Nastavení Microsoft Defender for Endpoint zásad pro macOS v Jamf Pro

  • Článek

Platí pro:

Tato stránka vás provede kroky, které je potřeba provést při nastavení zásad pro macOS v Jamf Pro.

Budete muset provést následující kroky:

  1. Získání balíčku pro onboarding Microsoft Defender for Endpoint
  2. Vytvoření konfiguračního profilu v Jamf Pro pomocí balíčku pro onboarding
  3. Konfigurace nastavení Microsoft Defender for Endpoint
  4. Konfigurace nastavení oznámení Microsoft Defender for Endpoint
  5. Konfigurace Microsoft AutoUpdate (MAU)
  6. Udělení úplného přístupu k disku pro Microsoft Defender for Endpoint
  7. Schválení systémových rozšíření pro Microsoft Defender for Endpoint
  8. Konfigurace síťového rozšíření
  9. Konfigurace služeb na pozadí
  10. Plánování kontrol s Microsoft Defender for Endpoint v systému macOS
  11. Nasazení Microsoft Defender for Endpoint v macOS

Krok 1: Získání balíčku pro onboarding Microsoft Defender for Endpoint

  1. V Microsoft Defender XDR přejděte na Onboarding koncových bodů > nastavení>.

  2. Jako operační systém vyberte macOS a jako metodu nasazení vyberte Mobile Správa zařízení/Microsoft Intune.

    Stránka Nastavení.

  3. Vyberte Stáhnout onboardingový balíček (WindowsDefenderATPOnboardingPackage.zip).

  4. Extrahovat WindowsDefenderATPOnboardingPackage.zip.

  5. Zkopírujte soubor do upřednostňovaného umístění. Například: C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Krok 2: Vytvoření konfiguračního profilu v Jamf Pro pomocí balíčku pro onboarding

  1. Vyhledejte soubor WindowsDefenderATPOnboarding.plist z předchozí části.

    Soubor Windows Defender onboardingu ATP.

  2. Přihlaste se k Jamf Pro, přejděte naProfily konfiguracepočítačů> a vyberte Nový.

    Stránka, na které vytvoříte nový řídicí panel Jamf Pro.

  3. Na kartě Obecné zadejte následující podrobnosti:

    • Název: Onboarding MDE pro macOS
    • Popis: Onboarding MDE EDR pro macOS
    • Kategorie: Žádné
    • Metoda distribuce: Automatická instalace
    • Úroveň: Úroveň počítače

  4. Přejděte na stránku Vlastní nastavení aplikace & a vyberte Nahrát>přidat.

    Nakonfigurujte aplikaci a vlastní nastavení.

  5. Vyberte Nahrát soubor (soubor PLIST) a do pole Doména předvoleb zadejte: com.microsoft.wdav.atp.

    Soubor pro nahrání souboru jamfpro plist

    Vlastnost nahrání souboru Seznam souborů.

  6. Vyberte Otevřít a vyberte soubor onboardingu.

    Soubor onboardingu

  7. Vyberte Nahrát.

    Nahrávající soubor plist.

  8. Vyberte kartu Obor .

    Karta Obor

  9. Vyberte cílové počítače.

    Cílové počítače.

    Cíle.

  10. Vyberte Uložit.

    Nasazení cílových počítačů.

    Výběr cílových počítačů.

  11. Vyberte Hotovo.

    Počítače cílové skupiny.

    Seznam konfiguračních profilů.

Krok 3: Konfigurace nastavení Microsoft Defender for Endpoint

Pomocí grafického uživatelského rozhraní JAMF Pro můžete upravit jednotlivá nastavení konfigurace Microsoft Defender for Endpoint nebo použít starší metodu tak, že v textovém editoru vytvoříte konfigurační seznam Plist a nahrajete ho do JAMF Pro.

Mějte na paměti, že musíte použít přesně com.microsoft.wdav jako doménu předvoleb, Microsoft Defender for Endpoint používá pouze tento název a com.microsoft.wdav.ext k načtení jeho spravovaných nastavení!

(Verzi com.microsoft.wdav.ext můžete použít ve výjimečných případech, kdy dáváte přednost použití metody grafického uživatelského rozhraní, ale potřebujete také nakonfigurovat nastavení, které ještě nebylo přidáno do schématu.)

