Del via

Udrul Microsoft Defender for Endpoint på macOS med Microsoft Intune

  • Artikel

Gælder for:

I denne artikel beskrives det, hvordan du installerer Microsoft Defender for Endpoint på macOS via Microsoft Intune.

Forudsætninger og systemkrav

Før du går i gang, kan du se de primære Microsoft Defender for Endpoint på macOS-siden for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.

Oversigt

I følgende tabel opsummeres trinnene til installation og administration af Microsoft Defender for Endpoint på Macs via Microsoft Intune. Se følgende tabel for at få mere detaljerede trin:

Skridt Eksempelfilnavn Bundt-id
Godkend systemudvidelse sysext.mobileconfig NIELSEN
Politik for netværksudvidelse netfilter.mobileconfig NIELSEN
Fuld diskadgang fulldisk.mobileconfig com.microsoft.wdav.epsext
konfigurationsindstillinger for Microsoft Defender for Endpoint

Hvis du planlægger at køre et antivirusprogram, der ikke er fra Microsoft, på Mac, skal du angive passiveMode til true.		 MDE_MDAV_and_exclusion_settings_Preferences.xml com.microsoft.wdav
Baggrundstjenester background_services.mobileconfig NIELSEN
Konfigurer Microsoft Defender for Endpoint meddelelser notif.mobileconfig com.microsoft.wdav.tray
Indstillinger for hjælp til handicappede accessibility.mobileconfig com.microsoft.dlp.daemon
Bluetooth bluetooth.mobileconfig com.microsoft.dlp.agent
Konfigurer Microsoft Automatiske opdateringer (MAU) com.microsoft.autoupdate2.mobileconfig com.microsoft.autoupdate2
Enhedsstyring DeviceControl.mobileconfig NIELSEN
Forebyggelse af datatab DataLossPrevention.mobileconfig NIELSEN
Download onboardingpakken WindowsDefenderATPOnboarding__MDATP_wdav.atp.xml com.microsoft.wdav.atp
Installér Microsoft Defender for Endpoint på macOS-programmet Wdav.pkg NIELSEN

Opret systemkonfigurationsprofiler

Det næste trin er at oprette systemkonfigurationsprofiler, som Microsoft Defender for Endpoint har brug for. ÅbnEnhedskonfigurationsprofiler i Microsoft Intune Administration>.

Trin 1: Godkend systemudvidelser

  1. I Intune Administration skal du gå til Enheder, og under Administrer enheder skal du vælge Konfiguration.

  2. Under Konfigurationsprofiler skal du vælge Opret profil.

  3. Under fanen Politikker skal du vælge Opret>ny politik.

  4. Under Platform skal du vælge macOS.

  5. Under Profiltype skal du vælge Indstillinger for katalog.

  6. Vælg Opret.

  7. På fanen Grundlæggende skal du navngive profilen og angive en Beskrivelse. Vælg derefter Næste.

  8. Under fanen Konfigurationsindstillinger skal du vælge + Tilføj indstillinger.

  9. Under Skabelonnavn skal du vælge Udvidelser.

  10. I indstillingsvælgeren skal du udvide kategorien Systemkonfiguration og derefter vælge Systemudvidelser>Tilladte systemudvidelser:

    Skærmbillede, der viser indstillingsvælgeren

  11. Luk indstillingsvælgeren, og vælg derefter + Rediger forekomst.

  12. Konfigurer følgende poster i afsnittet Tilladte systemudvidelser , og vælg derefter Næste.

    Tilladte systemudvidelser Team-id
    com.microsoft.wdav.epsext UBF8T346G9
    com.microsoft.wdav.netext UBF8T346G9

    Skærmbillede, der viser tilladte systemudvidelser

  13. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne eller -brugerne er placeret.

  14. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 2: Netværksfilter

Som en del af funktionerne Til registrering og svar af slutpunkter Microsoft Defender for Endpoint på macOS inspicerer sockettrafik og rapporterer disse oplysninger til Microsoft 365 Defender-portalen. Følgende politik gør det muligt for netværksudvidelsen at udføre denne funktionalitet.

