Bereitstellung mit einem anderen Mobile Geräteverwaltung -System (MDM) für Microsoft Defender for Endpoint unter macOS

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Voraussetzungen und Systemanforderungen

Beachten Sie vor dem Start die Hauptseite „Microsoft Defender für Endpunkt auf macOS“ für eine Beschreibung der Voraussetzungen und Systemanforderungen für die aktuelle Softwareversion.

Ansatz

Achtung

Derzeit unterstützt Microsoft offiziell nur Intune und JAMF für die Bereitstellung und Verwaltung von Microsoft Defender for Endpoint unter macOS. Microsoft übernimmt keine Ausdrücklichen oder Stillschweigenden Gewährleistungen in Bezug auf die unten angegebenen Informationen.

Wenn Ihr organization eine Mobile Geräteverwaltung (MDM)-Lösung verwendet, die nicht offiziell unterstützt wird, bedeutet dies nicht, dass Sie Microsoft Defender for Endpoint unter macOS nicht bereitstellen oder ausführen können.

Microsoft Defender for Endpoint unter macOS ist nicht von herstellerspezifischen Features abhängig. Es kann mit jeder MDM-Lösung verwendet werden, die die folgenden Features unterstützt:

  • Stellen Sie eine macOS-.pkg auf verwalteten Geräten bereit.
  • Stellen Sie macOS-Systemkonfigurationsprofile auf verwalteten Geräten bereit.
  • Führen Sie ein beliebiges vom Administrator konfiguriertes Tool/Skript auf verwalteten Geräten aus.

Die meisten modernen MDM-Lösungen enthalten diese Features, sie können sie jedoch anders nennen.

Sie können Defender für Endpunkt jedoch ohne die letzte Anforderung aus der obigen Liste bereitstellen:

  • Sie können status nicht zentral erfassen.
  • Wenn Sie Defender für Endpunkt deinstallieren möchten, müssen Sie sich lokal als Administrator beim Clientgerät anmelden.

Bereitstellung)

Die meisten MDM-Lösungen verwenden das gleiche Modell für die Verwaltung von macOS-Geräten mit ähnlicher Terminologie. Verwenden Sie die JAMF-basierte Bereitstellung als Vorlage.

Paket

Konfigurieren Sie die Bereitstellung eines erforderlichen Anwendungspakets, wobei das Installationspaket (wdav.pkg) aus Microsoft Defender Portal heruntergeladen wurde.

Warnung

Das Erneute Packen des Defender für Endpunkt-Installationspakets wird nicht unterstützt. Dies kann sich negativ auf die Integrität des Produkts auswirken und zu negativen Ergebnissen führen, einschließlich, aber nicht beschränkt auf das Auslösen von Manipulationswarnungen und nicht angewendeten Updates.

Um das Paket in Ihrem Unternehmen bereitzustellen, verwenden Sie die Anweisungen, die Ihrer MDM-Lösung zugeordnet sind.

Lizenzeinstellungen

Richten Sie ein Systemkonfigurationsprofil ein.

Ihre MDM-Lösung kann sie etwa "Benutzerdefiniertes Einstellungsprofil" nennen, da Microsoft Defender for Endpoint unter macOS nicht Teil von macOS ist.

Verwenden Sie die Eigenschaftenliste jamf/WindowsDefenderATPOnboarding.plist, die aus einem Onboardingpaket extrahiert werden kann, das aus Microsoft Defender Portal heruntergeladen wurde. Ihr System unterstützt möglicherweise eine beliebige Eigenschaftsliste im XML-Format. Sie können die Datei jamf/WindowsDefenderATPOnboarding.plist in diesem Fall unverändert hochladen. Alternativ kann es erforderlich sein, dass Sie die Eigenschaftenliste zuerst in ein anderes Format konvertieren.