Metoda grafického uživatelského rozhraní

  1. Stáhněte si soubor schema.json z úložiště GitHub defenderu a uložte ho do místního souboru:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. V části Počítače –> konfigurační profily vytvořte nový konfigurační profil a na kartě Obecné zadejte následující podrobnosti:

    Nový profil.

    • Název: Nastavení konfigurace MDATP MDAV
    • Popis:<prázdné>
    • Kategorie: Žádná (výchozí)
    • Úroveň: Úroveň počítače (výchozí)
    • Distribuční metoda: Automatická instalace (výchozí)

  3. Posuňte se dolů na kartu Vlastní nastavení aplikace&, vyberte Externí aplikace, klikněte na Přidat a jako zdroj použijte vlastní schéma, které se má použít pro doménu předvoleb.

    Přidejte vlastní schéma.

  4. Jako com.microsoft.wdav předvolbu domény zadejte, vyberte Přidat schéma a nahrajte soubor schema.json stažený v kroku 1. Klikněte na Uložit.

    Nahrání schématu

  5. Všechna podporovaná nastavení konfigurace Microsoft Defender for Endpoint najdete níže v části Vlastnosti předvolby domény. Kliknutím na Přidat nebo odebrat vlastnosti vyberte nastavení, která chcete spravovat, a kliknutím na OK uložte změny. (Nevybraná nastavení se do spravované konfigurace nezahrnou, koncoví uživatelé budou moct tato nastavení nakonfigurovat na svých počítačích.)

    Vybraná spravovaná nastavení

  6. Změňte hodnoty nastavení na požadované hodnoty. Kliknutím na Další informace získáte dokumentaci ke konkrétnímu nastavení. (Můžete kliknout na Plist Preview a zkontrolovat, jak bude konfigurační seznam plist vypadat. Kliknutím na Editor formulářů se vraťte do vizuálního editoru.)

    Stránka, na které změníte hodnoty nastavení.

  7. Vyberte kartu Obor .

    Obor konfiguračního profilu.

  8. Vyberte Skupina počítačů společnosti Contoso.

  9. Vyberte Přidat a pak vyberte Uložit.

    Stránka, na kterou můžete přidat nastavení konfigurace.

    Stránka, na kterou můžete uložit nastavení konfigurace.

  10. Vyberte Hotovo. Zobrazí se nový konfigurační profil.

    Stránka, na které dokončíte nastavení konfigurace.

Microsoft Defender for Endpoint postupně přidává nová nastavení. Tato nová nastavení se přidají do schématu a nová verze se publikuje na GitHubu. K aktualizaci stačí stáhnout aktualizované schéma, upravit existující konfigurační profil a upravit schéma na kartě Vlastní nastavení aplikace&.

Starší metoda

  1. Použijte následující nastavení konfigurace Microsoft Defender for Endpoint:

    • enableRealTimeProtection
    • pasivní režim

    Poznámka

    Ve výchozím nastavení není zapnuté. Pokud plánujete spustit av od jiného výrobce pro macOS, nastavte ho na true.

    • Vyloučení
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats

    Poznámka

    EICAR je na vzorku, pokud procházíte testováním konceptu, odeberte ho, zejména pokud testujete EICAR.

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • Tagy
    • hideStatusMenuIcon

    Informace najdete v tématu Seznam vlastností pro úplný konfigurační profil JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Uložte soubor jako MDATP_MDAV_configuration_settings.plist.

  3. Na řídicím panelu Jamf Pro otevřete počítače a jejich konfigurační profily. Klikněte na Nový a přepněte na kartu Obecné .

    Stránka zobrazující nový profil.

  4. Na kartě Obecné zadejte následující podrobnosti:

    • Název: Nastavení konfigurace MDATP MDAV
    • Popis:<prázdné>
    • Kategorie: Žádná (výchozí)
    • Distribuční metoda: Automatická instalace (výchozí)
    • Úroveň: Úroveň počítače (výchozí)

  5. V části Vlastní nastavení aplikace &vyberte Konfigurovat.

    Nastavení konfigurace MDATP MDAV.

    Aplikace a vlastní nastavení.

  6. Vyberte Nahrát soubor (soubor PLIST).

    Soubor plist nastavení konfigurace.

