Teilen über

Einrichten der Microsoft Defender for Endpoint unter macOS-Richtlinien in Jamf Pro

  • Artikel

Gilt für:

Verwenden Sie diesen Artikel, um Richtlinien für Defender für Endpunkt auf Mac mit Jamf Pro einzurichten.

Schritt 1: Abrufen des Microsoft Defender for Endpoint Onboarding-Pakets

Wichtig

Ihnen muss eine geeignete Rolle zugewiesen sein, um Geräte anzuzeigen, zu verwalten und zu integrieren. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Defender XDR mit Microsoft Entra globalen Rollen.

  1. Navigieren Sie im Microsoft Defender Portal zu Einstellungen>Endpunkte>Onboarding.

  2. Wählen Sie macOS als Betriebssystem und Mobile Geräteverwaltung/Microsoft Intune als Bereitstellungsmethode aus.

    Die Seite Einstellungen.

  3. Wählen Sie Onboardingpaket herunterladen (WindowsDefenderATPOnboardingPackage.zip) aus.

  4. Extrahieren Sie WindowsDefenderATPOnboardingPackage.zip.

  5. Kopieren Sie die Datei an Ihren bevorzugten Speicherort. Beispiel: C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\Jamf\WindowsDefenderATPOnboarding.plist.

Schritt 2: Erstellen eines Konfigurationsprofils in Jamf Pro mithilfe des Onboardingpakets

  1. Suchen Sie die Datei WindowsDefenderATPOnboarding.plist aus dem vorherigen Abschnitt.

    Die Windows Defender ATP-Onboardingdatei.

  2. Melden Sie sich bei Jamf Pro an, navigieren Sie zu Computer>Konfigurationsprofile, und wählen Sie Neu aus.

    Die Seite, auf der Sie eine neue Jamf Pro-Dashboard.

  3. Geben Sie auf der Registerkarte Allgemein die folgenden Details an:

    • Name: MDE onboarding for macOS
    • Beschreibung: MDE EDR onboarding for macOS
    • Kategorie: None
    • Verteilungsmethode: Install Automatically
    • Ebene: Computer Level

  4. Navigieren Sie zur Seite Anwendungs- & Benutzerdefinierte Einstellungen , wählen Sie Hochladen und dann Hinzufügen aus.

    Die Konfigurations-App und benutzerdefinierte Einstellungen.

  5. Wählen Sie Datei hochladen (PLIST-Datei) aus, und geben Sie dann unter Einstellungsdomäne ein com.microsoft.wdav.atp.

    Die jamfpro plist-Uploaddatei.

    Die Uploaddateieigenschaft Listendatei.

  6. Wählen Sie Öffnen und dann die Onboardingdatei aus.

    Die Onboardingdatei.

  7. Wählen Sie Hochladen aus.

    Die hochladende plist-Datei.

  8. Wählen Sie die Registerkarte Bereich aus.

    Die Registerkarte Bereich.

  9. Wählen Sie die Zielcomputer aus.

    Die Zielcomputer.

    Die Ziele.

  10. Klicken Sie auf Speichern.

    Die Bereitstellung von Zielcomputern.

    Die Auswahl der Zielcomputer.

  11. Wählen Sie Fertig aus.

    Die Computer einer Zielgruppe.

    Die Liste der Konfigurationsprofile.

Schritt 3: Konfigurieren von Microsoft Defender for Endpoint Einstellungen

In diesem Schritt gehen wir über Einstellungen, damit Sie Antimalware- und EDR-Richtlinien über Microsoft Defender XDR-Portal (https://security.microsoft.com) oder Jamf konfigurieren können.

Wichtig

Microsoft Defender for Endpoint Richtlinien zur Verwaltung von Sicherheitseinstellungen haben Vorrang vor Jamf-Set-Richtlinien (und anderen MDM-Richtlinien von Drittanbietern).

3a. Festlegen von Richtlinien über Microsoft Defender Portal

  1. Befolgen Sie die Anleitung unter Konfigurieren von Microsoft Defender for Endpoint in Intune, bevor Sie die Sicherheitsrichtlinien mithilfe von Microsoft Defender festlegen.

  2. Wechseln Sie im Microsoft Defender-Portal zu Konfigurationsverwaltung>Endpunktsicherheitsrichtlinien>Mac-Richtlinien>Neue Richtlinie erstellen.

  3. Wählen Sie unter Plattform auswählen die Option macOS aus.

  4. Wählen Sie unter Vorlage auswählen eine Vorlage und dann Richtlinie erstellen aus.

  5. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an, und wählen Sie dann Weiter aus.

  6. Weisen Sie auf der Registerkarte Zuweisungen das Profil einer Gruppe zu, in der sich die macOS-Geräte und/oder -Benutzer befinden, oder Alle Benutzer und Alle Geräte.

Weitere Informationen zum Verwalten von Sicherheitseinstellungen finden Sie in den folgenden Artikeln:

3b. Festlegen von Richtlinien mithilfe von Jamf

Sie können entweder jamf Pro GUI verwenden, um einzelne Einstellungen der Microsoft Defender for Endpoint-Konfiguration zu bearbeiten, oder die Legacymethode verwenden, indem Sie eine Konfigurations-Plist in einem Text-Editor erstellen und in Jamf Pro hochladen.