Download netfilter.mobileconfig fra GitHub-lageret.

Vigtigt!

Der understøttes kun én .mobileconfig (plist) for Netværksfilter. Hvis du tilføjer flere netværksfiltre, medfører det problemer med netværksforbindelsen på Mac. Dette problem er ikke specifikt for Defender for Endpoint på macOS.

Sådan konfigurerer du dit netværksfilter:

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være NetFilter-prod-macOS-Default-MDE. Vælg derefter Næste.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være NetFilter-prod-macOS-Default-MDE.

  8. Vælg en udrulningskanal, og vælg Næste.

  9. Vælg en konfigurationsprofilfil, og vælg derefter Næste.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 3: Fuld diskadgang

Bemærk!

Fra og med macOS Catalina (10.15) eller nyere, for at sikre beskyttelse af personlige oplysninger for slutbrugerne skabte den FDA (Full Disk Access). Aktivering af TCC (Transparency, Consent & Control) via en Mobil Enhedshåndtering-løsning, f.eks. Intune, fjerner risikoen for, at Defender for Endpoint mister fuld autorisation til diskadgang for at fungere korrekt.

Denne konfigurationsprofil giver fuld diskadgang til Microsoft Defender for Endpoint. Hvis du tidligere har konfigureret Microsoft Defender for Endpoint via Intune, anbefaler vi, at du opdaterer installationen med denne konfigurationsprofil.

Download fulldisk.mobileconfig fra GitHub-lageret.

Sådan konfigurerer du fuld diskadgang:

  1. Vælg Opret profil under Konfigurationsprofiler i Intune Administration.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret og derefter vælge Opret.

  5. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være FullDiskAccess-prod-macOS-Default-MDE. Vælg derefter Næste.

  6. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være FullDiskAccess-prod-macOS-Default-MDE.

  7. Vælg en udrulningskanal, og vælg derefter Næste.

  8. Vælg en konfigurationsprofilfil.

  9. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  10. Gennemse konfigurationsprofilen. Vælg Opret.

Bemærk!

Fuld diskadgang, der tildeles via Apple MDM-konfigurationsprofilen, afspejles ikke i beskyttelse af personlige oplysninger for systemindstillinger > & Fuld diskadgang til sikkerhed>.

Trin 4: Baggrundstjenester

Forsigtighed

macOS 13 (Ventura) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke køre i baggrunden uden eksplicit samtykke. Microsoft Defender for Endpoint skal køre daemonprocessen i baggrunden. Denne konfigurationsprofil giver Background Service tilladelser til at Microsoft Defender for Endpoint. Hvis du tidligere har konfigureret Microsoft Defender for Endpoint via Microsoft Intune, anbefaler vi, at du opdaterer installationen med denne konfigurationsprofil.

Download background_services.mobileconfig fra GitHub-lageret.

Sådan konfigurerer du baggrundstjenester:

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være BackgroundServices-prod-macOS-Default-MDE. Vælg derefter Næste.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være backgroundServices-prod-macOS-Default-MDE.

  8. Vælg en udrulningskanal, og vælg Næste.

  9. Vælg en konfigurationsprofilfil.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 5: Meddelelser

Denne profil bruges til at tillade, at Microsoft Defender for Endpoint på macOS og Microsoft Automatiske opdateringer får vist meddelelser i brugergrænsefladen.

Download notif.mobileconfig fra GitHub-lageret.

Hvis du vil slå meddelelser for slutbrugerne fra, kan du ændre Vis Meddelelsescenter fra true til false i notif.mobileconfig.

Skærmbillede, der viser notif.mobileconfig, hvor ShowNotificationCenter er angivet til Sand.

Sådan konfigurerer du meddelelser:

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være Notify-prod-macOS-Default-MDE. Vælg derefter Næste.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være Notif.mobileconfig.

  8. Vælg en udrulningskanal, og vælg derefter Næste.

  9. Vælg en konfigurationsprofilfil.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 6: Indstillinger for hjælp til handicappede

Denne profil bruges til at give Microsoft Defender for Endpoint på macOS adgang til tilgængelighedsindstillingerne på Apple macOS High Sierra (10.13.6) og nyere.