  7. V části Doména předvoleb zadejte com.microsoft.wdava pak vyberte Nahrát soubor PLIST.

    Doména předvoleb nastavení konfigurace.

  8. Vyberte Zvolit soubor.

    Výzva k výběru souboru plist

  9. Vyberte MDATP_MDAV_configuration_settings.plist a pak vyberte Otevřít.

    Nastavení konfigurace mdatpmdav.

  10. Vyberte Nahrát.

    Nastavení konfigurace se nahraje.

    Výzva k nahrání obrázku souvisejícího s nastavením konfigurace

    Poznámka

    Pokud soubor Intune nahrajete, zobrazí se následující chyba:

    Výzva k nahrání souboru Intune souvisejícího s nastavením konfigurace

  11. Vyberte Uložit.

    Možnost uložit image související s nastavením konfigurace.

  12. Soubor se nahraje.

    Nahraný soubor se vztahuje k nastavení konfigurace.

    Stránka nastavení konfigurace

  13. Vyberte kartu Obor .

    Obor nastavení konfigurace.

  14. Vyberte Skupina počítačů společnosti Contoso.

  15. Vyberte Přidat a pak vyberte Uložit.

    Nastavení konfigurace se přidáváav.

    Oznámení o nastavení konfigurace.

  16. Vyberte Hotovo. Zobrazí se nový konfigurační profil.

    Obrázek konfiguračního profilu nastavení konfiguraceNastavení konfiguračního profilu.

Krok 4: Konfigurace nastavení oznámení

Tento postup platí pro macOS 11 (Big Sur) nebo novější.

  1. Na řídicím panelu Jamf Pro vyberte Počítače a pak Konfigurační profily.

  2. Klikněte na Nový a na kartě Obecné zadejte následující podrobnosti pro Možnosti:

    • Název: Nastavení oznámení MDATP MDAV
    • Popis: macOS 11 (Big Sur) nebo novější
    • Kategorie: Žádná (výchozí)
    • Distribuční metoda: Automatická instalace (výchozí)
    • Úroveň: Úroveň počítače (výchozí)

    Stránka nového konfiguračního profilu macOS

    • Tabulátor Oznámení, klikněte na Přidat a zadejte následující hodnoty:

      • ID sady:com.microsoft.wdav.tray
      • Kritické výstrahy: Klikněte na Zakázat.
      • Oznámení: Klikněte na Povolit.
      • Typ bannerové výstrahy: Vyberte Zahrnout a Dočasné(výchozí)
      • Oznámení na zamykací obrazovce: Klikněte na Skrýt.
      • Oznámení v Centru oznámení: Klikněte na Zobrazit.
      • Ikona aplikace s odznákem: Klikněte na Zobrazit

      Panel oznámení mdatpmdav nastavení konfigurace.

    • Karta Oznámení, klikněte ještě jednou na Přidat, posuňte se dolů na Nová nastavení oznámení.

      • ID sady:com.microsoft.autoupdate.fba
      • Nakonfigurujte zbývající nastavení na stejné hodnoty jako výše.

      Nastavení konfigurace mdatpmdav oznámení mau.

      Všimněte si, že teď máte dvě tabulky s konfigurací oznámení, jednu pro ID sady: com.microsoft.wdav.tray a druhou pro ID sady: com.microsoft.autoupdate.fba. I když nastavení upozornění můžete nakonfigurovat podle svých požadavků, ID sad musí být úplně stejná, jako je popsáno výše, a přepínač Zahrnout musí být pro oznámenízapnutý.

  3. Vyberte kartu Obor a pak vyberte Přidat.

    Stránka, na které můžete přidat hodnoty pro nastavení konfigurace.

  4. Vyberte Skupina počítačů společnosti Contoso.

  5. Vyberte Přidat a pak vyberte Uložit.

    Stránka, na které můžete uložit hodnoty pro nastavení konfigurace contoso machine group.

    Stránka, která zobrazuje oznámení o dokončení nastavení konfigurace.

  6. Vyberte Hotovo. Zobrazí se nový konfigurační profil.

    Dokončené nastavení konfigurace.