Sie müssen "exact com.microsoft.wdav " als Einstellungsdomäne verwenden. Microsoft Defender for Endpoint verwendet nur diesen Namen und com.microsoft.wdav.ext lädt die verwalteten Einstellungen. (Die com.microsoft.wdav.ext Version kann in seltenen Fällen verwendet werden, wenn Sie die GUI-Methode bevorzugen, aber auch eine Einstellung konfigurieren müssen, die dem Schema noch nicht hinzugefügt wurde.)

GUI-Methode

  1. Laden Sie die schema.json Datei aus dem GitHub-Repository von Defender herunter, und speichern Sie sie in einer lokalen Datei:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Erstellen Sie ein neues Konfigurationsprofil. Wechseln Sie unter Computer zu Konfigurationsprofile, und geben Sie dann auf der Registerkarte Allgemein die folgenden Details an:

    Ein neues Profil.

    • Name: MDATP MDAV configuration settings
    • Beschreibung: <blank\>
    • Kategorie: None (default)
    • Ebene: Computer Level (default)
    • Verteilungsmethode: Install Automatically (default)

  3. Scrollen Sie nach unten zur Registerkarte Anwendungs- & Benutzerdefinierte Einstellungen , wählen Sie Externe Anwendungen aus, wählen Sie Hinzufügen aus, und verwenden Sie dann Benutzerdefiniertes Schema als Quelle für die Einstellungsdomäne.

    Fügen Sie ein benutzerdefiniertes Schema hinzu.

  4. Geben Sie com.microsoft.wdav für die Einstellung Domäne ein, wählen Sie Schema hinzufügen aus, und laden Sie dann die datei hoch, die schema.json Sie in Schritt 1 heruntergeladen haben. Klicken Sie auf Speichern.

    Hochladen des Schemas.

  5. Sie können alle unterstützten Microsoft Defender for Endpoint Konfigurationseinstellungen unter Einstellungen Domäneneigenschaften anzeigen. Wählen Sie Eigenschaften hinzufügen/entfernen aus, um die Einstellungen auszuwählen, die verwaltet werden sollen, und klicken Sie dann auf OK , um Ihre Änderungen zu speichern. (Nicht ausgewählte Einstellungen sind nicht in der verwalteten Konfiguration enthalten, ein Endbenutzer kann diese Einstellungen auf seinen Computern konfigurieren.)

    Die ausgewählten verwalteten Einstellungen.

  6. Ändern Sie die Werte der Einstellungen in die gewünschten Werte. Sie können Weitere Informationen auswählen, um die Dokumentation für eine bestimmte Einstellung abzurufen. (Sie können Plist Preview auswählen, um zu überprüfen, welche Konfigurations-Plist vorhanden ist. Wählen Sie Formular-Editor aus , um zum visuellen Editor zurückzukehren.)

    Die Seite, auf der Sie die Einstellungswerte ändern.

  7. Wählen Sie die Registerkarte Bereich aus.

    Der Bereich des Konfigurationsprofils.

  8. Wählen Sie Die Computergruppe von Contoso aus. Wählen Sie Hinzufügen und dann Speichern aus.

    Die Seite, auf der Sie die Konfigurationseinstellungen hinzufügen können.

    Die Seite, auf der Sie die Konfigurationseinstellungen speichern können.

  9. Wählen Sie Fertig aus. Das neue Konfigurationsprofil wird angezeigt.

    Die Seite, auf der Sie die Konfigurationseinstellungen abschließen.

Microsoft Defender for Endpoint fügt im Laufe der Zeit neue Einstellungen hinzu. Diese neuen Einstellungen werden dem Schema hinzugefügt, und eine neue Version wird auf GitHub veröffentlicht. Um Updates zu erhalten, laden Sie ein aktualisiertes Schema herunter, und bearbeiten Sie Ihr vorhandenes Konfigurationsprofil. Wählen Sie auf der Registerkarte Application & Custom Settings (Benutzerdefinierte Einstellungen ) die Option Edit schema (Schema bearbeiten) aus.

Legacymethode

  1. Verwenden Sie die folgenden Microsoft Defender for Endpoint Konfigurationseinstellungen:

    • enableRealTimeProtection
    • passiveMode (Diese Einstellung ist standardmäßig nicht aktiviert. Wenn Sie beabsichtigen, Nicht-Microsoft-Antivirensoftware auf dem Mac auszuführen, legen Sie sie auf truefest.
    • exclusions
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats (EICAR befindet sich im Beispiel. Wenn Sie einen Proof of Concept durchlaufen, entfernen Sie ihn, insbesondere wenn Sie EICAR testen.)
    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Weitere Informationen finden Sie unter Eigenschaftenliste für das vollständige Jamf-Konfigurationsprofil.

