Nasazení s jiným systémem mdm (Mobile Správa zařízení) pro Microsoft Defender for Endpoint v macOS
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Požadavky a požadavky na systém
Než začnete, podívejte se na hlavní Microsoft Defender for Endpoint na stránce macOS, kde najdete popis požadavků a požadavků na systém pro aktuální verzi softwaru.
Přístup
Upozornění
V současné době Microsoft oficiálně podporuje pouze Intune a JAMF pro nasazení a správu Microsoft Defender for Endpoint v systému macOS. Společnost Microsoft neposkytuje na níže uvedené informace žádné záruky, ať už výslovné nebo předpokládané.
Pokud vaše organizace používá řešení MDM (Mobile Správa zařízení), které není oficiálně podporováno, neznamená to, že nemůžete nasadit nebo spustit Microsoft Defender for Endpoint v systému macOS.
Microsoft Defender for Endpoint v systému macOS nezávisí na žádných funkcích specifických pro dodavatele. Dá se použít s jakýmkoli řešením MDM, které podporuje následující funkce:
- Nasaďte .pkg pro macOS do spravovaných zařízení.
- Nasaďte profily konfigurace systému macOS do spravovaných zařízení.
- Na spravovaných zařízeních spusťte libovolný nástroj nebo skript nakonfigurovaný správcem.
Většina moderních řešení MDM tyto funkce zahrnuje, ale můžou je volat jinak.
Defender for Endpoint můžete nasadit bez posledního požadavku z předchozího seznamu, ale:
- Nebudete moct shromažďovat stav centralizovaným způsobem.
- Pokud se rozhodnete defender for Endpoint odinstalovat, budete se muset přihlásit ke klientskému zařízení místně jako správce.
Nasazení
Většina řešení MDM používá stejný model pro správu zařízení s macOS s podobnou terminologií. Jako šablonu použijte nasazení založené na JAMF .
Balíček
Nakonfigurujte nasazení požadovaného balíčku aplikace s instalačním balíčkem (wdav.pkg) staženým z portálu Microsoft Defender.
Upozornění
Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a selhání aktualizace.
Pokud chcete balíček nasadit do podniku, postupujte podle pokynů přidružených k vašemu řešení MDM.
Nastavení licence
Nastavte profil konfigurace systému.
Vaše řešení MDM ho může nazývat něco jako "Vlastní profil nastavení", protože Microsoft Defender for Endpoint v macOS není součástí macOS.
Použijte seznam vlastností jamf/WindowsDefenderATPOnboarding.plist, který lze extrahovat z onboardingového balíčku staženého z portálu Microsoft Defender. Váš systém může podporovat seznam libovolných vlastností ve formátu XML. V takovém případě můžete nahrát soubor jamf/WindowsDefenderATPOnboarding.plist tak, jak je. Případně může vyžadovat, abyste nejprve převedli seznam vlastností do jiného formátu.
Váš vlastní profil má obvykle ID, název nebo atribut domény. Pro tuto hodnotu musíte použít přesně "com.microsoft.wdav.atp". MDM ho používá k nasazení souboru nastavení do /Library/Managed Preferences/com.microsoft.wdav.atp.plist na klientském zařízení a Defender for Endpoint použije tento soubor k načtení informací o onboardingu.
Profily konfigurace systému
macOS vyžaduje, aby uživatel ručně a explicitně schválil určité funkce, které aplikace používá, například rozšíření systému, spouštění na pozadí, odesílání oznámení, plný přístup k disku atd. Microsoft Defender for Endpoint na tyto funkce spoléhá a nemůže správně fungovat, dokud od uživatele neobdrží všechny tyto souhlasy.
Pokud chce správce udělit souhlas jménem uživatele automaticky, nasdílí systémové zásady prostřednictvím svého systému MDM. To důrazně doporučujeme, abyste se nespoléhat na ruční schválení od koncových uživatelů.
Všechny zásady, které Microsoft Defender for Endpoint vyžadují, poskytujeme jako soubory mobileconfig dostupné na adrese https://github.com/microsoft/mdatp-xplat. Mobileconfig je formát společnosti Apple pro import/export, který podporuje Apple Configurator nebo jiné produkty, jako je iMazing Profile Editor .
Většina dodavatelů MDM podporuje import souboru mobileconfig a vytvoření nového vlastního konfiguračního profilu.
Nastavení profilů:
- Zjistěte, jak se import mobileconfig provádí u dodavatele MDM.
- Pro všechny profily z https://github.com/microsoft/mdatp-xplatnástroje stáhněte soubor mobileconfig a naimportujte ho.
- Každému vytvořenému konfiguračnímu profilu přiřaďte správný obor.
Všimněte si, že Apple pravidelně vytváří nové typy datových částí s novými verzemi operačního systému. Budete muset navštívit výše uvedenou stránku a publikovat nové profily, jakmile budou k dispozici. Jakmile provedeme podobné změny, zveřejníme oznámení na naší stránce Co je nového .
Kontrola stavu instalace
Spuštěním Microsoft Defender for Endpoint na klientském zařízení zkontrolujte stav onboardingu.
Tip
Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.