In der Regel verfügt Ihr benutzerdefiniertes Profil über eine ID, einen Namen oder ein Domänenattribute. Sie müssen genau "com.microsoft.wdav.atp" für diesen Wert verwenden. MDM verwendet sie, um die Einstellungsdatei in /Library/Managed Preferences/com.microsoft.wdav.atp.plist auf einem Clientgerät bereitzustellen, und Defender für Endpunkt verwendet diese Datei zum Laden der Onboardinginformationen.

Systemkonfigurationsprofile

macOS erfordert, dass ein Benutzer bestimmte Funktionen, die eine Anwendung verwendet, manuell und explizit genehmigt, z. B. Systemerweiterungen, ausführung im Hintergrund, Senden von Benachrichtigungen, vollständiger Datenträgerzugriff usw. Microsoft Defender for Endpoint auf diese Funktionen angewiesen ist und nicht ordnungsgemäß funktionieren kann, bis alle diese Zustimmungen von einem Benutzer erhalten wurden.

Um die Zustimmung automatisch im Namen eines Benutzers zu erteilen, pusht ein Administrator Systemrichtlinien über sein MDM-System. Dies ist es, was wir dringend empfehlen, anstatt sich auf manuelle Genehmigungen von Endbenutzern zu verlassen.

Wir stellen alle Richtlinien bereit, die Microsoft Defender for Endpoint als mobileconfig-Dateien benötigt, die unter verfügbar sindhttps://github.com/microsoft/mdatp-xplat. Mobileconfig ist ein Import-/Exportformat von Apple, das Apple Configurator oder andere Produkte wie iMazing Profile Editor unterstützen.

Die meisten MDM-Anbieter unterstützen das Importieren einer mobileconfig-Datei, die ein neues benutzerdefiniertes Konfigurationsprofil erstellt.

So richten Sie Profile ein:

  1. Erfahren Sie, wie ein mobileconfig-Import mit Ihrem MDM-Anbieter erfolgt.
  2. Laden Sie für alle Profile von https://github.com/microsoft/mdatp-xplateine mobileconfig-Datei herunter, und importieren Sie sie.
  3. Weisen Sie jedem erstellten Konfigurationsprofil den richtigen Bereich zu.

Beachten Sie, dass Apple regelmäßig neue Typen von Nutzlasten mit neuen Versionen eines Betriebssystems erstellt. Sie müssen die oben genannte Seite besuchen und neue Profile veröffentlichen, sobald sie verfügbar sind. Wir veröffentlichen Benachrichtigungen auf unserer Seite Neuerungen , sobald wir solche Änderungen vorgenommen haben.

Konfigurationseinstellungen für Defender für Endpunkt

Zum Bereitstellen Microsoft Defender for Endpoint Konfiguration benötigen Sie ein Konfigurationsprofil.

Die folgenden Schritte zeigen, wie Sie ein Konfigurationsprofil anwenden und überprüfen.

1. MDM stellt Konfigurationsprofil für registrierte Computer bereit. Sie können Profile unter Systemeinstellungsprofile > anzeigen. Suchen Sie nach dem Namen, den Sie für Microsoft Defender for Endpoint Konfigurationseinstellungsprofil verwendet haben. Wenn sie nicht angezeigt wird, finden Sie in der MDM-Dokumentation Tipps zur Problembehandlung.

2. Das Konfigurationsprofil wird in der richtigen Datei angezeigt.

Microsoft Defender for Endpoint liest /Library/Managed Preferences/com.microsoft.wdav.plist und /Library/Managed Preferences/com.microsoft.wdav.ext.plist Dateien. Für verwaltete Einstellungen werden nur diese beiden Dateien verwendet.

Wenn Sie diese Dateien nicht sehen, aber überprüft haben, ob die Profile übermittelt wurden (siehe vorheriger Abschnitt), bedeutet dies, dass Ihre Profile falsch konfiguriert sind. Sie haben dieses Konfigurationsprofil entweder auf "Benutzerebene" anstelle von "Computerebene" festgelegt, oder Sie haben eine andere Einstellungsdomäne anstelle derjenigen verwendet, die Microsoft Defender for Endpoint erwartet ("com.microsoft.wdav" und "com.microsoft.wdav.ext").