      <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
  <dict>
      <key>antivirusEngine</key>
      <dict>
          <key>enableRealTimeProtection</key>
          <true/>
          <key>passiveMode</key>
          <false/>
          <key>exclusions</key>
          <array>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <false/>
                  <key>path</key>
                  <string>/var/log/system.log</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedPath</string>
                  <key>isDirectory</key>
                  <true/>
                  <key>path</key>
                  <string>/home</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileExtension</string>
                  <key>extension</key>
                  <string>pdf</string>
              </dict>
              <dict>
                  <key>$type</key>
                  <string>excludedFileName</string>
                  <key>name</key>
                  <string>cat</string>
              </dict>
          </array>
          <key>exclusionsMergePolicy</key>
          <string>merge</string>
          <key>allowedThreats</key>
          <array>
              <string>EICAR-Test-File (not a virus)</string>
          </array>
          <key>disallowedThreatActions</key>
          <array>
              <string>allow</string>
              <string>restore</string>
          </array>
          <key>threatTypeSettings</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>potentially_unwanted_application</string>
                  <key>value</key>
                  <string>block</string>
              </dict>
              <dict>
                  <key>key</key>
                  <string>archive_bomb</string>
                  <key>value</key>
                  <string>audit</string>
              </dict>
          </array>
          <key>threatTypeSettingsMergePolicy</key>
          <string>merge</string>
      </dict>
      <key>cloudService</key>
      <dict>
          <key>enabled</key>
          <true/>
          <key>diagnosticLevel</key>
          <string>optional</string>
          <key>automaticSampleSubmission</key>
          <true/>
      </dict>
      <key>edr</key>
      <dict>
          <key>tags</key>
          <array>
              <dict>
                  <key>key</key>
                  <string>GROUP</string>
                  <key>value</key>
                  <string>ExampleTag</string>
              </dict>
          </array>
      </dict>
      <key>userInterface</key>
      <dict>
          <key>hideStatusMenuIcon</key>
          <false/>
      </dict>
  </dict>
  </plist>

  2. Speichern Sie die Datei als MDATP_MDAV_configuration_settings.plist.

  3. Öffnen Sie im Jamf Pro-Dashboard Computer und die zugehörigen Konfigurationsprofile. Wählen Sie Neu aus, und wechseln Sie zur Registerkarte Allgemein .

    Die Seite, auf der ein neues Profil angezeigt wird.

  4. Geben Sie auf der Registerkarte Allgemein die folgenden Details an:

    • Name: MDATP MDAV configuration settings
    • Beschreibung: <blank>
    • Kategorie: None (default)
    • Verteilungsmethode: Install Automatically (default)
    • Ebene: Computer Level (default)

  5. Wählen Sie unter Anwendungs- & Benutzerdefinierte Einstellungen die Option Konfigurieren aus.

    Die MDATP-MDAV-Konfigurationseinstellungen.

    Die Anwendung und benutzerdefinierte Einstellungen.

  6. Wählen Sie Datei hochladen (PLIST-Datei) aus.

    Die plist-Datei mit Den Konfigurationseinstellungen.

  7. Geben Sie unter Einstellungsdomäne ein com.microsoft.wdav, und wählen Sie dann PLIST-Datei hochladen aus.

    Die Einstellungsdomäne der Konfigurationseinstellungen.

  8. Wählen Sie Datei auswählen aus.

    Die Aufforderung zum Auswählen der plist-Datei.

  9. Wählen Sie die MDATP_MDAV_configuration_settings.plist und dann Öffnen aus.

    Die mdatpmdav-Konfigurationseinstellungen.

  10. Wählen Sie Hochladen aus.

    Der Upload der Konfigurationseinstellung.

    Die Aufforderung zum Hochladen des Bilds, das sich auf die Konfigurationseinstellungen bezieht.

    Hinweis

    Wenn Sie die Intune-Datei hochladen, erhalten Sie die folgende Fehlermeldung:

    Die Aufforderung zum Hochladen der Intune-Datei im Zusammenhang mit den Konfigurationseinstellungen.

  11. Klicken Sie auf Speichern.

    Die Option zum Speichern des Bilds im Zusammenhang mit den Konfigurationseinstellungen.

  12. Die Datei wird hochgeladen.

    Die hochgeladene Datei, die sich auf die Konfigurationseinstellungen bezieht.

    Die Seite mit den Konfigurationseinstellungen.

  13. Wählen Sie die Registerkarte Bereich aus.

    Der Bereich für die Konfigurationseinstellungen.

  14. Wählen Sie Die Computergruppe von Contoso aus. Wählen Sie Hinzufügen und dann Speichern aus.

    Die Konfigurationseinstellungen addav.

    Die Benachrichtigung über Konfigurationseinstellungen.

  15. Wählen Sie Fertig aus. Das neue Konfigurationsprofil wird angezeigt.

Abbildung des Konfigurationsprofilbilds für Konfigurationseinstellungen.

Schritt 4: Konfigurieren von Benachrichtigungseinstellungen

Hinweis

Diese Schritte gelten für macOS 11 (Big Sur) oder höher. Obwohl Jamf Benachrichtigungen unter macOS Version 10.15 oder höher unterstützt, erfordert Defender für Endpunkt für Mac macOS 11 oder höher.

