Installation med et andet MDM-system (Mobile Enhedshåndtering) til Microsoft Defender for Endpoint på macOS

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Forudsætninger og systemkrav

Før du går i gang, kan du se de primære Microsoft Defender for Endpoint på macOS-siden for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.

Tilgang

Forsigtighed

I øjeblikket understøtter Microsoft officielt kun Intune og JAMF til installation og administration af Microsoft Defender for Endpoint på macOS. Microsoft giver ingen garantier, udtrykkelige eller stiltiende, med hensyn til de oplysninger, der er angivet nedenfor.

Hvis din organisation bruger en MDM-løsning (Mobile Enhedshåndtering), der ikke understøttes officielt, betyder det ikke, at du ikke kan udrulle eller køre Microsoft Defender for Endpoint på macOS.

Microsoft Defender for Endpoint på macOS afhænger ikke af nogen leverandørspecifikke funktioner. Den kan bruges sammen med en hvilken som helst MDM-løsning, der understøtter følgende funktioner:

• Udrul en macOS-.pkg på administrerede enheder.
• Udrul macOS-systemkonfigurationsprofiler på administrerede enheder.
• Kør et vilkårligt administratorkonfigureret værktøj/script på administrerede enheder.

De fleste moderne MDM-løsninger omfatter disse funktioner, men de kan kalde dem anderledes.

Du kan dog installere Defender for Endpoint uden det sidste krav fra den foregående liste:

• Du kan ikke indsamle status på en centraliseret måde.
• Hvis du beslutter at fjerne Defender for Endpoint, skal du logge på klientenheden lokalt som administrator.

Installation

De fleste MDM-løsninger bruger den samme model til administration af macOS-enheder med lignende terminologi. Brug JAMF-baseret installation som en skabelon.

Pakke

Konfigurer installationen af en påkrævet programpakke, hvor installationspakken (wdav.pkg) er hentet fra Microsoft Defender portal.

Advarsel

Ompakning af Defender for Endpoint-installationspakken er ikke et understøttet scenarie. Hvis du gør det, kan det påvirke produktets integritet negativt og føre til negative resultater, herunder, men ikke begrænset til, at udløse manipulation af beskeder og opdateringer, der ikke kan anvendes.

Hvis du vil installere pakken i din virksomhed, skal du bruge de instruktioner, der er knyttet til din MDM-løsning.

Licensindstillinger

Konfigurer en systemkonfigurationsprofil.

Din MDM-løsning kalder den muligvis noget i stil med "Brugerdefineret indstillingsprofil", da Microsoft Defender for Endpoint på macOS ikke er en del af macOS.

Brug egenskabslisten jamf/WindowsDefenderATPOnboarding.plist, som kan udtrækkes fra en onboardingpakke, der downloades fra Microsoft Defender portal. Dit system understøtter muligvis en vilkårlig egenskabsliste i XML-format. Du kan uploade jamf/WindowsDefenderATPOnboarding.plist-filen, som den er i dette tilfælde. Det kan også kræve, at du konverterer egenskabslisten til et andet format først.

Din brugerdefinerede profil har typisk et id, et navn eller en domæneattribut. Du skal bruge nøjagtigt "com.microsoft.wdav.atp" til denne værdi. MDM bruger den til at installere indstillingsfilen på /Library/Managed Preferences/com.microsoft.wdav.atp.plist på en klientenhed, og Defender for Endpoint bruger denne fil til indlæsning af onboardingoplysningerne.

Systemkonfigurationsprofiler

macOS kræver, at en bruger manuelt og eksplicit godkender visse funktioner, som et program bruger, f.eks. systemudvidelser, kører i baggrunden, sender meddelelser, fuld diskadgang osv. Microsoft Defender for Endpoint er afhængig af disse funktioner og kan ikke fungere korrekt, før alle disse samtykker modtages fra en bruger.

Hvis du vil give samtykke automatisk på en brugers vegne, sender en administrator systempolitikker via deres MDM-system. Det anbefales på det kraftigste, at du gør det i stedet for at være afhængig af manuelle godkendelser fra slutbrugere.

Vi leverer alle politikker, Microsoft Defender for Endpoint kræver, som mobilkonfigurationsfiler, der er tilgængelige på https://github.com/microsoft/mdatp-xplat. Mobileconfig er et Apple-import-/eksportformat, som Apple Configurator eller andre produkter som iMazing Profile Editor support.

De fleste MDM-leverandører understøtter import af en mobilkonfigurationsfil, der opretter en ny brugerdefineret konfigurationsprofil.

