Käyttöönotto eri mobiililaitteiden Laitteiden hallinta (MDM) -järjestelmän kanssa Microsoft Defender for Endpoint macOS:ssä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Edellytykset ja järjestelmävaatimukset
Ennen kuin aloitat, katso macOS-sivun Microsoft Defender for Endpoint kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.
Lähestymistapa
Varoitus
Tällä hetkellä Microsoft tukee virallisesti vain Intune ja JAMF:ia Microsoft Defender for Endpoint käyttöönottoon ja hallintaan macOS:ssä. Microsoft ei anna mitään nimenomaista tai implisiittistä takuuta alla annettujen tietojen suhteen.
Jos organisaatiosi käyttää MDM Laitteiden hallinta ratkaisua, jota ei virallisesti tueta, et kuitenkaan pysty ottamaan käyttöön tai suorittamaan Microsoft Defender for Endpoint macOS:ssä.
macOS:n Microsoft Defender for Endpoint ei riipu toimittajakohtaisista ominaisuuksista. Sitä voidaan käyttää minkä tahansa mdm-ratkaisun kanssa, joka tukee seuraavia ominaisuuksia:
- MacOS-.pkg käyttöönotto hallituissa laitteissa.
- Ota macOS-järjestelmän määritysprofiilit käyttöön hallituissa laitteissa.
- Suorita mielivaltainen järjestelmänvalvojan määrittämä työkalu tai komentosarja hallituissa laitteissa.
Useimmat nykyaikaiset MDM-ratkaisut sisältävät nämä ominaisuudet, mutta ne saattavat kutsua niitä eri tavalla.
Voit kuitenkin ottaa Defender for Endpointin käyttöön ilman edeltävän luettelon viimeistä vaatimusta:
- Et voi kerätä tilaa keskitetysti.
- Jos päätät poistaa Defender for Endpointin asennuksen, sinun on kirjauduttava asiakaslaitteeseen paikallisesti järjestelmänvalvojana.
Käyttöönotto
Useimmat MDM-ratkaisut käyttävät samaa mallia macOS-laitteiden hallintaan samankaltaisin termein. Käytä JAMF-pohjaista käyttöönottoa mallina.
Paketti
Määritä tarvittavan sovelluspaketin käyttöönotto Microsoft Defender portaalista ladatulla asennuspaketilla (wdav.pkg).
Varoitus
Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.
Jos haluat ottaa paketin käyttöön yrityksessäsi, käytä MDM-ratkaisuun liittyviä ohjeita.
Käyttöoikeusasetukset
Määritä järjestelmän määritysprofiili.
MDM-ratkaisusi voi kutsua sitä esimerkiksi mukautettujen asetusten profiiliksi, koska Microsoft Defender for Endpoint macOS:ssä ei ole osa macOS:ää.
Käytä ominaisuusluetteloa jamf/WindowsDefenderATPOnboarding.plist, joka voidaan poimia Microsoft Defender portaalista ladatystä perehdytyspaketista. Järjestelmäsi voi tukea mielivaltaista ominaisuusluetteloa XML-muodossa. Voit ladata jamf/WindowsDefenderATPOnboarding.plist-tiedoston sellaisenaan tässä tapauksessa. Vaihtoehtoisesti se voi edellyttää, että muunnat ominaisuusluettelon ensin eri muotoon.
Yleensä mukautetulla profiilillasi on tunnus, nimi tai toimialueen määrite. Tähän arvoon on käytettävä täsmälleen "com.microsoft.wdav.atp"-arvoa. MDM käyttää sitä asetustiedoston käyttöönottoon asiakaslaitteessa /Library/Managed Preferences/com.microsoft.wdav.atp.plist , ja Defender for Endpoint käyttää tätä tiedostoa perehdytystietojen lataamiseen.
Järjestelmän määritysprofiilit
macOS edellyttää, että käyttäjä hyväksyy manuaalisesti ja eksplisiittisesti tiettyjä funktioita, joita sovellus käyttää, kuten järjestelmälaajennuksia, taustatoimintoja, ilmoitusten lähettämistä, levyn täyttä käyttöä jne. Microsoft Defender for Endpoint käyttää näitä toimintoja, eikä voi toimia oikein, ennen kuin kaikki nämä hyväksynnät on vastaanotettu käyttäjältä.
Jos haluat antaa suostumuksen automaattisesti käyttäjän puolesta, järjestelmänvalvoja lähettää järjestelmäkäytännöt MDM-järjestelmänsä kautta. Suosittelemme tekemään näin sen sijaan, että luottaisimme loppukäyttäjien manuaalisiin hyväksyntöihin.
Tarjoamme kaikki käytännöt, joita Microsoft Defender for Endpoint edellyttävät mobiilimääritystiedostoina, jotka ovat käytettävissä osoitteessa https://github.com/microsoft/mdatp-xplat. Mobileconfig on Applen tuonti- ja vientimuoto, jota Apple Configurator tai muut tuotteet, kuten iMazing Profile, Kirjoitusavustaja tukevat.
Useimmat MDM-toimittajat tukevat uuden mukautetun määritysprofiilin luovan mobiilimääritystiedoston tuomista.
Profiilien määrittäminen:
- Selvitä, miten mobiilimäärityksen tuonti tehdään mobiililaitteiden hallinnan toimittajan kanssa.
- Lataa mobileconfig-tiedosto kaikille profiileille kohteesta https://github.com/microsoft/mdatp-xplatja tuo se.