  1. Wählen Sie im Jamf Pro-Dashboard Computer und dann Konfigurationsprofile aus.

  2. Wählen Sie Neu aus, und geben Sie dann auf der Registerkarte Allgemein für Optionen die folgenden Details an:

    • Name: MDATP MDAV Notification settings

    • Beschreibung: macOS 11 (Big Sur) or later

    • Kategorie: None *(default)*

    • Verteilungsmethode: Install Automatically *(default)*

    • Ebene: Computer Level *(default)*

      Die neue MacOS-Konfigurationsprofilseite.

  3. Wählen Sie auf der Registerkarte Benachrichtigungendie Option Hinzufügen aus, und geben Sie die folgenden Werte an:

    • Bundle-ID: com.microsoft.wdav.tray
    • Kritische Warnungen: Wählen Sie Deaktivieren aus.
    • Benachrichtigungen: Wählen Sie Aktivieren aus.
    • Bannerwarnungstyp: Wählen Sie Einschließen und Temporär(Standard) aus.
    • Benachrichtigungen auf dem Sperrbildschirm: Wählen Sie Ausblenden aus.
    • Benachrichtigungen im Benachrichtigungscenter: Wählen Sie Anzeigen aus.
    • Symbol der Badge-App: Wählen Sie Anzeigen aus.

    Die Taskleiste für die Konfigurationseinstellungen für mdatpmdav-Benachrichtigungen.

  4. Wählen Sie auf der Registerkarte Benachrichtigungen die Option Ein weiteres Mal hinzufügen aus, und scrollen Sie dann nach unten zu Neue Benachrichtigungseinstellungen.

    • Bundle-ID: com.microsoft.autoupdate.fba

  5. Konfigurieren Sie die restlichen Einstellungen mit den gleichen Werten, die zuvor erwähnt wurden.

    Die Konfigurationseinstellungen mdatpmdav notifications mau.

    Beachten Sie, dass Sie jetzt über zwei Tabellen mit Benachrichtigungskonfigurationen verfügen: eine für die Bundle-ID: com.microsoft.wdav.tray und eine für bundle ID: com.microsoft.autoupdate.fba. Während Sie Warnungseinstellungen gemäß Ihren Anforderungen konfigurieren können, müssen die Bundle-IDs genau mit den zuvor beschriebenen identisch sein, und der Schalter Einschließen muss für Benachrichtigungenauf Ein festgelegt sein.

  6. Wählen Sie die Registerkarte Bereich und dann Hinzufügen aus.

    Die Seite, auf der Sie Werte für die Konfigurationseinstellungen hinzufügen können.

  7. Wählen Sie Die Computergruppe von Contoso aus. Wählen Sie Hinzufügen und dann Speichern aus.

    Die Seite, auf der Sie Werte für die Konfigurationseinstellungen der Contoso-Computergruppe speichern können.

    Die Seite, auf der die Vervollständigungsbenachrichtigung der Konfigurationseinstellungen angezeigt wird.

  8. Wählen Sie Fertig aus. Das neue Konfigurationsprofil sollte angezeigt werden.

    Die abgeschlossenen Konfigurationseinstellungen.

Schritt 5: Konfigurieren von Microsoft AutoUpdate (MAU)

  1. Verwenden Sie die folgenden Microsoft Defender for Endpoint Konfigurationseinstellungen:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>ChannelName</key>
 <string>Current</string>
 <key>HowToCheck</key>
 <string>AutomaticDownload</string>
 <key>EnableCheckForUpdatesButton</key>
 <true/>
 <key>DisableInsiderCheckbox</key>
 <false/>
 <key>SendAllTelemetryEnabled</key>
 <true/>
</dict>
</plist>

  2. Speichern Sie es als MDATP_MDAV_MAU_settings.plist.

  3. Wählen Sie im Jamf Pro-Dashboard Die Option Allgemein aus.

    Die Konfigurationseinstellungen.

  4. Geben Sie auf der Registerkarte Allgemein die folgenden Details an:

    • Name: MDATP MDAV MAU settings
    • Beschreibung: Microsoft AutoUpdate settings for MDATP for macOS
    • Kategorie: None (default)
    • Verteilungsmethode: Install Automatically (default)
    • Ebene: Computer Level (default)

  5. Wählen Sie unter Anwendungs- & Benutzerdefinierte Einstellungendie Option Konfigurieren aus.

    Die Konfigurationseinstellungsanwendung und benutzerdefinierte Einstellungen.

  6. Wählen Sie Datei hochladen (PLIST-Datei) aus.

  7. Geben Sie unter Einstellung Domäne ein com.microsoft.autoupdate2, und wählen Sie dann PLIST-Datei hochladen aus.

    Die Einstellungsdomäne der Konfigurationseinstellung.

  8. Wählen Sie Datei auswählen aus.

    Die Aufforderung, die Datei bezüglich der Konfigurationseinstellung auszuwählen.

  9. Wählen Sie MDATP_MDAV_MAU_settings.plist aus.

    Die mdatpmdavmau-Einstellungen.

  10. Wählen Sie Hochladen aus. Der Upload der Datei bezüglich der Konfigurationseinstellung.

    Die Seite, auf der die Uploadoption für die Datei bezüglich der Konfigurationseinstellung angezeigt wird.

  11. Klicken Sie auf Speichern.

    Die Seite, auf der die Speicheroption für die Datei in Bezug auf die Konfigurationseinstellung angezeigt wird.