Krok 5: Konfigurace Microsoft AutoUpdate (MAU)

  1. Použijte následující nastavení konfigurace Microsoft Defender for Endpoint:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. Uložte ho jako MDATP_MDAV_MAU_settings.plist.

  3. Na řídicím panelu Jamf Pro vyberte Obecné.

    Nastavení konfigurace.

  4. Na kartě Obecné zadejte následující podrobnosti:

    • Název: Nastavení MDATP MDAV MAU
    • Popis: Nastavení Microsoft AutoUpdate pro MDATP pro macOS
    • Kategorie: Žádná (výchozí)
    • Metoda distribuce: Automatická instalace (výchozí)
    • Úroveň: Úroveň počítače (výchozí)

  5. V části Vlastní nastavení aplikace & vyberte Konfigurovat.

    Nastavení konfigurace aplikace a vlastní nastavení.

  6. Vyberte Nahrát soubor (soubor PLIST).

  7. Do pole Předvolba domény zadejte: com.microsoft.autoupdate2a pak vyberte Nahrát soubor PLIST.

    Doména předvoleb nastavení konfigurace.

  8. Vyberte Zvolit soubor.

    Výzva k výběru souboru týkajícího se nastavení konfigurace

  9. Vyberte MDATP_MDAV_MAU_settings.plist.

    Nastavení mdatpmdavmau.

  10. Vyberte Nahrát. Nahrání souboru týkajícího se nastavení konfigurace

    Stránka zobrazující možnost nahrání souboru týkající se nastavení konfigurace.

  11. Vyberte Uložit.

    Stránka zobrazující možnost uložení souboru týkající se nastavení konfigurace.

  12. Vyberte kartu Obor .

    Karta Obor pro nastavení konfigurace.

  13. Vyberte možnost Přidat.

    Možnost přidat cíle nasazení.

    Stránka, na které přidáte další hodnoty do nastavení konfigurace.

    Stránka, na které můžete do nastavení konfigurace přidat další hodnoty.

  14. Vyberte Hotovo.

    Oznámení o dokončení týkající se nastavení konfigurace

Krok 6: Udělení úplného přístupu k disku Microsoft Defender for Endpoint

  1. Na řídicím panelu Jamf Pro vyberte Konfigurační profily.

    Profil, pro který se mají konfigurovat nastavení.

  2. Vyberte + Nový.

  3. Na kartě Obecné zadejte následující podrobnosti:

    • Název: MDATP MDAV – udělení úplného přístupu k disku pro EDR a AV
    • Popis: V systému macOS 11 (Big Sur) nebo novějším je nové řízení zásad ochrany osobních údajů
    • Kategorie: Žádné
    • Metoda distribuce: Automatická instalace
    • Úroveň: Úroveň počítače

    Nastavení konfigurace obecně.

  4. V části Konfigurovat řízení zásad předvoleb ochrany osobních údajů vyberte Konfigurovat.

    Řízení zásad ochrany osobních údajů v konfiguraci.

  5. V části Řízení zásad předvoleb ochrany osobních údajů zadejte následující podrobnosti:

    • Identifikátor: com.microsoft.wdav
    • Typ identifikátoru: ID sady
    • Požadavek na kód: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Podrobnosti o řízení zásad předvoleb ochrany osobních údajů v nastavení konfigurace

  6. Vyberte + Přidat.

    Nastavení konfigurace umožňuje přidat systémové zásady všechny soubory.

    • V části Aplikace nebo služba: Nastavte na SystemPolicyAllFiles.

    • V části přístup: Nastavte na Povolit.

  7. Vyberte Uložit (ne ten v pravém dolním rohu).

    Operace uložení pro nastavení konfigurace.

  8. Kliknutím na znaménko + vedle položky Přístup k aplikaci přidejte novou položku.

    Operace uložení související s nastavením konfigurace.

  9. Zadejte následující podrobnosti:

    • Identifikátor: com.microsoft.wdav.epsext
    • Typ identifikátoru: ID sady
    • Požadavek na kód: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Vyberte + Přidat.

    Nastavení konfigurace tcc epsext položka.

    • V části Aplikace nebo služba: Nastavte na SystemPolicyAllFiles.

    • V části přístup: Nastavte na Povolit.

  11. Vyberte Uložit (ne ten v pravém dolním rohu).

    Druhá instance nastavení konfigurace tcc epsext.