Informationen zum Einrichten von Anwendungskonfigurationsprofilen finden Sie in ihrer MDM-Dokumentation.

3. Das Konfigurationsprofil enthält die erwartete Struktur.

Dieser Schritt kann schwierig zu überprüfen sein. Microsoft Defender for Endpoint erwartet com.microsoft.wdav.plist mit einer strengen Struktur. Wenn Sie Einstellungen an einen unerwarteten Ort setzen, sie falsch geschrieben oder einen ungültigen Typ verwenden, werden die Einstellungen im Hintergrund ignoriert.

  1. Sie können überprüfen mdatp health und bestätigen, dass die von Ihnen konfigurierten Einstellungen als [managed]gemeldet werden.
  2. Sie können den Inhalt von /Library/Managed Preferences/com.microsoft.wdav.plist überprüfen und sicherstellen, dass er den erwarteten Einstellungen entspricht:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"

{
  "antivirusEngine" => {
    "scanHistoryMaximumItems" => 10000
  }
  "edr" => {
    "groupIds" => "my_favorite_group"
    "tags" => [
      0 => {
        "key" => "GROUP"
        "value" => "my_favorite_tag"
      }
    ]
  }
  "tamperProtection" => {
    "enforcementLevel" => "audit"
    "exclusions" => [
      0 => {
        "args" => [
          0 => "/usr/local/bin/test.sh"
        ]
        "path" => "/bin/zsh"
        "signingId" => "com.apple.zsh"
        "teamId" => ""
      }
    ]
  }
}

Sie können die dokumentierte Konfigurationsprofilstruktur als Richtlinie verwenden.

In diesem Artikel wird erläutert, dass "antivirusEngine", "edr", "tamperProtection" Einstellungen auf der obersten Ebene der Konfigurationsdatei sind. Und beispielsweise befinden sich "scanHistoryMaximumItems" auf der zweiten Ebene und sind vom Typ integer.

Diese Informationen sollten in der Ausgabe des vorherigen Befehls angezeigt werden. Wenn Sie festgestellt haben, dass "antivirusEngine" unter einer anderen Einstellung geschachtelt ist, ist das Profil falsch konfiguriert. Wenn "antivirusengine" anstelle von "antivirusEngine" angezeigt wird, ist der Name falsch geschrieben, und die gesamte Teilstruktur der Einstellungen wird ignoriert. Bei "scanHistoryMaximumItems" => "10000"wird der falsche Typ verwendet, und die Einstellung wird ignoriert.

Überprüfen, ob alle Profile bereitgestellt wurden

Sie können analyze_profiles.py herunterladen und ausführen. Dieses Skript erfasst und analysiert alle Auf einem Computer bereitgestellten Profile und warnt Sie vor verpassten Profilen. Beachten Sie, dass einige Fehler übersehen werden können, und einige Entwurfsentscheidungen, die Systemadministratoren absichtlich treffen, nicht bekannt sind. Verwenden Sie dieses Skript als Anleitung, aber untersuchen Sie immer, ob etwas als Fehler gekennzeichnet wird. Der Onboardingleitfaden weist Sie beispielsweise darauf hin, ein Konfigurationsprofil für das Onboarding von Blobs bereitzustellen. Einige Organisationen beschließen jedoch, stattdessen das skript für das manuelle Onboarding auszuführen. analyze_profile.py warnt Sie vor dem verpassten Profil. Sie können sich entweder für das Onboarding über das Konfigurationsprofil entscheiden oder die Warnung ganz ignorieren.

Überprüfen der installations status

Führen Sie Microsoft Defender for Endpoint auf einem Clientgerät aus, um die Onboarding-status zu überprüfen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.