  12. Wählen Sie die Registerkarte Bereich aus.

    Die Registerkarte Bereich für die Konfigurationseinstellungen.

  13. Klicken Sie auf Hinzufügen.

    Die Option zum Hinzufügen von Bereitstellungszielen.

    Die Seite, auf der Sie den Konfigurationseinstellungen weitere Werte hinzufügen.

    Die Seite, auf der Sie den Konfigurationseinstellungen weitere Werte hinzufügen können.

  14. Wählen Sie Fertig aus.

    Die Vervollständigungsbenachrichtigung bezüglich der Konfigurationseinstellungen.

Schritt 6: Gewähren des vollständigen Datenträgerzugriffs auf Microsoft Defender for Endpoint

  1. Wählen Sie im Jamf Pro-Dashboard Konfigurationsprofile aus.

    Das Profil, für das Einstellungen konfiguriert werden sollen.

  2. Wählen Sie + Neu aus.

  3. Geben Sie auf der Registerkarte Allgemein die folgenden Details an:

    • Name: MDATP MDAV - grant Full Disk Access to EDR and AV
    • Beschreibung: On macOS 11 (Big Sur) or later, the new Privacy Preferences Policy Control
    • Kategorie: None
    • Verteilungsmethode: Install Automatically
    • Ebene: Computer level

    Die Konfigurationseinstellung im Allgemeinen.

  4. Wählen Sie unter Richtliniensteuerung für Datenschutzeinstellungen konfigurieren die Option Konfigurieren aus.

    Die Steuerung der Konfigurationsdatenschutzrichtlinie.

  5. Geben Sie unter Datenschutzeinstellungen-Richtliniensteuerung die folgenden Details ein:

    • Bezeichner: com.microsoft.wdav
    • Bezeichnertyp: Bundle ID
    • Codeanforderung: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Die Details der Datenschutzeinstellungsrichtlinie für die Konfiguration.

  6. Wählen Sie + Hinzufügen aus.

    Die Konfigurationseinstellung fügt die Option Systemrichtlinie alle Dateien hinzu.

    • Wählen Sie unter App oder Dienstdie Option SystemPolicyAllFiles aus.
    • Wählen Sie unter Zugriff die Option Zulassen aus.

  7. Wählen Sie Speichern aus (nicht die unten rechts).

    Der Speichervorgang für die Konfigurationseinstellung.

  8. Wählen Sie das + Zeichen neben App Access aus, um einen neuen Eintrag hinzuzufügen.

    Der Speichervorgang, der sich auf die Konfigurationseinstellung bezieht.

  9. Geben Sie die folgenden Details ein:

    • Bezeichner: com.microsoft.wdav.epsext
    • Bezeichnertyp: Bundle ID
    • Codeanforderung: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Wählen Sie + Hinzufügen aus.

    Die Konfigurationseinstellung tcc epsext-Eintrag.

  • Wählen Sie unter App oder Dienstdie Option SystemPolicyAllFiles aus.
  • Wählen Sie unter Zugriff die Option Zulassen aus.
  1. Wählen Sie Speichern aus (nicht die unten rechts).

Die andere instance der Konfigurationseinstellung tcc epsext.

  1. Wählen Sie die Registerkarte Bereich aus.

Die Seite, die den Bereich für die Konfigurationseinstellung darstellt.

  1. Wählen Sie + Hinzufügen aus.

Die Seite, die die Konfigurationseinstellung darstellt.

  1. Wählen Sie Computer Gruppen und unter Gruppenname die Option MachineGroup von Contoso aus.

Die Konfigurationseinstellung contoso machine group.

  1. Klicken Sie auf Hinzufügen. Klicken Sie dann auf Speichern.

  2. Wählen Sie Fertig aus.

    Die Konfigurationseinstellung contoso machine-group.

    Abbildung der Konfigurationseinstellung.

Alternativ können Sie fulldisk.mobileconfig herunterladen und in Jamf-Konfigurationsprofile hochladen, wie unter Bereitstellen von benutzerdefinierten Konfigurationsprofilen mit Jamf Pro|Methode 2: Hochladen eines Konfigurationsprofils in Jamf Pro.

Hinweis

Vollständiger Datenträgerzugriff, der über das Apple MDM-Konfigurationsprofil gewährt wird, spiegelt sich nicht in Systemeinstellungen => Datenschutz & Sicherheit => Vollständiger Datenträgerzugriff wider.

Schritt 7: Genehmigen von Systemerweiterungen für Microsoft Defender for Endpoint

  1. Wählen Sie unter Konfigurationsprofiledie Option + Neu aus.

    Die Beschreibung des automatisch generierten Social-Media-Beitrags.

  2. Geben Sie auf der Registerkarte Allgemein die folgenden Details an:

    • Name: MDATP MDAV System Extensions
    • Beschreibung: MDATP system extensions
    • Kategorie: None
    • Verteilungsmethode: Install Automatically
    • Ebene: Computer Level

    Die Konfigurationseinstellungen sysext new profile.the configuration settings sysext new profile.

  3. Wählen Sie unter Systemerweiterungendie Option Konfigurieren aus.

    Der Bereich mit der Option Konfigurieren für die Systemerweiterungen.