Download accessibility.mobileconfig fra GitHub-lageret.

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være Accessibility-prod-macOS-Default-MDE. Vælg derefter Næste.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være Accessibility.mobileconfig.

  8. Vælg en udrulningskanal, og vælg Næste.

  9. Vælg en konfigurationsprofilfil.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 7: Bluetooth-tilladelser

Forsigtighed

macOS 14 (Sonoma) indeholder nye forbedringer af beskyttelse af personlige oplysninger. Fra og med denne version kan programmer som standard ikke få adgang til Bluetooth uden eksplicit samtykke. Microsoft Defender for Endpoint bruger den, hvis du konfigurerer Bluetooth-politikker for Enhedshåndtering.

Download bluetooth.mobileconfig fra GitHub-lageret , og brug den samme arbejdsproces som i Trin 6: Indstillinger for tilgængelighed for at aktivere Bluetooth-adgang.

Bemærk!

Bluetooth, der er tildelt via Apple MDM-konfigurationsprofilen, afspejles ikke i Systemindstillinger => Beskyttelse af personlige oplysninger & Sikkerhed => Bluetooth.

Trin 8: Microsoft Automatiske opdateringer

Denne profil bruges til at opdatere Microsoft Defender for Endpoint på macOS via Microsoft Automatiske opdateringer (MAU). Hvis du udruller Microsoft Defender for Endpoint på macOS, har du mulighed for at få en opdateret version af programmet (Platform Update), der findes i de forskellige kanaler, der er nævnt her:

  • Beta (Insiders-Fast)
  • Aktuel kanal (prøveversion, Insiders-Slow)
  • Aktuel kanal (produktion)

Du kan få flere oplysninger under Udrul opdateringer til Microsoft Defender for Endpoint på macOS.

Download com.microsoft.autoupdate2.mobileconfig fra GitHub-lageret.

Bemærk!

Eksemplet com.microsoft.autoupdate2.mobileconfig fra GitHub-lageret har angivet det til Aktuel kanal (produktion).

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være Autoupdate-prod-macOS-Default-MDE. Vælg derefter Næste.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være com.microsoft.autoupdate2.mobileconfig.

  8. Vælg en udrulningskanal, og vælg Næste.

  9. Vælg en konfigurationsprofilfil.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

Trin 9: Microsoft Defender for Endpoint konfigurationsindstillinger

I dette trin gennemgår vi Indstillinger, der giver dig mulighed for at konfigurere antimalware- og EDR-politikker ved hjælp af Microsoft Intune (https://intune.microsoft.com).

9a. Angiv politikker ved hjælp af Microsoft Defender-portalen

Angiv politikker ved hjælp af Microsoft Defender Portal ved at implementere følgende instruktioner eller ved hjælp af Microsoft Intune:

  1. Gennemgå Konfigurer Microsoft Defender for Endpoint i Intune, før du angiver sikkerhedspolitikkerne ved hjælp af Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger.

  2. Microsoft Defender-portalen skal du gå til Konfigurationsstyring>Slutpunkt sikkerhedspolitikkerMac-politikker>>Opret ny politik.

  3. Under Vælg platform skal du vælge macOS.

  4. Under Vælg skabelon skal du vælge en skabelon og vælge Opret politik.

  5. Angiv et navn og en beskrivelse til politikken, og vælg derefter Næste.

  6. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

Du kan få flere oplysninger om administration af sikkerhedsindstillinger under:

Angiv politikker ved hjælp af Microsoft Intune

Du kan administrere sikkerhedsindstillingerne for Microsoft Defender for Endpoint på macOS under Indstillinger i Microsoft Intune.

Du kan få flere oplysninger under Angiv indstillinger for Microsoft Defender for Endpoint på Mac.

Trin 10: Netværksbeskyttelse af Microsoft Defender for Endpoint på macOS

Microsoft Defender-portalen:

  1. Gå til Konfigurationsstyring>Slutpunktsikkerhedspolitikker>Mac-politikker>Opret ny politik.

  2. Under Vælg platform skal du vælge macOS.

  3. Under Vælg skabelon skal du vælge Microsoft Defender Antivirus og vælge Opret politik.

    Skærmbillede, der viser den side, hvor du opretter en politik.