Sådan konfigurerer du profiler:

1. Find ud af, hvordan import af en mobilkonfiguration udføres sammen med din MDM-leverandør.
2. For alle profiler fra https://github.com/microsoft/mdatp-xplatskal du downloade en mobilkonfigurationsfil og importere den.
3. Tildel korrekt omfang for hver oprettet konfigurationsprofil.

Bemærk, at Apple jævnligt opretter nye typer nyttedata med nye versioner af et operativsystem. Du skal besøge den ovennævnte side og publicere nye profiler, når de er blevet tilgængelige. Vi sender meddelelser til vores side Nyheder , når vi foretager ændringer i den stil.

Konfigurationsindstillinger for Defender for Slutpunkt

Hvis du vil udrulle Microsoft Defender for Endpoint konfiguration, skal du have en konfigurationsprofil.

I følgende trin kan du se, hvordan du anvender og bekræfter anvendelse af en konfigurationsprofil.

1. MDM installerer konfigurationsprofilen på tilmeldte computere Du kan få vist profiler i Systemindstillingsprofiler > . Søg efter det navn, du brugte til Microsoft Defender for Endpoint profil med konfigurationsindstillinger. Hvis du ikke kan se den, kan du finde fejlfindingstip i din MDM-dokumentation.

2. Konfigurationsprofilen vises i den korrekte fil

Microsoft Defender for Endpoint læser /Library/Managed Preferences/com.microsoft.wdav.plist og /Library/Managed Preferences/com.microsoft.wdav.ext.plist filer. Den bruger kun disse to filer til administrerede indstillinger.

Hvis du ikke kan se disse filer, men du har bekræftet, at profilerne blev leveret (se forrige afsnit), betyder det, at dine profiler er konfigureret forkert. Enten har du lavet denne konfigurationsprofil "Brugerniveau" i stedet for "Computerniveau", eller du har brugt et andet præferencedomæne i stedet for dem, Microsoft Defender for Endpoint forventer ("com.microsoft.wdav" og "com.microsoft.wdav.ext").

Se din MDM-dokumentation for at få oplysninger om, hvordan du konfigurerer programkonfigurationsprofiler.

3. Konfigurationsprofilen indeholder den forventede struktur

Dette trin kan være vanskeligt at bekræfte. Microsoft Defender for Endpoint forventer com.microsoft.wdav.plist med en streng struktur. Hvis du placerer indstillingerne på et uventet sted eller skriver dem forkert eller bruger en ugyldig type, ignoreres indstillingerne uovervåget.

1. Du kan kontrollere mdatp health og bekræfte, at de indstillinger, du har konfigureret, rapporteres som [managed].
2. Du kan undersøge indholdet af /Library/Managed Preferences/com.microsoft.wdav.plist og sikre, at det stemmer overens med de forventede indstillinger:

plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Du kan bruge den dokumenterede konfigurationsprofilstruktur som en retningslinje.

I denne artikel forklares det, at "antivirusEngine", "edr", "tamperProtection" er indstillinger på øverste niveau i konfigurationsfilen. Og "scanHistoryMaximumItems" er f.eks. på andet niveau og er af typen heltal.

Du bør se disse oplysninger i outputtet fra den forrige kommando. Hvis du har fundet ud af, at "antivirusEngine" er indlejret under nogle andre indstillinger - så er profilen konfigureret forkert. Hvis du kan se "antivirusengine" i stedet for "antivirusEngine", er navnet stavet forkert, og hele undertræet af indstillinger ignoreres. Hvis "scanHistoryMaximumItems" => "10000", bruges den forkerte type, og indstillingen ignoreres.

Kontrollér, at alle profiler er installeret

Du kan downloade og køre analyze_profiles.py. Dette script indsamler og analyserer alle profiler, der er installeret på en computer, og advarer dig om ubesvarede profiler. Bemærk, at det kan gå glip af nogle fejl, og det er ikke klar over nogle designbeslutninger, som systemadministratorer træffer med vilje. Brug dette script som vejledning, men undersøg altid, om du ser noget, der er markeret som en fejl. Onboardingvejledningen fortæller dig f.eks., at du skal installere en konfigurationsprofil til onboarding af blob. Nogle organisationer beslutter dog i stedet at køre det manuelle onboardingscript. analyze_profile.py advarer dig om den mistede profil. Du kan enten beslutte at onboarde via konfigurationsprofilen eller helt se bort fra advarslen.

Kontrollér installationsstatus

Kør Microsoft Defender for Endpoint på en klientenhed for at kontrollere onboardingstatussen.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.