  4. Geben Sie unter Systemerweiterungen die folgenden Details ein:

    • Anzeigename: Microsoft Corp. System Extensions
    • Systemerweiterungstypen: Allowed System Extensions
    • Teambezeichner: UBF8T346G9
    • Zulässige Systemerweiterungen:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Der Bereich MDATP-MDAV-Systemerweiterungen.

  5. Wählen Sie die Registerkarte Bereich aus.

    Der Auswahlbereich Zielcomputer.

  6. Wählen Sie + Hinzufügen aus.

  7. Wählen Sie Computer aus, Gruppen> unter Gruppenname> die Option Computergruppe von Contoso aus.

  8. Wählen Sie + Hinzufügen aus.

    Der Bereich Neues macOS-Konfigurationsprofil.

  9. Klicken Sie auf Speichern.

    Die Anzeige von Optionen in Bezug auf MDATP-MDAV-Systemerweiterungen.

  10. Wählen Sie Fertig aus.

    Die Konfigurationseinstellungen sysext - final.

Schritt 8: Konfigurieren der Netzwerkerweiterung

Im Rahmen der Endpunkterkennungs- und -antwortfunktionen untersucht Microsoft Defender for Endpoint unter macOS den Socketdatenverkehr und meldet diese Informationen an das Microsoft Defender-Portal.

Hinweis

Diese Schritte gelten für macOS 11 (Big Sur) oder höher. Obwohl Jamf Benachrichtigungen unter macOS Version 10.15 oder höher unterstützt, erfordert Defender für Endpunkt für Mac macOS 11 oder höher.

  1. Wählen Sie im Jamf Pro-Dashboard Computer und dann Konfigurationsprofile aus.

  2. Wählen Sie Neu aus, und geben Sie die folgenden Details unter Optionen ein:

  3. Geben Sie auf der Registerkarte Allgemein die folgenden Werte an:

    • Name: Microsoft Defender Network Extension
    • Beschreibung: macOS 11 (Big Sur) or later
    • Kategorie: None *(default)*
    • Verteilungsmethode: Install Automatically *(default)*
    • Ebene: Computer Level *(default)*

  4. Geben Sie auf der Registerkarte Inhaltsfilter die folgenden Werte an:

    • Filtername: Microsoft Defender Content Filter
    • Bezeichner: com.microsoft.wdav
    • Lassen Sie Dienstadresse, Organisation, Benutzername, Kennwort, Zertifikat leer (Einschließen ist nicht ausgewählt)
    • Filterreihenfolge: Inspector
    • Socketfilter: com.microsoft.wdav.netext
    • Festgelegte Anforderung für Socketfilter: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
    • Lassen Sie die Felder des Netzwerkfilters leer (Einschließen ist nicht ausgewählt)

    Beachten Sie, dass Bezeichner, Socketfilter und Socketfilter festgelegte Anforderung die genauen Werte wie zuvor angegeben sind.

    Die Konfigurationseinstellung mdatpmdav.

  5. Wählen Sie die Registerkarte Bereich aus.

    Die Registerkarte

  6. Wählen Sie + Hinzufügen aus. Wählen Sie Computer Gruppen und dann unter Gruppenname die Option Computergruppe von Contoso aus. Wählen Sie dann + Hinzufügen aus.

    Die Konfigurationseinstellungen adim.

  7. Klicken Sie auf Speichern.

    Der Bereich

  8. Wählen Sie Fertig aus.

    Die Konfigurationseinstellungen netext - final.

Alternativ können Sie netfilter.mobileconfig herunterladen und in Jamf-Konfigurationsprofile hochladen, wie unter Bereitstellen von benutzerdefinierten Konfigurationsprofilen mit Jamf Pro|

Schritt 9: Konfigurieren von Hintergrunddiensten

Achtung

macOS 13 (Ventura) enthält neue Datenschutzverbesserungen. Ab dieser Version können Anwendungen standardmäßig nicht ohne explizite Zustimmung im Hintergrund ausgeführt werden. Microsoft Defender for Endpoint müssen ihren Daemonprozess im Hintergrund ausführen.

Dieses Konfigurationsprofil gewährt Hintergrunddienstberechtigungen für Microsoft Defender for Endpoint. Wenn Sie zuvor Microsoft Defender for Endpoint über Jamf konfiguriert haben, empfiehlt es sich, die Bereitstellung mit diesem Konfigurationsprofil zu aktualisieren.

Laden Sie background_services.mobileconfig aus unserem GitHub-Repository herunter.

Laden Sie heruntergeladene mobileconfig in Jamf-Konfigurationsprofile hoch, wie unter Bereitstellen von benutzerdefinierten Konfigurationsprofilen mit Jamf Pro|Methode 2: Hochladen eines Konfigurationsprofils in Jamf Pro.

Schritt 10: Erteilen von Bluetooth-Berechtigungen

Achtung

macOS 14 (Sonoma) enthält neue Datenschutzverbesserungen. Ab dieser Version können Anwendungen standardmäßig nicht ohne explizite Zustimmung auf Bluetooth zugreifen. Microsoft Defender for Endpoint verwendet es, wenn Sie Bluetooth-Richtlinien für die Gerätesteuerung konfigurieren.