  4. Under fanen Grundlæggende skal du angive navnet og beskrivelsen af politikken. Vælg Næste.

    Skærmbillede, der viser fanen Grundlæggende.

  5. Under fanen Konfigurationsindstillinger under Netværksbeskyttelse skal du vælge niveauet Håndhævelse. Vælg Næste.

    Skærmbillede, der viser siden Opret en ny politik.

  6. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

    Skærmbillede, der viser den side, hvor du konfigurerer indstillingerne for indstillingen Tildelinger.

  7. Gennemse politikken i Gennemse+Opret, og vælg Gem.

Tip

Du kan også konfigurere netværksbeskyttelse ved at tilføje oplysningerne fra Netværksbeskyttelse for at forhindre macOS-forbindelser til forkerte websteder fra .mobileconfig trin 8.

Trin 11: Enhedshåndtering for Microsoft Defender for Endpoint på macOS

Hvis du vil angive Enhedskontrol for Microsoft Defender for Endpoint på macOS, skal du følge trinnene i:

Trin 12: Forebyggelse af datatab (DLP) for slutpunkt

Hvis du vil angive Purviews DLP (Forebyggelse af datatab) for slutpunkter på macOS, skal du følge trinnene i Onboard- og offboard macOS-enheder til Løsninger til overholdelse af angivne standarder ved hjælp af Microsoft Intune.

Trin 13: Kontrollér status for PList (.mobileconfig)

Når du har fuldført profilkonfigurationen, kan du gennemse status for politikkerne.

Vis status

Når de Intune ændringer overføres til de tilmeldte enheder, kan du se dem på listen under Overvåg>enhedsstatus:

Skærmbillede, der viser visningen af enhedens status.

Konfiguration af klientenhed

En standard Firmaportal installation er tilstrækkelig til en mac-enhed.

  1. Bekræft enhedshåndtering.

    Skærmbillede, der viser siden Bekræft enhedshåndtering.

    Vælg Åbn systemindstillinger, find Administrationsprofil på listen, og vælg Godkend.... Din administrationsprofil vises som Bekræftet:

    Skærmbillede, der viser profilsiden Administration.

  2. Vælg Fortsæt , og fuldfør tilmeldingen.

    Du kan nu tilmelde flere enheder. Du kan også tilmelde dem senere, når du har afsluttet klargøring af systemkonfiguration og programpakker.

  3. I Intune skal du åbne Administrer>enheder>Alle enheder. Her kan du se din enhed blandt de angivne:

    Skærmbillede, der viser siden Alle enheder.

Bekræft klientenhedstilstand

  1. Når konfigurationsprofilerne er installeret på dine enheder, skal du åbne Profiler for systemindstillinger> på din Mac-enhed.

    Skærmbillede, der viser siden Systemindstillinger.

    Skærmbillede, der viser siden Systemindstillingers profiler.

  2. Kontrollér, at følgende konfigurationsprofiler findes og er installeret. Administrationsprofilen skal være den Intune systemprofil. Wdav-config og wdav-kext er systemkonfigurationsprofiler, der blev tilføjet i Intune:

    Skærmbillede, der viser siden Profiler.

  3. Du bør også se ikonet Microsoft Defender for Endpoint i øverste højre hjørne.

    Skærmbillede, der viser ikonet for Microsoft Defender for Endpoint på statuslinjen.

Trin 14: Publicer program

Dette trin gør det muligt at udrulle Microsoft Defender for Endpoint på tilmeldte maskiner.

  1. Åbn Appsi Microsoft Intune Administration.

    Skærmbillede, der viser programmets oversigtsside.

  2. Vælg Efter platform>macOS>Tilføj.

  3. Under Apptype skal du vælge macOS. Vælg Vælg.

    Skærmbillede, der viser den specifikke programtype.

  4. Bevar standardværdierne i appoplysningerne, og vælg Næste.

    Skærmbillede, der viser siden med programegenskaber.