  12. Vyberte kartu Obor .

    Stránka znázorňující rozsah nastavení konfigurace

  13. Vyberte + Přidat.

    Stránka znázorňující nastavení konfigurace

  14. V části Název> skupiny vyberte Skupiny> počítačů a vyberte MachineGroup společnosti Contoso.

    Nastavení konfigurace contoso machine group.

  15. Vyberte možnost Přidat.

  16. Vyberte Uložit.

  17. Vyberte Hotovo.

    Nastavení konfigurace contoso machine-group.

    Obrázek nastavení konfigurace

Případně si můžete stáhnout soubor fulldisk.mobileconfig a nahrát ho do konfiguračních profilů JAMF, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Krok 7: Schválení systémových rozšíření pro Microsoft Defender for Endpoint

  1. V konfiguračních profilech vyberte + Nový.

    Popis automaticky vygenerovaného příspěvku na sociálních sítích.

  2. Na kartě Obecné zadejte následující podrobnosti:

    • Název: Rozšíření systému MDATP MDAV
    • Popis: Rozšíření systému MDATP
    • Kategorie: Žádné
    • Metoda distribuce: Automatická instalace
    • Úroveň: Úroveň počítače

    Nastavení konfigurace sysext nový profil.

  3. V části System Extensions (Rozšíření systému) vyberte Configure (Konfigurovat).

    Podokno s možností Konfigurovat pro systémová rozšíření

  4. V části Systémová rozšíření zadejte následující podrobnosti:

    • Zobrazovaný název: Microsoft Corp. System Extensions
    • Typy systémových rozšíření: Povolená systémová rozšíření
    • Identifikátor týmu: UBF8T346G9
    • Povolená systémová rozšíření:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Podokno rozšíření systému MDAV MDATP

  5. Vyberte kartu Obor .

    Podokno výběru Cílové počítače

  6. Vyberte + Přidat.

  7. V části Název> skupiny vyberte Skupiny> počítačů společnosti Contoso.

  8. Vyberte + Přidat.

    Podokno Nový konfigurační profil macOS

  9. Vyberte Uložit.

    Zobrazení možností týkajících se systémových rozšíření MDATP MDAV

  10. Vyberte Hotovo.

    Nastavení konfigurace sysext - final.

Krok 8: Konfigurace síťového rozšíření

V rámci funkcí detekce a odezvy koncových bodů Microsoft Defender for Endpoint v systému macOS kontroluje provoz soketů a hlásí tyto informace na portálu Microsoft Defender. Následující zásady umožňují, aby tuto funkci provádělo síťové rozšíření.

Tento postup platí pro macOS 11 (Big Sur) nebo novější.

  1. Na řídicím panelu Jamf Pro vyberte Počítače a pak Konfigurační profily.

  2. Klikněte na Nový a do pole Možnosti zadejte následující podrobnosti:

    • Karta Obecné:

      • Název: Microsoft Defender síťové rozšíření
      • Popis: macOS 11 (Big Sur) nebo novější
      • Kategorie: Žádná (výchozí)
      • Distribuční metoda: Automatická instalace (výchozí)
      • Úroveň: Úroveň počítače (výchozí)

    • Filtr obsahu karty:

      • Název filtru: Microsoft Defender filtr obsahu
      • Identifikátor: com.microsoft.wdav
      • Ponechte adresu služby, organizaci, uživatelské jméno, heslo, certifikát prázdné (možnost Zahrnoutnení vybraná).
      • Pořadí filtru: Inspektor
      • Filtr soketů: com.microsoft.wdav.netext
      • Filtr soketů – určený požadavek: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Pole filtru sítě ponechte prázdná (možnost Zahrnoutnení vybraná).

      Všimněte si, že identifikátor, filtr soketů a soketový filtr Určený požadavek přesné hodnoty, jak je uvedeno výše.

      Nastavení konfigurace mdatpmdav

  3. Vyberte kartu Obor .

    Karta sco nastavení konfigurace

  4. Vyberte + Přidat.

  5. V části Název> skupiny vyberte Skupiny> počítačů společnosti Contoso.

  6. Vyberte + Přidat.

    Nastavení konfigurace adim.