- Määritä asianmukainen vaikutusalue kullekin luodulle määritysprofiilille.
Huomaa, että Apple luo säännöllisesti uudentyyppisiä hyötykuormat käyttöjärjestelmän uusilla versioilla. Sinun täytyy käydä yllä mainitulla sivulla ja julkaista uusia profiileja, kun ne ovat käytettävissä. Julkaisemme ilmoitukset Uudet ominaisuudet -sivulle , kun teemme tämän kaltaisia muutoksia.
Defender for Endpoint -määritysasetukset
Tarvitset määritysprofiilin Microsoft Defender for Endpoint käyttöönottoa varten.
Seuraavissa vaiheissa näytetään, miten määritysprofiilia käytetään ja tarkistetaan.
1. MDM ottaa määritysprofiilin käyttöön rekisteröidyissä tietokoneissa Voit tarkastella profiileja järjestelmäasetusprofiileissa > . Etsi nimi, jota käytit määritysasetusprofiilin Microsoft Defender for Endpoint. Jos et näe sitä, katso MDM-dokumentaatiosta vianmääritysvinkkejä.
2. Määritysprofiili näkyy oikeassa tiedostossa
Microsoft Defender for Endpoint lukee /Library/Managed Preferences/com.microsoft.wdav.plist ja /Library/Managed Preferences/com.microsoft.wdav.ext.plist tiedostot.
Se käyttää vain näitä kahta tiedostoa hallituissa asetuksissa.
Jos et näe näitä tiedostoja, mutta olet varmistanut, että profiilit on toimitettu (katso edellinen osio), profiilisi on määritetty virheellisesti. Olet määrittänyt tämän määritysprofiilin "Käyttäjätaso" tietokonetason sijaan tai käytit eri asetustoimialuetta kuin niitä, joita Microsoft Defender for Endpoint odottaa ("com.microsoft.wdav" ja "com.microsoft.wdav.ext").
MdM-dokumentaatiosta saat lisätietoja sovellusmääritysprofiilien määrittämisestä.
3. Määritysprofiili sisältää odotetun rakenteen
Tämän vaiheen tarkistaminen voi olla hankalaa. Microsoft Defender for Endpoint odottaa, että com.microsoft.wdav.plist sisältää tiukan rakenteen. Jos sijoitat asetukset odottamattomaan paikkaan tai kirjoitat ne väärin tai käytät virheellistä tyyppiä, asetukset ohitetaan taustalla.
- Voit tarkistaa
mdatp healthja vahvistaa, että määrittämäsi asetukset ilmoitetaan muodossa[managed]. - Voit tarkastaa kohteen sisällön
/Library/Managed Preferences/com.microsoft.wdav.plistja varmistaa, että se vastaa odotettuja asetuksia:
plutil -p "/Library/Managed\ Preferences/com.microsoft.wdav.plist"
{
"antivirusEngine" => {
"scanHistoryMaximumItems" => 10000
}
"edr" => {
"groupIds" => "my_favorite_group"
"tags" => [
0 => {
"key" => "GROUP"
"value" => "my_favorite_tag"
}
]
}
"tamperProtection" => {
"enforcementLevel" => "audit"
"exclusions" => [
0 => {
"args" => [
0 => "/usr/local/bin/test.sh"
]
"path" => "/bin/zsh"
"signingId" => "com.apple.zsh"
"teamId" => ""
}
]
}
}
Voit käyttää ohjeena dokumentoituja määritysprofiilirakenteita .
Tässä artikkelissa kerrotaan, että "antivirusEngine", "edr", "tamperProtection" ovat määritystiedoston ylimmän tason asetuksia. Ja esimerkiksi "scanHistoryMaximumItems" on toisella tasolla ja sen tyyppi on kokonaisluku.
Sinun pitäisi nähdä nämä tiedot edellisen komennon tulosteessa. Jos huomasit, että "antivirusEngine" on sisäkkäin jonkin muun asetuksen alla - profiili on määritetty väärin. Jos näet virustentorjuntaohjelman (antivirusengine) virustentorjuntaohjelman sijaan, nimi on kirjoitettu väärin ja asetusten alipuu ohitetaan. Jos "scanHistoryMaximumItems" => "10000"käytössä on väärä tyyppi ja asetus ohitetaan.
Tarkista, että kaikki profiilit on otettu käyttöön
Voit ladata ja suorittaa analyze_profiles.py. Tämä komentosarja kerää ja analysoi kaikki tietokoneessa käyttöönotetut profiilit ja varoittaa vastaamattomista profiileista. Huomaa, että se voi menettää joitakin virheitä, eikä se ole tietoinen joistakin suunnittelupäätöksistä, joita järjestelmänvalvojat tekevät tarkoituksella. Käytä tätä komentosarjaa ohjeiden ohjaukseen, mutta tarkista aina, näetkö jotain virheeksi merkittyä. Esimerkiksi perehdyttämisoppaassa kehotetaan ottamaan käyttöön määritysprofiili blob-objektin perehdyttämistä varten. Jotkin organisaatiot päättävät kuitenkin suorittaa manuaalisen käyttöönottokomentosarjan. analyze_profile.py varoittaa vastaamattomista profiileista. Voit joko päättää ottaa käyttöön määritysprofiilin kautta tai jättää varoituksen kokonaan huomiotta.
Tarkista asennuksen tila
Tarkista käyttöönottotila suorittamalla Microsoft Defender for Endpoint asiakaslaitteessa.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle