možnost Přidat.

    

    

    

14. Vyberte Hotovo.

    

Krok 6: Udělení úplného přístupu k disku Microsoft Defender for Endpoint

1. Na řídicím panelu Jamf Pro vyberte Konfigurační profily.

   

2. Vyberte + Nový.

3. Na kartě Obecné zadejte následující podrobnosti:

   • Název: MDATP MDAV - grant Full Disk Access to EDR and AV
   • Popis: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
   • Kategorie: None
   • Metoda distribuce: Install Automatically
   • Úroveň: Computer level

   

4. V části Konfigurovat řízení zásad předvoleb ochrany osobních údajů vyberte Konfigurovat.

   

5. V části Řízení zásad předvoleb ochrany osobních údajů zadejte následující podrobnosti:

   • Identifikátor: com.microsoft.wdav
   • Typ identifikátoru: Bundle ID
   • Požadavek na kód: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

   

6. Vyberte + Přidat.

   

   • V části Aplikace nebo služba vyberte SystemPolicyAllFiles.
   • V části Přístup vyberte Povolit.

7. Vyberte Uložit (ne ten v pravém dolním rohu).

   

8. Vyberte znaménko + vedle položky Přístup k aplikacím a přidejte novou položku.

   

9. Zadejte následující podrobnosti:

   • Identifikátor: com.microsoft.wdav.epsext
   • Typ identifikátoru: Bundle ID
   • Požadavek na kód: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

10. Vyberte + Přidat.

    

• V části Aplikace nebo služba vyberte SystemPolicyAllFiles.
• V části Přístup vyberte Povolit.

11. Vyberte Uložit (ne ten v pravém dolním rohu).

12. Vyberte kartu Obor .

13. Vyberte + Přidat.

14. Vyberte Počítač Skupiny a v části Název skupiny vyberte MachineGroup společnosti Contoso.

15. Vyberte možnost Přidat. Pak vyberte Uložit.

16. Vyberte Hotovo.

    

    

Případně si můžete stáhnout soubor fulldisk.mobileconfig a nahrát ho do konfiguračních profilů Jamf, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Poznámka

Úplný přístup k disku udělený prostřednictvím konfiguračního profilu Apple MDM se neprojeví v Nastavení systému => Ochrana osobních údajů & Zabezpečení => Úplný přístup k disku.

Krok 7: Schválení systémových rozšíření pro Microsoft Defender for Endpoint

1. V konfiguračních profilech vyberte + Nový.

   

2. Na kartě Obecné zadejte následující podrobnosti:

   • Název: MDATP MDAV System Extensions
   • Popis: MDATP system extensions
   • Kategorie: None
   • Metoda distribuce: Install Automatically
   • Úroveň: Computer Level

   

3. V části System Extensions (Rozšíření systému) vyberte Configure (Konfigurovat).

   

4. V části Systémová rozšíření zadejte následující podrobnosti:

   • Zobrazovaný název: Microsoft Corp. System Extensions
   • Typy systémových rozšíření: Allowed System Extensions
   • Identifikátor týmu: UBF8T346G9
   • Povolená systémová rozšíření:
     • com.microsoft.wdav.epsext
     • com.microsoft.wdav.netext

   

5. Vyberte kartu Obor .

   

6. Vyberte + Přidat.

7. Vyberte Počítač Skupiny> v části Název> skupiny vyberte Skupina počítačů contoso.

8. Vyberte + Přidat.

   

9. Vyberte Uložit.

   

10. Vyberte Hotovo.

    

Krok 8: Konfigurace síťového rozšíření

V rámci funkcí detekce a odezvy koncových bodů Microsoft Defender for Endpoint v systému macOS kontroluje provoz soketů a hlásí tyto informace na portálu Microsoft Defender.

Poznámka

Tento postup platí pro macOS 11 (Big Sur) nebo novější. I když Jamf podporuje oznámení v systému macOS verze 10.15 nebo novějším, Defender for Endpoint na Macu vyžaduje macOS 11 nebo novější.

1. Na řídicím panelu Jamf Pro vyberte Počítače a pak Konfigurační profily.

2. Vyberte Nový a do pole Možnosti zadejte následující podrobnosti:

3. Na kartě Obecné zadejte následující hodnoty:

   • Název: Microsoft Defender Network Extension
   • Popis: macOS 11 (Big Sur) or later
   • Kategorie: None *(default)*
   • Metoda distribuce: Install Automatically *(default)*
   • Úroveň: Computer Level *(default)*

4. Na kartě Filtr obsahu zadejte následující hodnoty:

   • Název filtru: Microsoft Defender Content Filter
   • Identifikátor: com.microsoft.wdav
   • Ponechte adresu služby, organizaci, uživatelské jméno, heslo, certifikát prázdné (možnost Zahrnoutnení vybraná).
   • Pořadí filtru: Inspector
   • Filtr soketů: com.microsoft.wdav.netext
   • Filtr soketů – určený požadavek: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
   • Pole filtru sítě ponechte prázdná (možnost Zahrnoutnení vybraná).

   Všimněte si, že identifikátor, filtr soketů a soketový filtr určený požadavek přesné hodnoty uvedené výše.

   

5. Vyberte kartu Obor .

   

6. Vyberte + Přidat. Vyberte Počítač Skupiny a pak v části Název skupiny vyberte Skupina počítačů společnosti Contoso. Pak vyberte + Přidat.

   

7. Vyberte Uložit.

   

8. Vyberte Hotovo.

   

Případně si můžete stáhnout netfilter.mobileconfig a nahrát ho do konfiguračních profilů Jamf, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|

Krok 9: Konfigurace služeb na pozadí

Upozornění

macOS 13 (Ventura) obsahuje nová vylepšení ochrany osobních údajů. Počínaje touto verzí se aplikace ve výchozím nastavení nedají spustit na pozadí bez výslovného souhlasu. Microsoft Defender for Endpoint musí proces démona spustit na pozadí.

Tento konfigurační profil uděluje službě na pozadí oprávnění k Microsoft Defender for Endpoint. Pokud jste dříve nakonfigurovali Microsoft Defender for Endpoint prostřednictvím Jamf, doporučujeme aktualizovat nasazení pomocí tohoto konfiguračního profilu.

Stáhněte si background_services.mobileconfig z našeho úložiště GitHub.

Nahrajte stažený soubor mobileconfig do konfiguračních profilů Jamf, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Krok 10: Udělení oprávnění Bluetooth

Upozornění

macOS 14 (Sonoma) obsahuje nová vylepšení ochrany osobních údajů. Počínaje touto verzí nemají aplikace ve výchozím nastavení přístup k Bluetooth bez výslovného souhlasu. Microsoft Defender for Endpoint ho používá, pokud nakonfigurujete zásady Bluetooth pro Řízení zařízení.

Stáhněte si bluetooth.mobileconfig z úložiště GitHub.

Upozornění

Aktuální verze Jamf Pro zatím tento druh datové části nepodporuje. Pokud tento mobileconfig nahrajete tak, jak je, Jamf Pro odebere nepodporovanou datovou část a nebude se vztahovat na klientské počítače. Musíte nejprve podepsat stažený mobileconfig, poté Jamf Pro bude považovat za "zapečetěný" a nebude s ním manipulovat. Projděte si následující pokyny:

• Do řetězce klíčů musíte mít nainstalovaný alespoň jeden podpisový certifikát, dokonce i certifikát podepsaný svým držitelem funguje. Můžete zkontrolovat, co máte:

  > /usr/bin/security find-identity -p codesigning -v
  
    1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
    2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
    3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
    4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
       4 valid identities found
  

Vyberte některou z nich a jako -N parametr zadejte uvozovaný text:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Teď můžete nahrát vygenerovaný soubor bluetooth-signed.mobileconfig do Jamf Pro, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Poznámka

Bluetooth udělený prostřednictvím konfiguračního profilu Apple MDM se neprojeví v Nastavení systému => Ochrana osobních údajů & Zabezpečení => Bluetooth.

Krok 11: Plánování kontrol s Microsoft Defender for Endpoint v systému macOS

Postupujte podle pokynů v tématu Plánování kontrol pomocí Microsoft Defender for Endpoint v systému macOS.

Krok 12: Nasazení Microsoft Defender for Endpoint v macOS

Poznámka

V následujících krocích .pkg jsou příkladem název souboru a hodnoty Zobrazovaný název . V těchto příkladech představuje datum vytvoření 200329 balíčku a zásady (ve yymmdd formátu) a v100.86.92 představuje verzi Microsoft Defender aplikace, která se nasazuje. Tyto hodnoty by se měly aktualizovat tak, aby odpovídaly zásadám vytváření názvů, které používáte ve svém prostředí pro balíčky a zásady.

1. Přejděte do umístění, kam jste uložili wdav.pkg.

   

2. Přejmenujte ho na wdav_MDM_Contoso_200329.pkg.

   

3. Otevřete řídicí panel Jamf Pro.

   

4. Vyberte počítač, vyberte ikonu ozubeného kola v horní části a pak vyberte Správa počítače.

   

5. V části Balíčky vyberte + Nový.

   

6. Na kartě Obecné v části Nový balíček zadejte následující podrobnosti:

   • Zobrazovaný název: Prozatím ho nechte prázdný. Protože se resetuje, když zvolíte pkg.
   • Kategorie: None (default)
   • Název souboru: Choose File

   

7. Otevřete soubor a nasměrujte ho na wdav.pkg nebo wdav_MDM_Contoso_200329.pkg.

   

8. Vyberte Otevřít. Nastavte Zobrazovaný název na Microsoft Defender Advanced Threat Protection a Microsoft Defender Antivirus.

   • Soubor manifestu není povinný. Microsoft Defender for Endpoint funguje bez souboru manifestu.
   • Karta Možnosti: Ponechte výchozí hodnoty.
   • Karta Omezení: Zachovat výchozí hodnoty

   

9. Vyberte Uložit. Balíček se nahraje do Jamf Pro.

   

   Může trvat několik minut, než bude balíček k dispozici pro nasazení.

   

10. Přejděte na stránku Zásady .

11. Vyberte + Nová a vytvořte novou zásadu.

    

12. V části Obecné jako Zobrazovaný název použijte MDATP Onboarding Contoso 200329 v100.86.92 or later.

    

13. Vyberte Opakované vracení se změnami.

    

14. Vyberte Uložit. Pak vyberte Balíčky a pak vyberteKonfigurovat.

    

15. Vyberte tlačítko Přidat vedle Microsoft Defender Advanced Threat Protection a Microsoft Defender Antivirus.

    

16. Vyberte Uložit.

    

Vytvořte inteligentní skupinu pro počítače s profily Microsoft Defender.

Pro lepší uživatelské prostředí musí být před Microsoft Defender balíčkem nainstalované konfigurační profily pro zaregistrované počítače. Ve většině případů JamF Pro nasdílí konfigurační profily okamžitě a tyto zásady se spustí po nějaké době (tedy během ohlášení). V některých případech ale nasazení konfiguračních profilů může být nasazeno s výrazným zpožděním (to znamená, že je počítač uživatele uzamčený).

Jamf Pro poskytuje způsob, jak zajistit správné pořadí. Můžete vytvořit inteligentní skupinu pro počítače, které už obdržely konfigurační profil Microsoft Defender, a nainstalovat balíček Microsoft Defender jenom do těchto počítačů (a jakmile tento profil obdrží).

Postupujte takto:

1. Vytvořte inteligentní skupinu. V novém okně prohlížeče otevřete inteligentní počítače Skupiny.

2. Vyberte Nový a pojmenujte skupinu.

3. Na kartě Kritéria vyberte Přidat a pak vyberte Zobrazit rozšířená kritéria.

4. Jako kritérium vyberte Název profilu a jako hodnotu použijte název dříve vytvořeného konfiguračního profilu:

   

5. Vyberte Uložit.

6. Zpět do okna, ve kterém konfigurujete zásady balíčku.

7. Vyberte kartu Obor .

   

8. Vyberte cílové počítače.

   

9. V části Obor vyberte Přidat.

   

10. Přepněte na kartu Počítač Skupiny. Najděte vytvořenou inteligentní skupinu a vyberte Přidat.

11. Pokud chcete, aby uživatelé nainstalovali Defender for Endpoint dobrovolně (nebo na vyžádání), vyberte Samoobslužná služba.

12. Vyberte Hotovo.

Rozsah konfiguračního profilu

Jamf vyžaduje, abyste pro konfigurační profil definovali sadu počítačů. Musíte se ujistit, že všechny počítače, které přijímají balíček Defenderu, také obdrží všechny výše uvedené konfigurační profily.

Upozornění

Jamf podporuje inteligentní Skupiny počítačů, které umožňují nasazení, například konfiguračních profilů nebo zásad, na všechny počítače, které splňují určitá kritéria vyhodnocená dynamicky. Jedná se o výkonný koncept, který se široce používá pro distribuci konfiguračních profilů.

Mějte ale na paměti, že tato kritéria by neměla zahrnovat přítomnost Defenderu na počítači. I když použití tohoto kritéria může znít logicky, vytváří problémy, které je obtížné diagnostikovat.

Defender spoléhá na všechny tyto profily v okamžiku instalace.

Nastavení konfiguračních profilů v závislosti na přítomnosti defenderu efektivně zpožďuje nasazení konfiguračních profilů a výsledkem je původně produkt, který není v pořádku, nebo se zobrazí výzva k ručnímu schválení určitých oprávnění aplikace, která jsou jinak automaticky schválena profily. Nasazení zásady s balíčkem Microsoft Defender po nasazení konfiguračních profilů zajistí nejlepší prostředí koncového uživatele, protože všechny požadované konfigurace se použijí před instalací balíčku.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.