  7. Vyberte Uložit.

    Podokno Filtr obsahu

  8. Vyberte Hotovo.

    Nastavení konfigurace netext - konečné.

Případně si můžete stáhnout netfilter.mobileconfig a nahrát ho do konfiguračních profilů JAMF, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Krok 9: Konfigurace služeb na pozadí

Upozornění

macOS 13 (Ventura) obsahuje nová vylepšení ochrany osobních údajů. Počínaje touto verzí se aplikace ve výchozím nastavení nedají spustit na pozadí bez výslovného souhlasu. Microsoft Defender for Endpoint musí proces démona spustit na pozadí.

Tento konfigurační profil uděluje službě na pozadí oprávnění k Microsoft Defender for Endpoint. Pokud jste dříve nakonfigurovali Microsoft Defender for Endpoint prostřednictvím JAMF, doporučujeme aktualizovat nasazení pomocí tohoto konfiguračního profilu.

Stáhněte si background_services.mobileconfig z našeho úložiště GitHub.

Nahrajte stažený soubor mobileconfig do konfiguračních profilů JAMF, jak je popsáno v tématu Nasazení vlastních konfiguračních profilů pomocí Jamf Pro|Metoda 2: Nahrajte konfigurační profil do Jamf Pro.

Krok 10: Plánování kontrol s Microsoft Defender for Endpoint v systému macOS

Postupujte podle pokynů v tématu Plánování kontrol s Microsoft Defender for Endpoint v systému macOS.

Krok 11: Nasazení Microsoft Defender for Endpoint v systému macOS

Poznámka

V následujících krocích .pkg jsou příkladem název souboru a hodnoty Zobrazovaný název . V těchto příkladech představuje datum vytvoření 200329 balíčku a zásady (ve yymmdd formátu) a v100.86.92 představuje verzi Microsoft Defender aplikace, která se nasazuje. Tyto hodnoty by se měly aktualizovat tak, aby odpovídaly zásadám vytváření názvů, které používáte ve svém prostředí pro balíčky a zásady.

  1. Přejděte do umístění, kam jste uložili wdav.pkg.

    Balíček wdav průzkumníka souborů.

  2. Přejmenujte ho na wdav_MDM_Contoso_200329.pkg.

    Balíček wdavmdm průzkumníka souborů1.

  3. Otevřete řídicí panel Jamf Pro.

    Nastavení konfigurace pro jamfpro.

  4. Vyberte počítač, klikněte na ikonu ozubeného kola v horní části a pak vyberte Správa počítače.

    Nastavení konfigurace – správa počítače.

  5. V části Balíčky vyberte + Nový. The bird Description for an automatically generated package.

  6. Na kartě Obecné zadejte do pole Nový balíček následující podrobnosti:

    • Zobrazovaný název: Prozatím ho nechte prázdný. Protože se resetuje, když zvolíte pkg.
    • Kategorie: Žádná (výchozí)
    • Název souboru: Zvolte Soubor.

    Karta Obecné pro nastavení konfigurace

    Otevřete soubor a nasměrujte ho na wdav.pkg nebo wdav_MDM_Contoso_200329.pkg.

    Obrazovka počítače zobrazující popis automaticky vygenerovaného balíčku.

  7. Vyberte Otevřít. Nastavte Zobrazovaný název na Microsoft Defender Advanced Threat Protection a Microsoft Defender Antivirus.

    Soubor manifestu není povinný. Microsoft Defender for Endpoint funguje bez souboru manifestu.

    Karta Možnosti: Ponechte výchozí hodnoty.

    Karta Omezení: Zachovat výchozí hodnoty

    Karta omezení pro nastavení konfigurace

  8. Vyberte Uložit. Balíček se nahraje do Jamf Pro.

    Proces nahrávání balíčku nastavení konfigurace pro balíček související s nastavením konfigurace

    Může trvat několik minut, než bude balíček k dispozici pro nasazení.

    Instance nahrání balíčku pro nastavení konfigurace.

  9. Přejděte na stránku Zásady .

    Zásady nastavení konfigurace.

  10. Vyberte + Nová a vytvořte novou zásadu.

    Nastavení konfigurace nové zásady.

  11. V části Obecné zadejte zobrazovaný název Onboarding MDATP Contoso 200329 verze 100.86.92 nebo novější.

    Nastavení konfigurace – onboarding MDATP

  12. Vyberte Opakované vracení se změnami.

    Opakované vracení se změnami pro nastavení konfigurace

  13. Vyberte Uložit.

  14. Vyberte Packages Configure (Konfigurovat balíčky>).

    Možnost konfigurace balíčků

  15. Vyberte tlačítko Přidat vedle Microsoft Defender Advanced Threat Protection a Microsoft Defender Antivirus.

    Možnost přidat další nastavení do MDATP MDA.

  16. Vyberte Uložit.

    Možnost uložit pro nastavení konfigurace.

  17. Vytvořte inteligentní skupinu pro počítače s profily Microsoft Defender.

    Kvůli lepšímu uživatelskému prostředí musí být před balíčkem Microsoft Defender nainstalované konfigurační profily pro zaregistrované počítače. Ve většině případů JAMF Prof okamžitě odešle konfigurační profily, které zásady se spustí po nějaké době (tj. během ohlášení).

    V některých případech ale nasazení konfiguračních profilů může být nasazeno s velkým zpožděním (tj. pokud je počítač uživatele uzamčený).

    JAMF Pro poskytuje způsob, jak zajistit správné pořadí. Můžete vytvořit inteligentní skupinu pro počítače, které už obdržely konfigurační profil Microsoft Defender, a nainstalovat balíček Microsoft Defender jenom na tyto počítače (a jakmile tento profil obdrží).)

    Uděláte to tak, že nejprve vytvoříte inteligentní skupinu. V novém okně prohlížeče v nabídce vlevo otevřete Skupiny inteligentních počítačů a klikněte na Nový. Přiřaďte nějaký název, přepněte na kartu Kritéria a klikněte na Přidat a zobrazit rozšířená kritéria.

    Jako kritérium vyberte Název profilu a jako hodnotu použijte název dříve vytvořeného konfiguračního profilu:

    Vytvoření inteligentní skupiny

    Klikněte na Uložit. Vraťte se zpět do okna, ve kterém konfigurujete zásady balíčku.

  18. Vyberte kartu Obor .

    Karta Obor související s nastavením konfigurace.

  19. Vyberte cílové počítače.

    Možnost přidat skupiny počítačů.

    V části Obor vyberte Přidat.

    Nastavení konfigurace – ad1.

    Přepněte na kartu Skupiny počítačů . Vyhledejte vytvořenou inteligentní skupinu a přidejte ji.

    Nastavení konfigurace – ad2.

    Pokud chcete, aby si uživatelé nainstalovali Microsoft Defender dobrovolně na vyžádání, vyberte Samoobslužná služba.

    Karta Samoobslužná služba pro nastavení konfigurace

  20. Vyberte Hotovo.

    Stav onboardingu společnosti Contoso s možností jeho dokončení.

    Stránka zásad

Rozsah konfiguračního profilu

JAMF vyžaduje, abyste pro konfigurační profil definovali sadu počítačů. Musíte se ujistit, že všechny počítače, které přijímají balíček Defenderu, také obdrží všechny výše uvedené konfigurační profily.

Upozornění

JAMF podporuje skupiny inteligentních počítačů, které umožňují nasazení, jako jsou konfigurační profily nebo zásady, na všechny počítače splňující určitá kritéria, která se vyhodnocují dynamicky. Jedná se o výkonný koncept, který se široce používá pro distribuci konfiguračních profilů.

Mějte ale na paměti, že tato kritéria by neměla zahrnovat přítomnost Defenderu na počítači. I když použití tohoto kritéria může znít logicky, vytváří problémy, které je obtížné diagnostikovat.

Defender spoléhá na všechny tyto profily v okamžiku instalace. Nastavení konfiguračních profilů v závislosti na přítomnosti defenderu efektivně zpožďuje nasazení konfiguračních profilů a výsledkem je původně produkt, který není v pořádku, nebo se zobrazí výzva k ručnímu schválení určitých oprávnění aplikace, která jsou jinak automaticky schválena profily.

Nasazení zásady s balíčkem Microsoft Defender po nasazení konfiguračních profilů zajistí nejlepší prostředí koncového uživatele, protože všechny požadované konfigurace se použijí před instalací balíčku.

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.