Laden Sie bluetooth.mobileconfig aus dem GitHub-Repository herunter.

Warnung

Die aktuelle Version von Jamf Pro unterstützt diese Art von Nutzlast noch nicht. Wenn Sie diese mobileconfig unverändert hochladen, entfernt Jamf Pro nicht unterstützte Nutzdaten und kann nicht auf Clientcomputer angewendet werden. Sie müssen zuerst die heruntergeladene mobileconfig signieren. Danach wird Jamf Pro es als "versiegelt" betrachten und nicht manipulieren. Weitere Informationen finden Sie in den folgenden Anweisungen:

  • Sie müssen mindestens ein Signaturzertifikat in Ihrem KeyChain installiert haben, selbst ein selbstsigniertes Zertifikat funktioniert. Sie können überprüfen, was Sie haben, mit:

    > /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found

Wählen Sie eine davon aus, und geben Sie den Text in Anführungszeichen als -N Parameter an:

/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Jetzt können Sie die generierte bluetooth-signed.mobileconfig auf Jamf Pro hochladen, wie unter Bereitstellen von benutzerdefinierten Konfigurationsprofilen mit Jamf Pro|Methode 2: Hochladen eines Konfigurationsprofils in Jamf Pro.

Hinweis

Bluetooth, das über das Apple MDM-Konfigurationsprofil gewährt wird, spiegelt sich nicht in Systemeinstellungen => Datenschutz & Sicherheit => Bluetooth wider.

Schritt 11: Planen von Überprüfungen mit Microsoft Defender for Endpoint unter macOS

Befolgen Sie die Anweisungen unter Planen von Überprüfungen mit Microsoft Defender for Endpoint unter macOS.

Schritt 12: Bereitstellen von Microsoft Defender for Endpoint unter macOS

Hinweis

In den folgenden Schritten sind der Name der .pkg Datei und die Werte für Anzeigename Beispiele. In diesen Beispielen stellt das Datum dar, 200329 an dem das Paket und die Richtlinie erstellt wurden (im yymmdd Format), und v100.86.92 stellt die Version der Microsoft Defender Anwendung dar, die bereitgestellt wird. Diese Werte sollten so aktualisiert werden, dass sie der Benennungskonvention entsprechen, die Sie in Ihrer Umgebung für Pakete und Richtlinien verwenden.

  1. Navigieren Sie zu dem Speicherort, an dem Sie gespeichert haben wdav.pkg.

    Das wdav-Paket des Datei-Explorers.

  2. Benennen Sie sie in um wdav_MDM_Contoso_200329.pkg.

    Das Datei-Explorer1 wdavmdm-Paket.

  3. Öffnen Sie die Jamf Pro-Dashboard.

    Die Konfigurationseinstellungen für Jamf Pro.

  4. Wählen Sie Ihren Computer aus, wählen Sie oben das Zahnradsymbol und dann Computerverwaltung aus.

    Die Konfigurationseinstellungen : Computerverwaltung.

  5. Wählen Sie unter Paketedie Option + Neu aus.

    Die Vogelbeschreibung für ein automatisch generiertes Paket.

  6. Geben Sie auf der Registerkarte Allgemein unter Neues Paket die folgenden Details an:

    • Anzeigename: Lassen Sie ihn vorerst leer. Da es zurückgesetzt wird, wenn Sie Ihr pkg auswählen.
    • Kategorie: None (default)
    • Dateiname: Choose File

    Die Registerkarte Allgemein für Konfigurationseinstellungen.

  7. Öffnen Sie die Datei, und verweisen Sie auf wdav.pkg oder wdav_MDM_Contoso_200329.pkg.

    Der Computerbildschirm, auf dem die Beschreibung für ein automatisch generiertes Paket angezeigt wird.

  8. Klicken Sie auf Öffnen. Legen Sie den Anzeigenamenauf Advanced Threat Protection Microsoft Defender und Microsoft Defender Antivirus fest.

    • Die Manifestdatei ist nicht erforderlich. Microsoft Defender for Endpoint funktioniert ohne Manifestdatei.
    • Registerkarte "Optionen": Standardwerte beibehalten.
    • Registerkarte "Einschränkungen": Standardwerte beibehalten.

    Die Registerkarte

  9. Klicken Sie auf Speichern. Das Paket wird in Jamf Pro hochgeladen.

    Der Uploadprozess des Konfigurationseinstellungspakets für das Paket, das sich auf die Konfigurationseinstellungen bezieht.

    Es kann einige Minuten dauern, bis das Paket für die Bereitstellung verfügbar ist.

    Eine instance zum Hochladen des Pakets für Konfigurationseinstellungen.

  10. Navigieren Sie zur Seite Richtlinien .

Die Konfigurationseinstellungsrichtlinien.

  1. Wählen Sie + Neu aus, um eine neue Richtlinie zu erstellen.

    Die neue Richtlinie für Konfigurationseinstellungen.

  2. Verwenden Sie MDATP Onboarding Contoso 200329 v100.86.92 or laterunter Allgemein für den Anzeigenamen .

    Die Konfigurationseinstellungen – MDATP onboard.

  3. Wählen Sie Wiederkehrendes Einchecken aus.

    Der wiederkehrende Check-In für die Konfigurationseinstellungen.

  4. Klicken Sie auf Speichern. Wählen Sie dann Pakete und dannKonfigurieren aus.

    Die Option zum Konfigurieren von Paketen.

  5. Wählen Sie die Schaltfläche Hinzufügen neben Microsoft Defender Advanced Threat Protection und Microsoft Defender Antivirus aus.

    Die Option zum Hinzufügen weiterer Einstellungen zu MDATP MDA.

  6. Klicken Sie auf Speichern.

    Die Speicheroption für die Konfigurationseinstellungen.

Erstellen Sie eine intelligente Gruppe für Computer mit Microsoft Defender Profilen.

Für eine bessere Benutzerfreundlichkeit müssen Konfigurationsprofile für registrierte Computer vor dem Paket von Microsoft Defender installiert werden. In den meisten Fällen pusht JamF Pro Konfigurationsprofile sofort, und diese Richtlinien werden nach einiger Zeit (d. a. während des Eincheckens) ausgeführt. In einigen Fällen kann die Bereitstellung von Konfigurationsprofilen jedoch mit einer erheblichen Verzögerung bereitgestellt werden (das heißt, wenn der Computer eines Benutzers gesperrt ist).

Jamf Pro bietet eine Möglichkeit, die richtige Reihenfolge sicherzustellen. Sie können eine intelligente Gruppe für Computer erstellen, die bereits das Konfigurationsprofil Microsoft Defender erhalten haben, und das Paket von Microsoft Defender nur auf diesen Computern installieren (und sobald sie dieses Profil erhalten).

Gehen Sie folgendermaßen vor:

  1. Erstellen Sie eine intelligente Gruppe. Öffnen Sie in einem neuen Browserfenster Smart Computers Gruppen.

  2. Wählen Sie Neu aus, und geben Sie Ihrer Gruppe einen Namen.

  3. Wählen Sie auf der Registerkarte Kriterien die Option Hinzufügen und dann Erweiterte Kriterien anzeigen aus.

  4. Wählen Sie Profilname als Kriterium aus, und verwenden Sie den Namen eines zuvor erstellten Konfigurationsprofils als Wert:

    Erstellen einer intelligenten Gruppe.

  5. Klicken Sie auf Speichern.

  6. Zurück zu dem Fenster, in dem Sie eine Paketrichtlinie konfigurieren.

  7. Wählen Sie die Registerkarte Bereich aus.

    Die Registerkarte Bereich im Zusammenhang mit den Konfigurationseinstellungen.

  8. Wählen Sie die Zielcomputer aus.

    Die Option zum Hinzufügen von Computergruppen.

  9. Wählen Sie unter Bereich die Option Hinzufügen aus.

    Die Konfigurationseinstellungen – ad1.

  10. Wechseln Sie zur Registerkarte Computer Gruppen. Suchen Sie die intelligente Gruppe, die Sie erstellt haben, und wählen Sie dann Hinzufügen aus.

Die Konfigurationseinstellungen – ad2.

  1. Wenn Sie möchten, dass Benutzer Defender für Endpunkt freiwillig (oder bei Bedarf) installieren, wählen Sie Self-Service aus.

Die Registerkarte

  1. Wählen Sie Fertig aus.

Das Contoso-Onboarding-status mit einer Option zum Abschließen dieses Vorgangs.

Die Seite

Konfigurationsprofilbereich

Jamf erfordert, dass Sie eine Gruppe von Computern für ein Konfigurationsprofil definieren. Sie müssen sicherstellen, dass alle Computer, die das Defender-Paket erhalten, auch alle oben aufgeführten Konfigurationsprofile erhalten.

Warnung

Jamf unterstützt smarte Computer-Gruppen, die die Bereitstellung ermöglichen, z. B. Konfigurationsprofile oder Richtlinien für alle Computer, die bestimmte Kriterien erfüllen, dynamisch ausgewertet werden. Es handelt sich um ein leistungsfähiges Konzept, das häufig für die Verteilung von Konfigurationsprofilen verwendet wird.

Beachten Sie jedoch, dass diese Kriterien nicht das Vorhandensein von Defender auf einem Computer umfassen sollten. Die Verwendung dieses Kriteriums klingt zwar logisch, verursacht aber Probleme, die schwer zu diagnostizieren sind.

Defender basiert zum Zeitpunkt der Installation auf all diesen Profilen.

Das Festlegen von Konfigurationsprofilen in Abhängigkeit von Defenders Anwesenheit verzögert die Bereitstellung von Konfigurationsprofilen effektiv und führt zu einem anfänglich fehlerhaften Produkt und/oder fordert zur manuellen Genehmigung bestimmter Anwendungsberechtigungen auf, die andernfalls automatisch von Profilen genehmigt werden. Das Bereitstellen einer Richtlinie mit Microsoft Defender-Paket nach dem Bereitstellen von Konfigurationsprofilen stellt die beste Benutzererfahrung sicher, da alle erforderlichen Konfigurationen vor der Installation des Pakets angewendet werden.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.