  5. Vælg Næste under fanen Tildelinger.

    Skærmbillede, der viser siden med oplysninger om Intune tildelinger.

  6. Gennemse og opret. Du kan besøge Apps>By Platform>macOS for at se det på listen over alle programmer.

    Skærmbillede, der viser siden med programlister.

Du kan få flere oplysninger under Føj Microsoft Defender for Endpoint til macOS-enheder ved hjælp af Microsoft Intune.

Vigtigt!

Du skal oprette og installere konfigurationsprofilerne i den angivne rækkefølge (trin 1-13) for at få en vellykket systemkonfiguration.

Trin 15: Download onboardingpakken

Sådan downloader du onboardingpakker fra Microsoft 365 Defender-portalen:

  1. På Microsoft 365 Defender-portalen skal du gå til Systemindstillinger>>Slutpunkter>Onboarding af enhedshåndtering>.

  2. Angiv operativsystemet til macOS og installationsmetoden til Mobile Enhedshåndtering/Microsoft Intune.

    Skærmbillede, der viser siden Med onboardingindstillinger.

  3. Vælg Download onboarding-pakke. Gem den som WindowsDefenderATPOnboardingPackage.zip i den samme mappe.

  4. Udpak indholdet af den .zip fil:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
warning:  WindowsDefenderATPOnboardingPackage.zip appears to use backslashes as path separators
 inflating: intune/kext.xml
 inflating: intune/WindowsDefenderATPOnboarding.xml
 inflating: jamf/WindowsDefenderATPOnboarding.plist

    Skærmbillede, der viser eksempelbeskrivelsen.

Trin 16: Udrul onboardingpakken

Denne profil indeholder licensoplysninger om Microsoft Defender for Endpoint.

Sådan installerer du onboardingpakken:

  1. Under Konfigurationsprofiler skal du vælge Opret profil.

  2. Under Platform skal du vælge macOS.

  3. Under Profiltype skal du vælge Skabeloner.

  4. Under Skabelonnavn skal du vælge Brugerdefineret.

  5. Vælg Opret.

    Skærmbillede, der viser onboardingpakken til installation.

  6. Navngiv profilen under fanen Grundlæggende. Det kunne f.eks. være Onboarding-prod-macOS-Default-MDE. Vælg Næste.

    Skærmbillede, der viser siden Brugerdefineret.

  7. Angiv et navn på en brugerdefineret konfigurationsprofil under fanen Konfigurationsindstillinger. Det kunne f.eks. være WindowsDefenderATPOnboarding.

  8. Vælg en udrulningskanal, og vælg Næste.

  9. Vælg en konfigurationsprofilfil.

    Skærmbillede, der viser konfigurationsindstillingerne.

  10. Under fanen Tildelinger skal du tildele profilen til en gruppe, hvor macOS-enhederne og/eller brugerne er placeret, eller Alle brugere og Alle enheder.

    Skærmbillede, der viser fanen Tildelinger.

  11. Gennemse konfigurationsprofilen. Vælg Opret.

  12. ÅbnEnhedskonfigurationsprofiler> for at se den oprettede profil.

Trin 17: Kontrollér registrering af antimalware

Se følgende artikel for at teste for en gennemgang af registrering af antimalware: Test af antivirusregistrering til bekræftelse af enhedens onboarding- og rapporteringstjenester

Trin 18: Kontrollerer EDR-registrering

Se følgende artikel for at teste for en gennemgang af EDR-registrering: EDR-registreringstest til bekræftelse af onboarding af enheder og rapporteringstjenester

Fejlfinding

Problem: Der blev ikke fundet en licens.

Løsning: Følg trinnene i denne artikel for at oprette en enhedsprofil ved hjælp af WindowsDefenderATPOnboarding.xml.

Logføring af installationsproblemer

Se Logføring af installationsproblemer for at få oplysninger om, hvordan du finder den automatisk genererede log, der er oprettet af installationsprogrammet, når der opstår en fejl.

Du kan få oplysninger om fejlfindingsprocedurer under:

Fjern installation

Se Fjernelse for at få oplysninger om, hvordan du fjerner Microsoft Defender for Endpoint på macOS fra klientenheder.